CN110365659B - 一种小样本场景下的网络入侵检测数据集的构造方法 - Google Patents
一种小样本场景下的网络入侵检测数据集的构造方法 Download PDFInfo
- Publication number
- CN110365659B CN110365659B CN201910561043.XA CN201910561043A CN110365659B CN 110365659 B CN110365659 B CN 110365659B CN 201910561043 A CN201910561043 A CN 201910561043A CN 110365659 B CN110365659 B CN 110365659B
- Authority
- CN
- China
- Prior art keywords
- data
- meta
- network
- data stream
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种小样本场景下的网络入侵检测数据集的构造方法。该构造方法包括:从目标网络获取网络流量数据包;对网络流量数据包进行组合重建得到数据流,并对数据流进行采样;对采样后的数据流进行预处理,包括归一化和匿名化处理;构造元训练集和元测试集,其中元训练集包含采样集和请求集,元测试集包含支持集和测试集;将构造好的元训练集和元测试集组合在一起,构成小样本场景下的网络入侵检测数据集。通过本发明可以构造适用于小样本场景下的网络入侵检测数据集,为小样本场景下网络入侵检测方法的研究和评估奠定数据基础。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种小样本场景下的网络入侵检测数据集的构造方法。
背景技术
网络入侵检测系统可以被定义为实现网络流量分类的系统。这里有一个默认的前提是,我们已经获取了大量用于分类的网络流量,因而可以构造包含大量样本的数据集。针对特定的数据集,就可以设计合适的模型,例如二分类模型,可以将网络流量分为正常流量和带有入侵攻击的流量,从而实现入侵检测。已有的研究工作说明,对于特定的攻击类型,只要有大量的样本,不少机器学习算法都可以很好地识别出这类攻击,这一过程可由机器自动学习,不需要人工过多干预。可以认为,只要有足够新的数据集,基于机器学习的入侵检测系统就可以检测新的攻击。但是目前的网络空间环境瞬息万变,每时每刻都有新的攻击产生。例如零日攻击是在漏洞发现当天发起的攻击,在短时间内安全机构很难获取到足够多的攻击样本,更来不及制作成数据集发布。对于类似零日攻击的检测问题,可以认为是一个小样本场景下的入侵检测问题。
深度学习由Hinton提出后,受到了学术界和工业界的广泛关注,在自然语言处理,图像识别,天气预测等领域取得了巨大的成功。深度学习涉及的模型具有高度的非线性结构,在对于复杂数据的处理上表现出了出众的学习能力。而近几年计算机技术的高速发展,也为深度学习提供了硬件基础。但是这些模型都需要大量的带有标签的样本用于训练,只有经过大量样本的训练,才会表现良好,并且只对于训练过的样本类型表现良好。
通过分析人类自身进行网络入侵检测的过程,我们可以得到两个经验。首先我们并不需要大量的标记样本,通常几十上百个样本就足够人类学会区分不同类型的流量。值得注意的是,网络安全专家在学习区分新的流量类型时,只需要数个甚至一个样本就足够了。这是因为人类可以自发地找到用于区分不同流量类型的特征,专家还可以使用大量先验的领域知识来帮助识别新的流量类型。其次,人类学习到的网络流量分类知识更加“通用”,例如在某个局域网上学到的某服务的流量分类知识,也可以用来分类广域网上另一种服务的流量,这是因为人类有迁移学习的能力,只要网络流量没有本质的改变,人类学习到的领域知识就可以发挥用处。人类的这两个特长,在网络入侵检测领域是有很大益处的。一方面,网络攻击层出不穷,而已有的监督学习算法难以泛化到识别未知的入侵流量。另一方面,计算机网络已经十分普及,针对每一种业务网络和可能出现的入侵类型而设计对应的入侵检测模型不切实际。
因此,小样本场景下的网络入侵检测方法,在理论上是可行的,在实际场景中也具有重大意义。但是目前还没有小样本场景下的网络入侵检测数据集,给研究工作的开展及评估带来困难。
发明内容
本发明的目的在于针对缺乏小样本场景下的网络入侵检测数据集的现状,提出一种小样本场景下的网络入侵检测数据集的构造方法。这种方法可以从目标网络获取网络流量数据包,然后得到用于评估检测方法的小样本场景下的网络入侵检测数据集。
为了达到上述目的,本发明采用以下技术方案:
一种小样本场景下的网络入侵检测数据集的构造方法,包括以下步骤:
步骤1:从目标网络获取网络流量数据包,包含正常流量数据包和不少于两种类型的攻击流量数据包;
步骤2:对网络流量数据包进行组合重建得到数据流,并对数据流进行采样;
步骤3:对采样后的数据流进行预处理,包括归一化和匿名化处理;
步骤4:构造元训练集和元测试集,其中元训练集包含采样集和请求集,元测试集包含支持集和测试集;
步骤5:将构造好的元训练集和元测试集组合在一起,构成小样本场景下的网络入侵检测数据集。
所述的网络流量数据包从目标网络中通过端口镜像方式使用抓包程序获得,或从已经公开的网络流量数据里获得。
进一步地,所述的对网络流量数据包进行组合重建得到数据流的方法是,将具有相同的五元组[源IP,目的IP,源端口,目的端口,协议]的网络流量数据包按时间先后顺序组合在一起,得到数据流。数据流的标签与其中包含的数据包的标签一致,若同一个数据流里包含多种标签的数据包,则由人工介入手动指定一种标签。
进一步地,所述的对数据流进行采样的方法是,通过以下3条原则对数据流进行采样:
(1)数据流的长度不固定,取前M个数据包来代表这个数据流。数据流是按时间顺序排列的若干数据包的集合,一个数据流中最开始传输的数据包包含了最丰富的特征,若M取合适的数值,通常能包括连接的建立过程,后续舍弃的数据包只是业务内容传输的延续,额外提供的特征较少。
(2)数据包的长度不固定,取前N个字节来代表这个数据包。在合适的取值N下,数据包的包头可以完全包含在内,甚至可以包含一部分载荷数据。为了方便展示,N可以取值为平方数,但这不是限定条件。
(3)若数据流或数据包的长度小于上述截断值,填零补齐。
上述原则里,M和N为正整数,根据目标网络的具体特点确定。
进一步地,所述的采样后的数据流进行预处理的方法包括归一化处理和匿名化处理两个阶段。
(1)归一化:经过采样后,每一个数据流样本的长度为M×N字节,每个字节的取值范围是[0,255]。将每个字节都除以255,使其范围缩小到[0,1],得到归一化的数据流样本。
(2)匿名化:数据集中采集的流量信息包含局域网IP,所以应当将数据流里的原有的IP地址用随机产生的IP地址替换,以随机化数据流中的IP地址,更加贴近实际网络环境。
进一步地,所述的元训练集和元测试集通过以下步骤构造:
步骤a:分别随机取K个正常和某种攻击类型的预处理后的数据流,得到2K个预处理后的数据流,构成1个采样集;再随机取b个从步骤3得到的预处理后的数据流,构成1个请求集;
步骤b:1个采样集和1个请求集构成元训练集里的一个任务,多次重复步骤1得到多个任务,这些任务构成元训练集;
步骤c:分别随机取K个正常和不同于步骤a里涉及的另一种攻击类型的预处理后的数据流,得到2K个预处理后的数据流,构成1个支持集;再随机取b个从步骤3得到的预处理后的数据流,构成1个测试集;
步骤d:1个支持集和1个测试集构成元测试集里的一个任务,多次重复步骤3得到多个任务,这些任务构成元测试集。
上述步骤a和步骤c中,K和b是正整数,K的取值一般较小,用来表示小样本场景。
本发明有如下的有益效果:
1.本数据集构造方法可以构造适用于小样本场景的网络入侵检测数据集,为小样本场景下的网络入侵检测方法的研究和评估奠定数据基础。
2.本数据集构造方法直接从目标网络获取网络流量数据包,可以使用现有的网络流量处理软硬件系统,降低了数据集构造成本。
3.本数据集构造方法以数据流为单位,具有两大优点。首先,既利用了包头的信息,又利用了载荷的信息,这样对于多种协议的适应性较好,可以统一处理不同协议的网络流量;其次,以数据包为检测对象,忽略了数据包之间的关联性,实际上一个最简单的TCP连接都要经过三次握手,会有多个数据包产生,而这些数据包可以构成一个数据流,可以看作一个整体,从而保留了数据包之间的关联性。
4.通过对数据流进行采样,保持了数据流的主体时间和空间结构不变,且减少了数据量,统一了数据尺寸,为检测算法的高效运行奠定了基础。
附图说明
图1是本发明实施例中的网络流量数据流的可视化示意图;
图2是本发明实施例中的数据集划分简化示意图。
具体实施方式
下面结合附图对本发明做进一步详细说明。
步骤1:从目标网络获取网络流量数据包。根据开放系统互联(Open SystemInterconnection,OSI)参考模型的定义,网络自下而上被划分为7层。网络流量的最小传输单位是数据包,每个数据包由包头和载荷构成。例如一个超文本传输协议(Hyper TextTransfer Protocol,HTTP)数据包,依次包含了14字节介质访问控制(Medium AccessControl,MAC)层包头,20字节网际协议(Internet Protocol,IP)层包头,20字节传输控制协议(Transmission Control Protocol,TCP)层包头,然后才是HTTP包头和载荷。
通过抓包程序获取的数据包除了第1层物理层在软件上不可见,2层及更高层在网络流量数据中均能体现。不失一般性地,我们将获取的流量分为5种类型,标签分别为O,A,B,C和D。O表示正常流量样本,A,B,C,D是4种不同类型的攻击流量。
步骤2:对网络流量数据包进行组合重建得到数据流,并对数据流进行采样。这里将具有相同的五元组[源IP,目的IP,源端口,目的端口,协议]的网络流量数据包按时间先后顺序组合在一起,得到数据流。数据流的标签与其中包含的数据包的标签一致,若同一个数据流里包含多种标签的数据包,则由人工介入手动指定一种标签。
图1所示的是本发明实施例中的网络流量数据流的可视化示意图,各部分分别表示:
1.数据包,包含多个包头和载荷。
2.数据包的可视化表达。由于数据包中每个字节有256种取值,对应256灰阶,得到灰度图。
3.M个数据包按时间先后顺序组合在一起,构成数据流。
结合图1,我们对数据流进行采样:
(1)数据流的长度不固定,取前M个数据包来代表这个数据流。数据流是按时间顺序排列的若干数据包的集合,一个数据流中最开始传输的数据包包含了最丰富的特征,若M取合适的数值,通常能包括连接的建立过程,后续舍弃的数据包只是业务内容传输的延续,额外提供的特征较少。为了使得示意图简单明了,这里取M=3,实际使用时,M可适当取大一点,例如取M=6,8,14或16。
(2)数据包的长度不固定,取前N个字节来代表这个数据包。在合适的取值N下,数据包的包头可以完全包含在内,甚至可以包含一部分载荷数据。为了示意图清晰美观,这里取N=64,实际使用时,N可在100到200取值,若后续检测算法使用图形处理器(GraphicsProcessing Unit,GPU)实现硬件加速运算,2的整数次方可以提高运算效率,N也可以取256。
(3)若数据流或数据包的长度小于上述截断值,填零补齐。
步骤3:对采样后的数据流进行预处理,包括归一化处理和匿名化处理。
(1)归一化:经过采样后,每一个数据流样本的长度为3×64字节,每个字节的取值范围是[0,255]。将每个字节都除以255,使其范围缩小到[0,1],得到归一化的数据流样本。
(2)匿名化:数据集中采集的流量信息包含局域网IP,所以应当将数据流里的原有的IP地址用随机产生的IP地址替换,以随机化数据流中的IP地址,更加贴近实际网络环境。
步骤4:构造元训练集和元测试集,其中元训练集包含采样集和请求集,元测试集包含支持集和测试集。
对于元训练集和元测试集里的每一个任务,我们取K=5,即每类样本的数量为5,模拟实际环境中只有“几个”样本的小样本场景。b的大小无特别限定,本实施例中可取10到100之间的整数,这里以50为例。
步骤a:分别随机取5个标签为正常“O”和标签为某种攻击(例如“A”)的预处理后的数据流,得到10个预处理后的数据流,构成1个采样集。再随机取50个预处理后的数据流,构成1个请求集,请求集里的数据流标签无需限定。
步骤b:1个采样集和1个请求集构成元训练集里的一个任务。多次重复步骤1得到1000个任务,这些任务构成元训练集。
步骤c:分别随机取5个标签为正常“O”和标签为某种不同于步骤1里的攻击(例如“B”)的预处理后的数据流,得到10个预处理后的数据流,构成1个支持集。再随机取50个预处理后的数据流,构成1个测试集,测试集里的数据流标签无需限定。
步骤d:1个支持集和1个测试集构成元测试集里的一个任务。多次重复步骤3得到1000个任务,这些任务构成元测试集。
步骤5:将构造好的元训练集和元测试集组合在一起,构成小样本场景下的网络入侵检测数据集。
图2是本发明实施例中的数据集划分简化示意图,为了示意图清晰明了,K取2,b取2,各部分分别是:
1.元训练集;
2.元测试集;
3.采样集;
4.请求集;
5.支持集;
6.测试集。
该示意图表示了一个小样本场景下的网络入侵检测数据集,由元训练集和元测试集构成。元训练集由3个任务构成,每个任务由采样集和请求集构成。在每个任务中,采样集由4个预处理后的数据流构成,分别包括2种类型的数据流,每种2个。请求集由2个预处理后的数据流构成,类型不限。元测试集由1个任务构成,每个任务由支持集和测试集构成。在该任务中,支持集由4个预处理后的数据流构成,分别包括2种类型的数据流,每种2个。请求集由2个预处理后的数据流构成,类型不限。需要注意的是,采样集和支持集里的数据流类型不同,而元训练集里不同任务的采样集里的数据流类型可以相同,也可以不同。
应当理解的是,上述实施例为了便于普通技术人员理解,描述较为详细且具体,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
Claims (5)
1.一种小样本场景下的网络入侵检测数据集的构造方法,其特征在于,包括以下步骤:
步骤1:从目标网络获取网络流量数据包,包含正常流量数据包和不少于两种类型的攻击流量数据包;
步骤2:对网络流量数据包进行组合重建得到数据流,并对数据流进行采样;具体为:将具有相同的五元组[源IP,目的IP,源端口,目的端口,协议]的网络流量数据包按时间先后顺序组合在一起,得到数据流,数据流的标签与其中包含的数据包的标签一致,若同一个数据流里包含多种标签的数据包,则由人工介入手动指定一种标签;使用以下3条原则对数据流进行采样:
(1)数据流的长度不固定,取前M个数据包来代表这个数据流;
(2)数据包的长度不固定,取前N个字节来代表这个数据包;
(3)若数据流或数据包的长度小于上述截断值,填零补齐;
其中M和N为正整数,根据目标网络的具体特点确定;
步骤3:对采样后的数据流进行预处理,包括归一化处理和匿名化处理;
步骤4:构造元训练集和元测试集,其中元训练集包含采样集和请求集,元测试集包含支持集和测试集;元训练集和元测试集通过以下步骤构造:
步骤a:分别随机取K个正常和某种攻击类型的预处理后的数据流,得到2K个预处理后的数据流,构成1个采样集;再随机取b个从步骤3得到的预处理后的数据流,构成1个请求集;
步骤b:1个采样集和1个请求集构成元训练集里的一个任务,多次重复步骤1得到多个任务,这些任务构成元训练集;
步骤c:分别随机取K个正常和不同于步骤a里涉及的另一种攻击类型的预处理后的数据流,得到2K个预处理后的数据流,构成1个支持集;再随机取b个从步骤3得到的预处理后的数据流,构成1个测试集;
步骤d:1个支持集和1个测试集构成元测试集里的一个任务,多次重复步骤3得到多个任务,这些任务构成元测试集;
上述步骤a和步骤c中,K和b是正整数;
步骤5:将构造好的元训练集和元测试集组合在一起,构成小样本场景下的网络入侵检测数据集。
2.根据权利要求1所述的小样本场景下的网络入侵检测数据集的构造方法,其特征在于,所述的网络流量数据包从目标网络中通过端口镜像方式使用抓包程序获得,或从已经公开的网络流量数据里获得。
3.根据权利要求1所述的小样本场景下的网络入侵检测数据集的构造方法,其特征在于,归一化处理时将数据流里每个字节都除以255,使其范围缩小到[0,1];匿名化处理时将数据流里的原有的IP地址用随机产生的IP地址替换。
4.根据权利要求1所述的小样本场景下的网络入侵检测数据集的构造方法,其特征在于,构造的数据集里的样本是经过采样的数据流,每个数据流的大小固定为M × N 字节,M和N为正整数。
5.根据权利要求1所述的小样本场景下的网络入侵检测数据集的构造方法,其特征在于,构造的数据集里的样本能保留网络流量数据包的全部包头数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910561043.XA CN110365659B (zh) | 2019-06-26 | 2019-06-26 | 一种小样本场景下的网络入侵检测数据集的构造方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910561043.XA CN110365659B (zh) | 2019-06-26 | 2019-06-26 | 一种小样本场景下的网络入侵检测数据集的构造方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365659A CN110365659A (zh) | 2019-10-22 |
| CN110365659B true CN110365659B (zh) | 2020-08-04 |
Family
ID=68217570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910561043.XA Active CN110365659B (zh) | 2019-06-26 | 2019-06-26 | 一种小样本场景下的网络入侵检测数据集的构造方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365659B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565301B (zh) * | 2019-12-26 | 2021-08-31 | 北京航空航天大学 | 基于小样本学习的服务器运行网络流量异常数据检测方法 |
| CN112464047B (zh) * | 2020-11-06 | 2021-07-02 | 广州竞远安全技术股份有限公司 | 一种采用混合匹配引擎的nids设备的优化系统及方法 |
| CN115563610B (zh) * | 2022-12-05 | 2023-05-30 | 江苏新希望科技有限公司 | 入侵检测模型的训练方法、识别方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109034175A (zh) * | 2017-06-12 | 2018-12-18 | 华为技术有限公司 | 数据处理方法、装置及设备 |
| CN109068349A (zh) * | 2018-07-12 | 2018-12-21 | 重庆邮电大学 | 一种基于小样本迭代迁移的室内入侵检测方法 |
| CN109361673A (zh) * | 2018-10-26 | 2019-02-19 | 电子科技大学 | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 |
| CN109450845A (zh) * | 2018-09-18 | 2019-03-08 | 浙江大学 | 一种基于深度神经网络的算法生成恶意域名检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10331976B2 (en) * | 2013-06-21 | 2019-06-25 | Xerox Corporation | Label-embedding view of attribute-based recognition |
| US10769788B2 (en) * | 2017-09-12 | 2020-09-08 | Nantomics, Llc | Few-shot learning based image recognition of whole slide image at tissue level |
-
2019
- 2019-06-26 CN CN201910561043.XA patent/CN110365659B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109034175A (zh) * | 2017-06-12 | 2018-12-18 | 华为技术有限公司 | 数据处理方法、装置及设备 |
| CN109068349A (zh) * | 2018-07-12 | 2018-12-21 | 重庆邮电大学 | 一种基于小样本迭代迁移的室内入侵检测方法 |
| CN109450845A (zh) * | 2018-09-18 | 2019-03-08 | 浙江大学 | 一种基于深度神经网络的算法生成恶意域名检测方法 |
| CN109361673A (zh) * | 2018-10-26 | 2019-02-19 | 电子科技大学 | 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于小样本标记实例的数据流集成入侵检测模型;俞研, 黄皓;《电子学报》;20070228;第35卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365659A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112163594B (zh) | 一种网络加密流量识别方法及装置 | |
| CN110365659B (zh) | 一种小样本场景下的网络入侵检测数据集的构造方法 | |
| CN113037687B (zh) | 一种流量识别方法及电子设备 | |
| CN110808971B (zh) | 一种基于深度嵌入的未知恶意流量主动检测系统及方法 | |
| CN113989583A (zh) | 一种互联网恶意流量检测方法及系统 | |
| CN112804253B (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN112949702B (zh) | 一种网络恶意加密流量识别方法和系统 | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| Cheng et al. | DDoS Attack Detection via Multi-Scale Convolutional Neural Network. | |
| CN108289125A (zh) | 基于流式处理的tcp会话重组与统计数据提取方法 | |
| CN112491894A (zh) | 一种基于时空特征学习的物联网网络攻击流量监测系统 | |
| D’Angelo et al. | DNS tunnels detection via DNS-images | |
| CN113408707A (zh) | 一种基于深度学习的网络加密流量识别方法 | |
| CN112910853A (zh) | 基于混合特征的加密流量分类方法 | |
| CN112036518A (zh) | 基于数据包字节分布的应用程序流量分类方法和存储介质 | |
| CN114726802A (zh) | 一种基于不同数据维度的网络流量识别方法及装置 | |
| CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
| CN115473850B (zh) | 一种基于ai的实时数据过滤方法、系统及存储介质 | |
| Dener et al. | Rfse-gru: Data balanced classification model for mobile encrypted traffic in big data environment | |
| CN114362988B (zh) | 网络流量的识别方法及装置 | |
| CN116094971A (zh) | 一种工控协议识别方法、装置、电子设备及存储介质 | |
| Zhang et al. | Encrypted network traffic classification: A data driven approach | |
| Yin et al. | Tor Traffic’s Representation and Classification Based on Packet Timing Characteristics | |
| CN114553579A (zh) | 基于图像的新型恶意流量检测方法 | |
| Zliang et al. | Shadowsocks traffic identification based on convolutional neural network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |