CN112003870B - 一种基于深度学习的网络加密流量识别方法及装置 - Google Patents
一种基于深度学习的网络加密流量识别方法及装置 Download PDFInfo
- Publication number
- CN112003870B CN112003870B CN202010886949.1A CN202010886949A CN112003870B CN 112003870 B CN112003870 B CN 112003870B CN 202010886949 A CN202010886949 A CN 202010886949A CN 112003870 B CN112003870 B CN 112003870B
- Authority
- CN
- China
- Prior art keywords
- network
- dimensional data
- communication
- information
- data matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种基于深度学习的网络加密流量识别方法及装置,涉及网络安全技术领域,可以提高网络加密流量识别的准确率和效率。包括:获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息;然后根据报文信息,构建报文二维数据矩阵,并根据通信行为信息,构建行为二维数据矩阵。再将报文二维数据矩阵和行为二维数据矩阵输入网络流量识别模型,确定待识别网络流量的协议类型。其中,网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,样本二维数据矩阵包括样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种基于深度学习的网络加密流量识别方法及装置。
背景技术
随着第五代移动通信(5th generation mobile networks,5G)技术、物联网、工业互联网等新型网络技术的快速发展以及应用场景的多样化趋势,网络终端的形式更加多元化、数量呈现指数级增长。由恶意设备发起的远程控制、信息窃取、拒绝服务等网络攻击一旦成功入侵网络,将对网络终端的用户信息安全构成重大威胁,因此,网络终端面临的网络安全风险日益凸显。
当前绝大多数网络攻击需要通过网络通信来达到其恶意目的,如果可以准确地识别出由网络攻击行为产生的网络流量的协议类型,进而根据协议类型判断网络流量是否为网络攻击,则可以确定被攻击的目标系统和设备,从而实施有效的应对措施。
近年来,加密网络协议在多个重点行业广泛应用,而网络攻击也越来越多的采用加密恶意流量伪装成正常网络流量的手段进行通信。现有的网络监测分析手段比如端口识别、深度包检测等,仅能识别采用主流公开网络协议的网络流量是否异常,且无法有效地检测出恶意的加密网络流量。且现有的基于统计特征的方法,如机器学习,通过将网络流量特征输入机器学习模型,由模型输出识别结果,虽然这种方法不依赖数据包有效载荷的解析,但是输入模型的网络流量特征需要人工提取,需要耗费大量的人力资源,导致识别效率低且准确度低。
发明内容
本发明实施例的目的在于提供一种基于深度学习的网络加密流量识别方法及装置,以提高网络加密流量识别的准确率和效率。具体技术方案如下:
第一方面,本发明实施例提供了一种基于深度学习的网络加密流量识别方法,所述方法包括:
获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,所述待识别网络流量为一个加密网络会话通信阶段产生的网络流量;
根据所述报文信息,构建报文二维数据矩阵,并根据所述通信行为信息,构建行为二维数据矩阵;
将所述报文二维数据矩阵和所述行为二维数据矩阵输入预先构建的网络流量识别模型,确定所述待识别网络流量的协议类型;
其中,所述网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及所述样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,所述样本二维数据矩阵包括所述样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
可选的,所述网络流量识别模型包括:第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和输出层;所述网络流量识别模型通过以下步骤识别所述待识别网络流量的协议类型:
所述第一卷积层利用二维卷积核对所述报文二维数据矩阵进行卷积,得到第一特征图;
所述第一池化层对所述第一特征图进行降维处理,得到第二特征图;
所述第二卷积层利用二维卷积核对所述行为二维数据矩阵进行卷积,得到第三特征图;
所述第二池化层对所述第三特征图进行降维处理,得到第四特征图;
所述全连接层对所述第二特征图和所述第四特征图进行整合,得到第五特征图;
所述输出层利用预设的分类算法对所述第五特征图进行计算,获得并输出所述待识别网络流量为各协议类型的概率。
可选的,所述获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,包括:
基于在预设网络节点上旁路部署的探针,采集所述待识别网络流量内属于通信建立阶段的前预设数量个数据包;
获取采集的各数据包的报文信息和通信行为信息。
可选的,所述报文信息包括:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;
所述通信行为信息包括以下信息中的至少一种:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值。
可选的,所述根据所述报文信息,构建报文二维数据矩阵,包括:
针对所述预设数量的每个数据包,提取该数据包的第一预设长度的报文信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的指定长度的报文信息组成所述报文二维数据矩阵。
可选的,所述根据所述通信行为信息,构建行为二维数据矩阵,包括:
针对所述预设数量的每个数据包,提取该数据包的通信行为信息中的指定信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的通信行为信息中的指定信息组成所述行为二维数据矩阵。
第二方面,本发明实施例提供了一种基于深度学习的网络加密流量识别装置,所述装置包括:
数据采集模块,用于获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,所述待识别网络流量为一个加密网络会话通信阶段产生的网络流量;
数据预处理模块,用于根据所述获得数据采集获得的所述报文信息,构建报文二维数据矩阵,并根据所述数据采集模块获得的所述通信行为信息,构建行为二维数据矩阵;
流量识别模块,用于将所述数据预处理模块构建的所述报文二维数据矩阵和所述行为二维数据矩阵输入预先构建的网络流量识别模型,确定所述待识别网络流量的协议类型;
其中,所述网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及所述样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,所述样本二维数据矩阵包括所述样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
可选的,所述网络流量识别模型包括:第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和输出层;所述流量识别模块,具体用于:
所述第一卷积层利用二维卷积核对所述报文二维数据矩阵进行卷积,得到第一特征图;
所述第一池化层对所述第一特征图进行降维处理,得到第二特征图;
所述第二卷积层利用二维卷积核对所述行为二维数据矩阵进行卷积,得到第三特征图;
所述第二池化层对所述第三特征图进行降维处理,得到第四特征图;
所述全连接层对所述第二特征图和所述第四特征图进行整合,得到第五特征图;
所述输出层利用预设的分类算法对所述第五特征图进行计算,获得并输出所述待识别网络流量为各协议类型的概率。
可选的,所述数据采集模块,具体用于:
基于在预设网络节点上旁路部署的探针,采集所述待识别网络流量内属于通信建立阶段的前预设数量个数据包;
获取采集的各数据包的报文信息和通信行为信息。
可选的,所述报文信息包括:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;
所述通信行为信息包括以下信息中的至少一种:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值。
可选的,所述数据预处理模块,具体用于:
针对所述预设数量的每个数据包,提取该数据包的第一预设长度的报文信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的指定长度的报文信息组成所述报文二维数据矩阵。
可选的,所述数据预处理模块,具体用于:
针对所述预设数量的每个数据包,提取该数据包的通信行为信息中的指定信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的通信行为信息中的指定信息组成所述行为二维数据矩阵。
第三方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一基于深度学习的网络加密流量识别方法的步骤。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一基于深度学习的网络加密流量识别方法的步骤。
第五方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一基于深度学习的网络加密流量识别方法。
本发明实施例的技术方案至少可以带来以下有益效果:由于待识别网络流量是加密网络会话通信阶段产生的网络流量,而且本发明实施例可以对待识别网络流量的协议类型进行识别,因此本发明实施例可以获得网络加密流量的识别结果。而且,由于本发明实施例中输入模型的信息是报文二维数据矩阵和行为二维数据矩阵,能够同时体现网络流量的报文信息以及通信行为信息,更加适应网络流量数据的结构形式。以同一加密会话对应的样本报文二维数据矩阵和样本行为二维数据矩阵作为模型的训练数据,进行深度学习训练,从而得到网络流量识别模型。网络流量识别模型的输入数据可以自动化确定,不需要人工提取,可以自动学习并提取加密协议报文特征、通信行为特征,克服了现有方法只能人工地提取报文或行为单一维度特征的缺点,特征获取更加全面,因此提高了网络加密流量识别的准确率和效率。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的一种基于深度学习的网络加密流量识别方法的流程图;
图2为本发明实施例提供的一种网络流量识别模型的结构示意图;
图3为本发明实施例提供的另一种网络流量识别模型的结构示意图;
图4为本发明实施例提供的另一种网络流量识别模型的结构示意图;
图5为本发明实施例提供的另一种网络流量识别模型的结构示意图;
图6为本发明实施例提供的另一种网络流量识别模型的结构示意图;
图7为本发明实施例提供的一种基于深度学习的网络加密流量识别装置的结构示意图;
图8为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高网络加密流量识别的准确率和效率,本发明实施例提供了一种基于深度学习的网络加密流量识别方法,该方法可以应用于电子设备,其中电子设备可以是手机、计算机、平板电脑等具备数据处理能力的设备。如图1所示,该方法包括如下步骤。
步骤101,获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息。
其中,待识别网络流量为一个加密网络会话通信阶段产生的网络流量。本发明实施例中以会话为单位对网络加密流量进行切分,得到待识别网络流量。
一种实施方式中,可以基于在预设网络节点上旁路部署的探针,采集待识别网络流量内属于通信建立阶段的前预设数量个数据包,然后获取采集的各数据包的报文信息和通信行为信息。
可选的,数据采集探针可以以分光或分流方式旁路采集网络加密流量,并以会话为单位对网络加密流量进行划分,获得各个会话对应的网络加密流量内数据包的报文信息,并监测各个会话对应的网络加密流量内数据包的通信行为信息。然后探针将获得的数据包的报文信息以pcap格式的文件形式存储至数据库中,一个pcap格式的文件对应一个会话的数据包集合。并将所获得的上述数据包的通信行为信息以日志形式存储至数据库中。其中,探针可以在不影响网络的网络流量传输与业务应用的情况下采集网络加密流量,同时具备网络的全方位数据采集能力。
获取信息时,可以从数据库中读取pcap格式的文件,提取前预设数量个数据包的有效载荷,得到报文信息,并读取待识别网络流量所属的会话对应的日志,得到通信行为信息。其中,报文信息属于数据包的有效载荷。
具体的,一个加密网络会话通信阶段可以分为两个阶段:第一阶段是建立连接的明文通信阶段,第一阶段又可称为通信建立阶段,包括握手、认证和密钥交换,在第一阶段中会产生会话密钥;第二阶段采用第一阶段产生的密钥加密传输数据。
因此,本发明实施例中网络加密流量是指加密网络会话通信阶段中,第一阶段产生的未经过加密的网络流量以及第二阶段产生的加密传输网络流量。
示例性的,上述预设数量可以为6。当在第一阶段中所产生的网络加密流量的数据包的数量小于预设数量时,可以新增若干个数值为0的数据包,直至补齐后数据包的数量等于预设数量。
步骤102,根据报文信息,构建报文二维数据矩阵,并根据通信行为信息,构建行为二维数据矩阵。
一种实施方式中,可以针对预设数量的每个数据包,提取该数据包的第一预设长度的报文信息;然后按照预设数量的各数据包的排列顺序,将各数据包的指定长度的报文信息组成报文二维数据矩阵。
可选的,通过r个数据包,构建m*m的行为二维数据矩阵的方式包括:针对每个数据包,按照顺序提取该数据包的报文信息的前m*k个字节,其中,k<m,且m=k*r。若数据包的报文信息不足m*k个字节,则对报文信息进行进行补零。将第一个数据包对应的m*k个字节分别填充行为二维矩阵的1至k列,第二个数据包对应的m*k个字节分别填充行为二维矩阵的k+1至2k列,以此类推,第r个数据包对应的m*k个字节分别填充行为二维矩阵的m-k+1至m列。
在本发明实施例中,m的值可以根据实际需要设置,例如,m=42。假设r为6,第一预设长度为294,42*42的行为二维数据矩阵可以通过如下方法构造:针对每个数据包,提取该数据包的报文信息的前294个字节,若数据包的报文信息不足294个字节,则对报文信息进行进行补零。将第一个数据包对应的294个字节分别填充行为二维矩阵的1至7列,第二个数据包对应的294个字节分别填充行为二维矩阵的8至14列,以此类推,第六个数据包对应的294个字节分别填充行为二维矩阵的36至42列。
一种实施方式中,可以针对预设数量的每个数据包,提取该数据包的通信行为信息中的指定信息;然后按照预设数量的各数据包的排列顺序,将各数据包的通信行为信息中的指定信息组成行为二维数据矩阵。
可选的,指定信息可以是:统计信息、数据包长度、相邻数据包的时间戳差值和数据包序列信息,其中,统计信息可以包括会话通信端口、会话内数据包总数量、数据包方向、会话通信时长等;序列信息可以是序列号。构建n*n的报文二维矩阵为:矩阵的前i列对应r个数据包的长度,矩阵的第i+1至第i+j列对应r个数据包中相邻数据包的时间戳差值,矩阵的第i+j+1至第i+j+l列对应r个数据包的序列信息,矩阵的第i+j+l+1至第n列对应r个数据包的统计信息。其中,i,j,l,i+j+l<n。
在本发明实施例中,n的值可以根据实际需要设置,例如,n=36。假设r为6,36*36的行为二维数据矩阵为:矩阵的第1至第6列对应前6个数据包的长度;矩阵的第8至第14列对应前6个数据包中相邻数据包的时间戳差值;第15至第21列对应前6个数据包的序列信息;矩阵的第22至第36列对应前6个数据包的统计信息。
步骤103,将报文二维数据矩阵和行为二维数据矩阵输入预先构建的网络流量识别模型,确定待识别网络流量的协议类型。
其中,网络流量识别模型为经过多个样本网络流量的样本二维数据矩阵以及样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,样本二维数据矩阵包括样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
可选的,上述深度学习网络可以包括:卷积神经网络(Convolutional neuralnetworks,CNN)、循环神经网络(Recurrent neural networks,RNN)、长短期记忆网络(Long/short term memory,LSTM)等。
一种实施方式中,可以将报文二维数据矩阵和行为二维数据矩阵输入预先构建的网络流量识别模型,然后获取网络流量识别模型输出的待识别网络流量为各协议类型的概率,将概率最大的协议类型,确定为待识别网络流量的协议类型。
可选的,在输入网络流量识别模型之前,还可以对报文二维数据矩阵和行为二维数据矩阵分别进行预处理,再将预处理之后的报文二维数据矩阵和行为二维数据矩阵输入网络流量识别模型。例如,预处理可以是对二维数据矩阵进行归一化。
本发明实施例的技术方案至少可以带来以下有益效果:由于待识别网络流量是加密网络会话通信阶段产生的网络流量,而且本发明实施例可以对待识别网络流量的协议类型进行识别,因此本发明实施例可以获得网络加密流量的识别结果。而且,由于本发明实施例中输入模型的信息是报文二维数据矩阵和行为二维数据矩阵,能够同时体现网络流量的报文信息以及通信行为信息,更加适应网络流量数据的结构形式。以同一加密会话对应的样本报文二维数据矩阵和样本行为二维数据矩阵作为模型的训练数据,进行深度学习训练,从而得到网络流量识别模型。网络流量识别模型的输入数据可以自动化确定,不需要人工提取,可以自动学习并提取加密协议报文特征、通信行为特征,克服了现有方法只能人工地提取报文或行为单一维度特征的缺点,特征获取更加全面,因此提高了网络加密流量识别的准确率和效率。
在本发明实施例中,在上述步骤101获取信息之前,还可以获得各个会话对应的网络加密流量,对所获得的网络加密流量内数据包的报文信息进行解析,判断是否记录网络加密流量的协议类型,将未记录协议类型的网络流量作为待识别网络流量,采用本发明实施例提供的方案对待识别网络流量的协议类型进行识别。
在本发明实施例中,报文信息包括:待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;通信行为信息包括以下信息中的至少一种:待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值。
其中,数据包时间戳可以是数据包的发出时刻,相邻数据包的时间戳差值可以是:从第二个数据包开始,每个数据包的发出时刻与本会话内上一个数据包的发出时刻之间的差值。
上述数据包的报文信息可以理解为反映数据包中的内容的信息,也就是反映数据包在通信过程中静态特征的信息。例如,上述报文信息可以包括数据包的字段值、数据包的包头信息等。
上述数据包的通信行为信息可以理解为与通信过程相关的数据包的属性信息,也就是反映数据包在通信过程中动态特征的信息。
本发明实施例的技术方案还可以带来以下有益效果:由于在一个会话内网络加密流量的协议类型是确定的,在不同会话内网络加密流量的协议类型可能是不同的。又由于网络加密流量内数据包的报文信息和通信行为信息能够充分反映网络加密流量的协议类型。因此,可以获得待识别网络流量内数据包的报文信息和通信行为信息,从而更准确地对待识别网络流量进行识别。
在本发明实施例中,上述步骤103中的网络流量识别模型可以是基于卷积神经网络的模型,基于此,参见图2,网络流量识别模型可以包括:第一卷积层201、第一池化层202、第二卷积层203、第二池化层204、全连接层205和输出层206。步骤103中网络流量识别模型可以通过以下步骤识别待识别网络流量的协议类型:
步骤一,第一卷积层201利用二维卷积核对报文二维数据矩阵进行卷积,得到第一特征图。
可以理解的,卷积层可以提取输入数据的特征。
步骤二,第一池化层202对第一特征图进行降维处理,得到第二特征图。
可以理解的,池化层能够对特征图进行降维,减少训练参数。
步骤三,第二卷积层203利用二维卷积核对行为二维数据矩阵进行卷积,得到第三特征图。
可选的,第一卷积层201和第二卷积层203可以共享权值参数。
步骤四,第二池化层204对第三特征图进行降维处理,得到第四特征图。
可选的,第一池化层202和第二池化层204可以共享权值参数。
步骤五,全连接层205对第二特征图和第四特征图进行整合,得到第五特征图。
可以理解的,全连接层将两个池化层的输出的特征图像关联,映射到类别维度的大小。
步骤六,输出层206利用预设的分类算法对第五特征图进行计算,获得并输出待识别网络流量为各协议类型的概率。
一种实施方式中,输出层可以采用分类算法,例如分类算法可以是逻辑回归(Softmax)算法,将模型的输出归一化得到待识别网络流量为各协议类型的概率。
本发明实施例的技术方案还可以带来以下有益效果:网络流量识别模型结合报文的静态特征(报文信息)和动态特征(通信行为信息),识别网络流量的协议类型,提高了模型识别的准确度。
在本发明实施例中,网络流量识别模型的结构不限于图2所示的结构,网络流量识别模型的结构可以根据实际需求确定,本发明实施例不对网络流量识别模型包括的网络层类型和数量作具体限定。以下给出其他结构的网络流量识别模型的示例。
可选的,网络流量识别模型中处理报文信息的卷积层+池化层的组合可以有多个,处理通信行为信息的卷积层+池化层的组合也可以有多个,使得卷积层+池化层的组合可以交替传递提取局部最优特征。例如,如图3所示,卷积层+池化层的组合有四个,分别为:第一卷积层301与第一池化层302、第三卷积层305和第三池化层306、第二卷积层303和第二池化层304、第四卷积层307和第四池化层308。相应的,网络流量识别模型还包括全连接层309和输出层310。
可选的,网络流量识别模型中的全连接层可以有多个,使得卷积层和池化层识别的特征的关联更为紧密。例如,如图4所示,网络流量识别模型中包括三个全连接层,第一全连接层405可以关联第一池化层402中识别的特征,第二全连接层406可以关联第二池化层404中识别的特征,第三全连接层407可以关联第一全连接层405和第二全连接层406关联的特征,最后将关联的特征经由输出层408输出。
可选的,如图5所示,网络流量识别模型中的全连接层可以连接各卷积层和池化层,以更大程度地保留各网络层的识别结果。
除了基于卷积神经网络以外,本发明实施例中的网络流量识别模型还可以基于其他神经网络,本发明实施例对此不作具体限定。
例如,在一种可能的实施方式中,上述步骤103中的网络流量识别模型可以是基于U-网络(U-net)的模型。基于此,参见图6,网络流量识别模型可以包括:第一卷积层601、第一池化层602、第二卷积层603、第二池化层604、全连接层605、第三卷积层606、第四卷积层607、第一反卷积层608、第二反卷积层609和输出层610。
其中,将报文二维数据矩阵输入第一卷积层,并将行为二维数据矩阵输入第二卷积层,然后第一池化层对第一卷积层的卷积结果进行池化,第二池化层对第二卷积层的卷积结果进行池化。全连接层将第一池化层和第二池化层的池化结果进行关联。第三卷积层对全连接层的关联结果进行卷积,第四卷积层对第三卷积层的卷积结果进行卷积,第一反卷积层对第四卷积层的卷积结果进行反卷积,第二反卷积层对第一反卷积层的反卷积结果进行反卷积,输出层对第二反卷积层的反卷积结果进行分类及归一化,得到输入的网络流量为各协议类型的概率。
其中,第三卷积层还可以与第二反卷积层跳跃连接(skip connection),即第二反卷积层可以结合第三卷积层的卷积结果与第一反卷积层的反卷积结果,并进行反卷积。图3中的虚线箭头表示skip connection。
本发明实施例的技术方案还可以带来以下有益效果:网络流量识别模型包括的各网络层可以通过直接连接和跳跃连接的方式传递处理结果,使得模型识别过程中能够更大程度的保留各网络层的识别结果,减少特征丢失的情况。
在本发明实施例中,网络流量识别模型的训练方法可以包括以下步骤。
步骤1,获取样本网络流量的样本二维数据矩阵以及样本网络流量对应的协议类型标签。其中,每个样本二维数据矩阵包括一个样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
一种实施方式中,可以对数据采集探针采集的网络流量以会话为单位进行划分,分为已知协议类型的会话和未知协议类型的会话。已知协议类型的会话为存在协议类型标签的会话,未知协议类型的会话为不存在协议类型标签的会话。将存在协议类型标签的会话中的网络流量分为两部分,其中一部分作为样本网络流量,用于训练神经网络,另一部分作为测试网络流量,用于测试训练后得到的模型的识别准确度。
可选的,协议类型标签可以是人工添加的,也可以是通过其他方式自动添加的。
步骤2,对每组样本报文二维数据矩阵和样本行为二维数据矩阵进行预处理。其中,一组样本报文二维数据矩阵和样本行为二维数据矩阵为同一个样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
一种实施方式中,预处理可以包括对二维数据矩阵进行归一化处理。
步骤3,将同一组预处理后的样本报文二维数据矩阵和样本行为二维数据矩阵,同时输入深度学习网络,并获得深度学习网络的输出结果。
步骤4,基于深度学习网络的输出结果以及输入的二维数据矩阵对应的样本网络流量的协议类型标签,计算损失函数值。
步骤5,基于损失函数值,确定深度学习网络是否收敛。若是,则得到初始模型;若否,则基于损失函数值,采用梯度下降等方法调整深度学习网络的权值参数,并返回步骤2。
一种实施方式中,若本次计算的损失函数值与上一次计算的损失函数值之间的差值小于预设差值,则确定深度学习网络收敛。若本次计算的损失函数值与上一次计算的损失函数值之间的差值不小于预设差值,则确定深度学习网络未收敛。
另一种实施方式中,若本次计算的损失函数值小于预设数值,则确定深度学习网络收敛。本次计算的损失函数值不小于预设数值,则确定深度学习网络未收敛。
步骤6,将测试网络流量的测试二维数据矩阵输入初始模型,确定初始模型的输出结果与测试二维数据矩阵对应的协议类型标签之间的相似度是否大于预设相似度。若否,则基于损失函数值,采用梯度下降等方法调整初始模型的权重,并返回步骤2。若是,则保存当前初始模型的权值参数,得到网络流量识别模型。
其中,每个测试二维数据矩阵包括一个测试网络流量对应的测试报文二维数据矩阵和测试行为二维数据矩阵。
本发明实施例的技术方案还可以带来以下有益效果:以预处理后同一加密会话对应的样本报文二维数据矩阵和样本行为二维数据矩阵分别作为两个并列卷积+池化层的输入数据,通过局部感知和权值共享,深度学习待识别的网络流量的静态特征和动态行为特征,在训练时自主学习模型的权值参数,能够达到更准确的识别结果。
在本发明实施例中,在上述步骤103之后,还可以基于黑白灰名单机制,对网络流量进行分类。其中,预设的白名单中包括可信网络流量的协议类型,预设的黑名单中包括不可信网络流量的协议类型,例如攻击或异常网络流量的协议类型,灰名单中包括既不属于白名单也不属于黑名单的协议类型。
可选的,具体分类方式包括:
步骤(1),若待识别网络流量的协议类型为白名单中的类型,则确定待识别网络流量为可信网络流量。
步骤(2),若待识别网络流量的协议类型为预设的黑名单中的类型,则确定待识别网络流量为不可信网络流量。
步骤(3),若待识别网络流量的协议类型既不是白名单中的类型,也不是黑名单中的类型,则确定待识别网络流量为未知网络流量。
本发明实施例的技术方案还可以带来以下有益效果:由于本发明实施例提供的方案是对待识别网络流量的协议类型进行识别,当黑客利用网络加密流量发起网络攻击时,上述待识别网络流量可能会被修改为包含有恶意攻击代码的网络加密流量。因此,采用本发明实施例提供的方案能够识别包含有恶意攻击代码的网络加密流量的协议类型。另外,异常/恶意网络加密流量通常是基于异常协议进行数据传输的,当识别到协议类型为异常协议类型时,可以认为所识别的网络流量为异常/恶意网络加密流量,因此,采用本发明实施例提供的方案能够识别异常/恶意网络加密流量,使得本发明实施例的应用范围更广。
基于相同的发明构思,对应于上述方法实施例,本发明实施例提供了一种基于深度学习的网络加密流量识别装置,如图7所示,该装置包括:数据采集模块701、数据预处理模块702和流量识别模块703;
数据采集模块701,用于获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,待识别网络流量为一个加密网络会话通信阶段产生的网络流量;
数据预处理模块702,用于根据数据采集模块701获得的报文信息,构建报文二维数据矩阵,并根据数据采集模块701获得的通信行为信息,构建行为二维数据矩阵;
流量识别模块703,用于将数据预处理模块702构建的报文二维数据矩阵和行为二维数据矩阵输入预先构建的网络流量识别模型,确定待识别网络流量的协议类型;
其中,网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,样本二维数据矩阵包括样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
可选的,网络流量识别模型包括:第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和输出层;流量识别模块703,具体用于:
第一卷积层利用二维卷积核对报文二维数据矩阵进行卷积,得到第一特征图;
第一池化层对第一特征图进行降维处理,得到第二特征图;
第二卷积层利用二维卷积核对行为二维数据矩阵进行卷积,得到第三特征图;
第二池化层对第三特征图进行降维处理,得到第四特征图;
全连接层对第二特征图和第四特征图进行整合,得到第五特征图;
输出层利用预设的分类算法对第五特征图进行计算,获得并输出待识别网络流量为各协议类型的概率。
可选的,数据采集模块701,具体用于:
基于在预设网络节点上旁路部署的探针,采集待识别网络流量内属于通信建立阶段的前预设数量个数据包;
获取采集的各数据包的报文信息和通信行为信息。
可选的,报文信息包括:待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;
通信行为信息包括以下信息中的至少一种:待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值。
可选的,数据预处理模块702,具体用于:
针对预设数量的每个数据包,提取该数据包的第一预设长度的报文信息;
按照预设数量的各数据包的排列顺序,将各数据包的指定长度的报文信息组成报文二维数据矩阵。
可选的,数据预处理模块702,具体用于:
针对预设数量的每个数据包,提取该数据包的通信行为信息中的指定信息;
按照预设数量的各数据包的排列顺序,将各数据包的通信行为信息中的指定信息组成行为二维数据矩阵。
本发明实施例还提供了一种电子设备,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现上述方法实施例中的方法步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一基于深度学习的网络加密流量识别方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一基于深度学习的网络加密流量识别方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种基于深度学习的网络加密流量识别方法,其特征在于,所述方法包括:
获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,所述待识别网络流量为一个加密网络会话通信阶段产生的网络流量;所述报文信息包括:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;所述通信行为信息包括以下信息中的至少一种:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值;
根据所述报文信息,构建报文二维数据矩阵,并根据所述通信行为信息,构建行为二维数据矩阵;
将所述报文二维数据矩阵和所述行为二维数据矩阵输入预先构建的网络流量识别模型,确定所述待识别网络流量的协议类型;
其中,所述网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及所述样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,所述样本二维数据矩阵包括所述样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
2.根据权利要求1所述的方法,其特征在于,所述网络流量识别模型包括:第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和输出层;所述网络流量识别模型通过以下步骤识别所述待识别网络流量的协议类型:
所述第一卷积层利用二维卷积核对所述报文二维数据矩阵进行卷积,得到第一特征图;
所述第一池化层对所述第一特征图进行降维处理,得到第二特征图;
所述第二卷积层利用二维卷积核对所述行为二维数据矩阵进行卷积,得到第三特征图;
所述第二池化层对所述第三特征图进行降维处理,得到第四特征图;
所述全连接层对所述第二特征图和所述第四特征图进行整合,得到第五特征图;
所述输出层利用预设的分类算法对所述第五特征图进行计算,获得并输出所述待识别网络流量为各协议类型的概率。
3.根据权利要求1所述的方法,其特征在于,所述获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,包括:
基于在预设网络节点上旁路部署的探针,采集所述待识别网络流量内属于通信建立阶段的前预设数量个数据包;
获取采集的各数据包的报文信息和通信行为信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述报文信息,构建报文二维数据矩阵,包括:
针对所述预设数量的每个数据包,提取该数据包的第一预设长度的报文信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的指定长度的报文信息组成所述报文二维数据矩阵。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述通信行为信息,构建行为二维数据矩阵,包括:
针对所述预设数量的每个数据包,提取该数据包的通信行为信息中的指定信息;
按照所述预设数量的各数据包的排列顺序,将所述各数据包的通信行为信息中的指定信息组成所述行为二维数据矩阵。
6.一种基于深度学习的网络加密流量识别装置,其特征在于,所述装置包括:
数据采集模块,用于获得待识别网络流量内属于通信建立阶段的前预设数量个数据包的报文信息和通信行为信息,所述待识别网络流量为一个加密网络会话通信阶段产生的网络流量;所述报文信息包括:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的原始报文;所述通信行为信息包括以下信息中的至少一种:所述待识别网络流量内属于通信建立阶段的前预设数量个数据包的统计信息、数据包序列信息、数据包长度、数据包时间戳以及相邻数据包的时间戳差值;
数据预处理模块,用于根据所述数据采集模块获得的所述报文信息,构建报文二维数据矩阵,并根据所述数据采集模块获得的所述通信行为信息,构建行为二维数据矩阵;
流量识别模块,用于将所述数据预处理模块构建的所述报文二维数据矩阵和所述行为二维数据矩阵输入预先构建的网络流量识别模型,确定所述待识别网络流量的协议类型;
其中,所述网络流量识别模型为经过样本网络流量的样本二维数据矩阵以及所述样本网络流量对应的协议类型标签,对深度学习网络进行训练后得到的模型,所述样本二维数据矩阵包括所述样本网络流量对应的样本报文二维数据矩阵和样本行为二维数据矩阵。
7.根据权利要求6所述的装置,其特征在于,所述网络流量识别模型包括:第一卷积层、第一池化层、第二卷积层、第二池化层、全连接层和输出层;所述流量识别模块,具体用于:
所述第一卷积层利用二维卷积核对所述报文二维数据矩阵进行卷积,得到第一特征图;
所述第一池化层对所述第一特征图进行降维处理,得到第二特征图;
所述第二卷积层利用二维卷积核对所述行为二维数据矩阵进行卷积,得到第三特征图;
所述第二池化层对所述第三特征图进行降维处理,得到第四特征图;
所述全连接层对所述第二特征图和所述第四特征图进行整合,得到第五特征图;
所述输出层利用预设的分类算法对所述第五特征图进行计算,获得并输出所述待识别网络流量为各协议类型的概率。
8.根据权利要求6所述的装置,其特征在于,所述数据采集模块,具体用于:
基于在预设网络节点上旁路部署的探针,采集所述待识别网络流量内属于通信建立阶段的前预设数量个数据包;
获取采集的各数据包的报文信息和通信行为信息。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886949.1A CN112003870B (zh) | 2020-08-28 | 2020-08-28 | 一种基于深度学习的网络加密流量识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886949.1A CN112003870B (zh) | 2020-08-28 | 2020-08-28 | 一种基于深度学习的网络加密流量识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112003870A CN112003870A (zh) | 2020-11-27 |
| CN112003870B true CN112003870B (zh) | 2022-10-14 |
Family
ID=73465395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010886949.1A Active CN112003870B (zh) | 2020-08-28 | 2020-08-28 | 一种基于深度学习的网络加密流量识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112003870B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114765634B (zh) * | 2021-01-13 | 2023-12-12 | 腾讯科技(深圳)有限公司 | 网络协议识别方法、装置、电子设备及可读存储介质 |
| CN113194068A (zh) * | 2021-03-30 | 2021-07-30 | 北京六方云信息技术有限公司 | 基于卷积神经网络的恶意加密流量检测方法及装置 |
| CN113114691B (zh) * | 2021-04-15 | 2022-02-22 | 西安交通大学 | 一种网络入侵检测方法、系统、设备和可读存储介质 |
| CN113177209B (zh) * | 2021-04-19 | 2023-02-10 | 北京邮电大学 | 基于深度学习的加密流量分类方法及相关设备 |
| CN113114541B (zh) * | 2021-06-15 | 2021-09-14 | 上海兴容信息技术有限公司 | 一种判断网络节点之间能否建立网络连接的方法和系统 |
| CN113408707A (zh) * | 2021-07-05 | 2021-09-17 | 哈尔滨理工大学 | 一种基于深度学习的网络加密流量识别方法 |
| CN113949653B (zh) * | 2021-10-18 | 2023-07-07 | 中铁二院工程集团有限责任公司 | 一种基于深度学习的加密协议识别方法及系统 |
| US20230133720A1 (en) * | 2021-10-29 | 2023-05-04 | Nokia Solutions And Networks Oy | Encryption segments for security in communication networks |
| CN114221992A (zh) * | 2021-11-12 | 2022-03-22 | 国网山西省电力公司电力科学研究院 | 一种基于跨层指纹的细粒度设备识别方法 |
| CN114301850B (zh) * | 2021-12-03 | 2024-03-15 | 成都中科微信息技术研究院有限公司 | 一种基于生成对抗网络与模型压缩的军用通信加密流量识别方法 |
| CN114401229B (zh) * | 2021-12-31 | 2023-09-19 | 北京理工大学 | 一种基于Transformer深度学习模型的加密流量识别方法 |
| CN114422623B (zh) * | 2022-01-17 | 2022-11-18 | 山西省信息通信网络技术保障中心 | 一种基于指令序列的车联网异常流量识别方法及装置 |
| CN114726802A (zh) * | 2022-03-31 | 2022-07-08 | 山东省计算中心(国家超级计算济南中心) | 一种基于不同数据维度的网络流量识别方法及装置 |
| CN114978585B (zh) * | 2022-04-12 | 2024-02-27 | 国家计算机网络与信息安全管理中心 | 基于流量特征的深度学习对称加密协议识别方法 |
| CN114726753B (zh) * | 2022-05-24 | 2022-08-26 | 北京金睛云华科技有限公司 | 一种基于多任务学习的网络加密流量识别方法 |
| CN115277063B (zh) * | 2022-06-13 | 2023-07-25 | 深圳铸泰科技有限公司 | 一种在ipv4与ipv6混合网络环境下的终端识别装置 |
| CN115277888B (zh) * | 2022-09-26 | 2023-01-31 | 中国电子科技集团公司第三十研究所 | 一种移动应用加密协议报文类型解析方法及系统 |
| CN115834495A (zh) * | 2022-10-12 | 2023-03-21 | 中国科学院计算技术研究所 | 一种用于加密流量的识别方法和系统 |
| CN116015982B (zh) * | 2023-03-22 | 2023-06-30 | 浪潮云洲(山东)工业互联网有限公司 | 一种网络安全数据传输的加密、解密方法及设备 |
| CN117134958A (zh) * | 2023-08-23 | 2023-11-28 | 台州市云谷信息技术有限公司 | 用于网络技术服务的信息处理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790019A (zh) * | 2016-12-14 | 2017-05-31 | 北京天融信网络安全技术有限公司 | 基于特征自学习的加密流量识别方法及装置 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016146609A1 (en) * | 2015-03-17 | 2016-09-22 | British Telecommunications Public Limited Company | Learned profiles for malicious encrypted network traffic identification |
| US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
| CN109936512B (zh) * | 2017-12-15 | 2021-10-01 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机系统 |
| CN109871948A (zh) * | 2019-03-26 | 2019-06-11 | 中国人民解放军陆军工程大学 | 一种基于二维卷积神经网络的应用层协议识别方法 |
| CN110247930B (zh) * | 2019-07-01 | 2020-05-12 | 北京理工大学 | 一种基于深度神经网络的加密网络流量识别方法 |
| CN110751222A (zh) * | 2019-10-25 | 2020-02-04 | 中国科学技术大学 | 基于cnn和lstm的在线加密流量分类方法 |
| CN111079858A (zh) * | 2019-12-31 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种加密数据的处理方法及装置 |
-
2020
- 2020-08-28 CN CN202010886949.1A patent/CN112003870B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790019A (zh) * | 2016-12-14 | 2017-05-31 | 北京天融信网络安全技术有限公司 | 基于特征自学习的加密流量识别方法及装置 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112003870A (zh) | 2020-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| CN112235264B (zh) | 一种基于深度迁移学习的网络流量识别方法及装置 | |
| CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| CN104615760A (zh) | 钓鱼网站识别方法和系统 | |
| CN112165484B (zh) | 基于深度学习与侧信道分析的网络加密流量识别方法装置 | |
| CN111224941B (zh) | 一种威胁类型识别方法及装置 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN113315742A (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN115828242A (zh) | 基于大型异构图表示学习的安卓恶意软件检测方法 | |
| CN114826681A (zh) | 一种dga域名检测方法、系统、介质、设备及终端 | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN115314268B (zh) | 基于流量指纹和行为的恶意加密流量检测方法和系统 | |
| CN115987687A (zh) | 网络攻击取证方法、装置、设备及存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
| CN113810372B (zh) | 一种低吞吐量dns隐蔽信道检测方法及装置 | |
| CN114726599B (zh) | 基于人工智能算法的软件定义网络中入侵检测方法和装置 | |
| CN115102728B (zh) | 一种用于信息安全的扫描器识别方法、装置、设备及介质 | |
| CN113347021B (zh) | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |