CN108881192A - 一种基于深度学习的加密型僵尸网络检测系统及方法 - Google Patents

一种基于深度学习的加密型僵尸网络检测系统及方法 Download PDF

Info

Publication number
CN108881192A
CN108881192A CN201810563937.8A CN201810563937A CN108881192A CN 108881192 A CN108881192 A CN 108881192A CN 201810563937 A CN201810563937 A CN 201810563937A CN 108881192 A CN108881192 A CN 108881192A
Authority
CN
China
Prior art keywords
data
module
deep learning
destination host
botnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810563937.8A
Other languages
English (en)
Other versions
CN108881192B (zh
Inventor
邹福泰
俞汤达
吴越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jiaotong University
Original Assignee
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Jiaotong University filed Critical Shanghai Jiaotong University
Priority to CN201810563937.8A priority Critical patent/CN108881192B/zh
Publication of CN108881192A publication Critical patent/CN108881192A/zh
Application granted granted Critical
Publication of CN108881192B publication Critical patent/CN108881192B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于深度学习的加密型僵尸网络检测系统,包括数据收集模块、数据预处理模块、深度学习模块、评估模块,其特征在于,由所述数据收集模块收集到样本数据以后,经过所述数据预处理模块预处理数据,提供给所述深度学习模块训练并得到判定模型,所述评估模块根据所述深度学习模块得到的判定模型,对需要判定的目标主机进行僵尸网络检测,判定所述目标主机是否属于僵尸网络。本发明为一套完整的主机网络检测方案,无需人为选定所有训练特征,训练效率高,成本低。

Description

一种基于深度学习的加密型僵尸网络检测系统及方法
技术领域
本发明涉及计算机网络安全领域的加密型僵尸网络检测方法,尤其涉及一种基于深度学习的加密型僵尸网络检测系统及方法。
背景技术
僵尸网络是指由大量受恶意软件感染的联网设备组成的网络,僵尸网络的使用者通过命令和控制软件对僵尸网络进行控制,在这基础上用作分布式拒绝服务攻击、窃取数据、发送恶意邮件、获取非法权限等等。过去几年,僵尸网络攻击频发,例如以IoT为主体的Mirai以及其数十个变种僵尸网络,被用于分布式拒绝服务攻击、广告欺诈等非法用途,它们在越来越复杂的体系结构中不断发展,使它们的检测成为安全专家的一项非常艰巨的任务。另一方面,研究人员不断努力寻找有效的检测方法。
僵尸网络结构经历了数代变化结构类型多样,对应的检测方法也根据环境变化,从网络协议层面有最开始的IRC僵尸网络检测,之后演变到HTTP和DNS等僵尸网络的检测;从僵尸网络结构上也有如P2P僵尸的检测。目前僵尸网络开始逐渐将加密技术应用到僵尸网络中,传统方法基于特征签名或明文内容的检测方式僵尸主机之间使用加密协议后检测效果急剧下降。在相关研究方面,还没有比较完备的检测加密型僵尸网络的方法。但在检测加密的恶意流量方面,思科提出了基于机器学习的检测方式,分别使用线性回归,逻辑回归,随机森林,支持向量机以及多层感知器,主要以网络流量记录中的数据,并加入了单个包长度和时间以及TLS元数据作为特征。根据结果,多数机器学习检测方法检测恶意流量的准确度在80%以上。
自动编码器(AE)是一种用于学习有含义的数据的浅层前馈神经网络,由一个输入层、一个隐藏层和一个输出层构成。隐藏层的作用是重构压缩数据,如果学习的是网络流量,那么AE就会将输入的流量进行组合转换,并使其仍然保持原有特性。因此,隐藏层包含流量最显著的特征。训练通过不断优化损失函数,调整反向传播重构产生的误差完成的。堆叠自动编码器(SAE)是由多个AE叠加而成的深度前馈神经网络。SAE加入了表示层,前一层AE的隐藏层作为这一层AE的输入层,并不断向后堆叠。SAE的模型与单个AE相比,能够学习到更加抽象的特征。最终输出层神经元计算输入实例属于一个类的概率。产生最大概率的神经元将其标签。SAE主要应用于特征提取和数据分类两方面。
现有技术中存在的未解决的技术问题包括:
①传统的基于机器学习对于恶意流量的检测方法,除了学习数据以外,还需要人为选取特征,特征选取复杂、耗时、效率低下,太多的特征影响机器学习效率,太少的特征影响检测正确率。且不同的技术人员选取的特征不同,会对机器学习结果产生主观上的影响,因此机器学习得到一个合适的分类模型需要耗费很大的时间和人力成本。
②现有技术中虽然可以对恶意流量进行识别,却没有一套完整的识别目标主机是否属于僵尸网络的识别系统和方法。
因此,本领域的技术人员致力于开发一种基于深度学习的加密型僵尸网络检测系统及方法,可以很好地解决上述技术问题。本发明根据运算能力设计了合适的神经网络规模以后,通过深度神经网络SAE训练出分类模型,无需人为选取所有特征,大大提高训练效率;对内容加密的网络流量进行分类,并根据目标主机与恶意攻击之间的联系进一步判断主机是否属于僵尸网络。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是:
①传统的基于机器学习对于恶意流量的检测方法,除了学习数据以外,还需要人为选取特征,特征选取复杂、耗时、效率低下,太多的特征影响机器学习效率,太少的特征影响检测正确率。且不同的技术人员选取的特征不同,会对机器学习结果产生主观上的影响,因此机器学习得到一个合适的分类模型需要耗费很大的时间和人力成本。
②现有技术中虽然可以对恶意流量进行识别,却没有一套完整的识别目标主机是否属于僵尸网络的识别系统和方法。
为实现上述目的,本发明提供了一种基于深度学习的加密型僵尸网络检测系统,包括数据收集模块、数据预处理模块、深度学习模块、评估模块,其特征在于,由所述数据收集模块收集到样本数据以后,经过所述数据预处理模块预处理数据,提供给所述深度学习模块训练并得到判定模型,所述评估模块根据所述深度学习模块得到的判定模型,对需要判定的目标主机进行僵尸网络检测,判定所述目标主机是否属于僵尸网络。
进一步地,所述数据收集模块包括恶意软件分析沙盒,在所述沙盒中执行可疑程序的二进制可执行文件,收集所述可疑程序执行过程中的流量,并对流量按照恶意程序类型进行标注,输出给所述深度学习模块,用于生成恶意攻击分类集合。
进一步地,所述数据预处理模块具有标头调整功能、数据转换功能、数据压缩功能以及数据归一化功能。
进一步地,所述评估模块包括评估函数和恶意攻击分类集合,所述评估函数和所述分类集合由所述深度学习模块生成,所述分类集合描述了目标主机与恶意行为之间的联系,所述评估函数通过计算所述目标主机在所述分类集合中的权值,判定所述目标主机是否属于僵尸网络。
进一步地,所述评估函数满足以下公式:
其中h为目标主机,E(h)为评估函数,{S1,...,Sn}为恶意攻击分类集合,w(Si)为某种恶意攻击类型的权值函数。
本发明还提供了一种基于深度学习的加密型僵尸网络检测方法,其特征在于,包括以下主要步骤:
步骤一、由数据收集模块收集数据并标注恶意程序类型;
步骤二、由数据预处理模块,将步骤一得到的数据进行预处理;
步骤三、由深度学习模块,将步骤二得到的预处理后的数据以及步骤一得到的恶意程序类型作为训练数据,训练得到评估函数以及恶意攻击分类集合;
步骤四、由评估模块,将步骤三得到的评估函数以及恶意攻击分类集合应用到需要判定的目标主机上,判定所述目标主机是否属于僵尸网络。
进一步地,所述步骤一具体为,通过所述数据收集模块中的恶意软件分析沙盒,执行可疑程序的二进制可执行文件,收集所述可疑程序执行过程中的流量,并对流量按照恶意程序类型进行标注。
进一步地,所述步骤二具体为,通过所述数据预处理模块,将步骤一得到的数据进行标头调整、数据转换、数据压缩以及数据归一化操作。
进一步地,所述步骤三中的所述恶意攻击分类集合描述了目标主机与恶意行为之间的联系,所述评估函数通过计算所述目标主机在所述恶意分类集合中的权值,判定所述目标主机是否属于僵尸网络。
进一步地,所述评估函数满足以下公式:
其中h为目标主机,E(h)为评估函数,{S1,...,Sn}为恶意攻击分类集合,w(Si)为某种恶意攻击类型的权值函数。
本发明通过深度神经网络堆叠自动编码器(SAE)对标有恶意特征的程序流量进行训练学习,为自动学习恶意流量的抽象特征,而无需人为选取所有特征。使得训练模效率大大提升,得出的评估函数准确率也相应提高。进一步地,本发明根据检测所得到的结果,依据目标主机包含恶意攻击的数量、同分类中其它主机与其恶意攻击种类重叠的数量以及恶意攻击类型与僵尸网络关联性大小,来判定目标主机是否属于僵尸网络。是一套完整的主机网络检测方案。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的检测流程示意图;
图2是本发明的一个较佳实施例的深度学习模块采用的神经网络结构示意图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
如图1所示,本发明是一种基于深度学习的加密型僵尸网络检测系统。包括数据收集模块1、数据预处理模块2、深度学习模块4、评估模块5。其中,评估模块5通过深度学习模块4得到的判定模型,对目标流量3进行判定,从而得到目标主机6是否属于僵尸网络的结论。
数据收集模块1为执行恶意程序来采集恶意攻击流量的样本。数据收集模块1的核心为恶意软件分析沙盒。在沙盒中执行可疑程序可以避免恶意程序直接对本机系统造成损害。通过执行可疑程序的二进制可执行文件,收集可以程序执行过程中的流量,将该流量传给数据预处理模块2,并对流量按照恶意程序类型进行标注ct,该标注将与经过预处理后的数据一起,成为深度学习模块4的训练样本。
数据预处理模块2对收集到的数据做以下一系列操作,使之成为深度学习模块4的训练样本。
移除不必要的头标:流量数据包含数据链路层的头标,对于流量特征是没有价值的信息,为了提高深度学习模块4的学习效率,首先将不必要的头标去除。
调整传输层头标:由于传输层包含TCP和UDP两种协议,TCP的头标的长度为20个字节而UDP为8个字节,因此在UDP的头标尾部插零,使得所有传输协议的头标长度一致。
数据包位转换、压缩长度:将数据包从位转换成字节,可有效减少神经网络的输入长度,数据包长度不一致也需要补零至同一长度。
数据归一化:为了提高性能,将输入值归一化至[0,1]之间。
数据预处理模块2通过上述预处理将一条数据流量表示为一段[0,1]之间的数的序列,标记为rt,与数据收集模块1对恶意流量的标注ct匹配,将(ct,rt)作为深度学习模块4的一个训练样例。
深度学习模块4使用数据预处理模块2以及数据收集模块1结合的输入样本(ct,rt),通过深度神经网络堆叠自动编码器(SAE)训练出分类模型。深度学习模块4中所使用的神经网络结构如图2所示,包括输入层41、三个隐藏层(42、43、44)以及输出层45。其中第一个隐藏层42设有200个神经元,第二个隐藏层43设有100个神经元,第三个隐藏层44设有50个神经元。每个隐藏层的神经元之间均采用全连接的方式。深度学习模块4会将输入的流量进行组合转换,并使其仍然保持原有特性。因此,隐藏层42、43、44包含流量最显著的特征。通过深度神经网络堆叠自动编码器(SAE)训练,得到评估函数E(h),以及恶意攻击分类集合{S1,...,Sn}。
评估模块5通过由深度学习模块4得到的评估函数E(h)与恶意攻击分类集合{S1,...,Sn},对目标流量3进行评估。得到目标主机6在恶意攻击分类集合{S1,...,Sn}中的分布情况,这个分布代表了主机6与其他主机在恶意行为上可能的联系。设置分类集合中的权值,可计算出评估函数值。将评估函数值与设定的阈值进行比较,从而判断目标主机6是否属于僵尸网络。
本发明的关键点之一在于评估函数E(h)的设计。评估函数E(h)的设计需要考虑三方面因素:
(1)主机h恶意攻击的数量,即包含的恶意攻击越多,为僵尸主机的可能性越大;
(2)主机h所在的分类中其他机器与其恶意攻击种类重叠的数量,即与有相同恶意攻击的主机越多,其本身为僵尸主机的可能性越大。
(3)恶意攻击类型与僵尸网络关联性大小,即使用如洪泛攻击等恶意攻击方式,为僵尸主机的可能性更大
设置主机h恶意类型集合{S1,...,Sn},设置每种恶意攻击类型权值函数w(Si),可以得到评估函数为:
其中h为目标主机,E(h)为评估函数,{S1,...,Sn}为恶意攻击分类集合,w(Si)为某种恶意攻击类型的权值函数。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种基于深度学习的加密型僵尸网络检测系统,包括数据收集模块、数据预处理模块、深度学习模块、评估模块,其特征在于,由所述数据收集模块收集到样本数据以后,经过所述数据预处理模块预处理数据,提供给所述深度学习模块训练并得到判定模型,所述评估模块根据所述深度学习模块得到的判定模型,对需要判定的目标主机进行僵尸网络检测,判定所述目标主机是否属于僵尸网络。
2.如权利要求1所述的基于深度学习的加密型僵尸网络检测系统,其特征在于,所述数据收集模块包括恶意软件分析沙盒,在所述沙盒中执行可疑程序的二进制可执行文件,收集所述可疑程序执行过程中的流量,并对流量按照恶意程序类型进行标注,输出给所述深度学习模块,用于生成恶意攻击分类集合。
3.如权利要求1所述的基于深度学习的加密型僵尸网络检测系统,其特征在于,所述数据预处理模块具有标头调整功能、数据转换功能、数据压缩功能以及数据归一化功能。
4.如权利要求1所述的基于深度学习的加密型僵尸网络检测系统,其特征在于,所述评估模块包括评估函数和恶意攻击分类集合,所述评估函数和所述分类集合由所述深度学习模块生成,所述分类集合描述了目标主机与恶意行为之间的联系,所述评估函数通过计算所述目标主机在所述分类集合中的权值,判定所述目标主机是否属于僵尸网络。
5.如权利要求4所述的基于深度学习的加密型僵尸网络检测系统,其特征在于,所述评估函数满足以下公式:
其中h为目标主机,E(h)为评估函数,{S1,...,Sn}为恶意攻击分类集合,w(Si)为某种恶意攻击类型的权值函数。
6.一种基于深度学习的加密型僵尸网络检测方法,其特征在于,包括以下主要步骤:
步骤一、由数据收集模块收集数据并标注恶意程序类型;
步骤二、由数据预处理模块,将步骤一得到的数据进行预处理;
步骤三、由深度学习模块,将步骤二得到的预处理后的数据以及步骤一所标注的恶意程序类型作为训练数据,训练得到评估函数以及恶意攻击分类集合;
步骤四、由评估模块,将步骤三得到的评估函数以及恶意攻击分类集合应用到需要判定的目标主机上,判定所述目标主机是否属于僵尸网络。
7.如权利要求6所述的基于深度学习的加密型僵尸网络检测方法,其特征在于,所述步骤一具体为,通过所述数据收集模块中的恶意软件分析沙盒,执行可疑程序的二进制可执行文件,收集所述可疑程序执行过程中的流量,并对流量按照恶意程序类型进行标注。
8.如权利要求6所述的基于深度学习的加密型僵尸网络检测方法,其特征在于,所述步骤二具体为,通过所述数据预处理模块,将步骤一得到的数据进行标头调整、数据转换、数据压缩以及数据归一化操作。
9.如权利要求6所述的基于深度学习的加密型僵尸网络检测方法,其特征在于,所述步骤三中的所述恶意攻击分类集合描述了目标主机与恶意行为之间的联系,所述评估函数通过计算所述目标主机在所述恶意分类集合中的权值,判定所述目标主机是否属于僵尸网络。
10.如权利要求7所述的基于深度学习的加密型僵尸网络检测方法,其特征在于,所述评估函数满足以下公式:
其中h为目标主机,E(h)为评估函数,{S1,...,Sn}为恶意攻击分类集合,w(Si)为某种恶意攻击类型的权值函数。
CN201810563937.8A 2018-06-04 2018-06-04 一种基于深度学习的加密型僵尸网络检测系统及方法 Active CN108881192B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810563937.8A CN108881192B (zh) 2018-06-04 2018-06-04 一种基于深度学习的加密型僵尸网络检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810563937.8A CN108881192B (zh) 2018-06-04 2018-06-04 一种基于深度学习的加密型僵尸网络检测系统及方法

Publications (2)

Publication Number Publication Date
CN108881192A true CN108881192A (zh) 2018-11-23
CN108881192B CN108881192B (zh) 2021-10-22

Family

ID=64336395

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810563937.8A Active CN108881192B (zh) 2018-06-04 2018-06-04 一种基于深度学习的加密型僵尸网络检测系统及方法

Country Status (1)

Country Link
CN (1) CN108881192B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109547496A (zh) * 2019-01-16 2019-03-29 西安工业大学 一种基于深度学习的主机恶意行为检测方法
CN109728939A (zh) * 2018-12-13 2019-05-07 杭州迪普科技股份有限公司 一种网络流量检测方法及装置
CN110417810A (zh) * 2019-08-20 2019-11-05 西安电子科技大学 基于逻辑回归的增强模型的恶意加密流量检测方法
CN111079858A (zh) * 2019-12-31 2020-04-28 杭州迪普科技股份有限公司 一种加密数据的处理方法及装置
CN111340191A (zh) * 2020-02-27 2020-06-26 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN111641624A (zh) * 2020-05-25 2020-09-08 西安电子科技大学 基于决策树的网络协议报头压缩方法
CN112767219A (zh) * 2021-02-03 2021-05-07 上海交通大学 基于机器学习的震后受灾人口快速空间评估方法及系统
CN113194063A (zh) * 2021-03-11 2021-07-30 南京航空航天大学 一种物联网网络恶意节点实时检测方法
CN113242233A (zh) * 2021-05-08 2021-08-10 北京交通大学 一种多分类的僵尸网络检测装置
CN113965393A (zh) * 2021-10-27 2022-01-21 浙江网安信创电子技术有限公司 一种基于复杂网络和图神经网络的僵尸网络检测方法
CN115396212A (zh) * 2022-08-26 2022-11-25 国科华盾(北京)科技有限公司 检测模型的训练方法、装置、计算机设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120096553A1 (en) * 2010-10-19 2012-04-19 Manoj Kumar Srivastava Social Engineering Protection Appliance
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法
CN104579773A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 域名系统分析方法及装置
CN106250372A (zh) * 2016-08-17 2016-12-21 国网上海市电力公司 一种用于电力系统的中文电力数据文本挖掘方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120096553A1 (en) * 2010-10-19 2012-04-19 Manoj Kumar Srivastava Social Engineering Protection Appliance
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法
CN104579773A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 域名系统分析方法及装置
CN106250372A (zh) * 2016-08-17 2016-12-21 国网上海市电力公司 一种用于电力系统的中文电力数据文本挖掘方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法
CN107959690A (zh) * 2018-01-16 2018-04-24 中国人民解放军国防科技大学 基于软件定义网络的DDoS攻击跨层协同防御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
寇广等: "深度学习在僵尸云检测中的应用研究", 《通信学报》 *
陈连栋等: "一种分布式的僵尸网络实时检测算法", 《计算机科学》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109728939A (zh) * 2018-12-13 2019-05-07 杭州迪普科技股份有限公司 一种网络流量检测方法及装置
CN109547496A (zh) * 2019-01-16 2019-03-29 西安工业大学 一种基于深度学习的主机恶意行为检测方法
CN110417810A (zh) * 2019-08-20 2019-11-05 西安电子科技大学 基于逻辑回归的增强模型的恶意加密流量检测方法
CN111079858A (zh) * 2019-12-31 2020-04-28 杭州迪普科技股份有限公司 一种加密数据的处理方法及装置
CN111340191B (zh) * 2020-02-27 2023-02-21 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN111340191A (zh) * 2020-02-27 2020-06-26 福州大学 基于集成学习的僵尸网络恶意流量分类方法及系统
CN111641624A (zh) * 2020-05-25 2020-09-08 西安电子科技大学 基于决策树的网络协议报头压缩方法
CN112767219A (zh) * 2021-02-03 2021-05-07 上海交通大学 基于机器学习的震后受灾人口快速空间评估方法及系统
CN113194063B (zh) * 2021-03-11 2022-06-17 南京航空航天大学 一种物联网网络恶意节点实时检测方法
CN113194063A (zh) * 2021-03-11 2021-07-30 南京航空航天大学 一种物联网网络恶意节点实时检测方法
CN113242233A (zh) * 2021-05-08 2021-08-10 北京交通大学 一种多分类的僵尸网络检测装置
CN113965393A (zh) * 2021-10-27 2022-01-21 浙江网安信创电子技术有限公司 一种基于复杂网络和图神经网络的僵尸网络检测方法
CN113965393B (zh) * 2021-10-27 2023-08-01 浙江网安信创电子技术有限公司 一种基于复杂网络和图神经网络的僵尸网络检测方法
CN115396212A (zh) * 2022-08-26 2022-11-25 国科华盾(北京)科技有限公司 检测模型的训练方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN108881192B (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN108881192A (zh) 一种基于深度学习的加密型僵尸网络检测系统及方法
CN109104441A (zh) 一种基于深度学习的加密恶意流量的检测系统和方法
CN110808971B (zh) 一种基于深度嵌入的未知恶意流量主动检测系统及方法
CN105871832A (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN109117634A (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
CN113489685B (zh) 一种基于核主成分分析的二次特征提取及恶意攻击识别方法
CN109831392A (zh) 半监督网络流量分类方法
CN108965248A (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
CN113723440B (zh) 一种云平台上加密tls应用流量分类方法及系统
Vinayakumar et al. Secure shell (ssh) traffic analysis with flow based features using shallow and deep networks
CN115277102B (zh) 网络攻击检测方法、装置、电子设备及存储介质
CN115037543B (zh) 一种基于双向时间卷积神经网络的异常网络流量检测方法
CN110351303B (zh) 一种DDoS特征提取方法及装置
CN112235254B (zh) 一种高速主干网中Tor网桥的快速识别方法
Wang et al. Internet traffic classification using machine learning: a token-based approach
Samadzadeh et al. Evaluating Security Anomalies by Classifying Traffic Using Deep Learning
CN114884704B (zh) 一种基于对合和投票的网络流量异常行为检测方法和系统
Atli et al. Network intrusion detection using flow statistics
CN111292062A (zh) 基于网络嵌入的众包垃圾工人检测方法、系统及存储介质
CN114024748B (zh) 一种结合活跃节点库和机器学习的高效以太坊流量识别方法
CN113746707B (zh) 一种基于分类器及网络结构的加密流量分类方法
CN112929380B (zh) 结合元学习与时空特征融合的木马通信检测方法及系统
CN110071845A (zh) 一种对未知应用进行分类的方法及装置
CN114021637A (zh) 一种基于度量空间下去中心化应用加密流量分类方法及装置
Ma et al. Bi-ETC: A Bidirectional Encrypted Traffic Classification Model Based on BERT and BiLSTM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant