1.一种基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,包括以下步骤:
s1、获取检测分析场景信息,并通过dpdk采集检测分析场景中的网络流量数据;
s2、将采集的网络流量数据进行预处理,分别从三个尺度获取单一数据包、会话流和通信流;
s3、根据单一数据包、会话流和通信流的相关特征建立对应的元数据库;
s4、将获取的单一数据包、会话流和通信流导入对应的元数据库进行黑白匹配,获取先验知识;
s5、根据单一数据包、会话流和通信流的相关特征与先验知识结合建立多尺度特征分析模型;
s6、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型进行隐蔽信道分析检测,并生成检测报告。
2.根据权利要求1所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s1包括以下步骤:
s11、获取检测分析场景信息,判断检测分析场景是否为在线实时检测分析场景,如果是,则进入步骤s12;如果否,则进入步骤s13;
s12、将dpdk旁路部署在欲防护网络的出口交换机处,并为其配置相应镜像端口,进入步骤s14;
s13、将dpdk部署在检测分析场景同一个网络内,并为其分配私有ip地址,进入步骤s14;
s14、通过dpdk采集检测分析场景中的网络流量数据。
3.根据权利要求2所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s2包括以下步骤:
s21、将采集的网络流量数据进行预处理,根据源ip、目的ip、源端口、目的端口和会话发起时间对采集的网络流量数据进行识别;
s22、获取单一数据包、会话流和通信流。
4.根据权利要求3所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s6包括以下步骤:
s61、将获取的单一数据包、会话流和通信流导入多尺度特征分析模型中;
s62、通过多尺度特征分析模型基于网络协议规范对单一数据包进行分析检测,通过多尺度特征分析模型基于流量分布特征对会话流进行分析检测,通过多尺度特征分析模型基于流量统计对通信流进行分析检测;
s63、生成检测报告。
5.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s62中对单一数据包进行分析检测包括以下步骤:
s621、获取正常通信数据包,构建训练集;
s622、根据rfc协议规范提取训练集的协议格式信息,构建正常通信数据包规则库;
s623、根据正常通信数据包规则库对获取的单一数据包进行协议格式匹配。
6.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s62中对会话流进行分析检测包括以下步骤:
s624、根据先验知识,对获取的会话流进行逆向分析并进行形式化预处理,将会话流以元数据形式表示形成新的会话流,构建能够标识隐蔽信道类型的会话特征组;
s625、根据会话特征组分析训练新的会话流,并提取可表征ip会话通信行为的特征要素;
s626、根据提取的特征要素的熵值时间序列构建贝叶斯分类器;
s627、根据贝叶斯分类器通过对各类型隐蔽信道训练样本的学习,收敛后生成特定类型隐蔽信道的会话序列模型;
s628、根据会话序列模型对获取的会话流进行模型匹配。
7.根据权利要求4所述的基于多尺度流分析技术的隐蔽信道检测方法,其特征在于,步骤s62中对通信流进行分析检测包括以下步骤:
s629、基于网络流量自相似模型对获取的通信流进行描述;
s6210、根据概率统计方法对通信流进行泊松分布分析检测。