基于特征融合的DoH恶意隧道流量检测方法及系统

本发明涉及网络空间安全技术领域，提出了基于特征融合的DoH恶意隧道流量检测方法及系统，包括：对获取的待检测DoH流量数据进行预处理，进行序列切分处理得到Token序列，并基于字节序列特征提取器提取特征；提取统计特征并进行标准化，并通过统计特征提取子网络提取特征，得到统计特征向量；将字节序列特征向量与统计特征向量融合，得到分类结果；所述字节序列特征提取器与统计特征提取子网络提取特征，针对无标签训练样本采用动态伪标签筛选的半监督学习框架进行训练。该方法融合多模态特征，并引入半监督学习机制，在有限标注数据集下有效识别由多种DNS隧道工具生成的恶意DoH流量，提升检测精度与泛化能力。