CN110971601A - 一种高效的网络报文传输层多级特征提取方法和系统 - Google Patents
一种高效的网络报文传输层多级特征提取方法和系统 Download PDFInfo
- Publication number
- CN110971601A CN110971601A CN201911224340.1A CN201911224340A CN110971601A CN 110971601 A CN110971601 A CN 110971601A CN 201911224340 A CN201911224340 A CN 201911224340A CN 110971601 A CN110971601 A CN 110971601A
- Authority
- CN
- China
- Prior art keywords
- transmission layer
- message transmission
- message
- feature
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公布了一种网络报文传输层多级特征提取方法及系统,从网络流量包的传输层报文中自动提取报文的传输层特征,得到特征字符串;再通过对特征字符串进行相似度计算,提取更高级别的特征字符串,得到多级特征库;系统包括流重组模块、特征匹配模块、报文相似度计算模块、特征聚类模块、特征生成模块以及特征库。本发明基于网络报文传输层实现高效而准确地特征提取,并可形成不同抽象级别的报文特征库,维护特征库更新,适用于不同场景,高级别抽象特征提取可解决实时高效的流量识别等应用问题,低级别特征提取可解决离线流量内容分析等应用问题。采用本发明提供的技术方案,能够准确、高效地提取网络报文特征。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种高效的网络报文传输层多级特征提取方法和系统。
背景技术
在诸多网络安全技术中,常常需要建立特征库检测网络报文的协议类型或者是否有病毒或网络攻击等。例如在应用于网络协议识别的深度包检测技术中,通常需要建立一个协议特征库来识别网络报文的协议类型。因此,提取报文特征,建立特征库是这些技术应用的关键步骤。对于HTTP类子协议,可以很容易得到主机名等特征,然而对于其他类协议,现有通常的做法还是人工地进行协议分析。一方面人工分析的效率很低,另一方面随着移动互联网的发展,越来越多的协议版本更新很快,人工提取的特征可能会很快失效。近年来也有一些具体的针对入侵检测等产品的只能特征提取技术的出现,然而其普遍性和复杂度都受到考验。
发明内容
为解决上述问题,本发明提出一种高效的网络报文传输层多级特征提取方法和系统,针对网络报文,可以自动进行报文特征提取,维护特征库更新,实现高效而准确地特征提取,并可形成不同抽象级别的报文特征库,适用于不同场景,例如高级别抽象特征,特征相对简短,在网络流量识别和分类中,通过创建特征字符串自动机,对待检测网络报文进行特征匹配,效率较高,适用于实时高效的流量识别等应用场景,低级别特征,更加具体和细化,相对高级别抽象特征而言,低级别特征形成的特征字符串自动机复杂度更高,匹配效率相对降低,适用于离线流量内容分析等场景。
网络协议应用层特征如IP、端口等易于提取且计算复杂度低,然而也存在其缺陷,如网络协议应用层特征更新较快,从而要求特征库保持更新,否则会引起大量误报;其次,一些不同的网络协议常常会在应用层特征上具有相似性,而无法具体区分,因此会降低网络报文识别的准确性。而不同网络协议在网络报文传输层表现差异较大,可以更准确地标识不同类型的网络报文。本发明提供的技术方案是:
一种高效的网络报文传输层多级特征提取方法,从网络流量包的传输层报文中自动提取报文的传输层特征,得到特征字符串,再通过对特征字符串进行进一步的相似度计算,可以提取更高级别的特征字符串,得到多级特征库;包括:流重组、特征匹配、报文相似度计算、报文聚类和多级特征生成等步骤。
1)流重组,即按照网络会话或应用,对报文进行组织,将同一个应用、网络会话或相同目的的报文进行汇聚,组织在一起。
具体实施时,对报文按照五元组进行流重组。
2)特征匹配步骤:将报文传输层内容字符串与已有报文特征库中的特征字符串进行多模式字符串匹配,具体实施中可采用AC自动机(Aho-Corasick automaton)进行字符串匹配,如果被检测报文传输层内容字符串和已有报文特征库中的某一个特征字符串匹配成功,则说明该报文类型已知,不能产生新特征的报文和流,即可过滤掉。
3)报文相似度计算部分:将按流组织到一起的报文传输层字符串进行相似度计算,并且作为一种优选,可以根据需要对不同位置的字符赋予不同的权重,例如同一类型报文传输层字符串在报文头部、尾部通常包含该类报文的通用字符,可以对报文头部、尾部的若干字节字符赋予较高权重,进行计算得到报文加权相似度。
具体实施时,根据字符串相似度算法计算得到网络报文相似度。
4)得到报文传输层字符串相似度之后,通过聚类算法对具有一定相似度的报文进行聚类操作,具体实施时可选择K-means聚类算法。
5)在报文传输层特征生成阶段,本方法对每一个报文聚类按照指定的报文传输层特征格式(具体实施时特征格式可选择正则表达式的格式)产生一个新的报文传输层特征,并可进一步对得到的报文传输层特征进行相似度计算,并进行报文传输层特征合并,得到特征抽象更高级别的特征,从而形成不同层级的报文传输层多级特征库。低级别传输层特征字符串更具体细化,匹配准确度更精细,更高级别传输层特征字符串相对低级别传输层特征字符串包含更多通配符、更多可选模式,匹配精度相对降低,但匹配范围更大。
上述方法提取得到的报文传输层多级特征库,可应用于网络报文识别和分类的多种场景。在网络入侵检测系统中,可选择使用高级别抽象特征,检测网络报文,实时识别已知网络攻击报文,进行安全告警。在未知攻击类型挖掘时,对镜像的网络流量报文进行分析,使用低级别报文传输层特征匹配每个报文,对报文进行详细分类,并挖掘未知报文,助于发现未知威胁类型。
本发明还提供一种高效的网络报文传输层多级特征提取系统,包括:流重组模块、特征匹配模块、报文相似度计算模块、特征聚类模块、特征生成模块以及特征库。
流重组模块,作为系统的前端,将输入的报文按照网络会话、应用或目的进行组织。
特征匹配模块,将网络报文与已有报文传输层特征库中的特征字符串进行字符串多模式匹配,过滤掉匹配成功的报文,即已知类型报文。
报文相似度计算模块,对报文传输层内容进行字符串相似度计算,计算结果输出到报文聚类模块;
报文聚类模块,根据报文传输层字符串相似度计算结果和K-means聚类算法,把具有一定相似度的报文传输层字符串聚为一类。
特征生成模块,对上述聚类得到的每一类报文字符串集合,按照字符串相似度计算结果和预定报文传输层特征表达格式,如正则表达式,生成新的报文传输层特征,并添加到报文传输层特征库。
特征库,存储系统提取的全部报文传输层特征,与报文传输层特征匹配模块和特征生成模块相连。
此外,作为一种优选,该系统还可以包括报文传输层特征相似度计算模块和特征合并模块。增加报文传输层特征相似度计算模块后,新生成的报文传输层特征可以进一步进行字符串相似度计算,连接报文传输层特征合并模块;报文传输层特征合并模块,按照字符串相似度和聚类计算结果,把具有一定相似度的报文传输层特征合并为一条新的高层报文传输层特征,添加到报文传输层多级特征库。报文传输层多级特征库,包含报文传输层不同抽象级别的特征字符串,可根据特征匹配性能需求,选择使用适当级别的特征进行使用。
与现有技术相比,本发明的有益效果是:
本发明提供一种高效的网络报文传输层多级特征提取方法和系统,可以针对网络报文传输层内容自动进行报文传输层特征字符串提取,先进行已知报文传输层特征字符串多模式匹配,过滤已知报文类型,然后计算未知报文传输层内容相似度,将具有一定传输层内容相似度的报文聚为一类,接着提取每一类报文的传输层公共特征字符串,添加到报文传输层特征库。优选方案中,计算报文传输层公共特征字符串之间的相似度并进行特征合并,可以得到更高级别的抽象特征,然后再添加到特征库中,形成报文传输层多级特征库。
现有特征自动化提取技术将网络流量数据包进行预处理,过滤无用数据包,然后通过相似度算法对数据包进行分类,并以聚类方式进行特征提取,提取的特征包括IP、抓包时间、地址、端口等,均属于应用层特征,对流量报文的识别和分类无法突破应用层的局限,难以处理应用层特征变化频繁、不同类型网络报文应用层特征差异化不明显的问题,也就无法达到精细的报文识别和分类。本发明从网络流量包的传输层报文中自动化提取报文的传输层特征,首先,对网络流量进行流重组,将同一网络回话的数据报文进行汇聚,并通过特征匹配,过滤已知类型的协议和报文,对未知网络报文进行传输层内容相似度计算,将相同类型的数据报文进行汇聚,提取报文传输层公共特征字符串。在优化方案中,通过对报文传输层公共特征字符串进行进一步的相似度计算,可以提取更高级别的特征串,得到报文传输层多级特征库。因此,与现有网络报文特征自动化提取技术相比,本发明提出的技术特点一在于进行报文传输层特征提取,突破报文应用层有限粗粒度特征限制,可以得到更精细的网络报文识别和分类效果;技术特点二在于通过多级特征提取技术建立报文传输层多级特征库,实际应用中,可根据应用场景对特征匹配精细度和特征匹配效率的需求,选择使用不同级别的报文传输层特征,具有较强的技术普适性和实际可操作性。
综上,本发明能够基于网络报文传输层实现高效而准确地特征提取,并可形成不同抽象级别的报文特征库,维护特征库更新,适用于不同场景,高级别抽象特征提取可解决实时高效的流量识别等应用问题,低级别特征提取可解决离线流量内容分析等应用问题。采用本发明提供的技术方案,能够准确、高效地提取网络报文特征。
附图说明
图1是本发明所提出的高效特征提取系统的一种实施方式的结构图。
图2是本发明方法实施例采用的流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种高效的网络报文传输层多级特征提取方法和系统,具体实施构建的系统包括:流重组模块、特征匹配模块、报文相似度计算模块、特征聚类模块、特征生成模块以及特征库;还可包括特征相似度计算模块和特征合并模块。
图1是本发明所提出的高效特征提取系统的一种实施方式的结构图。图2所示是本发明方法具体实施采用的流程。以下针对一组腾讯通(RTX)的网络报文,本发明的具体实施方式如下:
1)首先,读取网络报文并按照相同应用或网络会话对报文按照五元组进行流重组。其次,对报文和已有报文传输层特征库中的特征字符串进行模式匹配,可对特征字符串建立AC自动机,进行多模式匹配。根据特征字符串匹配结果,过滤掉已知类型网络报文,即不能产生新特征的网络报文,得到能产生新特征的网络报文。
2)进一步,根据字符串相似度算法,计算网络报文传输层内容相似度,具体实施时作为一种优选,可以对不同字段赋予不同的权重,例如对报文传输层的头部、尾部若干字符赋予较高权重。并通过K-means聚类使得具有一定相似度的报文成为一类。特征生成器为每一类报文提取报文传输层公共特征字符串作为新的报文特征,添加到报文传输层特征库。例如,我们以一组腾讯通(RTX)的网络报文作为实例,通过报文传输层内容相似度计算,利用K-means算法把相似度较高的报文聚为一类,可以得到多条初级报文传输层特征字符串,比如:
{0x02,0x00,*,0x01,0x01,0x04,0x00,0x5f,0x52,0x00,0x00,0x00,0x00},
{0x02,0x00,*,0x01,0x01,*,*,0x5f,*,0x00,0x01,0x5c,0xc8},
{0x02,*,*,0x01,0x01,0x0c,0x01,0x5f,*,0x00,0x01,0x5c,0xc8},
{0x02,0x00,*,0x01,0x01,0x04,*,0x5f,*,0x00,*,*,*}。
3)进一步,具体实施时作为一种优选,可以对新产生的报文传输层初级特征字符串进行优化处理:根据字符串相似度算法,例如采用只允许相同位置替换的编辑距离算法计算特征字符串之间的编辑距离,如果两个字符串之间的编辑距离越小,说明这两个字符串越相似。把编辑距离小于等于设定值(例如5)的特征字符串进行合并,得到更高级别抽象的报文传输层特征,将合并后的新特征添加到特征库。特别的,具体实施时,如果上一步得到的报文传输层初级特征字符串长度不大于10,则不再进行更高级的报文特征合并。
承接上一段中所述的腾讯通网络报文特征提取的例子,本发明可以将示例中的四条特征合并为两条特征:
{0x02,*,*,0x01,0x01,*,*,0x5f,*,0x00,0x01,0x5c,0xc8},
{0x02,0x00,*,0x01,0x01,0x04,*,0x5f,*,0x00,*,*,*}。
4)根据应用需求,可以对上一步中的报文特征相似度计算和合并特征的抽象归并过程循环进行多次,得到不同级别的高级抽象特征库,以适用于不同匹配准确度和匹配效率的应用场景。例如,对上一步示例中得到的高级特征,可以进一步抽象归并为一条特征:
{0x02,*,*,0x01,0x01,*,*,0x5f,*,0x00,*,*,*}
通过上述步骤,实现高效的网络报文传输层多级特征提取。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种网络报文传输层多级特征提取方法,从网络流量包的传输层报文中自动提取报文的传输层特征,得到特征字符串;再通过对特征字符串进行相似度计算,提取更高级别的特征字符串,得到多级特征库;包括如下步骤:
1)流重组,即按照网络会话或应用对报文进行组织,将同一个应用、网络会话或相同目的的报文进行重组;
2)特征匹配:将报文传输层内容字符串与已有报文特征库中的特征字符串进行多模式字符串匹配,过滤掉不能产生新特征的报文和流;
3)报文相似度计算:将按流组织的报文传输层字符串进行相似度计算,可对不同位置的字符赋予权重进行计算得到报文加权相似度;
4)得到报文传输层字符串相似度之后,对具有一定相似度的报文进行聚类操作;
5)报文传输层多级特征生成:
对每一个报文聚类,按照设定的报文传输层特征格式产生一个新的报文传输层特征;并可进一步对得到的报文传输层特征进行相似度计算,再进行报文传输层特征合并,得到特征抽象更高级别的特征,从而形成不同层级的报文传输层多级特征库。
2.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,将所述方法应用于网络报文识别和分类。
3.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,利用所述方法,通过创建特征字符串自动机,对待检测网络报文进行特征匹配,实现实时网络流量识别。
4.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,步骤1)具体对报文按照五元组进行流重组。
5.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,步骤3)具体根据字符串相似度算法进行计算,得到网络报文相似度。
6.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,步骤4)具体通过K-means聚类算法进行聚类操作。
7.如权利要求1所述的网络报文传输层多级特征提取方法,其特征是,步骤5)通过报文传输层特征合并得到不同层级的报文传输层多级特征;具体将只允许相同位置替换的编辑距离小于等于设定值的特征字符串进行合并,得到更高级别抽象的报文传输层特征。
8.一种网络报文传输层多级特征提取系统,包括:流重组模块、特征匹配模块、报文相似度计算模块、特征聚类模块、特征生成模块以及特征库;
流重组模块,作为系统的前端,用于将输入的报文按照网络会话、应用或目的进行组织;
特征匹配模块,用于将网络报文与已有报文传输层特征库中的特征字符串进行字符串多模式匹配,过滤掉匹配成功的报文即已知类型报文;
报文相似度计算模块,用于对报文传输层内容进行字符串相似度计算,计算结果输出到报文聚类模块;
报文聚类模块,用于根据报文传输层字符串相似度计算结果和聚类算法,把具有一定相似度的报文传输层字符串进行聚类;
特征生成模块,用于对聚类得到的每一类报文字符串集合,按照字符串相似度计算结果和预定报文传输层特征表达格式,生成新的报文传输层特征,并添加到报文传输层特征库;
特征库,用于存储系统提取的全部报文传输层特征,与报文传输层特征匹配模块和特征生成模块相连。
9.如权利要求8所述的网络报文传输层多级特征提取系统,其特征是,报文传输层特征表达格式采用正则表达式。
10.如权利要求8所述的网络报文传输层多级特征提取系统,其特征是,所述系统还包括报文传输层特征相似度计算模块和报文传输层特征合并模块;
报文传输层特征相似度计算模块用于将新生成的报文传输层特征进一步进行字符串相似度计算;
报文传输层特征合并模块按照字符串相似度和聚类计算结果,把具有一定相似度的报文传输层特征合并为新的高层报文传输层特征,添加到报文传输层多级特征库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911224340.1A CN110971601A (zh) | 2019-12-02 | 2019-12-02 | 一种高效的网络报文传输层多级特征提取方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911224340.1A CN110971601A (zh) | 2019-12-02 | 2019-12-02 | 一种高效的网络报文传输层多级特征提取方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110971601A true CN110971601A (zh) | 2020-04-07 |
Family
ID=70032769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911224340.1A Pending CN110971601A (zh) | 2019-12-02 | 2019-12-02 | 一种高效的网络报文传输层多级特征提取方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110971601A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113890902A (zh) * | 2021-09-15 | 2022-01-04 | 奇安信科技集团股份有限公司 | 特征识别库的构建方法及装置、流量识别方法 |
CN113891360A (zh) * | 2021-10-12 | 2022-01-04 | 国网浙江省电力有限公司宁波供电公司 | 基于网关转发字符串的流量分类识别方法 |
CN114610958A (zh) * | 2022-05-10 | 2022-06-10 | 上海飞旗网络技术股份有限公司 | 一种传输资源的处理方法、装置及电子设备 |
CN115296878A (zh) * | 2022-07-27 | 2022-11-04 | 天翼云科技有限公司 | 一种报文检测方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
CN101753316A (zh) * | 2008-12-02 | 2010-06-23 | 北京启明星辰信息技术股份有限公司 | 一种智能特征提取方法及系统 |
CN102222187A (zh) * | 2011-06-02 | 2011-10-19 | 国家计算机病毒应急处理中心 | 基于域名构造特征的挂马网页检测方法 |
US20120304287A1 (en) * | 2011-05-26 | 2012-11-29 | Microsoft Corporation | Automatic detection of search results poisoning attacks |
CN105429950A (zh) * | 2015-10-29 | 2016-03-23 | 国家计算机网络与信息安全管理中心 | 一种基于动态数据包采样的网络流量识别系统和方法 |
CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
-
2019
- 2019-12-02 CN CN201911224340.1A patent/CN110971601A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
CN101753316A (zh) * | 2008-12-02 | 2010-06-23 | 北京启明星辰信息技术股份有限公司 | 一种智能特征提取方法及系统 |
CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
US20120304287A1 (en) * | 2011-05-26 | 2012-11-29 | Microsoft Corporation | Automatic detection of search results poisoning attacks |
CN102222187A (zh) * | 2011-06-02 | 2011-10-19 | 国家计算机病毒应急处理中心 | 基于域名构造特征的挂马网页检测方法 |
CN105429950A (zh) * | 2015-10-29 | 2016-03-23 | 国家计算机网络与信息安全管理中心 | 一种基于动态数据包采样的网络流量识别系统和方法 |
CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113890902A (zh) * | 2021-09-15 | 2022-01-04 | 奇安信科技集团股份有限公司 | 特征识别库的构建方法及装置、流量识别方法 |
CN113890902B (zh) * | 2021-09-15 | 2023-12-29 | 奇安信科技集团股份有限公司 | 特征识别库的构建方法及装置、流量识别方法 |
CN113891360A (zh) * | 2021-10-12 | 2022-01-04 | 国网浙江省电力有限公司宁波供电公司 | 基于网关转发字符串的流量分类识别方法 |
CN113891360B (zh) * | 2021-10-12 | 2023-07-11 | 国网浙江省电力有限公司宁波供电公司 | 基于网关转发字符串的流量分类识别方法 |
CN114610958A (zh) * | 2022-05-10 | 2022-06-10 | 上海飞旗网络技术股份有限公司 | 一种传输资源的处理方法、装置及电子设备 |
CN115296878A (zh) * | 2022-07-27 | 2022-11-04 | 天翼云科技有限公司 | 一种报文检测方法、装置、电子设备及存储介质 |
CN115296878B (zh) * | 2022-07-27 | 2023-11-03 | 天翼云科技有限公司 | 一种报文检测方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110971601A (zh) | 一种高效的网络报文传输层多级特征提取方法和系统 | |
CN107665191B (zh) | 一种基于扩展前缀树的私有协议报文格式推断方法 | |
CN101741744B (zh) | 一种网络流量识别方法 | |
CN101645806B (zh) | Dpi和dfi相结合的网络流量分类系统及分类方法 | |
Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
CN112994984B (zh) | 识别协议及内容的方法、存储设备、安全网关、服务器 | |
CN111147394B (zh) | 一种远程桌面协议流量行为的多级分类检测方法 | |
US11449604B2 (en) | Computer security | |
CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
CN112036518B (zh) | 基于数据包字节分布的应用程序流量分类方法和存储介质 | |
CN105635170A (zh) | 基于规则对网络数据包进行识别的方法和装置 | |
SG184120A1 (en) | Method of identifying a protocol giving rise to a data flow | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
CN113821793A (zh) | 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
GB2582609A (en) | Pre-emptive computer security | |
EP3948603B1 (en) | Pre-emptive computer security | |
CN111464510B (zh) | 基于快速梯度提升树分类模型的网络实时入侵检测方法 | |
EP3948605B1 (en) | Adaptive computer security | |
CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
CN117201646A (zh) | 一种电力物联终端报文的深度解析方法 | |
CN112054992B (zh) | 恶意流量识别方法、装置、电子设备及存储介质 | |
CN115190056B (zh) | 一种可编排的流量协议识别与解析方法、装置及设备 | |
CN113382003B (zh) | 一种基于两级过滤器的rtsp混合入侵检测方法 | |
KR102559398B1 (ko) | 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200407 |
|
WD01 | Invention patent application deemed withdrawn after publication |