CN112949702A - 一种网络恶意加密流量识别方法和系统 - Google Patents

一种网络恶意加密流量识别方法和系统 Download PDF

Info

Publication number
CN112949702A
CN112949702A CN202110201538.9A CN202110201538A CN112949702A CN 112949702 A CN112949702 A CN 112949702A CN 202110201538 A CN202110201538 A CN 202110201538A CN 112949702 A CN112949702 A CN 112949702A
Authority
CN
China
Prior art keywords
network
resnet
traffic data
data
data sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110201538.9A
Other languages
English (en)
Other versions
CN112949702B (zh
Inventor
柳毅
戚子健
罗玉
胡晓敏
李敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
Original Assignee
Guangdong University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology filed Critical Guangdong University of Technology
Priority to CN202110201538.9A priority Critical patent/CN112949702B/zh
Publication of CN112949702A publication Critical patent/CN112949702A/zh
Application granted granted Critical
Publication of CN112949702B publication Critical patent/CN112949702B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24133Distances to prototypes
    • G06F18/24137Distances to cluster centroïds
    • G06F18/2414Smoothing the distance, e.g. radial basis function networks [RBFN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Signal Processing (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Molecular Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络恶意加密流量识别方法和系统,在空间维度上,利用ResNet‑BiLSTM算法模型的卷积层提取有效特征,利用ResNet‑Inception层解决深层次网络梯度消失难以训练的问题,在时间维度上,利用双向LSTM网络学习网络流量间的潜在时间特征,在提高识别准确率的同时提高了分类器的执行效率,同时还满足了在不侵犯用户隐私的条件下,识别出恶意加密流量的目标,解决了现有的恶意加密流量识别方式采用CNN和RNN,识别准确性和效率不高的技术问题。

Description

一种网络恶意加密流量识别方法和系统
技术领域
本申请涉及加密流量识别技术领域,尤其涉及一种网络恶意加密流量识别方法和系统。
背景技术
随着Internet网络和在线应用的迅速发展,为了确保通信安全和隐私,越来越多的网络流量被加密,然而,攻击者也可以通过这种方式来隐藏自己的信息和行踪。因此,对加密流量中的恶意流量检测是现下的迫切需要。
TSL加密技术位于传输层和应用层之间,用于在两个通信应用程序之间提供保密性和数据完整性。一方面,它为主机之间的通信提供加密与安全保护,有效防止了中间人攻击,保证了数据的可靠性传输,另一方面,它让基于流量内容检测方法变得困难,让一些恶意流量有了可乘之机。攻击者在成功入侵主机后,为了绕开防火墙的限制,通常会控制失陷主机主动连接攻击者建立的服务器(控制与命令服务器),接收攻击者发布的指令,这一类的流量成为命令与控制流量。由于服务端主机由攻击者搭建,攻击者为了搭建方便,使用与正常网络服务相似的网络协议和服务框架,比如HTTP和HTTPs,这使得区分恶意流量和正常流量变得困难。目前,通过卷积神经网络(Convolutional Neural Networks,CNN)和循环神经网络(Recurrent Neural Network,RNN)深度学习模型对正常流量和恶意流量进行区分,但是,CNN并不完全适用于学习时间序列,因此需要各种辅助性处理,且效果不佳,RNN只考虑了单向的时序问题,没有充分结合上下文流量,还可能出现梯度消失和梯度爆炸的问题,识别效果亦不佳,因此,如何提高恶意加密流量识别的准确性和效率,仍是本领域技术人员亟待解决的技术问题。
发明内容
本申请提供了一种网络恶意加密流量识别方法和系统,用于解决现有的恶意加密流量识别方式采用CNN和RNN,识别准确性和效率不高的技术问题。
有鉴于此,本申请第一方面提供了一种网络恶意加密流量识别方法,包括:
获取携带数据信息的完整双向流网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本;
对所述网络流量数据样本进行数据预处理;
将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对所述ResNet-BiLSTM算法模型进行训练;
使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别。
可选地,所述网络流量数据样本中,所述恶意加密流量数据样本与所述正常加密流量疏忽样本的比例为1:5。
可选地,所述正常加密样本流量样本的数量为100000~500000之间。
可选地,所述获取携带数据信息的完整双向流网络流量数据样本,包括:
采集海量的网络流量数据,从所述网络流量数据中获取网络流量数据样本,其中,所述网络流量数据样本为网络流量总数据包数在20~1000之间、携带有数据信息且为完整双向流的网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本。
可选地,所述数据预处理包括:
保留每一个数据流的前54个数据包的序列,对于数据包长度不足54的序列进行填充处理,填充的内容为数据包中不会出现的异常值;
将所述网络流量数据样本中的连续10条数据流抽取出来,形成尺寸为10×54的数值矩阵;
对所述数值矩阵进行均值方差归一化处理,转化为[0,255]之间的一个数字像素灰度值;
将所述数字像素灰度值拼成灰度图像。
可选地,所述ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到。
可选地,所述ResNet神经网络包括输入层、三个卷积层、两个池化层、ResNet-Inception层和全连接层;
所述输入层输入的数值矩阵大小为10×54,所述卷积层的卷积核大小均为3×3,所述卷积层的卷积核个数分别为16、32和16;
所述池化层的核大小均为2×2,所述池化层的核个数分别为16和32;
所述ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4;
所述全连接层搭建在ResNet模型的末端。
可选地,所述双向LSTM神经网络包括两个双向长短记忆层、一个注意力机制层、两个Dropout层和两个全连接层。
可选地,所述双向LSTM神经网络的输出连接Softmax分类器。
本申请第二方面提供了一种网络恶意加密流量识别系统,包括:
获取单元,用于获取携带数据信息的完整双向流网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本;
预处理单元,用于对所述网络流量数据样本进行数据预处理;
建模单元,用于将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对所述ResNet-BiLSTM算法模型进行训练;
识别单元,用于使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请中提供了一种网络恶意加密流量识别方法,包括:获取携带数据信息的完整双向流网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本;对所述网络流量数据样本进行数据预处理;将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对所述ResNet-BiLSTM算法模型进行训练;使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别。本申请中提供的网络恶意加密流量识别方法,在空间维度上,利用ResNet-BiLSTM算法模型的卷积层提取有效特征,利用ResNet-Inception层解决深层次网络梯度消失难以训练的问题,在时间维度上,利用双向LSTM网络学习网络流量间的潜在时间特征,在提高识别准确率的同时提高了分类器的执行效率,同时还满足了在不侵犯用户隐私的条件下,识别出恶意加密流量的目标,解决了现有的恶意加密流量识别方式采用CNN和RNN,识别准确性和效率不高的技术问题。
附图说明
为了更清楚的说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络恶意加密流量识别方法的流程示意图;
图2为本申请实施例提供的ResNet-BiLSTM神经网络总体结构图;
图3为本申请实施例提供的ResNet-Inception层结构图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例1
为了便于理解,请参阅图1,本申请提供了一种网络恶意加密流量识别方法的实施例,包括:
步骤101、获取携带数据信息的完整双向流网络流量数据样本,网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本。
需要说明的是,本申请实施例中,首先进行网络流量数据采集,提取符合条件的流量数据样本。其中,符合条件的流量数据样本为:网络流量总数据包数在20~1000之间、携带着信息、是一个完整的双向流,同时,采集的流量数据应皆为加密流量,正常加密流量数据样本的数量范围为100000~500000之间,使得样本的数量足够,可以让算法模型组成的各个神经网络充分学习到加密流量特征。本申请实施例中的正常加密流量数据样本的数量为225000,恶意加密流量数据样本与正常加密流量数据样本的数量比例为1:5。
步骤102、对网络流量数据样本进行数据预处理。
需要说明的是,本申请实施例中的预处理过程可以包括:保留一个数据流的前54个包,对于长度不足54的序列进行填充,填充的内容是数据包中不会出现的异常值,比如0x0fffffff。将加密流量数据样本中的连续10条数据流抽取出来,形成尺寸为10×54的数值矩阵,对数值矩阵进行均值方差归一化处理,转化为[0,255]之间的一个数字像素灰度值,将数字像素拼成灰度图像。
步骤103、将预处理后的网络流量数据样本输入ResNet-BiLSTM算法模型,对ResNet-BiLSTM算法模型进行训练。
需要说明的是,构建ResNet-BiLSTM算法模型,ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到。将预处理后的网络流量数据样本分为训练集和测试集,输入ResNet-BiLSTM算法模型,对ResNet-BiLSTM算法模型进行训练。如图2所示,ResNet-BiLSTM算法模型结构包括:
构造的ResNet模型包括输入层、三个卷积层、两个池化层、ResNet-Inception层、全连接层;其中输入层输入的数值矩阵的大小为10×54;卷积层的卷积核大小均为3×3,卷积核个数分别为16、32和16个;池化层的核大小均为2×2,核个数分别为16和32个,如图3所示,ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4,全连接层搭建在ResNet模型的最后部分。
双向LSTM模型包含两个双向长短记忆层、一个注意力机制层、两个Dropout层和两个全连接层。使用双向LSTM神经网络从网络流量数据中提取特征,参数为2层中间隐藏层,每层隐藏节点均为20个。第一层双向LSTM层有288个输入节点。模型使用Adam优化算法不断迭代更新权重,学习率为0.001。同时为了提高分类精度,将第二层双向LSTM层的输出结果输入到注意力机制层,计算特征的重要性。最后,将双向LSTM模型的输出结果输入到Softmax分类器中,得到分类结果。
图2中第一个卷积层中文字表示卷积核大小为3×3,卷积核个数为16个,移动步长为[1,1],分别代表纵向移动1步以及横向移动1步,V代表无填充,S代表0填充,第一个箭头下方数字代表当前张量高度为10,宽度为54,通道数为1,其余以此类推。
步骤104、使用训练好的ResNet-BiLSTM算法模型对恶意加密流量进行识别。
使用训练好的ResNet-BiLSTM算法模型对恶意加密流量进行识别,检测结果分为两类:“正常加密流量”和“恶意加密流量”,即训练好的ResNet-BiLSTM算法模型输出的识别结果为“正常加密流量”或“恶意加密流量”。
本申请实施例中提供的网络恶意加密流量识别方法,在空间维度上,利用ResNet-BiLSTM算法模型的卷积层提取有效特征,利用ResNet-Inception层解决深层次网络梯度消失难以训练的问题,在时间维度上,利用双向LSTM网络学习网络流量间的潜在时间特征,在提高识别准确率的同时提高了分类器的执行效率,同时还满足了在不侵犯用户隐私的条件下,识别出恶意加密流量的目标,解决了现有的恶意加密流量识别方式采用CNN和RNN,识别准确性和效率不高的技术问题。
实施例2
本申请提供了一种网络恶意加密流量识别系统的实施例,包括:
获取单元,用于获取携带数据信息的完整双向流网络流量数据样本,网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本。
预处理单元,用于对网络流量数据样本进行数据预处理。
建模单元,用于将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对ResNet-BiLSTM算法模型进行训练。
识别单元,用于使用训练好的ResNet-BiLSTM算法模型对恶意加密流量进行识别。
本申请实施例中首先进行网络流量数据采集,提取符合条件的流量数据样本。其中,符合条件的流量数据样本为:网络流量总数据包数在20~1000之间、携带着信息、是一个完整的双向流,同时,采集的流量数据应皆为加密流量,正常加密流量数据样本的数量范围为100000~500000之间,使得样本的数量足够,可以让算法模型组成的各个神经网络充分学习到加密流量特征。本申请实施例中的正常加密流量数据样本的数量为225000,恶意加密流量数据样本与正常加密流量数据样本的数量比例为1:5。
本申请实施例中的预处理过程可以包括:保留一个数据流的前54个包,对于长度不足54的序列进行填充,填充的内容是数据包中不会出现的异常值,比如0x0fffffff。将加密流量数据样本中的连续10条数据流抽取出来,形成尺寸为10×54的数值矩阵,对数值矩阵进行均值方差归一化处理,转化为[0,255]之间的一个数字像素灰度值,将数字像素拼成灰度图像。
构建ResNet-BiLSTM算法模型,ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到。将预处理后的网络流量数据样本分为训练集和测试集,输入ResNet-BiLSTM算法模型,对ResNet-BiLSTM算法模型进行训练。如图2所示,ResNet-BiLSTM算法模型结构包括:
构造的ResNet模型包括输入层、三个卷积层、两个池化层、ResNet-Inception层、全连接层;其中输入层输入的数值矩阵的大小为10×54;卷积层的卷积核大小均为3×3,卷积核个数分别为16、32和16个;池化层的核大小均为2×2,核个数分别为16和32个,如图3所示,ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4,全连接层搭建在ResNet模型的最后部分。
双向LSTM模型包含两个双向长短记忆层、一个注意力机制层、两个Dropout层和两个全连接层。使用双向LSTM神经网络从网络流量数据中提取特征,参数为2层中间隐藏层,每层隐藏节点均为20个。第一层双向LSTM层有288个输入节点。模型使用Adam优化算法不断迭代更新权重,学习率为0.001。同时为了提高分类精度,将第二层双向LSTM层的输出结果输入到注意力机制层,计算特征的重要性。最后,将双向LSTM模型的输出结果输入到Softmax分类器中,得到分类结果。
图2中第一个卷积层中文字表示卷积核大小为3×3,卷积核个数为16个,移动步长为[1,1],分别代表纵向移动1步以及横向移动1步,V代表无填充,S代表0填充,第一个箭头下方数字代表当前张量高度为10,宽度为54,通道数为1,其余以此类推。
使用训练好的ResNet-BiLSTM算法模型对恶意加密流量进行识别,检测结果分为两类:“正常加密流量”和“恶意加密流量”,即训练好的ResNet-BiLSTM算法模型输出的识别结果为“正常加密流量”或“恶意加密流量”。
本申请实施例中提供的网络恶意加密流量识别系统,在空间维度上,利用ResNet-BiLSTM算法模型的卷积层提取有效特征,利用ResNet-Inception层解决深层次网络梯度消失难以训练的问题,在时间维度上,利用双向LSTM网络学习网络流量间的潜在时间特征,在提高识别准确率的同时提高了分类器的执行效率,同时还满足了在不侵犯用户隐私的条件下,识别出恶意加密流量的目标,解决了现有的恶意加密流量识别方式采用CNN和RNN,识别准确性和效率不高的技术问题。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种网络恶意加密流量识别方法,其特征在于,包括:
获取携带数据信息的完整双向流网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本;
对所述网络流量数据样本进行数据预处理;
将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对所述ResNet-BiLSTM算法模型进行训练;
使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别。
2.根据权利要求1所述的网络恶意加密流量识别方法,其特征在于,所述网络流量数据样本中,所述恶意加密流量数据样本与所述正常加密流量疏忽样本的比例为1:5。
3.根据权利要求2所述的网络恶意加密流量识别方法,其特征在于,所述正常加密样本流量样本的数量为100000~500000之间。
4.根据权利要求1所述的网络恶意加密流量识别方法,其特征在于,所述获取携带数据信息的完整双向流网络流量数据样本,包括:
采集海量的网络流量数据,从所述网络流量数据中获取网络流量数据样本,其中,所述网络流量数据样本为网络流量总数据包数在20~1000之间、携带有数据信息且为完整双向流的网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本。
5.根据权利要求4所述的网络恶意加密流量识别方法,其特征在于,所述数据预处理包括:
保留每一个数据流的前54个数据包的序列,对于数据包长度不足54的序列进行填充处理,填充的内容为数据包中不会出现的异常值;
将所述网络流量数据样本中的连续10条数据流抽取出来,形成尺寸为10×54的数值矩阵;
对所述数值矩阵进行均值方差归一化处理,转化为[0,255]之间的一个数字像素灰度值;
将所述数字像素灰度值拼成灰度图像。
6.根据权利要求5所述的网络恶意加密流量识别方法,其特征在于,所述ResNet-BiLSTM算法模型由ResNet神经网络与双向LSTM神经网络串联建模得到。
7.根据权利要求6所述的网络恶意加密流量识别方法,其特征在于,所述ResNet神经网络包括输入层、三个卷积层、两个池化层、ResNet-Inception层和全连接层;
所述输入层输入的数值矩阵大小为10×54,所述卷积层的卷积核大小均为3×3,所述卷积层的卷积核个数分别为16、32和16;
所述池化层的核大小均为2×2,所述池化层的核个数分别为16和32;
所述ResNet-Inception层融合了ResNet和GoogLeNet中的Inception-v4;
所述全连接层搭建在ResNet模型的末端。
8.根据权利要求7所述的网络恶意加密流量识别方法,其特征在于,所述双向LSTM神经网络包括两个双向长短记忆层、一个注意力机制层、两个Dropout层和两个全连接层。
9.根据权利要求7所述的网络恶意加密流量识别方法,其特征在于,所述双向LSTM神经网络的输出连接Softmax分类器。
10.一种网络恶意加密流量识别系统,其特征在于,包括:
获取单元,用于获取携带数据信息的完整双向流网络流量数据样本,所述网络流量数据样本包括恶意加密流量数据样本和正常加密流量数据样本;
预处理单元,用于对所述网络流量数据样本进行数据预处理;
建模单元,用于将预处理后的所述网络流量数据样本输入ResNet-BiLSTM算法模型,对所述ResNet-BiLSTM算法模型进行训练;
识别单元,用于使用训练好的所述ResNet-BiLSTM算法模型对恶意加密流量进行识别。
CN202110201538.9A 2021-02-23 2021-02-23 一种网络恶意加密流量识别方法和系统 Active CN112949702B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110201538.9A CN112949702B (zh) 2021-02-23 2021-02-23 一种网络恶意加密流量识别方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110201538.9A CN112949702B (zh) 2021-02-23 2021-02-23 一种网络恶意加密流量识别方法和系统

Publications (2)

Publication Number Publication Date
CN112949702A true CN112949702A (zh) 2021-06-11
CN112949702B CN112949702B (zh) 2023-09-22

Family

ID=76245590

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110201538.9A Active CN112949702B (zh) 2021-02-23 2021-02-23 一种网络恶意加密流量识别方法和系统

Country Status (1)

Country Link
CN (1) CN112949702B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472809A (zh) * 2021-07-19 2021-10-01 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN113872939A (zh) * 2021-08-30 2021-12-31 济南浪潮数据技术有限公司 一种流量检测方法、装置及存储介质
CN113949531A (zh) * 2021-09-14 2022-01-18 北京邮电大学 一种恶意加密流量检测方法及装置
CN114257428A (zh) * 2021-12-10 2022-03-29 广东工业大学 一种基于深度学习的加密网络流量识别及分类方法
CN115296937A (zh) * 2022-10-09 2022-11-04 中孚信息股份有限公司 一种用于实时加密恶意流量识别的方法及设备
CN115766522A (zh) * 2022-11-03 2023-03-07 哈尔滨工程大学 一种面向移动终端加密流量的应用识别方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948691A (zh) * 2019-03-14 2019-06-28 齐鲁工业大学 基于深度残差网络及注意力的图像描述生成方法和装置
CN110162635A (zh) * 2019-05-28 2019-08-23 广东工业大学 一种文本中全局特征的提取方法、系统及相关装置
CN110730140A (zh) * 2019-10-12 2020-01-24 西安电子科技大学 基于时空特性相结合的深度学习流量分类方法
CN111447190A (zh) * 2020-03-20 2020-07-24 北京观成科技有限公司 一种加密恶意流量的识别方法、设备及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948691A (zh) * 2019-03-14 2019-06-28 齐鲁工业大学 基于深度残差网络及注意力的图像描述生成方法和装置
CN110162635A (zh) * 2019-05-28 2019-08-23 广东工业大学 一种文本中全局特征的提取方法、系统及相关装置
CN110730140A (zh) * 2019-10-12 2020-01-24 西安电子科技大学 基于时空特性相结合的深度学习流量分类方法
CN111447190A (zh) * 2020-03-20 2020-07-24 北京观成科技有限公司 一种加密恶意流量的识别方法、设备及装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472809A (zh) * 2021-07-19 2021-10-01 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN113472809B (zh) * 2021-07-19 2022-06-07 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN113872939A (zh) * 2021-08-30 2021-12-31 济南浪潮数据技术有限公司 一种流量检测方法、装置及存储介质
CN113949531A (zh) * 2021-09-14 2022-01-18 北京邮电大学 一种恶意加密流量检测方法及装置
CN113949531B (zh) * 2021-09-14 2022-06-17 北京邮电大学 一种恶意加密流量检测方法及装置
CN114257428A (zh) * 2021-12-10 2022-03-29 广东工业大学 一种基于深度学习的加密网络流量识别及分类方法
CN114257428B (zh) * 2021-12-10 2024-02-27 广东工业大学 一种基于深度学习的加密网络流量识别及分类方法
CN115296937A (zh) * 2022-10-09 2022-11-04 中孚信息股份有限公司 一种用于实时加密恶意流量识别的方法及设备
CN115766522A (zh) * 2022-11-03 2023-03-07 哈尔滨工程大学 一种面向移动终端加密流量的应用识别方法

Also Published As

Publication number Publication date
CN112949702B (zh) 2023-09-22

Similar Documents

Publication Publication Date Title
CN112949702A (zh) 一种网络恶意加密流量识别方法和系统
CN106790019B (zh) 基于特征自学习的加密流量识别方法及装置
CN113469234A (zh) 一种基于免模型联邦元学习的网络流量异常检测方法
CN114615093B (zh) 基于流量重构与继承学习的匿名网络流量识别方法及装置
CN109698836A (zh) 一种基于深度学习的无线局域网入侵检测方法和系统
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN109284606A (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
KR102093275B1 (ko) 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법
CN112053327B (zh) 视频目标物检测方法、系统及存储介质和服务器
CN111222500A (zh) 一种标签提取方法及装置
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN110363098B (zh) 一种暴力行为预警方法、装置、可读存储介质及终端设备
CN114330544A (zh) 一种业务流量异常检测模型建立方法及异常检测方法
CN111431819A (zh) 一种基于序列化的协议流特征的网络流量分类方法和装置
CN111402156B (zh) 一种涂抹图像的复原方法、装置及存储介质和终端设备
CN108022171A (zh) 一种数据处理方法及设备
CN115277258B (zh) 一种基于时空特征融合的网络攻击检测方法和系统
CN112367303A (zh) 分布式自学习异常流量协同检测方法及系统
CN115695046B (zh) 一种基于增强集成学习的网络入侵检测方法
CN112966547A (zh) 一种基于神经网络的燃气现场异常行为识别预警方法、系统、终端及存储介质
KR102241859B1 (ko) 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN111130942A (zh) 一种基于消息大小分析的应用流量识别方法
CN114422207A (zh) 基于多模态的c&c通信流量检测方法及装置
CN113992419A (zh) 一种用户异常行为检测和处理系统及其方法
CN118018260A (zh) 网络攻击的检测方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant