CN113630384B - 一种基于NetFlow数据的特定加密流量识别方法及系统 - Google Patents

一种基于NetFlow数据的特定加密流量识别方法及系统 Download PDF

Info

Publication number
CN113630384B
CN113630384B CN202110778054.0A CN202110778054A CN113630384B CN 113630384 B CN113630384 B CN 113630384B CN 202110778054 A CN202110778054 A CN 202110778054A CN 113630384 B CN113630384 B CN 113630384B
Authority
CN
China
Prior art keywords
netflow
sequence
stream
flow
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110778054.0A
Other languages
English (en)
Other versions
CN113630384A (zh
Inventor
扶佩佩
李真真
苟高鹏
刘畅
杨青娅
李镇
熊刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110778054.0A priority Critical patent/CN113630384B/zh
Publication of CN113630384A publication Critical patent/CN113630384A/zh
Application granted granted Critical
Publication of CN113630384B publication Critical patent/CN113630384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于NetFlow数据的特定加密流量识别方法及系统。该方法的步骤包括:利用原始网络流量生成NetFlow序列;采用双向LSTM网络捕获NetFlow序列的上下文关系;采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算,得到NetFlow序列的特征;利用得到的NetFlow序列的特征识别加密流量。本发明以NetFlow序列作为输入来保护用户隐私,利用双向LSTM网络尽可能捕获稀疏流记录上下文关系,增加注意力机制进行注意力权重计算,对信息进行加权,实现对相关性特征的增强,自动学习流记录的潜在特征。即使在较低的采样率下,本发明仍能够取得较好的加密流量识别效果。

Description

一种基于NetFlow数据的特定加密流量识别方法及系统
技术领域
本发明属于网络安全领域,涉及基于NetFlow数据的VPN加密流量识别技术,具体涉及一种基于NetFlow数据的特定加密流量识别方法及系统。
背景技术
加密流量的识别一直是流量识别领域的研究热点。虚拟专用网络(VPN)是一个虚拟网络,它建立安全和加密的连接,以帮助确保敏感数据的安全传输。目前,随着人们对通信安全的日益重视,VPN技术被广泛应用于网络通信中,以满足不同的安全需求。然而,随着VPN技术的广泛应用,也给网络安全和管理带来了一些挑战。一方面,VPN很容易被攻击者或黑客利用以隐藏其恶意行为,使其难以被发现。另一方面,VPN采用隧道协议和加密技术,使得从其他加密的非VPN流量中检测VPN流量变得困难。另外,加密VPN流量检测对传统的基于端口和基于规则的方法也是一个巨大的挑战。因此,如何有效地识别VPN流量已经成为网络管理和网络空间安全中日益重要和实用的课题。
目前,VPN流量检测引起了学术界的广泛关注。目前比较典型的方法是基于机器学习的方法。机器学习方法一般需要选择有效的特征来检测VPN流量。然而,这些特征往往是人工提取的,严重依赖于专业经验。而且,这些方法很大程度上依赖于这些特征。一旦特征改变,模型将失败。为了降低人工构造特征的成本,人们逐渐将深度学习应用于特征的自动学习。目前的深度学习模型虽然取得了很好的效果,但大多倾向于使用原始加密流量或原始加密流量中的信息作为输入来学习特征。这必然会导致模型投入巨大、耗时过长的问题。同时,捕获和使用原始流量也会在一定程度上造成用户隐私问题。为了解决这些问题,可以考虑的另一种方法是使用NetFlow数据,它由Cisco提出,只包含会话级别的统计信息。NetFlow数据对数据包信息进行了汇总和统计,保留了体现流量特征的重要信息,且不涉及用户隐私,是原始流量的一种有效替代方式。此外,与现有的加密流量识别的相关研究相比,目前利用NetFlow数据进行流量识别的研究还很少。
发明内容
本发明针对上述问题,提供一种基于NetFlow数据的特定加密流量识别方法及系统。
本发明采用的技术方案如下:
一种基于NetFlow数据的特定加密流量识别方法,包括以下步骤:
利用原始网络流量生成NetFlow序列;
采用双向LSTM网络捕获NetFlow序列的上下文关系;
采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算,得到NetFlow序列的特征;
利用得到的NetFlow序列的特征识别加密流量。
进一步地,所述NetFlow序列包括:单向原始流记录序列、单向扩充流记录序列、双向原始流记录序列和双向扩充流记录序列。
进一步地,各种NetFlow序列的构成如下:
单向原始流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,流内包数,流内字节数};
单向扩充流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,流内包数,流内字节数}+{bps,pps,bpp};
双向原始流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,上行包数,上行字节数,下行包数,下行字节数,流数};
双向扩充流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,上行包数,上行字节数,下行包数,下行字节数,流数}+上行{bps,pps,bpp}+下行{bps,pps,bpp}。
进一步地,所述注意力机制对NetFlow序列的上下文关系中的关键信息赋予更高的权重,以增强特征的表达能力。
进一步地,所述利用得到的NetFlow序列的特征识别加密流量,包括:输出预测标签,即NetFlow序列属于加密流量标签还是非加密流量标签。
进一步地,基于不同的采样率情况下输出的NetFlow序列进行加密流量的识别。
一种采用上述方法的基于NetFlow数据的特定加密流量识别系统,其包括:
输入层模块,用于输入利用原始网络流量生成的NetFlow序列;
编码层模块,用于采用双向LSTM网络捕获NetFlow序列的上下文关系;
注意力层模块,用于采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算,得到NetFlow序列的特征;
输出层模块,用于利用得到的NetFlow序列的特征识别加密流量,输出预测标签。
利用本发明提供的方法进行VPN加密流量识别,具有以下有益效果:
1.本发明提出的NSA-Net模型在基于公开VPN-nonVPN数据集生成的NetFlow流数据上产生了出色的结果,达到98.7%的TPR(真正率),优于现有的其他深度学习模型和最先进的方法。
2.本发明对数据集进行不同比率的采样,基于不同采样率的NetFlow流记录验证本发明提出的NSA-Net模型。发现即使在较低的采样率(1:100)下,本发明的模型仍取得了非常不错的识别效果,达到90%以上的准确率。
附图说明
图1是NetFlow数据生成过程示意图。
图2是NSA-Net模型示意图。
图3是不同深度学习模型对比实验结果图。
图4是不同采样比对比实验结果图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步详细说明。
本发明提出了一种加密流量识别模型,称为NSA-Net(NetFlow SequenceAttention Network,NetFlow序列注意力网络)。NSA-Net网络从NetFlow序列而不是原始流量中学习具有代表性的特征,以保证用户隐私。其中NetFlow序列主要是指:流的包数、字节数、持续时间、协议类型等信息。由于双向LSTM能够从两个方向挖掘序列信息,并且注意机制能够聚焦于重要信息,因此采用具有注意机制的双向LSTM网络来捕获一个NetFlow序列中最重要的代表性信息。
具体来说,NSA-Net网络模型包括四个层次:输入层用于输入NetFlow序列;编码层尽可能捕获NetFlow序列的上下文关系;注意力层进行注意力权重计算,对少量的关键信息赋予更高的权重,给予更多的关注,来增强特征;输出层用于输出预测标签。该NSA-Net网络模型采用深度学习网络自动学习NetFlow流记录的潜在特征,免去复杂的人工特征提取过程,用于对VPN加密流量的识别。
输入层:为了能够获取最优的流记录序列输入,以四种流记录序列作为输入:单向原始流记录序列、单向扩充流记录序列、双向原始流记录序列和双向扩充流记录序列。如表1所示,其中TCP flag是TCP数据包的控制标志,bps是比特每秒(bytes per second),pps是包每秒(packets per second),bpp是比特每包(bytes per packet)。
表1.四种NetFlow序列
Figure BDA0003156545250000041
编码层:编码层将流序列作为输入,经过双向长短期记忆网络(双向LSTM)从两个方向对流序列进行正向和反向的序列建模,用于捕获NetFlow序列的上下文关系。
注意力层:注意力层通过对注意力权重的计算,对信息分配权重,对大量信息中的少量关键信息赋予更高的权重,来增强特征的表达能力。
输出层:输出层预测的标签即该流序列属于加密流量标签还是非加密流量标签。
由于网络流量的爆发时增长,在实际的网络环境中,在减少数据输出与存储的同时,为了保证设备的性能,支持NetFlow流记录输出的设备通常会在一个低采样率的情况下输出流记录,某些设备采用的采样率达到1/1000或者更低。在这样的背景下,本发明还研究基于不同的采样率情况下输出的NetFlow流记录进行加密流量的识别,采用本发明提出的NSA-Net网络模型依然能够取得非常好的识别结果。
本发明的关键点在于:
1.提出了一种用于VPN流量检测的NSA-Net网络模型。并且,据我们所知,在VPN检测领域,首次尝试使用注意机制获取特征,并以NetFlow序列作为输入来保护用户隐私。
2.NSA-Net模型结合循环神经网络和注意力机制的优点,利用循环神经网络尽可能捕获稀疏流记录上下文关系,增加注意力机制进行注意力权重计算,对信息进行加权,实现对相关性特征的增强,自动学习流记录的潜在特征。
3.探索了不同类型的NetFlow流记录,四种NetFlow输入序列中,双向扩充流记录序列提供了更加丰富的数据信息,是区分VPN和非VPN的最佳NetFlow流序列输入。
本发明的一个实例中,基于公开的VPN数据集(ISCXVPN2016),该数据集包含25G左右的原始数据包。基于该数据集,使用softflowd生成NetFlow流记录,具体的NetFlow数据生成过程如图1所示。原始流量作为输入,使用softflowd生成NetFlow数据,使用nfcapd采集NetFlow数据,使用nfdump读取NetFlow数据,然后对数据进行清洗,最终生成实验数据,即NetFlow序列数据。其中,softflowd、nfcapd、nfdump为现有的软件工具。NetFlow数据指原始的NetFlow数据,NetFlow序列指从NetFlow原始数据中提取的相关信息。
本实例提出的NSA-Net加密流量模型,包含4层,分别为输入层,编码层,注意力层和输出层,如图2所示。输入层用于输入NetFlow序列;编码层采用双向LSTM对NetFlow序列信息进行编码;注意力层进行特征权重计算;输出层用于输出预测结果。基于NSA-Net模型区分VPN加密和非加密流量,并在不同采样率的情况下,使用该模型来区分VPN加密和非加密流量,均取得出色的识别效果。
图2中,softmax()函数又称归一化指数函数,用于计算向量的注意力值(即概率权重值)。a1~an分别表示每个输入向量的权重,也称注意力分布。flatten()函数用于返回一个折叠成一维的数组,为后续的分类做准备。argmax()函数用于表示寻找具有最大评分的参量,做为最终的分类标签。
实验数据:
一、不同深度学习模型对比实验:
1BiLSTM:NetFlow序列数据应用到1层双向LSTM网络中,采用标准的双向LSTM模型,进行标签的预测;
2BiLSTM+Att:NetFlow序列数据应用到2层双向LSTM结构加注意力机制的网络中,进行标签的预测;
1D-CNN:NetFlow数据应用到一维卷积神经网络结构,进行标签预测;
NSA-Net:本发明提出的NSA-Net模型结合NetFlow序列数据,进行标签预测。
实验结果如图3所示,其中,ACC表示准确率,TPR表示真正率,FPR假正率;ACC、TPR越高,FPR越低,表示识别效果越好。本发明中提出的NSA-Net表现要优于其它类型的深度学习网络,达到98.7%的TPR(真正率)。
二、不同采样比对比实验:
NOS-NSA-Net:未采样的NetFlow序列数据作为NSA-Net模型的输入进行标签预测;
10S-NSA-Net:1:10采样率下的NetFlow序列数据作为NSA-Net模型的输入进行标签预测;
100S-NSA-Net:1:100采样率下的NetFlow序列数据作为NSA-Net模型的输入进行标签预测。
实验结果如图4所示,本发明提出的模型在低采样率的情况下仍能达到90%以上的ACC和TPR。这揭示了本发明提出的NSA-Net模型在低采样环境下仍然具有很大的潜力,显示出NSA-Net模型在不同采样比的NetFlow数据上具备较强的适应性,保持较高的识别效果。
基于同一发明构思,本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
基于同一发明构思,本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
以上公开的本发明的具体实施例,其目的在于帮助理解本发明的内容并据以实施,本领域的普通技术人员可以理解,在不脱离本发明的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容,本发明的保护范围以权利要求书界定的范围为准。

Claims (7)

1.一种基于NetFlow数据的特定加密流量识别方法,其特征在于,包括以下步骤:
利用原始网络流量生成NetFlow序列;
采用双向LSTM网络对NetFlow序列进行正向和反向的序列建模,捕获NetFlow序列的上下文关系;
采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算,得到NetFlow序列的特征;
利用得到的NetFlow序列的特征识别加密流量;
所述NetFlow序列包括:单向原始流记录序列、单向扩充流记录序列、双向原始流记录序列和双向扩充流记录序列;
各种NetFlow序列的构成如下:
单向原始流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,流内包数,流内字节数};
单向扩充流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,流内包数,流内字节数}+{bps,pps,bpp};
双向原始流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,上行包数,上行字节数,下行包数,下行字节数,流数};
双向扩充流记录序列:{流持续时间,协议,源端口,目的端口,TCP flag,上行包数,上行字节数,下行包数,下行字节数,流数}+上行{bps,pps,bpp}+下行{bps,pps,bpp}。
2.根据权利要求1所述的方法,其特征在于,所述注意力机制对NetFlow序列的上下文关系中的关键信息赋予更高的权重,以增强特征的表达能力。
3.根据权利要求1所述的方法,其特征在于,所述利用得到的NetFlow序列的特征识别加密流量,包括:输出预测标签,即NetFlow序列属于加密流量标签还是非加密流量标签。
4.根据权利要求1所述的方法,其特征在于,基于不同的采样率情况下输出的NetFlow序列进行加密流量的识别。
5.一种采用权利要求1~4中任一权利要求所述方法的基于NetFlow数据的特定加密流量识别系统,其特征在于,包括:
输入层模块,用于输入利用原始网络流量生成的NetFlow序列;
编码层模块,用于采用双向LSTM网络捕获NetFlow序列的上下文关系;
注意力层模块,用于采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算,得到NetFlow序列的特征;
输出层模块,用于利用得到的NetFlow序列的特征识别加密流量,输出预测标签。
6.一种电子装置,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~4中任一权利要求所述方法的指令。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现权利要求1~4中任一权利要求所述的方法。
CN202110778054.0A 2021-07-09 2021-07-09 一种基于NetFlow数据的特定加密流量识别方法及系统 Active CN113630384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110778054.0A CN113630384B (zh) 2021-07-09 2021-07-09 一种基于NetFlow数据的特定加密流量识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110778054.0A CN113630384B (zh) 2021-07-09 2021-07-09 一种基于NetFlow数据的特定加密流量识别方法及系统

Publications (2)

Publication Number Publication Date
CN113630384A CN113630384A (zh) 2021-11-09
CN113630384B true CN113630384B (zh) 2022-10-14

Family

ID=78379401

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110778054.0A Active CN113630384B (zh) 2021-07-09 2021-07-09 一种基于NetFlow数据的特定加密流量识别方法及系统

Country Status (1)

Country Link
CN (1) CN113630384B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011931A (zh) * 2019-01-25 2019-07-12 中国科学院信息工程研究所 一种加密流量类别检测方法及系统
CN111723368A (zh) * 2020-05-28 2020-09-29 中国人民解放军战略支援部队信息工程大学 基于Bi-LSTM和自注意力的恶意代码检测方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3602999B1 (en) * 2017-03-28 2021-05-19 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
CN111341386B (zh) * 2020-02-17 2022-09-20 大连理工大学 引入注意力的多尺度CNN-BiLSTM非编码RNA互作关系预测方法
CN111488739B (zh) * 2020-03-17 2023-07-18 天津大学 基于多粒度生成图像增强表示的隐式篇章关系识别方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011931A (zh) * 2019-01-25 2019-07-12 中国科学院信息工程研究所 一种加密流量类别检测方法及系统
CN111723368A (zh) * 2020-05-28 2020-09-29 中国人民解放军战略支援部队信息工程大学 基于Bi-LSTM和自注意力的恶意代码检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种数据增强与混合神经网络的异常流量检测;连鸿飞等;《小型微型计算机系统》;20200409(第04期);全文 *

Also Published As

Publication number Publication date
CN113630384A (zh) 2021-11-09

Similar Documents

Publication Publication Date Title
Salman et al. A review on machine learning–based approaches for Internet traffic classification
CN110011931B (zh) 一种加密流量类别检测方法及系统
CN113364752B (zh) 一种流量异常检测方法、检测设备及计算机可读存储介质
WO2018054342A1 (zh) 一种网络数据流分类的方法及系统
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
CN108199863B (zh) 一种基于两阶段序列特征学习的网络流量分类方法及系统
CN111064678A (zh) 基于轻量级卷积神经网络的网络流量分类方法
CN112804253B (zh) 一种网络流量分类检测方法、系统及存储介质
CN113452676B (zh) 一种检测器分配方法和物联网检测系统
Xu et al. Seeing traffic paths: Encrypted traffic classification with path signature features
Shen et al. Efficient fine-grained website fingerprinting via encrypted traffic analysis with deep learning
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
Jorgensen et al. Extensible machine learning for encrypted network traffic application labeling via uncertainty quantification
Wu et al. TDAE: Autoencoder-based automatic feature learning method for the detection of DNS tunnel
Chiu et al. CAPC: packet-based network service classifier with convolutional autoencoder
Han et al. An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform
Tong et al. BFSN: a novel method of encrypted traffic classification based on bidirectional flow sequence network
Ding et al. Adversarial sample attack and defense method for encrypted traffic data
CN113630384B (zh) 一种基于NetFlow数据的特定加密流量识别方法及系统
Liu et al. Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection
Wang et al. Network traffic classification based on federated semi-supervised learning
CN111835720B (zh) 基于特征增强的vpn流量web指纹识别方法
Hejun et al. Online and automatic identification and mining of encryption network behavior in big data environment
Liu et al. Automated behavior identification of home security camera traffic
CN110912906B (zh) 一种边缘计算恶意节点识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant