CN108833360A - 一种基于机器学习的恶意加密流量识别技术 - Google Patents
一种基于机器学习的恶意加密流量识别技术 Download PDFInfo
- Publication number
- CN108833360A CN108833360A CN201810499683.8A CN201810499683A CN108833360A CN 108833360 A CN108833360 A CN 108833360A CN 201810499683 A CN201810499683 A CN 201810499683A CN 108833360 A CN108833360 A CN 108833360A
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- machine learning
- model
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种基于机器学习的流量识别技术,识别的对象是经过加密的恶意流量,本技术主要应用于流量识别领域,也可以辅助应用于网络攻击检测领域。本技术的技术核心是利用机器学习算法建立恶意加密流量识别模型,再通过模型去识别新流量。该技术的工作流程为读取大量已知属性流量数据,提取流量的统计性特征,将特征作为属性,使用随机森林算法建立模型,最后使用模型去识别新输入的流量。新输入流量的识别流程为提取流量统计性特征,输入模型进行识别,得出识别结果。本技术主要针对于加密和编码的流量,参与建模的数据全部由正常加密流量和恶意加密流量组成,这是因为如今非加密流量的识别技术已经很成熟,而对加密或编码流量的识别却十分困难,本技术为加密流量的识别提供了新的解决方法。
Description
技术领域
本发明涉及加密流量识别领域与流量统计性特征建模领域,主要核心是采集大量流量数据样本的统计性特征,利用数据建立机器学习模型,并使用构建的模型识别恶意加密流量。
技术背景
目前大部分传统的流量识别技术主要依靠于特征匹配实现,广泛用于明文流量识别。但是,由于加密或编码后的恶意流量,其相关的特征无法被直接提取,所以无法直接使用匹配特征技术检测识别出经过加密的恶意流量。传统的流量识别技术提取特征的前提是对加密流量进行解密,但是这涉及到隐私侵犯的问题,恶意流量的加密是为了逃过以特征匹配技术为核心的流量识别技术,而正常流量的加密往往是为了保护用户的隐私。因此,对加密的正常流量和恶意流量一视同仁是难以容忍的,解密恶意的流量是对恶意攻击的检测,但解密正常流量可能就是侵犯用户的隐私。如果使用以特征匹配为核心的流量识别技术,想要识别一个加密流量是否是恶意流量,就必须先对加密流量进行解密,而一旦对正常流量进行解密,就可能侵犯用户隐私,所以解密前必须知道其是否属于恶意流量,这就陷入了一个死循环:解密是为了识别,而解密的前提却是识别。
因此,在不侵犯用户隐私的情况下,采用传统的特征匹配难以识别恶意加密流量。特征匹配的实现通常是通过唯一性特征或特殊特征建立恶意流量模型,一旦新输入的流量与模型中的特征匹配,就被识别为恶意流量。这种技术有两个明显的缺陷。
一、无法对处理过的流量进行识别,如加密、编码。因为一旦流量进行处理,就无法通过正常途径提取出需要匹配的特征,无法进行匹配。
二、无法对未知类型的恶意流量进行识别。因为新型的恶意流量不会被设定好的模型匹配,所以会被视为“正常流量”。
目前,越来越多的攻击采用加密的方式去躲避依靠流量识别的攻击检测技术,而且越严重的攻击越难以被识别。这样的现状严重威胁着人们网络生活的安全以及国家网络系统的安全,当传统的特征匹配无法再提供稳定和准确的恶意流量识别,网络系统急需一种能够在不需解密加密流量的情况下,检测识别恶意加密流量的方法。
发明内容
“一种基于机器学习的恶意加密流量识别技术”是为了解决在不解密加密流量的条件下去识别恶意流量而提出的发明。发明的目标是在不侵犯用户隐私的前提下,对采集的流量进行识别,解析出其中隐藏的恶意加密流量。
本发明创新性地用统计性特征结合机器学习去替代传统的特征匹配。特征匹配无法识别加密流量的问题在于两点:无法提取特征、无法进行匹配,而在本发明中,统计性特征解决了提取特征的问题,机器学习解决了进行匹配的问题。传统的特征匹配无法提取特征的根本原因在于相关特征被加密,所以在不解密的情况下难以提取,而统计性特征却不受加密影响,依旧可以被提取,比如数据流中最大数据包包长、平均数据包时间间隔等等,这些统计性的特征不会受到加密的影响而无法提取,因为“加密”的对象针对的是数据流内部的明文信息,对于时间、包长等外在特征没有影响。本发明还使用机器学习建模的方法替代传统的特征匹配方法,由于传统的特征匹配方法有着非一即零的缺陷,其容易错判、漏判,而机器学习建立模型的识别方法在于预测,拥有更高的合理性与可信度。
为了实现这种加密流量识别技术,本发明选择了32种统计性特征作为流量识别特征,并采用随机森林作为机器学习算法。技术框架包含了数据采集,特征提取,建模数据备份,机器学习建模,流量样本识别这五个模块。数据采集的对象是加密恶意流量与加密正常流量,只采集加密流量是为了降低非加密流量对模型针对性的影响,因为非加密流量的识别已经很成熟。本发明最终实现了一种技术,提取数据样本中统计性特征,建立随机森林模型,在模型评估优秀的前提下进行恶意加密流量识别,拥有着极高的识别率以及极低的误报率和漏报率。
附图说明
从下面结合附图的详细描述,可以更加清楚地理解本发明的目标、实现方法、优点以及特性,其中。
图1是发明的技术流程框架。
图2是数据采集层的工作流程。
图3统计性特征层特征提取流程。
图4是所需提取的32种统计性特征列举。
图5是机器学习建模层详细过程图。
图6是模型识别层的详细流程图。
具体实施方式
本发明主要用于恶意加密流量识别,识别的恶意流量来源包括恶意攻击软件,扫描软件,钓鱼网站,木马病毒,恶意挖矿机等,由于建模采用的数据是流量的统计性特征,因此模型根据数据样本,可以掌握恶意加密流量的统计学规律,不仅能够识别已知的恶意加密流量,也能对未知的新型恶意流量进行识别。
下面结合附图对发明的技术框架进行说明。
图1 发明的技术流程框架
图1是本发明的技术框架图,采用分层模型框架。每一层都具有不同的功能,且每一层的输入都来源于上一层的输出。底部的数据样本采集层的输入为原始的正常流样本和恶意流样本,统计性特征提取层的输入为已经筛选且整理好的数据流样本,建模数据备份层的输入是已经提取完的统计性特征集,机器学习建模层的输入是可以直接用以建模的数据(统计性特征集),模型识别层的输入已经完成建模的模型。下面对每一层做详细说明。
图2 数据采集层的工作流程
根据图2所示,由于数据样本的质量对于建模质量的影响十分高,因此在提取统计性特征之前,将会对数据样本进行一次筛选,剔除掉一些质量低且对建模意义不大的数据,提取其中优秀的数据作为建模样本。其中判断为优质数据流的条件如下。
一、数据流总数据包数在20到1000之间。
二、数据流中携带着信息。
三、数据流是一个完整的双向流,而不是单向流。
数据流的数据包总数限制可以剔除掉一些过大或过小的数据流,这些数据流的建模意义不大,只会对建模带来不必要的负担。数据流中携带信息是为了剔除掉一些单纯的握手协议,而双向流的要求是为了确保数据流的完整性,确保源IP与目的IP之间有交互性。在对采集的数据进行筛选后,将最终优秀的数据流样本分别存储,这是因为随机森林是有监督的机器学习算法,区分存储可以方便对数据进行打标签。
在最后的模型识别中,参与建模的恶意流量样本和正常流量样本的比例影响到误报率和漏报率。误报率是指将正常流量误报为恶意流量的概率,而漏报率指的是将恶意流量识别为正常流量的概率。对于实际网络环境来说,误报率是比漏报率更加难以容忍的,因为将正常流量误报成恶意流量从而阻挡正常流的运行,很可能造成网络阻塞,正常服务无法运行。因此综合实际情况考虑,本发明采用的恶意流、正常流比例为1:5。
在数据样本准备就绪后,进行数据流统计性特征的提取,图3显示了统计性特征提取层的详细流程。
图3 统计性特征层特征提取流程
本发明提取的特征一共有32种,图4是对所需提取的统计性特征的列举。
图4 所需提取的32种统计性特征列举
在表中有28种特征为传输层统计性特征,主要与数量、长度和时间这三大类相关。由于异常流量往往伴随着加密和编码等处理手段,隐藏了包长和时间等有效信息,因此仅靠这28种传输层统计性特征依旧不足以分类恶意加密流量,所以本发明选用了4种应用层统计性特征,以下是对着4种特征的介绍与提取方法。
一、比特值分布(Bit_Positions_Meter)。由于前几个数据包中往往储存着与应用层协议相关的字节序列,所以统计非0值的偏移量作为判断依据。提取方法为载荷部分,一个数据包的前16个字节(128位),把值为1的位数相加。取一个流的前八个数据包,做平均数。
二、比特值频率比(Bit_Value_Meter)。根据数据包载荷中的0,1值分布情况,可以判断应用层协议是否加密,如BT流量的MSE协议。提取方法为载荷部分,一个数据包的前32个字节,统计这32个字节在0-7这八个位数上0出现的个数,计算概率,最后计算期望值。取前5个数据包的平均数。
三、字节比较值(Byte_Equality_Meter)。统计数据流中同方向下数据包载荷信息变化规律,提取方法为载荷部分,在前4个数据包中,每个数据包前32字节与前一个同方向的包的同位置字节进行比较,相同记为1,不同记为0,最后32位2进制转为10进制后除以10的八次方。
四、字符频数统计(Byte_Frequency_Meter)。统计数据包载荷部分每个字节所有的256种可能值。提取方法为载荷部分,取前32个字节,统计256种可能的数量,计算概率,再计算熵值。总共取5个数据包。
在特征提取完成后,建模数据将会进入建模数据备份层,数据会被存储作为备份,这是因为特征提取在数据量巨大的条件下是十分耗时的,每次建模都进行现场提取是浪费时间的,因此在数据样本相同的情况下,提取出的特征数据存储为备份,避免反复提取,而下一次建模只需要读取备份就可以获取已经提取出的特征数据来直接建模。机器学习建模层详细过程如图5所示。
图5 机器学习建模层详细过程图
在提取或读取备份获取建模数据后,本发明将直接进行建模工作,建模采用的机器学习算法是随机森林算法,其通过随机的方式去生成一个包含众多决策树的森林,但是这些决策树之间是没有关联的,也基本上都不相同。选择随机森林算法的原因是它有以下几个优点:1. 相比于其他算法,拥有较高的准确率,误报率低;2. 能够高效地运行在庞大的数据集内;3.能够直接应用于高维的特征输入样本上,不需要通过特征选择来降维;能够评估各个特征对于分类的重要程度;4.对缺省值问题也能够很好的解决;5.在生成过程中,可以获取到内部生成误差的一种无偏估计。其实随机森林的特点远不止这些,它的强大在于它基本可以适用于众多机器学习领域的问题,可以用来处理任何复杂的分类问题。
本发明采用设置随机森林内决策树建立的个数为100,特征子集的大小为特征集大小的平方根,以建模数据作为输入进行建模。一旦模型建立完成,其将会作为输入传入模型识别层,模型识别层的详细流程如下。
图6 模型识别层的详细流程图
如图6所示,在模型识别层中会以上层的模型作为核心来完成识别工作,在需要识别的流集合中读取流,按照统计性特征提取层的流程提取统计性特征,最终使用随机森林模型进行识别,得出识别结果。
由于随机森林十分适应高纬度的建模工作,随着样本量的增大,时间的消耗也十分小,增长比也十分低。因此,本发明的模型拥有优秀的模型性质,且建模的时间代价也十分低。
如上所述,本发明成功地在不解密加密流量的前提下去识别恶意加密流量,且拥有着极高的准确率和极低的误报率及漏报率。本发明比传统的恶意流量识别方法有如下优点:1.解决了难以识别恶意加密流量的问题;2.拥有很高的成长性,随着建模样本集增大,模型的精确度和可行度也会越来越高;3.可以识别出未知的、新出现的恶意流量,因为它们拥有相似的统计性特征;4.时间代价低,建模数据可以二次利用。
尽管出于说明的目的描述了本发明的优选实施例子,本领域人员将理解,在不脱离如附属权利要求所披露的本发明的范围和精神的情况下,各种修改、增加和替换都是可能的。
Claims (8)
1.一种基于机器学习的恶意加密流量识别技术,其特征在于所述方法包括如下步骤:
A、在数据采集层,采集大量数据流样本,提取出其中具有优秀品质的流量作为样本;
B、在统计性特征提取层,获取流量样本,提取出流量的统计性特征;
C、在建模数据备份层,将提取出的流统计性特征作为建模数据进行备份;
D、在机器学习模型层,读取建模数据,使用随机森林算法进行模型建立;
E、在模型识别层,使用建立好的模型,对加密恶意流量进行识别。
2.根据权利要求1所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤A中“优秀品质的流量”定义如下:
A1、数据流总数据包数在20到1000之间;
A2、数据流中携带着信息;
A3、数据流是一个完整的双向流,而不是单向流。
3.根据权利要求1所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤A中数据采集的要求如下:
所采集的数据流皆为加密流量,且恶意加密流量与正常流量的数量比例为1:5。
4.根据权利要求1所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤B中进一步包括如下要求:
B1、所提取的流的统计性特征一共有28种传输层统计性特征;
B2、所提取的流的统计性特征一共有4种应用层载荷信息统计性特征;
B3、统计性特征提取结束后,会备份作为下一次建模的建模数据。
5.根据权利要求4所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤B1中的28种传输层统计性特征包括如下:
上行总包数、上行总字节数、下行总包数、下行总字节数、最小上行包长度、最大上行包长度、平均上行包长度、上行包长标准差、最小下行包长度、最大下行包长度、平均下行包长度、下行包长标准差、最小上行包时间间隔、最大上行包时间间隔、平均上行包时间间隔、上行包时间间隔标准差、最小下行包时间间隔、最大下行包时间间隔、平均下行包时间间隔、下行包时间间隔标准差、平均包到达时间间隔、平均包时间间隔标准差、上行包PSH标记数量、下行包PSH标记数量、上行包URG标记数量、下行包URG标记数量、每秒到达的包数、每秒到达的字节数。
6.根据权利要求4所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤B2中的4种应用层载荷信息统计性特征包括如下:
比特值分布、比特值频率比、字节比较值、字符频数统计。
7.根据权利要求1所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤C中进一步包括如下步骤:
D1、获取建模数据,建模数据来源于统计性特征提取层或建模数据备份层;
D2、设置随机森林内决策树建立的个数为100,特征子集的大小为特征集大小的平方根;
D3、以数据数据作为输入,调整参数,建立随机森林模型。
8.根据权利要求1所述的一种基于机器学习的恶意加密流量识别技术,所述的步骤D中进一步包括如下步骤:
E1、提取所需识别数据流量的统计性特征,特征要求如B1、B2所述;
E2、将提取出的特征作为输入传递给所建立的随机森林模型;
E3、模型最后返回识别结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810499683.8A CN108833360B (zh) | 2018-05-23 | 2018-05-23 | 一种基于机器学习的恶意加密流量识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810499683.8A CN108833360B (zh) | 2018-05-23 | 2018-05-23 | 一种基于机器学习的恶意加密流量识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108833360A true CN108833360A (zh) | 2018-11-16 |
| CN108833360B CN108833360B (zh) | 2019-11-08 |
Family
ID=64148386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810499683.8A Active CN108833360B (zh) | 2018-05-23 | 2018-05-23 | 一种基于机器学习的恶意加密流量识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108833360B (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
| CN109474598A (zh) * | 2018-11-19 | 2019-03-15 | 西安交通大学 | 一种基于数据包时序的恶意加密流量分析特征提取方法 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN110022313A (zh) * | 2019-03-25 | 2019-07-16 | 河北师范大学 | 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法 |
| CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
| CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
| CN110535728A (zh) * | 2019-09-05 | 2019-12-03 | 烽火通信科技股份有限公司 | 一种网络流量感知方法及系统 |
| CN110659669A (zh) * | 2019-08-26 | 2020-01-07 | 中国科学院信息工程研究所 | 一种基于加密摄像头视频流量模式变化的用户行为识别方法及系统 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| CN111464485A (zh) * | 2019-01-22 | 2020-07-28 | 北京金睛云华科技有限公司 | 一种加密代理流量检测方法和装置 |
| CN111885083A (zh) * | 2020-07-31 | 2020-11-03 | 北京微步在线科技有限公司 | 一种恶意加密流量检测方法及装置 |
| CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN112134898A (zh) * | 2020-09-28 | 2020-12-25 | 北京嘀嘀无限科技发展有限公司 | 一种网络流量判定方法和系统 |
| CN112217763A (zh) * | 2019-07-10 | 2021-01-12 | 四川大学 | 一种基于机器学习的隐蔽tls通信流检测方法 |
| CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
| CN112367292A (zh) * | 2020-10-10 | 2021-02-12 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112787954A (zh) * | 2021-01-26 | 2021-05-11 | 武汉思普崚技术有限公司 | 一种加密挖矿流量识别方法、系统、装置及存储介质 |
| CN112800424A (zh) * | 2021-02-02 | 2021-05-14 | 西南交通大学 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
| CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与系统 |
| CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及系统 |
| CN113704762A (zh) * | 2021-09-02 | 2021-11-26 | 广州大学 | 基于集成学习的恶意软件加密流量检测方法 |
| CN114172720A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种密文攻击流量的检测方法及相关装置 |
| CN114268484A (zh) * | 2021-12-17 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 恶意加密流量检测方法、装置、电子设备及存储介质 |
| CN114465786A (zh) * | 2022-01-21 | 2022-05-10 | 中电积至(海南)信息技术有限公司 | 一种加密网络流量的监控方法 |
| CN114726653A (zh) * | 2022-05-24 | 2022-07-08 | 深圳市永达电子信息股份有限公司 | 基于分布式随机森林的异常流量检测方法和系统 |
| CN114884715A (zh) * | 2022-04-27 | 2022-08-09 | 深信服科技股份有限公司 | 一种流量检测方法、检测模型训练方法、装置及相关设备 |
| CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164049A (zh) * | 2011-04-28 | 2011-08-24 | 中国人民解放军信息工程大学 | 加密流量的普适识别方法 |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
| US9100309B2 (en) * | 2013-04-15 | 2015-08-04 | International Business Machines Corporation | Identification and classification of web traffic inside encrypted network tunnels |
| CN105430021A (zh) * | 2015-12-31 | 2016-03-23 | 中国人民解放军国防科学技术大学 | 基于载荷相邻概率模型的加密流量识别方法 |
| CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
| CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
| US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
| US20180124085A1 (en) * | 2016-11-02 | 2018-05-03 | Cujo LLC | Extracting Encryption Metadata and Terminating Malicious Connections Using Machine Learning |
-
2018
- 2018-05-23 CN CN201810499683.8A patent/CN108833360B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102164049A (zh) * | 2011-04-28 | 2011-08-24 | 中国人民解放军信息工程大学 | 加密流量的普适识别方法 |
| US9100309B2 (en) * | 2013-04-15 | 2015-08-04 | International Business Machines Corporation | Identification and classification of web traffic inside encrypted network tunnels |
| CN103873320A (zh) * | 2013-12-27 | 2014-06-18 | 北京天融信科技有限公司 | 加密流量识别方法及装置 |
| CN105430021A (zh) * | 2015-12-31 | 2016-03-23 | 中国人民解放军国防科学技术大学 | 基于载荷相邻概率模型的加密流量识别方法 |
| CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
| US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
| US20180124085A1 (en) * | 2016-11-02 | 2018-05-03 | Cujo LLC | Extracting Encryption Metadata and Terminating Malicious Connections Using Machine Learning |
| CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
| CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
| CN107786575A (zh) * | 2017-11-11 | 2018-03-09 | 北京信息科技大学 | 一种基于dns流量的自适应恶意域名检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| BLAKE ANDERSON 等: "Identifying Encrypted Malware Traffic with Contextual Flow Data", 《NEW YORK:ACM》 * |
| 张伟 等: "基于传输层会话行为统计特征的恶意流量识别", 《小型微型计算机系统》 * |
| 陈伟 等: "基于载荷特征的加密流量快速识别方法", 《计算机工程》 * |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474598A (zh) * | 2018-11-19 | 2019-03-15 | 西安交通大学 | 一种基于数据包时序的恶意加密流量分析特征提取方法 |
| CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
| CN111464485A (zh) * | 2019-01-22 | 2020-07-28 | 北京金睛云华科技有限公司 | 一种加密代理流量检测方法和装置 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN109818976B (zh) * | 2019-03-15 | 2021-09-21 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN110022313A (zh) * | 2019-03-25 | 2019-07-16 | 河北师范大学 | 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法 |
| CN110022313B (zh) * | 2019-03-25 | 2021-09-17 | 河北师范大学 | 基于机器学习的多态蠕虫特征提取及多态蠕虫辨识方法 |
| CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
| CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN112085039B (zh) * | 2019-06-12 | 2022-08-16 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
| CN112217763A (zh) * | 2019-07-10 | 2021-01-12 | 四川大学 | 一种基于机器学习的隐蔽tls通信流检测方法 |
| CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
| CN110659669A (zh) * | 2019-08-26 | 2020-01-07 | 中国科学院信息工程研究所 | 一种基于加密摄像头视频流量模式变化的用户行为识别方法及系统 |
| CN110535728A (zh) * | 2019-09-05 | 2019-12-03 | 烽火通信科技股份有限公司 | 一种网络流量感知方法及系统 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
| CN111885083A (zh) * | 2020-07-31 | 2020-11-03 | 北京微步在线科技有限公司 | 一种恶意加密流量检测方法及装置 |
| CN112134898A (zh) * | 2020-09-28 | 2020-12-25 | 北京嘀嘀无限科技发展有限公司 | 一种网络流量判定方法和系统 |
| CN112367292A (zh) * | 2020-10-10 | 2021-02-12 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112367292B (zh) * | 2020-10-10 | 2021-09-03 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112235160B (zh) * | 2020-10-14 | 2022-02-01 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
| CN112235160A (zh) * | 2020-10-14 | 2021-01-15 | 福建奇点时空数字科技有限公司 | 一种基于协议数据深层检测的流量识别方法 |
| CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与系统 |
| CN112787954A (zh) * | 2021-01-26 | 2021-05-11 | 武汉思普崚技术有限公司 | 一种加密挖矿流量识别方法、系统、装置及存储介质 |
| CN112800424A (zh) * | 2021-02-02 | 2021-05-14 | 西南交通大学 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
| CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及系统 |
| CN113704762B (zh) * | 2021-09-02 | 2022-06-21 | 广州大学 | 基于集成学习的恶意软件加密流量检测方法 |
| CN113704762A (zh) * | 2021-09-02 | 2021-11-26 | 广州大学 | 基于集成学习的恶意软件加密流量检测方法 |
| CN114172720A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种密文攻击流量的检测方法及相关装置 |
| CN114268484A (zh) * | 2021-12-17 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 恶意加密流量检测方法、装置、电子设备及存储介质 |
| CN114465786A (zh) * | 2022-01-21 | 2022-05-10 | 中电积至(海南)信息技术有限公司 | 一种加密网络流量的监控方法 |
| CN114465786B (zh) * | 2022-01-21 | 2023-10-20 | 积至(海南)信息技术有限公司 | 一种加密网络流量的监控方法 |
| CN114884715A (zh) * | 2022-04-27 | 2022-08-09 | 深信服科技股份有限公司 | 一种流量检测方法、检测模型训练方法、装置及相关设备 |
| CN114726653A (zh) * | 2022-05-24 | 2022-07-08 | 深圳市永达电子信息股份有限公司 | 基于分布式随机森林的异常流量检测方法和系统 |
| CN114726653B (zh) * | 2022-05-24 | 2022-11-15 | 深圳市永达电子信息股份有限公司 | 基于分布式随机森林的异常流量检测方法和系统 |
| CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
| CN115150165B (zh) * | 2022-06-30 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108833360B (zh) | 2019-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108833360B (zh) | 一种基于机器学习的恶意加密流量识别方法 | |
| CN107656974A (zh) | 一种大数据分析系统 | |
| CN110224808B (zh) | 基于区块链的银行数据共享方法、装置、计算机设备和存储介质 | |
| CN113254947B (zh) | 一种车辆数据保护方法、系统、设备和存储介质 | |
| CN106559407A (zh) | 一种基于sdn的网络流量异常监测系统 | |
| CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN114866485B (zh) | 一种基于聚合熵的网络流量分类方法及分类系统 | |
| CN113111951B (zh) | 数据处理方法以及装置 | |
| CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
| CN116540597A (zh) | 一种基于边缘计算的工业控制系统 | |
| CN114710353B (zh) | 一种基于AIoT智能边缘网关的风险管控系统 | |
| CN114363412A (zh) | 报文数据处理方法、装置、计算机设备和存储介质 | |
| CN109886039A (zh) | 基于区块链的金融系统合规检测方法及相关设备 | |
| CN113506096B (zh) | 一种基于工业互联网标识解析体系的系统间接口方法 | |
| CN108696503A (zh) | 基于数据包转发验证的软件定义网络(sdn) | |
| CN107659400A (zh) | 一种基于标识识别的量子保密通信方法及装置 | |
| CN109753009A (zh) | 一种液位监测数据在线管理系统 | |
| CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
| CN110098937A (zh) | 一种基于时间戳的数据块关联加密算法 | |
| CN111339050A (zh) | 一种基于大数据平台集中安全审计的方法及系统 | |
| CN115426363B (zh) | 智能板材加工工厂的数据采集方法及终端 | |
| CN108171572A (zh) | 招标筛选方法、设备、存储介质及计算机 | |
| CN115189966A (zh) | 区块链隐私数据加解密服务系统 | |
| CN109788249B (zh) | 基于工业互联网操作系统的视频监控控制方法 | |
| CN112256753A (zh) | 一种数据的加密安全传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |