CN107404398A - 一种网络用户行为判别系统 - Google Patents

一种网络用户行为判别系统 Download PDF

Info

Publication number
CN107404398A
CN107404398A CN201710405126.0A CN201710405126A CN107404398A CN 107404398 A CN107404398 A CN 107404398A CN 201710405126 A CN201710405126 A CN 201710405126A CN 107404398 A CN107404398 A CN 107404398A
Authority
CN
China
Prior art keywords
data
data traffic
module
network application
flows
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710405126.0A
Other languages
English (en)
Inventor
余顺争
林越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
National Sun Yat Sen University
Original Assignee
National Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Sun Yat Sen University filed Critical National Sun Yat Sen University
Priority to CN201710405126.0A priority Critical patent/CN107404398A/zh
Publication of CN107404398A publication Critical patent/CN107404398A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Abstract

本发明属于网络管理与网络安全技术领域,特别是涉及一种网络用户行为判别系统。包括网络应用数据采集模块、数据流量聚类模块、数据流量特征提取模块、用户行为判别模型,所述的网络应用数据采集模块将采集到的流量数据传递给数据流量聚类模块,数据流量聚类模块将信息传递给数据流量特征提取模块,数据流量特征提取模块与网络应用数据采集模块连接,网络应用数据采集模块再将信息传递给用户行为判别模块,用户未知行为产生的数据流量由数据流量特征提取模块获取后传递给用户行为判别模块。本发明提供的一种网络用户行为判别系统,利用不同网络应用在用户不同行为下,产生的流量的统计特征存在的差异,对未知行为产生的流量数据进行分类。

Description

一种网络用户行为判别系统
技术领域
本发明属于网络管理与网络安全技术领域,特别是涉及一种网络用户行为判别系统。
背景技术
Internet上的网络应用日新月异。除了基于常见的、标准的应用层协议的各种应用以外,还大量出现各种非标准协议的应用,特别是采用了加密协议的应用。加密技术的日益成熟,使应用数据的保密性得到极大的提高。对于加密应用,即使网络管理人员采集到了用户产生的数据,也难以进行破译,得到用户的有效信息。此外,网络应用的功能也趋于多样化,一个应用往往提供了数种功能。面对这种情况,网络管理人员和研究人员将关注的重点提升到用户的行为层面,希望可以通过研究网络应用产生的数据,判断用户对应时刻使用的网络应用及具体功能。
发明内容
本发明的目的在于克服现有技术的不足,提供一种网络用户行为判别系统,该系统利用不同网络应用在用户不同行为下,产生的流量的统计特征存在的差异,对未知行为产生的流量数据进行分类。
为解决上述问题,本发明提供的技术方案是:一种网络用户行为判别系统,其特征在于,包括网络应用数据采集模块、数据流量聚类模块、数据流量特征提取模块、用户行为判别模型;
所述的网络应用数据采集模块用于采集流量数据并传递给数据流量聚类模块;
所述的数据流量聚类模块用于将流量数据进行分割、计算、聚类,再将所得流量数据传递给数据流量特征提取模块;
所述的数据流量特征提取模块用于对流量数据进行计算其特征,将流量数据特征传递给网络应用数据采集模块;
所述的网络应用数据采集模块用于将采集到的流量数据特征传递给用户行为判别模型;
所述的用户行为判别模型用于对流量数据进行训练和判别。
进一步地,所述的网络应用数据采集模块的采集过程是以人工或脚本的形式对某一网络应用进行单一操作,采集此过程中产生的数据流量,并提取出每一个数据包的时间戳和长度信息。网络应用数据采集模块可以根据实际需求,在设定的频率范围内,以设定的时长范围,运行指定的网络应用,模拟正常用户的特定操作,产生并采集网络应用的流量数据。本模块还可以采集真实用户在使用网络应用时产生的数据。同时,本模块负责对流量数据进行标记,记录每一条流量数据对应的网络应用和用户行为,并提取出每一个数据包的时间戳和长度两个信息。用户重复使用某一网络应用进行某一操作时产生的所有流量数据构成了原始样本集。
进一步地,所述的数据流量聚类模块将网络应用数据采集模块采集到的数据流量,按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个标准,对数据流量进行分离,并在时间上进行分割,同时利用动态时间规整技术计算流量数据之间的距离。
进一步地,所述的数据流量聚类模块利用层次聚类技术对数据流量进行聚类,并在聚类结果的每一类里选择一个代表性流量。
进一步地,所述的数据流量聚类模块还针对网络用户各种行为重复运行,以获取网络用户各种行为下产生的数据流量样本。
数据流量聚类模块将流量数据根据IP地址,按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向进行分离,分离之后每一条数据流量会产生三条数据流量。对于分离后的每一条流量,本模块以秒为间隔单位对其进行分割。对于持续时间为L秒的流量数据,模块将其分割为序列{f1,f2,…,fi,…,fL},其中fi代表了截止到i时刻的数据量之和。
本模块利用动态时间规整技术计算两个数据流f的距离。以计算数据流f1、f2之间的距离为例,具体过程为:
(1)根据IP地址,将fL(L=1、2)分割为分别代表从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向的数据流;
(2)利用动态时间规整技术计算的距离d1,的距离d2,的距离d3。数据流f1、f2之间的距离定义为d=0.35×d1+0.35×d2+0.3×d3
本模块以上述计算方式计算原始样本集流量数据两两之间的距离,利用层次聚类技术,根据原始样本集中的流量数据两两之间的距离,对原始样本集进行聚类。在完成聚类之后,本模块在聚成一类的所有样本中选取具有代表性的流量样本,选取的原则是,代表性流量样本应该满足“到同一类中其他流量样本的距离之和最小”的要求。
对于不同的应用、同一个应用可进行的不同操作,系统均用前述网络应用数据采集模块、数据流量聚类模块两个模块进行处理,由此可以得到用户使用不同应用,以及使用同一个应用进行不同操作下产生的具有代表性的流量样本集,此样本集为训练样本集。
进一步地,所述的数据流量特征提取模块对网络应用产生的数据流量进行计算,计算包括数据包大小、时间延迟在内的多个特征。所述数据流量特征提取模块的作用是对于每一条流量数据,计算以下20个特征:1.客户端到服务器的数据包个数;2.服务器到客户端的数据包个数;3.客户端到服务器的数据量(字节);4.服务器到客户端的数据量(字节);5.客户端到服务器的数据包大小均值;6.客户端到服务器的数据包大小标准差;7.服务器到客户端的数据包大小均值;8.服务器到客户端的数据包大小标准差;9.客户端到服务器的包时延均值;10.服务器到客户端的包时延均值;11.客户端到服务器的包时延标准差;12.服务器到客户端的包时延标准差;13.客户端到服务器的数据包最大长度;14.服务器到客户端的数据包最大长度;15.客户端到服务器的数据包最小长度;16.服务器到客户端的数据包最小长度;17.客户端到服务器的数据包时延最大值;18服务器到客户端的数据包时延最大值;19.客户端到服务器的数据包时延最小值;20.服务器到客户端的数据包时延最小值。
进一步地,所述的用户行为判别模型使用随机森林模型,包含训练和判别两个步骤。
进一步地,所述的训练步骤利用数据流量聚类模块得到的网络用户各种行为下产生的数据流量样本,对随机森林模型进行训练。在训练阶段,本模块利用网络应用数据采集模块和数据流量聚类模块得到的用户不同行为下产生的训练样本集,对随机森林判别模型进行训练。
进一步地,所述的判别步骤对于网络用户未知的行为产生的数据流量,使用数据流量特征提取模块计算其特征,将计算出来的特征输入训练好的随机森林模型,随机森林模型输出该流量对应的网络行为。随机森林判别模型中用于分类的特征为数据流量特征提取模块所得的20个特征中。随机森林判别模型包含了20个决策树分类器,每个决策树分类器用于分类的特征为数据流量特征提取模块所得的20个特征中的任意10个。用户行为判别模块在训练阶段的输出为一个用户行为判别模型。在判别阶段,系统使用者向系统输入一条未知行为流量,未知行为流量分析模块首先调用数据流量特征提取模块计算出该流量的20个特征,然后利用本模块在训练阶段得到的用户行为判别模型进行判别,输出该未知行为流量最有可能由用户使用何种网络应用进行何种操作产生。
与现有技术相比,有益效果是:本发明提供的一种网络用户行为判别系统,利用不同网络应用在用户不同行为下,产生的流量的统计特征存在的差异,对未知行为产生的流量数据进行分类。
附图说明
图1为本发明对网络应用数据进行分析过程示意图。
图2为本发明对未知行为流量进行分析过程示意图。
具体实施方式
为了使本技术领域的人员更好的理解本发明方案,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1、图2所示,一种网络用户行为判别系统,其特征在于,包括网络应用数据采集模块、数据流量聚类模块、数据流量特征提取模块、用户行为判别模型;
所述的网络应用数据采集模块用于采集流量数据并传递给数据流量聚类模块;
所述的数据流量聚类模块用于将流量数据进行分割、计算、聚类,再将所得流量数据传递给数据流量特征提取模块;
所述的数据流量特征提取模块用于对流量数据进行计算其特征,将流量数据特征传递给网络应用数据采集模块;
所述的网络应用数据采集模块用于将采集到的流量数据特征传递给用户行为判别模型;
所述的用户行为判别模型用于对流量数据进行训练和判别。
对于网络应用数据分析过程包括以下步骤:a采集网络应用在用户特定行为下产生的流量;b依照特定的规则对流量进行聚类,并选取具有代表性的流量样本;c利用流量样本训练用户行为判别模型;
对于未知行为流量分析过程包括以下步骤:a对未知行为流量进行特征提取;b利用网络应用数据分析过程得到的用户行为判别模型,判断未知行为流量对应的网络行为。
具体地,网络应用数据采集模块的采集过程是以人工或脚本的形式对某一网络应用进行单一操作,采集此过程中产生的数据流量,并提取出每一个数据包的时间戳和长度信息。网络应用数据采集模块可以根据实际需求,在设定的频率范围内,以设定的时长范围,运行指定的网络应用,模拟正常用户的特定操作,产生并采集网络应用的流量数据。本模块还可以采集真实用户在使用网络应用时产生的数据。同时,本模块负责对流量数据进行标记,记录每一条流量数据对应的网络应用和用户行为,并提取出每一个数据包的时间戳和长度两个信息。用户重复使用某一网络应用进行某一操作时产生的所有流量数据构成了原始样本集。
其中,数据流量聚类模块将网络应用数据采集模块采集到的数据流量,按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个标准,对数据流量进行分离,并在时间上进行分割,同时利用动态时间规整技术计算流量数据之间的距离。
另外,数据流量聚类模块利用层次聚类技术对数据流量进行聚类,并在聚类结果的每一类里选择一个代表性流量。
其中,数据流量聚类模块还针对网络用户各种行为重复运行,以获取网络用户各种行为下产生的数据流量样本。
数据流量聚类模块将流量数据根据IP地址,按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向进行分离,分离之后每一条数据流量会产生三条数据流量。对于分离后的每一条流量,本模块以秒为间隔单位对其进行分割。对于持续时间为L秒的流量数据,模块将其分割为序列{f1,f2,…,fi,…,fL},其中fi代表了截止到i时刻的数据量之和。
本模块利用动态时间规整技术计算两个数据流f的距离。以计算数据流f1、f2之间的距离为例,具体过程为:
(1)根据IP地址,将fL(L=1、2)分割为分别代表从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向的数据流;
(2)利用动态时间规整技术计算的距离d1,的距离d2,的距离d3。数据流f1、f2之间的距离定义为d=0.35×d1+0.35×d2+0.3×d3
本模块以上述计算方式计算原始样本集流量数据两两之间的距离,利用层次聚类技术,根据原始样本集中的流量数据两两之间的距离,对原始样本集进行聚类。在完成聚类之后,本模块在聚成一类的所有样本中选取具有代表性的流量样本,选取的原则是,代表性流量样本应该满足“到同一类中其他流量样本的距离之和最小”的要求。
对于不同的应用、同一个应用可进行的不同操作,系统均用前述网络应用数据采集模块、数据流量聚类模块两个模块进行处理,由此可以得到用户使用不同应用,以及使用同一个应用进行不同操作下产生的具有代表性的流量样本集,此样本集为训练样本集。
具体地,数据流量特征提取模块对网络应用产生的数据流量进行计算,计算包括数据包大小、时间延迟在内的多个特征。所述数据流量特征提取模块的作用是对于每一条流量数据,计算以下20个特征:1.客户端到服务器的数据包个数;2.服务器到客户端的数据包个数;3.客户端到服务器的数据量(字节);4.服务器到客户端的数据量(字节);5.客户端到服务器的数据包大小均值;6.客户端到服务器的数据包大小标准差;7.服务器到客户端的数据包大小均值;8.服务器到客户端的数据包大小标准差;9.客户端到服务器的包时延均值;10.服务器到客户端的包时延均值;11.客户端到服务器的包时延标准差;12.服务器到客户端的包时延标准差;13.客户端到服务器的数据包最大长度;14.服务器到客户端的数据包最大长度;15.客户端到服务器的数据包最小长度;16.服务器到客户端的数据包最小长度;17.客户端到服务器的数据包时延最大值;18服务器到客户端的数据包时延最大值;19.客户端到服务器的数据包时延最小值;20.服务器到客户端的数据包时延最小值。
其中,用户行为判别模型使用随机森林模型,包含训练和判别两个步骤。
另外,训练步骤利用数据流量聚类模块得到的网络用户各种行为下产生的数据流量样本,对随机森林模型进行训练。在训练阶段,本模块利用网络应用数据采集模块和数据流量聚类模块得到的用户不同行为下产生的训练样本集,对随机森林判别模型进行训练。
其中,判别步骤对于网络用户未知的行为产生的数据流量,使用数据流量特征提取模块计算其特征,将计算出来的特征输入训练好的随机森林模型,随机森林模型输出该流量对应的网络行为。随机森林判别模型中用于分类的特征为数据流量特征提取模块所得的20个特征中。随机森林判别模型包含了20个决策树分类器,每个决策树分类器用于分类的特征为数据流量特征提取模块所得的20个特征中的任意10个。用户行为判别模块在训练阶段的输出为一个用户行为判别模型。在判别阶段,系统使用者向系统输入一条未知行为流量,未知行为流量分析模块首先调用数据流量特征提取模块计算出该流量的20个特征,然后利用本模块在训练阶段得到的用户行为判别模型进行判别,输出该未知行为流量最有可能由用户使用何种网络应用进行何种操作产生。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (9)

1.一种网络用户行为判别系统,其特征在于,包括网络应用数据采集模块、数据流量聚类模块、数据流量特征提取模块、用户行为判别模型;
所述的网络应用数据采集模块用于采集流量数据并传递给数据流量聚类模块;
所述的数据流量聚类模块用于将流量数据进行分割、计算、聚类,再将所得流量数据传递给数据流量特征提取模块;
所述的数据流量特征提取模块用于对流量数据进行计算其特征,将流量数据特征传递给网络应用数据采集模块;
所述的网络应用数据采集模块用于将采集到的流量数据特征传递给用户行为判别模型;
所述的用户行为判别模型用于对流量数据进行训练和判别。
2.根据权利要求1所述的一种网络用户行为判别系统,其特征在于,所述的网络应用数据采集模块的采集过程是以人工或脚本的形式对某一网络应用进行单一操作,采集此过程中产生的数据流量,并提取出每一个数据包的时间戳和长度信息。
3.根据权利要求1所述的一种网络用户行为判别系统,其特征在于,所述的数据流量聚类模块将网络应用数据采集模块采集到的数据流量,按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个标准,在时间上进行分割,并利用动态时间规整技术计算流量数据之间的距离。
4.根据权利要求3所述的一种网络用户行为判别系统,其特征在于,所述的数据流量聚类模块利用层次聚类技术对数据流量进行聚类,并在聚类结果的每一类里选择一个代表性流量。
5.根据权利要求4所述的一种网络用户行为判别系统,其特征在于,所述的数据流量聚类模块还针对网络用户各种行为重复运行,以获取网络用户各种行为下产生的数据流量样本。
6.根据权利要求1所述的一种网络用户行为判别系统,其特征在于,所述的数据流量特征提取模块对网络应用产生的数据流量进行计算,计算包括数据包大小、时间延迟在内的多个特征。
7.根据权利要求1所述的一种网络用户行为判别系统,其特征在于,所述的用户行为判别模型使用随机森林模型,包含训练和判别两个步骤。
8.根据权利要求7所述的一种网络用户行为判别系统,其特征在于,所述的训练步骤利用数据流量聚类模块得到的网络用户各种行为下产生的数据流量样本,对随机森林模型进行训练。
9.根据权利要求8所述的一种网络用户行为判别系统,其特征在于,所述的判别步骤对于网络用户未知的行为产生的数据流量,使用数据流量特征提取模块计算其特征,将计算出来的特征输入训练好的随机森林模型,随机森林模型输出该流量对应的网络行为。
CN201710405126.0A 2017-05-31 2017-05-31 一种网络用户行为判别系统 Pending CN107404398A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710405126.0A CN107404398A (zh) 2017-05-31 2017-05-31 一种网络用户行为判别系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710405126.0A CN107404398A (zh) 2017-05-31 2017-05-31 一种网络用户行为判别系统

Publications (1)

Publication Number Publication Date
CN107404398A true CN107404398A (zh) 2017-11-28

Family

ID=60404436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710405126.0A Pending CN107404398A (zh) 2017-05-31 2017-05-31 一种网络用户行为判别系统

Country Status (1)

Country Link
CN (1) CN107404398A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108438001A (zh) * 2018-03-15 2018-08-24 东南大学 一种基于时间序列聚类分析的异常驾驶行为判别方法
CN109145934A (zh) * 2017-12-22 2019-01-04 北京数安鑫云信息技术有限公司 基于日志的用户行为数据处理方法、介质、设备及装置
CN109359686A (zh) * 2018-10-18 2019-02-19 西安交通大学 一种基于校园网流量的用户画像方法及系统
CN109474598A (zh) * 2018-11-19 2019-03-15 西安交通大学 一种基于数据包时序的恶意加密流量分析特征提取方法
CN110244099A (zh) * 2019-06-24 2019-09-17 河南工业大学 基于用户电压的窃电检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833085A (zh) * 2011-06-16 2012-12-19 北京亿赞普网络技术有限公司 基于海量用户行为数据的通讯网络报文分类系统及方法
EP2584496A1 (en) * 2011-10-20 2013-04-24 Telefonaktiebolaget L M Ericsson AB (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
CN103582512A (zh) * 2013-02-04 2014-02-12 华为技术有限公司 特征提取装置、网络流量识别方法、装置和系统
CN105141455A (zh) * 2015-08-24 2015-12-09 西南大学 一种基于统计特征的有噪网络流量分类建模方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN106713324A (zh) * 2016-12-28 2017-05-24 北京奇艺世纪科技有限公司 一种流量检测方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833085A (zh) * 2011-06-16 2012-12-19 北京亿赞普网络技术有限公司 基于海量用户行为数据的通讯网络报文分类系统及方法
EP2584496A1 (en) * 2011-10-20 2013-04-24 Telefonaktiebolaget L M Ericsson AB (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
CN103582512A (zh) * 2013-02-04 2014-02-12 华为技术有限公司 特征提取装置、网络流量识别方法、装置和系统
CN105141455A (zh) * 2015-08-24 2015-12-09 西南大学 一种基于统计特征的有噪网络流量分类建模方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置
CN106713324A (zh) * 2016-12-28 2017-05-24 北京奇艺世纪科技有限公司 一种流量检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张建,武东英,刘惠生: "基于随机森林的流量分类方法", 《信息工程大学学报》 *
王变琴,余顺争: "未知网络应用流量的自动提取办法", 《通信学报》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109145934A (zh) * 2017-12-22 2019-01-04 北京数安鑫云信息技术有限公司 基于日志的用户行为数据处理方法、介质、设备及装置
CN109145934B (zh) * 2017-12-22 2019-05-21 北京数安鑫云信息技术有限公司 基于日志的用户行为数据处理方法、介质、设备及装置
CN108438001A (zh) * 2018-03-15 2018-08-24 东南大学 一种基于时间序列聚类分析的异常驾驶行为判别方法
CN109359686A (zh) * 2018-10-18 2019-02-19 西安交通大学 一种基于校园网流量的用户画像方法及系统
CN109474598A (zh) * 2018-11-19 2019-03-15 西安交通大学 一种基于数据包时序的恶意加密流量分析特征提取方法
CN110244099A (zh) * 2019-06-24 2019-09-17 河南工业大学 基于用户电压的窃电检测方法

Similar Documents

Publication Publication Date Title
CN107404398A (zh) 一种网络用户行为判别系统
CN102035698B (zh) 基于决策树分类算法的http隧道检测方法
CN105577679B (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN104270392B (zh) 一种基于三分类器协同训练学习的网络协议识别方法及系统
CN105871832B (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN102271090B (zh) 基于传输层特征的流量分类方法及装置
CN108259371A (zh) 一种基于流处理的网络流量数据解析方法和装置
CN103746982B (zh) 一种http网络特征码自动生成方法及其系统
CN103200133A (zh) 一种基于网络流引力聚类的流量识别方法
CN109936578A (zh) 一种面向网络中https隧道流量的检测方法
CN110290022A (zh) 一种基于自适应聚类的未知应用层协议识别方法
CN107896160A (zh) 一种基于分布式系统的数据中心网络流量建模方法
CN108846275A (zh) 基于ripper算法的未知操作系统类型识别方法
CN106330584A (zh) 一种业务流的识别方法及识别装置
CN106998322A (zh) 一种使用视频业务的平均意见分均值特征的流分类方法
CN105141455A (zh) 一种基于统计特征的有噪网络流量分类建模方法
CN112381119B (zh) 基于去中心化应用加密流量特征的多场景分类方法及系统
CN110324327A (zh) 基于特定企业域名数据的用户及服务器ip地址标定装置及方法
CN109660656A (zh) 一种智能终端应用程序识别方法
CN104021348B (zh) 一种隐匿p2p程序实时检测方法及系统
CN104657747A (zh) 一种基于统计特征的网络游戏流分类方法
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN116150688A (zh) 智能家居中轻量级的物联网设备识别方法与装置
CN111600878A (zh) 一种基于maf-adm的低速率拒绝服务攻击检测方法
Min et al. Online Internet traffic identification algorithm based on multistage classifier

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171128

RJ01 Rejection of invention patent application after publication