CN110391958B - 一种对网络加密流量自动进行特征提取和识别的方法 - Google Patents

一种对网络加密流量自动进行特征提取和识别的方法 Download PDF

Info

Publication number
CN110391958B
CN110391958B CN201910752472.5A CN201910752472A CN110391958B CN 110391958 B CN110391958 B CN 110391958B CN 201910752472 A CN201910752472 A CN 201910752472A CN 110391958 B CN110391958 B CN 110391958B
Authority
CN
China
Prior art keywords
data
encrypted
packet
length
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910752472.5A
Other languages
English (en)
Other versions
CN110391958A (zh
Inventor
徐锐
代宏伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongan Zhida Technology Co ltd
Original Assignee
Beijing Zhongan Zhida Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhongan Zhida Technology Co ltd filed Critical Beijing Zhongan Zhida Technology Co ltd
Priority to CN201910752472.5A priority Critical patent/CN110391958B/zh
Publication of CN110391958A publication Critical patent/CN110391958A/zh
Application granted granted Critical
Publication of CN110391958B publication Critical patent/CN110391958B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种对网络加密流量自动进行特征提取和识别的方法,包括下列步骤:S1:数据采集阶段,使用抓包工具对网络加密数据流量进行抓取;S2:数据预处理阶段,将数据包进行过滤,排除无用包干扰,得到用于特征提取的样本数据,构建完整数据集;S3:特征提取阶段,采用相似度算法对数据预处理阶段产生的完整数据集进行相似度分类,对具有高相关性、高相似度的数据进行聚类的方式进行特征提取;S4:数据建模阶段,对聚类后的数据进行标记,采用机器学习算法构建分类模型,数据验证模型的准确性和识别效果。

Description

一种对网络加密流量自动进行特征提取和识别的方法
技术领域
本发明涉及大数据处理领域和网络安全领域,尤其是涉及一种基于机器学习算法对大数据网络加密流量自动进行特征提取和识别的方法。
背景技术
在传统网络安全和网络监管中,通过提取网络流量中的明文内容获取信息,达到对网络恶意流量的监控、用户信息的识别、非法行为的捕获等目的。但随着加密技术的发展,越来越多的网络数据进行加密通信,加密数据即使被监听也很难从中获取有效信息,为了有效进行网络监管,如何从加密数据中提取有效信息成了研究网络安全方面技术的重点。
目前利用大数据对加密流量进行识别的研究主要用于针对异常流量和病毒识别方面,研究基于对整个协议层数据进行处理,网络环境复杂,工程量大。在针对网络用户行为识别方面,多数还是基于DPI深度包分析,从应用层加密内容中提取具有规律且能用来进行标识的特征值(有规律的字符串),来进行用户行为识别,该类方法在实际操作过程中,寻找特征值的工作量繁琐,维护困难,并且在加密技术的不断改进下,寻找特征值的方式也逐渐变的困难。
发明内容
本发明提供了一种对网络加密流量自动进行特征提取和识别的方法,将传统加密数据流量识别方法和机器学习分类方法相结合,其中,传统加密数据流量识别方式是通过DPI深度包检测方法对加密内容进行研究,提取数据包特征,对提取的特征尝试多种组合方式,并通过聚类方式对组合的数据集进分类提取特征数组并添加标记;基于大数据机器学习算法,是对处理好的数据进行学习建模,构建分类器模型达到对目标行为识别效果。因此,通过形成一套完整的特征提取和数据建模流程,解决了对特定目标数据进行识别的问题。
其技术方案如下所述:
一种对网络加密流量自动进行特征提取和识别的方法,包括下列步骤:
S1:数据采集阶段,使用抓包工具对网络加密数据流量进行抓取;
S2:数据预处理阶段,将数据包进行过滤,排除无用包干扰,得到用于特征提取的样本数据,构建完整数据集;
S3:特征提取阶段,采用相似度算法对数据预处理阶段产生的完整数据集进行相似度分类,对具有高相关性、高相似度的数据进行聚类的方式进行特征提取;
S4:数据建模阶段,对聚类后的数据进行标记,采用机器学习算法构建分类模型,数据验证模型的准确性和识别效果。
进一步的,步骤S1中,抓包工具对网卡进行监控,重复执行特定上网行为,用抓包工具对期间产生的加密数据流量进行采集,采集过程中记录行为产生加密数据流量的起始位置。
抓包工具对获取的加密流量数据包进行特征提取,提取加密数据包的基本特征,所述基本特征包括捕获时间、ip地址、端口、协议类型、应用层加密内容和长度。
进一步的,步骤S2中,将数据包进行过滤以及排除无用包干扰包括以下步骤:
1)根据端口对协议类型进行判断,将非加密协议的数据包过滤,加密协议端口为443;
2)根据四元组和数据包时序对数据包进行排序,过滤乱序和重发的数据包;
3)对数据包应用层长度为零的数据包进行过滤。
过滤后,将网络数据流量提取成多条完整的加密会话流量。
进一步的,步骤S2中,根据加密会话流量得到样本数据包括以下步骤:
1)将数据包进行会话重组,按照网络会话对数据包进行分组;
2)提取数据包应用层加密内容长度,按照对应会话组构建列表,每个会话对应一个长度列表,列表构建顺序对应会话的数据流顺序;长度数值有正负区分,区分依据具有流量的交互模式;
3)对长度列表按照滑动窗口的方式进行切分提取等长的数组,数值为长度值,并按照数组的正负号组合类型进行区分,构建完整数据集。
进一步的,步骤2)中,根据源地址和目的地址标识的客户端服务器方向定义数值的正负,从客户端到服务器的数据包,长度值为正,从服务器到客户端的数据包,长度为负。
进一步的,步骤3)中,构建数据集过程中,一直记录长度对应的源数据包id,后续用于查找特征对应数据包对应位置。
进一步的,步骤S3中,完整数据集分别通过pearson相关系数和余弦相似度的方式进行分类,对相似度满足一定阈值的数据,认为该类数据为一组相似数据。
进一步的,步骤S3和步骤S4之间,由聚类产生的具有相似特征的数据为训练样本,标记内容为样本类别,对训练样本通过主成分分析法进行降维处理。
进一步的,起始位置是指保存数据包对应的id,该位置用于对后续聚类产生的特征数组对应的位置进行判断,在聚类结果中找出特定上网行为对应的数据特征。
所述对网络加密流量自动进行特征提取和识别的方法沿用了DPI深度包解析,结合大数据处理方式,对特征提取方面进行改善,形成了一套完整方案,用于对网络加密数据在用户层面针对用户上网行为进行识别,获取有效信息。该发明具有对行为识别效果好,工程量小并且具有好的可解释性,能快速投入实际应用等优势。
附图说明
图1是所述对网络加密流量自动进行特征提取和识别的方法的步骤流程图;
图2是训练样本通过PCA进行降维处理得到的图形示意图。
具体实施方式
如图1所示,所述对网络加密流量自动进行特征提取和识别的方法包括以下几个步骤:
一、数据采集:
使用抓包工具(wireshark等工具)对网络加密数据流量进行抓取。
使用抓包工具对网卡进行监控,重复执行特定上网行为(需要识别的加密行为),用抓包工具对期间产生的加密数据流量进行采集,采集过程中记录行为产生加密数据流量的起始位置(具体体现在保存数据包对应的id),该位置用于对后续聚类产生的特征数组对应的位置进行判断,在聚类结果中找出特定上网行为对应的数据特征。
对获取的加密流量数据包进行特征提取,提取加密数据包的捕获时间,ip地址,端口,协议类型,应用层加密内容和长度等基本特征。
二、数据预处理:
对上述提取的数据内容进行预处理,得到用于特征提取的样本数据。
首先提取加密流量会话,对采集的网络流量进行以下三个步骤:
1、根据端口对协议类型进行判断,将非加密协议的数据包过滤,加密协议端口为443。
2、根据四元组和数据包时序对数据包进行排序,过滤乱序和重发的数据包。
3、对数据包应用层长度为零的数据包进行过滤。
通过过滤,将网络数据流量提取成多条完整的加密会话流量。
按照会话对数据包进行分类,提取数据包应用层内容长度作为特征,提取内容如下所示:
Figure BDA0002167627660000051
对提取的长度组成数组,数值为长度值,根据源地址和目的地址标识的客户端服务器方向定义数值的正负,从客户端到服务器的数据包,长度值为正,从服务器到客户端的数据包,长度为负,组成的数组如下所示:
[832,38,-565,390,-207,454,38,-209,541,38,-208,…]
对各个会话构成的长度值数组按照滑动窗口的方式,切分成长度相同的数组:
如:
[832,38,-565,390],[38,-565,390,-207],[-565,390,-207,454],[390,-207,454,38],…
或:
[832,38,-565,390,-207],[38,-565,390,-207,454],[-565,390,-207,454,38],[390,-207,454,38,-209],…
对数组按照正负号方向进行分类:
[
[[1104,315,844,574],[853,1104,317,539],[767,38,485,38],[],[],…],
[[772,1104,53,-1104],[888,1104,151,-204],[1104,316,385,-229],[],[],…],
[[832,38,-565,390],[454,38,-209,541],[541,38,-208,772],[886,38,-490,902],[],[]]
]
到此处,数据的预处理阶段完成。
三、特征提取
将预处理后的数据集分别通过pearson(皮尔森)相关系数和余弦相似度的方式进行分类,对相似度满足一定阈值的数据认为该类数据为一组相似数据。
Pearson(皮尔森)相关系数公式:
Figure BDA0002167627660000061
公式中,X为特征样本,Y为目标变量(与样本X进行比较的样本),n为样本包含的特征个数。
Figure BDA0002167627660000062
为样本X的特征均值,
Figure BDA0002167627660000063
为样本Y的特征均值,r为计算出来的相关系数值,相关系数的绝对值越大,相关性越强:相关系数越接近于1或-1,相关度越强,相关系数越接近于0,相关度越弱。
Pearson相关系数用来衡量两个数据集合是否在一条线上,r值取值范围在-1到1之间,相关系数的绝对值越大,相关性越强,此处设置阈值为一个接近1的数值,如0.95,当r值大于0.95时,我们将该组数据归纳为一类相似数据。
余弦相似度公式:
Figure BDA0002167627660000071
Similarity为AB两个向量夹角余弦值,Ai Bi为向量分量,n为分量个数,||A||||B||为矩阵范数(此处表示向量的模),
余弦相似度是通过计算两个向量的夹角余弦值来评估两个向量的相似度,similarity值取值范围在-1~1之间,当夹角为0度角时,余弦值为1,当夹角越接近0度时,余弦值越接近1,此处设置阈值为一个接近1的数值,如0.95,当similarity值大于0.95时,我们将该组数据归纳为一类相似数据。
由聚类产生的具有相似特征的数据为训练样本,标记内容为样本类别,对训练样本通过主成分分析法进行降维处理。在特征提取阶段,根据相似度算法,可以将预处理阶段组织的连续包长数组(由聚类产生的具有相似特征的数据可以简称为连续包长数组)全部分类到各自对应的特征簇中,处理过程中会保留第二步预处理阶段提取的数据的对应ID(对应位置),根据第一步中获取加密数据流量中记录的为位置,可以进一步确认目标行为(抓包过程中重复执行的上网行为)产生的网络加密数据特征,对该类特征簇进行标记,其他特征簇可区别标记(表示在复杂网络环境中,其他网络交互过程)。
由聚类产生的具有相似特征的数据为训练样本,标记内容为样本类别,对训练样本通过PCA(主成分分析法)进行降维处理,得到的图形如图2所示。图2中,横纵坐标均表示降维处理后生成的新的特征,比如原样本数据有4个特征,如样本:[772,1104,53,-1104],每个值均为训练样本的一个特征,通过降维成2个特征后,便于可视化。
实例图像是选取包含样本最多的四组特征簇样本进行降维处理绘制得到,从图像可以明显观测到,各类网络行为在网络交互过程中存在明显区别。
四、构建模型
从PCA降维处理的结果可以看出,特征存在着明显分类结果,是典型的多分类任务,通过机器学习算法对分类任务进行建模,使用常用分类算法knn(k最近邻算法)对提取数据进行建模,得到的模型对实际网络环境中加密数据流量的识别准确率达到99%以上。
本发明沿用了DPI深度包解析,结合大数据处理方式,对特征提取方面进行改善,形成了一套完整方案,用于对网络加密数据在用户层面针对用户上网行为进行识别,获取有效信息。该发明具有对行为识别效果好,工程量小并且具有好的可解释性,能快速投入实际应用等优势。

Claims (9)

1.一种对网络加密流量自动进行特征提取和识别的方法,包括下列步骤:
S1:数据采集阶段,使用抓包工具对网络加密数据流量进行抓取;
S2:数据预处理阶段,将数据包进行过滤,排除无用包干扰,得到用于特征提取的样本数据,构建完整数据集;
将数据包进行过滤以及排除无用包干扰包括以下步骤:
1)根据端口对协议类型进行判断,将非加密协议的数据包过滤,加密协议端口为443;
2)根据四元组和数据包时序对数据包进行排序,过滤乱序和重发的数据包;
3)对数据包应用层长度为零的数据包进行过滤;
过滤后,将网络数据流量提取成多条完整的加密会话流量;
S3:特征提取阶段,采用相似度算法对数据预处理阶段产生的完整数据集进行相似度分类,对具有高相关性、高相似度的数据进行聚类的方式进行特征提取;
S4:数据建模阶段,对聚类后的数据进行标记,采用机器学习算法构建分类模型,数据验证模型的准确性和识别效果。
2.根据权利要求1所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤S1中,抓包工具对网卡进行监控,重复执行特定上网行为,用抓包工具对期间产生的加密数据流量进行采集,采集过程中记录行为产生加密数据流量的起始位置。
3.根据权利要求2所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:抓包工具对获取的加密流量数据包进行特征提取,提取加密数据包的基本特征,所述基本特征包括捕获时间、ip地址、端口、协议类型、应用层加密内容和长度。
4.根据权利要求1所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤S2中,根据加密会话流量得到样本数据包括以下步骤:
1)将数据包进行会话重组,按照网络会话对数据包进行分组;
2)提取数据包应用层加密内容长度,按照对应会话组构建列表,每个会话对应一个长度列表,列表构建顺序对应会话的数据流顺序;长度数值有正负区分,区分依据具有流量的交互模式;
3)对长度列表按照滑动窗口的方式进行切分提取等长的数组,数值为长度值,并按照数组的正负号组合类型进行区分,构建完整数据集。
5.根据权利要求4所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤2)中,根据源地址和目的地址标识的客户端服务器方向定义数值的正负,从客户端到服务器的数据包,长度值为正,从服务器到客户端的数据包,长度为负。
6.根据权利要求4所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤3)中,构建数据集过程中,一直记录长度对应的源数据包id,后续用于查找特征对应数据包对应位置。
7.根据权利要求1所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤S3中,完整数据集分别通过pearson相关系数和余弦相似度的方式进行分类,对相似度满足一定阈值的数据,认为相似度满足一定阈值的数据为一组相似数据。
8.根据权利要求1所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:步骤S3和步骤S4之间,由聚类产生的具有相似特征的数据为训练样本,标记内容为样本类别,对训练样本通过主成分分析法进行降维处理。
9.根据权利要求2所述的对网络加密流量自动进行特征提取和识别的方法,其特征在于:起始位置是指保存数据包对应的id,该位置用于对后续聚类产生的特征数组对应的位置进行判断,在聚类结果中找出特定上网行为对应的数据特征。
CN201910752472.5A 2019-08-15 2019-08-15 一种对网络加密流量自动进行特征提取和识别的方法 Active CN110391958B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910752472.5A CN110391958B (zh) 2019-08-15 2019-08-15 一种对网络加密流量自动进行特征提取和识别的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910752472.5A CN110391958B (zh) 2019-08-15 2019-08-15 一种对网络加密流量自动进行特征提取和识别的方法

Publications (2)

Publication Number Publication Date
CN110391958A CN110391958A (zh) 2019-10-29
CN110391958B true CN110391958B (zh) 2021-04-09

Family

ID=68288762

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910752472.5A Active CN110391958B (zh) 2019-08-15 2019-08-15 一种对网络加密流量自动进行特征提取和识别的方法

Country Status (1)

Country Link
CN (1) CN110391958B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110971601A (zh) * 2019-12-02 2020-04-07 邑客得(上海)信息技术有限公司 一种高效的网络报文传输层多级特征提取方法和系统
CN113055334B (zh) * 2019-12-26 2023-07-28 国网山西省电力公司信息通信分公司 终端用户的网络行为的监管方法和装置
CN111277578B (zh) * 2020-01-14 2022-02-22 西安电子科技大学 加密流量分析特征提取方法、系统、存储介质、安全设备
CN111200543A (zh) * 2020-01-16 2020-05-26 福建奇点时空数字科技有限公司 一种基于主动服务探测引擎技术的加密协议识别方法
CN111431819B (zh) * 2020-03-06 2023-06-20 中国科学院深圳先进技术研究院 一种基于序列化的协议流特征的网络流量分类方法和装置
CN111626322B (zh) * 2020-04-08 2024-01-05 中南大学 一种基于小波变换的加密流量的应用活动识别方法
CN112019449B (zh) * 2020-08-14 2022-06-17 四川电科网安科技有限公司 流量识别抓包方法和装置
CN112511384B (zh) * 2020-11-26 2022-09-02 广州品唯软件有限公司 流量数据处理方法、装置、计算机设备和存储介质
CN112580708B (zh) * 2020-12-10 2024-03-05 上海阅维科技股份有限公司 从应用程序生成的加密流量中识别上网行为的方法
CN115086242A (zh) * 2021-03-12 2022-09-20 天翼云科技有限公司 加密数据包识别方法、装置与电子设备
CN113141375A (zh) * 2021-05-08 2021-07-20 国网新疆电力有限公司喀什供电公司 一种网络安全监控的方法、装置、存储介质及服务器
CN113422882B (zh) * 2021-06-22 2022-09-02 中国科学技术大学 图像压缩编码的分级加密方法、系统、设备与存储介质
CN114978585B (zh) * 2022-04-12 2024-02-27 国家计算机网络与信息安全管理中心 基于流量特征的深度学习对称加密协议识别方法
CN114726753B (zh) * 2022-05-24 2022-08-26 北京金睛云华科技有限公司 一种基于多任务学习的网络加密流量识别方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721242A (zh) * 2016-01-26 2016-06-29 国家信息技术安全研究中心 一种基于信息熵的加密流量识别方法
CN109194657A (zh) * 2018-09-11 2019-01-11 北京理工大学 一种基于累积数据包长度的网页加密流量特征提取方法
CN109450740A (zh) * 2018-12-21 2019-03-08 青岛理工大学 一种基于dpi和机器学习算法进行流量分类的sdn控制器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102611706A (zh) * 2012-03-21 2012-07-25 清华大学 一种基于半监督学习的网络协议识别方法及系统
CN109189950B (zh) * 2018-09-03 2023-04-07 腾讯科技(深圳)有限公司 多媒体资源分类方法、装置、计算机设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721242A (zh) * 2016-01-26 2016-06-29 国家信息技术安全研究中心 一种基于信息熵的加密流量识别方法
CN109194657A (zh) * 2018-09-11 2019-01-11 北京理工大学 一种基于累积数据包长度的网页加密流量特征提取方法
CN109450740A (zh) * 2018-12-21 2019-03-08 青岛理工大学 一种基于dpi和机器学习算法进行流量分类的sdn控制器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"网络流量分类研究与应用";韩春昊,;《中国优秀硕士学位论文全文数据库-信息科技辑》;20180415(第 04 期);第4.3小节 *

Also Published As

Publication number Publication date
CN110391958A (zh) 2019-10-29

Similar Documents

Publication Publication Date Title
CN110391958B (zh) 一种对网络加密流量自动进行特征提取和识别的方法
CN110247930B (zh) 一种基于深度神经网络的加密网络流量识别方法
CN109726744B (zh) 一种网络流量分类方法
CN110796196B (zh) 一种基于深度判别特征的网络流量分类系统及方法
CN110290022B (zh) 一种基于自适应聚类的未知应用层协议识别方法
CN111385297B (zh) 无线设备指纹识别方法、系统、设备及可读存储介质
CN110808971B (zh) 一种基于深度嵌入的未知恶意流量主动检测系统及方法
CN102571486A (zh) 一种基于BoW模型和统计特征的流量识别方法
CN113489685B (zh) 一种基于核主成分分析的二次特征提取及恶意攻击识别方法
Júnior et al. An in-depth study on open-set camera model identification
CN113329023A (zh) 一种加密流量恶意性检测模型建立、检测方法及系统
Kong et al. Identification of abnormal network traffic using support vector machine
CN112381119B (zh) 基于去中心化应用加密流量特征的多场景分类方法及系统
CN114143037A (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN109660656A (zh) 一种智能终端应用程序识别方法
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN110519228B (zh) 一种黑产场景下恶意云机器人的识别方法及系统
Huoh et al. Encrypted network traffic classification using a geometric learning model
CN110995713A (zh) 一种基于卷积神经网络的僵尸网络检测系统及方法
CN112383488B (zh) 一种适用于加密与非加密数据流的内容识别方法
CN1612135B (zh) 一种基于训练分类的协议识别方法
CN109376531B (zh) 基于语义重编码与特征空间分离的Web入侵检测方法
CN113141349B (zh) 一种多分类器自适应融合的https加密流量分类方法
CN116232696A (zh) 基于深度神经网络的加密流量分类方法
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant