CN109547489B - 一种针对Obfuscated-Openssh协议流量的检测方法 - Google Patents

一种针对Obfuscated-Openssh协议流量的检测方法 Download PDF

Info

Publication number
CN109547489B
CN109547489B CN201811650332.9A CN201811650332A CN109547489B CN 109547489 B CN109547489 B CN 109547489B CN 201811650332 A CN201811650332 A CN 201811650332A CN 109547489 B CN109547489 B CN 109547489B
Authority
CN
China
Prior art keywords
sum
sequence
max
openssh
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811650332.9A
Other languages
English (en)
Other versions
CN109547489A (zh
Inventor
刘光杰
怡暾
刘伟伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Science and Technology
Original Assignee
Nanjing University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Science and Technology filed Critical Nanjing University of Science and Technology
Priority to CN201811650332.9A priority Critical patent/CN109547489B/zh
Publication of CN109547489A publication Critical patent/CN109547489A/zh
Application granted granted Critical
Publication of CN109547489B publication Critical patent/CN109547489B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • G06F18/24155Bayesian classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种针对Obfuscated‑Openssh协议流量的检测方法,捕获训练样本流量和检测样本流量,将训练样本流量按照TCP五元组分流,提取训练样本TCP数据流相关特征,输入贝叶斯分类器训练产生分类模型;将检测样本流量按照TCP五元组分流,提取检测样本流量TCP数据流相应特征,输入分类模型,由分类模型判断检测样本流量是否为Obfuscated‑Openssh协议流量。本发明采用TCP数据流的多特征检测,可有效克服单一特征带来的虚警率高的问题,给出可靠的检测结果。

Description

一种针对Obfuscated-Openssh协议流量的检测方法
技术领域
本发明涉及网络与信息安全技术,具体涉及一种针对Obfuscated-Openssh协议流量的检测方法。
背景技术
近年来,我国互联网产业发展日新月异。然而,互联网的快速发展是一把双刃剑,给使用者提供越来越快捷越来越高效的服务,但也井喷式暴露出危害巨大的安全问题。例如,网络通信双方交互未加密数据而被非法窃取;网络通信双方没有身份鉴别而被恶意远程控制;网络通信双方交互信息没有完整性鉴别而被非法纂改。这一系列隐私信息被非法窃取、篡改的突出问题推动了应用层加密安全协议及其应用的广泛使用。
Obfuscated-Openssh协议是安全加密协议的代表之一。有些人合法用途使用Obfuscated-Openssh协议及其应用,他们利用Obfuscated-Openssh协议及其应用能够为其他网络服务提供加密保护的特性,保证通信内容或通信行为的隐私性、安全性;有些人非法使用Obfuscated-Openssh协议及其应用,其目的主要是掩盖非法恶意流量的特征。由于加密的特性,传统的网络监管方法不能有效识别Obfuscated-Openssh协议,研究Obfuscated-Openssh协议识别技术成为网络空间治理的迫切需求。然而,目前尚无公开文献提出对于Obfuscated-Openssh协议流量的检测方法。
发明内容
本发明的目的在于提供一种针对Obfuscated-Openssh协议流量的检测方法。
实现本发明目的的技术解决方案为:一种针对Obfuscated-Openssh协议流量的检测方法,包括以下步骤:
步骤1:捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包,生成训练样本数据集Strain
步骤2:按照TCP五元组分流训练样本数据集Strain,进行TCP数据流标记,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],如果数据包传输方向为上行则数据包负载长度li为正,反之,数据包负载长度li为负;
步骤4、根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],提取确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m]、确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m]、MSS连续个数最大值Smax及负载长度序列熵Esum,得到训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax];
步骤5:将训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],输入朴素贝叶斯分类器,训练得到分类模型M;
步骤6:捕获网络流量数据包,生成检测样本数据集Stest,按照步骤2-4,生成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax];
步骤7、将产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量。
作为一种优选实施方式,步骤1中,采用wireshark数据捕获器,捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包。
作为一种优选实施方式,步骤3中,提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算,反之,按照负数计算。
作为一种更优选实施方式,取序列Lsum前11个序列值,形成特征序列,若不足则补0。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m],如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数,反之,累加时按照“-1”计数。
作为一种更优选实施方式,取序列Csum前11个序列值,形成特征序列,若不足则补0。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L),令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若
Figure BDA0001932848100000031
如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到MSS连续个数最大值Smax,其中MSS是最大报文段长度。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L),统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到负载长度序列熵Esum
有益效果:本发明在提取数据四种特征的基础上,使用了贝叶斯分类器进行分类工作,可有效克服单一特征带来的虚警率高的问题,得到可靠的检测结果。
附图说明
图1为本发明的流程示意图;
图2为实施例中特征计算基于数据包个数与分类结果准确率关系图。
具体实施方式
下面结合附图和具体实施例,进一步说明本发明方案。
本发明提取Obfuscated-Openssh协议通信TCP数据流相关特征,使用所提特征构建贝叶斯分类器,将待测流量送入贝叶斯分类器进行分类,以此判断待测流量承载应用层协议是否为Obfuscated-Openssh协议,如图1所示,针对Obfuscated-Openssh协议流量的检测方法,具体包括如下步骤:
步骤1:数据捕获器捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量,生成训练样本数据集Strain;作为一种具体实施方式,数据捕获器可以采用wireshark。
步骤2:按照TCP五元组分流训练样本数据集Strain,并且按照TCP数据流标记训练样本类别,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs。
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度值li为正;反之,数据包负载长度值li为负;值得注意的是,此处提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
步骤4:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算;反之,按照负数计算;在一些实施例中,综合考虑到计算效率和精度,取序列Lsum前11个序列值,形成特征序列,若不足则补0,也可以根据实际需要,设置为其他的数值。
步骤5:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成序列Csum=[csum,1,csum,2,...,csum,m];如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数;反之,则累加时按照“-1”计数;同步骤4,在一些实施例中,取序列Csum前11个序列值,形成特征序列,若不足则补0,也可以根据实际需要,设置为其他的数值。
步骤6:根据TCP数据流二元组序列(AN,L),计算相关特征,令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若
Figure BDA0001932848100000041
如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到特征Smax
步骤7:根据TCP数据流二元组序列(AN,L),计算相关特征,统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示m’为不同的li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到特征Esum
步骤8:对训练样本每条TCP数据流对应的二元组序列(AN,L),按照步骤2到步骤7提取特征,形成训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax]。
值得注意的是,步骤4-7的特征提取过程,可以交换提取的顺序,顺序执行,也可以并行处理。
步骤9:训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax]输入朴素贝叶斯分类器,训练得分类模型M。
步骤10:捕获网络流量数据包,生成检测样本数据集Stest,将检测样本按照TCP五元组分流,对检测样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负。
步骤11:对检测样本每条TCP数据流对应二元组序列,按照步骤4到7提取特征,形成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]。
步骤12:步骤10产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入步骤9产生分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量。若检测样本数据集样本类别已知,可据此计算分类总体准确率,各类别查准率、查全率,评估分类有效性。
实施例1
为了验证本发明方案的有效性,进行如下仿真实验。
本实施例中针对Obfuscated-Openssh协议的检测方法,首先捕获训练样本流量和待测样本流量,分别提取相关特征,以正常数据作为训练数据,待测数据作为测试数据输入贝叶斯分类器(其中对训练样本和待测样本的处理过程不分先后),具体流程如下:
步骤1:捕获Obfuscated-Openssh协议流量,捕获非Obfuscated-Openssh协议流量,生成训练样本数据集Strain
步骤2:按照TCP五元组分流训练样本数据集Strain,并且按照TCP数据流标记训练样本类别,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;分别取1000条Obfuscated-Openssh协议TCP数据流和1000条非Obfuscated-Openssh协议TCP数据流用于分类模型训练;
步骤3:对用于分类模型训练的训练样本中每条TCP数据流,提取前n(n∈[15,30])个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负;
步骤4:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算;反之,按照负数计算;此处取序列Lsum前11个序列值,形成特征序列,若不足则补0。
步骤5:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成序列Csum=[csum,1,csum,2,...,csum,m];如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数;反之,则累加时按照“-1”计数;此处取序列Csum前11个序列值,形成特征序列,若不足则补0。
步骤6:根据TCP数据流二元组序列(AN,L),计算相关特征,令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若
Figure BDA0001932848100000061
如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到特征Smax
步骤7:根据TCP数据流二元组序列(AN,L),计算相关特征,统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到特征Esum
步骤8:对训练样本每条TCP数据流对应的二元组序列(AN,L),按照步骤2到步骤7提取特征,形成一个2000行24列的训练样本特征矩阵。
步骤9:训练样本特征矩阵输入朴素贝叶斯分类器,训练得分类模型M;
步骤10:捕获Obfuscated-Openssh协议流量,捕获非Obfuscated-Openssh协议按照TCP五元组分流,各取500条,生成检测样本数据集Stest,对检测样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),…(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负;
步骤11:对检测样本每条TCP数据流对应二元组序列,按照步骤2到7提取特征,形成一个1000*24的检测样本特征矩阵。
步骤12:步骤11产生的1000*24的检测样本特征矩阵输入步骤9产生分类模型M,得到检测样本分类结果。
本实施例中设定特征计算提取数据包个数为n∈[15,30],其分类结果如图2所示,纵轴上的数值代表分类准确率,在n从15到30的过程中,使用贝叶斯分类器均可得到准确的结果,可见本发明在检测Obfuscated-Openssh协议流量时具有良好的效果。

Claims (3)

1.一种针对Obfuscated-Openssh协议流量的检测方法,其特征在于:包括以下步骤:
步骤1:捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包,生成训练样本数据集Strain
步骤2:按照TCP五元组分流训练样本数据集Strain,进行TCP数据流标记,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],如果数据包传输方向为上行则数据包负载长度li为正,反之,数据包负载长度li为负;
步骤4、根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],提取确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m]、确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m]、MSS连续个数最大值Smax及负载长度序列熵Esum,得到训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],其中m为个数;
步骤5:将训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],输入朴素贝叶斯分类器,训练得到分类模型M;
步骤6:捕获网络流量数据包,生成检测样本数据集Stest,按照步骤2-4,生成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax];
步骤7、将产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量;
步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算,反之,按照负数计算;取序列Lsum前11个序列值,形成特征序列,若不足则补0;
根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m],如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数,反之,累加时按照“-1”计数;取序列Csum前11个序列值,形成特征序列,若不足则补0;
根据TCP数据流二元组序列(AN,L),令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若
Figure FDA0002963734450000021
如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到MSS连续个数最大值Smax,其中MSS是最大报文段长度;
根据TCP数据流二元组序列(AN,L),统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’为不同的li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10 Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到负载长度序列熵Esum
2.根据权利要求1所述的针对Obfuscated-Openssh协议流量检测方法,其特征在于:步骤1中,采用wireshark数据捕获器,捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包。
3.根据权利要求1所述的针对Obfuscated-Openssh协议流量检测方法,其特征在于:步骤3中,提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
CN201811650332.9A 2018-12-31 2018-12-31 一种针对Obfuscated-Openssh协议流量的检测方法 Active CN109547489B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811650332.9A CN109547489B (zh) 2018-12-31 2018-12-31 一种针对Obfuscated-Openssh协议流量的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811650332.9A CN109547489B (zh) 2018-12-31 2018-12-31 一种针对Obfuscated-Openssh协议流量的检测方法

Publications (2)

Publication Number Publication Date
CN109547489A CN109547489A (zh) 2019-03-29
CN109547489B true CN109547489B (zh) 2021-08-03

Family

ID=65833827

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811650332.9A Active CN109547489B (zh) 2018-12-31 2018-12-31 一种针对Obfuscated-Openssh协议流量的检测方法

Country Status (1)

Country Link
CN (1) CN109547489B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995118B (zh) * 2019-12-18 2022-10-14 南京理工大学 针对Obfuscated-KCP协议流量的检测方法及系统
CN112565179B (zh) * 2020-10-26 2023-06-23 南京理工大学 一种针对加密代理通道内应用层协议的检测方法
CN114531381A (zh) * 2020-11-04 2022-05-24 南京理工大学 一种针对混淆kcp协议加密流量的检测方法
CN113657428B (zh) * 2021-06-30 2023-07-14 北京邮电大学 网络流量数据的抽取方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100025788A (ko) * 2008-08-28 2010-03-10 주식회사 피앤피시큐어 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
CN102164049A (zh) * 2011-04-28 2011-08-24 中国人民解放军信息工程大学 加密流量的普适识别方法
CN107360159A (zh) * 2017-07-11 2017-11-17 中国科学院信息工程研究所 一种识别异常加密流量的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100025788A (ko) * 2008-08-28 2010-03-10 주식회사 피앤피시큐어 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법
CN102164049A (zh) * 2011-04-28 2011-08-24 中国人民解放军信息工程大学 加密流量的普适识别方法
CN107360159A (zh) * 2017-07-11 2017-11-17 中国科学院信息工程研究所 一种识别异常加密流量的方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SSH及其混淆协议流量检测与承载应用识别技术;怡暾;《南京理工大学》;20181228;正文第15-39页 *

Also Published As

Publication number Publication date
CN109547489A (zh) 2019-03-29

Similar Documents

Publication Publication Date Title
CN109547489B (zh) 一种针对Obfuscated-Openssh协议流量的检测方法
Kim et al. AI-IDS: Application of deep learning to real-time Web intrusion detection
CN111818052B (zh) 基于cnn-lstm的工控协议同源攻击检测方法
Yudhana et al. DDoS classification using neural network and naïve bayes methods for network forensics
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
Chen et al. Using rough set and support vector machine for network intrusion detection
Yan et al. Identifying wechat red packets and fund transfers via analyzing encrypted network traffic
CN108183888A (zh) 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
CN109672687B (zh) 基于可疑度评估的http混淆流量检测方法
CN113556319B (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
Cheng et al. A DDoS detection method for socially aware networking based on forecasting fusion feature sequence
CN109255241A (zh) 基于机器学习的Android权限提升漏洞检测方法及系统
Kong et al. Identification of abnormal network traffic using support vector machine
CN115086029A (zh) 一种基于双通道时空特征融合的网络入侵检测方法
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
Hong et al. [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities
Vuong et al. N-tier machine learning-based architecture for DDoS attack detection
CN107888576B (zh) 一种利用大数据与设备指纹的防撞库安全风险控制方法
CN113132391A (zh) 一种用于工控蜜罐的恶意行为识别方法
CN103501302A (zh) 一种蠕虫特征自动提取的方法及系统
US20230164180A1 (en) Phishing detection methods and systems
CN115695002A (zh) 流量入侵检测方法、装置、设备、存储介质和程序产品
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法
CN114244779A (zh) 一种流量的识别方法及装置、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Liu Guangjie

Inventor after: Yi Hao

Inventor after: Liu Weiwei

Inventor before: Yi Hao

Inventor before: Zheng Tianyu

Inventor before: Liu Guangjie

Inventor before: Liu Weiwei

Inventor before: Fang Jun

Inventor before: Gao Bo

CB03 Change of inventor or designer information
GR01 Patent grant
GR01 Patent grant