CN112800424A - 一种基于随机森林的僵尸网络恶意流量监测方法 - Google Patents
一种基于随机森林的僵尸网络恶意流量监测方法 Download PDFInfo
- Publication number
- CN112800424A CN112800424A CN202110142127.7A CN202110142127A CN112800424A CN 112800424 A CN112800424 A CN 112800424A CN 202110142127 A CN202110142127 A CN 202110142127A CN 112800424 A CN112800424 A CN 112800424A
- Authority
- CN
- China
- Prior art keywords
- data
- packet
- time interval
- malicious traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000007637 random forest analysis Methods 0.000 title claims abstract description 27
- 238000012544 monitoring process Methods 0.000 title claims abstract description 15
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 238000007781 pre-processing Methods 0.000 claims abstract description 13
- 238000012216 screening Methods 0.000 claims abstract description 11
- 238000013480 data collection Methods 0.000 claims abstract description 7
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims abstract 5
- 108010064775 protein C activator peptide Proteins 0.000 claims abstract 5
- 238000004458 analytical method Methods 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000002790 cross-validation Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims 1
- 238000010801 machine learning Methods 0.000 abstract description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012952 Resampling Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013064 process characterization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 238000013106 supervised machine learning method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Security & Cryptography (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于随机森林的僵尸网络恶意流量监测方法,具体为:数据收集过程用于收集包含网络流量的PCAP文件,经过数据预处理过程分类成数据流类型并且提取其包含的流统计特征,使用基于随机森林的Wrapper方法进行特征筛选,再利用筛选得到特征子集作为机器学习模型输入得到检测结果,最终实现恶意流量判断。本发明有利于快速、准确地检测识别加密流量中是否包含恶意流量类别。
Description
技术领域
本发明属于计算机网络安全领域,尤其涉及一种基于随机森林的僵尸网络恶意流量监测方法。
背景技术
随着互联网技术的迅速发展,互联网在生活中愈加重要,为人们带来了前所未有的便利。然而,互联网技术的发展在一定程度上也促进了恶意代码的发展和传播。网络中各种恶意代码的产生和传播已经完全超出了人们的想象。这些恶意代码的攻击手段层出不穷,攻击特点多种多样,已经呈现出全球性的威胁。
在各类各样的恶意代码中,僵尸网络是一种综合性强,集成度高的恶意代码,囊括多种恶意代码的特性。攻击者一般通过远程控制僵尸网络所感染的计算机来进行各种攻击行为,包括窥察身份信息,窃取用户信息,发送大量无效邮件等。由于被感染的僵尸主机产生的流量与正常主机相互通信产生的流量特征具有较大差异,通过网络流量对僵尸网络恶意流量的分类识别是检测僵尸网络的主要手段之一。因此对僵尸网络恶意流量分类检测技术进行研究具有重要的意义。
目前已经有多种网络流量分类和识别技术被提出。按照使用的技术不同,目前常见的网络流量分类方法可分为:基于端口号的流量识别技术,基于深度包检测的流量识别技术,基于传输层的流量识别技术等。以上方法随着动态随机端口策略以及隐私数据加密等技术的出现,已经呈现出越来越多的局限性。
基于端口号的流量识别技术:在互联网早期阶段,传统网络应用都遵从一套固定规则,按照特定的端口发送数据。接收方通过预先设定好的规则即可识别对应网络协议。例如:HTTP协议使用80端口进行通信,Telnet远程终端使用23端口通信,SSL协议则使用443端口。在早起流量识别研究中,基于端口号的方法识别效率和准确率很高。但是随着动态端口策略的应用,此类方法的识别效率有所下降。
基于深度包检测的流量识别技术:首先对流量片段进行特征提取,分析其中所包含的数据包荷载中的有效特征码。检测系统需要对流量片段进行解包操作,检查数据包中携带的有效特征码。但是此方法对于高速网络环境下检测装置的运算速度和内存要求很高,并且无法应对加密流量数据,在当下的互联网环境下发挥的作用愈发有限。
基于传输层的流量识别技术是利用主机主要基于传输层的行为模式来进行分类识别。该方法不存在对于流量数据包的信息提取和分析操作,并且不会受到网络拥塞和网络延迟等问题的影响。其主要分类依据是基于经验的启发式分类识别,因而在目前互联网可能会出现新的协议的情况下,其准确率存在不稳定的问题。
发明内容
基于上述问题,为解决快速识别,检测加密流量中可能包含的恶意流量类别。本发明提供一种基于随机森林的僵尸网络恶意流量监测方法。
本发明的一种基于随机森林的僵尸网络恶意流量监测方法,包括以下步骤:
步骤A:数据收集:用收集流量收集软件提取到的PCAP文件,收集恶意流量数据并标注类别。
步骤B:数据预处理:对数据收集模块提取到的PCAP文件进行数据预处理,将流量按照五元组类型划分为数据流并提取其中的流统计特征。
步骤C:核心分析:对数据预处理模块得到的流统计特征进行基于随机森林的Wrapper方法进行特征筛选,选取特征子集。
步骤D:恶意流量种类检测:用于利用核心分析模块筛选出的特征子集作为模型输入,检测其是否属于恶意流量数据,并输出其所属类别。
步骤E:反馈显示:收到恶意流量种类检测模块产生的最终检测结果,判断是否检测到恶意流量;如果检测为恶意流量数据,则将此条流量的具体信息反馈给用户;若检测结果不包含恶意流量,则告知用户该段捕获流量不存在恶意流量。
进一步的,步骤B中数据预处理的具体为:
B1、判断原始数据是否包含相同五元组,是则继续,否则丢弃;
B2、判断数据流是否携带一定信息,是则继续,否则丢弃;
B3、判断数据流是否是一个完整的双向流,是则保留,否则丢弃。
进一步的,步骤B中采用的数据流类型要求正常流量与恶意流量比例为6:1。
进一步的,步骤B中提取到流统计特征包含26种,具体为:前向数据包个数、后向数据包个数、前向最大包长度、前向最小包长度、前向平均包长度、前向包长标准差、后向最大包长度、后向最小包长度、后向平均包长度、后向包长标准差、前向包平均时间间隔、前向包最大时间间隔、前向包最小时间间隔、前向包时间间隔标准差、后向包平均时间间隔、后向包最大时间间隔、后向包最小时间间隔、后向包时间间隔标准差、流平均时间间隔、流最大时间间隔、流最小时间间隔、流时间间隔标准差、前向包PSH标记数目、后向包PSH标记数目、前向包URG标记数目和后向包URG标记数目。
进一步的,步骤C具体为:
C1、按照随机森林算法对特征重要性排序;
C2、使用序列后向搜索方法进行特征迭代得到特征选择结果;
C3、采用10折交叉验证方法进行验证;
C4、输出全局最高分类准确率对应的特征集合。
进一步的,步骤D中建模分析方法包括有监督学习方法GBDT,XGBoost算法或KNN算法。
进一步的,步骤E中最终信息包括IP地址,MAC地址以及域名。
本发明和现有技术相比的有益技术效果为:
本发明使用DFI技术将所捕获的加密流量数据根据五元组信息划分为数据流,并提取其中的流统计特征,解决了现实中僵尸网络恶意流量大多属于加密流量无法解析其信息的问题;使用基于随机森林的Wrapper方法进行特征筛选,此方法可帮助后续检测模块在更少的特征数目条件下获得更高的分类精度,在识别精度和流量分类速度之间达到较好的平衡。因此,本发明可进一步提升恶意流量识别性能,具有良好的实用性和广阔的应用前景。
附图说明
图1是本发明实施例的方法实现流程示意图;
图2是本发明数据预处理的工作过程示意图;
图3是本发明所需要的筛选流统计特征列举;
图4是本发明核心分析过程的特征筛选过程示意图;
图5是本发明恶意流量监测过程的工作流程示意图;
图6是本发明反馈显示过程的工作流程示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
本发明的一种基于随机森林的僵尸网络恶意流量监测方法流程如图1所示,包括以下步骤:
步骤A:数据收集:用收集流量收集软件提取到的PCAP文件,收集恶意流量数据并标注类别。
步骤B:数据预处理:对数据收集模块提取到的PCAP文件进行数据预处理,将流量按照五元组类型划分为数据流并提取其中的流统计特征。
步骤C:核心分析:对数据预处理模块得到的流统计特征进行基于随机森林的Wrapper方法进行特征筛选,选取特征子集。
步骤D:恶意流量种类检测:用于利用核心分析模块筛选出的特征子集作为模型输入,检测其是否属于恶意流量数据,并输出其所属类别。
步骤E:反馈显示:收到恶意流量种类检测模块产生的最终检测结果,判断是否检测到恶意流量;如果检测为恶意流量数据,则将此条流量的具体信息反馈给用户;若检测结果不包含恶意流量,则告知用户该段捕获流量不存在恶意流量。
进一步的,步骤B中数据预处理如图2所示,由于数据样本的质量对于最终检测效果的影响非常大,因此在提取流统计特征之前,需要对数据样本进行一系列筛选,剔除掉低质量或者对于分类结果影响不大的数据,选择其中对于分类结果有较强关联性的数据作为训练样本。具体为:
B1、判断原始数据是否包含相同五元组,是则继续,否则丢弃;
B2、判断数据流是否携带一定信息,是则继续,否则丢弃;
B3、判断数据流是否是一个完整的双向流,是则保留,否则丢弃。
数据流中携带信息可以剔除掉一些握手挥手协议,此类数据包对于检测恶意流量影响很小;保证双向流可以确保数据流的完整性,确保源IP和目的IP之间存在交互性。
在恶意流量种类检测模块中,参与建模的正常流量数目和恶意流量数目会影响错报概率和遗漏概率。错报概率是指将正常流量判断为恶意流量的概率,遗漏概率是指将恶意流量判断为正常流量的概率。因此综合实际情况考虑,本发明采用恶意流与正常流比例为1:6。
样本数据准备完毕后,进行数据流统计特征的提取。
进一步的,步骤B中提取到流统计特征包含26种,如图3所示,具体为:前向数据包个数、后向数据包个数、前向最大包长度、前向最小包长度、前向平均包长度、前向包长标准差、后向最大包长度、后向最小包长度、后向平均包长度、后向包长标准差、前向包平均时间间隔、前向包最大时间间隔、前向包最小时间间隔、前向包时间间隔标准差、后向包平均时间间隔、后向包最大时间间隔、后向包最小时间间隔、后向包时间间隔标准差、流平均时间间隔、流最大时间间隔、流最小时间间隔、流时间间隔标准差、前向包PSH标记数目、后向包PSH标记数目、前向包URG标记数目和后向包URG标记数目。
以上流统计特征均为传输层统计特征,主要包括了数据包数量、长度以及时间等相关信息。
如图4所示,核心分析过程对采集得到的流统计特征基于随机森林的Wrapper方法进行特征筛选,按照随机森林算法对特征重要性排序,使用序列后向搜索方法进行特征迭代得到特征选择结果。为保证结果稳定性,采用10折交叉验证方法进行验证,得到全局最高分类准确率对应的特征集合。包括以下步骤:
(1)读入原始特征数据集S,并设置全局最高分类准确率GMAC为0。
(2)对全局变量按照10折交叉验证方法进行初始化,i=(1,2,3……10)。
(2-1)将数据特征集S随机划分为10等分。
(2-2)设置局部最大分类准确率LMaxAC为0。
(2-3)设置局部平均分类准确率LMeanAC为0。
(2-4)初始化10折交叉验证中每次迭代的分类准确率。
(2-5)使用随机森林算法进行分类。
(2-5-1)在原始数据特征集上创建随机森林分类器。
(2-5-2)在测试集上执行预测并分类。
(2-5-3)比较分类结果与预测值,计算局部分类准确率LAC。
(2-5-4)计算局部平均分类准确率LMeanAC=LMeanAC+LAC[i]/10。
(2-5-5)计算局部最大分类准确率LMaxAC=Max(LAC[i])。
(2-5-6)对特征变量按照重要性排序并存为Sort。
(2-6)计算全局最高分类准确率GMAC=Max(LMeanAC)。
(2-7)从Sort中剔除掉一个重要性最低的特征,得到新数据特征集S。
(3)输出结果。
(3-1)输出全局最高分类准确率GMAC。
(3-2)输出全局最高分类准确率GMAC对应的特征集合Sort。
如图5所示,恶意流量种类检测过程将数据流样本数据以筛选得到的特征集合作为分类特征进行机器学习建模,按照有监督学习方法GBDT(Gradient Boosting DecisionTree,梯度提升决策树),XGBoost算法,KNN算法等进行数据分类。
如图6所示,反馈显示过程在收到恶意流量种类检测模块输出的最终分类结果后判断是否检测到恶意流量,如果检测到恶意流量,则告知用户所包含恶意流量的具体信息,包括其IP地址,MAC地址以及域名等;如果没有检测到恶意流量,则告知用户该段捕获流量中不包含恶意流量。
本发明使用流量分析软件对PCAP(Process Characterization AnalysisPackage,过程特性分析数据包)进行分析得到日志文件,然后对日志文件进行按照五元组聚合成数据流。基于深度流检测的流量识别技术结合基于随机森林的Wrapper特征选择方法进行流量特征筛选。最后使用机器学习方法进行恶意流量识别,对于最终结果将反馈包含恶意流量的IP地址以及其域名。
深度流检测技术(Deep Flow Inspection,DFI)解决了在数据加密传输的情况下对流量进行识别的问题。DFI技术根据流传输过程中的流统计特征来识别数据流,如平均包达到的时间间隔,平均上行字节数,平均下行字节数,最大分片长度等特征。
特征选择算法Wrapper类在筛选特征的过程中直接用所选特征子集来训练分类器,根据分类器在测试集的性能表现来评价该特征子集的优劣,其所选用的优化特征子集规模要相对小一点。
随机森林(Random Forest)是一种有监督机器学习方法,主要采用随机重采样技术bootstrap和节点随机分裂技术构建多颗决策树,通过投票得到最终分类结果。RF具有良好的分析相互之间关联度高的特征的能力,对于噪声数据和存在缺失值的数据具有一定的鲁棒性能。
如上所述,本发明相比传统的恶意流量检测识别方法具有以下优势:
(1)在不解密加密流量的情况下可实现恶意流量识别。
(2)随着样本数据集的增大,模型的精准度和可行度会越来越好。
(3)训练模型可反复使用,降低后续检测时间成本。
Claims (7)
1.一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,包括以下步骤:
步骤A:数据收集:用收集流量收集软件提取到的PCAP文件,收集恶意流量数据并标注类别;
步骤B:数据预处理:对数据收集模块提取到的PCAP文件进行数据预处理,将流量按照五元组类型划分为数据流并提取其中的流统计特征;
步骤C:核心分析:对数据预处理模块得到的流统计特征进行基于随机森林的Wrapper方法进行特征筛选,选取特征子集;
步骤D:恶意流量种类检测:用于利用核心分析模块筛选出的特征子集作为模型输入,检测其是否属于恶意流量数据,并输出其所属类别;
步骤E:反馈显示:收到恶意流量种类检测模块产生的最终检测结果,判断是否检测到恶意流量;如果检测为恶意流量数据,则将此条流量的具体信息反馈给用户;若检测结果不包含恶意流量,则告知用户该段捕获流量不存在恶意流量。
2.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤B中数据预处理的具体为:
B1、判断原始数据是否包含相同五元组,是则继续,否则丢弃;
B2、判断数据流是否携带一定信息,是则继续,否则丢弃;
B3、判断数据流是否是一个完整的双向流,是则保留,否则丢弃。
3.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤B中采用的数据流类型要求正常流量与恶意流量比例为6:1。
4.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤B中提取到流统计特征包含26种,具体为:前向数据包个数、后向数据包个数、前向最大包长度、前向最小包长度、前向平均包长度、前向包长标准差、后向最大包长度、后向最小包长度、后向平均包长度、后向包长标准差、前向包平均时间间隔、前向包最大时间间隔、前向包最小时间间隔、前向包时间间隔标准差、后向包平均时间间隔、后向包最大时间间隔、后向包最小时间间隔、后向包时间间隔标准差、流平均时间间隔、流最大时间间隔、流最小时间间隔、流时间间隔标准差、前向包PSH标记数目、后向包PSH标记数目、前向包URG标记数目和后向包URG标记数目。
5.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤C具体为:
C1、按照随机森林算法对特征重要性排序;
C2、使用序列后向搜索方法进行特征迭代得到特征选择结果;
C3、采用10折交叉验证方法进行验证;
C4、输出全局最高分类准确率对应的特征集合。
6.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤D中建模分析方法包括有监督学习方法GBDT,XGBoost算法或KNN算法。
7.根据权利要求1所述的一种基于随机森林的僵尸网络恶意流量监测方法,其特征在于,所述步骤E中最终信息包括IP地址,MAC地址以及域名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110142127.7A CN112800424A (zh) | 2021-02-02 | 2021-02-02 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110142127.7A CN112800424A (zh) | 2021-02-02 | 2021-02-02 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112800424A true CN112800424A (zh) | 2021-05-14 |
Family
ID=75813653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110142127.7A Pending CN112800424A (zh) | 2021-02-02 | 2021-02-02 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112800424A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113242233A (zh) * | 2021-05-08 | 2021-08-10 | 北京交通大学 | 一种多分类的僵尸网络检测装置 |
CN113591950A (zh) * | 2021-07-19 | 2021-11-02 | 中国海洋大学 | 一种随机森林网络流量分类方法、系统、存储介质 |
CN114615007A (zh) * | 2022-01-13 | 2022-06-10 | 中国科学院信息工程研究所 | 一种基于随机森林的隧道混合流量分类方法及系统 |
CN115174160A (zh) * | 2022-06-16 | 2022-10-11 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
CN115641177A (zh) * | 2022-10-20 | 2023-01-24 | 北京力尊信通科技股份有限公司 | 一种基于机器学习的防秒杀预判系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
CN110197068A (zh) * | 2019-05-06 | 2019-09-03 | 广西大学 | 基于改进灰狼算法的Android恶意应用检测方法 |
CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
-
2021
- 2021-02-02 CN CN202110142127.7A patent/CN112800424A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN110197068A (zh) * | 2019-05-06 | 2019-09-03 | 广西大学 | 基于改进灰狼算法的Android恶意应用检测方法 |
CN110113349A (zh) * | 2019-05-15 | 2019-08-09 | 北京工业大学 | 一种恶意加密流量特征分析方法 |
CN111224994A (zh) * | 2020-01-15 | 2020-06-02 | 南京邮电大学 | 一种基于特征选择的僵尸网络检测方法 |
Non-Patent Citations (2)
Title |
---|
吴迪 等: "BotCatcher:基于深度学习的僵尸网络检测系统", 《通信学报》 * |
姚登举 等: "基于随机森林的特征选择算法", 《吉林大学学报(工学版)》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113242233A (zh) * | 2021-05-08 | 2021-08-10 | 北京交通大学 | 一种多分类的僵尸网络检测装置 |
CN113242233B (zh) * | 2021-05-08 | 2022-06-03 | 北京交通大学 | 一种多分类的僵尸网络检测装置 |
CN113591950A (zh) * | 2021-07-19 | 2021-11-02 | 中国海洋大学 | 一种随机森林网络流量分类方法、系统、存储介质 |
CN114615007A (zh) * | 2022-01-13 | 2022-06-10 | 中国科学院信息工程研究所 | 一种基于随机森林的隧道混合流量分类方法及系统 |
CN115174160A (zh) * | 2022-06-16 | 2022-10-11 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
CN115174160B (zh) * | 2022-06-16 | 2023-10-20 | 广州大学 | 基于流级和主机级的恶意加密流量分类方法及装置 |
CN115641177A (zh) * | 2022-10-20 | 2023-01-24 | 北京力尊信通科技股份有限公司 | 一种基于机器学习的防秒杀预判系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
CN109450721B (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN107370752B (zh) | 一种高效的远控木马检测方法 | |
CN113705619A (zh) | 一种恶意流量检测方法、系统、计算机及介质 | |
CN113259313A (zh) | 一种基于在线训练算法的恶意https流量智能分析方法 | |
CN111492635A (zh) | 恶意软件主机网络流分析系统和方法 | |
CN105871619B (zh) | 一种基于n-gram多特征的流量载荷类型检测方法 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
Abdullah et al. | Performance evaluation of a genetic algorithm based approach to network intrusion detection system | |
Alshammari et al. | Investigating two different approaches for encrypted traffic classification | |
CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
CN111526099A (zh) | 基于深度学习的物联网应用流量检测方法 | |
CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
CN105635170A (zh) | 基于规则对网络数据包进行识别的方法和装置 | |
CN115134250A (zh) | 一种网络攻击溯源取证方法 | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
Pastrana et al. | A functional framework to evade network IDS | |
CN111125702A (zh) | 一种病毒识别方法及装置 | |
Ren et al. | App identification based on encrypted multi-smartphone sources traffic fingerprints | |
Ali et al. | A generic machine learning approach for IoT device identification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210514 |