(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211036936.0 (22)申请日 2022.08.29 (71)申请人 成都盛思睿信息技 术有限公司 地址 610094 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区府城大道西 段399号8栋10层6号 申请人 贵州海誉科技股份有限公司 (72)发明人 李凡　张小松　黄明峰　方智阳　 马勇　王流一　张锦　 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于卷积神经网络的云平台隐蔽通道检测 方法及系统 (57)摘要 本发明公开了基于卷积神经网络的云平台 隐蔽通道检测方法及系统， 包括 云平台流量样本 获取步骤、 样本预处理步骤、 深度学习模型构建 步骤、 特征集合选择步骤、 检测评价步骤、 可视化 步骤， 采用 深度学习算法， 通过深度学习模型从 云平台原始流量特征集合中选出高区分度的流 量特征， 将所选特征用于基于深度学习方法的云 平台隐蔽通道 流量检测器训练， 最终实现对云平 台隐蔽通道流 量的高精度、 高响应 检测。 权利要求书3页 说明书7页 附图2页 CN 115134168 A 2022.09.30 CN 115134168 A 1.基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于， 包括： 获取云平台流量样本， 包括： 获取包含云平台正常网络流量和云平台隐蔽通道网络流 量的网络流 量样本， 构建黑白混合数据集； 对所述云平台流量样本进行预处理， 包括： 利用脚本文件对所述云平台流量样本进行 格式转换， 转换为模型可读的元数据文件， 对所述云平台流量样本中的非数字特征进行数 字化操作转化为数字特征， 对所有数字特征进行归一化处理， 将所有的数字特征全部转换 为二进制表达形式； 构建深度 学习模型， 包括： 选择卷积神经网络模型作为学习模型并初始化超参数， 对所 述黑白混合数据集进行 学习训练及预测； 选择特征集合， 包括： 在所述深度学习模型的指导下， 通过从原始网络流量的特征集中 选取一个特 征， 并纳入已选特 征集合； 检测评价， 包括： 基于所述特征集合， 通过所述深度学习模型进行训练生成备选云平台 隐蔽通道流量检测器， 并利用所述云平台网络流量样本对备选 云平台隐蔽通道流量检测器 进行测试并获取评价指标； 根据所述评价指标和附加信息形成检测报告。 2.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述卷积神经网络模型包括依次连接的2D卷积层、 池化层、 Dropout层和全连接层； 所述2D卷积层包括依次连接的3层的2D卷积层； 所述3层的2D卷积层的输出连接池化层， 所述池化层通过最大滤波器对非重叠子区域 完成最大池化； 所述池化层的输出连接Dropout层， 所述Dropout层将输入 向量的维度以keep_prob的 概率设置为0.75， 在模型训练的过程中， 所述Dropout层不包含可训练及更新的参数， 剩余 维度非零向量的维度数目将按照ke ep_prob的倒数比例进行缩放； 所述Dropout层输出连接全连接层， 所述全连接层中的每一个神经元都会接收来自前 一网络层的输出， 所述卷积神经网络模型使用全连接层来改变数据维数， 所述全连接层使 用矩阵乘法来改变维数的计算原矩阵， 所述计算原矩阵中的所有参数均作为可训练的参数 随着网络训练迭代次数的增 加而实时更新。 3.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述从原始网络流量的特征集中选取一个特征作为衡量平台正常网络流量和云平台 隐蔽通道网络流量的标准， 所述特征包括： 通过获取流量响应中提供的应答数量、 DNS请求 长度、 数据包发送方长度、 数据包响应长度、 编码DNS查询名称长度、 特殊字符占比、 特殊字 符占比和信息熵作为衡量平台正常网络流 量和云平台隐蔽通道网络流 量。 4.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述评价指标包括准确率Accuracy、 精确率Precision、 召回率Recall、 综合分类率F1 分数F1‑score以及受试者工作特 征曲线ROC曲线； 其中， 准确率表示被 检测对的样本数的占比， 准确率越高， 检测模型越好， 表达式为： 其中， TP表示模型预测为正类的正样本数量， TN表示模型预测为负类的负样本数量， FP权　利　要　求　书 1/3 页 2 CN 115134168 A 2表示模型 预测为正类的负 样本数量， FN表示 为模型预测为负类的正样本数量； 精确率表示被分为 正常流量样本中实际为 正常样本的比例， 表达式为： 召回率表示分类为正常流量样本的数量占正常样本总数量的比例， 数值越大检测率越 高， 表达式为： 综合分类率表示精确性和检测率的综合衡量， F1值越高， 模型越好， 表达式为： 所述ROC 曲线用于进一步评价所述检测模型的性能， 所述ROC曲线关注 Recall和FPR两 个指标,所述FPR  代表将负例错分为 正例的概 率， 所述FPR表达式为： 在所述ROC曲线中， 每 个点的横坐标 是FPR， 纵坐标 是Recall。 5.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述附加信息包括时间和会话信息 。 6.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述根据所述评价指标和附加信息形成检测报告， 包括： 获取云平台隐蔽通道检测结 果， 根据所述检测结果获取 数据包的相关信息， 根据所述数据包的相关信息形成检测报告。 7.根据权利要求6所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述数据包的相关信息包括： IP地址、 端口号、 数据包长度和数据包发送时间。 8.根据权利要求1所述的基于卷积神经网络的云平台隐蔽通道检测方法， 其特 征在于： 所述云平台隐蔽通道网络流量样本的类型包括DNS2TCP、 DNSCAPY、 DNSCAT2、 IODINE和 OZYMAN。 9.基于卷积神经网络的云平台隐蔽通道检测系统， 其特 征在于， 包括： 云平台流量样本获取模块， 用于获取包含云平台正常网络流量和云平台隐蔽通道网络 流量的网络流 量样本， 构建黑白混合数据集； 数据预处理模块， 用于利用脚本文件对所述云平台流量样本进行格式转换， 转换为模 型可读的元数据文件， 对所述云平台流量样本中的非数字特征进 行数字化操作转化为数字 特征， 对所有数字特 征进行归一 化处理， 将所有的数字特 征全部转换为 二进制表达形式； 深度学习模型构建模块， 用于选择卷积神经网络模型作为学习模型并初始化超参数， 对所述黑白混合数据集进行 学习训练及预测； 特征集合选择模块， 用于在所述深度学习模型的指导下， 通过从原始网络流量的特征 集中选取一个特 征， 并纳入已选特 征集合； 检测评价模块， 用于基于所述特征集合， 通过所述深度学习模型进行训练生成备选云 平台隐蔽通道流量检测器， 并利用所述云平台网络流量样本对备选 云平台隐蔽通道流量检 测器进行测试并获取评价指标； 可视化模块， 用于根据所述评价指标和附加信息形成检测报告。权　利　要　求　书 2/3 页 3 CN 115134168 A 3