CN113095426A - 一种加密流量分类方法、系统、设备及可读存储介质 - Google Patents

一种加密流量分类方法、系统、设备及可读存储介质 Download PDF

Info

Publication number
CN113095426A
CN113095426A CN202110437302.5A CN202110437302A CN113095426A CN 113095426 A CN113095426 A CN 113095426A CN 202110437302 A CN202110437302 A CN 202110437302A CN 113095426 A CN113095426 A CN 113095426A
Authority
CN
China
Prior art keywords
model
encrypted
features
flow
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110437302.5A
Other languages
English (en)
Other versions
CN113095426B (zh
Inventor
马小博
刘东锦
瞿建
卞华峰
王鑫
潘鹏宇
李森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202110437302.5A priority Critical patent/CN113095426B/zh
Publication of CN113095426A publication Critical patent/CN113095426A/zh
Application granted granted Critical
Publication of CN113095426B publication Critical patent/CN113095426B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种加密流量分类方法、系统、设备及可读存储介质,通过采用袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征,提取出的特征能准确刻加密流量的特点,以提取出的数值特征训练预训练模型,能够提高加密流量分类的准确性,采用主被动探测结合的方式提取特征,能极大的提高加密流量分类的准确性,提高了特征的全面性,基于所提取的特征,构建加密流量分类方法,有效特征提高了特征的精简性,有效特征的全面性和精简性,节省分类模型构建的时间和空间成本,提高检测效率和精准度,同时也能提高分类的准确率,有利于互联网安全分类的使用。

Description

一种加密流量分类方法、系统、设备及可读存储介质
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种加密流量分类方法、系统、设备及可读存储介质。
背景技术
近年来,随着互联网的高速发展,网络已经紧密地融入我们的生产与生活,网络安全也成为一个不可忽视的问题。在日常生活中,人们的网络安全意识也逐渐提高,越来越多的用户和企业开始重视信息的保护和安全传输。基于加密流量的分类技术,可以用来实现网络的安全监管,特别是非法业务和不良信息的监管。加密流量分类可以分析出用户使用的加密代理流量类别,目前,加密流量的分析主要是基于网站指纹识别技术。网站指纹识别就是一种基于机器学习算法识别通过加密方式访问的网站,通过对网络流量的特征提取并结合有监督的分类技术对网站进行分类的技术。其中,这种技术的关键就在于通过提取的特征对能够对网站分类的分类模型的构建过程,所以提取的特征对加密流量分类的准确性有较大的影响,而目前基于加密流量的分类技术基于特征提取比较繁琐,而且准确率低。
发明内容
本发明的目的在于提供一种加密流量分类方法、系统、设备及可读存储介质,以克服现有技术的不足。
为达到上述目的,本发明采用如下技术方案:
一种加密流量分类方法,包括以下步骤:
S1,采用袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征;
S2,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型,利用加密流量分类器模型进行加密流量的分类。
进一步的,预训练模型采用样本集合进行预训练。
进一步的,预训练模型具体通过以下方法获得:
a、采集加密流量样本集合,加密流量样本集合中的每一个加密流量样本为原始流量文件;对原始流量文件进行预处理,分离匿名代理工具产生的流量,筛选有效流,统一流量方向,得到加密流量序列;
b、根据加密流量获取被动探测特征和主动探测特征,利用获取的被动探测特征和主动探测特征对随机森林模型进行训练,得到预训练模型。
进一步的,原始流量文件包括数据包和唯一的加密流量类型标签,加密流量序列包括服务器地址、目标端口号、传输所用的协议号、流量起止时间、流量上下行字节数和上下行数据包的数目。
进一步的,被动探测特征包括基础特征N、时间维度特征、空间维度特征、首荷载包的ASCII码均值特征和首段数据包荷载分布特征四种衍生特征。
进一步的,主动探测特征包括远程主机的whois信息和端口信息;根据数据包的远程主机IP地址对远程主机进行扫描得到用于加密流量分类器模型训练的主动探测特征。
进一步的,以得到的加密流量样本的有效特征序列LU作为输入,训练随机森林分类模型得到最终分类模型;将待分类的加密流量数据进行预处理得到待分类加密流量序列,将待分类的加密流量数据和待分类加密流量序列输入最终分类模型中,加密流量分类器模型综合所有决策树的独立判定结果输出综合判定结果。
一种加密流量分类系统,包括预训练模块和分类器模块,
预训练模块用于存储预训练模型,并根据袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型输送到分类器模块中,分类器模块根据最终的加密流量分类器模型对输入的加密流量数据进行分类并输出分类结果。
一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述加密流量分类的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述加密流量分类的步骤。
与现有技术相比,本发明具有以下有益的技术效果:
本发明一种加密流量分类方法,通过采用袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征,提取出的特征能准确刻加密流量的特点,以提取出的数值特征训练预训练模型,能够提高加密流量分类的准确性,采用主被动探测结合的方式提取特征,能极大的提高加密流量分类的准确性,提高了特征的全面性,基于所提取的特征,构建加密流量分类方法,有效特征提高了特征的精简性,有效特征的全面性和精简性,节省分类模型构建的时间和空间成本,提高检测效率和精准度,同时也能提高分类的准确率,有利于互联网安全分类的使用。
本发明一种加密流量分类,能够实现加密流量的快速分类,同时能够提高分类的准确率。
附图说明
图1为本发明方法流程图。
具体实施方式
下面结合附图对本发明做进一步详细描述:
一种加密流量分类方法,包括以下步骤:
S1,采用袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,剔除对模型分类无明显效果的重要性小于阈值t的模型特征,然后根据模型特征排序结果筛选出对加密流量分类效果最好的前UN个模型特征,作为预训练模型的有效特征,将有效特征组合为有效特征序列LU,其中阈值t和UN取值为自然数;
预训练模型采用样本集合进行预训练,具体通过以下方法获得:
a、建立训练集:采集加密流量样本集合,加密流量样本集合中的每一个加密流量样本为原始流量文件,原始流量文件包括数据包和唯一的加密流量类型标签;对原始流量文件进行预处理,分离匿名代理工具产生的流量,筛选有效流,统一流量方向,得到加密流量序列;加密流量序列包括服务器地址、目标端口号、传输所用的协议号、流量起止时间、流量上下行字节数和上下行数据包的数目;
设总共有p类加密流量样本,第i类加密流量样本的加密流量类型被标定为labeli;有效流为不包含超时重传流的完整TCP流,对原始流量文件进行预处理,筛选有效流,统一流量方向;每一条流量j得到一个加密流量序列Xj[f1,f2,…,fd],其中,加密流量序列包括服务器地址,目标端口号,传输所用的协议号,流量起止时间,流量上下行字节数,上下行数据包的数目,f1,f2,…,fd是基础信息的具体值。
b、根据加密流量获取被动探测特征和主动探测特征,利用获取的被动探测特征和主动探测特征对随机森林模型进行训练,得到预训练模型。
被动探测特征包括基础特征N、时间维度特征、空间维度特征、首荷载包的ASCII码均值特征和首段数据包荷载分布特征四种衍生特征;基础特征N为以双向流表示的五元组基础特征,双向流为源地址与目的地址使用相同端口进行通信时双方产生的所有单向流的集合;五元组为:
F=(DA,DP,SA,SP,PT,Payload)
其中,DA表示客户端的源地址,DP表示源端口,SA表示服务端的目的地址,SP表示目的端口,PT表示传输层使用的协议,Payload表示传输的数据包的荷载内容;将五元组以双向流形式表示为基础特征N;
被动探测特征中衍生特征的时间维度特征包括1)每条双向流的起止时间,2)双向流内传输的所有数据包的平均包间隔,3)上下行数据包各自的传输速率,以及这三种特征的统计信息,统计信息包括最大值,最小值,中位数,均值;
被动探测特征中衍生特征的空间维度特征包括1)流的空间维度,包括上下行流的字节总数及上下行流的字节比例,2)数据包的空间维度,上下行数据包的总个数及上下行数据包的数值比例,3)数据包的分布情况,定义双向流内每个数据包荷载的字节大小大于1000的数据包定义为大包,小于200的数据包定义为小包,并计算出大包和小包的数量及在所有数据包数量中的所占的比例;
被动探测特征中衍生特征的首荷载包的ASCII码均值特征的定义如下:
Figure BDA0003033548120000061
其中,D(PL)荷载包的ASCII码的加权均值,PL为荷载包,NLq为该数据包荷载中0x00-0xff每个字节出现的次数统计,q取值范围为0-255分别对应0x00-0xff在十进制ASCII码下的值,用每个字节出现的次数与该字节的ASCII值进行相乘,得出该荷载包的ASCII字节总和;使用字节总和除以字节的总数,便可以得到该荷载包的ASCII码的加权均值D(PL);首荷载包的ASCII码均值特征包括上行的首荷载包的字节加权均值D(In)和下行的首荷载包的字节加权均值D(Out);
被动探测特征中衍生特征的首段数据包荷载分布为TCP流交互种前10个数据包中荷载字节大小大于1000的数据包数量F1和小于200的数据包数量F2;将所有被动探测特征组合为被动探测特征序列lP
主动探测特征包括远程主机的whois信息和端口信息;根据数据包的远程主机IP地址对远程主机进行扫描得到用于加密流量分类器模型训练的主动探测特征,即远程主机的whois信息和端口信息;
主动探测特征,是对远程主机主动进行主机扫描行为产生的相关特征,与被动探测特征的不同之处在于,被动探测所产生的所有特征都是建立在旁路监听获取的流量的基础上生成的;主机的whois信息特征的提取方法是在Linux/Unix操作系统中使用whois查询命令查询远程主机的IP,查询返回的结果中显示该IP所在的IP段的范围、供应商的名称、服务器所处的地理位置、注册日期和有效日期;主机的端口特征的提取方法是使用Nmap工具对远程主机进行快速并包含完整端口号的TCP扫描,扫描得到的内容包括开放的端口号、端口号对应的可能的应用签名、主机操作系统以及主机是否存在防火墙;将所有主动探测特征组合为主动探测特征序列LA
利用得到的加密流量样本的被动探测特征序列LP和加密流量样本的主动探测特征序列LA作为输入,训练随机森林分类模型,该模型由K1棵决策树构成,每一棵决策树均有独立判定结果;该判定模型综合所有决策树的独立判定结果,输出综合判定结果;其中K1根据实际情况设置。
袋外数据是指对预训练模型训练过程中未参与模型训练的数据,对随机森林模型训练过程中使用到的模型特征进行重要性度量,然后根据度量结果筛选出对加密流量分类效果最好的前UN个模型特征,作为加密流量分类器模型的有效特征。
S2,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型,利用加密流量分类器模型进行加密流量的分类。
以得到的加密流量样本的有效特征序列LU作为输入,训练随机森林分类模型得到最终分类模型,最终分类模型由K2棵决策树构成,每一棵决策树均有独立判定结果,最终分类模型综合所有决策树的独立判定结果。将待分类的加密流量数据进行预处理,分离匿名代理工具产生的流量,筛选有效流,统一流量方向,得到待分类加密流量序列,将待分类的加密流量数据和待分类加密流量序列输入加密流量分类器模型中,经过特征提取得到所得特征,加密流量分类器模型综合所有决策树的独立判定结果输出综合判定结果。
本发明一个实施例中,提供了一种终端设备,该终端设备包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于执行所述计算机存储介质存储的程序指令。处理器采用中央处理单元(CPU),或者采用其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其适于实现一条或一条以上指令,具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能;本发明实施例所述的处理器可以用于加密流量分类方法的操作。
实施例:一种加密流量分类分类系统,能够用于实现上述实施例中的加密流量分类方法,具体包括预训练模块和分类器模块,
预训练模块用于存储预训练模型,并根据袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型输送到分类器模块中,分类器模块根据最终的加密流量分类器模型对输入的加密流量数据进行分类并输出分类结果。
本发明再一个实施例中,本发明还提供了一种存储介质,具体采用计算机可读存储介质(Memory),所述计算机可读存储介质是终端设备中的记忆设备,用于存放程序和数据。计算机可读存储介质包括终端设备中的内置存储介质,提供存储空间,存储了终端的操作系统,也可包括终端设备所支持的扩展存储介质。并且,在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机可读存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(Non-volatile memory),例如至少一个磁盘存储器。可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令,以实现上述实施例中有关加密流量分类方法的相应步骤。
预训练模型训练过程,包括以下步骤:
步骤1,给定加密流量样本集合,设总共有p类加密流量样本,第i类加密流量样本的加密流量类型被标定为labeli;对原始流量文件进行简单的预处理,筛选有效流,统一流量方向;每一条流量j得到一个加密流量序列Xj[f1,f2,…,fd],其中,加密流量序列包括服务器地址,目标端口号,传输所用的协议号,流量起止时间,流量上下行字节数和上下行数据包的数目;f1,f2,…,fd是基础信息的具体值;
步骤2,首先提取基础特征N中的五元组特征,并以双向流形式表示;再提取被动探测特征P中衍生特征的时间维度特征、空间维度特征、首荷载包的ASCII码均值特征和首段数据包荷载分布特征;将所有被动探测特征组合为被动探测特征序列LP
步骤3,对远程主机主动进行主机扫描产生主动探测特征特征,将所有主动探测特征组合为主动探测特征序列LA
步骤4,利用被动探测特征序列LP和主动探测特征序列LA对随机森林模型进行训练,得到初步的加密流量分类器模型;
步骤5,利用随机森林模型训练过程中未参与模型训练的袋外数据对随机森林模型训练过程中使用到的所有特征进行重要性度量,然后根据度量结果筛选出对加密流量分类效果最好的部分特征,作为加密流量分类器模型的有效特征,将有效特征组合为有效特征序列LU
步骤6,利用有效特征序列LU对随机森林模型进行训练,得到最终的加密流量分类器模型,利用最终的加密流量分类器模型进行加密流量的分类。
本发明将主动探测特征和被动探测特征相结合,提高了特征的全面性;本发明提取出的有效特征提高了特征的精简性;本发明的有效特征可以适用于所有的分类模型的训练及构建;并且因为有效特征的全面性和精简性,有利于提高加密流量分类的准确率,并且节省分类模型构建过程中消耗的时间和空间成本,能够更加高效的监控用户的非法上网行为。

Claims (10)

1.一种加密流量分类方法,其特征在于,包括以下步骤:
S1,采用袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征;
S2,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型,利用加密流量分类器模型进行加密流量的分类。
2.根据权利要求1所述的一种加密流量分类方法,其特征在于,预训练模型采用样本集合进行预训练。
3.根据权利要求2所述的一种加密流量分类方法,其特征在于,预训练模型具体通过以下方法获得:
a、采集加密流量样本集合,加密流量样本集合中的每一个加密流量样本为原始流量文件;对原始流量文件进行预处理,分离匿名代理工具产生的流量,筛选有效流,统一流量方向,得到加密流量序列;
b、根据加密流量获取被动探测特征和主动探测特征,利用获取的被动探测特征和主动探测特征对随机森林模型进行训练,得到预训练模型。
4.根据权利要求3所述的一种加密流量分类方法,其特征在于,原始流量文件包括数据包和唯一的加密流量类型标签,加密流量序列包括服务器地址、目标端口号、传输所用的协议号、流量起止时间、流量上下行字节数和上下行数据包的数目。
5.根据权利要求3所述的一种加密流量分类方法,其特征在于,被动探测特征包括基础特征N、时间维度特征、空间维度特征、首荷载包的ASCII码均值特征和首段数据包荷载分布特征四种衍生特征。
6.根据权利要求3所述的一种加密流量分类方法,其特征在于,主动探测特征包括远程主机的whois信息和端口信息;根据数据包的远程主机IP地址对远程主机进行扫描得到用于加密流量分类器模型训练的主动探测特征。
7.根据权利要求1所述的一种加密流量分类方法,其特征在于,以得到的加密流量样本的有效特征序列LU作为输入,训练随机森林分类模型得到最终分类模型;将待分类的加密流量数据进行预处理得到待分类加密流量序列,将待分类的加密流量数据和待分类加密流量序列输入最终分类模型中,加密流量分类器模型综合所有决策树的独立判定结果输出综合判定结果。
8.一种加密流量分类系统,其特征在于,其特征在于,包括预训练模块和分类器模块,
预训练模块用于存储预训练模型,并根据袋外数据对预训练模型的模型特征进行重要性度量,得到模型特征重要性排序,取模型特征排序结果效果最好的前UN个模型特征作为预训练模型的有效特征,利用有效特征对预训练模型进行优化训练,得到最终的加密流量分类器模型输送到分类器模块中,分类器模块根据最终的加密流量分类器模型对输入的加密流量数据进行分类并输出分类结果。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
CN202110437302.5A 2021-04-22 2021-04-22 一种加密流量分类方法、系统、设备及可读存储介质 Active CN113095426B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110437302.5A CN113095426B (zh) 2021-04-22 2021-04-22 一种加密流量分类方法、系统、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110437302.5A CN113095426B (zh) 2021-04-22 2021-04-22 一种加密流量分类方法、系统、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113095426A true CN113095426A (zh) 2021-07-09
CN113095426B CN113095426B (zh) 2023-03-31

Family

ID=76679556

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110437302.5A Active CN113095426B (zh) 2021-04-22 2021-04-22 一种加密流量分类方法、系统、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113095426B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572703A (zh) * 2021-07-21 2021-10-29 东南大学 一种基于fpga的在线流量业务分类方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101420336A (zh) * 2007-10-26 2009-04-29 诺基亚西门子通信有限责任两合公司 在网络中识别网络电话流量的方法及其系统
CN102299826A (zh) * 2010-06-23 2011-12-28 电子科技大学 多特征对等网络监测体系和策略
US20170374016A1 (en) * 2016-06-23 2017-12-28 Cisco Technology, Inc. Utilizing service tagging for encrypted flow classification
US20180139141A1 (en) * 2016-11-17 2018-05-17 Cisco Technology, Inc. On-box behavior-based traffic classification
CN108846338A (zh) * 2018-05-29 2018-11-20 南京林业大学 基于面向对象随机森林的极化特征选择及分类方法
CN109818961A (zh) * 2019-01-30 2019-05-28 广东工业大学 一种网络入侵检测方法、装置和设备
CN111030941A (zh) * 2019-10-29 2020-04-17 武汉瑞盈通网络技术有限公司 一种基于决策树的https加密流量分类方法
CN112311814A (zh) * 2020-12-23 2021-02-02 中国航空油料集团有限公司 基于深度学习的恶意加密流量识别方法、系统及电子设备
CN112671757A (zh) * 2020-12-22 2021-04-16 无锡江南计算技术研究所 一种基于自动机器学习的加密流量协议识别方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101420336A (zh) * 2007-10-26 2009-04-29 诺基亚西门子通信有限责任两合公司 在网络中识别网络电话流量的方法及其系统
CN102299826A (zh) * 2010-06-23 2011-12-28 电子科技大学 多特征对等网络监测体系和策略
US20170374016A1 (en) * 2016-06-23 2017-12-28 Cisco Technology, Inc. Utilizing service tagging for encrypted flow classification
US20180139141A1 (en) * 2016-11-17 2018-05-17 Cisco Technology, Inc. On-box behavior-based traffic classification
CN108846338A (zh) * 2018-05-29 2018-11-20 南京林业大学 基于面向对象随机森林的极化特征选择及分类方法
CN109818961A (zh) * 2019-01-30 2019-05-28 广东工业大学 一种网络入侵检测方法、装置和设备
CN111030941A (zh) * 2019-10-29 2020-04-17 武汉瑞盈通网络技术有限公司 一种基于决策树的https加密流量分类方法
CN112671757A (zh) * 2020-12-22 2021-04-16 无锡江南计算技术研究所 一种基于自动机器学习的加密流量协议识别方法及装置
CN112311814A (zh) * 2020-12-23 2021-02-02 中国航空油料集团有限公司 基于深度学习的恶意加密流量识别方法、系统及电子设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
XIANLEI ZHANG ET AL.: "An Uncertainty-Based Traffic Training Approach to Efficiently Identifying Encrypted Proxies", 《2020 THE 12TH INTERNATIONAL CONFERENCE ON ADVANCED INFOCOMM TECHNOLOGY》 *
张浩 等: "基于数据增强和模型更新的异常流量检测技术", 《技术研究》 *
戴瑾 等: "基于森林的网络流量分类方法", 《国防科技大学学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572703A (zh) * 2021-07-21 2021-10-29 东南大学 一种基于fpga的在线流量业务分类方法
CN113572703B (zh) * 2021-07-21 2024-04-09 东南大学 一种基于fpga的在线流量业务分类方法

Also Published As

Publication number Publication date
CN113095426B (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
CN108768986B (zh) 一种加密流量分类方法及服务器、计算机可读存储介质
CN114172748B (zh) 一种加密恶意流量检测方法
CN109104441A (zh) 一种基于深度学习的加密恶意流量的检测系统和方法
CN106657141A (zh) 基于网络流量分析的安卓恶意软件实时检测方法
CN112311814B (zh) 基于深度学习的恶意加密流量识别方法、系统及电子设备
CN104468262B (zh) 一种基于语义敏感的网络协议识别方法及系统
CN110751222A (zh) 基于cnn和lstm的在线加密流量分类方法
CN112165484B (zh) 基于深度学习与侧信道分析的网络加密流量识别方法装置
CN109698798B (zh) 一种应用的识别方法、装置、服务器和存储介质
CN109525508A (zh) 基于流量相似性比对的加密流识别方法、装置及存储介质
CN112217763A (zh) 一种基于机器学习的隐蔽tls通信流检测方法
CN109299742A (zh) 自动发现未知网络流的方法、装置、设备及存储介质
CN112887329B (zh) 隐藏服务溯源方法、装置及电子设备
CN116662184B (zh) 一种基于Bert的工控协议模糊测试用例筛选方法及系统
CN111611280A (zh) 一种基于cnn和sae的加密流量识别方法
CN113095426B (zh) 一种加密流量分类方法、系统、设备及可读存储介质
CN114422271B (zh) 数据处理方法、装置、设备及可读存储介质
Ren et al. App identification based on encrypted multi-smartphone sources traffic fingerprints
CN113794687A (zh) 基于深度学习的恶意加密流量检测方法及装置
CN113746804A (zh) Dns隐蔽信道检测方法、装置、设备及存储介质
CN102984242A (zh) 一种应用协议的自动识别方法和装置
CN111080362A (zh) 广告监测系统及方法
CN116401479A (zh) 一种基于加密流量双向突发序列的网站内容行为识别方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant