CN106936667A - 一种基于应用程序流量分布式分析的主机实时识别方法 - Google Patents

一种基于应用程序流量分布式分析的主机实时识别方法 Download PDF

Info

Publication number
CN106936667A
CN106936667A CN201710249904.1A CN201710249904A CN106936667A CN 106936667 A CN106936667 A CN 106936667A CN 201710249904 A CN201710249904 A CN 201710249904A CN 106936667 A CN106936667 A CN 106936667A
Authority
CN
China
Prior art keywords
main frame
application
fingerprint
identification
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710249904.1A
Other languages
English (en)
Other versions
CN106936667B (zh
Inventor
杨明
潘培龙
罗军舟
凌振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN201710249904.1A priority Critical patent/CN106936667B/zh
Publication of CN106936667A publication Critical patent/CN106936667A/zh
Application granted granted Critical
Publication of CN106936667B publication Critical patent/CN106936667B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于应用程序流量分布式分析的主机实时识别方法。本发明的方法包括:S1,分布式流量报文分析与处理;S2,设备指纹的生成;S3,主机的实时识别。本发明利用分布式计算平台,针对高速网络环境通过对主机流量的分析,识别并提取主机操作系统和软件信息,生成设备指纹,最终借助机器学习算法实现对主机的实时识别。

Description

一种基于应用程序流量分布式分析的主机实时识别方法
技术领域:
本发明涉及一种基于应用程序流量分布式分析的主机实时识别方法,属于主机识别技术领域。
背景技术:
随着网络技术的快速发展,互联网迅速地融入到人们生活的方方面面。然而,互联网在便捷人们生活的同时,也成为了网络犯罪的温床,各类网络犯罪事件频繁发生。网络监管作为维护网络安全的一道防线,承担了对各类网络犯罪事件监控和管制的任务,并通过对网络犯罪主体的惩处维护网络的安全。主机识别作为网络监管的一个关键环节,在其中发挥着至关重要的作用。本专利将主机在一段时间内的持续网络访问定义为主机的一次网络会话,主机IP地址的变化或者网络访问的中断标志着会话结束,主机识别的目标是通过抽取会话期内的流量特征数据,实现对不同会话的关联识别。
由于主机接入互联网的前提条件是拥有IP地址和MAC地址,依据网络流量报文中的IP地址或MAC地址识别主机是最为直观的方法,然而这类地址并非固定不变,既可以动态申请,也可以人为设定。因此,基于这种强标识进行主机识别的方法难以在实际应用中取得较好的效果。为了应对此类问题,基于网络流量分析的主机识别技术成为一个重要的研究方向。
基于网络流量分析的主机识别技术主要是指通过对设备信息以及主机运行环境信息的收集,实现对主机的识别。其中,收集的有效信息包含设备的硬件信息、操作系统信息、软件信息,以及应用协议的参数信息等。现有的基于网络流量的主机识别技术分别在物理层、链路层、网络层、传输层和应用层进行研究,主要可以分为以下两类:基于物理信号的特征识别技术和基于协议栈的特征识别技术。前者利用设备的细微差异区分不同的主机,而后者则是借助协议栈的相关参数识别主机的操作系统,并进而用于对主机的识别。但是,基于物理信号的主机识别技术能力较弱,无法在大规模网络中取得较好的识别率,而基于协议栈参数的主机识别技术的识别粒度不足,不能直接实现对主机的识别。同时,面对高速网络环境,传统的集中式程序无法提供实时的计算能力,也不能保障系统的可靠性。
发明内容
本发明的目的是针对现有技术中存在的问题,提出一种基于应用程序流量分布式分析的主机实时识别方法,利用分布式计算平台,针对高速网络环境通过对主机流量的分析,识别并提取主机操作系统和软件信息,生成设备指纹,最终借助机器学习算法实现对主机的实时识别。
上述的目的通过以下技术方案实现:
一种基于应用程序流量分布式分析的主机实时识别方法,该方法包括以下步骤:
S1,分布式流量报文分析与处理;
S2,设备指纹的生成;
S3,主机的实时识别。
进一步地,步骤S1的具体过程包括:
S101,从数据源中读取流量报文,并以元组的形式源源不断地传递至分布式报文分析与处理框架内部;
S102,对流量报文头部进行解析,记录报文的时间戳、MAC地址、IP地址、传输层协议类型、端口号、有效载荷长度及其偏移值,并过滤无关协议的报文;
S103,对流量报文进行深度包检测,并识别其应用协议类型;
S104,对流量报文进行应用程序识别。
其中,所述步骤S103,对流量报文进行深度包检测,深度包检测包含规则匹配引擎和协议识别规则两部分。
所述步骤S104,对流量报文进行应用程序识别,主要分为两大类:第一类,协议本身即可标识软件,通过对应用协议的识别即可识别应用程序;第二类,大量软件共用一种应用层传输协议,通过对协议字段值的匹配更进一步地去识别应用程序。在完成了应用程序的识别之后,抽取设备特征数据并存入数据库中,设备特征数据包括软件名称、软件版本号、操作系统类型、设备类型、用户ID以及用户名。为实现应用程序识别的功能,设计了两种数据结构及应用程序识别算法,而在扩展性方面,通过配置文件和动态链接库可以轻易实现对新的应用程序的识别。
其中,所述步骤S2,设备指纹的生成是以小时为单位对特征数据集进行划分,组合软件名称、软件版本号、操作系统类型生成设备指纹,设备指纹即为<操作系统、软件1、软件1+版本1,…>的n元组。针对设备指纹的取值,具体包含布尔型设备指纹和数值型设备指纹两大类。
其中,所述步骤S3,在第一个时间阶段,针对每个主机,利用朴素贝叶斯分类器,对步骤S2处理过后的设备指纹数据集进行机器学习,生成设备指纹的识别模型,而在第二个时间阶段,利用生成的预测模型对步骤S2处理过后的设备指纹进行预测,实时地识别主机。
有益效果:
与现有技术相比,本发明具有以下有益效果:
1、本发明采用分布式计算平台,可有效提升对流量报文数据的处理能力,能满足对高速网络环境下的主机识别的需求,并支持对设备指纹的实时采集与分类,实现对主机的实时识别。同时,平台的高容错性也保障了系统能够持续稳定的运行。
2、本发明具有很好的可扩展性,体现在协议识别模块和应用程序识别模块两个方面。对于协议识别模块,编写应用协议识别规则即可添加新型应用协议;对于应用程序识别模块,其配置文件与动态链接库都能轻易实现对新型应用程序的识别和特征抽取。
3、本发明所采用的基于主机运行环境的设备指纹具有很好的隐蔽性,无需侵入主机设备,仅通过对主机生成流量的分析即可完成对主机的识别。
附图说明
图1为本发明实施例中基于应用程序流量分布式分析的主机实时识别方法的系统框架图;
图2为本发明实施例中基于应用程序流量分布式分析的主机实时识别方法的分布式流量报文处理框架图;
图3为本发明实施例中基于应用程序流量分布式分析的主机实时识别方法的协议识别流程图。
具体实施方式
下面结合具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
参见图1所示,本发明实施例中提供一种基于分布式计算平台设计主机实时识别方法。首先基于分布式计算平台Storm从分布式消息队列中读取流量报文,完成对流量报文的分析与处理,并抽取特征数据将其存入分布式数据库,然后通过组合设备的特征数据生成设备指纹,并基于Spark Streaming技术完成对设备指纹的分类,实现对主机的实时识别。方法的具体步骤如下:
S1,分布式流量报文分析与处理。在分布式计算平台Storm上,使用流量分析技术解析流量报文,在此基础上实现对主机运行环境的识别,并抽取主机的设备特征信息,具体包括主机的操作系统特征数据和软件特征数据。分布式流量报文处理框架如图2所示。步骤S1的具体过程包括:
S101,数据输入模块负责流量报文输入。数据输入模块分布在每一台工作机器上,在分布式流量报文分析与处理框架中,负责将数据源Kafka中的流量报文数据以<key,value>元组的形式源源不断地将流量报文传递至处理框架的报文解析模块。
S102,报文解析模块负责接收报文输入模块发送过来的元组,从其中恢复出流量报文的数据内容,并完成对报文头部信息的解析,记录报文的时间戳、MAC地址、IP地址、传输层协议类型、端口号、有效载荷长度及其偏移值。在此过程中,设置过滤规则过滤与主机特征数据无关的流量报文,如过滤ARP协议的流量数据,以提高处理效率。
S103,协议识别模块接着分析报文内容,利用深度包检测技术,实现对其应用协议类型的识别。协议识别模块主要包含规则匹配引擎和协议识别规则两个方面。
Snort作为一个成熟的入侵检测系统,其功能复杂而又繁多。规则匹配引擎是在Snort的核心组件规则匹配引擎的基础之上,加入多线程支持,设计与封装API接口并最终完成与分布式计算平台的衔接。而协议识别规则的编写则是在参考协议文档的基础之上,提取并总结典型协议的特征信息,参考Snort异常检测规则的编写规范,最终编写完成协议的识别规则。
协议识别的流程如图3所示,首先,规则匹配引擎按照给定的协议识别规则生成规则树,然后再针对流量报文数据进行深度包检测,并在此过程中抽取特征数据与规则树进行匹配。当发生规则匹配时,表明该流量报文被识别为某一类型的应用协议。
S104,应用程序识别的基础是协议的识别,针对不同的应用协议,应用程序识别主要分为两大类:一类是协议本身即可标识软件,如OICQ协议即为即时通讯软件QQ的数据传输协议;另一类则是大量软件共用一种应用层传输协议,如HTTP协议是绝大多数软件数据传输的载体,不同软件的数据则是通过设置不同的标志位进行区分。如HTTP协议中请求报文的HOST字段代表的是服务器地址,一般为域名与端口的组合,不同公司的软件产品的服务器地址不会相同,而同一公司的不同软件即使是共用同一个服务器地址,也可以通过HTTP请求字段的参数加以区分。因此HTTP协议的HOST字段与请求参数组合可用于标识不同的软件。以下定义软件识别算法。
首先定义算法使用的数据结构。数据结构分为两个层次:在协议层,其结构是一棵搜索二叉树,每一种应用协议对应于该二叉树中的一个节点,通过赋予应用协议不同的权重,使其均衡的分布于整个二叉树中,同时尽可能减少对二叉树遍历的访问代价,如HTTP作为绝大多数应用软件的数据传输协议,在整个网络中HTTP报文所占比重较大,那么就将HTTP作为二叉树的根节点最为合适;针对HTTP协议的特殊性,设计HTTP软件识别层识别基于HTTP协议进行数据传输的软件,其数据结构是基于Trie树,并以二叉链表的孩子兄弟链存储方式存储HOST字段。最后,基于对应用程序流量报文的观察与分析,总结并生成应用程序识别规则,表1展示了部分应用程序的识别规则。
在应用程序的识别过程中,对应于使用的数据结构,其过程也分为两个阶段:第一个阶段匹配流量报文的应用协议类型,如果流量报文所使用的应用协议不支持其他软件,则已经完成对该应用程序的识别;第二个阶段则是针对HTTP应用协议的流量报文,利用Host字段和请求参数去完成更深层次的匹配。两个阶段中任何一个匹配发生失败,都表示该流量报文无法被识别为某种应用程序。
表1.部分应用程序识别规则表
在扩展性方面,从两个方面保证了应用程序识别模块的可扩展性:配置文件和动态链接库。一方面,针对简单的应用程序分析流程,系统接受配置文件作为输入,用户可以通过扩展配置文件的方式丰富应用程序的识别种类;另一方面,针对复杂的应用程序分析流程,系统也接受动态链接库作为输入,用户负责制定应用程序识别和特征抽取的流程,并通过动态链接的方式将其嵌入系统之中。
应用程序识别模块的最后一个任务是特征提取。在软件识别的基础之上,提取软件的相关信息,具体包括软件名称、软件版本号、操作系统类型、设备类型、用户ID以及用户名,这些数据将被用于设备指纹的生成。应用程序识别模块最终将这些特征数据存入分布式数据库HBase中。
S2,设备指纹的生成。当设备的特征信息被抽取并存储到分布式数据库HBase后,组合同一会话期内的特征数据生成特征向量,并将其作为设备的指纹。具体如下:
本发明以小时(可调整)为单位对特征数据集进行划分,组合软件名称、软件版本号、操作系统类型生成设备指纹,同一时间段内的同一设备的所有设备信息将被用于生成一条设备指纹。当设备全天候处于开启状态,并且设备上的软件也在不断地利用网络进行数据的传输,则此设备在这一天中将会生成24条设备指纹。假定软件名称的输入空间为S={S1,S2,...,SN},而第i种软件版本的输入空间为其中CK为第i种软件的版本总数,而操作系统类型则为O,那么设备指纹的特征向量即为:
针对主机是否安装了某种软件,以及设备在某段时间范围内使用某种软件的频次,可以将设备指纹分为两大类:布尔型设备指纹和数值型设备指纹。在生成数值型设备指纹时,需要设定一个计数间隔INTERVAL,在同一个计数间隔内的多次访问只记一次,该参数消除了在软件操作的瞬间大量突发流量对实验结果的影响。相较于布尔型设备指纹,数值型设备指纹加入了用户的主机的操作习惯及偏好程度,因此其识别效果更佳。
S3,主机的实时识别。主机识别的关键技术即为设备指纹的关联匹配。利用分布式实时计算平台Spark Streaming的实时处理能力接收设备指纹的特征向量,并将其转化为分布式内存数据集,最后利用朴素贝叶斯算法完成对新生成的设备指纹与历史设备指纹的关联匹配。设备指纹的分类结果即为识别的主机,并依据设备的最新地址信息(如IP地址或MAC地址)实现对设备的追踪。而当发现主机的设备指纹发生变化时,可以及时更新设备指纹库。
假设主机A在T1时间段内出现服务提供商SP1所服务的范围内,通过对主机A所生成网络流量的分析、应用协议识别、应用程序识别、设备特征数据抽取,再通过组合设备的特征数据生成设备指纹,假设生成的设备指纹为FP1;假设主机A在T2时间段内又出现在服务提供商SP2所服务的范围内,通过对该主机所生成网络流量的一系列处理之后,所生成的设备指纹为FP2;假设主机在T1和T2这两个时间段内的设备环境没有发生较大变化,那么FP1与FP2应基本一致或变化不大,在允许的偏差内,步骤S3会在T2时间段内实时识别该主机即为主机A,也即实现了主机在时间段T1和T2两个时间段内会话的关联。
以上具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述方法包括以下步骤:
S1,分布式流量报文分析与处理;
S2,设备指纹的生成;
S3,主机的实时识别。
2.如权利要求1所述的基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述步骤S1的具体过程包括:
S101,从数据源中读取流量报文,并以元组的形式源源不断地传递至分布式报文分析与处理框架内部;
S102,对流量报文头部进行解析,记录报文的时间戳、MAC地址、IP地址、传输层协议类型、端口号、有效载荷长度及其偏移值,并过滤无关协议的报文;
S103,对流量报文进行深度包检测,并识别其应用协议类型;
S104,对流量报文进行应用程序识别。
3.如权利要求2所述的基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述步骤S103,对流量报文进行深度包检测,深度包检测包含规则匹配引擎和协议识别规则两部分。
4.如权利要求2所述的基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述步骤S104,对流量报文进行应用程序识别,分为两大类:第一类,协议本身即可标识软件,通过对应用协议的识别即可识别应用程序;第二类,大量软件共用一种应用层传输协议,通过对应用协议字段值的匹配更进一步地去识别应用程序,在完成了应用程序的识别之后,抽取设备特征数据并存入数据库中,所述的设备特征数据包括软件名称、软件版本号、操作系统类型、设备类型、用户ID以及用户名,为实现应用程序识别的功能,设计了两种数据结构及应用程序识别算法,而在扩展性方面,通过配置文件和动态链接库可以实现对新的应用程序的识别。
5.如权利要求1所述的基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述步骤S2,设备指纹的生成是以小时为单位对特征数据集进行划分,组合软件名称、软件版本号、操作系统类型生成设备指纹,设备指纹即为:操作系统、软件1、软件1+版本1,…的n元组,针对设备指纹的取值,具体包含布尔型设备指纹和数值型设备指纹两大类。
6.如权利要求1所述的基于应用程序流量分布式分析的主机实时识别方法,其特征在于:所述步骤S3,在第一个时间阶段,针对每个主机,利用朴素贝叶斯分类器,对步骤S2处理过后的设备指纹数据集进行机器学习,生成设备指纹的识别模型,而在第二个时间阶段,利用生成的预测模型对步骤S2处理过后的设备指纹进行预测,实时地识别主机。
CN201710249904.1A 2017-04-17 2017-04-17 一种基于应用程序流量分布式分析的主机实时识别方法 Active CN106936667B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710249904.1A CN106936667B (zh) 2017-04-17 2017-04-17 一种基于应用程序流量分布式分析的主机实时识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710249904.1A CN106936667B (zh) 2017-04-17 2017-04-17 一种基于应用程序流量分布式分析的主机实时识别方法

Publications (2)

Publication Number Publication Date
CN106936667A true CN106936667A (zh) 2017-07-07
CN106936667B CN106936667B (zh) 2020-08-11

Family

ID=59437524

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710249904.1A Active CN106936667B (zh) 2017-04-17 2017-04-17 一种基于应用程序流量分布式分析的主机实时识别方法

Country Status (1)

Country Link
CN (1) CN106936667B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566372A (zh) * 2017-09-06 2018-01-09 南京南瑞集团公司 大数据环境下基于特征值反馈的安全数据采集优化方法
CN108173834A (zh) * 2017-12-25 2018-06-15 北京计算机技术及应用研究所 终端指纹技术识别“一卡通”网络终端
CN108418758A (zh) * 2018-01-05 2018-08-17 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108600414A (zh) * 2018-05-09 2018-09-28 中国平安人寿保险股份有限公司 设备指纹的构建方法、装置、存储介质及终端
CN109450733A (zh) * 2018-11-26 2019-03-08 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN109948650A (zh) * 2019-02-13 2019-06-28 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN110049147A (zh) * 2019-03-28 2019-07-23 中国科学院计算技术研究所 一种nat后主机数量检测方法
CN110545219A (zh) * 2019-09-25 2019-12-06 杭州安恒信息技术股份有限公司 工业资产的被动识别方法、装置和电子设备
CN110602041A (zh) * 2019-08-05 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于白名单的物联网设备识别方法、装置及网络架构
CN110661796A (zh) * 2019-09-23 2020-01-07 武汉绿色网络信息服务有限责任公司 一种用户动作流量的识别方法和识别装置
CN111224976A (zh) * 2019-12-31 2020-06-02 厦门美域中央信息科技有限公司 一种基于树状分类结构的网络应用协议库管理方法
CN111464479A (zh) * 2019-01-18 2020-07-28 千寻位置网络有限公司 终端设备用户身份的识别方法及系统
CN112202718A (zh) * 2020-09-03 2021-01-08 西安交通大学 一种基于XGBoost算法的操作系统识别方法、存储介质及设备
TWI727566B (zh) * 2019-12-26 2021-05-11 玉山商業銀行股份有限公司 設備綁定驗證方法及系統
CN113204570A (zh) * 2021-04-14 2021-08-03 福建星瑞格软件有限公司 一种基于数据特征的数据库协议识别方法及装置
CN113329107A (zh) * 2021-08-03 2021-08-31 北京顶象技术有限公司 一种应对操作系统变更影响设备指纹计算的方法及装置
CN113691523A (zh) * 2021-08-20 2021-11-23 中国科学技术大学先进技术研究院 面向实时网络流量密码应用评估方法和终端设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120027015A1 (en) * 2010-07-27 2012-02-02 Cisco Technology, Inc., A Corporation Of California Application of Services in a Packet Switching Device
CN105959321A (zh) * 2016-07-13 2016-09-21 中国人民解放军理工大学 网络远程主机操作系统被动识别方法及装置
CN106357620A (zh) * 2016-08-27 2017-01-25 浙江远望信息股份有限公司 一种服务器设备的智能识别方法
CN106534145A (zh) * 2016-11-28 2017-03-22 北京天行网安信息技术有限责任公司 一种应用识别方法及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120027015A1 (en) * 2010-07-27 2012-02-02 Cisco Technology, Inc., A Corporation Of California Application of Services in a Packet Switching Device
CN105959321A (zh) * 2016-07-13 2016-09-21 中国人民解放军理工大学 网络远程主机操作系统被动识别方法及装置
CN106357620A (zh) * 2016-08-27 2017-01-25 浙江远望信息股份有限公司 一种服务器设备的智能识别方法
CN106534145A (zh) * 2016-11-28 2017-03-22 北京天行网安信息技术有限责任公司 一种应用识别方法及设备

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566372A (zh) * 2017-09-06 2018-01-09 南京南瑞集团公司 大数据环境下基于特征值反馈的安全数据采集优化方法
CN108173834A (zh) * 2017-12-25 2018-06-15 北京计算机技术及应用研究所 终端指纹技术识别“一卡通”网络终端
CN108418758A (zh) * 2018-01-05 2018-08-17 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108418758B (zh) * 2018-01-05 2021-01-29 网宿科技股份有限公司 一种单包识别方法及流量引导方法
CN108600414A (zh) * 2018-05-09 2018-09-28 中国平安人寿保险股份有限公司 设备指纹的构建方法、装置、存储介质及终端
CN108600414B (zh) * 2018-05-09 2022-04-26 中国平安人寿保险股份有限公司 设备指纹的构建方法、装置、存储介质及终端
CN109450733B (zh) * 2018-11-26 2020-10-23 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN109450733A (zh) * 2018-11-26 2019-03-08 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN111464479B (zh) * 2019-01-18 2022-03-25 千寻位置网络有限公司 终端设备用户身份的识别方法及系统
CN111464479A (zh) * 2019-01-18 2020-07-28 千寻位置网络有限公司 终端设备用户身份的识别方法及系统
CN109948650A (zh) * 2019-02-13 2019-06-28 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN109948650B (zh) * 2019-02-13 2023-08-11 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN110049147A (zh) * 2019-03-28 2019-07-23 中国科学院计算技术研究所 一种nat后主机数量检测方法
CN110602041A (zh) * 2019-08-05 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于白名单的物联网设备识别方法、装置及网络架构
CN110661796A (zh) * 2019-09-23 2020-01-07 武汉绿色网络信息服务有限责任公司 一种用户动作流量的识别方法和识别装置
CN110545219A (zh) * 2019-09-25 2019-12-06 杭州安恒信息技术股份有限公司 工业资产的被动识别方法、装置和电子设备
TWI727566B (zh) * 2019-12-26 2021-05-11 玉山商業銀行股份有限公司 設備綁定驗證方法及系統
CN111224976A (zh) * 2019-12-31 2020-06-02 厦门美域中央信息科技有限公司 一种基于树状分类结构的网络应用协议库管理方法
CN112202718A (zh) * 2020-09-03 2021-01-08 西安交通大学 一种基于XGBoost算法的操作系统识别方法、存储介质及设备
CN113204570A (zh) * 2021-04-14 2021-08-03 福建星瑞格软件有限公司 一种基于数据特征的数据库协议识别方法及装置
CN113329107A (zh) * 2021-08-03 2021-08-31 北京顶象技术有限公司 一种应对操作系统变更影响设备指纹计算的方法及装置
CN113329107B (zh) * 2021-08-03 2021-11-09 北京顶象技术有限公司 一种应对操作系统变更影响设备指纹计算的方法及装置
CN113691523A (zh) * 2021-08-20 2021-11-23 中国科学技术大学先进技术研究院 面向实时网络流量密码应用评估方法和终端设备
CN113691523B (zh) * 2021-08-20 2023-10-10 中科国昱(合肥)科技有限公司 面向实时网络流量密码应用评估方法和终端设备

Also Published As

Publication number Publication date
CN106936667B (zh) 2020-08-11

Similar Documents

Publication Publication Date Title
CN106936667A (zh) 一种基于应用程序流量分布式分析的主机实时识别方法
Kim et al. AI-IDS: Application of deep learning to real-time Web intrusion detection
Sun et al. DL‐IDS: Extracting Features Using CNN‐LSTM Hybrid Network for Intrusion Detection System
CN110753064B (zh) 机器学习和规则匹配融合的安全检测系统
Vartouni et al. An anomaly detection method to detect web attacks using stacked auto-encoder
US11122058B2 (en) System and method for the automated detection and prediction of online threats
Fu et al. Service usage classification with encrypted internet traffic in mobile messaging apps
CN106464577B (zh) 网络系统、控制装置、通信装置以及通信控制方法
US11228604B2 (en) Cyber defense system
CN105871832A (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN112532633B (zh) 一种基于机器学习的工业网络防火墙规则的生成方法及装置
CN102571946B (zh) 一种基于对等网络的协议识别与控制系统的实现方法
US20230092159A1 (en) Label guided unsupervised learning based network-level application signature generation
CN110417729A (zh) 一种加密流量的服务与应用分类方法及系统
Wang et al. Using CNN-based representation learning method for malicious traffic identification
CN112804253A (zh) 一种网络流量分类检测方法、系统及存储介质
CN112861894A (zh) 一种数据流分类方法、装置及系统
Niandong et al. Detection of probe flow anomalies using information entropy and random forest method
Wang et al. An unknown protocol syntax analysis method based on convolutional neural network
US9398040B2 (en) Intrusion detection system false positive detection apparatus and method
US20230353595A1 (en) Content-based deep learning for inline phishing detection
Latif et al. Distributed denial of service (DDoS) attack detection using data mining approach in cloud-assisted wireless body area networks
CN114666282A (zh) 一种基于机器学习的5g流量识别方法及装置
Wang et al. C-GRU: A Parallel Neural Network for Malicious Traffic Classification
Komisarek et al. Hunting cyberattacks: experience from the real backbone network.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant