CN109547489B - 一种针对Obfuscated-Openssh协议流量的检测方法 - Google Patents
一种针对Obfuscated-Openssh协议流量的检测方法 Download PDFInfo
- Publication number
- CN109547489B CN109547489B CN201811650332.9A CN201811650332A CN109547489B CN 109547489 B CN109547489 B CN 109547489B CN 201811650332 A CN201811650332 A CN 201811650332A CN 109547489 B CN109547489 B CN 109547489B
- Authority
- CN
- China
- Prior art keywords
- sum
- sequence
- max
- openssh
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
- G06F18/24155—Bayesian classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种针对Obfuscated‑Openssh协议流量的检测方法,捕获训练样本流量和检测样本流量,将训练样本流量按照TCP五元组分流,提取训练样本TCP数据流相关特征,输入贝叶斯分类器训练产生分类模型;将检测样本流量按照TCP五元组分流,提取检测样本流量TCP数据流相应特征,输入分类模型,由分类模型判断检测样本流量是否为Obfuscated‑Openssh协议流量。本发明采用TCP数据流的多特征检测,可有效克服单一特征带来的虚警率高的问题,给出可靠的检测结果。
Description
技术领域
本发明涉及网络与信息安全技术,具体涉及一种针对Obfuscated-Openssh协议流量的检测方法。
背景技术
近年来,我国互联网产业发展日新月异。然而,互联网的快速发展是一把双刃剑,给使用者提供越来越快捷越来越高效的服务,但也井喷式暴露出危害巨大的安全问题。例如,网络通信双方交互未加密数据而被非法窃取;网络通信双方没有身份鉴别而被恶意远程控制;网络通信双方交互信息没有完整性鉴别而被非法纂改。这一系列隐私信息被非法窃取、篡改的突出问题推动了应用层加密安全协议及其应用的广泛使用。
Obfuscated-Openssh协议是安全加密协议的代表之一。有些人合法用途使用Obfuscated-Openssh协议及其应用,他们利用Obfuscated-Openssh协议及其应用能够为其他网络服务提供加密保护的特性,保证通信内容或通信行为的隐私性、安全性;有些人非法使用Obfuscated-Openssh协议及其应用,其目的主要是掩盖非法恶意流量的特征。由于加密的特性,传统的网络监管方法不能有效识别Obfuscated-Openssh协议,研究Obfuscated-Openssh协议识别技术成为网络空间治理的迫切需求。然而,目前尚无公开文献提出对于Obfuscated-Openssh协议流量的检测方法。
发明内容
本发明的目的在于提供一种针对Obfuscated-Openssh协议流量的检测方法。
实现本发明目的的技术解决方案为:一种针对Obfuscated-Openssh协议流量的检测方法,包括以下步骤:
步骤1:捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包,生成训练样本数据集Strain;
步骤2:按照TCP五元组分流训练样本数据集Strain,进行TCP数据流标记,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],如果数据包传输方向为上行则数据包负载长度li为正,反之,数据包负载长度li为负;
步骤4、根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],提取确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m]、确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m]、MSS连续个数最大值Smax及负载长度序列熵Esum,得到训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax];
步骤5:将训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],输入朴素贝叶斯分类器,训练得到分类模型M;
步骤6:捕获网络流量数据包,生成检测样本数据集Stest,按照步骤2-4,生成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax];
步骤7、将产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量。
作为一种优选实施方式,步骤1中,采用wireshark数据捕获器,捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包。
作为一种优选实施方式,步骤3中,提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算,反之,按照负数计算。
作为一种更优选实施方式,取序列Lsum前11个序列值,形成特征序列,若不足则补0。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m],如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数,反之,累加时按照“-1”计数。
作为一种更优选实施方式,取序列Csum前11个序列值,形成特征序列,若不足则补0。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L),令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到MSS连续个数最大值Smax,其中MSS是最大报文段长度。
作为一种优选实施方式,步骤4中,根据TCP数据流二元组序列(AN,L),统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到负载长度序列熵Esum。
有益效果:本发明在提取数据四种特征的基础上,使用了贝叶斯分类器进行分类工作,可有效克服单一特征带来的虚警率高的问题,得到可靠的检测结果。
附图说明
图1为本发明的流程示意图;
图2为实施例中特征计算基于数据包个数与分类结果准确率关系图。
具体实施方式
下面结合附图和具体实施例,进一步说明本发明方案。
本发明提取Obfuscated-Openssh协议通信TCP数据流相关特征,使用所提特征构建贝叶斯分类器,将待测流量送入贝叶斯分类器进行分类,以此判断待测流量承载应用层协议是否为Obfuscated-Openssh协议,如图1所示,针对Obfuscated-Openssh协议流量的检测方法,具体包括如下步骤:
步骤1:数据捕获器捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量,生成训练样本数据集Strain;作为一种具体实施方式,数据捕获器可以采用wireshark。
步骤2:按照TCP五元组分流训练样本数据集Strain,并且按照TCP数据流标记训练样本类别,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs。
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度值li为正;反之,数据包负载长度值li为负;值得注意的是,此处提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
步骤4:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算;反之,按照负数计算;在一些实施例中,综合考虑到计算效率和精度,取序列Lsum前11个序列值,形成特征序列,若不足则补0,也可以根据实际需要,设置为其他的数值。
步骤5:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成序列Csum=[csum,1,csum,2,...,csum,m];如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数;反之,则累加时按照“-1”计数;同步骤4,在一些实施例中,取序列Csum前11个序列值,形成特征序列,若不足则补0,也可以根据实际需要,设置为其他的数值。
步骤6:根据TCP数据流二元组序列(AN,L),计算相关特征,令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到特征Smax。
步骤7:根据TCP数据流二元组序列(AN,L),计算相关特征,统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示m’为不同的li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到特征Esum。
步骤8:对训练样本每条TCP数据流对应的二元组序列(AN,L),按照步骤2到步骤7提取特征,形成训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax]。
值得注意的是,步骤4-7的特征提取过程,可以交换提取的顺序,顺序执行,也可以并行处理。
步骤9:训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax]输入朴素贝叶斯分类器,训练得分类模型M。
步骤10:捕获网络流量数据包,生成检测样本数据集Stest,将检测样本按照TCP五元组分流,对检测样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负。
步骤11:对检测样本每条TCP数据流对应二元组序列,按照步骤4到7提取特征,形成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]。
步骤12:步骤10产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入步骤9产生分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量。若检测样本数据集样本类别已知,可据此计算分类总体准确率,各类别查准率、查全率,评估分类有效性。
实施例1
为了验证本发明方案的有效性,进行如下仿真实验。
本实施例中针对Obfuscated-Openssh协议的检测方法,首先捕获训练样本流量和待测样本流量,分别提取相关特征,以正常数据作为训练数据,待测数据作为测试数据输入贝叶斯分类器(其中对训练样本和待测样本的处理过程不分先后),具体流程如下:
步骤1:捕获Obfuscated-Openssh协议流量,捕获非Obfuscated-Openssh协议流量,生成训练样本数据集Strain;
步骤2:按照TCP五元组分流训练样本数据集Strain,并且按照TCP数据流标记训练样本类别,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;分别取1000条Obfuscated-Openssh协议TCP数据流和1000条非Obfuscated-Openssh协议TCP数据流用于分类模型训练;
步骤3:对用于分类模型训练的训练样本中每条TCP数据流,提取前n(n∈[15,30])个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负;
步骤4:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算;反之,按照负数计算;此处取序列Lsum前11个序列值,形成特征序列,若不足则补0。
步骤5:根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成序列Csum=[csum,1,csum,2,...,csum,m];如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数;反之,则累加时按照“-1”计数;此处取序列Csum前11个序列值,形成特征序列,若不足则补0。
步骤6:根据TCP数据流二元组序列(AN,L),计算相关特征,令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到特征Smax;
步骤7:根据TCP数据流二元组序列(AN,L),计算相关特征,统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’表示li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到特征Esum;
步骤8:对训练样本每条TCP数据流对应的二元组序列(AN,L),按照步骤2到步骤7提取特征,形成一个2000行24列的训练样本特征矩阵。
步骤9:训练样本特征矩阵输入朴素贝叶斯分类器,训练得分类模型M;
步骤10:捕获Obfuscated-Openssh协议流量,捕获非Obfuscated-Openssh协议按照TCP五元组分流,各取500条,生成检测样本数据集Stest,对检测样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),…(ann,ln)];如果数据包传输方向为上行则数据包负载长度li值为正;反之,数据包负载长度值li为负;
步骤11:对检测样本每条TCP数据流对应二元组序列,按照步骤2到7提取特征,形成一个1000*24的检测样本特征矩阵。
步骤12:步骤11产生的1000*24的检测样本特征矩阵输入步骤9产生分类模型M,得到检测样本分类结果。
本实施例中设定特征计算提取数据包个数为n∈[15,30],其分类结果如图2所示,纵轴上的数值代表分类准确率,在n从15到30的过程中,使用贝叶斯分类器均可得到准确的结果,可见本发明在检测Obfuscated-Openssh协议流量时具有良好的效果。
Claims (3)
1.一种针对Obfuscated-Openssh协议流量的检测方法,其特征在于:包括以下步骤:
步骤1:捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包,生成训练样本数据集Strain;
步骤2:按照TCP五元组分流训练样本数据集Strain,进行TCP数据流标记,标记Obfuscated-Openssh协议TCP数据流类别为obfs,标记非Obfuscated-Openssh协议TCP数据流类别为Non-obfs;
步骤3:对训练样本中每条TCP数据流,提取前n个数据包负载长度值li和确认号ani构成二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],如果数据包传输方向为上行则数据包负载长度li为正,反之,数据包负载长度li为负;
步骤4、根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],提取确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m]、确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m]、MSS连续个数最大值Smax及负载长度序列熵Esum,得到训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],其中m为个数;
步骤5:将训练样本特征向量Vtrain=[Lsum,Csum,Smax,Emax],输入朴素贝叶斯分类器,训练得到分类模型M;
步骤6:捕获网络流量数据包,生成检测样本数据集Stest,按照步骤2-4,生成检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax];
步骤7、将产生检测样本特征向量Vtest=[Lsum,Csum,Smax,Emax]输入分类模型M,得到检测样本分类结果,从而识别检测样本Obfuscated-Openssh协议流量;
步骤4中,根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包负载长度值,形成确认号相同负载长度累加序列Lsum=[lsum,1,lsum,2,...,lsum,m],如果数据包传输方向为上行,则累加时负载长度数值按照正数计算,反之,按照负数计算;取序列Lsum前11个序列值,形成特征序列,若不足则补0;
根据TCP数据流二元组序列(AN,L)=[(an1,l1),(an2,l2),...(ann,ln)],累加确认号相同数据包数量值,形成确认号相同数据包个数累加序列Csum=[csum,1,csum,2,...,csum,m],如果确认号对应数据包传输方向为上行,则累加时按照“+1”计数,反之,累加时按照“-1”计数;取序列Csum前11个序列值,形成特征序列,若不足则补0;
根据TCP数据流二元组序列(AN,L),令Smax=0,i=1,Stemp=0;若li∈[MSS-60,MSS],则Stemp加1,i自加1;若如果Stemp≥Smax,则Smax=Stemp,如果Stemp≤Smax,则Smax=Smax,i自加1,令Stemp=0,遍历二元组序列(AN,L),直到i>n,得到MSS连续个数最大值Smax,其中MSS是最大报文段长度;
根据TCP数据流二元组序列(AN,L),统计每个序列值li在(AN,L)中出现的频次Ci,构成频次序列C=[C1,C2,...,Cm'],其中m’为不同的li的个数;对频次序列每个序列值Ci除以n,得到频率序列P=[P1,P2,...,Pm'];对频率序列每个序列值Pi按照Pi×log10 Pi进行运算处理,得到序列E=[E1,E2,...,Em'],对序列E求和得到负载长度序列熵Esum。
2.根据权利要求1所述的针对Obfuscated-Openssh协议流量检测方法,其特征在于:步骤1中,采用wireshark数据捕获器,捕获Obfuscated-Openssh协议流量数据包与非Obfuscated-Openssh协议流量数据包。
3.根据权利要求1所述的针对Obfuscated-Openssh协议流量检测方法,其特征在于:步骤3中,提取TCP流数据包必须是传输层负载非空数据包,提取数据包个数n的最小值为14。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811650332.9A CN109547489B (zh) | 2018-12-31 | 2018-12-31 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811650332.9A CN109547489B (zh) | 2018-12-31 | 2018-12-31 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109547489A CN109547489A (zh) | 2019-03-29 |
CN109547489B true CN109547489B (zh) | 2021-08-03 |
Family
ID=65833827
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811650332.9A Active CN109547489B (zh) | 2018-12-31 | 2018-12-31 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109547489B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995118B (zh) * | 2019-12-18 | 2022-10-14 | 南京理工大学 | 针对Obfuscated-KCP协议流量的检测方法及系统 |
CN112565179B (zh) * | 2020-10-26 | 2023-06-23 | 南京理工大学 | 一种针对加密代理通道内应用层协议的检测方法 |
CN114531381A (zh) * | 2020-11-04 | 2022-05-24 | 南京理工大学 | 一种针对混淆kcp协议加密流量的检测方法 |
CN113657428B (zh) * | 2021-06-30 | 2023-07-14 | 北京邮电大学 | 网络流量数据的抽取方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100025788A (ko) * | 2008-08-28 | 2010-03-10 | 주식회사 피앤피시큐어 | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 |
CN102164049A (zh) * | 2011-04-28 | 2011-08-24 | 中国人民解放军信息工程大学 | 加密流量的普适识别方法 |
CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
-
2018
- 2018-12-31 CN CN201811650332.9A patent/CN109547489B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100025788A (ko) * | 2008-08-28 | 2010-03-10 | 주식회사 피앤피시큐어 | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 |
CN102164049A (zh) * | 2011-04-28 | 2011-08-24 | 中国人民解放军信息工程大学 | 加密流量的普适识别方法 |
CN107360159A (zh) * | 2017-07-11 | 2017-11-17 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
Non-Patent Citations (1)
Title |
---|
SSH及其混淆协议流量检测与承载应用识别技术;怡暾;《南京理工大学》;20181228;正文第15-39页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109547489A (zh) | 2019-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109547489B (zh) | 一种针对Obfuscated-Openssh协议流量的检测方法 | |
Kim et al. | AI-IDS: Application of deep learning to real-time Web intrusion detection | |
CN111818052B (zh) | 基于cnn-lstm的工控协议同源攻击检测方法 | |
Yudhana et al. | DDoS classification using neural network and naïve bayes methods for network forensics | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
Chen et al. | Using rough set and support vector machine for network intrusion detection | |
Yan et al. | Identifying wechat red packets and fund transfers via analyzing encrypted network traffic | |
CN108183888A (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
CN109672687B (zh) | 基于可疑度评估的http混淆流量检测方法 | |
CN113556319B (zh) | 物联网下基于长短期记忆自编码分类器的入侵检测方法 | |
Cheng et al. | A DDoS detection method for socially aware networking based on forecasting fusion feature sequence | |
CN109255241A (zh) | 基于机器学习的Android权限提升漏洞检测方法及系统 | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
CN115086029A (zh) | 一种基于双通道时空特征融合的网络入侵检测方法 | |
Al-Fawa'reh et al. | Detecting stealth-based attacks in large campus networks | |
CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
Hong et al. | [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities | |
Vuong et al. | N-tier machine learning-based architecture for DDoS attack detection | |
CN107888576B (zh) | 一种利用大数据与设备指纹的防撞库安全风险控制方法 | |
CN113132391A (zh) | 一种用于工控蜜罐的恶意行为识别方法 | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
US20230164180A1 (en) | Phishing detection methods and systems | |
CN115695002A (zh) | 流量入侵检测方法、装置、设备、存储介质和程序产品 | |
CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
CN114244779A (zh) | 一种流量的识别方法及装置、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Liu Guangjie Inventor after: Yi Hao Inventor after: Liu Weiwei Inventor before: Yi Hao Inventor before: Zheng Tianyu Inventor before: Liu Guangjie Inventor before: Liu Weiwei Inventor before: Fang Jun Inventor before: Gao Bo |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |