CN113691537B - 基于图分析的恶意加密流量检测方法 - Google Patents

基于图分析的恶意加密流量检测方法 Download PDF

Info

Publication number
CN113691537B
CN113691537B CN202110980179.1A CN202110980179A CN113691537B CN 113691537 B CN113691537 B CN 113691537B CN 202110980179 A CN202110980179 A CN 202110980179A CN 113691537 B CN113691537 B CN 113691537B
Authority
CN
China
Prior art keywords
features
encrypted traffic
file
detection method
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110980179.1A
Other languages
English (en)
Other versions
CN113691537A (zh
Inventor
李祺
杨彦青
赵键锦
米嘉欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202110980179.1A priority Critical patent/CN113691537B/zh
Publication of CN113691537A publication Critical patent/CN113691537A/zh
Application granted granted Critical
Publication of CN113691537B publication Critical patent/CN113691537B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明的实施例提供了一种基于图分析的恶意加密流量检测方法,涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括:提取已经打标的加密流量的特征;采用加密流量的特征对GraphSAGE图模型进行训练;提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。

Description

基于图分析的恶意加密流量检测方法
技术领域
本发明涉及网络通信技术领域,具体而言,涉及一种基于图分析的恶意加密流量检测方法。
背景技术
随着互联网应用规模的扩大,对网络安全风险防范的意识不断增强,越来越多的应用通过加密手段实现隐私数据保护,网络中加密流量占比越来越高。与此同时,攻击者也通过加密手段隐藏自己的信息,使用加密通信的恶意代码、加密信道的恶意攻击层出不穷,这给传统的基于规则的流量检测方法带来了巨大挑战。
目前主流的加密流量攻击检测手段有两种:解密后检测和不解密检测。业界网关设备主要使用解密流量的方法检测攻击行为,但这种方法会消耗大量的资源,成本很高,同时也违反了加密的初衷,解密过程会受到隐私保护相关法律法规的严格限制。出于保护用户隐私的考量,不解密进行流量检测的方法逐渐被业界研究人员关注起来,这种方法无需对其进行解密,通过利用己经掌握的数据资源,对加密流量进行判别。
传统不解密流量检测方法主要基于五元组信息。但是在当前网络环境中,随着端口跳变技术、动态端口技术、隧道技术的提出与使用,使得基于端口等五元组信息的流量检测方法己经无法满足检测需求。
发明内容
本发明的目的包括提供一种基于图分析的恶意加密流量检测方法,其能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。
本发明的实施例可以这样实现:
第一方面,本发明提供一种基于图分析的恶意加密流量检测方法,方法包括:
提取已经打标的加密流量的特征;
采用加密流量的特征对GraphSAGE图模型进行训练;
提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,以判断加密流量是否为恶意。
在可选的实施方式中,特征包括统计特征和图像特征。
在可选的实施方式中,已经打标的加密流量的样本格式为:[标签,ID编号,特征,G];
其中,标签表示加密流量为恶意流量或正常流量;
ID编号表示加密流量的身份标识;
特征表示统计特征或图像特征;
G表示为G=(V,E,X);
其中,V={v1,v2,v3,···}是加密流量的图像特征的节点集合,vi表示ID编号为i的加密流量的节点;
E={eij,epq,exy,···}表示无向边集合,若vi和vj有关系,则eij=1,若vi和vj没有关系,则eij=0;
X={x1,x2,x3,···}表示节点属性集合,xi表示ID编号为i的节点的统计特征。
在可选的实施方式中,vi={xi,yi},即vi有两种表示形式xi和yi,其中,xi表示属性特征集合,yi表示灰度图。
在可选的实施方式中,vi和vj是否有关系的判断方法包括:
计算每一个节点与其余节点的相似度;
根据相似度,构建相似度矩阵S:
Figure BDA0003228804070000031
其中,Sij表示节点i和节点j的相似度,S11=S22=···=SNN=1;
根据相似度矩阵S,得到邻接矩阵A:
Figure BDA0003228804070000032
其中,当且仅当Sij在Si1至SiN中排在前K个时,aij=1,其余情况下aij=0;
当加密流量的证书颁发主体和证书颁发机构相同且aij=0,则eij=1;其余情况eij=aij
在可选的实施方式中,统计特征包括连接特征、SSL特征和证书特征,提取统计特征的方法包括:
解析加密流量的样本数据,生成日志文件;
从日志文件中提取连接特征、SSL特征和证书特征。
在可选的实施方式中,日志文件包括conn.log文件、ssl.log文件和x509.log文件,从日志文件中提取连接特征、SSL特征和证书特征的步骤包括:
从conn.log文件中提取连接特征;
从ssl.log文件中提取SSL特征;
从x509.log文件中提取证书特征。
在可选的实施方式中,提取图像特征的方法包括:
流量切分:将连续的原始的加密流量拆分为多个会话文件;
流量清洗:删除会话文件中对分类结果会产生干扰以及会导致模型产生偏差的信息数据;
图片生成:将清洗过的会话文件进行处理,生成图像特征。
在可选的实施方式中,图片生成的步骤包括:
对清洗过的会话文件的前784个字节进行统一长度处理;
以字节为单位转换为0至255中的一个整数,使得每个字节对应一个灰度像素值;
将784个字节排列成28*28的矩阵,并构造为宽28个像素、高28个像素的灰度图像,灰度图像即为图像特征。
在可选的实施方式中,对清洗过的会话文件的前784个字节进行统一长度处理的步骤包括:
对文件长度大于784个字节的会话文件,截取会话文件前784个字节的长度;
对文件长度小于784个字节的会话文件,在会话文件的后面补充0x00直到文件长度为784个字节。
本发明实施例提供的基于图分析的恶意加密流量检测方法的有益效果包括:
该检测方法首先通过提取已经打标的加密流量的特征,并用这些特征训练模型,然后提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,就能够判断出待检测的加密流量是否为恶意,能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的基于图分析的恶意加密流量检测方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
请参考图1,本实施例提供了一种基于图分析的恶意加密流量检测方法(以下简称:“检测方法”),该检测方法包括以下步骤:
S1:提取已经打标的加密流量的特征。
其中,已经打标的加密流量是指已经标记为恶意或非恶意的加密流量。特征包括统计特征和图像特征。
首先,解析加密流量的样本数据,生成日志文件,日志文件包括conn.log文件、ssl.log文件和x509.log文件;然后,从日志文件中提取统计特征,统计特征包括连接特征、SSL特征和证书特征。
具体的,在处理每一次连接时,每个会话分配一个唯一的索引,并生成与之对应的各个日志文件。当一个ssl.log文件包含一次连接的SSL/TLS会话信息时,可以使用其唯一的索引,在x509.log文件中可以找到与该会话有关的证书特征。
conn.log文件包含连接特征,如源IP地址、目的IP地址、使用的端口、连接时间、上行流和下行流数据包的个数和尺寸等。因此,从conn.log文件中提取连接特征。
ssl.log文件包含SSL特征,如时间戳、版本、握手过程中商定的密钥、服务器名称等信息。因此,从ssl.log文件中提取SSL特征。
x509.log文件包含证书特征,如证书序列号、版本、颁发者、有效期、密钥类型、长度、服务器DNS等。因此,从x509.log文件中提取证书特征。
其中,提取图像特征的方法包括:
流量切分:以会话文件作为切分加密流量的粒度,将连续的原始的加密流量拆分为多个会话文件,会话文件的输出数据格式为pcap,以便与常用的处理工具适配;
流量清洗:删除会话文件中对分类结果会产生干扰以及会导致模型产生偏差的信息数据,具体的,首先,对数据链路层和网络层中的MAC地址和IP地址进行随机化处理,去除MAC地址和IP地址等对分类结果产生干扰的特定消息;其次,删除可能会导致模型产生偏差的空流以及重复数据;
图片生成:将清洗过的会话文件进行处理,生成图像特征。
其中,图片生成的步骤包括:
首先,对清洗过的会话文件的前784个字节进行统一长度处理;其中,对文件长度大于784个字节的会话文件,截取会话文件前784个字节的长度;对文件长度小于784个字节的会话文件,在会话文件的后面补充0x00直到文件长度为784个字节。
然后,以字节为单位转换为0至255中的一个整数,使得每个字节对应一个灰度像素值;
最后,将784个字节排列成28*28的矩阵,并构造为宽28个像素、高28个像素的灰度图像,灰度图像即为图像特征。
提取图像特征的方法还有很多,任何可以将加密流量的字节转为图像的方法都可以应用至GraphSAGE图模型。
S2:采用加密流量的特征对GraphSAGE图模型进行训练。
具体的,利用S1中提取的统计特征和图像特征构建加密流量的KNN图,使GraphSAGE图模型对KNN图进行有监督的二分类,完成对GraphSAGE图模型的训练。具体地,通过聚合其邻居的特征得到加密流量的高级嵌入向量,最终将向量输入到分类器中得到判别分类,其中参数的设置可根据不同的数据集进行调优。
KNN图中,节点之间的关联关系由图像特征构建而成,节点的属性来源于统计特征。
具体的,已经打标的加密流量的样本格式为:[标签,ID编号,特征,G]。
其中,标签表示加密流量为恶意流量或正常流量。
ID编号表示加密流量的身份标识,使得每一个加密流量都有一个唯一标识。
特征表示统计特征或图像特征。
G表示为G=(V,E,X)。
其中,V={v1,v2,v3,···}是加密流量的图像特征的节点集合,vi表示ID编号为i的加密流量的节点。
E={eij,epq,exy,···}表示无向边集合,若vi和vj有关系,则eij=1,若vi和vj没有关系,则eij=0;vi在进行特征表述时,有属性特征和图像特征拼接表示,即vi={xi,yi},即vi有两种表示形式xi和yi,其中,xi表示属性特征集合,yi表示灰度图。
其中,vi和vj是否有关系的判断方法包括:
首先,计算每一个节点与其余节点的相似度,也就是说,对每一条加密流量的灰度图采用图像处理领域的相关算法,例如:Heat Kernel算法,计算该节点与其余节点的相似度;
然后,根据相似度,构建相似度矩阵S:
Figure BDA0003228804070000081
其中,Sij表示节点i和节点j的相似度,S11=S22=···=SNN=1;
Sij的计算公式为:
Figure BDA0003228804070000082
其中,t是热传导方程中的时间参数。
最后,根据相似度矩阵S,得到邻接矩阵A:
Figure BDA0003228804070000083
其中,当且仅当Sij在Si1至SiN中排在前K个时,aij=1,其余情况下aij=0;
当加密流量的证书颁发主体和证书颁发机构相同且aij=0,则eij=1;其余情况eij=aij
X={x1,x2,x3,···}表示节点属性集合,xi表示ID编号为i的节点的统计特征。
S3:提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,以判断加密流量是否为恶意。
对于任何一条加密流量,将其特征输入训练好的GraphSAGE图模型,GraphSAGE图模型可以自动判断出该加密流量是否为恶意流量。
在其它实施例中,还可以提取已经打标的加密流量的其它特征来训练GraphSAGE图模型,本实施例采用的GraphSAGE图模型具有良好的灵活性和扩展性。
本发明实施例提供的基于图分析的恶意加密流量检测方法的有益效果包括:
1.该检测方法首先通过提取已经打标的加密流量的特征,并用这些特征训练模型,然后提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,就能够判断出待检测的加密流量是否为恶意,能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密;
2.该检测方法考虑到了特征与特征之间的相关性以及流量与流量之间的相关性,利用属性特征构建KNN图,利用图像相似性构建关联关系,从关联角度融合两类特征,检测方法简单,准确性高。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种基于图分析的恶意加密流量检测方法,其特征在于,所述方法包括:
提取已经打标的加密流量的特征,所述特征包括统计特征和图像特征,所述统计特征包括连接特征、SSL特征和证书特征;
采用所述加密流量的所述特征对GraphSAGE图模型进行训练;
提取待检测的所述加密流量的所述特征,并输入训练好的所述GraphSAGE图模型,以判断所述加密流量是否为恶意。
2.根据权利要求1所述的基于图分析的恶意加密流量检测方法,其特征在于,已经打标的所述加密流量的样本格式为:[标签,ID编号,特征,G];
其中,所述标签表示加密流量为恶意流量或正常流量;
所述ID编号表示加密流量的身份标识;
所述特征表示统计特征或图像特征;
所述G表示为G=(V,E,X);
其中,V={v1,v2,v3,···}是加密流量的图像特征的节点集合,vi表示ID编号为i的加密流量的节点;
E={eij,epq,exy,···}表示无向边集合,若vi和vj有关系,则eij=1,若vi和vj没有关系,则eij=0;
X={x1,x2,x3,···}表示节点属性集合,xi表示ID编号为i的节点的统计特征。
3.根据权利要求2所述的基于图分析的恶意加密流量检测方法,其特征在于,vi={xi,yi},即vi有两种表示形式xi和yi,其中,xi表示属性特征集合,yi表示灰度图。
4.根据权利要求2或3所述的基于图分析的恶意加密流量检测方法,其特征在于,vi和vj是否有关系的判断方法包括:
计算每一个节点与其余节点的相似度;
根据所述相似度,构建相似度矩阵S:
Figure FDA0003697437600000021
其中,Sij表示节点i和节点j的相似度,S11=S22=···=SNN=1;
根据所述相似度矩阵S,得到邻接矩阵A:
Figure FDA0003697437600000022
其中,当且仅当Sij在Si1至SiN中排在前K个时,aij=1,其余情况下aij=0;
当加密流量的证书颁发主体和证书颁发机构相同且aij=0,则eij=1;其余情况eij=aij
5.根据权利要求1或2所述的基于图分析的恶意加密流量检测方法,其特征在于,提取所述统计特征的方法包括:
解析所述加密流量的样本数据,生成日志文件;
从所述日志文件中提取所述连接特征、所述SSL特征和所述证书特征。
6.根据权利要求5所述的基于图分析的恶意加密流量检测方法,其特征在于,所述日志文件包括conn.log文件、ssl.log文件和x509.log文件,所述从所述日志文件中提取所述连接特征、所述SSL特征和所述证书特征的步骤包括:
从所述conn.log文件中提取所述连接特征;
从所述ssl.log文件中提取所述SSL特征;
从所述x509.log文件中提取所述证书特征。
7.根据权利要求1或2所述的基于图分析的恶意加密流量检测方法,其特征在于,提取所述图像特征的方法包括:
流量切分:将连续的原始的所述加密流量拆分为多个会话文件;
流量清洗:删除所述会话文件中对分类结果会产生干扰以及会导致所述模型产生偏差的信息数据;
图片生成:将清洗过的所述会话文件进行处理,生成所述图像特征。
8.根据权利要求7所述的基于图分析的恶意加密流量检测方法,其特征在于,所述图片生成的步骤包括:
对清洗过的所述会话文件的前784个字节进行统一长度处理;
以字节为单位转换为0至255中的一个整数,使得每个字节对应一个灰度像素值;
将784个字节排列成28*28的矩阵,并构造为宽28个像素、高28个像素的灰度图像,所述灰度图像即为所述图像特征。
9.根据权利要求8所述的基于图分析的恶意加密流量检测方法,其特征在于,所述对清洗过的所述会话文件的前784个字节进行统一长度处理的步骤包括:
对文件长度大于784个字节的所述会话文件,截取所述会话文件前784个字节的长度;
对文件长度小于784个字节的所述会话文件,在所述会话文件的后面补充0x00直到文件长度为784个字节。
CN202110980179.1A 2021-08-25 2021-08-25 基于图分析的恶意加密流量检测方法 Active CN113691537B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110980179.1A CN113691537B (zh) 2021-08-25 2021-08-25 基于图分析的恶意加密流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110980179.1A CN113691537B (zh) 2021-08-25 2021-08-25 基于图分析的恶意加密流量检测方法

Publications (2)

Publication Number Publication Date
CN113691537A CN113691537A (zh) 2021-11-23
CN113691537B true CN113691537B (zh) 2022-07-26

Family

ID=78582374

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110980179.1A Active CN113691537B (zh) 2021-08-25 2021-08-25 基于图分析的恶意加密流量检测方法

Country Status (1)

Country Link
CN (1) CN113691537B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835769A (zh) * 2020-07-14 2020-10-27 南方电网科学研究院有限责任公司 基于vgg神经网络的恶意流量检测方法、装置、设备及介质
CN112468487A (zh) * 2020-11-25 2021-03-09 清华大学 实现模型训练的方法、装置、实现节点检测的方法及装置
CN112565308A (zh) * 2021-02-26 2021-03-26 北京邮电大学 基于网络流量的恶意应用检测方法、装置、设备及介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120627B (zh) * 2018-08-29 2021-07-13 重庆邮电大学 一种基于改进KNN的6LoWPAN网络入侵检测方法
US11082438B2 (en) * 2018-09-05 2021-08-03 Oracle International Corporation Malicious activity detection by cross-trace analysis and deep learning
CN112818257B (zh) * 2021-02-19 2022-09-02 北京邮电大学 基于图神经网络的账户检测方法、装置和设备
CN113141360B (zh) * 2021-04-21 2022-06-28 建信金融科技有限责任公司 网络恶意攻击的检测方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835769A (zh) * 2020-07-14 2020-10-27 南方电网科学研究院有限责任公司 基于vgg神经网络的恶意流量检测方法、装置、设备及介质
CN112468487A (zh) * 2020-11-25 2021-03-09 清华大学 实现模型训练的方法、装置、实现节点检测的方法及装置
CN112565308A (zh) * 2021-02-26 2021-03-26 北京邮电大学 基于网络流量的恶意应用检测方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113691537A (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
Zhang et al. An efficient image encryption scheme based on S-boxes and fractional-order differential logistic map
Torroledo et al. Hunting malicious TLS certificates with deep neural networks
CN107637041B (zh) 识别恶意加密网络流量的方法与系统以及计算机程序元件
Liu et al. An Improved Image Encryption Algorithm based on Chaotic System.
CN113469234A (zh) 一种基于免模型联邦元学习的网络流量异常检测方法
Ke et al. Steganography security: Principle and practice
CN111224946A (zh) 一种基于监督式学习的tls加密恶意流量检测方法及装置
WO2023173790A1 (zh) 一种基于数据包的加密流量分类系统
CN113676348A (zh) 一种网络通道破解方法、装置、服务器及存储介质
Satoh et al. SSH dictionary attack detection based on flow analysis
Liu et al. A survey on encrypted traffic identification
Prajapat et al. Time variant approach towards symmetric key
Nardo et al. A reliable chaos-based cryptography using Galois field
Tong et al. BFSN: a novel method of encrypted traffic classification based on bidirectional flow sequence network
Martínez Padilla et al. Security evaluation of Tree Parity Re-keying Machine implementations utilizing side-channel emissions
Junior Gabriel et al. Post-quantum crystography system for secure electronic voting
Arslan et al. A study on the use of quantum computers, risk assessment and security problems
Abuhaiba et al. Image encryption using chaotic map and block chaining
CN113691537B (zh) 基于图分析的恶意加密流量检测方法
Liu et al. Spatial‐Temporal Feature with Dual‐Attention Mechanism for Encrypted Malicious Traffic Detection
Singh et al. To design a genetic algorithm for cryptography to enhance the security
Jolfaei et al. Image encryption using HC-128 and HC-256 stream ciphers
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法
Zeng et al. Toward identifying malicious encrypted traffic with a causality detection system
Liu et al. Analysis on an image encryption algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant