CN101741744A - 一种网络流量识别方法 - Google Patents
一种网络流量识别方法 Download PDFInfo
- Publication number
- CN101741744A CN101741744A CN200910263262A CN200910263262A CN101741744A CN 101741744 A CN101741744 A CN 101741744A CN 200910263262 A CN200910263262 A CN 200910263262A CN 200910263262 A CN200910263262 A CN 200910263262A CN 101741744 A CN101741744 A CN 101741744A
- Authority
- CN
- China
- Prior art keywords
- module
- data flow
- flow
- sent
- dfi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种网络流量识别方法,包括有DPI(Deep Packet Inspection)深度包检测和DFI(Deep Flow Inspection)深度流检测两个大的模块,其中DPI模块又包括流表检测模块和流识别模块。流识别模块根据数据流特征库中的特征识别网络协议。DFI模块包括样本获取模块,分类器训练模块和分类器分类预测模块。样本获取模块将DPI中的流识别模块能够准确识别的数据流划分成几个大类,并且将其作为样本对分类器训练模块经行训练,获得能对网络流量进行大类区分的分类模型。这样让网络流量先经过DFI系统进行大类的区分,再流经DPI的流识别模块进行细分,达到提高网络流量分类精度的目的。
Description
技术领域
本发明涉及一种网络流量识别方法,属于网络数据传输领域。
背景技术
BT和Edonkey为代表的P2P应用已经占据了整个互联网流量的2/3以上,运营商的基础网络建设陷入了“拥塞-扩容-再拥塞”的非正常局面,盈利能力相应降低。无法实现业务识别增加了运营商的运营成本,降低了客户的满意度。于是,如何深度感知网络应用,提供网络业务控制和管理手段,构建可以运营、可以管理的和谐网络,对P2P有效限制,合理引导,化不利为我所用,已经成为电信运营商目前亟需研究的一个热门课题。
基于以上原因,必须通过技术手段识别出基于不同的网络数据流量,从而可以对其进行控制和管理。
目前识别网络数据流业务的方法主要有以下几种:
(1)基于端口的网络数据流业务识别技术:这种识别技术是通过各种不同的应用在IANA(Internet Assigned Numbers Authority)中注册的不同端口号来进行识别的。例如检测到端口号为80时,则认为该应用代表着普通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络。比如新型的P2P协议所使用的端口是变化的,因此端口号识别的准确率已经越来越低,该方法已经越来越不适合对现有网络数据流业务的识别。
(2)DPI(Deep Packet Inspection)深度包检测网络数据流业务识别技术:当碰到某些使用动态端口的新型的协议时,采用基于端口的识别技术就会无能为力。DPI技术除了对4层以下的基础信息进行分析外,还增加了应用层分析,识别各种应用及其内容。就是通过对一系列数据包的应用层负载特征进行分析,找出其应用层的特征字,从而对各种业务进行识别。这种方法在遇到应用层数据加密的时候处理起来就会非常困难。
(3)DFI(Deep Flow Inspection)深度流检测网络数据流业务识别技术:当DPI识别技术遇到应用层数据加密的时候,就很难通过分析应用层数据的特征来对其进行识别。DFI技术是根据流的特征来对业务进行识别的技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。DFI的特点是对整个数据流的特征进行分析,例如每个流的平均包长,每个包到达的时间间隔等。无须对应用层数据进行检测,因而应用层数据加密与否对这种识别技术来讲没有区别。属于同种类型业务的数据流的特征一般都是非常接近的,例如QQ和MSN这两种IM软件的流量特征可能就非常接近,因此这种方法的缺点是只能对网络流量的几个大类进行区分。例如IM,P2P,WEB等。
发明内容
发明目的:
本发明要解决的技术问题在于,针对基于端口识别技术的准确率低,DPI和DFI技术分别存在对应用层数据加密的业务的识别非常困难,和只能对网络流量进行大类区分的缺陷,提出了将DFI和DPI相结合的网络流量分类方法。
技术方案:
本发明解决其技术问题所采用的技术方案是:先对网络流量进行大类的区分,然后构造DPI网络数据流业务识别系统,对应用层没有加密的业务进行应用层特征提取,将提取到的特征放入特征库中,然后以DPI能够识别的协议的数据流作为DFI业务识别模块的样本,对DFI进行训练,训练完成以后将DFI模块加在DPI业务识别系统之前,让网络流量先经过DFI进行大类的区分,然后再进入DPI系统进行细分。
本发明的网络流量识别方法的具体步骤为:
(a)将网络数据流发送至已经训练过的DFI流量识别系统中的分类器分类预测模块进行数据流大类的区分,将数据流根据相应的分类打上标签,然后进入(b)步骤;
(b)将经过(a)步骤处理过的数据流发送至DPI业务识别系统中的流表检测模块进行检测,检测当前数据流的业务类型是否在流表检测模块维护的状态表中,当结果为是,则直接将当前数据流标记,然后将该数据流发送至协议处理模块进行具体业务的处理,同时也将该数据流发送至DFI流量识别系统中的样本获取模块,获取样本文件;当结果为否,则进入(c)步骤;
(c)将(b)步骤中未标记的数据流发送至流识别模块,检索该数据流是否含有与DPI业务识别系统的数据流特征库中匹配的任意一条特征,当检索到有匹配的特征,则标记当前报文对应的数据流为特定的数据流,并更新流表检测模块中维护的状态表;同时将该数据流标记以后送入协议处理模块;当没有检索到匹配的特征,则直接将该数据流发送至协议处理模块,进入(d)步骤;
(d)协议处理模块根据以上步骤中对数据流的不同标记,分别进行具体业务或者针对不同大类的处理。
本发明的网络流量识别方法所述DFI分类器分类预测模块进行训练的步骤为:
A、流表检测模块将维护的状态表中的数据流发送至DFI流量识别系统中的样本获取模块;
B、样本获取模块在线获得该数据流的样本文件以后,将该样本文件发送至分类器训练模块进行离线训练,获得分类模型;
C、分类器训练模块将此分类模型发送至分类器分类预测模块;
D、分类器分类预测模块根据训练得到的分类模型对(a)步骤中的数据流进行分类。
在本发明所述的DPI业务识别系统中,包括:流表检测模块,判断当前的数据流是否为已经标记类型的数据流;数据流特征库,存储数据流的特征;流识别模块,根据数据流特征库中的特征识别网络流量代表的不同业务;协议处理模块,用于对具体业务的处理,以及对网络大类的处理。所述数据流特征库,包括网络流量各个大类中的部分业务的应用层特征。例如:属于即时消息这一大类的业务有QQ和百度HI等,QQ的应用层特征为数据包以0x02开始,以0x03结束,百度HI的应用层特征为前八个字节为0x0000010031564d49。属于P2P这一大类的业务有TTlive和Sopcast等,TTlive的应用层特征为每个流的第一个包的净载荷长度为52字节,前三个字节为0xffff01,最后两个字节为0x0002,Sopcast的应用层特征为第一个有净载荷的数据包的特征字用正则表达式表示为:^DESCRIBE.*User-Agent:WMPlayer。
在本发明所述的DFI流量识别系统中,有样本获取模块,分类器训练模块和分类器分类预测模块。所述样本获取模块将DPI能够精确识别的业务的流特征提取出来,分成不同的类别,作为分类器训练模块的训练样本。所述分类器训练模块对样本获取模块提供的样本进行训练获得一个训练模型,所述预测模块就是根据分类器训练模块获得的模型对其他数据进行分类。
有益效果:
本发明的网络流量分类方法,先对网络数据流进行大类的区分,然后进入DPI系统进行细分,增加了对网络流量进行分类的准确性。
附图说明
图1是DPI识别模块的结构框图;
图2是DFI识别模块的结构框图;
图3是本发明DPI和DFI相结合的网络流量分类方法的框图;
图4是本发明DPI和DFI相结合的网络流量分类方法的流程图。
具体实施方式
如图1所示,在本发明的DFI和DPI相结合的网络流量分类系统的第一实施步骤中,网络流量识别系统连接到基于TCP/IP协议的网络中,其中有一个流表检测模块,一个协议处理模块,一个流识别模块以及一个数据流特征库。
数据流特征库中包含有分别属于几个网络流量大类的各种不同的业务。举例如下:
(1)属于IM(即时通讯)这一大类的有QQ和百度HI等,QQ的应用层特征为数据包以0x02开始,以0x03结束,百度HI的应用层特征为前八个字节为0x0000010031564d49。
(2)属于P2P这一大类的业务有TTlive和Sopcast等,TTlive的应用层特征为每个流的第一个包的净载荷长度为52字节,前三个字节为0xffff01,最后两个字节为0x0002,Sopcast的应用层特征为第一个有净载荷的数据包的特征字用正则表达式表示为:^DESCRIBE.*User-Agent:WMPlayer。
数据流特征库中存储有上述各类业务的特征。
流表检测模块维护一张状态表,表中信息包括数据流的五元组(源ip地址,目的ip地址,源端口,目的端口,协议号)以及所属协议类型的ID,网络数据流进入以后首先将自己的五元组与状态表中的信息比对,查看是否在该状态表中,若在该状态表中则将其用所属协议类型的ID标注后送入协议处理模块。
例如状态表中维护的一条信息格式如下表第二行:
| 源ip地址 | 目的ip地址 | 源端口 | 目的端口 | 协议类型 | 协议ID |
| 119.147.18.47 | 10.8.7.43 | 8000 | 4000 | 0x11 | 5 |
其中119.147.18.47是源ip地址,10.8.7.43是目的ip地址,8000是源端口,4000是目的端口,0x11是协议号(UDP协议),5是可以自己定义的协议ID,比如我们把QQ的协议ID定为5,那么5就代表QQ的数据流。一旦有新数据流进入流表检测模块,首先将自己的五元组与表中的信息的前五项(五元组)进行比对,如果发现状态表中存在有自己的五元组,则将该数据流用协议ID进行标注后送入协议处理模块,若在状态表中没有发现与自己五元组匹配的记录则进入流识别模块。
流识别模块先对网络数据流应用层数据进行分析,并将其应用层特征与数据流特征库中的特征进行比对,若应用层数据的特征字符串符合数据流特征库中的一个或者多个特征,则流识别模块将其标记为对应的协议ID,并且将该流量更新到流表检测模块,若在数据流特征库中不存在与其特征字符串匹配的特征,则数据流识别模块不对其进行标记,而是将其送入DFI识别模块,由DFI识别模块对其进行进一步识别。
数据流特征库中存放有事先已经识别的业务的应用层特征字,比如bitspirit的应用层前20个字节恒为0x13426974546f7272656e742070726f746f636f6c,PP点点通下载文件时应用层前5个字节恒为0x3c00000001。流量识别模块就是通过与库中特征比对来判断数据流是否能够识别以及属于何种协议。
如图2所示,是DPI和DFI相结合的网络流量分类系统中的DFI部分的结构框图,其中主要有样本获取模块,分类器训练模块,和分类器分类预测模块、样本获取模块,将图1中的流识别模块能够准确识别的数据流作为样本,将其归入之前分好的几个网络流量的大类中,并从中提取出所需要的流特征,比如QQ是流识别模块能够准确识别的,并且QQ属于IM(即时通讯)这一大类,那么每个QQ网络数据流都可以作为一个IM这一大类的样本。同样我们也能对百度HI进行准确识别,并且百度HI也属于IM这一大类,那么每个百度HI网络数据流也可以作为一个IM这一大类的样本。获得样本后我们计算出每个样本的流特征,比如该流的平均包长,包的平均时间间隔等,并对这个样本进行标记以确定其所属的大类。采用同样的方法我们可以通过对TTlive和Sopcast网络数据流提取出P2P这一个大类的样本,以及其他几个大类的样本,将所有这些样本集中在一起我们就可以获得一个样本文件。其文件格式如下表:
该文件中每一行都代表一个样本,每列的第一个字符表示该行样本所属的大类,例如我们把P2P这一大类用1这个ID表示,把IM(即时通讯)这一大类用2表示,把WEB应用这一大类用3表示,那么这个文件的第一行和第三行表示是P2P的样本数据,第二行表示是IM(即时通讯)的样本数据,第四行表示是WEB应用的样本数据。文件每一行的大类ID后面是特征索引和该特征的值,例如我们把流的平均包长这一流特征用1索引,把包到达的平均时间间隔用2索引,那么代表第一行就表明这一样本数据的平均包长为1000,包到达的平均时间间隔为0.005。每个流的特征肯定不止两项,其他特征这里不再列出。样本获取模块的作用就是从流识别模块能够准确识别的数据流中提取其流特征,将该特征以样本文件的形式保存。
分类器训练模块通过对样本获取模块获取的样本的训练获得一个预测模型。
分类器分类预测模块通过预测模型对流识别模块无法识别的流量进行分类。
图3是DPI识别模块和DFI识别模块的结合,可以将其分成在线和离线两个大类,流表检测模块,协议处理模块,流识别模块,数据流特征库,样本获取模块,分类器分类预测模块是在线的,分类器训练模块是离线的。样本获取模块在线获得样本文件以后可以对分类器进行离线训练,获得分类模型,当DPI系统中的流识别模块无法识别时,再经过DFI系统的分类器分类预测模块,分类器分类预测模块根据训练得到的分类模型对流识别模块无法识别数据流进行分类。
图4是本发明DPI和DFI相结合的网络流量分类方法的流程图。
首先,在网络流量到达时,根据报文中的报头检测当前报文是否已经标记。若当前报文对应数据流的类型已经标记,则使用与类型对应的方式处理当前数据流。若当前报文对应数据流的类型没有标记,则进入流量识别模块进行识别判断,若流量识别模块能够识别则在流表中标记该流量,以便使属于同一流量的报文在流表检测时就能检测出来。然后在将识别出来的流量送入协议处理模块,若流量识别模块无法识别,则进入分类器分类预测模块,由于所有网络数据流量必然属于几个大类中的一类,所以在这里所有DPI的流量识别模块无法识别的流量都被按大类进行了分类。分类完成以后送入协议处理模块,协议处理模块根据类别的不同分别进行处理。这里的协议处理模块包含两大处理对象,一个是对具体业务的处理,另外一个是对网络大类的处理。
通过上述方式处理网络流量,比单纯地使用DPI或者DFI来得全面,它能够对应用层没有加密的业务进行精确地识别,也能够对应用层加密的业务进行大类的区分。
Claims (2)
1.一种网络流量识别方法,其特征在于:包括以下步骤:
(a)将网络数据流发送至已经训练过的DFI流量识别系统中的分类器分类预测模块进行数据流大类的区分,将数据流根据相应的分类打上标签,然后进入(b)步骤;
(b)将经过(a)步骤处理过的数据流发送至DPI业务识别系统中的流表检测模块进行检测,检测当前数据流的业务类型是否在流表检测模块维护的状态表中,当结果为是,则直接将当前数据流标记,然后将该数据流发送至协议处理模块进行具体业务的处理,同时也将该数据流发送至DFI流量识别系统中的样本获取模块,获取样本文件;当结果为否,则进入(c)步骤;
(c)将(b)步骤中未标记的数据流发送至流识别模块,检索该数据流是否含有与DPI业务识别系统的数据流特征库中匹配的任意一条特征,当检索到有匹配的特征,则标记当前报文对应的数据流为特定的数据流,并更新流表检测模块中维护的状态表;同时将该数据流标记以后送入协议处理模块;当没有检索到匹配的特征,则直接将该数据流发送至协议处理模块,进入(d)步骤;
(d)协议处理模块根据以上步骤中对数据流的不同标记,分别进行具体业务或者针对不同大类的处理。
2.根据权利要求1所述的网络流量识别方法,其特征在于:所述DFI分类器分类预测模块进行训练的步骤为:
A、流表检测模块将维护的状态表中的数据流发送至DFI流量识别系统中的样本获取模块;
B、样本获取模块在线获得该数据流的样本文件以后,将该样本文件发送至分类器训练模块进行离线训练,获得分类模型;
C、分类器训练模块将此分类模型发送至分类器分类预测模块;
D、分类器分类预测模块根据训练得到的分类模型对(a)步骤中的数据流进行分类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102632626A CN101741744B (zh) | 2009-12-17 | 2009-12-17 | 一种网络流量识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102632626A CN101741744B (zh) | 2009-12-17 | 2009-12-17 | 一种网络流量识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101741744A true CN101741744A (zh) | 2010-06-16 |
| CN101741744B CN101741744B (zh) | 2011-12-14 |
Family
ID=42464650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102632626A Expired - Fee Related CN101741744B (zh) | 2009-12-17 | 2009-12-17 | 一种网络流量识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101741744B (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025623A (zh) * | 2010-12-07 | 2011-04-20 | 苏州迈科网络安全技术股份有限公司 | 智能化网络流控方法 |
| CN102045347A (zh) * | 2010-11-30 | 2011-05-04 | 华为技术有限公司 | 协议识别方法和装置 |
| CN102420830A (zh) * | 2010-12-16 | 2012-04-18 | 北京大学 | 一种p2p协议类型识别方法 |
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN103905261A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 协议特征库在线更新方法及系统 |
| US8825884B2 (en) | 2010-11-30 | 2014-09-02 | Huawei Technologies Co., Ltd. | Method and device for protocol identification |
| CN104144083A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 一种基于应用的流量统计方法、bras设备及网络 |
| CN104156389A (zh) * | 2014-07-04 | 2014-11-19 | 重庆邮电大学 | 基于Hadoop平台的深度包检测系统及方法 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| CN105100091A (zh) * | 2015-07-13 | 2015-11-25 | 北京奇虎科技有限公司 | 一种协议识别方法及系统 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105553955A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种数据处理方法及装置 |
| WO2016107180A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| CN106330612A (zh) * | 2016-08-31 | 2017-01-11 | 国家计算机网络与信息安全管理中心 | 一种互联网流量分类测评方法及系统 |
| CN106789416A (zh) * | 2016-12-13 | 2017-05-31 | 中兴软创科技股份有限公司 | 工控系统专用协议识别方法与系统 |
| CN107302472A (zh) * | 2017-06-14 | 2017-10-27 | 苏州海加网络科技股份有限公司 | 基于流形态特征的应用行为识别方法及系统 |
| CN108141377A (zh) * | 2015-10-12 | 2018-06-08 | 华为技术有限公司 | 网络流早期分类 |
| CN108900374A (zh) * | 2018-06-22 | 2018-11-27 | 网宿科技股份有限公司 | 一种应用于dpi设备的数据处理方法和装置 |
| CN109033169A (zh) * | 2018-06-21 | 2018-12-18 | 东南大学 | 基于多级权重转换和卷积神经网络的移动流量分类方法 |
| CN109327389A (zh) * | 2018-11-13 | 2019-02-12 | 南京中孚信息技术有限公司 | 流量分类标签转发方法、装置和系统 |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109660656A (zh) * | 2018-11-20 | 2019-04-19 | 重庆邮电大学 | 一种智能终端应用程序识别方法 |
| CN109728977A (zh) * | 2019-01-14 | 2019-05-07 | 电子科技大学 | Jap匿名流量检测方法及系统 |
| CN109768936A (zh) * | 2018-11-30 | 2019-05-17 | 南京中新赛克科技有限责任公司 | 一种精细化分流系统及分流方法 |
| CN112054992A (zh) * | 2020-07-28 | 2020-12-08 | 北京邮电大学 | 恶意流量识别方法、装置、电子设备及存储介质 |
| CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
| CN112311723A (zh) * | 2019-07-26 | 2021-02-02 | 国网河北省电力有限公司信息通信分公司 | 一种基于国家电网信息系统特点的域名服务防护方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488946A (zh) * | 2008-01-16 | 2009-07-22 | 华为技术有限公司 | 报文检测方法及系统 |
| CN101605067B (zh) * | 2009-04-22 | 2011-09-21 | 网经科技(苏州)有限公司 | 网络行为主动分析诊断方法 |
-
2009
- 2009-12-17 CN CN2009102632626A patent/CN101741744B/zh not_active Expired - Fee Related
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045347A (zh) * | 2010-11-30 | 2011-05-04 | 华为技术有限公司 | 协议识别方法和装置 |
| WO2012071854A1 (zh) * | 2010-11-30 | 2012-06-07 | 华为技术有限公司 | 协议识别方法和装置 |
| CN102045347B (zh) * | 2010-11-30 | 2013-08-07 | 华为技术有限公司 | 协议识别方法和装置 |
| US8825884B2 (en) | 2010-11-30 | 2014-09-02 | Huawei Technologies Co., Ltd. | Method and device for protocol identification |
| CN102025623B (zh) * | 2010-12-07 | 2013-03-20 | 苏州迈科网络安全技术股份有限公司 | 智能化网络流控方法 |
| CN102025623A (zh) * | 2010-12-07 | 2011-04-20 | 苏州迈科网络安全技术股份有限公司 | 智能化网络流控方法 |
| CN102420830A (zh) * | 2010-12-16 | 2012-04-18 | 北京大学 | 一种p2p协议类型识别方法 |
| CN103905261A (zh) * | 2012-12-26 | 2014-07-02 | 中国电信股份有限公司 | 协议特征库在线更新方法及系统 |
| CN104144083A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 一种基于应用的流量统计方法、bras设备及网络 |
| CN103312565B (zh) * | 2013-06-28 | 2015-12-23 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN103312565A (zh) * | 2013-06-28 | 2013-09-18 | 南京邮电大学 | 一种基于自主学习的对等网络流量识别方法 |
| CN104156389B (zh) * | 2014-07-04 | 2017-12-26 | 重庆邮电大学 | 基于Hadoop平台的深度包检测系统及方法 |
| CN104156389A (zh) * | 2014-07-04 | 2014-11-19 | 重庆邮电大学 | 基于Hadoop平台的深度包检测系统及方法 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| WO2016107180A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| US10333854B2 (en) | 2015-01-04 | 2019-06-25 | Huawei Technologies Co., Ltd. | Method and apparatus for detecting type of network data flow |
| CN105100091A (zh) * | 2015-07-13 | 2015-11-25 | 北京奇虎科技有限公司 | 一种协议识别方法及系统 |
| CN105141604B (zh) * | 2015-08-19 | 2019-03-08 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN108141377B (zh) * | 2015-10-12 | 2020-08-07 | 华为技术有限公司 | 网络流早期分类 |
| CN108141377A (zh) * | 2015-10-12 | 2018-06-08 | 华为技术有限公司 | 网络流早期分类 |
| CN105553955A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种数据处理方法及装置 |
| CN106330612B (zh) * | 2016-08-31 | 2019-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网流量分类测评方法及系统 |
| CN106330612A (zh) * | 2016-08-31 | 2017-01-11 | 国家计算机网络与信息安全管理中心 | 一种互联网流量分类测评方法及系统 |
| CN106789416A (zh) * | 2016-12-13 | 2017-05-31 | 中兴软创科技股份有限公司 | 工控系统专用协议识别方法与系统 |
| CN107302472A (zh) * | 2017-06-14 | 2017-10-27 | 苏州海加网络科技股份有限公司 | 基于流形态特征的应用行为识别方法及系统 |
| CN109033169A (zh) * | 2018-06-21 | 2018-12-18 | 东南大学 | 基于多级权重转换和卷积神经网络的移动流量分类方法 |
| CN109033169B (zh) * | 2018-06-21 | 2021-08-10 | 东南大学 | 基于多级权重转换和卷积神经网络的移动流量分类方法 |
| CN108900374A (zh) * | 2018-06-22 | 2018-11-27 | 网宿科技股份有限公司 | 一种应用于dpi设备的数据处理方法和装置 |
| CN109327389B (zh) * | 2018-11-13 | 2021-06-08 | 南京中孚信息技术有限公司 | 流量分类标签转发方法、装置和系统 |
| CN109327389A (zh) * | 2018-11-13 | 2019-02-12 | 南京中孚信息技术有限公司 | 流量分类标签转发方法、装置和系统 |
| CN109660656A (zh) * | 2018-11-20 | 2019-04-19 | 重庆邮电大学 | 一种智能终端应用程序识别方法 |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109600317B (zh) * | 2018-11-25 | 2022-05-17 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109768936A (zh) * | 2018-11-30 | 2019-05-17 | 南京中新赛克科技有限责任公司 | 一种精细化分流系统及分流方法 |
| CN109728977A (zh) * | 2019-01-14 | 2019-05-07 | 电子科技大学 | Jap匿名流量检测方法及系统 |
| CN112311723A (zh) * | 2019-07-26 | 2021-02-02 | 国网河北省电力有限公司信息通信分公司 | 一种基于国家电网信息系统特点的域名服务防护方法 |
| CN112054992A (zh) * | 2020-07-28 | 2020-12-08 | 北京邮电大学 | 恶意流量识别方法、装置、电子设备及存储介质 |
| CN112054992B (zh) * | 2020-07-28 | 2021-06-29 | 北京邮电大学 | 恶意流量识别方法、装置、电子设备及存储介质 |
| CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101741744B (zh) | 2011-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101741744B (zh) | 一种网络流量识别方法 | |
| CN101645806B (zh) | Dpi和dfi相结合的网络流量分类系统及分类方法 | |
| CN107819646A (zh) | 一种分布式传输的网络流量分类系统和方法 | |
| CN105871832B (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
| CN104270392B (zh) | 一种基于三分类器协同训练学习的网络协议识别方法及系统 | |
| CN110391958B (zh) | 一种对网络加密流量自动进行特征提取和识别的方法 | |
| CN101414939B (zh) | 一种基于动态深度包检测的互联网应用识别方法 | |
| CN102394827A (zh) | 互联网流量分级分类方法 | |
| CN1652519A (zh) | 通信测量系统及其通信分析方法 | |
| CN102571486A (zh) | 一种基于BoW模型和统计特征的流量识别方法 | |
| CN112822189A (zh) | 一种流量识别方法及装置 | |
| CN107465643A (zh) | 一种深度学习的网络流量分类方法 | |
| AU2012200642A1 (en) | A method and apparatus for communications analysis | |
| CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
| CN110971601A (zh) | 一种高效的网络报文传输层多级特征提取方法和系统 | |
| CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
| CN105959321A (zh) | 网络远程主机操作系统被动识别方法及装置 | |
| CN104657747A (zh) | 一种基于统计特征的网络游戏流分类方法 | |
| Kong et al. | Identification of abnormal network traffic using support vector machine | |
| CN104021348B (zh) | 一种隐匿p2p程序实时检测方法及系统 | |
| CN103281158A (zh) | 深度网络通信粒度检测方法及其检测设备 | |
| CN106789416A (zh) | 工控系统专用协议识别方法与系统 | |
| CN101764754B (zh) | 基于dpi和dfi的业务识别系统中的样本获取方法 | |
| CN112381119B (zh) | 基于去中心化应用加密流量特征的多场景分类方法及系统 | |
| CN101459695B (zh) | P2p业务识别方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111214 Termination date: 20131217 |