CN112738039A - 一种基于流量行为的恶意加密流量检测方法、系统及设备 - Google Patents
一种基于流量行为的恶意加密流量检测方法、系统及设备 Download PDFInfo
- Publication number
- CN112738039A CN112738039A CN202011502419.9A CN202011502419A CN112738039A CN 112738039 A CN112738039 A CN 112738039A CN 202011502419 A CN202011502419 A CN 202011502419A CN 112738039 A CN112738039 A CN 112738039A
- Authority
- CN
- China
- Prior art keywords
- information
- traffic
- ssl
- short memory
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流量行为的恶意加密流量检测方法、系统及设备,不需要对数据包进行过多的人工分析,只需要提取数据包的统计特征和SSL(Secure Sockets Layer,SSL)/TLS(Transport Layer Security,TLS)协议字段的部分信息,利用深度神经网络进行特征处理得到隐含特征,进而进行加密流量检测,并通过指纹信息调整检测结果;不仅提升了检测效率,还提高了恶意流量检测的准确率。
Description
技术领域
本发明涉及计算机网络与网络空间安全领域,尤其涉及一种基于流量行为的恶意加密流量检测方法、系统及设备。
背景技术
随着互联网应用规模的扩大,对网络安全风险防范的意识不断增强,越来越多的应用通过加密手段实现数据隐私保护,网络中加密流量占比越来越高。与此同时,攻击者也通过加密手段隐藏自己的信息,使用加密通信的恶意代码、加密信道的恶意攻击层出不穷,这给传统的基于规则的流量检测方法带来了巨大挑战。
目前主流的加密流量攻击检测手段有两种:解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为,但这种解方法会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量,不解密进行流量检测的方法逐渐被业界研究人员关注起来,这种方法无需对其进行解密,通过利用已经掌握的数据资源,对加密流量进行判别。
传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中,随着端口跳变技术、动态端口技术、隧道技术的提出与使用,使得基于端口等五元组信息的流量检测方法已经无法满足检测需求。
发明内容
本发明的目的是提供一种基于流量行为的恶意加密流量检测方法、系统及设备,有效的利用加密流量的行为特征,充分利用了加密对流量协议与数据长度的影响,提高了恶意流量检测的准确率。
本发明的目的是通过以下技术方案实现的:
一种基于流量行为的恶意加密流量检测方法,包括:
从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码;
通过深度神经网络从编码后的流量行为分布中提取隐含特征,并结合编码后的SSL/TLS协议信息进行分类检测;
结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
一种基于流量行为的恶意加密流量检测系统,用于实现前述的方法,该系统包括:
特征提取单元,用于从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码;
深度神经网络,包括编码器与解码器、以及全连接的MLP网络;所述编码器与解码器从编码后的流量行为分布中提取隐含特征;全连接的MLP网络,结合隐含特征与编码后的SSL/TLS协议信息进行分类检测;
指纹信息匹配单元,用于结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
一种基于流量行为的恶意加密流量检测设备,设备部署在网关节点与防火墙之间,设备中配置了前述的系统,并包含报警器;当通过系统检测到恶意流量时,驱动报警器发出报警信号。
由上述本发明提供的技术方案可以看出,不需要对数据包进行过多的人工分析,只需要提取数据包的统计特征和SSL(Secure Sockets Layer,SSL)/TLS(Transport LayerSecurity,TLS)协议字段的部分信息,利用深度神经网络进行特征处理得到隐含特征,进而进行加密流量检测,并通过指纹信息调整检测结果;不仅提升了检测效率,还提高了恶意流量检测的准确率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种基于流量行为的恶意加密流量检测方法的流程图;
图2为本发明实施例提供的深度神经网络框架示意图;
图3为本发明实施例提供的GRU框架示意图;
图4为本发明实施例提供的bi-GRU网络框架示意图;
图5为本发明实施例提供的全连接的MLP网络示意图;
图6为本发明实施例提供的恶意加密流量检测设备的防御场景示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明实施例提供一种基于流量行为的恶意加密流量检测方法,如图1所示,其主要包括如下三个步骤:
1、从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码。
2、通过深度神经网络从编码后的流量行为分布中提取隐含特征,并结合编码后的SSL/TLS协议信息进行分类检测。
3、结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
相较于其他机器学习的方法,本发明实施例上述方案,不用对数据包进行过多分析,提取特征相对简单,只有流量行为分布以及SSL/TLS协议段的部分信息,使用常见的深度神经网络模型,并且利用了指纹信息提高检测准确率,算法简单高效。
为了便于理解,下面针对上述方案的各个步骤的优选实施方式做相关的介绍。
一、特征提取。
待检测的流量数据包中包含SSL/TLS数据流量和网络背景流量,本发明实施例中,考虑从流量行为分布、SSL/TLS握手信息和SSL/TLS证书信息三个维度来刻画正常流量与异常流量。
1、流量行为分布。
不同的软件在数据通信上具有不同的行为分布,功能相似的软件在数据通信上具有类似的行为分布。正常的通信,如搜索网页通常是客户端向服务器端发送少量的请求数据包,然后服务器端回复大量的响应包。但是恶意软件进行数据窃取和回传时,客户端向服务器端发送大量的数据包,而服务器端只回复少量的控制命令。相同目的的客户端与服务端之间通信的控制信息的报文行为总是相似的,且具有较好的平稳性和区分度。流量的行为特征并不会因为数据的加密而变得不可见或被改变,因此流量的行为分布同样适用于加密流量的检测。
基于上述原理,本发明实施例中,将流量包长分布的行为分布作为流量行为分布,包括:双向数据包长度信息,即客户端发出的、以及接收的前n个数据包长度信息;双向应用层数据包长度信息,即客户端发出的、以及接收的前n个应用数据包长度信息。示例性的,n可以为32。
2、SSL/TLS握手信息。
数据流量是否是恶意流量不仅仅取决于其通信内容,也取决于其数据报文头部信息,加密流量的通信内容无法作为可辨识的特征,因此本发明着重考虑了流量样本中的数据报文头部行为特征。在TLS建立连接的过程中,不同的软件使用不同的加密协议版本,恶意软件针对特定协议漏洞使用不用的协议版本,一定程度上反映了攻击行为的特征,因此,加密协议版本可以作为一个特征。同时正常流量与恶意流量中的加密警报(EncryptedAlert)数据包数量、SSL客户端握手(Client Hello)数据包数量、客户端提供的加密套件数量、非签发机构(CA)证书的最大生命周期、客户端握手扩展(Client Hello Extension)数量、以及服务器端握手扩展(Server Hello Extension)数量的分布有着明显的差异,因此上述特征可以作为SSL/TLS握手阶段的重要特征。
3、SSL/TLS证书信息。
服务器端证书信息对于区分正常和恶意流量有着重要的作用,如恶意流量的证书多采用自签名的方式。本发明对服务器端证书行为特征进行了挖掘,主要选用如下的特征:证书是否自签名、证书是否过期、证书的最大生命周期、最大证书链长度、以及首个服务器证书拥有者名称,上述特征可以作为SSL/TLS证书信息的重要特征。
基于此,提取的特征描述如表1所示。
表1特征描述
如图表1中所示,每条数据流中提取140维的特征,包括双向数据包长度信息(1-64),双向应用层数据包长度信息(65-128)、SSL/TLS握手信息和SSL/TLS证书信息(129-140)。完成特征提取后使用one-hot等编码方式对提取出的特征进行编码。
值得注意的是,表1中所示的特征维度数值仅为举例,具体维度数值可根据实际情况进行设定。
二、深度神经网络模型。
深度神经网络框架如图2所示,主要包含两部分,分别是长短期记忆网络(LongShort-Term Memory,LSTM)和全连接的多层感知器(Multi-Layer Perceptron,MLP)。LSTM网络用于处理流量包长分布的行为特征,提取隐含特征,将隐含特征与编码后的SSL/TLS握手信息和SSL/TLS证书信息拼接后用MLP网络得出检测结果。
1、LSTM网络。
对于时序序列[l1,l2,……,lt],利用LSTM的门控递归单元(GRU)如图3所示,进行特征处理,以获取隐含特征ht(包含l1,…,lt的隐含信息)。
其中:
rt=σ(Wr[lt,ht-1]+br)
ut=σ(Wu[lt,ht-1]+bu)
rt确定过去状态信息对当前状态有多大贡献,并丢弃不相关和无用的信息,ut控制保存了有多少来自先前隐藏状态的信息以及添加了多少新信息,为候选隐藏信息,ht为新隐藏信息,W和b为可学习的参数,为S型函数,为双曲正切函数,⊙为元素积。
而考虑到本发明中提取的四种包长度序列的时序性和双向交互性,将采用双向GRU(bi-GRU)来提取隐含特征,框架如图4所示,包括编码器与解码器,对于编码后的单个包长序列,通过编码器提取隐含特征构成了包含整个包长序列的双向特征ze,再通过解码器得到基于解码器的双向特征zd,最终将两组双向特征组合得到单个包长序列的复合特征z。
1)编码器。
所述编码器通过多层的双向长短记忆网络实现;编码后的单个包长序列记为l′=[l1,l2,……,ln],其中,n为包长序列中信息数目。
将所有层的双向长短记忆网络的输出串联起来,得到包含整个包长序列的双向特征ze:
其中,J为编码器中双向长短记忆网络的层数。
2)解码器。
其中,n为包长序列中信息数目,t为包长序列中信息的索引;
与编码器中类似的,上一层双向长短记忆网络的输出作为下一层双向长短记忆网络的输入,最终将所有层的双向长短记忆网络的输出串联起来,得到基于解码器的双向特征zd:
其中,J为解码器中双向长短记忆网络的层数,上标中括号内部的数值为双向长短记忆网络的层数序号。
最终将两组双向特征组合得到单个包长序列的复合特征z′:
z′=[ze,zd,ze⊙zd,|ze-zd|]
其中,⊙是元素积,|·|是绝对值。
2、全连接的MLP网络。
将所有包长序列的复合特征拼接得到总的复合特征z,并与编码后的SSL/TLS协议信息x(即SSL/TLS握手信息和SSL/TLS证书信息)拼接为一个向量zx,再通过如图5所示的全连接的MLP网络进行分类,最终通过softmax函数输出得到恶意流量与正常流量的分类结果。
3、模型参数优化。
深度神经网络包括编码器与解码器、以及全连接的MLP网络,因此,需要对三个网络一起进行训练,具体可以利用随机梯度下降法对参数θ进行优化更新。
编码器与解码器、以及全连接的MLP网络在训练阶段的损失函数表示为:
L(θ,l,x)=LC+LR
LC=-[clog(y0)+clog(y1)]
LR=(z-l)2
其中,l为所有包长序列的组合,LC为分类误差,LR为重构误差;y为模型通过softmax函数得到的结果向量,具体的y0是正常流量的概率,y1是恶意流量的概率;c为分类标签;θ为编码器与解码器、以及全连接的MLP网络的参数。
三、指纹匹配。
为进一步提高监测的准确率,本发明利用了恶意客户端或者与其交互的服务器存在的一定指纹信息进行规则匹配,即某些属性只存在于正常/恶意客户端流量中。
所使用的指纹信息主要包括:客户端指纹信息与服务器指纹信息。其中,客户端指纹信息包括:客户端发送首个数据包长度,客户端提供的加密套件长度等;服务器指纹信息包括:服务器证书拥有者名称,服务器选择的加密算法等。将某些只在黑样本(恶意流量样本)或者只在白样本(正常流量样本)中存在的行为定义为强规则,通过客户端指纹信息与服务器指纹信息与强规则的匹配对分类检测结果进行调整,得到最终的分类检测结果,这样操作可以有效提高监测准确率。
本发明另一实施例还提供一种基于流量行为的恶意加密流量检测系统,该系统用于实现前述方法实施例的相关方案,该系统包括:
特征提取单元,用于从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码;
深度神经网络,包括编码器与解码器、以及全连接的MLP网络;所述编码器与解码器从编码后的流量行为分布中提取隐含特征;全连接的MLP网络,结合隐含特征与编码后的SSL/TLS协议信息进行分类检测;
指纹信息匹配单元,用于结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
该系统各部分的具体实现细节请参见前述方法实施例,不再赘述。
随着网络技术的不断发展以及广泛应用,企业网作为最广泛的应用网络,承受着越来越多的攻击。而且互联网上80%的流量都使用了加密技术,加密恶意流量已占恶意流量的绝大部分。企业网既要抵御来自外网的恶意软件攻击,又要确保业务应用的畅通。本发明提出的方法可以很好地部署在企业网入口处的智能安全设备上,对进出企业网的流量进行实时防护,及时发现恶意流量,保证企业不被恶意入侵。基于此,本发明实施例还提供一种基于流量行为的恶意加密流量检测设备,设备部署在网关节点与防火墙之间,设备中配置了前述的系统,并包含报警器;当通过系统检测到恶意流量时(采用前述方法实施例中的方案实现),驱动报警器发出报警信号。
整个设备集合高性能网络数据包抓取、基于流量行为的恶意流量检测方法与实时检测报警机制与一体,如图6所示的防御场景,该设备称为智能安全设备部署在网关节点与防火墙之间,用于高效地检测网络流量中的恶意加密流量。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将系统的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (10)
1.一种基于流量行为的恶意加密流量检测方法,其特征在于,包括:
从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码;
通过深度神经网络从编码后的流量行为分布中提取隐含特征,并结合编码后的SSL/TLS协议信息进行分类检测;
结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
2.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,所述流量行为分布为流量包长分布的行为分布,包括:双向数据包长度信息,即客户端发出的、以及接收的前n个数据包长度信息;双向应用层数据包长度信息,即客户端发出的、以及接收的前n个应用数据包长度信息。
3.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,所述深度神经网络包括:编码器与解码器、以及全连接的MLP网络;
所述编码器与解码器,用于提取隐含特征;编码器的输入为编码后的流量行为分布,所述流量行为分布包含若干包长序列,编码后的单个包长序列通过编码器提取隐含特征构成了包含整个包长序列的双向特征ze,再通过解码器得到基于解码器的双向特征zd,最终将两组双向特征组合得到单个包长序列的复合特征z′:z′=[ze,zd,ze⊙zd,|ze-zd|];其中,⊙是元素积,|·|是绝对值;
全连接的MLP网络,用于实现分类检测;将所有包长序列的复合特征拼接得到总的复合特征z,并与编码后的SSL/TLS协议信息拼接为一个向量zx,再通过全连接的MLP网络进行分类,最终通过softmax函数输出得到恶意流量与正常流量的分类结果。
4.根据权利要求3所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,
所述编码器通过多层的双向长短记忆网络实现;编码后的单个包长序列记为l′=[l1,l2,......,ln],其中,n为包长序列中信息数目;
将所有层的双向长短记忆网络的输出串联起来,得到包含整个包长序列的双向特征ze:
其中,J为编码器中双向长短记忆网络的层数。
6.根据权利要求3或4或5所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,
编码器与解码器、以及全连接的MLP网络在训练阶段的损失函数表示为:
L(θ,l,x)=LC+LR
LC=-[clog(y0)+clog(y1)]
LR=(z-l)2
其中,l为所有包长序列的组合,LC为分类误差,LR为重构误差,c为分类标签,y0是正常流量的概率,y1是恶意流量的概率,θ为编码器与解码器、以及全连接的MLP网络的参数;
利用随机梯度下降法对参数θ进行优化更新。
7.根据权利要求1或2或3所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,提取的SSL/TLS协议信息包括:SSL/TLS握手信息及SSL/TLS证书信息;其中:
所述SSL/TLS握手信息包括:加密协议版本、加密警报数据包数量、SSL客户端握手数据包数量、客户端提供的加密套件数量、非签发机构证书的最大生命周期、客户端握手扩展数量、以及服务器端握手扩展数量;
所述SSL/TLS证书信息包括:证书是否自签名、证书是否过期、证书的最大生命周期、最大证书链长度、以及首个服务器证书拥有者名称。
8.根据权利要求1所述的一种基于流量行为的恶意加密流量检测方法,其特征在于,所述指纹信息包括:客户端指纹信息与服务器指纹信息;
其中,客户端指纹信息包括:客户端发送首个数据包长度,客户端提供的加密套件长度;服务器指纹信息包括:服务器证书拥有者名称,服务器选择的加密算法;
通过客户端指纹信息与服务器指纹信息的匹配对分类检测结果进行调整,得到最终的分类检测结果。
9.一种基于流量行为的恶意加密流量检测系统,其特征在于,用于实现权利要求1~8任一项所述的方法,该系统包括:
特征提取单元,用于从待检测的流量数据包中提取包含流量行为分布及SSL/TLS协议信息的特征,并对特征进行编码;
深度神经网络,包括编码器与解码器、以及全连接的MLP网络;所述编码器与解码器从编码后的流量行为分布中提取隐含特征;全连接的MLP网络,结合隐含特征与编码后的SSL/TLS协议信息进行分类检测;
指纹信息匹配单元,用于结合指纹信息进行匹配,从而对分类检测结果进行调整,得到最终的分类检测结果。
10.一种基于流量行为的恶意加密流量检测设备,其特征在于,设备部署在网关节点与防火墙之间,设备中配置了权利要求9所述的系统,并包含报警器;当通过系统检测到恶意流量时,驱动报警器发出报警信号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011502419.9A CN112738039B (zh) | 2020-12-18 | 2020-12-18 | 一种基于流量行为的恶意加密流量检测方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011502419.9A CN112738039B (zh) | 2020-12-18 | 2020-12-18 | 一种基于流量行为的恶意加密流量检测方法、系统及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738039A true CN112738039A (zh) | 2021-04-30 |
CN112738039B CN112738039B (zh) | 2021-09-14 |
Family
ID=75602960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011502419.9A Active CN112738039B (zh) | 2020-12-18 | 2020-12-18 | 一种基于流量行为的恶意加密流量检测方法、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738039B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及系统 |
CN113344875A (zh) * | 2021-06-07 | 2021-09-03 | 武汉象点科技有限公司 | 一种基于自监督学习的异常图像检测方法 |
CN113486243A (zh) * | 2021-07-13 | 2021-10-08 | 浙江大学 | 一种社交网络假流量黑灰产自动挖掘方法和系统 |
CN113518080A (zh) * | 2021-06-23 | 2021-10-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
CN113542259A (zh) * | 2021-07-12 | 2021-10-22 | 中山大学 | 基于多模态深度学习的加密恶意流量检测方法及系统 |
CN113794687A (zh) * | 2021-08-17 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 基于深度学习的恶意加密流量检测方法及装置 |
CN114239863A (zh) * | 2022-02-24 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 机器学习模型的训练方法及其预测方法、装置、电子设备 |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类系统 |
CN115085992A (zh) * | 2022-06-09 | 2022-09-20 | 北京启明星辰信息安全技术有限公司 | 一种恶意https隐秘通道的检测系统及其检测方法 |
CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
CN115314268A (zh) * | 2022-07-27 | 2022-11-08 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
CN115801436A (zh) * | 2022-12-02 | 2023-03-14 | 国网山东省电力公司电力科学研究院 | 一种5g核心网的tls安全评估方法 |
CN115941361A (zh) * | 2023-02-16 | 2023-04-07 | 科来网络技术股份有限公司 | 恶意流量识别方法、装置及设备 |
CN116506216A (zh) * | 2023-06-19 | 2023-07-28 | 国网上海能源互联网研究院有限公司 | 一种轻量化恶意流量检测存证方法、装置、设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109714343A (zh) * | 2018-12-28 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种网络流量异常的判断方法及装置 |
US20190287012A1 (en) * | 2018-03-16 | 2019-09-19 | Microsoft Technology Licensing, Llc | Encoder-decoder network with intercommunicating encoder agents |
CN111191897A (zh) * | 2019-12-23 | 2020-05-22 | 浙江传媒学院 | 基于双向gru神经网络的业务流程在线合规性预测方法及系统 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
CN111447190A (zh) * | 2020-03-20 | 2020-07-24 | 北京观成科技有限公司 | 一种加密恶意流量的识别方法、设备及装置 |
US20200267164A1 (en) * | 2016-11-16 | 2020-08-20 | Cisco Technology, Inc. | Malware classification and attribution through server fingerprinting using server certificate data |
CN111711633A (zh) * | 2020-06-22 | 2020-09-25 | 中国科学技术大学 | 多阶段融合的加密流量分类方法 |
-
2020
- 2020-12-18 CN CN202011502419.9A patent/CN112738039B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200267164A1 (en) * | 2016-11-16 | 2020-08-20 | Cisco Technology, Inc. | Malware classification and attribution through server fingerprinting using server certificate data |
US20190287012A1 (en) * | 2018-03-16 | 2019-09-19 | Microsoft Technology Licensing, Llc | Encoder-decoder network with intercommunicating encoder agents |
CN109714343A (zh) * | 2018-12-28 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种网络流量异常的判断方法及装置 |
CN111191897A (zh) * | 2019-12-23 | 2020-05-22 | 浙江传媒学院 | 基于双向gru神经网络的业务流程在线合规性预测方法及系统 |
CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、系统、存储介质、安全设备 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN111447190A (zh) * | 2020-03-20 | 2020-07-24 | 北京观成科技有限公司 | 一种加密恶意流量的识别方法、设备及装置 |
CN111711633A (zh) * | 2020-06-22 | 2020-09-25 | 中国科学技术大学 | 多阶段融合的加密流量分类方法 |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及系统 |
CN113344875A (zh) * | 2021-06-07 | 2021-09-03 | 武汉象点科技有限公司 | 一种基于自监督学习的异常图像检测方法 |
CN113518080A (zh) * | 2021-06-23 | 2021-10-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
CN113518080B (zh) * | 2021-06-23 | 2021-11-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
CN113542259B (zh) * | 2021-07-12 | 2022-09-13 | 中山大学 | 基于多模态深度学习的加密恶意流量检测方法及系统 |
CN113542259A (zh) * | 2021-07-12 | 2021-10-22 | 中山大学 | 基于多模态深度学习的加密恶意流量检测方法及系统 |
CN113486243A (zh) * | 2021-07-13 | 2021-10-08 | 浙江大学 | 一种社交网络假流量黑灰产自动挖掘方法和系统 |
CN113486243B (zh) * | 2021-07-13 | 2023-09-05 | 浙江大学 | 一种社交网络假流量黑灰产自动挖掘方法和系统 |
CN113794687A (zh) * | 2021-08-17 | 2021-12-14 | 北京天融信网络安全技术有限公司 | 基于深度学习的恶意加密流量检测方法及装置 |
CN114239863B (zh) * | 2022-02-24 | 2022-05-20 | 腾讯科技(深圳)有限公司 | 机器学习模型的训练方法及其预测方法、装置、电子设备 |
CN114239863A (zh) * | 2022-02-24 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 机器学习模型的训练方法及其预测方法、装置、电子设备 |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类系统 |
WO2023173790A1 (zh) * | 2022-03-18 | 2023-09-21 | 广州大学 | 一种基于数据包的加密流量分类系统 |
CN115085992B (zh) * | 2022-06-09 | 2023-08-15 | 北京启明星辰信息安全技术有限公司 | 一种恶意https隐秘通道的检测系统及其检测方法 |
CN115085992A (zh) * | 2022-06-09 | 2022-09-20 | 北京启明星辰信息安全技术有限公司 | 一种恶意https隐秘通道的检测系统及其检测方法 |
CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
CN115150165B (zh) * | 2022-06-30 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
CN115314268A (zh) * | 2022-07-27 | 2022-11-08 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
CN115314268B (zh) * | 2022-07-27 | 2023-12-12 | 天津市国瑞数码安全系统股份有限公司 | 基于流量指纹和行为的恶意加密流量检测方法和系统 |
CN115801436A (zh) * | 2022-12-02 | 2023-03-14 | 国网山东省电力公司电力科学研究院 | 一种5g核心网的tls安全评估方法 |
CN115941361A (zh) * | 2023-02-16 | 2023-04-07 | 科来网络技术股份有限公司 | 恶意流量识别方法、装置及设备 |
CN115941361B (zh) * | 2023-02-16 | 2023-05-09 | 科来网络技术股份有限公司 | 恶意流量识别方法、装置及设备 |
CN116506216A (zh) * | 2023-06-19 | 2023-07-28 | 国网上海能源互联网研究院有限公司 | 一种轻量化恶意流量检测存证方法、装置、设备及介质 |
CN116506216B (zh) * | 2023-06-19 | 2023-09-12 | 国网上海能源互联网研究院有限公司 | 一种轻量化恶意流量检测存证方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112738039B (zh) | 2021-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738039B (zh) | 一种基于流量行为的恶意加密流量检测方法、系统及设备 | |
CN112398779B (zh) | 一种网络流量数据分析方法及系统 | |
Kim et al. | AI-IDS: Application of deep learning to real-time Web intrusion detection | |
Homayoun et al. | BoTShark: A deep learning approach for botnet traffic detection | |
CN114172748B (zh) | 一种加密恶意流量检测方法 | |
CN114143037B (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
Hu et al. | [Retracted] CLD‐Net: A Network Combining CNN and LSTM for Internet Encrypted Traffic Classification | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
Alkhatib et al. | Unsupervised network intrusion detection system for AVTP in automotive Ethernet networks | |
Zong et al. | A feature dimension reduction technology for predicting DDoS intrusion behavior in multimedia internet of things | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
CN115277189A (zh) | 基于生成式对抗网络的无监督式入侵流量检测识别方法 | |
CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
Agrafiotis et al. | Image-based neural network models for malware traffic classification using pcap to picture conversion | |
Liang et al. | FECC: DNS tunnel detection model based on CNN and clustering | |
CN113839925A (zh) | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 | |
Liu et al. | Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection | |
CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
CN114785574B (zh) | 一种基于ai辅助的远程漏洞精确验证方法 | |
CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
CN115333801A (zh) | 一种基于双向报文入侵检测的方法和系统 | |
Samadzadeh et al. | Evaluating Security Anomalies by Classifying Traffic Using a Multi-Layered Model | |
CN110719313A (zh) | 一种基于日志会话的Webshell检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |