CN110414594A - 一种基于双阶段判定的加密流量分类方法 - Google Patents

一种基于双阶段判定的加密流量分类方法 Download PDF

Info

Publication number
CN110414594A
CN110414594A CN201910673679.3A CN201910673679A CN110414594A CN 110414594 A CN110414594 A CN 110414594A CN 201910673679 A CN201910673679 A CN 201910673679A CN 110414594 A CN110414594 A CN 110414594A
Authority
CN
China
Prior art keywords
encryption
stage
label
flow sample
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910673679.3A
Other languages
English (en)
Other versions
CN110414594B (zh
Inventor
马小博
师马玮
安冰玉
刘文懋
樊志甲
赵粤征
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Xian Jiaotong University
Beijing NSFocus Information Security Technology Co Ltd
Original Assignee
Xian Jiaotong University
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University, Beijing NSFocus Information Security Technology Co Ltd filed Critical Xian Jiaotong University
Priority to CN201910673679.3A priority Critical patent/CN110414594B/zh
Publication of CN110414594A publication Critical patent/CN110414594A/zh
Application granted granted Critical
Publication of CN110414594B publication Critical patent/CN110414594B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24147Distances to closest patterns, e.g. nearest neighbour classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于双阶段判定的加密流量分类方法,将随机森林分类器分类的输出作为K近邻分类器的输入,最后对两种分类器结果进行融合比对,完成对流量数据的分类。本方法充分利用了随机森林算法的输出特性和双阶段判定的可靠性保证,可提高分类的准确率。本发明是基于双阶段的判定的加密流量分类算法。第一步将元特征序列通过训练之后可以得到第一阶段分类模型,即一个包含有k棵树的随机森林模型,然后取每一棵树的输出的标签作为一个新的复合特征向量,输入到K近邻分类器中进行第二阶段的分类,并且将两次分类之后的结果进行比对,只有两次分类的结果相同才算分类成功。这样的双阶段判定模型会使得最后的分类准确率显著提高。

Description

一种基于双阶段判定的加密流量分类方法
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种基于双阶段判定的加密流量分类方法。
背景技术
近年来,随着互联网的高速发展,网络已经紧密地融入我们的生产与生活,网络安全也成为一个不可忽视的问题。在日常生活中,人们的网络安全意识也逐渐提高,越来越多的用户和企业开始重视信息的保护和安全传输。基于加密流量的网络行为识别技术,可以用来实现网络的安全监管,特别是非法业务和不良信息的监管。加密流量分析就是通过一些流量本身的特征去分析当前用户的上网行为,而不是通过数据包的内容分析。目前加密流量分析应用的最主要的技术就是网站指纹分析(website fingerprinting),这是一种通过对网络流量的进行特征提取并结合有监督的分类模型对用户行为分类,并且可以准确判断出当前用户访问的网站。对于网站指纹分析技术来说,模型的构建是一个关键的问题。
选择一种准确率较高的分类模型,可以实现事半功倍的效果。加密流量分析的主要应用技术是网站指纹分析,而决定网站指纹分析的识别效果的一个关键因素就是分类模型的构建。如果一个分类模型构建失败,意味着在训练阶段的分类就是存在问题的,在以后的应用中测试分类判断也一定是失败的。所以一个准确的模型的构造确实可以对网站指纹识别技术的应用即对不同网站的识别带来很好的效果。
目前国内外关于加密流量分析使用的分类方法中基本使用的都是采用单一的机器学习分类模型,如随机森林(Random Forest),支持向量机(SVM)等。这些机器学习的算法使用起来比较简单,但是准确率都受到了限制,无法达到令人满意的程度。曾经在2016 年USENIX发表的k-fingerprinting论文中也曾经提过一种KNN分类器和随机森林分类器结合的方法,它们的距离计算采用了海明距离,使得其在噪声流量很大的时候可以保持一个稳定性,但是准确率受到大幅限制,未能有效提高。
由此可见,关于加密流量分析使用的分类方法除了简单的机器学习分类模型之外,其他算法还未被深入研究,相关技术也尚未被广泛应用。
发明内容
本发明的目的在于提供一种基于双阶段判定的加密流量分类方法,以解决上述问题。
为实现上述目的,本发明采用以下技术方案:
一种基于双阶段判定的加密流量分类方法,包括以下步骤:
步骤1:生成加密流量样本第一阶段训练集。用户提供加密流量样本集合,集合中的每一个加密流量样本是包含数据包的原始流量文件,且有唯一的加密流量类型标签。将用户提供的d维特征向量,记为元特征向量。根据该特征向量,对每一个加密流量样本进行向量化表示。采用元特征向量对加密流量样本集合向量化表示后,保留每个加密流量样本的加密流量类型标签,得到加密流量样本第一阶段训练集。
步骤2:生成加密流量类型第一阶段判定模型C。以步骤1得到的加密流量样本第一阶段训练集作为输入,训练随机森林分类算法,得到第一阶段判定模型。该判定模型由k 棵决策树构成,每一棵决策树均有独立判定结果。该判定模型综合所有决策树的独立判定结果,输出综合判定结果。
步骤3:生成加密流量样本第二阶段训练集。对步骤1的加密流量样本第一阶段训练集中的每一个样本,将步骤2中所有决策树的独立判定结果,作为该样本的k维特征向量,记为复合特征向量。采用复合特征向量对加密流量样本集合向量化表示后,保留每个加密流量样本的加密流量类型标签,得到加密流量样本第二阶段训练集。
步骤4:生成加密流量类型第二阶段判定模型C'。以步骤3得到的加密流量样本第二阶段训练集作为输入,训练K-最近邻(KNN)分类算法,得到第二阶段判定模型。
步骤5:双阶段判定加密流量样本的加密流量类型。给定任意一个加密流量样本,首先,采用步骤2所得到的加密流量类型第一阶段判定模型生成判定结果;接着,采用步骤4所得到的加密流量类型第二阶段判定模型生成判定结果。比较两次判定结果,若两次判定结果一致,则输出判定结果,且结果与两次判定结果一致;若两次判定结果不同,则不输出判定结果。
在步骤1中,元特征向量包含d维特征,记为[f1,f2,…,fd]。设总共有p个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli,则加密流量样本第一阶段训练集记为T,表示如下:
T={label1:[f1,f2,…,fd],label2:[f1,f2,…,fd],…,labelp:[f1,f2,…,fd]}
在步骤3中,复合特征向量包含k维特征,记为[F1,F2,…,Fk]。设总共有p个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli,则加密流量样本第一阶段训练集记为T',表示如下:
T'={label1:[F1,F2,…,Fk],label2:[F1,F2,…,Fk],…,labelp:[F1,F2,…,Fk]}。
步骤5中,给定任一加密流量样本,采用元特征向量对其进行向量化表示后,输入到加密流量类型第一阶段判定模型C,生成加密流量样本类型标签,设为labelx。同时,得到该加密流量样本的k维特征[F1,F2,…,Fk]。将[F1,F2,…,Fk]输入到加密流量类型第二阶段判定模型C',生成加密流量样本类型标签,记为labely。将labelx和labely进行比对,如果labelx与labely相同,则将加密流量样本类型输出为labelx,,否则不进行输出,将其标定为无效样本。
重复步骤以上几步,对所有加密流量样本进行双阶段判定。
进一步的,加密流量样本集合、元特征向量由用户提供。用户提供每一个加密流量样本的原始数据文件,以及其加密流量类型标签。随机森林算法的决策树棵数k、K近邻算法中的K由用户自行设定。
与现有技术相比,本发明有以下技术效果:
本发明是基于双阶段的判定的加密流量分类算法。第一步将元特征序列通过训练之后可以得到第一阶段分类模型,即一个包含有k棵树的随机森林模型,然后取每一棵树的输出的标签作为一个新的复合特征向量,输入到K近邻分类器中进行第二阶段的分类,并且将两次分类之后的结果进行比对,只有两次分类的结果相同才算分类成功。这样的双阶段判定模型会使得最后的分类准确率显著提高。
本发明是具有普遍适用性的。本方法可以适用于面向网页,面向TCP流等不同的网络行为进行加密流量分类。除此之外,还可以使用到不同的加密流量中,包含HTTPS协议,Tor网络,ShadowSocks网络等。
附图说明
图1为本发明流程图。
具体实施方式
以下结合附图对本发明进一步说明:
请参阅图1,基于双阶段判定的加密流量分类方法,包括以下步骤:
步骤1,首先由用户提供加密流量样本集合,集合中的每一个加密流量样本是包含数据包的原始流量文件,且有唯一的加密流量类型标签。将用户提供的d维特征向量,记为元特征向量。之后对每一个加密流量提取d维序列特征,记为[f1,f2,…,fd]。设总共有p 个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli则加密流量数据集合记为T,表示如下:
T={label1:[f1,f2,…,fd],label2:[f1,f2,…,fd],…,labelp:[f1,f2,…,fd]}
步骤1最终所得到的T将作为第一阶段判定使用的分类模型的初始训练集。
步骤2,在此步主要进行第一判定阶段的分类模型的训练,其中使用的分类模型是随机森林模型。首先对T中的样本进行训练,得到随机森林分类器C,作为第一阶段分类模型。在随机森林分类模型中,决策树总棵数记录为k。
步骤3,在此步将主要生成输入第二判定阶段的分类模型的训练数据。首先将初始训练集T中的一个flow样本作为随机森林分类模型C的输入,然后记录随机森林分类模型C中第j棵决策树的分类输出生成属于该加密流量样本的一维新特征Fj,总计k维复合特征向量,记为[F1,F2,…,Fk]。最后要对初始训练集T中的每一个加密流量样本都生成k 维新特征,得到一个新的第二阶段训练集T',表示为:
T'={label1:[F1,F2,…,Fk],label2:[F1,F2,…,Fk],…,labelp:[F1,F2,…,Fk]}。
步骤4,进行第二判定阶段的分类模型训练,使用的分类模型是K最近邻分类模型。主要是使用第二阶段训练集T'中的样本训练一个K最近邻分类模型,记为C',作为第二阶段分类模型。
步骤5,给定任一个经过元特征向量提取之后的待测加密流量样本,将其提取的元特征向量输入到第一阶段分类模型C中并预测其加密流量类型标签,设为labelx,同时得到该待测加密流量样本的k维复合特征向量[F1,F2,…,Fk]。
步骤6,将步骤5得到的待测加密流量样本的k维复合特征向量[F1,F2,…,Fk]输入到第二判定阶段分类模型C'中,预测该待测加密流量样本的加密流量类型标签,记为labely
步骤7,将分类标签labelx和labely进行比对,如果labelx与labely相同,则将最后的分类结果label输出为labelx,,否则不进行输出,将其预测为无效样本。
步骤8,重复步骤5~7,遍历所有待测加密流量样本,完成分类。
其中,加密流量样本集合、元特征向量由用户提供。用户提供每一个加密流量样本的原始数据文件,以及其加密流量类型标签。随机森林算法的决策树棵数k、K近邻算法中的K由用户自行设定。实施例1:
步骤1:首先用户提供加密流量样本集合,集合中的每一个加密流量样本是包含数据包的原始流量文件,且有唯一的加密流量类型标签,并且由用户提供d维特征向量,记为元特征向量。之后对每一个加密流量提取d维序列特征,记为[f1,f2,…,fd]。设总共有p 个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli则加密流量数据集合记为T,表示如下:
{label1:[f1,f2,…,fd],label2:[f1,f2,…,fd],…,labelp:[f1,f2,…,fd]}
其中样本标签label为每个flow的网络地址,样本特征维度为d。
步骤2:训练第一判定阶段的分类模型,使用机器学习的随机森林算法(决策树总棵数为k)通过对T中的样本进行训练,得到分类模型C。
步骤3:生成第二判定阶段使用的分类模型的训练数据。使用第一判定阶段分类模型 C对训练加密流量样本进行分类预测,得到每棵决策树对加密流量样本分类的叶子节点的输出(用数字标记),将所有决策树得到的叶子节点的作为生成属于该加密流量样本的一维新特征Fj,总计k维复合特征向量,记为[F1,F2,…,Fk]。最后要对初始训练集T中的每一个加密流量样本都生成k维新特征,得到一个新的第二阶段训练集T',表示为:
T'={label1:[F1,F2,…,Fk],label2:[F1,F2,…,Fk],…,labelp:[F1,F2,…,Fk]}。
步骤4:训练第二判定阶段的分类模型。使用机器学习的K近邻算法对第二阶段训练集T'中的样本进行训练,得到第二阶段分类模型C'。
步骤5:使用第一判定阶段分类模型C对待测加密流量样本分类,得到预测标签为labelx,同时得到该待测加密流量样本的k维复合特征向量[F1,F2,…,Fk]。
步骤6:将待测样本的k维新特征[F1,F2,…,Fk]输入到第二判定阶段分类模型C'中,对待测加密流量样本进行分类,得到预测标签为labely
步骤7:比较labelx和labely是否相同,若相同,则该样本的预测分类被确定为labelx;若不同,标记该样本为无效样本。
步骤8:重复步骤5~7,遍历所有待测flow样本,完成分类。

Claims (5)

1.一种基于双阶段判定的加密流量分类方法,其特征在于,包括以下步骤:
步骤1:生成加密流量样本第一阶段训练集;用户提供加密流量样本集合,集合中的每一个加密流量样本是包含数据包的原始流量文件,且有唯一的加密流量类型标签;将用户提供的d维特征向量,记为元特征向量;根据该特征向量,对每一个加密流量样本进行向量化表示;采用元特征向量对加密流量样本集合向量化表示后,保留每个加密流量样本的加密流量类型标签,得到加密流量样本第一阶段训练集;
步骤2:生成加密流量类型第一阶段判定模型C;以步骤1得到的加密流量样本第一阶段训练集作为输入,训练随机森林分类算法,得到第一阶段判定模型;该判定模型由k棵决策树构成,每一棵决策树均有独立判定结果;该判定模型综合所有决策树的独立判定结果,输出综合判定结果;
步骤3:生成加密流量样本第二阶段训练集;对步骤1的加密流量样本第一阶段训练集中的每一个样本,将步骤2中所有决策树的独立判定结果,作为该样本的k维特征向量,记为复合特征向量;采用复合特征向量对加密流量样本集合向量化表示后,保留每个加密流量样本的加密流量类型标签,得到加密流量样本第二阶段训练集;
步骤4:生成加密流量类型第二阶段判定模型C';以步骤3得到的加密流量样本第二阶段训练集作为输入,训练K-最近邻(KNN)分类算法,得到第二阶段判定模型;
步骤5:双阶段判定加密流量样本的加密流量类型;给定任意一个加密流量样本,首先,采用步骤2所得到的加密流量类型第一阶段判定模型生成判定结果;接着,采用步骤4所得到的加密流量类型第二阶段判定模型生成判定结果;比较两次判定结果,若两次判定结果一致,则输出判定结果,且结果与两次判定结果一致;若两次判定结果不同,则不输出判定结果。
2.根据权利要求1所述的一种基于双阶段判定的加密流量分类方法,其特征在于,步骤1中,元特征向量包含d维特征,记为[f1,f2,…,fd];设总共有p个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli,则加密流量样本第一阶段训练集记为T,表示如下:
T={label1:[f1,f2,…,fd],label2:[f1,f2,…,fd],…,labelp:[f1,f2,…,fd]}。
3.根据权利要求1所述的一种基于双阶段判定的加密流量分类方法,其特征在于,步骤3中,复合特征向量包含k维特征,记为[F1,F2,…,Fk];设总共有p个加密流量样本,第i个加密流量样本的加密流量类型被标定为labeli,则加密流量样本第一阶段训练集记为T',表示如下:
T'={label1:[F1,F2,…,Fk],label2:[F1,F2,…,Fk],…,labelp:[F1,F2,…,Fk]}。
4.根据权利要求1所述的一种基于双阶段判定的加密流量分类方法,其特征在于,步骤5中,给定任一加密流量样本,采用元特征向量对其进行向量化表示后,输入到加密流量类型第一阶段判定模型C,生成加密流量样本类型标签,设为labelx;同时,得到该加密流量样本的k维特征[F1,F2,…,Fk];将[F1,F2,…,Fk]输入到加密流量类型第二阶段判定模型C',生成加密流量样本类型标签,记为labely;将labelx和labely进行比对,如果labelx与labely相同,则将加密流量样本类型输出为labelx,,否则不进行输出,将其标定为无效样本;
重复步骤以上几步,对所有加密流量样本进行双阶段判定。
5.根据权利要求1至4任意一项所述的一种基于双阶段判定的加密流量分类方法,其特征在于,加密流量样本集合、元特征向量由用户提供;用户提供每一个加密流量样本的原始数据文件,以及其加密流量类型标签;随机森林算法的决策树棵数k、K近邻算法中的K由用户自行设定。
CN201910673679.3A 2019-07-24 2019-07-24 一种基于双阶段判定的加密流量分类方法 Active CN110414594B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910673679.3A CN110414594B (zh) 2019-07-24 2019-07-24 一种基于双阶段判定的加密流量分类方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910673679.3A CN110414594B (zh) 2019-07-24 2019-07-24 一种基于双阶段判定的加密流量分类方法

Publications (2)

Publication Number Publication Date
CN110414594A true CN110414594A (zh) 2019-11-05
CN110414594B CN110414594B (zh) 2021-09-07

Family

ID=68363039

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910673679.3A Active CN110414594B (zh) 2019-07-24 2019-07-24 一种基于双阶段判定的加密流量分类方法

Country Status (1)

Country Link
CN (1) CN110414594B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112801233A (zh) * 2021-04-07 2021-05-14 杭州海康威视数字技术股份有限公司 一种物联网设备蜜罐系统攻击分类方法、装置及设备
CN113141364A (zh) * 2021-04-22 2021-07-20 西安交通大学 一种加密流量分类方法、系统、设备及可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107431663A (zh) * 2015-03-25 2017-12-01 思科技术公司 网络流量分类
US20180260705A1 (en) * 2017-03-05 2018-09-13 Verint Systems Ltd. System and method for applying transfer learning to identification of user actions
CN108632279A (zh) * 2018-05-08 2018-10-09 北京理工大学 一种基于网络流量的多层异常检测方法
CN108768986A (zh) * 2018-05-17 2018-11-06 中国科学院信息工程研究所 一种加密流量分类方法及服务器、计算机可读存储介质
CN108881305A (zh) * 2018-08-08 2018-11-23 西安交通大学 一种面向加密流量识别的样本自动标定方法
CN109831422A (zh) * 2019-01-17 2019-05-31 中国科学院信息工程研究所 一种基于端到端序列网络的加密流量分类方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107431663A (zh) * 2015-03-25 2017-12-01 思科技术公司 网络流量分类
US20180260705A1 (en) * 2017-03-05 2018-09-13 Verint Systems Ltd. System and method for applying transfer learning to identification of user actions
CN108632279A (zh) * 2018-05-08 2018-10-09 北京理工大学 一种基于网络流量的多层异常检测方法
CN108768986A (zh) * 2018-05-17 2018-11-06 中国科学院信息工程研究所 一种加密流量分类方法及服务器、计算机可读存储介质
CN108881305A (zh) * 2018-08-08 2018-11-23 西安交通大学 一种面向加密流量识别的样本自动标定方法
CN109831422A (zh) * 2019-01-17 2019-05-31 中国科学院信息工程研究所 一种基于端到端序列网络的加密流量分类方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵小欢等: ""基于随机森林算法的网络流量分类方法"", 《中国电子科学研究院学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112801233A (zh) * 2021-04-07 2021-05-14 杭州海康威视数字技术股份有限公司 一种物联网设备蜜罐系统攻击分类方法、装置及设备
CN113141364A (zh) * 2021-04-22 2021-07-20 西安交通大学 一种加密流量分类方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
CN110414594B (zh) 2021-09-07

Similar Documents

Publication Publication Date Title
CN105260628B (zh) 分类器训练方法和装置、身份验证方法和系统
CN105426762B (zh) 一种android应用程序恶意性的静态检测方法
CN107749848A (zh) 物联网数据的处理方法、装置及物联网系统
CN109951444A (zh) 一种加密匿名网络流量识别方法
CN104102687A (zh) 加密网络隧道内的Web业务的标识和分类的方法和系统
JP2008011537A5 (zh)
CN110502897A (zh) 一种基于混合分析的网页恶意JavaScript代码识别和反混淆方法
CN102571486A (zh) 一种基于BoW模型和统计特征的流量识别方法
CN107368971A (zh) 一种个人信用的评分方法及装置
CN108334758A (zh) 一种用户越权行为的检测方法、装置及设备
CN107818132A (zh) 一种基于机器学习的网页代理发现方法
CN110414594A (zh) 一种基于双阶段判定的加密流量分类方法
CN107370752A (zh) 一种高效的远控木马检测方法
CN114785563B (zh) 一种软投票策略的加密恶意流量检测方法
CN107944270A (zh) 一种可验证的安卓恶意软件检测系统及方法
CN103870754A (zh) 恶意程序识别及训练模型生成方法和装置
DeLooze Attack characterization and intrusion detection using an ensemble of self-organizing maps
CN115150182B (zh) 基于流量分析的信息系统网络攻击检测方法
CN113901465A (zh) 一种基于异质网络的Android恶意软件检测方法
CN110020161B (zh) 数据处理方法、日志处理方法和终端
CN110011990A (zh) 内网安全威胁智能分析方法
CN106603538A (zh) 一种入侵检测方法及系统
CN103501302B (zh) 一种蠕虫特征自动提取的方法及系统
CN108055227A (zh) 基于站点自学习的waf未知攻击防御方法
Ren et al. App identification based on encrypted multi-smartphone sources traffic fingerprints

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant