CN114124565B - 一种基于图嵌入的网络入侵检测方法 - Google Patents

一种基于图嵌入的网络入侵检测方法 Download PDF

Info

Publication number
CN114124565B
CN114124565B CN202111471356.XA CN202111471356A CN114124565B CN 114124565 B CN114124565 B CN 114124565B CN 202111471356 A CN202111471356 A CN 202111471356A CN 114124565 B CN114124565 B CN 114124565B
Authority
CN
China
Prior art keywords
graph
data packet
intrusion detection
packet length
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111471356.XA
Other languages
English (en)
Other versions
CN114124565A (zh
Inventor
胡晓艳
高文洁
程光
吴桦
龚俭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202111471356.XA priority Critical patent/CN114124565B/zh
Publication of CN114124565A publication Critical patent/CN114124565A/zh
Application granted granted Critical
Publication of CN114124565B publication Critical patent/CN114124565B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于图嵌入的网络入侵检测方法,具体步骤包括:从原始网络流量中提取每条流的数据包长度序列;利用得到的数据包长度序列来构图,其中每条流都对应一张图;利用图嵌入方法graph2vec把图变成表示向量;使用分类器对图向量进行分类,得出被检测流量的类别。本发明是第一个利用单条流构图来做网络入侵检测的,将流量检测问题转换为图分类问题,分类效果显著;本发明一定程度上更好地满足入侵检测的实时性要求,其只需要流的一段数据包长度序列即可,对于持续时间长的攻击流在攻击的早期即可实现及时检测进而可以及时采取相应防御措施;本发明的特征提取不依赖人工经验,不需手动地选择流特征,简化了特征工程。

Description

一种基于图嵌入的网络入侵检测方法
技术领域
本发明属于网络空间安全技术领域,涉及一种基于图嵌入的网络入侵检测方法。
背景技术
近些年,随着网络技术的飞速发展和网络应用的快速增长,促使更多更复杂的网络攻击出现。有效地检测网络攻击对于国防、企业以及个人都有着重大意义。入侵检测旨在识别对计算机网络造成破坏的攻击,其一直是网络安全领域的一个研究热点。
入侵检测一般分为主机型入侵检测和网络型入侵检测,主机型入侵检测主要通过系统日志等信息对计算机内部进行检测,网络型入侵检测则通过网络流数据检测对计算机网络而非单个主机的攻击。目前对于网络型入侵检测主要集中在对传统机器学习技术和深度学习技术的应用。近几年提出的一些基于机器学习和深度学习模型的网络入侵检测方法确实取得了很好的性能。传统机器学习方法通常需要根据专家经验来手工提取特征,这一般伴随着繁杂的特征处理过程;深度学习方法虽没有传统机器学习那样复杂的特征选取过程,但它也受到固有的神经网络结构的限制,其模型往往需要大量的样本数据来训练。
在流特征提取方面,CICflowmeter工具受到越来越多的关注,它可以使流特征的提取更方便,CICIDS2017、CICIDS2018这两个主流的入侵检测数据集正是使用了此工具,从实验效果来看,此工具提取的流特征使不同类别的流量具有足够的区分度。不过,其提取的是传输层流量的一些统计信息,这意味着必须提供完整的流才可以提取特征,这在一定程度上不利于入侵检测实时性的发展。
如果可以利用一段流的信息,就不用等到流结束后再进行流特征提取,这种情况有利于实时性的提高,对于持续时间长的流很划算。网络流量由客户端和服务器的数据包交互组成,这种交互正是区分流量类别的重要依据。不同类型的流量,其数据包的交互方式应该是有区别的,因此对不同类别的流,利用数据包交互信息构成的图应该是有差异的。目前,从图角度进行网络入侵检测还处于初期阶段,有待于进一步发展。近些年,图嵌入技术也在不断发展,其中graph2vec保留图核的优点,采用无监督方式有效学习了高质量的图嵌入。
为从图的角度进行入侵检测研究,本发明提出了一种基于图嵌入的网络入侵检测方法,利用数据包之间的交互信息把每条流处理成一张图,利用图嵌入方法学习图的向量表示再对图向量分类,进而把流量检测问题转换成了图分类问题。
发明内容
为了有效地检测网络攻击,维护通信网络安全,本发明提出了一种基于图嵌入的网络入侵检测方法,针对现有机器学习方法特征工程繁琐,且流提取工具需提供完整流的现状,提出从图的角度进行网络入侵检测,利用数据包之间的交互信息把每条流处理成一张图,利用图嵌入方法学习图的向量表示并对图向量分类,进而把流量检测问题转换成了图分类问题。
为了达到上述目的,本发明提供如下技术方案:
一种基于图嵌入的网络入侵检测方法,其特征在于,包括如下步骤:
(1)从原始网络流量中提取每条流的数据包长度序列;
(2)利用得到的数据包长度序列来构图,其中每条流都对应一张图;
(3)利用图嵌入方法graph2vec把图变成表示向量;
(4)使用分类器对图向量进行分类,得出被检测流量的类别。
进一步地,所述步骤(1)具体包括如下子步骤:
(1.1)获取原始流量;
(1.2)把原始流量输入到flowcontainer中,并设置过滤条件;
(1.3)根据步骤(1.2)的过滤条件提取出目标流量的数据包长度序列,并保存为csv文件,其中每条流的数据包长度序列对应一条记录;
(1.4)为步骤(1.3)中提取的数据包长度序列设置相应的类别标签,以备后续分类训练及评估使用。
进一步地,步骤(1.2)中所述的原始流量是指存储网络通信数据包的pcap文件,数据包长度序列指网络层的IP数据包长度序列,过滤条件的设置基于wireshark中的流过滤规则。
进一步地,所述步骤(2)具体包括如下子步骤:
(2.1)根据步骤(1)提取的数据包长度序列构图,对于每个数据包长度序列,以数据包为顶点,把方向相同的连续数据包划分在一起,方向不同的则分开,以此把每个数据包长度序列按顺序分为若干部分;
(2.2)对于每个数据包长度序列,把(2.1)步骤中划分到一起的顶点(即数据包)连接起来,即按顺序给相邻两点间加边;
(2.3)对于每个数据包长度序列,把划分开的几个部分用边连接起来,形成一个整图;
(2.4)把数据包长度值添加为图的节点属性,构图完成;
(2.5)重复(2.1)~(2.4)操作,为每条流构图,并保存。
进一步地,步骤(2.2)和(2.3)中所述的边均是指无向边。
进一步地,步骤(2.3)中所述的把划分开的几个部分用边连接起来是指每个部分的第一个点和最后一个点分别连接到下个部分的第一个点和最后一个点,即相邻两个部分之间有2条边。
进一步地,步骤(2.4)中所述的构成的图都可以表示为G(N,E,A),其中N代表图G的节点集合,E代表图G的边集合,A代表图G中节点对应的属性集合。
进一步地,步骤(2.5)中所述的保存是指把每个图存成一个json文件,以备后续图表示学习(如graph2vec)无限次使用。
进一步地,所述步骤(3)具体包括如下子步骤:
(3.1)输入步骤(2)生成的图数据;
(3.2)设置训练次数、学习率、输出维数参数;
(3.3)使用graph2vec生成图嵌入。
进一步地,所述步骤(3.3)具体包括如下子步骤:
(3.3.1)对于输入的每个图,在图中每个节点周围提取有根子图;
(3.3.2)基于Skipgram模型,采用负采样策略,更新根子图嵌入的同时训练图嵌入;
进一步地,步骤(4)中所述的分类指利用随机森林算法对图向量进行分类。与现有技术相比,本发明具有如下优点和有益效果:
(1)本发明第一个利用单条流构图来做网络入侵检测,将流量检测问题转换为图分类问题,分类效果显著;
(2)本发明一定程度上更好地满足实时性要求,其只需要流的一段数据包长度序列即可,对于持续时间长的攻击流在攻击的早期即可实现及时检测进而可以及时采取相应防御措施;
(3)本发明相比于目前的机器学习方法,它不依赖人工特征经验,不需手动地选择流特征,简化了特征工程。
附图说明
图1为本发明提供的基于图嵌入的网络入侵检测方法的框架。
图2为CICIDS2017中随机选取的一条DoS Hulk流所构成的图可视化示例。
图3为CICIDS2017中随机选取的一条DoS GoldenEye流所构成的图可视化示例。
图4为CICIDS2017样本11分类的混淆矩阵图。
图5为CICIDS2018样本10分类的混淆矩阵图。
具体实施方式
下面将结合具体的实施例对本发明提供的技术方案做进一步解释,需指明的是以下具体实施方式仅用于解释本发明而不是限制本发明的范围。
本发明提出了一种基于图嵌入的网络入侵检测方法,框架如图1所示,包括四个部分。第一部分为流提取操作,使用flowcontainer工具从原始网络流量中提取每条流的数据包长度序列;第二部分为构图操作,利用得到的数据包长度序列来构图,其中每条流都对应一张图;第三部分为图表示学习模块,利用图嵌入方法graph2vec把图变成表示向量;第四部分是对图向量的分类,使用随机森林分类器对图向量进行分类,得出被检测的流量是否为攻击流量以及为哪种攻击流量。
具体地说,本发明方法有以下步骤:
(1)从原始网络流量中提取每条流的数据包长度序列。
本步骤的具体过程如下:
(1.1)获取原始流量;
(1.2)把原始流量输入到flowcontainer中,并设置过滤条件。本实施例中的原始流量是CICIDS2017和CICIDS2018数据集对应的pcap文件,按照两个数据集各个类别攻击的时间段,使用editcap把pcap文件按照攻击类别进行分割,使分割后的每个pcap文件只包含一种攻击,再对分割后的pcap文件分别按照相应攻击类别的相应攻击与受害IP和端口设置过滤条件,以此过滤出相应类别的攻击流量,良性流量在非攻击时间段提取;
(1.3)根据步骤(1.2)的过滤条件提取出目标流量的数据包长度序列,并保存为csv文件,其中每条流的数据包长度序列对应一条记录,本实施例中提取的流量样本情况如下表1所示:
表1在CICIDS2017和CICIDS2018中的流样本选取
(1.4)为步骤(1.3)中提取的数据包长度序列设置相应的类别标签,以备后续分类训练和评估使用,根据表1可知,本实施例中使用了IDS2017中的11类流和IDS2018中的10类流。
(2)利用数据包长度序列为每条流构图。
本步骤具体过程如下:
(2.1)根据步骤(1)提取的数据包长度序列构图,对于每个数据包长度序列,以数据包为顶点,把方向相同的连续数据包划分在一起,方向不同的则分开,以此把每个数据包长度序列按顺序分为若干部分;
(2.2)对于每个数据包长度序列,把(2.1)步骤中划分到一起的顶点(即数据包)连接起来,即按顺序给相邻两点间加边;
(2.3)对于每个数据包长度序列,把划分开的几个部分用边连接起来,形成一个整图,其中把划分开的几个部分用边连接起来是指每个部分的第一个点和最后一个点分别连接到下个部分的第一个点和最后一个点,即相邻两个部分之间有2条边;
(2.4)把数据包长度值添加为图的节点属性,完成构图,构成的图都可以表示为G(N,E,A),其中N代表图G的节点集合,E代表图G的边集合,A代表图G中节点对应的属性集合;
(2.5)重复(2.1)~(2.4)操作,为每条流构图,图2和图3展示了IDS2017中随机选取的两条流的数据包长度序列所构成的图,所构的流量图是一种无向属性图,只是在图2、图3中节点属性没有显示出来。对所有流构好图后,把每个图存成一个json文件,以备后续图表示学习(graph2vec)无限次使用。
(3)利用图嵌入方法graph2vec把图变成表示向量。
本步骤具体过程如下:
(3.1)输入步骤(2)生成的图数据;
(3.2)设置训练次数、学习率、输出维数参数,本实施例中graph2vec模型参数如表2所示:
表2graph2vec模型参数
参数
输出维数 128
训练次数 20
学习率 0.025
(3.3)使用graph2vec生成图嵌入。
(4)使用分类器对图向量进行分类,得出被检测流量的类别,本实施例中使用的分类器为随机森林算法。每次实验随机划分60%的样本做训练集,其余40%的样本作为测试集来评估模型。每个实验重复10次,取平均值作为结果。每条流最多选取前200个数据包,在CICIDS2017样本上的11分类效果和CICIDS2018样本上的10分类效果如表3所示,各类别分类效果的混淆矩阵如图4、图5所示。
表3graph2vec+RF在样本中的效果
Accuracy Recall F1 score
CICIDS2017 99.63% 99.37% 0.995
CICIDS2018 99.79% 97.26% 0.975
基于每条流的数据包长度序列进行构图,每条流选取的数据包数量代表着构建的流图含该条流的信息量,这是影响流分类效果的因素之一。此外,数据包数量的大小直接影响所构建的图的大小,进而影响图构建和图表示学习所消耗的时间和内存。于是我们探究了数据包数量对graph2vec性能的影响,结果如表4所示:
表4选取不同数据包数量构图的分类效果
当包数在20~200时,在2个数据集上的3个指标变化不大,只在小范围内浮动,当包数在20以下时,在2个数据集上的3个指标都有较明显的下降,不过依然表现出色。这说明在追求更少时空消耗的目标下,可以选取少数的数据包构图,而非流所包含的所有数据包,这对于含数据包数量多或者持续时间长的攻击流来说,在攻击的早期即可实现及时检测进而可以及时采取相应防御措施。
需要指出的是,以上所述的实施例起解释性作用,不过本发明的范围并不局限于上述的具体实施例中。在不脱离本发明原理的基础上,本领域技术的人员在本发明的框架下获得的其它实施方式,均视为在本发明的保护范围之内。

Claims (9)

1.一种基于图嵌入的网络入侵检测方法,其特征在于,包括如下步骤:
(1)从原始网络流量中提取每条流的数据包长度序列;
(2)利用得到的数据包长度序列来构图,其中每条流都对应一张图;
(3)利用图嵌入方法graph2vec把图变成表示向量;
(4)使用分类器对图向量进行分类,得出被检测流量的类别;
所述步骤(2)具体包括如下子步骤:
(2.1)根据步骤(1)提取的数据包长度序列构图,对于每个数据包长度序列,以数据包为顶点,把方向相同的连续数据包划分在一起,方向不同的则分开,以此把每个数据包长度序列按顺序分为若干部分;
(2.2)对于每个数据包长度序列,把(2.1)中划分到一起的顶点连接起来,即按顺序给相邻两点间加边;
(2.3)对于每个数据包长度序列,把划分开的几个部分用边连接起来,形成一个整图;
(2.4)把数据包长度值添加为图的节点属性,构图完成;
(2.5)重复(2.1)~(2.4)操作,为每条流构图,并保存。
2.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,所述步骤(1)具体包括如下子步骤:
(1.1)获取原始流量;
(1.2)把原始流量输入到flowcontainer中,并设置过滤条件;
(1.3)根据步骤(1.2)的过滤条件提取出目标流量的数据包长度序列,并保存为csv文件,其中每条流的数据包长度序列对应一条记录;
(1.4)为步骤(1.3)中提取的数据包长度序列设置相应的类别标签,以备后续分类模型训练及评估使用。
3.根据权利要求2所述的基于图嵌入的网络入侵检测方法,其特征在于,步骤(1.2)中所述的原始流量是指存储网络通信数据包的pcap文件,数据包长度序列指网络层的IP数据包长度序列,过滤条件的设置基于wireshark中的流过滤规则。
4.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,步骤(2.3)中所述的把划分开的几个部分用边连接起来是指每个部分的第一个点和最后一个点分别连接到下个部分的第一个点和最后一个点,即相邻两个部分之间有2条边。
5.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,步骤(2.4)中所述的构图都可以表示为G(N,E,A),其中N代表图G的节点集合,E代表图G的边集合,A代表图G中节点对应的属性集合。
6.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,步骤(2.5)中所述的保存是指把每个图存成一个json文件,以备后续图表示学习graph2vec无限次使用。
7.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,所述步骤(3)具体包括如下子步骤:
(3.1)输入步骤(2)生成的图数据;
(3.2)设置训练次数、学习率、输出维数;
(3.3)使用graph2vec生成图嵌入并输出。
8.根据权利要求7所述的基于图嵌入的网络入侵检测方法,其特征在于,所述步骤(3.3)具体包括如下子步骤:
(3.3.1)对于输入的每个图,在图中每个节点周围提取有根子图;
(3.3.2)基于Skipgram模型,采用负采样策略训练模型,更新根子图嵌入的同时训练图嵌入,直至训练结束得到最终图嵌入。
9.根据权利要求1所述的基于图嵌入的网络入侵检测方法,其特征在于,步骤(4)中的分类器指随机森林分类器,该分类器利用步骤(1.4)形成的标签和步骤(3)生成的图向量进行模型训练和分类评估。
CN202111471356.XA 2021-12-04 2021-12-04 一种基于图嵌入的网络入侵检测方法 Active CN114124565B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111471356.XA CN114124565B (zh) 2021-12-04 2021-12-04 一种基于图嵌入的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111471356.XA CN114124565B (zh) 2021-12-04 2021-12-04 一种基于图嵌入的网络入侵检测方法

Publications (2)

Publication Number Publication Date
CN114124565A CN114124565A (zh) 2022-03-01
CN114124565B true CN114124565B (zh) 2024-04-05

Family

ID=80366467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111471356.XA Active CN114124565B (zh) 2021-12-04 2021-12-04 一种基于图嵌入的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN114124565B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118451B (zh) * 2022-05-17 2023-09-08 北京理工大学 结合图嵌入知识建模的网络入侵检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768985A (zh) * 2019-01-30 2019-05-17 电子科技大学 一种基于流量可视化与机器学习算法的入侵检测方法
CN110889546A (zh) * 2019-11-20 2020-03-17 浙江省交通规划设计研究院有限公司 一种基于注意力机制的交通流量模型训练方法
CN111783100A (zh) * 2020-06-22 2020-10-16 哈尔滨工业大学 基于图卷积网络对代码图表示学习的源代码漏洞检测方法
CN112883378A (zh) * 2021-03-30 2021-06-01 北京理工大学 图嵌入与深度神经网络相融合的安卓恶意软件检测方法
CN113660225A (zh) * 2021-07-29 2021-11-16 广州大学 基于时序点的网络攻击事件预测方法、系统、装置及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3910571A1 (en) * 2020-05-13 2021-11-17 MasterCard International Incorporated Methods and systems for server failure prediction using server logs

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768985A (zh) * 2019-01-30 2019-05-17 电子科技大学 一种基于流量可视化与机器学习算法的入侵检测方法
CN110889546A (zh) * 2019-11-20 2020-03-17 浙江省交通规划设计研究院有限公司 一种基于注意力机制的交通流量模型训练方法
CN111783100A (zh) * 2020-06-22 2020-10-16 哈尔滨工业大学 基于图卷积网络对代码图表示学习的源代码漏洞检测方法
CN112883378A (zh) * 2021-03-30 2021-06-01 北京理工大学 图嵌入与深度神经网络相融合的安卓恶意软件检测方法
CN113660225A (zh) * 2021-07-29 2021-11-16 广州大学 基于时序点的网络攻击事件预测方法、系统、装置及介质

Also Published As

Publication number Publication date
CN114124565A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN109361617B (zh) 一种基于网络包载荷的卷积神经网络流量分类方法及系统
CN106817248B (zh) 一种apt攻击检测方法
CN104767692B (zh) 一种网络流量分类方法
CN110290022B (zh) 一种基于自适应聚类的未知应用层协议识别方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN111131069B (zh) 一种基于深度学习策略的异常加密流量检测与分类方法
CN108540338B (zh) 基于深度循环神经网络的应用层通信协议识别的方法
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN113364787B (zh) 一种基于并联神经网络的僵尸网络流量检测方法
CN112528277A (zh) 一种基于循环神经网络的混合入侵检测方法
CN114124565B (zh) 一种基于图嵌入的网络入侵检测方法
CN113452672A (zh) 基于协议逆向分析的电力物联网终端流量异常分析方法
US11570069B2 (en) Network traffic classification method and system based on improved K-means algorithm
CN114500396B (zh) 区分匿名Tor应用流量的MFD色谱特征提取方法及系统
CN117318980A (zh) 一种面向小样本场景的自监督学习恶意流量检测方法
CN114979017B (zh) 基于工控系统原始流量的深度学习协议识别方法及系统
CN114666273B (zh) 一种面向应用层未知网络协议的流量分类方法
CN112367325B (zh) 基于闭合频繁项挖掘的未知协议报文聚类方法和系统
CN113746707B (zh) 一种基于分类器及网络结构的加密流量分类方法
CN116132095A (zh) 一种融合统计特征和图结构特征的隐蔽恶意流量检测方法
CN109871469A (zh) 基于动态图元的小簇人群识别方法
Yang et al. Deep learning-based reverse method of binary protocol
CN113794653A (zh) 一种基于抽样数据流的高速网络流量分类方法
Zhou et al. IoT unbalanced traffic classification system based on Focal_Attention_LSTM
Jiang et al. P2P traffic identification research based on the SVM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant