CN111626322B - 一种基于小波变换的加密流量的应用活动识别方法 - Google Patents
一种基于小波变换的加密流量的应用活动识别方法 Download PDFInfo
- Publication number
- CN111626322B CN111626322B CN202010267566.6A CN202010267566A CN111626322B CN 111626322 B CN111626322 B CN 111626322B CN 202010267566 A CN202010267566 A CN 202010267566A CN 111626322 B CN111626322 B CN 111626322B
- Authority
- CN
- China
- Prior art keywords
- packet
- session
- wavelet
- data
- packet length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000000694 effects Effects 0.000 title claims abstract description 41
- 230000009466 transformation Effects 0.000 title claims abstract description 14
- 238000000354 decomposition reaction Methods 0.000 claims abstract description 25
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 13
- 238000007781 pre-processing Methods 0.000 claims abstract description 8
- 238000007637 random forest analysis Methods 0.000 claims abstract description 7
- 239000013598 vector Substances 0.000 claims description 19
- 238000000605 extraction Methods 0.000 claims description 10
- 238000013145 classification model Methods 0.000 claims description 6
- 238000013501 data transformation Methods 0.000 claims description 5
- 238000012549 training Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 abstract description 8
- 238000011897 real-time detection Methods 0.000 abstract description 2
- 230000009471 action Effects 0.000 description 18
- 238000004458 analytical method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 244000062793 Sorghum vulgare Species 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 235000019713 millet Nutrition 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/11—Complex mathematical operations for solving equations, e.g. nonlinear equations, general mathematical optimization problems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/14—Fourier, Walsh or analogous domain transformations, e.g. Laplace, Hilbert, Karhunen-Loeve, transforms
- G06F17/148—Wavelet transforms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Operations Research (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本专利公开了一种基于小波变换的加密流量应用活动识别方法。通过分析不同的应用活动的流量,从每个应用活动流量中提取出会话,对其进行删除握手包和有效载荷为零的包的预处理,对每个会话的包长序列进行插值操作,使得每个会话的包长序列在保持原有的变化趋势情况下具有相同的长度,再对其使用小波分解算法Coif5进行特征提取,最后使用随机森林分类算法对其进行分类。实验结果显示该方法用于二分类时,在实时检测的情况下,在七个应用中,四个应用的二分类识别率达到0.90以上,两个应用在0.80以上,证明了该方法的有效性。
Description
技术领域
本发明涉及的技术领域为网络安全领域,流量分析技术,以及活动识别的算法。
背景技术
随着加密技术的发展,用户在保护隐私的同时也面临着许多威胁。实时有效地获取网络信息是网络内容监管的重要基础,应用活动识别相比应用分类对用户行为分析的更细粒度,有助于新型网络内容监控模型的建立,提升网络传播内容的监管水平和效率,一个好的应用活动识别算法可以帮助网络管理人员从各个维度更加详细、清楚地了解用户的行为习惯,能对非法和不健康的网络行为进行扫描过滤,是对其他网络安全防护技术的补充,净化了网络坏境。
近年来,应用活动识别方面已有一些工作,但仍存在一些不足:有些方法的准确性不够高,有些方法的效率不够高达不到实时检测的要求。所以有必要设计一个高效而准确性高的应用活动分类算法。
发明内容
为了解决目前应用活动识别准确率以及效率不足的技术问题,本发明提供一种在加密流量的情况下仍能准确识别用户所进行的活动,并能达到较好的实时性的基于小波变换的加密流量的应用活动识别方法。
为了实现上述技术目的,本发明的技术方案是:
一种基于小波变换的加密流量应用活动识别方法,包括以下步骤:
1)收集流量;
2)从流量中提取出完整的会话;
3)对提取出的会话进行预处理;
4)对预处理之后的会话提取出包长序列;
5)对包长序列基于小波变换进行特征提取;
6)将提取的特征向量用于训练分类器以构建分类模型,并基于分类模型对加密流量进行识别。
所述的基于小波变换的加密流量的应用活动识别方法,步骤2)是根据流量中每个包的源IP、目的IP、源端口、目的端口和传输层协议,提取出流量中的双向流即会话。
所述的基于小波变换的加密流量的应用活动识别方法,步骤3)的预处理为:将会话中的重传的包和有效载荷为零的包删除,并将TCP三次握手的握手包删除。
所述的基于小波变换的加密流量的应用活动识别方法,步骤4)包括以下过程:对于预处理过后的会话,提取出其每个数据包的包长,若为客户端发送的包则记数据包大小为正,若为服务器发送的包则将其记为负,将数据包按照包发送的时间顺序排列,构建出该会话的包长序列。
所述的基于小波变换的加密流量的应用活动识别方法,步骤5)包括以下过程:
插值:对各包长序列使用线性插值法,即根据插值的点的左右邻近两个数据点来进行数值估计并插入估计的数据点,以使所有包长序列的长度相等;
特征提取:利用小波分解的方法处理插值后的包长时间序列,提取其数据变换趋势,即小波分解后的低频部分,将其作为会话的特征来识别活动。
所述的基于小波变换的加密流量的应用活动识别方法,步骤5)的步骤b)中,小波分解是采用Coif5小波基的小波分解算法来分解包长时间序列,使用分解一级后的低频部分的值作为会话的特征向量。
所述的基于小波变换的加密流量的应用活动识别方法,步骤6)的具体实现方法为:利用每个会话构建的特征向量,使用随机森林算法训练分类器,然后对未知活动的会话构建的特征向量用该分类器进行活动判断。
本发明的技术效果在于,综合考虑了活动识别的准确度和识别速度,只需使用活动产生的加密会话的数据包包长序列变化趋势特征,就能实现实时而准确的应用活动识别,且易于实现。
下面结合附图对本发明作进一步说明。
附图说明
图1为应用活动识别流程示意图;
图2为流量采集环境示意图;
图3为不同活动包长序列对比图;
图4为插值结果示意图;
图5为同一个应用不同动作的变化趋势图;
图6为同一个应用同一个动作的变化趋势图;
图7为包长序列小波分解示意图。
具体实施方式
参见图1,本实施例包括以下步骤:
1)收集流量;
2)从流量中提取出完整的会话;
3)对提取出的会话进行预处理;
4)对预处理之后的会话提取出包长序列;
5)对包长序列基于小波变换进行特征提取;
6)将提取的特征向量用于训练分类器以构建分类模型,并基于分类模型对加密流量进行识别。
进一步的,在步骤2)中,是根据流量中每个包的五元组,也即源IP、目的IP、源端口、目的端口和传输层协议,来提取出流量中的双向流即会话。
进一步的,步骤3)中提到的预处理具体为:将会话中的重传的包和有效载荷为零的包删除,并将TCP三次握手的握手包删除。
进一步的,步骤4)包括以下过程:对于预处理过后的会话,提取出其每个数据包的包长,若为客户端发送的包则记数据包大小为正,若为服务器发送的包则将其记为负。即通过数据包的正负来区分该数据包是由客户端还是服务器端发送。这样有助于直观的分析出流量在客户端和服务器两端的变化情况。然后将数据包按照包发送的时间顺序排列,构建出该会话的包长序列。
进一步的,步骤5)包括以下过程:
插值:对各包长序列使用线性插值法,即根据插值的点的左右邻近两个数据点来进行数值估计并插入估计的数据点,以使所有包长序列的长度相等。这是因为在进行上述预处理的过程后,流量数据可能会存在包长序列过短的情况,比方说有的会话本身就比较短,再经过预处理步骤,去除了重传包、有效载荷为零的包和tcp三次握手的包之后,那么剩下的真正进行数据传输的数据包很少。又因为不同的会话中传输的数据包数目也是不一样的,这都导致了特征提取不便。所以为了便于特征的提取,首先利用时序数据的特点对其进行插值,来近似获取序列信息,丰富其信息。而通过指定插值的数目,也可以使得所有的包长序列具有相同的长度,方便特征提取之后的特征向量具有统一的长度。本实施例中,将插值后的数目设置为200,即每个包长序列在插值后都具有200个数据点。由于长度序列是一维的数据,所以使用常见的线性插值法,根据插值的点的左右邻近两个数据点来进行数值估计,插值后的序列可以近似代替原有序列。设左右邻近的两点坐标为(x0,y0)与(x1,y1),插值点坐标为(x,y),则线性插值公式为:
然后进行特征提取:利用小波分解的方法处理插值后的包长时间序列,提取其数据变换趋势,即小波分解后的低频部分,将其作为会话的特征来识别活动。由于不同动作之间的长度序列变化趋势不一样。小波分析体现了人们逐步识别形体的过程,从大尺度成分到其结构,再观察细节,体现了一种从低到高分辨的原理。多尺度变换可将动作长度序列分解到各频率的不同通道上,便于分析。会话长度序列经多层分解后的低频部分对应为会话数据的趋势部分。在分解过程中,层次的增加让低频部分含有的高频信息减少,剩下会话包长序列的变化趋势。因此本实施例利用小波分解的方法处理插值后的包长时间序列,提取其数据变换趋势,即小波分解后的低频部分,将其作为会话的特征来识别活动。
进一步的,本实施例中,小波分解是采用Coif5小波基的小波分解算法来分解包长时间序列,通过调用python中的小波分析库pywt的dwt方法实现,然后使用分解一级后的低频部分的值作为会话的特征向量。
进一步的,步骤6)的具体实现方法为:利用每个会话构建的特征向量,使用随机森林算法训练分类器,然后对未知活动的会话构建的特征向量用该分类器进行活动判断。本实施例中,随机森林算法是使用机器学习软件weka中提供的随机森林算法,并采用默认参数来训练分类器。进行活动判断时,能够判断出具体的应用活动动作,比如打开软件、发送消息、写评论、点赞以及收藏等等。
下面给出基于本方法的具体实验过程。
环境配置:实验在Intel Xeon E5-2620v2专业服务器上进行,操作系统为windowsserver2019datacenter,物理内存为112G。流量采集环境则通过小米手机、TL-WN823N无线USB网卡、联想笔记本搭建流量采集环境,搭建在有网的情况下进行,搭建方式如图2所示。使用wireshark获取移动设备上的应用流量。
(1)收集流量
首先需要收集要监测的手机应用活动的流量,为了消除干扰,在实验时每次只运行一个程序,只对其进行一个动作,尽量减小其他应用程序的干扰。在得到较为纯净的动作流量之后,将其存储为pcap包。本实施例中使用了2016年Conti等人在文献[Conti M,Mancini LV,Spolaor R,et al.Analyzing android encrypted network traffic toidentify user actions[J].IEEE Transactions on Information Forensics andSecurity,2016,11(1):114-125.]中公开的数据集,该数据集包含七个应用的动作数据:Gmail,Facebook,Twitter,Tumblr,Dropbox,Google+和Evernote。该数据集的动作及流数如下表1所示。
表1动作数据集
(2)会话提取
具有相同的五元组(源IP,目的IP,源端口,目的端口,传输层协议)的数据包构成流,源IP,源端口与目的IP,目的端口可互换的包构成了双向流,提取出流量中的双向流则会话。
(3)预处理
由图3可以看出,在相同应用的不同动作流量之间可能有着相同的握手协商过程,所以为了避免干扰,本实施例将TCP握手包去除。因为是使用包长序列做分类,则也将传输过程中有效载荷为0的数据包去除。
(4)构建包长序列
根据每个会话中的每个包的有效载荷长度及包的方向构建包长序列。将C→S的数据包大小取正,称为入口流量,S→C的数据包大小取负,称为出口流量,如原始包长向量为<200,50,150,20>,其中第二个和第四个是属于出口流量,则处理后的包长序列为<200,-50,150,-20>。
(5)提取特征
插值:由于长度序列是一维的数据,所以使用常见的线性插值法,根据插值的点的左右邻近两个数据点来进行数值估计。设左右邻近的两点为(x_0,y_0)与(x_1,y_1),插值点坐标为(x,y),插值公式为:
如图4所示,插值后的序列可以近似代替原有序列。
小波分解:通过分析同一应用不同动作的长度序列如图5,可以看出同一应用不同动作的变化趋势是不同的,即不同动作的传输模式不一样。通过分析同一应用统一动作的长度序列如图6,可以看出同一应用的同一动作的变化趋势是类似的,虽然数据大小可能有些不一样,但数据的走势和波动一致,由此可以看出它们的传输模式类似。所以本实施例使用小波分析进行特征提取。在小波分解过程中,层次的增加让低频部分含有的高频信息减少,剩下会话长度序列的变化趋势,如图7所示,小波分解的低频部分可保留会话长度序列的变化趋势。所以本实施例使用小波分解来提取每个长度序列的数据变换趋势,即小波分解后的低频部分,将其作为特征向量来识别活动。通过对比分析,本实施例采用Coif5作为动作识别时的小波基。
(6)构建分类器
使用随机森林的机器学习算法,小波分解包长序列之后的向量作为特征向量,用于训练分类器。进行测试时使用相同的构建特征向量的方法,将其输入已训练好的分类器,则输出分类结果。
实验结果:本实施例的方法准确度高:二分类结果如表2所示,四个应用的二分类识别率达到0.90以上,两个应用在0.80以上。实时性好:识别速度比前文提及的2016年Conti所著文献中的方法明显更快,差异最大的时候,本实施例的方法要快339倍。差距最小的时候,也快26倍。
表2每个应用的动作二分类结果
表3每个应用的动作多分类结果
Claims (4)
1.一种基于小波变换的加密流量应用活动识别方法,其特征在于,包括以下步骤:
1)收集流量;
2)从流量中提取出完整的会话;
3)对提取出的会话进行预处理;
4)对预处理之后的会话提取出包长序列;
5)对包长序列基于小波变换进行特征提取;
6)将提取的特征向量用于训练分类器以构建分类模型,并基于分类模型对加密流量进行识别;
步骤4)包括以下过程:对于预处理过后的会话,提取出其每个数据包的包长,若为客户端发送的包则记数据包大小为正,若为服务器发送的包则将其记为负,将数据包按照包发送的时间顺序排列,构建出该会话的包长序列;
步骤5)包括以下过程:
a)插值:对各包长序列使用线性插值法,即根据插值的点的左右邻近两个数据点来进行数值估计并插入估计的数据点,以使所有包长序列的长度相等;
b)特征提取:利用小波分解的方法处理插值后的包长时间序列,提取其数据变换趋势,即小波分解后的低频部分,将其作为会话的特征来识别活动;
步骤6)的具体实现方法为:利用每个会话构建的特征向量,使用随机森林算法训练分类器,然后对未知活动的会话构建的特征向量用该分类器进行活动判断。
2.根据权利要求1所述的基于小波变换的加密流量的应用活动识别方法,其特征在于,步骤2)是根据流量中每个包的源IP、目的IP、源端口、目的端口和传输层协议,提取出流量中的双向流即会话。
3.根据权利要求1所述的基于小波变换的加密流量的应用活动识别方法,其特征在于,步骤3)的预处理为:将会话中的重传的包和有效载荷为零的包删除,并将TCP三次握手的握手包删除。
4.根据权利要求1所述的基于小波变换的加密流量的应用活动识别方法,其特征在于,步骤5)的步骤b)中,小波分解是采用Coif5小波基的小波分解算法来分解包长时间序列,使用分解一级后的低频部分的值作为会话的特征向量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010267566.6A CN111626322B (zh) | 2020-04-08 | 2020-04-08 | 一种基于小波变换的加密流量的应用活动识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010267566.6A CN111626322B (zh) | 2020-04-08 | 2020-04-08 | 一种基于小波变换的加密流量的应用活动识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111626322A CN111626322A (zh) | 2020-09-04 |
| CN111626322B true CN111626322B (zh) | 2024-01-05 |
Family
ID=72259709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010267566.6A Active CN111626322B (zh) | 2020-04-08 | 2020-04-08 | 一种基于小波变换的加密流量的应用活动识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111626322B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383488B (zh) * | 2020-10-26 | 2022-06-17 | 中山大学 | 一种适用于加密与非加密数据流的内容识别方法 |
| CN112910797B (zh) * | 2021-01-20 | 2023-04-11 | 中国科学院计算技术研究所 | 基于特征匹配的i2p流量识别方法及系统 |
| CN114221816B (zh) * | 2021-12-17 | 2024-05-03 | 恒安嘉新(北京)科技股份公司 | 流量检测方法、装置、设备及存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003038666A1 (en) * | 2001-11-01 | 2003-05-08 | Inovatech Limited | Wavelet based fraud detection system |
| JP2003132088A (ja) * | 2001-10-22 | 2003-05-09 | Toshiba Corp | 時系列データ検索システム |
| CA2639710A1 (en) * | 2008-09-22 | 2010-03-22 | University Of Ottawa | Method to extract target signals of a known type from raw data containing an unknown number of target signals, interference, and noise |
| JP2010135871A (ja) * | 2008-12-02 | 2010-06-17 | Oki Electric Ind Co Ltd | ネットワーク機器、及びネットワーク情報の推定方法 |
| CN102594836A (zh) * | 2012-03-06 | 2012-07-18 | 青岛农业大学 | 一种基于小波能量谱的流量识别方法 |
| KR101187023B1 (ko) * | 2012-05-11 | 2012-09-28 | 주식회사 이글루시큐리티 | 네트워크 비정상 트래픽 분석시스템 |
| CN102833255A (zh) * | 2012-08-31 | 2012-12-19 | 电子科技大学 | 基于时频分析的Skype语音流提取方法 |
| CN106789359A (zh) * | 2017-02-15 | 2017-05-31 | 广东工业大学 | 一种基于灰狼算法的网络流量分类方法及装置 |
| CN110149315A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测方法、可读存储介质和终端 |
| CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
| CN110768825A (zh) * | 2019-10-16 | 2020-02-07 | 电子科技大学 | 一种基于网络大数据分析的业务流量预测方法 |
| CN110839016A (zh) * | 2019-10-18 | 2020-02-25 | 平安科技(深圳)有限公司 | 异常流量监测方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8352788B2 (en) * | 2009-07-20 | 2013-01-08 | International Business Machines Corporation | Predictive monitoring with wavelet analysis |
-
2020
- 2020-04-08 CN CN202010267566.6A patent/CN111626322B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003132088A (ja) * | 2001-10-22 | 2003-05-09 | Toshiba Corp | 時系列データ検索システム |
| WO2003038666A1 (en) * | 2001-11-01 | 2003-05-08 | Inovatech Limited | Wavelet based fraud detection system |
| CA2639710A1 (en) * | 2008-09-22 | 2010-03-22 | University Of Ottawa | Method to extract target signals of a known type from raw data containing an unknown number of target signals, interference, and noise |
| JP2010135871A (ja) * | 2008-12-02 | 2010-06-17 | Oki Electric Ind Co Ltd | ネットワーク機器、及びネットワーク情報の推定方法 |
| CN102594836A (zh) * | 2012-03-06 | 2012-07-18 | 青岛农业大学 | 一种基于小波能量谱的流量识别方法 |
| KR101187023B1 (ko) * | 2012-05-11 | 2012-09-28 | 주식회사 이글루시큐리티 | 네트워크 비정상 트래픽 분석시스템 |
| CN102833255A (zh) * | 2012-08-31 | 2012-12-19 | 电子科技大学 | 基于时频分析的Skype语音流提取方法 |
| CN106789359A (zh) * | 2017-02-15 | 2017-05-31 | 广东工业大学 | 一种基于灰狼算法的网络流量分类方法及装置 |
| CN110149315A (zh) * | 2019-04-24 | 2019-08-20 | 南京邮电大学 | 异常网络流量检测方法、可读存储介质和终端 |
| CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
| CN110768825A (zh) * | 2019-10-16 | 2020-02-07 | 电子科技大学 | 一种基于网络大数据分析的业务流量预测方法 |
| CN110839016A (zh) * | 2019-10-18 | 2020-02-25 | 平安科技(深圳)有限公司 | 异常流量监测方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| Erik Arestrom et.al.Early Online Classification of Encrypted Traffic Streams using Multi-fractal Features.《IEEE INFOCOM 2019 - IEEE Conference on Computer Communications Workshops 》.2019,第1-6页. * |
| Intelligent Multimedia Applications in Wavelet Domain: New Trends and Future Research Directions;Rajiv Singh et.al;《Intelligent Wavelet Based Techniques for Advanced Multimedia Applications》;137–144 * |
| 章浙涛等.小波变换在时间序列特征提取中的应用.《测绘工程》.2014,第23卷(第6期),21-26. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111626322A (zh) | 2020-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111626322B (zh) | 一种基于小波变换的加密流量的应用活动识别方法 | |
| CN110391958B (zh) | 一种对网络加密流量自动进行特征提取和识别的方法 | |
| CN111064678A (zh) | 基于轻量级卷积神经网络的网络流量分类方法 | |
| CN113329023A (zh) | 一种加密流量恶意性检测模型建立、检测方法及系统 | |
| CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN109194657B (zh) | 一种基于累积数据包长度的网页加密流量特征提取方法 | |
| CN111711633A (zh) | 多阶段融合的加密流量分类方法 | |
| CN113472751B (zh) | 一种基于数据包头的加密流量识别方法及装置 | |
| Yu et al. | An encrypted malicious traffic detection system based on neural network | |
| Hejun et al. | Encrypted network behaviors identification based on dynamic time warping and k-nearest neighbor | |
| Li et al. | Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams | |
| Khan et al. | Detecting attacks on IoT devices using featureless 1D-CNN | |
| Pham et al. | Lightweight Convolutional Neural Network Based Intrusion Detection System. | |
| Škrjanc et al. | Evolving cauchy possibilistic clustering and its application to large-scale cyberattack monitoring | |
| Liu et al. | Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection | |
| Chen et al. | A MSPCA based intrusion detection algorithm tor detection of DDoS attack | |
| Chen et al. | The challenge of only one flow problem for traffic classification in identity obfuscation environments | |
| CN116232696A (zh) | 基于深度神经网络的加密流量分类方法 | |
| Kumar et al. | Deep Learning Based Optimal Traffic Classification Model for Modern Wireless Networks | |
| CN113452810B (zh) | 一种流量分类方法、装置、设备和介质 | |
| Herrero et al. | Movicab-ids: visual analysis of network traffic data streams for intrusion detection | |
| CN114301636A (zh) | 基于流量多尺度时空特征融合的vpn通信行为分析方法 | |
| CN113449768A (zh) | 一种基于短时傅里叶变换的网络流量分类装置及方法 | |
| Aliakbarian et al. | Optimal supervised feature extraction in internet traffic classification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |