CN101984635B - P2p协议流量识别方法及系统 - Google Patents
P2p协议流量识别方法及系统 Download PDFInfo
- Publication number
- CN101984635B CN101984635B CN2010105623960A CN201010562396A CN101984635B CN 101984635 B CN101984635 B CN 101984635B CN 2010105623960 A CN2010105623960 A CN 2010105623960A CN 201010562396 A CN201010562396 A CN 201010562396A CN 101984635 B CN101984635 B CN 101984635B
- Authority
- CN
- China
- Prior art keywords
- message
- agreement
- protocol
- stream
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种P2P协议流量识别方法及系统,该方法包括步骤:S1.对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;S2.根据五元组将待识别的流量分成多条流;S3.按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组;S4.检查待识别的流的消息中是否包含所述关键命令;S5.判断待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项。本发明的方法及系统可以提高对P2P流量识别的有效性、速度,且可扩展性强。
Description
技术领域
本发明涉及信息安全与监控技术领域,尤其涉及一种P2P协议流量识别方法及系统。
背景技术
网络流分类和协议识别技术是信息安全和监控领域中的核心技术。其主要任务是根据网络流及流内报文包含的信息识别出流所属的网络协议类别。
从2006年到2009年全球范围对等(Peer-to-Peer,P2P)流量占到了互联网总带宽的一半以上。迅雷是一款国内最为流行的P2P文件传输软件,它的注册用户超过了3.29亿,每月活跃用户超过了1.66亿。迅雷除了能够提供快速的端到服务器和端基于用户对服务器和用户机制(Peer to Server & Peer,P2SP)文件传输服务外,还同时支持电驴(eMule)和比特流(Bit Torrent,BT)格式的P2P文件传输,因此其文件传输速度很快,用户也非常广泛。对迅雷流量的识别有着非常重要的意义,包括:(1)网络管理,网络服务提供商(Internet ServiceProvider,ISP),尤其是中国的ISP对于迅雷的流量识别非常感兴趣,因为牵涉到流量和性能监控,流量策略和收费等;(2)研究,迅雷的快速发展和大用户群吸引着越来越多P2P及其它领域的学术和商业上的研究者;(3)盗版,迅雷在一定程度上通过P2P传输方式助长了网络上软件、电影、音乐和游戏等的盗版行为。因此识别迅雷流量有着非常重要的意义。
现有的网络流分类和协议识别技术包括:基于包头的技术、基于协议的技术和基于行为的技术。分类和识别方法主要有:基于模式匹配的方法、基于统计的方法和基于机器学习的方法。
基于包头和协议的技术通过对包中载荷里的字段分析,得到目标协议中特定字段的固定模式,并应用模式匹配的方法进行协议识别。该类方法识别速度快,准确率高,但是更新代价较大,无法识别加密流量和协议。
基于行为的技术主要利用目标协议在网络中的传输行为特征,应用统计和机器学习的方法进行网络流分类和识别。该类方法一般情况下的识别速度和准确率都逊于基于包头和协议的匹配方法。但是,该类方法不需要分析载荷中的内容,因此能够识别加密流量。
P2P协议流量的识别技术最早采用基于端口的方法,但是随着动态随机端口的应用,这种方法非常不准确。有一些方法采用基于P2P节点和连接的行为来进行识别,但是这种方法对于很多行为类似的P2P协议无法准确识别。还有一些方法采用协议特征字段来对某类P2P协议进行识别,但是这种方法只对明文协议有效,对于像迅雷这种流量加密且协议格式动态变化的协议效果很差。
现在还没有一种非常有效的迅雷流量的识别方法。在现有技术中,最常用的方法是封堵迅雷的服务器地址和服务端口,但是其服务器地址和端口都是变化的,因此这种方法不是很有效。
发明内容
(一)要解决的技术问题
本发明所要解决的技术问题是:如何提供一种流量识别方法及系统,以提高对P2P协议流量识别的有效性、速度及其可扩展性。
(二)技术方案
为解决上述问题,本发明提供了一种P2P协议流量识别方法,该方法包括步骤:
S1.对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;
S2.根据五元组将待识别的流量分成多条流;
S3.按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组,若能,则载入下一条流,并重新执行步骤S3,否则,执行步骤S4;
S4.检查待识别的流的消息中是否包含所述关键命令,若不包含,则判断该流为非P2P协议流量,载入下一条流,并返回步骤S3,否则,执行步骤S5;
S5.判断待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,载入下一条流,并返回步骤S3,否则,判定所述流为P2P协议流量,载入下一条流,并返回步骤S3;
其中,所述选定的交互过程为空闲状态与数据传输状态之间的交互过程;
所述P2P协议的消息重组的启发性条件为:
a.P2P协议头没有加密,体是经过加密的;
b.在P2P协议的连接部分,有多个0x00内容的字节,或者连续两个或三个0x00内容的字节;
c.P2P协议以连续三个0x00字节结束,或者在连续两个或三个0x00后有一段设定长度的内容之后结束。
其中,步骤S1进一步包括:
S1.1抓取P2P协议纯流量;
S1.2对P2P协议纯流量进行五元组分流;
S1.3根据P2P协议的基本结构,定义P2P协议消息,得到P2P协议消息重组的启发性条件集合;
S1.4将P2P协议流量中的每个流按照步骤S1.3中的定义及启发性条件集合进行P2P协议的消息重组;
S1.5按照每个消息的中所包含的有效属性对消息进行相似度聚类,通过迭代聚类,获得所述选定的交互过程的状态转移集合,及所述关键命令集合。
其中,步骤S1.1中,抓取方法为在虚拟机中通过防火墙、以及抓包工具,运行P2P协议软件,抓取P2P协议纯流量。
其中,所述五元组为:源IP、目的IP、源端口、目的端口、以及协议号。
其中,在步骤S1.3中,定义P2P协议消息为从一个P2P协议头开始到下一个头之前结束。
其中,步骤S1.4中,每个消息的中所包含的有效属性包括:命令、头长度、以及是否包含体。
其中,步骤S1.5中的相似度聚类为将有效属性在设定的相似度阈值范围内接近的消息判定为同一类消息。
本发明还提供了一种P2P协议流量识别系统,该系统包括:分析模块,用于对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;分流模块,用于根据五元组将待识别的流量分成多条流;第一识别模块,用于按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组;第二识别模块,用于检查待识别的流的消息中是否包含所述关键命令;第三识别模块,用于判断待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,否则,判定所述流为P2P协议流量;
其中,所述选定的交互过程为空闲状态与数据传输状态之间的交互过程;
所述P2P协议的消息重组的启发性条件为:
a.P2P协议的头没有加密,体是经过加密的;
b.在P2P协议的头的连接部分,有多个0x00内容的字节,或者连续两个或三个0x00内容的字节;
c.P2P协议的头以连续三个0x00字节结束,或者在连续两个或三个0x00后有一段设定长度的内容之后结束。
其中,所述分析模块进一步包括:抓取单元,用于抓取P2P协议纯流量;分流单元,用于对P2P协议纯流量进行五元组分流;消息定义单元,根据P2P协议的基本结构,定义P2P协议消息,得到所述消息重组的启发性条件集合;消息重组单元,用于将P2P协议流量中的每个流按照步骤S1.3中的定义及启发性条件集合进行P2P协议的消息重组;迭代聚类单元,用于按照每个消息的中所包含的有效属性对消息进行相似度聚类,通过迭代聚类,获得P2P协议所述选定的交互过程的状态转移集合,及所述关键命令集合。
(三)有益效果
本发明的方法及系统采用了一个有效且高效的框架来对P2P协议流量进行识别,设计了一种启发性消息聚类技术来对P2P协议流量进行分析,得到关键命令和关键交互过程,并采用基于流的针对P2P协议消息、关键命令和关键交互过程状态机的实时识别来对P2P协议流量进行分类,该方法及系统有效、快速、并有着较好的可扩展性。
附图说明
图1为依照本发明一种实施方式的P2P协议流量识别方法流程图;
图2为依照本发明一种实施方式的P2P协议流量识别方法中对P2P协议流量进行分析的方法流程图。
具体实施方式
对于本发明所提出的P2P协议流量识别方法及系统,结合附图和实施例详细说明。
本发明在基于大量的针对P2P协议和流量观察的基础之上,总结出P2P协议的结构,并创新性的采用了启发性消息聚类技术对P2P协议流量进行分析,得到了P2P协议的工作状态下的关键交互过程状态机和其中的关键命令,在关键命令和关键交互过程状态机的支持下,能够对流量中的P2P协议流量进行实时的识别和分类。依照本发明一种实施方式的P2P协议流量识别方法,尤指对迅雷流量的识别,迅雷的消息重组的启发性条件包括:
(1)迅雷头没有加密,但是迅雷体都是经过加密的;
(2)在迅雷头的连接部分,有较多的0x00内容的字节,尤其会经常有连续两个或三个0x00内容的字节;
(3)很多迅雷头以连续三个0x00字节结束,或者在连续两个或三个0x00后有一段特定长度的内容之后结束。
对于这些启发性条件,针对条件(1),在实际的学习和分类过程中,利用随机性检验算法(如卡方检验或单游程检验算法等)和加密后的数据表现为随机的这一特性,来根据数据是否随机判断迅雷消息,并结合启发性行条件(2)和(3)来在迅雷消息中划分迅雷头和体。
如图1所示,本实施方式的方法包括以下步骤:
S1.对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述选定的交互过程中的关键命令;如图2所示,该步骤进一步包括:
S1.1抓取海量P2P协议纯流量,即全部为目标协议的流量,抓取方法为在没有或尽量不启用其他会产生流量的网络应用,即干净的虚拟机中通过防火墙,抓包工具等,运行P2P协议软件(迅雷),抓取P2P协议的纯净流量;
S1.2对P2P协议纯流量通过<源IP、目的IP、源端口、目的端口、协议号>五元组分流;
S1.3通过观察P2P协议基本结构,包括P2P协议的头和体,其中头是必有的,体是可选的,头的前4个字节代表命令,头剩余字节表示连接信息,体则是加密过的数据,定义P2P协议的消息为从一个P2P协议头开始到下一个P2P协议头之前结束,并根据观察得到P2P协议的消息重组的启发性条件集合H;
S1.4将P2P协议流量中的每个流按上述定义及启发性条件进行消息重组;
S1.5按照每个消息的中所包含的有效属性,即命令、头长度、是否包含体等,对消息进行相似度聚类,通过迭代聚类,获得选定的交互过程的状态转移集合K,及交互过程中的关键命令集合C。
S2.对待识别的流量按照<源IP、目的IP、源端口、目的端口、协议号>这五元组将流量分成多条流;
S3.以流为单位进行识别,按照的启发性条件集合H判断待识别流是否能被进行P2P协议的消息重组,如果不能,则该流被判断为非P2P协议流量,载入下一条待判断的流,重新执行步骤S3,如果能,则执行步骤S4;
S4.检查待识别的流的消息中是否包含关键命令,即属于集合C的命令,如果不包含,则该流被判断为非P2P协议流量,载入下一条待识别的流,转至步骤S3,如果包含,则执行步骤S5;
S5.判断待识别流的消息构成是否符合上述选定的交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,载入下一条流并返回步骤S3,若符合,则判定所述流为P2P协议流量,载入下一条流并返回步骤S3。
其中,消息的相似度聚类是根据消息的三个有效属性命令、P2P协议头长度和是否包含P2P协议体,在一定范围内三个属性接近的消息被认为是同一类消息。对大量的P2P协议流中的消息进行相似度聚类,并根据聚类结果调整消息相似度的阈值,这样迭代计算下去,最终形成收敛,即无法再继续聚类为更小的集合,这时聚类结束,得到的结果就是P2P协议关键交互过程的状态转移过程集合K。
对于迅雷的流量识别,最终得到两个关键交互过程,分别代表迅雷空闲状态和数据传输状态下的迅雷流中的消息交互过程,在这些关键交互过程中包含的所有的消息命令构成了关键命令集合C,实际过程中得到的集合C={CMD_TYPEID_HUB_KEEP_ALIVE_RESP、CMD_QUERY_P2PHUB、CMD_QUERY_P2PHUB_RESP、CMD_REQUEST、CMD_REQUEST_RESP、CMD_QUERY_TRACKER、CMD_QUERY_TRACKER_RESP};
在上述过程中,一般只需要检查一个流的头20个包,并且每个包只需要检查载荷的头100个字节即可,假设待分类的流量共有n条流,每条流需要检查头A个包,每个包需要检查头B个字节,这样识别分类的计算复杂度O(n)=Abn,整体在线识别系统非常简洁,复杂度也较低,能够有效被运用到实际流量识别系统中。
本发明还提供了一种P2P协议流量识别系统,该系统包括:分析模块,用于对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;分流模块,用于根据五元组将待识别的流量分成多条流;第一识别模块,用于按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组;第二识别模块,用于检查待识别的流的消息中是否包含所述关键命令;第三识别模块,用于判断待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,否则,判定所述流为P2P协议流量。
其中,所述分析模块进一步包括:抓取单元,用于抓取P2P协议纯流量;分流单元,用于对P2P协议纯流量进行五元组分流;消息定义单元,根据P2P协议的基本结构,定义P2P协议消息,得到所述消息重组的启发性条件集合;消息重组单元,用于将P2P协议流量中的每个流按照步骤S1.3中的定义及启发性条件集合进行P2P协议的消息重组;迭代聚类单元,用于按照每个消息的中所包含的有效属性对消息进行相似度聚类,通过迭代聚类,获得P2P协议所述选定的交互过程的状态转移集合,及所述关键命令集合。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种P2P协议流量识别方法,其特征在于,该方法包括步骤:
S1.对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;
S2.根据五元组将待识别的流量分成多条流;
S3.按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组,若能,则载入下一条流,并重新执行步骤S3,否则,执行步骤S4;
S4.检查待识别的流的消息中是否包含所述关键命令,若不包含,则判断该流为非P2P协议流量,载入下一条流,并返回步骤S3,否则,执行步骤S5;
S5.判断待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,载入下一条流,并返回步骤S3,否则,判定所述流为P2P协议流量,载入下一条流,并返回步骤S3;
其中,所述选定的交互过程为空闲状态与数据传输状态之间的交互过程;
所述P2P协议的消息重组的启发性条件为:
a.P2P协议头没有加密,体是经过加密的;
b.在P2P协议的连接部分,有多个0x00内容的字节,或者连续两个或三个0x00内容的字节;
c.P2P协议以连续三个0x00字节结束,或者在连续两个或三个0x00后有一段设定长度的内容之后结束;
其中,步骤S1进一步包括:
S1.1抓取P2P协议纯流量;
S1.2对P2P协议纯流量进行五元组分流,所述五元组为:源IP、目的IP、源端口、目的端口、以及协议号;
S1.3根据P2P协议的基本结构,定义P2P协议消息,得到P2P协议消息重组的启发性条件集合,其中,定义P2P协议消息为从一个P2P协议头开始到下一个头之前结束;
S1.4将P2P协议流量中的每个流按照步骤S1.3中的定义及启发性条件集合进行P2P协议的消息重组,每个消息中所包含的有效属性包括:命令、头长度、以及是否包含体;
S1.5按照每个消息中所包含的有效属性对消息进行相似度聚类,通过迭代聚类,获得所述选定的交互过程的状态转移集合,及所述关键命令集合。
2.如权利要求1所述的P2P协议流量识别方法,其特征在于,步骤S1.1中,抓取方法为在虚拟机中通过防火墙、以及抓包工具,运行P2P协议软件,抓取P2P协议纯流量。
3.如权利要求1所述的P2P协议流量识别方法,其特征在于,步骤S1.5中的相似度聚类为将有效属性在设定的相似度阈值范围内接近的消息判定为同一类消息。
4.一种P2P协议流量识别系统,其特征在于,该系统包括:
分析模块,用于对P2P协议流量的初始握手交互过程进行分析,获得代表选定的交互过程的状态转移集合,其中包括所述状态转移过程中的关键命令;
分流模块,用于根据五元组将待识别的流量分成多条流;
第一识别模块,用于按照P2P协议的消息重组的启发性条件集合判断待识别的流是否能够进行P2P协议的消息重组;
第二识别模块,用于检查不能够进行P2P协议的消息重组的待识别的流的消息中是否包含所述关键命令;
第三识别模块,用于判断不能够进行P2P协议的消息重组且包含所述关键命令的待识别的流的消息构成是否符合所述交互过程的状态转移集合中的项,若不符合,则判断所述流为非P2P协议流量,否则,判定所述流为P2P协议流量;
其中,所述选定的交互过程为空闲状态与数据传输状态之间的交互过程;
所述P2P协议的消息重组的启发性条件为:
a.P2P协议的头没有加密,体是经过加密的;
b.在P2P协议的头的连接部分,有多个0x00内容的字节,或者连续两个或三个0x00内容的字节;
c.P2P协议的头以连续三个0x00字节结束,或者在连续两个或三个0x00后有一段设定长度的内容之后结束;
其中,所述分析模块进一步包括:
抓取单元,用于抓取P2P协议纯流量;
分流单元,用于对P2P协议纯流量进行五元组分流,所述五元组为:源IP、目的IP、源端口、目的端口、以及协议号;
消息定义单元,根据P2P协议的基本结构,定义P2P协议消息,得到所述消息重组的启发性条件集合,其中,定义P2P协议消息为从一个P2P协议头开始到下一个头之前结束;
消息重组单元,用于将P2P协议流量中的每个流按照所述消息定义单元的定义及启发性条件集合进行P2P协议的消息重组;
迭代聚类单元,用于按照每个消息中所包含的有效属性对消息进行相似度聚类,通过迭代聚类,获得P2P协议所述选定的交互过程的状态转移集合,及所述关键命令集合,每个消息中所包含的有效属性包括:命令、头长度、以及是否包含体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105623960A CN101984635B (zh) | 2010-11-23 | 2010-11-23 | P2p协议流量识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105623960A CN101984635B (zh) | 2010-11-23 | 2010-11-23 | P2p协议流量识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101984635A CN101984635A (zh) | 2011-03-09 |
| CN101984635B true CN101984635B (zh) | 2012-12-26 |
Family
ID=43641806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105623960A Active CN101984635B (zh) | 2010-11-23 | 2010-11-23 | P2p协议流量识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101984635B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546625A (zh) * | 2011-12-31 | 2012-07-04 | 深圳市永达电子股份有限公司 | 半监督聚类集成的协议识别系统 |
| CN103532908B (zh) * | 2012-07-02 | 2017-06-16 | 清华大学 | 一种基于二级决策树的p2p协议识别方法 |
| CN103546441B (zh) * | 2012-07-16 | 2016-12-21 | 清华大学 | 基于多级决策树的协议识别方法 |
| CN103731416B (zh) * | 2013-12-11 | 2016-11-16 | 清华大学 | 一种基于网络流量的协议识别方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
| CN101741686A (zh) * | 2008-11-13 | 2010-06-16 | 天津比蒙新帆信息技术有限公司 | 一种基于数学建模技术应用于p2p网络的流量识别与控制的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100949808B1 (ko) * | 2007-12-07 | 2010-03-30 | 한국전자통신연구원 | P2p 트래픽 관리 장치 및 그 방법 |
-
2010
- 2010-11-23 CN CN2010105623960A patent/CN101984635B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
| CN101741686A (zh) * | 2008-11-13 | 2010-06-16 | 天津比蒙新帆信息技术有限公司 | 一种基于数学建模技术应用于p2p网络的流量识别与控制的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101984635A (zh) | 2011-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110753064B (zh) | 机器学习和规则匹配融合的安全检测系统 | |
| Lin et al. | Application classification using packet size distribution and port association | |
| CN103078897B (zh) | 一种实现Web业务细粒度分类与管理的系统 | |
| CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| CN107465690B (zh) | 一种基于流量分析的被动式异常端口实时检测方法及系统 | |
| KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
| CN103873320A (zh) | 加密流量识别方法及装置 | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN106657144B (zh) | 一种基于增强学习的动态保护路径规划方法 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| CN101984635B (zh) | P2p协议流量识别方法及系统 | |
| Wang et al. | Characterizing application behaviors for classifying p2p traffic | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN108289125A (zh) | 基于流式处理的tcp会话重组与统计数据提取方法 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| Dong et al. | RETRACTED: Flow online identification method for the encrypted Skype | |
| CN105357071B (zh) | 一种网络复杂流量识别方法及识别系统 | |
| CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
| CN101170496B (zh) | 一种点对点媒体流确定方法和装置 | |
| Altschaffel et al. | Statistical pattern recognition based content analysis on encrypted network: Traffic for the teamviewer application | |
| CN110300085A (zh) | 网络攻击的取证方法、装置、系统、统计集群和计算集群 | |
| CN106257867A (zh) | 一种加密流量的业务识别方法和装置 | |
| CN102185705B (zh) | 一种基于信息还原的内网视频文件监控方法 | |
| Zhou et al. | IoT unbalanced traffic classification system based on Focal_Attention_LSTM |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |