CN110138681A - 一种基于tcp报文特征的网络流量识别方法及装置 - Google Patents
一种基于tcp报文特征的网络流量识别方法及装置 Download PDFInfo
- Publication number
- CN110138681A CN110138681A CN201910318328.0A CN201910318328A CN110138681A CN 110138681 A CN110138681 A CN 110138681A CN 201910318328 A CN201910318328 A CN 201910318328A CN 110138681 A CN110138681 A CN 110138681A
- Authority
- CN
- China
- Prior art keywords
- size
- application layer
- vector
- layer messages
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于TCP报文特征的网络流量识别方法及装置,其中方法包括:步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量;步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。与现有技术相比,本发明具有不受网络波动、网络拥塞、网络间不同MTU的影响等优点。
Description
技术领域
本发明涉及一种网络监控领域,尤其是涉及一种基于TCP报文特征的网络流量识别方法及装置。
背景技术
流量识别是基于网关的网络监控的重要手段,通过对数据包进行分析可以确定数据包所属于的应用,从而实现网络行为监控的目的。
最常见的流量识别算法有三种方法,基于端口的流量识别算法、基于DPI的流量识别算法、基于统计学的机器学习算法,这三种方法各有各自的缺点。基于端口的流量识别依靠的是应用与端口间所约定的一对一映射关系,然而随着越来越多的应用使用自定义端口,基于端口的流量识别算法不再有效。基于DPI的流量识别算法分析一条TCP连接的前几个报文,验证这些报文的负载是否有特定的关键字或者特定的格式,然而DPI的方法无法分析经过应用层加密的报文。
基于统计学的机器学习算法虽然可以在不使用报文负载以及端口的条件下,保证较高的识别准确率,但是仍有着实时性低以及易受网络波动的影响,这是因为算法所依赖的特征大多与报文的到达时间相关,而到达时间易受网络波动的影响。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于TCP报文特征的网络流量识别方法及装置。
本发明的目的可以通过以下技术方案来实现:
一种基于TCP报文特征的网络流量识别方法,包括:
步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量;
步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;
步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。
所述步骤S1具体包括:
步骤S11:获取TCP报文;
步骤S12:遍历所有TCP报文并提取出报文的大小和方向;
步骤S13:剔除大小为0的数据,并累加同一方向的报文大小,将累加后的结果组成应用层消息大小向量。
所述步骤S2中映射的函数具体为:
其中:f(x)为映射后的报文大小,x为映射前的报文大小。
所述步骤S3中,对于一个识别模型,其工作过程具体包括:
步骤S31:对于正则化后的应用层消息大小向量,按时间顺序依次提取出应用层消息大小;
步骤S32:依次将各应用层消息大小输入识别模型,得到模型输出P:
P=[p1,p2,p3…pj]
其中:j为观测空间的大小,pn为下一个应用层消息大小为状态n的概率;
步骤S33:从第二个应用层消息大小开始,从模型输出中检索得到相应的概率值作为后验概率,并将所有后验概率相乘得到该应用层消息大小向量隶属于该识别模型所对应的类型的概率。
所述识别模型为一个两层的LSTM层的神经网络,第一层网络以一个正则化之后的应用层消息大小为输入,第一层与第二层的网络之间采用全连接,第二层与Softmax层相连接,第二层的输出为一个大小为J的向量。
一种基于TCP报文特征的网络流量识别装置,包括存储器、处理器,以及存储于存储器中并由所述处理器执行的程序,所述处理器执行所述程序时实现以下步骤:
步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量;
步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;
步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。
与现有技术相比,本发明具有以下有益效果:
1)对于流量的识别仅根据TCP报文的大小和时间顺序开展,不依赖于报文的编码规则和任何的目标IP地址及端口号信息,不需要了解报文的编码规则,就可以实现流量的识别,通用性广,且不易被绕过。
2)采用了后验概率作为依据,相对于传统的流量识别算法,在保证准确率的同时有着更高的实时性以及鲁棒性。实验证明,平均识别可以达到97%,且识别效果不受网络波动、网络拥塞、网络间不同MTU的影响。
附图说明
图1为本发明方法的主要步骤流程示意图;
图2为应用层消息提取流程图;
图3为LSTM神经网络结构图;
图4为分类器运作原理图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
一种基于TCP报文特征的网络流量识别方法,该方法通过计算机程序的形式由计算机系统实现,计算机系统为基于TCP报文特征的网络流量识别装置,包括存储器、处理器,以及存储于存储器中并由处理器执行的程序,如图1所示,处理器执行程序时实现以下步骤:
步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量,包括:
步骤S11:获取TCP报文;
步骤S12:遍历所有TCP报文并提取出报文的大小和方向;
步骤S13:剔除大小为0的数据,并累加同一方向的报文大小,将累加后的结果组成应用层消息大小向量。
具体的,从TCP报文大小序列中提取出应用层消息大小向量,使得模型的特征不受网络拥塞、网络波动、报文重传、MTU等因素的影响,提取的流程如图2所示。首先初始化存储结果向量的一维数组以及计数器,接着遍历所有的TCP报文并提取出报文的大小。在遍历的过程中,首先比较报文的大小是否为0,如果大小为0则说明该报文并不具备应用层语义,将其丢弃。接着,判断报文的大小是否小于当前的MTU或者是否和当前报文的方向相仿,如果判断结果为真,则将当前计数器的值放入结果数组中,并将计数器的值重置为当前报文的大小,否则将当前的报文大小累计值计数器。等待所有的报文遍历完毕之后,则返回结果数组。
例如去除0后的TCP报文大小序列为[10,20,-10,-20,30,40,10,-30],那么合并了相邻的同方向的报文后为[30,-30,80,-30],得到应用层消息大小向量为[30,-30,80,-30]。
步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;
由于应用层消息大小的取值是离散的,这会导致模型的运算量过大、运算时间过长,所以我们使用正则化的步骤将大小相近的应用层消息大小映射成为相同的大小。正则化时我们遵循消息越大,大小的差异就对模型越不敏感的原则,使用下述的公式进行映射。
其中:f(x)为映射后的报文大小,x为映射前的报文大小。
映射分为三个阶段,第一阶段消息大小以相距100字节为一个状态,第二阶段以相距500字节为一个状态,第三阶段所有大于10000字节的报文都映射为一个状态。f(x)是一个经验公式,旨在减少应用层消息大小可能的取值,以减少模型的运算量以及复杂程度。如果一个消息大小向量(单位为B)为[182,193,195,957,801,892],那么经过该公式的映射以后,映射结果为[200,200,200,1000,1000,1000],我们认为大小相近的应用层消息大小,对模型的语义影响是相近的,所以我们将相近的消息大小,全部映射成一个值,以降低模型的运算量。这个公式并没有严格的推导,是在多次实验中获得的最佳映射方法
步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。
该过程以应用层消息大小向量为唯一的特征进行分类。LSTM网络是对递归网络RNN的改进。递归神经网络RNN除了与传统的神经网络具有相同的前向反馈机制外,还拥有同层级神经元之间的输出传递和自身的输出传递循环,被称为基于时间的反向传播(BPTT,back propagation through time)。这样的输出反馈机制使得RNN能够在当前时间接受到原始数据和自身神经元网络在上一时间的输出,同时上一时间的输出又受到历史输出的影响。因此拥有这种机制的神经网络较为完整地保留了历史输出信息,具有对序列及时间的预测功能。长短期记忆网络(LSTM网络)该进了RNN中的记忆模块节点,每个记忆模块由若干个记忆细胞和三个控制闸门组成,这三个控制闸门分别为输入门(input gate)、输出门(output gate)和遗忘门(forget gate),以此解决了RNN的梯度消失问题。
我们将长短期记忆网络运用到对应用层消息大小的预测中,每输入一个应用层消息大小,网络都会输出对下一个消息大小的预测,通过将实际观测到的消息大小与网络的预测相比较,可以获得在流量属于该网络且产生了之前消息大小向量的前提下,产生该应用层消息大小的后验概率。神经网络的结构如图2所示。我们假设每一层LSTM的节点数为J,经过正则化后消息大小组成的状态空间大小为K,具体网络训练方案如下:
(1)如图3所示,构建一个两层的LSTM层的神经网络,第一层网络以一个正则化之后的应用层消息大小为输入,第一层与第二层的网络之间采用全连接,第二层与Softmax层相连接,第二层的输出为一个大小为J的向量。
(2)使用Softmax层将大小为J的向量映射成大小为k的向量,并对向量做归一化。归一化后的向量中,每个元素的值都可以看作下一个应用层消息大小取该元素对应状态的概率。
(3)对数据集的标签进行one-hot编码,计算softmax层的输出与标签one_hot编码的交叉熵。
(4)使用Adam算法优化LSTM层的参数。Adam算法能够对每个不同的参数调整不同的学习率,对频繁变化的参数以更小的步长进行更新,而稀疏的参数以更大的步长进行更新。
(5)对每一种类型i的流量都重复1-4步训练相应的模型,得到其对应的模型λi。
其中对于一个识别模型,如图4所示,其工作过程具体包括:
步骤S31:对于正则化后的应用层消息大小向量,按时间顺序依次提取出应用层消息大小;
步骤S32:依次将各应用层消息大小输入识别模型,得到模型输出P:
P=[p1,p2,p3…pj]
其中:j为观测空间的大小,pn为下一个应用层消息大小为状态n的概率;
步骤S33:从第二个应用层消息大小开始,从模型输出中检索得到相应的概率值作为后验概率,并将所有后验概率相乘得到该应用层消息大小向量隶属于该识别模型所对应的类型的概率。
具体的,具体流量分类方案如下:
(1)按时间顺序依次提取出应用层消息大小,假设在提取了前m-1个应用层消息大小后,提取到的第m个应用层消息为Sm,将Sm输入模型λi后获得网络输出P,其中j是观测空间的大小:
P=[p1,p2,p3…pj]
其中,pn代表下一个应用层消息大小为状态n的概率。
(2)提取下一个应用层消息大小即第m+1个应用层消息大小Sm+1,通过公式1将其映射进入模型的状态空间f(Sm+1),从模型的输出中检索得到相应的概率值P[f(Sm+1)],这个概率值代表在流量属于模型λi以及观测到了前m个消息大小S1~Sm的前提下,观测到Sm+1的后验概率其意义如公式2所描述:
(3)假设应用层消息向量的长度为K,从第二个元素开始所输入的向量元素都可以算得其对应的后验概率(2≤m≤K)。将所有的概率值P相乘,代表的是在流量属于该模型的前提下,生成该应用层消息向量的后验概率,如公式所描述:
(4)将应用层消息大小向量依次输入所有的模型中,每一种模型λi对应一种类型的流量i。取所有模型中输出最大的模型所对应的类型为最终流量的分类结果。如公式所描述:
Claims (10)
1.一种基于TCP报文特征的网络流量识别方法,其特征在于,包括:
步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量;
步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;
步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。
2.根据权利要求1所述的一种基于TCP报文特征的网络流量识别方法,其特征在于,所述步骤S1具体包括:
步骤S11:获取TCP报文;
步骤S12:遍历所有TCP报文并提取出报文的大小和方向;
步骤S13:剔除大小为0的数据,并累加同一方向的报文大小,将累加后的结果组成应用层消息大小向量。
3.根据权利要求1所述的一种基于TCP报文特征的网络流量识别方法,其特征在于,所述步骤S2中映射的函数具体为:
其中:f(x)为映射后的报文大小,x为映射前的报文大小。
4.根据权利要求1所述的一种基于TCP报文特征的网络流量识别方法,其特征在于,所述步骤S3中,对于一个识别模型,其工作过程具体包括:
步骤S31:对于正则化后的应用层消息大小向量,按时间顺序依次提取出应用层消息大小;
步骤S32:依次将各应用层消息大小输入识别模型,得到模型输出P:
P=[p1,p2,p3…pj]
其中:j为观测空间的大小,pn为下一个应用层消息大小为状态n的概率;
步骤S33:从第二个应用层消息大小开始,从模型输出中检索得到相应的概率值作为后验概率,并将所有后验概率相乘得到该应用层消息大小向量隶属于该识别模型所对应的类型的概率。
5.根据权利要求1所述的一种基于TCP报文特征的网络流量识别方法,其特征在于,所述识别模型为一个两层的LSTM层的神经网络,第一层网络以一个正则化之后的应用层消息大小为输入,第一层与第二层的网络之间采用全连接,第二层与Softmax层相连接,第二层的输出为一个大小为J的向量。
6.一种基于TCP报文特征的网络流量识别装置,其特征在于,包括存储器、处理器,以及存储于存储器中并由所述处理器执行的程序,所述处理器执行所述程序时实现以下步骤:
步骤S1:获取TCP报文,遍历所有TCP报文并提取出报文的大小,得到应用层消息大小向量;
步骤S2:对得到的应用层消息大小向量进行正则化处理,将大小相近的应用层消息大小映射成为相同的大小,得到正则化后的应用层消息大小向量;
步骤S3:将正则化后的应用层消息大小向量输入训练好的多个识别模型中,分别得到该应用层消息大小向量隶属于各识别模型所对应的类型的概率,将概率最大的识别模型所对应的概率作为识别结果。
7.根据权利要求6所述的一种基于TCP报文特征的网络流量识别装置,其特征在于,所述步骤S1具体包括:
步骤S11:获取TCP报文;
步骤S12:遍历所有TCP报文并提取出报文的大小和方向;
步骤S13:剔除大小为0的数据,并累加同一方向的报文大小,将累加后的结果组成应用层消息大小向量。
8.根据权利要求6所述的一种基于TCP报文特征的网络流量识别装置,其特征在于,所述步骤S2中映射的函数具体为:
其中:f(x)为映射后的报文大小,x为映射前的报文大小。
9.根据权利要求6所述的一种基于TCP报文特征的网络流量识别装置,其特征在于,所述步骤S3中,对于一个识别模型,其工作过程具体包括:
步骤S31:对于正则化后的应用层消息大小向量,按时间顺序依次提取出应用层消息大小;
步骤S32:依次将各应用层消息大小输入识别模型,得到模型输出P:
P=[p1,p2,p3…pj]
其中:j为观测空间的大小,pn为下一个应用层消息大小为状态n的概率;
步骤S33:从第二个应用层消息大小开始,从模型输出中检索得到相应的概率值作为后验概率,并将所有后验概率相乘得到该应用层消息大小向量隶属于该识别模型所对应的类型的概率。
10.根据权利要求6所述的一种基于TCP报文特征的网络流量识别装置,其特征在于,所述识别模型为一个两层的LSTM层的神经网络,第一层网络以一个正则化之后的应用层消息大小为输入,第一层与第二层的网络之间采用全连接,第二层与Softmax层相连接,第二层的输出为一个大小为J的向量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910318328.0A CN110138681B (zh) | 2019-04-19 | 2019-04-19 | 一种基于tcp报文特征的网络流量识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910318328.0A CN110138681B (zh) | 2019-04-19 | 2019-04-19 | 一种基于tcp报文特征的网络流量识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110138681A true CN110138681A (zh) | 2019-08-16 |
CN110138681B CN110138681B (zh) | 2021-01-22 |
Family
ID=67570608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910318328.0A Active CN110138681B (zh) | 2019-04-19 | 2019-04-19 | 一种基于tcp报文特征的网络流量识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110138681B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519179A (zh) * | 2019-09-10 | 2019-11-29 | 中国人民解放军国防科技大学 | 一种用于网络流量识别的流量数据公共特征提取方法 |
CN111130942A (zh) * | 2019-12-27 | 2020-05-08 | 国网山西省电力公司信息通信分公司 | 一种基于消息大小分析的应用流量识别方法 |
CN112511457A (zh) * | 2019-09-16 | 2021-03-16 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130054619A1 (en) * | 2010-05-19 | 2013-02-28 | Alcatel Lucent | Method and apparatus for identifying application protocol |
CN106778576A (zh) * | 2016-12-06 | 2017-05-31 | 中山大学 | 一种基于sehm特征图序列的动作识别方法 |
CN107819698A (zh) * | 2017-11-10 | 2018-03-20 | 北京邮电大学 | 一种基于半监督学习的网络流量分类方法、计算机设备 |
CN107818335A (zh) * | 2017-10-09 | 2018-03-20 | 南京航空航天大学 | 一种基于多分类器自适应加权的钢轨裂纹识别方法 |
CN108898015A (zh) * | 2018-06-26 | 2018-11-27 | 暨南大学 | 基于人工智能的应用层动态入侵检测系统及检测方法 |
CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
-
2019
- 2019-04-19 CN CN201910318328.0A patent/CN110138681B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130054619A1 (en) * | 2010-05-19 | 2013-02-28 | Alcatel Lucent | Method and apparatus for identifying application protocol |
CN106778576A (zh) * | 2016-12-06 | 2017-05-31 | 中山大学 | 一种基于sehm特征图序列的动作识别方法 |
CN107818335A (zh) * | 2017-10-09 | 2018-03-20 | 南京航空航天大学 | 一种基于多分类器自适应加权的钢轨裂纹识别方法 |
CN107819698A (zh) * | 2017-11-10 | 2018-03-20 | 北京邮电大学 | 一种基于半监督学习的网络流量分类方法、计算机设备 |
CN108898015A (zh) * | 2018-06-26 | 2018-11-27 | 暨南大学 | 基于人工智能的应用层动态入侵检测系统及检测方法 |
CN109525587A (zh) * | 2018-11-30 | 2019-03-26 | 新华三信息安全技术有限公司 | 一种数据包的识别方法及装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519179A (zh) * | 2019-09-10 | 2019-11-29 | 中国人民解放军国防科技大学 | 一种用于网络流量识别的流量数据公共特征提取方法 |
CN110519179B (zh) * | 2019-09-10 | 2020-06-12 | 中国人民解放军国防科技大学 | 一种用于网络流量识别的流量数据公共特征提取方法 |
CN112511457A (zh) * | 2019-09-16 | 2021-03-16 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
CN112511457B (zh) * | 2019-09-16 | 2021-12-28 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
US11838215B2 (en) | 2019-09-16 | 2023-12-05 | Huawei Technologies Co., Ltd. | Data stream classification method and related device |
CN111130942A (zh) * | 2019-12-27 | 2020-05-08 | 国网山西省电力公司信息通信分公司 | 一种基于消息大小分析的应用流量识别方法 |
CN111130942B (zh) * | 2019-12-27 | 2021-09-14 | 国网山西省电力公司信息通信分公司 | 一种基于消息大小分析的应用流量识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110138681B (zh) | 2021-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110138681A (zh) | 一种基于tcp报文特征的网络流量识别方法及装置 | |
Zhao et al. | Towards traffic matrix prediction with LSTM recurrent neural networks | |
CN110298663B (zh) | 基于序列宽深学习的欺诈交易检测方法 | |
WO2020248228A1 (zh) | 一种Hadoop平台计算节点负载预测方法 | |
WO2022227388A1 (zh) | 日志异常检测模型训练方法、装置及设备 | |
CN113489674B (zh) | 一种面向物联网系统的恶意流量智能检测方法及应用 | |
CN108833376A (zh) | 面向软件定义网络的DoS攻击检测方法 | |
CN112073255A (zh) | 基于深度学习的工控网络流量预测方法、装置 | |
CN111260032A (zh) | 神经网络训练方法、图像处理方法及装置 | |
CN112529685A (zh) | 一种基于bas-fnn的贷款用户信用评级方法及系统 | |
CN109299160B (zh) | 一种基于监控大数据挖掘的电力cps安全性分析方法 | |
CN109194498A (zh) | 一种基于lstm的网络流量预测方法 | |
CN112134873B (zh) | 一种IoT网络异常流量实时检测方法及系统 | |
Stefanova et al. | Off-policy q-learning technique for intrusion response in network security | |
Tan et al. | An Internet Traffic Identification Approach Based on GA and PSO-SVM. | |
CN116489038A (zh) | 网络流量的预测方法、装置、设备和介质 | |
CN113315644A (zh) | 流量预测方法、装置以及存储介质 | |
CN109039797A (zh) | 基于强化学习的大流检测方法 | |
CN107563511A (zh) | 一种实时系统可用时间快速估算与优化方法 | |
Wang et al. | Machine learned real-time traffic classifiers | |
Xu et al. | A continual few-shot learning method via meta-learning for intrusion detection | |
CN111586052B (zh) | 一种基于多层级的群智合约异常交易识别方法及识别系统 | |
CN113763710A (zh) | 一种基于非线性自适应系统的短期交通流预测方法 | |
CN112861913A (zh) | 一种基于图卷积网络的入侵警报消息的关联方法 | |
Liao et al. | An online network traffic classification method based on deep learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 200030 Dongchuan Road, Minhang District, Minhang District, Shanghai Applicant after: Shanghai Jiaotong University Address before: 200030 Huashan Road, Shanghai, No. 1954, No. Applicant before: Shanghai Jiaotong University |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |