CN109104441A - 一种基于深度学习的加密恶意流量的检测系统和方法 - Google Patents
一种基于深度学习的加密恶意流量的检测系统和方法 Download PDFInfo
- Publication number
- CN109104441A CN109104441A CN201811244932.5A CN201811244932A CN109104441A CN 109104441 A CN109104441 A CN 109104441A CN 201811244932 A CN201811244932 A CN 201811244932A CN 109104441 A CN109104441 A CN 109104441A
- Authority
- CN
- China
- Prior art keywords
- flow
- model
- malicious traffic
- traffic stream
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种基于深度学习的加密恶意流量的检测系统和方法,涉及计算机网络安全领域,包括网站提交模块,流量分析及存储模块,核心分析模块,反馈显示模块。流量分析软件对PCAP包进行分析得到日志文件,然后对这些日志文件根据IP地址进行聚合;对于聚合出的一条流进行特征提取、流量图制作,以及域名的提取;使用xgboost、word2vec+LSTM、CNN产生识别模型,进行组合后实现最终判断。本发明在不需要知道解密后流量内容的情况下,就能对流量的恶意与否进行判断,从而对加密恶意流量进行分析。
Description
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种基于深度学习的加密恶意流量的检测系统和方法。
背景技术
SSL安全套接层协议提供应用层和传输层之间的数据安全性机制,在客户端和服务器之间建立安全通道,对数据进行加密和隐藏,确保数据在传输过程中不被改变[1]。SSL协议在应用层协议通信之前就已经完成加密算法和密钥的协商,在此之后所传送的数据都会被加密,从而保证通信的私密性。
HTTPS加密恶意流量就是在流量传输时使用了SSL加密协议,躲避普通的流量分析技术,为加密流量检测带来新的挑战。而现有的恶意流量检测技术大都要对流量有效载荷内容进行分析,那么对于加密的流量需要先解密再进行分析,但很多时候都没有足够的条件可以对加密恶意流量进行解密,这种方法的实际应用价值不高。所以近年来逐渐出现了基于机器学习的分析方法。
因此,本领域的技术人员致力于开发一种基于深度学习的加密恶意流量的检测系统和方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是在不需要知道解密后流量内容的情况下,对流量的恶意与否进行判断。
为实现上述目的,本发明提供了一种基于深度学习的加密恶意流量的检测系统和方法。在不需要知道解密后流量内容的情况下,就能对流量的恶意与否进行判断,使用流量分析软件对PCAP(Process Characterization Analysis Package,过程特性分析软件包)包进行分析得到日志文件,然后对这些日志文件根据IP地址进行聚合。对于聚合出的一条流,进行特征提取、流量图制作,以及域名的提取,使用xgboost、word2vec+LSTM、CNN产生共三种识别模型,进行组合后实现最终判断,得出最后的结果。本发明不仅判断PCAP包是否还有恶意流量,还会从中判断出恶意的IP地址及其域名(如果存在)。
xgboost实现的是一种通用的Tree Boosting算法,此算法的一个代表为梯度提升决策树。这是一种增强算法,构建T棵回归树,当构建第t棵树时,对前t-1棵树训练样本分类回归产生的残差进行拟合。每次拟合产生新树时,遍历可能的树,选择使目标函数最小的树。
LSTM(Long Short-Term Memory,长短时记忆网络)最早由Sepp Hochreiter和Jürgen Schmidhuber于1997年提出,是RNN(Recurrent neural Network,循环神经网络)的一种特殊类型,可以学习长期依赖信息。LSTM通过增加输入门限,遗忘门限和输出门限,使得自循环的权重是变化的,这样一来在模型参数固定的情况下,不同时刻的积分尺度可以动态改变,从而避免了梯度消失或者梯度膨胀的问题。
卷积神经网络(Convolutional Neural Network,CNN)是一种前馈神经网络,它的人工神经元可以响应一部分覆盖范围内的周围单元。CNN的基本结构一般由输入层、卷积层(convolutional layer)、池化层(pooling layer,也称为下采样层)、全连接层及输出层构成。
在本发明的较佳实施方式中,提供了一种基于深度学习的加密恶意流量的检测系统包括以下模块:
1)网站提交模块:用以在自建服务器上接受用户所上传的流量PCAP包;
2)流量分析及存储模块:使用流量分析软件对用户提交的PCAP包进行分析,将分析结果存为日志文件;
3)核心分析模块:对流量分析及存储模块的日志文件进行数据预处理,然后使用识别模型进行识别,最终组合模型结果,产生最终识别结果;
4)反馈显示模块:收到核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果检测为非恶意流量,则告知用户该流量包不存在恶意流量;否则提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,并显示给用户。
进一步地,流量分析及存储模块使用的流量分析软件为BRO,BRO是一个开源功能强大的流量分析工具;
进一步地,流量分析及存储模块包括事件引擎(或核心),事件引擎将传入的数据包流减少为一系列更高级别的事件,并保存为日志文件。
进一步地,流量分析及存储模块还包括脚本解释器,脚本解释器执行事件处理程序处理从事件引擎得到的事件。
进一步地,流量分析及存储模块还包括脚本解释器,事件处理程序使用BRO的自定义脚本语言编写。
进一步地,核心分析模块的数据预处理,包括特征分析、流量图分析,以及域名分析。
进一步地,核心分析模块使用的识别模型包括xgboost模型、word2vec+LSTM模型、CNN模型。
进一步地,反馈显示模块展示的最终流量的信息包括IP地址以及域名(servername)。
在本发明的另一较佳实施方式中,提供了一种基于深度学习的加密恶意流量的检测方法,包括以下步骤:
101、基于已有的加密流量数据,通过流量分析软件进行分析,获得三个日志文件,通过一些字段进行连接,获得一系列的聚合数据;
102、从上述的聚合数据中提取一系列的特征数据;
103、利用xgboost(eXtreme Gradient Boosting)算法,对102中的特征数据进行训练,获得第一模型;
104、对于每条流量聚合,对于所有的server name,利用word2vec训练出一个词向量转换模型,然后转换成词向量矩阵;
105、将server name转换成词向量矩阵后,用LSTM进行训练,获得第二模型;
106、利用数据包的payload中的特征,构建流量图,获得第三模型;
107、将获得的第一模型、第二模型、第三模型,以不同比例进行加权,获得最终的恶意流量概率;
108、当有用户上传PCAP包时,利用BRO软件对其进行分析,提取其中的特征,根据第一模型、第二模型、第三模型的组合模型对加密流量包进行判断,将结果返回用户。
进一步地,步骤101中的流量分析软件为BRO。
进一步地,步骤101中的日志文件为conn.log,ssl.log,x509.log。
进一步地,步骤102中的特征数据包括连接的持续时间,平均每个传入、传出包的字节数,普通连接和SSL连接的相对比例,证书的有效均值。
进一步地,步骤106中的特征包括源IP发送字节数,目的IP发送的字节数,源IP发送的数据包个数,目的IP发送的数据包个数,源IP发送IP层字节数,目的IP发送IP层字节数。
本发明提供了一种基于深度学习的加密恶意流量的检测系统和方法,在不需要知道解密后流量内容的情况下,就能对流量的恶意与否进行判断,从而对加密恶意流量进行分析。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的组成和流程示意图;
图2是本发明的一个较佳实施例的流量分析和存储模块工作过程示意图;
图3是本发明的一个较佳实施例的核心分析模块流程图;
图4是本发明的一个较佳实施例的反馈显示模块流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
如图1所示,本实施例包括以下模块:
1)网站提交模块:用以在自建服务器上接受用户所上传的流量PCAP包;
2)流量分析及存储模块:使用BRO软件对用户提交的PCAP包进行分析,将分析结果存为日志文件;
3)核心分析模块:对流量分析及存储模块的日志文件进行数据预处理,然后使用识别模型进行识别,最终组合模型结果,产生最终识别结果;
4)反馈显示模块:收到核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果为非恶意流量,则告知用户该流量包不存在恶意流量;否则提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,并显示给用户。
如图2所示,流量分析及存储模块包括事件引擎(或核心)和脚本解释器,事件引擎将传入的数据包流减少为一系列更高级别的事件,并保存为日志文件;脚本解释器,脚本解释器执行一组用BRO的自定义脚本语言编写的事件处理程序,也就是用于处理从事件引擎得到的事件。
如图3所示,核心分析模块对流量分析及存储模块的日志文件进行数据预处理,包括特征分析、流量图分析,以及域名分析。
如图4所示,反馈显示模块收到核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果为检测到恶意流量,则告知用户该流量包不存在恶意流量;否则提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,包括IP地址以及域名(server name),并展示给用户
在本发明的另一较佳实施方式中,提供了一种基于深度学习的加密恶意流量的检测方法,包括以下步骤:
101、基于已有的加密流量数据,通过BRO软件进行分析,获得三个日志文件为conn.log,ssl.log,x509.log,通过一些字段进行连接,获得一系列的聚合数据;
102、从上述的聚合数据中提取一系列的特征数据,包括连接的持续时间,平均每个传入、传出包的字节数,普通连接和SSL连接的相对比例,证书的有效均值;
103、利用xgboost算法,对102中的特征数据进行训练,获得第一模型;
104、对于每条流量聚合,对于所有的server name,利用word2vec训练出一个词向量转换模型,然后转换成词向量矩阵;
105、将server name转换成词向量矩阵后,用LSTM进行训练,获得第二模型;
106、利用数据包的payload中的特征,包括源IP发送字节数,目的IP发送的字节数,源IP发送的数据包个数,目的IP发送的数据包个数,源IP发送IP层字节数,目的IP发送IP层字节数,构建流量图,获得第三模型;
107、将获得的第一模型、第二模型、第三模型,以不同比例进行加权,获得最终的恶意流量概率;
108、当有用户上传PCAP包时,利用BRO软件对其进行分析,提取其中的特征,根据第一模型、第二模型、第三模型的组合模型对加密流量包进行判断,将结果返回用户。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于深度学习的加密恶意流量的检测系统,其特征在于,包括
网站提交模块:用以在自建服务器上接受用户所上传的流量PCAP包;
流量分析及存储模块:使用流量分析软件对所述网站提交模块的所述流量PCAP包进行分析,将分析结果存为日志文件;
核心分析模块:对所述流量分析及存储模块的日志文件进行数据预处理,然后使用识别模型进行识别,最终组合模型结果,产生最终识别结果;
反馈显示模块:收到所述核心分析模块产生的最终识别结果,判断是否检测到恶意流量,如果检测为非恶意流量,告知用户该流量包不存在恶意流量;如果检测为恶意流量,提取出恶意流量的域名信息,并根据白名单再次过滤,得到最终流量的信息,并显示给用户。
2.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析软件为BRO。
3.如权利要求1或2所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析及存储模块包括事件引擎,所述事件引擎将传入的数据包流减少为一系列更高级别的事件,并保存为日志文件。
4.如权利要求3所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述流量分析及存储模块还包括脚本解释器,脚本解释器执行事件处理程序处理从事件引擎得到的事件。
5.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述预处理包括特征分析、流量图分析,以及域名分析;所述识别模型包括xgboost模型、word2vec+LSTM模型、CNN模型。
6.如权利要求1所述的基于深度学习的加密恶意流量的检测系统,其特征在于,所述最终流量的信息包括IP地址以及域名。
7.一种基于深度学习的加密恶意流量的检测方法,其特征在于,所述方法包括以下步骤:
101、基于已有的加密流量数据,通过流量分析软件进行分析,获得日志文件,通过一些字段进行连接,获得一系列的聚合数据;
102、从所述聚合数据中提取一系列的特征数据;
103、利用xgboost算法,对所述特征数据进行训练,获得第一模型;
104、对于每条流量聚合,对于所有的域名,利用word2vec训练出一个词向量转换模型,然后转换成词向量矩阵;
105、将域名转换成词向量矩阵后,用LSTM进行训练,获得第二模型;
106、利用数据包的payload中的特征,构建流量图,获得第三模型;
107、将所述第一模型、所述第二模型、所述第三模型,以不同比例进行加权,获得最终的恶意流量概率;
108、当有用户上传PCAP包时,利用BRO软件对其进行分析,提取其中的特征,根据第一模型、第二模型、第三模型的组合模型对加密流量包进行判断,将结果返回用户。
8.如权利要求7所述的基于深度学习的加密恶意流量的检测方法,其特征在于,所述流量分析软件为BRO。
9.如权利要求7所述的基于深度学习的加密恶意流量的检测方法,其特征在于,所述特征数据包括连接的持续时间,平均每个传入、传出包的字节数,普通连接和SSL连接的相对比例,证书的有效均值。
10.如权利要求7所述的基于深度学习的加密恶意流量的检测方法,其特征在于,所述步骤106中的特征包括源IP发送字节数,目的IP发送的字节数,源IP发送的数据包个数,目的IP发送的数据包个数,源IP发送IP层字节数,目的IP发送IP层字节数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811244932.5A CN109104441A (zh) | 2018-10-24 | 2018-10-24 | 一种基于深度学习的加密恶意流量的检测系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811244932.5A CN109104441A (zh) | 2018-10-24 | 2018-10-24 | 一种基于深度学习的加密恶意流量的检测系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109104441A true CN109104441A (zh) | 2018-12-28 |
Family
ID=64869366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811244932.5A Pending CN109104441A (zh) | 2018-10-24 | 2018-10-24 | 一种基于深度学习的加密恶意流量的检测系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109104441A (zh) |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108134780A (zh) * | 2017-12-12 | 2018-06-08 | 重庆邮电大学 | 基于改进决策树算法的智能家居安防设备安全性判断方法 |
CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
CN109617909A (zh) * | 2019-01-07 | 2019-04-12 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
CN109656918A (zh) * | 2019-01-04 | 2019-04-19 | 平安科技(深圳)有限公司 | 流行病发病指数的预测方法、装置、设备及可读存储介质 |
CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
CN110532564A (zh) * | 2019-08-30 | 2019-12-03 | 中国人民解放军陆军工程大学 | 一种基于cnn和lstm混合模型的应用层协议在线识别方法 |
CN110896381A (zh) * | 2019-11-25 | 2020-03-20 | 中国科学院深圳先进技术研究院 | 一种基于深度神经网络的流量分类方法、系统及电子设备 |
CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
CN110958233A (zh) * | 2019-11-22 | 2020-04-03 | 上海交通大学 | 一种基于深度学习的加密型恶意流量检测系统和方法 |
CN111224946A (zh) * | 2019-11-26 | 2020-06-02 | 杭州安恒信息技术股份有限公司 | 一种基于监督式学习的tls加密恶意流量检测方法及装置 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
CN111314329A (zh) * | 2020-02-03 | 2020-06-19 | 杭州迪普科技股份有限公司 | 流量入侵检测系统和方法 |
CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
TWI700603B (zh) * | 2017-10-30 | 2020-08-01 | 香港商阿里巴巴集團服務有限公司 | 數位證書使用的實現方法和用於執行上述方法的電腦設備及電腦可讀儲存媒體 |
CN112152961A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种恶意加密流量的识别方法及装置 |
CN113824729A (zh) * | 2021-09-27 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、系统及相关装置 |
CN113949531A (zh) * | 2021-09-14 | 2022-01-18 | 北京邮电大学 | 一种恶意加密流量检测方法及装置 |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
CN114650259A (zh) * | 2022-03-10 | 2022-06-21 | 中国电子科技集团公司第三十研究所 | 一种分层级检测的vpn工具精细化分类方法 |
US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11431744B2 (en) | 2018-02-09 | 2022-08-30 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US11438247B2 (en) | 2019-08-05 | 2022-09-06 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11463299B2 (en) | 2018-02-07 | 2022-10-04 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US11463465B2 (en) | 2019-09-04 | 2022-10-04 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
CN115174160A (zh) * | 2022-06-16 | 2022-10-11 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090116394A1 (en) * | 2007-11-07 | 2009-05-07 | Satyam Computer Services Limited Of Mayfair Centre | System and method for skype traffice detection |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105721242A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
-
2018
- 2018-10-24 CN CN201811244932.5A patent/CN109104441A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090116394A1 (en) * | 2007-11-07 | 2009-05-07 | Satyam Computer Services Limited Of Mayfair Centre | System and method for skype traffice detection |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105721242A (zh) * | 2016-01-26 | 2016-06-29 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
Non-Patent Citations (1)
Title |
---|
张波: "基于流特征的加密流量识别技术研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
TWI700603B (zh) * | 2017-10-30 | 2020-08-01 | 香港商阿里巴巴集團服務有限公司 | 數位證書使用的實現方法和用於執行上述方法的電腦設備及電腦可讀儲存媒體 |
CN108134780A (zh) * | 2017-12-12 | 2018-06-08 | 重庆邮电大学 | 基于改进决策树算法的智能家居安防设备安全性判断方法 |
CN108134780B (zh) * | 2017-12-12 | 2021-03-16 | 重庆邮电大学 | 基于改进决策树算法的智能家居安防设备安全性判断方法 |
US11463299B2 (en) | 2018-02-07 | 2022-10-04 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US11431744B2 (en) | 2018-02-09 | 2022-08-30 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
CN109495513B (zh) * | 2018-12-29 | 2021-06-01 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
CN109656918A (zh) * | 2019-01-04 | 2019-04-19 | 平安科技(深圳)有限公司 | 流行病发病指数的预测方法、装置、设备及可读存储介质 |
CN109617909B (zh) * | 2019-01-07 | 2021-04-27 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
CN109617909A (zh) * | 2019-01-07 | 2019-04-12 | 福州大学 | 一种基于smote和bi-lstm网络的恶意域名检测方法 |
CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
CN112152961A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种恶意加密流量的识别方法及装置 |
CN112152961B (zh) * | 2019-06-26 | 2023-01-31 | 北京观成科技有限公司 | 一种恶意加密流量的识别方法及装置 |
US11652714B2 (en) | 2019-08-05 | 2023-05-16 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11438247B2 (en) | 2019-08-05 | 2022-09-06 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
CN110532564B (zh) * | 2019-08-30 | 2023-05-12 | 中国人民解放军陆军工程大学 | 一种基于cnn和lstm混合模型的应用层协议在线识别方法 |
CN110532564A (zh) * | 2019-08-30 | 2019-12-03 | 中国人民解放军陆军工程大学 | 一种基于cnn和lstm混合模型的应用层协议在线识别方法 |
US11463465B2 (en) | 2019-09-04 | 2022-10-04 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
CN110912887B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
CN110958233B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于深度学习的加密型恶意流量检测系统和方法 |
CN110958233A (zh) * | 2019-11-22 | 2020-04-03 | 上海交通大学 | 一种基于深度学习的加密型恶意流量检测系统和方法 |
CN110912887A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于Bro的APT监测系统和方法 |
CN110896381A (zh) * | 2019-11-25 | 2020-03-20 | 中国科学院深圳先进技术研究院 | 一种基于深度神经网络的流量分类方法、系统及电子设备 |
CN111224946A (zh) * | 2019-11-26 | 2020-06-02 | 杭州安恒信息技术股份有限公司 | 一种基于监督式学习的tls加密恶意流量检测方法及装置 |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN111314329B (zh) * | 2020-02-03 | 2022-01-28 | 杭州迪普科技股份有限公司 | 流量入侵检测系统和方法 |
CN111314329A (zh) * | 2020-02-03 | 2020-06-19 | 杭州迪普科技股份有限公司 | 流量入侵检测系统和方法 |
CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
US11558413B2 (en) | 2020-09-23 | 2023-01-17 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
CN113949531A (zh) * | 2021-09-14 | 2022-01-18 | 北京邮电大学 | 一种恶意加密流量检测方法及装置 |
CN113949531B (zh) * | 2021-09-14 | 2022-06-17 | 北京邮电大学 | 一种恶意加密流量检测方法及装置 |
US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
CN113824729B (zh) * | 2021-09-27 | 2023-01-06 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、系统及相关装置 |
CN113824729A (zh) * | 2021-09-27 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、系统及相关装置 |
CN114650259A (zh) * | 2022-03-10 | 2022-06-21 | 中国电子科技集团公司第三十研究所 | 一种分层级检测的vpn工具精细化分类方法 |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
CN115174160A (zh) * | 2022-06-16 | 2022-10-11 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
CN115174160B (zh) * | 2022-06-16 | 2023-10-20 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109104441A (zh) | 一种基于深度学习的加密恶意流量的检测系统和方法 | |
Wei et al. | Ae-mlp: A hybrid deep learning approach for ddos detection and classification | |
de Araujo-Filho et al. | Intrusion detection for cyber–physical systems using generative adversarial networks in fog environment | |
Zheng et al. | Learning to classify: A flow-based relation network for encrypted traffic classification | |
Yinka-Banjo et al. | A review of generative adversarial networks and its application in cybersecurity | |
Zhang et al. | Autonomous unknown-application filtering and labeling for dl-based traffic classifier update | |
Singla et al. | Preparing network intrusion detection deep learning models with minimal data using adversarial domain adaptation | |
Guo et al. | Promptfl: Let federated participants cooperatively learn prompts instead of models-federated learning in age of foundation model | |
Vinayakumar et al. | Secure shell (ssh) traffic analysis with flow based features using shallow and deep networks | |
CN108881192A (zh) | 一种基于深度学习的加密型僵尸网络检测系统及方法 | |
CN111858955B (zh) | 基于加密联邦学习的知识图谱表示学习增强方法和装置 | |
CN115277102A (zh) | 网络攻击检测方法、装置、电子设备及存储介质 | |
CN112465003B (zh) | 一种加密离散序列报文的识别方法及系统 | |
CN112104602A (zh) | 一种基于cnn迁移学习的网络入侵检测方法 | |
Khan et al. | Detecting attacks on IoT devices using featureless 1D-CNN | |
Hernandez et al. | Using deep learning for temporal forecasting of user activity on social media: challenges and limitations | |
CN115422537A (zh) | 一种抵御联邦学习标签翻转攻击的方法 | |
dos Santos et al. | A long-lasting reinforcement learning intrusion detection model | |
WO2023143449A1 (zh) | 用于隐私保护的方法、装置和系统 | |
Qu et al. | An {Input-Agnostic} Hierarchical Deep Learning Framework for Traffic Fingerprinting | |
CN114358177B (zh) | 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统 | |
Xu et al. | Lightweight and unobtrusive privacy preservation for remote inference via edge data obfuscation | |
CN113452810A (zh) | 一种流量分类方法、装置、设备和介质 | |
Kim et al. | Human-guided auto-labeling for network traffic data: The GELM approach | |
Wang et al. | A two-phase approach to fast and accurate classification of encrypted traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181228 |
|
RJ01 | Rejection of invention patent application after publication |