CN112804253B - 一种网络流量分类检测方法、系统及存储介质 - Google Patents

一种网络流量分类检测方法、系统及存储介质 Download PDF

Info

Publication number
CN112804253B
CN112804253B CN202110166917.9A CN202110166917A CN112804253B CN 112804253 B CN112804253 B CN 112804253B CN 202110166917 A CN202110166917 A CN 202110166917A CN 112804253 B CN112804253 B CN 112804253B
Authority
CN
China
Prior art keywords
model
classification result
result label
inputting
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110166917.9A
Other languages
English (en)
Other versions
CN112804253A (zh
Inventor
张大方
马琳琳
谢鲲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Original Assignee
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University filed Critical Hunan University
Priority to CN202110166917.9A priority Critical patent/CN112804253B/zh
Publication of CN112804253A publication Critical patent/CN112804253A/zh
Application granted granted Critical
Publication of CN112804253B publication Critical patent/CN112804253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明公开了一种网络流量分类检测方法、系统及存储介质,对原始网络流量数据进行预处理,得到灰度图像后,输入CNN模型,提取原始网络流量数据的空间特征,将空间特征输入第一Softmax分类器,获得第一分类结果标签;将灰度图像输入LSTM模型,提取原始网络流量数据的时间特征,将时间特征输入第二Softmax分类器,获得第二分类结果标签;将灰度图像输入混合模型,获得第三分类结果标签;将灰度图像输入由多个自动编码器串联而成的模型,最后一个自动编码器的输出输入第四Softmax分类器,获得第四分类结果标签;比较第一分类结果标签、第二分类结果标签、第三分类结果标签、第四分类结果标签对应的精度,选择精度最高的分类结果标签对应的模型为最终的分类检测模型。

Description

一种网络流量分类检测方法、系统及存储介质
技术领域
本发明涉及机器学习领域,特别是一种网络流量分类检测方法、系统及存储介质。
背景技术
网络的快速发展给网络用户带来了极大的便利,但是随着网络的发展,也出现了一系列的网络攻击。有针对性的攻击者对特定网络进行适当的攻击会导致网络崩溃,使网络无法为用户提供安全可靠的服务,从而造成巨大的经济损失。
网络入侵检测的任务是发现可疑攻击,并采取相应的措施来保护网络免受持续的攻击并减少经济损失。流量分类是网络入侵检测的重要任务,它要求研究人员准确判断收集到的流量数据集,并检测具有攻击行为的流量。流量分类主要是对流量数据包中的一些关键字段进行分析,以确定网络是否受到攻击或是否存在违反网络安全性的异常行为。根据流量的分类测试结果,将反馈消息发送到网络,以确定网络是否需要断开连接或发出警报消息。
基于端口的流量检测方法在早期很普遍并且有效。在Internet的早期,用于网络流量的网络协议相对简单,并且特定的应用程序基本上使用固定的端口号。因此,当一个应用程序受到其他应用程序的攻击时,可以基于端口号有效地检测到异常流量包。但是,随着动态端口分配技术的出现,可以轻松重定向端口。因此,基于端口的流量检测方法无法充分表达网络的流量属性,流量检测效果往往较差。
基于有效负载的流量检测方法,使用应用层协议的信息来表示流量的特征,其中最具代表性的是深度包检查(DPI)技术。深度数据包检查技术需要对传输的流量数据进行解密和加密。通过对传输的数据信息进行建模和分析,可以非常有效地检测恶意流量数据包。尽管深度包检查技术是实际应用中广泛使用的异常流量检测技术,但是随着加密协议(例如https)的兴起和对隐私的日益重视,不再推荐使用深度包检查技术。另外,在业务的解密处理中使用深度包检查非常昂贵。随着Internet流量的快速增长,深度数据包检查技术在解密流量数据包时需要消耗大量的计算资源。
基于统计特征的话务检测方法通常使用分组到达时间,分组大小和话务分组字段的统计特征(例如,平均值,最大值,最小值)来表达话务的属性。使用这些人为设计的功能和机器学习算法来分析和检测异常流量已成为相对可靠的方法,但是在训练监督算法模型时,需要准确标记流量数据。
目前已有的各种网络流量分类和入侵检测模型,通常需要大量的存储和计算资源,检测效率较低,并且在流量分类准确性以及其他各项指标上还有待提高。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种网络流量分类检测方法、系统及存储介质,提高流量分类准确性。
为解决上述技术问题,本发明所采用的技术方案是:一种网络流量分类检测方法,包括以下步骤:
S1、对原始网络流量数据进行预处理,得到灰度图像;
S2、将所述灰度图像输入CNN模型,提取所述原始网络流量数据的空间特征,将所述空间特征输入第一Softmax分类器,获得第一分类结果标签;
将所述灰度图像输入LSTM模型,提取所述原始网络流量数据的时间特征,将所述时间特征输入第二Softmax分类器,获得第二分类结果标签;
将所述灰度图像依次输入混合模型,所述混合模型包括串联的CNN模型与LSTM模型,LSTM模型的输出再输入第三Softmax分类器,获得第三分类结果标签;
将所述灰度图像输入由多个自动编码器串联而成的模型,最后一个自动编码器的输出输入第四Softmax分类器,获得第四分类结果标签;
S3、比较所述第一分类结果标签、第二分类结果标签、第三分类结果标签、第四分类结果标签对应的精度,选择精度最高的分类结果标签对应的模型为最终的分类检测模型。
由于本发明的方案是在不同的网络流量环境下,选择四个深度模型中效果最佳的模型,且本发明加入了CNN+LSTM混合模型,同时学习网络流量的时间和空间特性,因此,本发明方案的流量分类精度高。
步骤S1的具体实现过程包括:
1)获取连续的原始流量数据,并另存为PCAP文件;
2)消除所述PCAP文件中的干扰数据,得到净化后的PCAP文件;
3)删除净化后的PCAP文件中的重复文件和空文件,得到优化后的PCAP文件;
4)将经优化后的PCAP文件中长度超过设定长度M的文件修剪为M个字节,并将长度小于M个字节的文件补充为M个字节,得到长度统一的PCAP文件;
5)将长度统一的PCAP文件转换为二维格式IDX文件,利用所述二维格式IDX文件得到所述灰度图像。
数据预处理可以将来自网络的长度不同的原始流量数据,处理成为适合深度模型的格式统一的理想数据,并且可以消除原始流量数据中包含的一些可能会干扰结果的信息,例如端口号和MAC地址等。数据预处理给后续的深度学习过程提供了便利。
步骤1)中,通过打包捕获工具Wireshark分割连续的原始流量数据。
M=900。
所述二维格式IDX文件大小为30字节×30字节。
一种网络流量分类检测系统,其包括计算机设备;所述计算机设备被配置或编程为用于执行上述方法的步骤。
一种计算机可读存储介质,其存储有程序;所述程序被配置为用于执行上述方法的步骤。
与现有技术相比,本发明所具有的有益效果为:本发明利用四个不同的深度学习模型,同时学习网络流量的特征,选择这四个深度模型中分类准确度最高的模型作为最终保存的模型。并且,本发明加入了CNN+LSTM混合模型,同时学习网络流量的时间和空间特性。因此,本发明方案的流量分类准确度等指标相较于现有技术大幅提升。另一方面,由于本发明的模型只会保存在当前流量环境下最有效的模型,因此,本发明方案所需的存储资源相较于现有技术的模型更少,实现更加容易。
附图说明
图1为本发明整体框架图;
图2为本发明数据预处理流程图;
图3为CNN模型处理原理图;
图4为LSTM模型处理原理图;
图5为CNN+LSTM混合模型处理原理图;
图6为SAE模型处理原理图。
具体实施方式
本发明整体框架及数据处理过程如图1所示,主要包括数据预处理过程,深度学习过程,以及选择和保存过程。
1.数据预处理:
来自网络的原始数据具有不同的长度,对于深度学习模型而言,这不是理想的输入格式,并且原始数据包含一些可能会干扰结果的信息,例如端口号或MAC地址。因此,要先进行数据预处理。
本发明将原始网络流量数据转换为IDX格式,图2说明了预处理过程的概述,该过程包括5个步骤。
1)打包生成:通过打包捕获工具Wireshark分割连续的原始流量数据,并另存为PCAP文件。
2)流量净化:消除PCAP文件中的干扰数据,例如MAC地址等,得到净化后的PCAP文件。
3)流量优化:将净化后的PCAP文件中的重复文件和空文件删除,因为这些文件会损害本发明框架的学习能力,然后得到优化后的PCAP文件。
4)长度统一:将优化后的PCAP文件中长度超过900个字节的文件修剪为900个字节,并在长度小于900个字节的文件末尾添加0x00,将其补充为900个字节。从而得到长度统一的PCAP文件。
5)IDX填充生成:是将这些长度统一的PCAP文件转换为30字节×30字节的二维格式IDX文件。IDX格式是深度学习中的一种常见文件格式,也是本发明框架的理想选择。如果将这些文件映射到[0,1],可以将它们视为灰度图像。从图2可以看出,本发明的数据预处理结果就是灰度图像。
不同的网络环境或不同类型的流量数据,会影响到深度学习模型的性能。为了提高流量分类的准确性和效率等指标,本发明在深度学习过程中,同时使用了四种不同的深度学习模型,以适应的不同的网络流量环境。本发明将上一步预处理后的数据分别输入到这四个模型中,其中拥有最高准确性的模型被认为是最适合当前流量环境的模型,该模型将成为本发明保存的模型。
本发明设计了四个不同的深度学习模型:单独的卷积神经网络(CNN)模型,单独的长短期记忆网络(LSTM)模型,卷积神经网络(CNN)与长短期记忆网络(LSTM)结合的模型,以及堆栈式自动编码器(SAE)模型。使用CNN从空间范围了解原始流量的特征,LSTM用于从与时间相关的方面学习功能,采用SAE从编码特征中提取特征。与以前的方法相比,由于本发明的框架只会保存在当前流量环境下最有效的模型,因此可以满足存储资源需求的急剧下降。下面分别介绍本发明的四个深度学习模型:
1)CNN模型:深度学习中的卷积神经网络(CNN)的卷积运算具有良好的空间感测能力。在网络中,由用户生成的流量数据包在传输过程中会被分段,每个流量数据包的IP字段表示流的空间特征。考虑到流量数据具有的空间特征,本发明用CNN模型提取流量数据包的空间特征。
图3说明了基于CNN的分类模型。它由两个卷积层,两个最大池化层,2个本地响应规范化(LRN)层以及一个带有Softmax分类器的密集连接层组成。
在第一个阶段,本发明将数据预处理后生成的灰度图像数据输入到CNN模型中。第一卷积层使用32个过滤器处理输入数据,卷积层的结果输入到激活函数,本发明采用ReLU激活功能。然后,数据通过最大池化层得到处理结果。在第一卷积层的末尾,添加LRN层以惩罚那些异常响应,以便获得更好的泛化。然后,输出的处理结果将通过与第一卷积层相似的第二卷积层。最后通过Softmax分类器得到分类概率,概率最高的索引就是模型的分类结果标签,通过分类结果标签,就可以得到对应的分类结果,从而将流量数据成功分类。
2)LSTM模型:深度学习中的递归神经网络(RNN)在时间序列的处理上拥有良好的效果。在流量数据中,流量分组的发送具有时间顺序,并且由于延迟问题,流量分组的到达在接收端也具有顺序。同时,在某个时间戳内发送的流量数据包的数量会发生变化,并且这些流量数据包的特征表明它们具有时间特征。本发明使用LSTM模型提取流量数据包的时间特征,LSTM模型是RNN的变体。
如图4所示,基于LSTM的分类模型实际上是基于三层LSTM模型的。对于每一层,基于LSTM的分类模型都有256个LSTM单元。本发明还在LSTM模型的每一层中都应用了dropout,以便获得更好的概括。
在第一个阶段,本发明将数据预处理后生成的灰度图像数据输入到LSTM模型中。在LSTM模型学习了与时间有关的特性之后,最后通过Softmax分类器得到分类概率,概率最高的索引就是模型的分类结果标签,通过分类结果标签,就可以得到对应的分类结果,从而将流量数据成功分类。
3)CNN+LSTM混合模型:由于单独的CNN和LSTM模型仅分别利用流的空间特征或时间特征,可能会损失某些信息。因此,如果要进一步提高分类准确性和其他指标,可以通过建立混合网络结构模型,同时提取流量的空间特征和时间特征(参见:Zhang Y,Chen X,JinL,et al.Network Intrusion Detection:Based on Deep Hierarchical Network andOriginal Flow Data[J].IEEE Access,2019,7:37004-37016.)。
如图5所示,本发明把CNN和LSTM模型结合在一起,以期达到更好的流量分类效果。
在第一个阶段,本发明将数据预处理后生成的灰度图像数据输入到CNN+LSTM混合模型中。混合模型分为两部分,在CNN模型学习了与空间有关的特性之后,再通过LSTM模型学习与时间有关的特性,最后通过Softmax分类器得到分类概率,概率最高的索引就是模型的分类结果标签,通过分类结果标签,就可以得到对应的分类结果,从而将流量数据成功分类。
4)SAE模型:自动编码器是一种用于自动特征提取的半监督学习方法。SAE是自动编码器的变体之一,它具有逐字节扫描数据以找到编码特征的能力。
从图6可以看出,本发明使用了两个SAE,这两个SAE是分别训练的。
在第一个阶段,本发明将数据预处理后生成的灰度图像数据的形状调整为1×900,这样输入数据就可以与第一个编码器完全连接。第一个编码器有1000个神经元,它们与900个输入和900个输出紧密连接。训练编码器1的目标是获得一个编码器,该编码器可以生成900个输出,与900个输入的方差最小。在对编码器1进行训练之后,本发明将其堆叠在模型中并应用S型激活函数。编码器2有1500个神经元,它们将与编码器1的输出紧密连接。然后,我们将通过减少输入2和输出2之间的差异来训练编码器2,将其堆叠在模型中并应用S型激活函数。最后通过Softmax分类器得到分类概率,概率最高的索引就是模型的分类结果标签,通过分类结果标签,就可以得到对应的分类结果,从而将流量数据成功分类。
3.选择并保存:
在不同的网络流量环境下,同一深度学习模型的表现会有所差异。在某些环境下可能是CNN模型表现更佳,而另一些环境下,可能是LSTM模型表现更佳。总之,不同的模型适合不同的网络流量环境。因此,本发明将针对不同的网络流量环境,根据测试结果,在上述四个深度学习模型中,选择一个当前最佳模型。
在使用训练数据对上述四个模型进行训练之后,本发明将使用测试数据对这四个模型进行检查。根据得到的分类结果,其中拥有最高准确性的模型被认为是最适合当前流量环境的模型,该模型将成为本发明保存的模型。这里的准确性指的就是精度,精度的定义如下:
Figure BDA0002934763350000071
Accuracy是精度,TP,FP,FN,TN是根据之前的分类结果得到的(见:Zeng Y,Gu H,Wei W,et al.Deep-Full-Range:A Deep Learning Based Network Encrypted TrafficClassification and Intrusion Detection Framework[J].IEEE Access,2019:1-1)。其中,TP为真肯定,即正确分类为特定类别的案例数;FP为误报,即归类为特定类别的错误分类案例数;FN为假阴性,是指应分类为特定类别但又被错误分类为其他类的案例数;TN为真否定,是正确分类为非特定类别的案例数。
本发明通过公式(1)中的精度的计算结果,来比较上述四个不同的深度模型的分类准确度,最终得到当前环境下的最佳分类模型。

Claims (7)

1.一种网络流量分类检测方法,其特征在于,包括以下步骤:
S1、对原始网络流量数据进行预处理,得到灰度图像;
S2、将所述灰度图像输入CNN模型,提取所述原始网络流量数据的空间特征,将所述空间特征输入第一Softmax分类器,获得第一分类结果标签;
将所述灰度图像输入LSTM模型,提取所述原始网络流量数据的时间特征,将所述时间特征输入第二Softmax分类器,获得第二分类结果标签;
将所述灰度图像依次输入混合模型,所述混合模型包括串联的CNN模型与LSTM模型,LSTM模型的输出再输入第三Softmax分类器,获得第三分类结果标签;
将所述灰度图像输入由多个自动编码器串联而成的模型,最后一个自动编码器的输出输入第四Softmax分类器,获得第四分类结果标签;
S3、比较所述第一分类结果标签、第二分类结果标签、第三分类结果标签、第四分类结果标签对应的精度,选择精度最高的分类结果标签对应的模型为最终的分类检测模型,保存该分类检测模型。
2.根据权利要求1所述的网络流量分类检测方法,其特征在于,步骤S1的具体实现过程包括:
1)获取连续的原始流量数据,并另存为PCAP文件;
2)消除所述PCAP文件中的干扰数据,得到净化后的PCAP文件;
3)删除净化后的PCAP文件中的重复文件和空文件,得到优化后的PCAP文件;
4)将经优化后的PCAP文件中长度超过设定长度M的文件修剪为M个字节,并将长度小于M个字节的文件补充为M个字节,得到长度统一的PCAP文件;
5)将长度统一的PCAP文件转换为二维格式IDX文件,利用所述二维格式IDX文件得到所述灰度图像。
3.根据权利要求2所述的网络流量分类检测方法,其特征在于,步骤1)中,通过打包捕获工具Wireshark分割连续的原始流量数据。
4.根据权利要求2所述的网络流量分类检测方法,其特征在于,M=900。
5.根据权利要求2所述的网络流量分类检测方法,其特征在于,所述二维格式IDX文件大小为30字节×30字节。
6.一种网络流量分类检测系统,其特征在于,包括计算机设备;所述计算机设备被配置或编程为用于执行权利要求1~5之一所述方法的步骤。
7.一种计算机可读存储介质,其特征在于,其存储有程序;所述程序被配置为用于执行权利要求1~5之一所述方法的步骤。
CN202110166917.9A 2021-02-04 2021-02-04 一种网络流量分类检测方法、系统及存储介质 Active CN112804253B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110166917.9A CN112804253B (zh) 2021-02-04 2021-02-04 一种网络流量分类检测方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110166917.9A CN112804253B (zh) 2021-02-04 2021-02-04 一种网络流量分类检测方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN112804253A CN112804253A (zh) 2021-05-14
CN112804253B true CN112804253B (zh) 2022-07-12

Family

ID=75814627

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110166917.9A Active CN112804253B (zh) 2021-02-04 2021-02-04 一种网络流量分类检测方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN112804253B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666282B (zh) * 2021-06-08 2024-01-05 中国科学院信息工程研究所 一种基于机器学习的5g流量识别方法及装置
CN114338437B (zh) * 2022-01-13 2023-12-29 北京邮电大学 网络流量分类方法、装置、电子设备及存储介质
CN114650229B (zh) * 2022-03-21 2023-04-07 河海大学 基于三层模型sftf-l的网络加密流量分类方法与系统
CN117176664A (zh) * 2023-08-28 2023-12-05 枣庄福缘网络科技有限公司 一种物联网用异常流量监控系统
CN117041168A (zh) * 2023-10-09 2023-11-10 常州楠菲微电子有限公司 QoS队列调度实现方法、装置、存储介质及处理器

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105897587A (zh) * 2016-03-31 2016-08-24 湖南大学 一种数据包分类方法
CN109034152A (zh) * 2018-07-17 2018-12-18 广东工业大学 基于lstm-cnn组合模型的车牌定位方法及装置
CN109034264A (zh) * 2018-08-15 2018-12-18 云南大学 交通事故严重性预测csp-cnn模型及其建模方法
CN110414326A (zh) * 2019-06-18 2019-11-05 平安科技(深圳)有限公司 样本数据处理方法、装置、计算机装置及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109309630B (zh) * 2018-09-25 2021-09-21 深圳先进技术研究院 一种网络流量分类方法、系统及电子设备
CN109410575B (zh) * 2018-10-29 2020-05-01 北京航空航天大学 一种基于胶囊网络和嵌套式长短时记忆神经网络的路网状态预测方法
CN109639481B (zh) * 2018-12-11 2020-10-27 深圳先进技术研究院 一种基于深度学习的网络流量分类方法、系统及电子设备
CN109820525A (zh) * 2019-01-23 2019-05-31 五邑大学 一种基于cnn-lstm深度学习模型的驾驶疲劳识别方法
CN112261063A (zh) * 2020-11-09 2021-01-22 北京理工大学 结合深度分层网络的网络恶意流量检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105897587A (zh) * 2016-03-31 2016-08-24 湖南大学 一种数据包分类方法
CN109034152A (zh) * 2018-07-17 2018-12-18 广东工业大学 基于lstm-cnn组合模型的车牌定位方法及装置
CN109034264A (zh) * 2018-08-15 2018-12-18 云南大学 交通事故严重性预测csp-cnn模型及其建模方法
CN110414326A (zh) * 2019-06-18 2019-11-05 平安科技(深圳)有限公司 样本数据处理方法、装置、计算机装置及存储介质

Also Published As

Publication number Publication date
CN112804253A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN112804253B (zh) 一种网络流量分类检测方法、系统及存储介质
Zhang et al. Network intrusion detection: Based on deep hierarchical network and original flow data
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN113364752B (zh) 一种流量异常检测方法、检测设备及计算机可读存储介质
CN110417729B (zh) 一种加密流量的服务与应用分类方法及系统
Song et al. Encrypted traffic classification based on text convolution neural networks
CN113364787B (zh) 一种基于并联神经网络的僵尸网络流量检测方法
CN113329023A (zh) 一种加密流量恶意性检测模型建立、检测方法及系统
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
CN116346384A (zh) 一种基于变分自编码器的恶意加密流量检测方法
CN116192523A (zh) 一种基于神经网络的工控异常流量监测方法和系统
CN112532642A (zh) 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN113452676A (zh) 一种检测器分配方法和物联网检测系统
CN112910853A (zh) 基于混合特征的加密流量分类方法
Li et al. Transfer-learning-based network traffic automatic generation framework
CN112261063A (zh) 结合深度分层网络的网络恶意流量检测方法
Liu et al. Spatial-temporal feature with dual-attention mechanism for encrypted malicious traffic detection
CN117176382A (zh) 一种基于融合序列的远控木马流量检测方法
CN114358177B (zh) 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统
CN115987599A (zh) 基于多层次注意力机制的恶意加密流量检测方法及系统
CN113852605A (zh) 一种基于关系推理的协议格式自动化推断方法及系统
Yang Anomaly traffic detection based on LSTM
CN112968906A (zh) 一种基于多元组的Modbus TCP异常通讯检测方法和系统
CN114666282B (zh) 一种基于机器学习的5g流量识别方法及装置
CN115442309B (zh) 一种基于图神经网络的包粒度网络流量分类方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant