CN110708341A - 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 - Google Patents

一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 Download PDF

Info

Publication number
CN110708341A
CN110708341A CN201911119243.6A CN201911119243A CN110708341A CN 110708341 A CN110708341 A CN 110708341A CN 201911119243 A CN201911119243 A CN 201911119243A CN 110708341 A CN110708341 A CN 110708341A
Authority
CN
China
Prior art keywords
remote desktop
flow
network
user behavior
behavior detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911119243.6A
Other languages
English (en)
Other versions
CN110708341B (zh
Inventor
石俊峥
刘梦严
蒋明昊
宋嘉莹
李镇
熊刚
苟高鹏
崔明鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201911119243.6A priority Critical patent/CN110708341B/zh
Publication of CN110708341A publication Critical patent/CN110708341A/zh
Application granted granted Critical
Publication of CN110708341B publication Critical patent/CN110708341B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统,其步骤包括:获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密,只需利用流量的包长序列和到达时间序列提取统计特征,即可实现对用户的粗粒度行为与细粒度动作的检测。

Description

一种基于远程桌面加密网络流量模式差异的用户行为检测方 法及系统
技术领域
本发明属于网络安全领域,尤其涉及一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统。
背景技术
远程桌面是通过互联网远程控制其它计算机的一种技术,该技术在远程办公、远程协助、远程管理等领域得到广泛应用。典型的远程桌面软件会捕获用户在客户端下发的控制指令,然后将控制指令发往受控主机;受控主机执行命令后将图形化结果交互式地反馈给客户端。这种实时交互式的工作模式在给用户带来便利的同时,也导致严重的隐私泄露问题。为了防止用户行为隐私的泄露,远程桌面开发商会加密客户端与受控主机之机的网络通信流量。
侧信道隐私泄露攻击是指从加密系统的物理实现中获取隐私信息而非暴力破解密文。近些年来,加密流量的侧信道隐私泄露话题已引起学术界和工业界的重视。D.Song提出基于击键行为的SSH侧信道攻击方法,D.Brumley提出使用时间攻击提取OPENSSL私钥的方法,H.Li观察到攻击者可以通过加密视频流推断出用户在家的日常行为。与此同时,加密流量分类技术也得到巨大的发展,一方面以基于机器学习方法为代表的新型加密流量分类方法取得了目前最好的分类效果,另外一方面基于网络流量尖峰的统计特征也越来越得到重视。不管是侧信道泄露还是加密流量的分类问题,目前主流方法都是基于不同行为的流量模式存在差异这一基本假设来展开。
尽管有很多研究侧信道和加密流量分类的工作,但是这些工作极少关注远程桌面加密流量上的用户行为隐私泄露问题。R.Altschaffel提出一种基于统计特征区分TeamViewer的文件传输、语音会议、视频会议、文字聊天以及常规会话网络流量的机器学习方法,但是该工作的缺点在于其研究的五类动作粒度过粗,而且文件传输、语音会议、视频会议、文字聊天这四类动作与远程桌面的关系不大,因为这四类动作基本不涉及使用鼠标、键盘去操纵远程主机的场景;而且他们的方法高度依赖于所选取的远程桌面软件(TeamViewer),对于其它远程桌面流量上行为识别效果缺少实验论证,因而缺乏普遍性。
发明内容
本发明提出一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统,其在远程桌面网络流量已经被加密的情况下,仍能检测不同操作行为所产生的网络流量在流量模式上的差异性。
为达到上述目的,本发明采用如下的技术方案:
一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其步骤包括:
1)获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;
2)将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;
3)将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。
进一步地,将所述流量按照五元组分割成彼此独立的网络流。
进一步地,所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号、协议类型。
进一步地,所述流尖峰是指同一条网络流中相邻的若干数据包,且所述数据包的到达时间间隔都小于阈值。
进一步地,根据所述样本流尖峰的包长序列和包到达时间序列,建立多维度统计特征。
进一步地,将所述数据集经过归一化的处理后,送入至用户行为检测模型。
进一步地,所述用户行为检测模型的构建过程,包括以下步骤:
1)获取远程桌面客户端到远程桌面服务端的带有标签的样本网络流量,并将所述样本网络流量分割成独立的网络流;
2)将每一条所述的样本网络流分割成若干个样本流尖峰,并根据每个样本流尖峰的包长序列和包到达时间序列获取向量化后的样本数据集;
3)将所述样本数据集送入机器学习分类器进行训练,得到用户行为检测模型。
进一步地,所述机器学习分类器包括逻辑回归分类器、支持向量机分类器、梯度提升树分类器与随机森林分类器。
进一步地,所述粗粒度行为包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,所述细粒度动作包括使用Word 2007、Excel 2007、Notepad++、Notepad编辑文档。
一种基于远程桌面加密网络流量模式差异的用户行为检测系统,包括:
1)网络流量采集模块,用以获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;
2)网络流量特征提取模块,用以将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;
3)用户行为检测模块,用以将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。
与现有技术相比,本发明具有如下优点:
1、被动采集远程桌面客户端与服务端之间的通信流量,整个流量采集、行为检测过程对远程桌面用户来说是透明的。
2、无需对加密流量进行解密,只需利用流量的包长序列和到达时间序列提取统计特征即可实现对用户行为的检测。这些统计特征可以很好的表示远程桌面场景加密流量的模式,保证使用较少的特征能够充分的表示模式变化。
3、利用不同用户行为的流量模式差异性,可以以较高的准确率和较低的假阴率检测用户的行为类别。
4、本方法不仅可以检测用户的操作远程桌面时的粗粒度行为,例如阅读文档、编辑文档等行为,而且可以检测出诸如编辑文档所使用的具体编辑工具等细粒度动作。本方法具有较强的可扩展性,支持用户自定义行为类别。用户只需采集目标行为的带标签流量,然后使用本方法重新训练模型即可。
附图说明
图1远程桌面加密流量用户行为检测基本框图。
图2不同时间阈值对行为识别准确率的影响的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清晰,下面通过具体实施例和附图对本发明进行进一步详细阐述。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明公开了一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其用户行为检测基本框图如图1所示。
采集不同用户在不同操作行为下的远程桌面加密视频流量,我们通过若干台安装Window 10和Window 7的本地计算机,若干安装Windows Server 2012和Windows Server2016的云虚拟专用服务器(Virtual Private Server,VPS),一个路由器,多款常见远程桌面软件搭建一个实验环境;其中本地计算机充当远程桌面客户端,它们通过路由器访问互联网进而访问阿里云VPS;阿里云VPS则充当远程桌面中的受控主机,即远程桌面服务端;我们在路由器的一个镜像端口获取远程桌面客户端到远程桌面服务端的网络流量。不同志愿者在本地计算机安装特定的远程桌面客户端软件,并通过在该软件上持续执行特定动作(这些动作由粗粒度和细粒度动作组成,其中粗粒度动作包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,细粒度动作包括使用Word 2007、Excel 2007、Notepad++、Notepad编辑文档)来远程控制阿里云VPS,每次每个动作持续时间为30s,采集每个动作执行过程中的加密流量并为这些加密流量附加相应的行为标签。
通过机器学习方法对用户行为标签与加密网络流量模式之间的映射关系进行建模。首先将采集而来的带行为标签的远程桌面网络流量按照五元组(源IP地址、源端口号、目的IP地址、目的端口号、协议类型)分割成一条条独立的网络流;接着把每一条流分割成若干个流尖峰。流尖峰是指同一条流中相邻的若干数据包,这些相邻包的到达时间间隔都小于某个阈值。不同的时间阈值会导致同一条流不同的流尖峰的划分,通过实验得到如图2所示的不同时间阈值对行为识别准确率的影响,发现将该时间阈值设置为0.8s可取得最好的识别效果,。接着根据每个流尖峰的包长序列和包到达时间序列,从中提取66维统计特征得到向量化后的数据集,这些特征包括上述两个序列的从低阶到高阶的原点矩和中心矩,例如流包长序列的一阶中心矩、一阶原点矩、二阶中心矩、二阶原点矩、三阶中心矩、三阶原点矩、四阶中心矩、四阶原点矩、五阶中心矩以及五阶原点矩等。这样得到的标注数据集里面每个样本都是66维的向量,同时带有该样本的行为标签,每个样本对应一个流尖峰,样本的行为标签。随后将每个样本的统计特征都经过归一化的处理。
本发明将归一化后的数据集分为训练集、验证集和测试集。在训练阶段,使用多种机器学习模型(逻辑回归、支持向量机、梯度提升树、随机森林)训练样本标签到统计特征之间的映射关系。在测试阶段,为了提高检测的准确率,本方法将同一条流的多个流尖峰的预测结果看做一个整体,投票选择其中出现次数最多的标签作为这些流尖峰的预测标签。根据这些模型对用户行为检测的假阴率和准确率,选择最优模型即梯度提升树模型作为用户行为检测模型。
这四种典型的机器学习模型揭露出在远程桌面领域单纯使用加密手段是不足以保护用户的行为隐私的事实,远程桌面用户及开发商在今后需要采取相应的改善措施以保护行为隐私不被泄露。
本发明在Windows 7和Windows 10平台上,考察了六种常见的远程桌面软件(Anydesk,ConnectWise,RealVNC,Zoho Assist,MircoRDS,TeamViewer),收集了多名志愿者使用这些远程桌面软件执行日常办公动作的加密网络流量,这些动作由粗粒度动作和细粒度动作组成。其中粗粒度动作包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,细粒度动作包括使用Word 2007、Excel 2007、Notepad++、Notepad编辑文档。通过长达一个月的采集时间,总共采集了10名志愿者共400G的远程桌面加密流量,构建了包含28320个样本的数据集。通过随机划分方法,将数据集80%用作训练集,10%用作验证集,10%用作测试集。分别使用逻辑回归、支持向量机、梯度提升树和随机森林构建分类模型,其中梯度提升树模型构建的分类器效果最好,在集成同一条流的多个流尖峰的分类结果后,梯度提升树模型对五类粗行为的准确率达到99.26%,对四类细行为的准确率达到99.15%。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种基于远程桌面加密网络流量模式差异的用户行为检测方法,其步骤包括:
1)获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;
2)将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;
3)将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。
2.如权利要求1所述的方法,其特征在于,将所述流量按照五元组分割成彼此独立的网络流。
3.如权利要求2所述的方法,其特征在于,所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号、协议类型。
4.如权利要求1所述的方法,其特征在于,所述流尖峰是指同一条网络流中相邻的若干数据包,且所述数据包的到达时间间隔都小于阈值。
5.如权利要求1所述的方法,其特征在于,根据所述样本流尖峰的包长序列和包到达时间序列,建立多维度统计特征。
6.如权利要求1所述的方法,其特征在于,将所述数据集经过归一化的处理后,送入至用户行为检测模型。
7.如权利要求1所述的方法,其特征在于,所述用户行为检测模型的构建过程,包括以下步骤:
1)获取远程桌面客户端到远程桌面服务端的带有标签的样本网络流量,并将所述样本网络流量分割成独立的网络流;
2)将每一条所述的样本网络流分割成若干个样本流尖峰,并根据每个样本流尖峰的包长序列和包到达时间序列获取向量化后的样本数据集;
3)将所述样本数据集送入机器学习分类器进行训练,得到用户行为检测模型。
8.如权利要求7所述的方法,其特征在于,所述机器学习分类器包括逻辑回归分类器、支持向量机分类器、梯度提升树分类器与随机森林分类器。
9.如权利要求1所述的方法,其特征在于,所述粗粒度行为包括阅读文档、编辑文档、观看视频、安装软件、浏览视频,所述细粒度动作包括使用Word 2007、Excel 2007、Notepad++、Notepad编辑文档。
10.一种基于远程桌面加密网络流量模式差异的用户行为检测系统,包括:
1)网络流量采集模块,用以获取远程桌面客户端到远程桌面服务端的网络流量,并将所述网络流量分割成独立的网络流;
2)网络流量特征提取模块,用以将每一条所述的网络流分割成若干个流尖峰,并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集;
3)用户行为检测模块,用以将所述数据集送入用户行为检测模型,获取远程桌面客户端的粗粒度行为与细粒度动作。
CN201911119243.6A 2019-11-15 2019-11-15 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 Active CN110708341B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911119243.6A CN110708341B (zh) 2019-11-15 2019-11-15 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911119243.6A CN110708341B (zh) 2019-11-15 2019-11-15 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统

Publications (2)

Publication Number Publication Date
CN110708341A true CN110708341A (zh) 2020-01-17
CN110708341B CN110708341B (zh) 2020-09-29

Family

ID=69206238

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911119243.6A Active CN110708341B (zh) 2019-11-15 2019-11-15 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统

Country Status (1)

Country Link
CN (1) CN110708341B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113704762A (zh) * 2021-09-02 2021-11-26 广州大学 基于集成学习的恶意软件加密流量检测方法
CN115396381A (zh) * 2022-07-27 2022-11-25 中国科学院信息工程研究所 一种基于响应时间特征的加密音视频流量识别方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340504A (zh) * 2011-09-27 2012-02-01 深圳市深信服电子科技有限公司 远程桌面用户身份识别的方法、装置和系统
US20150271162A1 (en) * 2014-03-18 2015-09-24 Cyber-Ark Software Ltd. Systems and methods for controlling sensitive applications
CN105049276A (zh) * 2015-05-29 2015-11-11 北京东方棱镜科技有限公司 对广域网流量行为进行监测管理的方法和装置
CN105574489A (zh) * 2015-12-07 2016-05-11 上海交通大学 基于层次级联的暴力群体行为检测方法
CN105900115A (zh) * 2014-01-23 2016-08-24 高通股份有限公司 配置用于实现低尖峰发放率的神经网络
CN107360159A (zh) * 2017-07-11 2017-11-17 中国科学院信息工程研究所 一种识别异常加密流量的方法及装置
CN109726744A (zh) * 2018-12-14 2019-05-07 深圳先进技术研究院 一种网络流量分类方法
CN109981474A (zh) * 2019-03-26 2019-07-05 中国科学院信息工程研究所 一种面向应用软件的网络流量细粒度分类系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102340504A (zh) * 2011-09-27 2012-02-01 深圳市深信服电子科技有限公司 远程桌面用户身份识别的方法、装置和系统
CN105900115A (zh) * 2014-01-23 2016-08-24 高通股份有限公司 配置用于实现低尖峰发放率的神经网络
US20150271162A1 (en) * 2014-03-18 2015-09-24 Cyber-Ark Software Ltd. Systems and methods for controlling sensitive applications
CN105049276A (zh) * 2015-05-29 2015-11-11 北京东方棱镜科技有限公司 对广域网流量行为进行监测管理的方法和装置
CN105574489A (zh) * 2015-12-07 2016-05-11 上海交通大学 基于层次级联的暴力群体行为检测方法
CN107360159A (zh) * 2017-07-11 2017-11-17 中国科学院信息工程研究所 一种识别异常加密流量的方法及装置
CN109726744A (zh) * 2018-12-14 2019-05-07 深圳先进技术研究院 一种网络流量分类方法
CN109981474A (zh) * 2019-03-26 2019-07-05 中国科学院信息工程研究所 一种面向应用软件的网络流量细粒度分类系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CHEN LING ET AL;: "《2009 IEEE Symposium on Computers and Communications》", 8 July 2009 *
彭立志: "《中国博士学位论文全文数据库 信息科技辑(月刊 )》", 15 February 2016 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113704762A (zh) * 2021-09-02 2021-11-26 广州大学 基于集成学习的恶意软件加密流量检测方法
CN115396381A (zh) * 2022-07-27 2022-11-25 中国科学院信息工程研究所 一种基于响应时间特征的加密音视频流量识别方法及系统
CN115396381B (zh) * 2022-07-27 2024-04-30 中国科学院信息工程研究所 一种基于响应时间特征的加密音视频流量识别方法及系统

Also Published As

Publication number Publication date
CN110708341B (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
CN109726744B (zh) 一种网络流量分类方法
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
Saxena et al. General study of intrusion detection system and survey of agent based intrusion detection system
CN111277578A (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
CN111147394B (zh) 一种远程桌面协议流量行为的多级分类检测方法
CN109525508B (zh) 基于流量相似性比对的加密流识别方法、装置及存储介质
Garcia Modelling the network behaviour of malware to block malicious patterns. the stratosphere project: a behavioural ips
CN110708341B (zh) 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统
CN107483451B (zh) 基于串并行结构网络安全数据处理方法及系统、社交网络
Wang et al. Time-variant graph classification
CN110046297A (zh) 运维违规操作的识别方法、装置和存储介质
CN113065026A (zh) 基于安全微服务架构的异常事件智能检测系统、方法及介质
Khan et al. Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction
Jiang et al. I know what you are doing with remote desktop
CN111211948B (zh) 基于载荷特征和统计特征的Shodan流量识别方法
CN105429817A (zh) 基于dpi和dfi的非法业务识别装置与方法
Jaiswal et al. Predicting unlabeled traffic for intrusion detection using semi-supervised machine learning
CN110912753B (zh) 一种基于机器学习的云安全事件实时检测系统及方法
Altschaffel et al. Statistical pattern recognition based content analysis on encrypted network: Traffic for the teamviewer application
Tellenbach Detection, classification and visualization of anomalies using generalized entropy metrics
Li A computer vision attack on the ARTiFACIAL CAPTCHA
Abdalla et al. Impact of packet inter-arrival time features for online peer-to-peer (P2P) classification
CN116248346A (zh) 面向智慧城市的cps网络安全态势感知建立方法和系统
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
CN105279230A (zh) 通过主动学习方法构建互联网应用特征识别数据库的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant