(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111332949.8 (22)申请日 2021.11.11 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 苏香艳　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 代理人 唐博 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) G06K 9/62(2022.01) (54)发明名称 HTTP隧道检测方法、 装置、 电子设备和存储 介质 (57)摘要 本公开涉及安全技术领域， 提供了一种HTTP 隧道检测方法、 装置、 电子设备和存储介质。 所述 方法包括： 获取第一HTTP流量数据， 将第一HTTP 流量数据输入HTTP隧道检测模型， 获取检测结 果， 检测结果用于指示第一HTTP流量数据为HTTP 隧道采集的， 或者， 用于指示第一HTTP流量数据 为非HTTP隧道采集的； 其中， HTTP隧道检测模型 为基于训练样本训练得到的随机森 林模型， 训练 样本中包括： 多组数据， 每组数据中包括多个筛 选数据以及多个创造数据， 每个筛选数据为目标 白样本的元数据与 目标黑样本的元数据中特征 差异大于或等于差异阈值的一个元数据项， 每个 创造数据为元数据项的至少一个特征参数。 采用 该方式能够使得HTTP隧道 检测模型更加稳定， 且 提高了HTTP隧道检测的准确性。 权利要求书2页 说明书10页 附图5页 CN 114070602 A 2022.02.18 CN 114070602 A 1.一种HT TP隧道检测方法， 其特 征在于， 包括： 获取第一HT TP流量数据； 将所述第一HTTP流量数据输入HTTP隧道检测模型， 获取检测结果， 所述检测结果用于 指示所述第一HTTP流量数据为所述HTTP隧道采集的， 或者， 用于指示所述第一HTTP流量数 据为非所述HT TP隧道采集的； 其中， 所述HTTP隧道检测模型为基于训练样本训练得到的随机森林模型， 所述训练样 本中包括： 多组数据， 每组数据中包括多个筛选数据以及多个创造数据， 每个筛选数据为目 标白样本的元数据与目标黑样本的元数据中特征差异大于或等于差异阈值的一个元数据 项， 每个创造数据为所述元 数据项的至少一个特 征参数。 2.根据权利要求1所述的方法， 其特 征在于， 所述将所述第一HT TP流量数据输入HT TP隧道检测模型之前， 还 包括： 将所述第一HTTP流量数据的域名与白名单中存储 的不是所述HTTP隧道采集的流量数 据的域名进行对比； 所述将所述第一HT TP流量数据输入HT TP隧道检测模型， 包括： 若白名单中不存在所述第一HTTP流量数据的域名， 则将所述第一HTTP流量数据输入 HTTP隧道检测模型。 3.根据权利要求1所述的方法， 其特 征在于， 所述将所述第一HT TP流量数据输入HT TP隧道检测模型之前， 还 包括： 解析所述第一HT TP流量数据以得到会话内容； 所述将所述第一HT TP流量数据输入HT TP隧道检测模型， 包括： 若所述会话 内容不符合HTTP协议规范， 则将所述第一HTTP流量数据输入HTTP隧道检测 模型。 4.根据权利 要求1所述的方法， 其特征在于， 所述将所述第一HTTP流量数据输入HTTP隧 道检测模型之前， 还 包括： 获取原始黑样本， 所述原始黑样本中包括所述HTTP隧道采集的多个第二HTTP流量数 据； 将所述多个第二HTTP流量数据中， 具有相同五元组信息的每个HTTP流量数据重组为一 个会话流， 以得到多个黑样本会话 流； 从每个黑样本会话 流中提取 所述目标黑样本的元 数据； 和/或， 获取原始白样本， 所述原始白样本中包括非所述HTTP隧道采集的多个第三HTTP流量数 据； 将所述多个第三HTTP流量数据中， 具有相同五元组信息的每个HTTP流量数据重组为一 个会话流， 以得到多个白样本会话 流； 从每个白样本会话 流中提取 所述目标白样本的元 数据。 5.根据权利要求4所述的方法， 其特征在于， 从每个黑样本会话流中提取所述目标黑样 本的元数据， 以及从每 个白样本会话 流中提取 所述目标白样本的元 数据之后， 还 包括： 将所述目标黑样本的元数据与所述目标白样本的元数据进行对比， 将特征差异大于或 等于差异阈值的一个元 数据项， 确定为 一个筛选数据。权　利　要　求　书 1/2 页 2 CN 114070602 A 26.根据权利要求4所述的方法， 其特征在于， 从每个黑样本会话流中提取所述目标黑样 本的元数据， 以及从每 个白样本会话 流中提取 所述目标白样本的元 数据之后， 还 包括： 提取所述一个元数据项的至少一个特 征参数， 作为 一个创造数据。 7.根据权利要求5 ‑6任一项所述的方法， 其特 征在于， 包括： 针对目标数据进行特征预处理， 以得到处理后的所述目标数据； 其中， 所述目标数据包 括所述筛 选数据和/或所述创造数据； 所述特征预处理包括以下至少一种处 理： 特征归一化处理； 独热编码处 理； 对缺失值的处 理。 8.一种HT TP隧道检测装置， 其特 征在于， 包括： 第一HTTP流量数据获取模块， 用于获取第一HT TP流量数据； 检测结果获取模块， 用于将所述第一HTTP流量数据输入HTTP隧道检测模型， 获取检测 结果， 所述检测结果用于指示所述第一HTTP流量数据为所述HTTP隧道采集的， 或者， 用于指 示所述第一HT TP流量数据为非所述HT TP隧道采集的； 其中， 所述HTTP隧道检测模型为基于训练样本训练得到的随机森林模型， 所述训练样 本中包括： 多组数据， 每组数据中包括多个筛选数据以及多个创造数据， 每个筛选数据为目 标白样本的元数据与目标黑样本的元数据中特征差异大于或等于差异阈值的一个元数据 项， 每个创造数据为所述元 数据项的至少一个特 征参数。 9.一种电子设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述HTTP隧道检测方法的 步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述HT TP隧道检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114070602 A 3