CN111526099A - 基于深度学习的物联网应用流量检测方法 - Google Patents

基于深度学习的物联网应用流量检测方法 Download PDF

Info

Publication number
CN111526099A
CN111526099A CN202010216286.2A CN202010216286A CN111526099A CN 111526099 A CN111526099 A CN 111526099A CN 202010216286 A CN202010216286 A CN 202010216286A CN 111526099 A CN111526099 A CN 111526099A
Authority
CN
China
Prior art keywords
flow
data
traffic
internet
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010216286.2A
Other languages
English (en)
Other versions
CN111526099B (zh
Inventor
陈铭松
夏珺
江岚
黄红兵
周亮
马言悦
焦阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
East China Normal University
Original Assignee
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by East China Normal University filed Critical East China Normal University
Priority to CN202010216286.2A priority Critical patent/CN111526099B/zh
Publication of CN111526099A publication Critical patent/CN111526099A/zh
Application granted granted Critical
Publication of CN111526099B publication Critical patent/CN111526099B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于深度学习的物联网应用流量检测方法,该方法将物联网设备上的流量数据包通过Wireshark进行结构化数据存储,通过使用Split Cap工具进行Pcap流量包的切割与筛选,得到流量包的不同切割样本,再将片段大小不同的流量数据转换成为二进制图文件表示,通过深度学习方法即可获取较为精确的应用流量识别。该方法主要包括:流量包数据筛选,Pcap文件的编码切割,结构化流量数据包的图转换以及卷积神经网络的应用流量识别。通过本发明可以自动化的抓取并识别物联网设备中的应用数据包,为访问物联网设备的流量追踪溯源提供了强有力的支撑,极大地提高了物联网设备的安全性能。

Description

基于深度学习的物联网应用流量检测方法
技术领域
本发明属于计算机领域,专注于物联网设备端网络安全溯源,提出了一种基于深度学习的物联网(Internet Of Things, IOT)应用流量检测方法,根据流量包含信息从而完整且较为精确的检测物联网应用流量类型与来源的方法。
背景技术
流量检测是将网络流量与应用程序相关联的工作,是网络安全领域中的重要任务。在网络安全领域中,流量分类实际上是查询恶意网络资源使用等异常检测的初始步骤,是物联网安全检测中必不可少的一环。目前有四种主要的流量分类方法:基于端口的流量分析、基于深度包检查(Deep Packet Inception, DPI)的流量分析、基于统计的应用预测和基于访问行为的流量分析。从开发者角度来看,基于端口和基于DPI的方法是基于访问规则的检测方法,它们通过匹配预定义的规则来进行流量分类。基于统计和基于行为的方法是经典的机器学习方法,它们通过使用一组选择性特征从经验数据中提取任务模型来对流量进行分类。经典的机器学习方法虽然解决了基于规则的方法所不能解决的许多问题,如加密的流量分类和较高的计算成本,但它面临着大量流量相似特征的挑战,将导致流量分类的不准。
由于物联网设备的安全行为复杂,使用传统方法进行流量监测与识别,将是一件困难的事情。然而物联网设备往往很少具备专业的安全溯源手段,难以保证应用流量的精准识别,只能使用一些较为传统的规则匹配方法,但规则匹配方法由于现阶段加密算法的普及,其识别精度往往不如人意,现阶段亟待高精度检测方法检测应用流量。
发明内容
本发明的目的是针对传统技术的不足而提供的一种基于深度学习的物联网应用流量检测方法,该方法采用流量数据预处理、流量数据结构化、流量数据检测识别三个步骤,精确预测物联网设备网络流量来源。
实现本发明目的的具体技术方案是:
一种基于深度学习的物联网应用流量检测方法,该方法包括以下具体步骤:
步骤1:流量数据预处理
流量抓取:对物联网设备上运行的应用使用Wireshark进行抓取,并将所抓取的流量数据包Pcap文件封装成域名、源IP地址、目标IP地址、网络协议及字节长度五种数据结构;
人工标注:人工针对Pcap头文件信息与加密方式的不同进行应用流量的归属分类,即采用人工方式对于每一个抓取后的数据包封装后的数据结构进行人工分析,确定每个流量数据包具体属于何种应用;
步骤2:流量包数据结构化
Split Cap文件分割:将步骤1分类后的流量数据使用Split Cap工具进行Pcap文件的切割与筛选,得到经过分割后的单条流量数据样本,读取Pcap文件;
信息解析:选取包含关键信息的流量部分,即当前Pcap文件的前1024个字节,转换成为像素图形式;
二进制存储:根据流量包图结构的差异性,进行中值填充操作,最后保存为相同尺寸的流量图数据集,命名为X-Mnist;
步骤3:流量数据的检测识别
采用TensorFlow神经网络框架,将步骤2得到的数据集X-Mnist随机分为训练数据集与测试数据集,搭建TensorFlow模型并使用训练数据集进行云端训练,再通过测试数据集的测试之后,得到准确率90%-99%网络模型,设备端再进行网络模型下载,使用拟合模型进行应用检测,完成物联网应用流量分类。
步骤1所述人工标注是将不同网络流量应用数据进行数据分析,不但通过流量头信息分析获取应用特征,而且需要人工分析不同流量的加密协议获取应用流量的特征,其过程为将加密协议与流量头信息通过TXT的形式进行描述,根据流量头信息的语法规则提取应用信息,并根据域名查找的方式进行应用信息匹配。
步骤2所述数据结构化是将高冗余、低识别度的网络流量通过多维结构化方式,转换成为易于识别的图流量方式,其中为不加密的头信息与加密流量信息,总长度位1024比特位;具体过程是通过读写二进制文件编码方式,将Pcap文件进行图文件转换,转换成为包含可识别有效信息的图文件。
将图流量数据集作为训练与测试的样本封装成X-Mnist数据库,参与卷积神经网络拟合过程。
本发明的有益效果:由于物联网设备的安全行为复杂,使用传统方法进行流量监测与识别精度较低,很难保证高精度安全溯源。因此本发明极大的满足了物联网设备端网络安全需求,精确识别物联网设备网络流量来源,保证了物联网设备的可信与安全性。
附图说明
图1为本发明实施例流程图;
图2为本发明实施例的流量信息结构化示意图;
图3为卷积神经网络模块结构图。
具体实施方式
以下结合附图及实施例对本发明进行详细描述。
本发明的基于深度学习的物联网应用流量检测方法,包括以下步骤:
步骤1:流量数据预处理
对物联网设备上输入的应用使用Wireshark进行抓取,对所抓取的流量数据包等Pcap文件进行解析,并封装成相应的数据机构。由于应用流量通过对Pcap头文件信息与加密方式的分析,对于每一个时间与访问地址都需进行严格的数据解析与筛选,确定应用流量数据包的类别,并分别归类到相应流量的数据集,方便下一步数据流量的结构化与检测任务。
步骤2:流量数据结构化
由于抓取出来的数据流量不能很好地进行相应的识别工作,故需要对步骤1生成的应用流量数据集进行相应结构化,将高冗余、难识别的流量数据转换成为低冗余、易识别的结构化数据。我们将完整的流量数据集通过使用Split Cap工具进行Pcap文件的切割与筛选,得到分割之后的流量数据,本身Pcap文件并不能很好地进行识别,故需要根据每个分割后流量数据的具体特征,转换成为像素图结构,同时根据流量包图结构的差异性,进行中值填充操作,最后保存为相同尺寸的流量图数据集。最后整合生成训练与测试的结构化流量数据集。
步骤3:流量数据的检测识别
通过将初始数据集随机切分成十份,一份为测试数据集,九份为训练数据集,使用卷积神经网络针对步骤2得到的图数据集进行训练,得到可检测识别流量数据的网络模型,并将该模型通过测试数据集进行测试,最后将通过测试精度之后的模型下载到物联网设备端,在物联网设备端进行高效的应用追踪与溯源。
在步骤1中,对访问物联网设备的所有流量包进行存储,在众多流量信息中分析Pcap文件中的头信息,通过域名选取的方式,将流量信息进行粗略筛选,整体分为应用级与系统级两个级别流量。应用级流量需经过进一步细微筛选,系统级流量直接舍弃,再通过Pcap文件加密信息与流量头中所包含的通用域名信息,将应用流量进行统一细分。
步骤1中,对具体流量细分完成之后,需要经过二次查验过程,在二次查验中,需经过访问脚本访问具体的已分类流量源地址,再次通过流量源地址确定应用类型,虽然每个应用所采用的源地址不同,但是可以将所有源地址经过地址查询机制进行确定,并将所有源地址进行集合汇总,通过二次查验保证原始数据集的正确性。
在步骤2中,需要对步骤1抓取后的Pcap文件进行相应切分,由于为大规模TCP流文件,所以在数据采集上并不能直接用于训练识别过程,需要进行相应的数据预处理,首先使用Split Cap工具将所有Pcap流进行切分,抽取成为若干个大小相同的数据段,再将各个数据段进行封装,封装成为各个应用下的对应着每个时钟周期的序列表,并将封装好的序列表作为下一步图结构化的输入。根据图结构化规则,将每一个序列表进行相应规则的数据提取,通过采用二进制读写的方法,将头信息与加密信息放入二维结构图中,再通过归类保存,封装成为应用流量数据集。
在步骤3中使用结构化数据集进行卷积神经网络的训练,首先假定需要识别的应用类型为N种,N可以为大于零的任意整数,文件首先读取大小为32*32*1的流量图像,将像素从[0,255]归一化为[0,1],这也可以使用归一化减少数据之间的不确定性。第一个卷积层命名为C1层,使用32个大小为3*3的卷积核对输入特征图进行卷积运算。C1层输出结果是32张尺寸为32*32的特征图。C1层之后有一个2*2的最大池化层,其目的是保留有效权重特征,得到32张大小为16*16的特征图。第二个卷积层C2的核大小也是3*3,通道数为64个。结果得到64张大小为16*16的输出特征图。在C2之后接一个2*2 大小的最大池化层 P2,生成64个8*8大小的特征图。最后两层是全连接层,其目的是将整体结果进行分类,全连接层输出结果分别为512和N类,所使用的方法精确度可达95%,远超传统机器学习方法。
实施例
将发明设计为流量信息获取、信息结构化与云端神经网络识别三个模块,具体流程如图1所示,流量信息获取模块即为步骤1的实现,包括流量获取与判断流量属性,信息结构化为步骤2的实现,包括流量分割与结构存储,卷积神经网络模块即为步骤3的实现,包括云端训练与模型检测。
流量信息获取模块是在物联网设备端设置抓包程序,通过抓取通过网关的流量包,获取目前经过网关的流量包类型,通过预先设定的解析程序,将流量包分为应用级流量与系统级流量,再通过域名解析,将应用级流量分为具体应用流量类型,这一步也可通过云端协助终端完成分类任务,最终将设备端收集到的数据进行存储。
如图2所示,信息结构化模块是在物联网设备端进行流量数据预处理的过程,由于抓取出来的数据流量不能很好地进行检测识别工作,需要对步骤1生成的应用流量数据集进行结构化,将高冗余、难识别的流量数据转换成为低冗余、易识别的结构化数据。首先将收集到的流量数据通过使用Split Cap工具进行Pcap文件的切割与筛选,得到分割后的流量数据片段,再转换成为流量图结构,同时根据图之间的差异性,进行中值填充操作,最后保存为相同尺寸的流量图数据,再上传云端,云端整理为最终数据集。
如图3所示,在云端使用结构化数据集进行卷积神经网络训练,首先假定系统需要识别的应用类型为N种,N为大于零的任意整数,文件首先读取大小为32*32*1的流量图像,将像素从[0,255]归一化为[0,1],这也可以使用归一化减少数据之间的不确定性。第一个卷积层命名为C1层,使用32个大小为3*3的卷积核对输入特征图进行卷积运算。C1层输出结果是32张尺寸为32*32的特征图。C1层之后有一个2*2的最大池化层,其目的是保留有效权重特征,得到32张大小为16*16的特征图。第二个卷积层C2的核大小也是3*3,通道数为64个。结果得到64张大小为16*16的输出特征图。在C2之后接一个2*2 大小的最大池化层 P2,生成64个8*8大小的特征图。最后两层是全连接层,其目的是将整体结果进行分类,全连接层输出结果分别为512和N类,最终设备端将训练好的模型下载进入设备端即可。
图2为信息结构化模块的架构,由于抓取的流量为TCP或UDP流量包,故首先使用Split Cap工具进行Pcap流量的分割,将其分割成为同一流量的若干个流量数据段,再通过信息解析与人工选择进行具体的分类,最终使用二进制读写指令实现图结构化的过程,并封装成为图数据结构。
图3详细介绍了云端训练神经网络的架构,神经网络架构分为卷积层、池化层、全连接层三个子模块,使用当前网络进行训练即可。
具体的神经网络模型如下:
x=tf.placeholder("float",None,1024])
y = tf.placeholder("float", [None, N])
w_c1 = weight_variable([3, 3, 1, 32])
b_c1 = bias_variable([32])
x_image = tf.reshape(x, [-1, 32, 32, 1])
o_c1 = tf.nn.relu(conv2d(x_image, w_c1) + b_c1)
o_p1 = max_pool_2x2(o_c1)
w_c2 = weight_variable([3, 3, 32, 64])
b_c2 = bias_variable([64])
o_c2 = tf.nn.relu(conv2d(o_p1, w_c2) + b_c2)
o_p2 = max_pool_2x2(o_c2)
w_fc1 = weight_variable([8*8*64, 1024])
b_fc1 = bias_variable([1024])
o_p2_flat = tf.reshape(o_p2, [-1, 8*8*64])
o_fc1 = tf.nn.relu(tf.matmul(o_p2_flat, w_fc1) + b_fc1)
keep_prob = tf.placeholder("float")
o_fc1_drop = tf.nn.dropout(o_fc1, keep_prob)
w_fc2 = weight_variable([1024, CLASS_NUM])
b_fc2 = bias_variable([CLASS_NUM])
y_o = tf.nn.softmax(tf.matmul(o_fc1_drop, w_fc2) + b_fc2)
将上述模型经过训练,将网络模型从云端重新写入设备端,通过在设备端调用脚本,可以直接使用该网络模型进行应用流量的检测。
综上所述,本方法检测精度远超传统流量检测方法,极大的满足了物联网设备端网络安全需求,可精确识别物联网设备网络流量来源,保证了物联网设备的可信与安全性。

Claims (3)

1.一种基于深度学习的物联网应用流量检测方法,其特征在于,该方法包括以下具体步骤:
步骤1:流量数据预处理
流量抓取:对物联网设备上运行的应用使用Wireshark进行抓取,并将所抓取的流量数据包Pcap文件封装成域名、源IP地址、目标IP地址、网络协议及字节长度五种数据结构;
人工标注:人工针对Pcap头文件信息与加密方式的不同进行应用流量的归属分类,即采用人工方式对于每一个抓取后的数据包封装后的数据结构进行人工分析,确定每个流量数据包具体属于何种应用;
步骤2:流量包数据结构化
Split Cap文件分割:将步骤1分类后的流量数据使用Split Cap工具进行Pcap文件的切割与筛选,得到经过分割后的单条流量数据样本,读取Pcap文件;
信息解析:选取包含关键信息的流量部分,即当前Pcap文件的前1024个字节,转换成为像素图形式;
二进制存储:根据流量包图结构的差异性,进行中值填充操作,最后保存为相同尺寸的流量图数据集X-Mnist;
步骤3:流量数据的检测识别
采用TensorFlow神经网络框架,将步骤2得到的数据集X-Mnist随机分为训练数据集与测试数据集,搭建TensorFlow模型并使用训练数据集进行云端训练,再通过测试数据集的测试之后,得到准确率90%-99%网络模型,设备端再进行网络模型下载,使用拟合模型进行应用检测,完成物联网应用流量分类。
2.根据权利要求1所述的物联网应用流量检测方法,其特征在于,步骤1所述人工标注是将不同网络流量应用数据进行数据分析,不但通过流量头信息分析获取应用特征,而且需要人工分析不同流量的加密协议获取应用流量的特征,其过程为将加密协议与流量头信息通过TXT的形式进行描述,根据流量头信息的语法规则提取应用信息,并根据域名查找的方式进行应用信息匹配。
3.根据权利要求1所述的物联网应用流量检测方法,其特征在于,步骤2所述数据结构化是将高冗余、低识别度的网络流量通过多维结构化方式,转换成为易于识别的图流量方式,其中为不加密的头信息与加密流量信息,总长度位1024比特位;具体过程是通过读写二进制文件编码方式,将Pcap文件进行图文件转换,转换成为包含可识别有效信息的图文件。
CN202010216286.2A 2020-03-25 2020-03-25 基于深度学习的物联网应用流量检测方法 Active CN111526099B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010216286.2A CN111526099B (zh) 2020-03-25 2020-03-25 基于深度学习的物联网应用流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010216286.2A CN111526099B (zh) 2020-03-25 2020-03-25 基于深度学习的物联网应用流量检测方法

Publications (2)

Publication Number Publication Date
CN111526099A true CN111526099A (zh) 2020-08-11
CN111526099B CN111526099B (zh) 2022-08-16

Family

ID=71901298

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010216286.2A Active CN111526099B (zh) 2020-03-25 2020-03-25 基于深度学习的物联网应用流量检测方法

Country Status (1)

Country Link
CN (1) CN111526099B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217834A (zh) * 2020-10-21 2021-01-12 北京理工大学 一种基于图结构的互联网加密流量交互特征提取方法
CN112511384A (zh) * 2020-11-26 2021-03-16 广州品唯软件有限公司 流量数据处理方法、装置、计算机设备和存储介质
CN114285627A (zh) * 2021-12-21 2022-04-05 安天科技集团股份有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN114553546A (zh) * 2022-02-24 2022-05-27 杭州迪普科技股份有限公司 基于网络应用的报文抓取的方法和装置
CN116051883A (zh) * 2022-12-09 2023-05-02 哈尔滨理工大学 一种基于CNN-Transformer混合架构的网络流量分类方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN110704649A (zh) * 2019-08-29 2020-01-17 南京邮电大学 一种用于构建流量图像数据集的方法及系统
CN110730140A (zh) * 2019-10-12 2020-01-24 西安电子科技大学 基于时空特性相结合的深度学习流量分类方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN110493208A (zh) * 2019-08-09 2019-11-22 南京聚铭网络科技有限公司 一种多特征的dns结合https恶意加密流量识别方法
CN110704649A (zh) * 2019-08-29 2020-01-17 南京邮电大学 一种用于构建流量图像数据集的方法及系统
CN110730140A (zh) * 2019-10-12 2020-01-24 西安电子科技大学 基于时空特性相结合的深度学习流量分类方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
吴迪等: ""BotCatcher:基于深度学习的僵尸网络检测系统"", 《通信学报》 *
陈雪娇等: ""基于卷积神经网络的加密流量识别方法"", 《南京邮电大学学报》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217834A (zh) * 2020-10-21 2021-01-12 北京理工大学 一种基于图结构的互联网加密流量交互特征提取方法
CN112217834B (zh) * 2020-10-21 2021-06-18 北京理工大学 一种基于图结构的互联网加密流量交互特征提取方法
CN112511384A (zh) * 2020-11-26 2021-03-16 广州品唯软件有限公司 流量数据处理方法、装置、计算机设备和存储介质
CN114285627A (zh) * 2021-12-21 2022-04-05 安天科技集团股份有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN114285627B (zh) * 2021-12-21 2023-12-22 安天科技集团股份有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN114553546A (zh) * 2022-02-24 2022-05-27 杭州迪普科技股份有限公司 基于网络应用的报文抓取的方法和装置
CN114553546B (zh) * 2022-02-24 2023-07-04 杭州迪普科技股份有限公司 基于网络应用的报文抓取的方法和装置
CN116051883A (zh) * 2022-12-09 2023-05-02 哈尔滨理工大学 一种基于CNN-Transformer混合架构的网络流量分类方法

Also Published As

Publication number Publication date
CN111526099B (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
CN111526099B (zh) 基于深度学习的物联网应用流量检测方法
CN111277578B (zh) 加密流量分析特征提取方法、系统、存储介质、安全设备
US11301778B2 (en) Method and system for training and validating machine learning in network environments
CN109284606B (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN107426059B (zh) Dpi设备特征库自动更新方法、系统、dpi设备及云端服务器
CN112564974A (zh) 一种基于深度学习的物联网设备指纹识别方法
US10187412B2 (en) Robust representation of network traffic for detecting malware variations
CN110796196A (zh) 一种基于深度判别特征的网络流量分类系统及方法
CN110245273B (zh) 一种获取app业务特征库的方法及相应的装置
CN112800424A (zh) 一种基于随机森林的僵尸网络恶意流量监测方法
CN113328985B (zh) 一种被动物联网设备识别方法、系统、介质及设备
CN112333706A (zh) 物联网设备异常检测方法、装置、计算设备及存储介质
CN111935185B (zh) 基于云计算构建大规模诱捕场景的方法及系统
CN112367273A (zh) 基于知识蒸馏的深度神经网络模型的流量分类方法及装置
CN113923026A (zh) 一种基于TextCNN的加密恶意流量检测模型及其构建方法
CN112861894A (zh) 一种数据流分类方法、装置及系统
CN112202718A (zh) 一种基于XGBoost算法的操作系统识别方法、存储介质及设备
Yujie et al. End-to-end android malware classification based on pure traffic images
CN108234452A (zh) 一种网络数据包多层协议识别的系统和方法
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及系统
Tamuka et al. Modelling the classification of video traffic streaming using machine learning
EP4254237A1 (en) Security data processing device, security data processing method, and computer-readable storage medium for storing program for processing security data
CN114189382B (zh) 一种基于模糊测试的网络协议自动化分析漏洞挖掘装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant