随着计算机网络的快速发展，设备之间的信息传输变得更加容易和快速，但信息被盗的风险也随之增加。在不同的信息窃取方法中，网络隐蔽通道（NCC）被认为是一种常见的攻击方式。隐蔽通道的概念最早由Lampson在1973年提出[1]，它指的是一种非用于正常通信的通道。在这种攻击中，秘密信息被嵌入到正常流量中，因此传统安全工具可能会被绕过，这对网络安全构成了严重威胁。

随着网络技术的发展，Girling将NCC定义为一种违反网络安全规则并威胁系统安全的通信形式[2]。Singh等人进一步指出，NCC可用于隐藏攻击者的身份、远程控制多个客户端、发起DDoS攻击或在目标主机上安装恶意软件[3]。尽管网络通信受到防火墙等安全工具的监控，但NCC嵌入的信息与正常通信协议的设计不匹配，因此传统工具很难检测到它。从可控通信资源的角度来看，NCC通常分为两种类型：隐蔽存储通道和隐蔽时间通道。在隐蔽存储通道（CSC）[4]中，比特通过可写资源（如协议头部字段、冗余有效载荷比特或可选参数）进行传输；因此，痕迹通常表现为异常的字段分布、不一致的协议语义或偏移的统计特征，检测通常基于内容/字段一致性检查和协议合规性检查。相比之下，隐蔽时间通道（CTC）[5]通过调制数据包时间（例如数据包间延迟（IPD）、突发模式或局部抖动模式）来传输信息，而不改变数据包内容，因此有效载荷和头部看起来是合法的，基于内容或字段规则的检测方法更容易被规避。

目前，CTC检测方法可以分为三类：统计异常分析、机器学习和深度学习。统计异常分析易于实现，使用基本统计指标描述流量行为；然而，通常需要较大的检测窗口，且灵敏度可能有限。在机器学习方法中，使用多个特征和更大的数据集训练分类器，因此可以更可靠地区分隐蔽流量和正常流量。例如，决策树[6]和随机森林[7]可以更准确地识别异常模式，但通常需要大量的训练时间和计算资源。在深度学习方法中，神经网络模型被训练从数据中学习复杂特征，在许多情况下可以实现更好的检测性能。例如，Li等人提出的GAS方法[8]结合了长短期记忆网络（LSTM）和N-gram算法，有效预测了短期流量行为。此外，Darwish等人提出了基于DNN的方法并进行层次统计分析[9]，Al-Eidi等人提出了基于图像处理的SnapCatch方法[10]，这两种方法都报告了良好的检测结果。

最近，Zillien等人提出了一种新的隐蔽通道$?$-$\kappa$libur[11]。在这种通道中，通过引入IPD的模糊性和异常值来破坏原始的时间模式，从而降低现有深度学习检测器的性能。尽管隐蔽流量通常表现出明显的短期变化模式，但此类细粒度特征在之前的研究中尚未得到充分研究。为了解决这个问题，本文提出了一种四阶段指纹级联方法QuadFP-Cascade。通过多尺度指纹提取捕获短期IPD变化，使用GNN细化相似性估计，并应用双阈值级联分类策略，从而实现对不同隐蔽流量的更好泛化能力和在小样本设置中的更高灵敏度。

本文的主要贡献总结如下。

本文的其余部分组织如下。第2节回顾了隐蔽通道检测的相关工作。第3节详细描述了提出的QuadFP-Cascade方法。第4节报告了在公共数据集上的实验结果和性能分析。第5节总结了本文并讨论了未来的工作。