CN114239737A - 一种基于时空特征与双层注意力的加密恶意流量检测方法 - Google Patents

一种基于时空特征与双层注意力的加密恶意流量检测方法 Download PDF

Info

Publication number
CN114239737A
CN114239737A CN202111573050.5A CN202111573050A CN114239737A CN 114239737 A CN114239737 A CN 114239737A CN 202111573050 A CN202111573050 A CN 202111573050A CN 114239737 A CN114239737 A CN 114239737A
Authority
CN
China
Prior art keywords
malicious
layer
flow
data packet
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111573050.5A
Other languages
English (en)
Inventor
胡威
庞进
王景初
张亚昊
尹红珊
张茹
王岚婷
刘建毅
陈连栋
程凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Beijing University of Posts and Telecommunications
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Beijing University of Posts and Telecommunications
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd, Beijing University of Posts and Telecommunications, Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN202111573050.5A priority Critical patent/CN114239737A/zh
Publication of CN114239737A publication Critical patent/CN114239737A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种基于时空特征与双层注意力的加密恶意流量检测方法,收集网卡节点处的原始流量,通过双层注意力机制结合时空特征对,采用端对端方法,直接输入原始加密流量,提取加密恶意特征,从而检测加密恶意流量,该过程包括:加密流量的提取与预处理、数据包内恶意特征提取层、数据流内恶意特征提取层。通过卷积神经网络提取数据包内空间特征,再基于数据包字段的注意力机制层提取包内重要恶意特征,通过循环神经网络提取数据流间的时间特征,再通过基于流中数据包的注意力机制层提取数据流中的重要恶意特征进行加密恶意流量检测模型的构建。本发明通过基于时空特征与双层注意力的加密恶意流量检测方法,结合时间空间特征,并且通过在数据包层面和数据流层面设置双层注意力机制,在多个层次上提取数据包和数据流中的恶意特征,能够有效检测加密恶意流量,提高了检测准确率。

Description

一种基于时空特征与双层注意力的加密恶意流量检测方法
技术领域
本发明涉及人工智能领域,具体涉及一种基于时空特征与双层注意力的加密恶意流量检测方法。
背景技术
随着互联网的不断发展,网络安全问题成为近年来人们所关注的热点,TLS等加密技术在互联网上得到了更广的普及,在加强了网络保密传输的同时,很多不法分子利用加密传输等手段来绕过安全机制的检测。Gartner指出,到2020年,超过六成的企业将无法直接解密HTTPS来识别隐藏在流量中的恶意软件行为,并且谷歌将是否使用安全加密协议HTTPS作为搜索引擎排名的一项重要的参考因素。并且防病毒软件和防火墙通常无法访问加密密钥,所以通过解密原始流量来进行恶意检测并不现实,所以如何在不解密加密流量的情况下对加密流量进行建模从而更准确的检测加密恶意流量变成了关乎网络安全的一项重要挑战。
传统的恶意流量检测主要通过和深度包负载检查DPI来进行检测,DPI方法主要着重于查找数据包中的模式和关键字,但是DPI技术无法直接处理加密流量,需要先对加密流量进行解密,但是安全软件和防火墙一般无法访问密钥,故解密困难,且破坏了使用加密技术来解决数据隐私的初衷。随着机器学习和深度学习的不断发展,又出现了基于手工特征的机器学习或深度学习的加密恶意流量检测方法,基于手工特征的加密恶意流量检测方法主要通过专家知识或者经验来设计能够区分恶意行为的手工特征来检测恶意加密流量,并通过SVM、RFE、XGBoost等机器学习方法或卷积神经网络或循环神经网络等深度学习方法进行分类,针对加密恶意流量的手工特征主要包含三类:流量统计特征、网络连接行为特征和内容特征。但不同的恶意软件采取了不同的混淆方式来躲避检测,有些特征只适用于特定的场景和数据,随着恶意软件的发展,手工提取的特征需要不断更新。
近年来,由于手工提取特征非常耗时,步骤复杂,所以近年来基于端到端的加密恶意流量检测框架的研究越来越多。它是一种端到端的框架,将原始的加密流量包经过预处理后作为输入,通过深度学习算法能够直接得到加密恶意流量检测的结果。常见的用于加密恶意流量检测的神经网络主要包含卷积神经网络、循环神经网络、自动编码器等。但是针对不同的场景,不同的特征的重要性往往并不会保持一致性,并且多数研究并没有考虑到网络通信恶意行为的前向和后向关联性,由于某些恶意字段或者某些恶意数据包应该对最后的决策具有更高的权重,在数据包和数据流两个层面引入软注意力机制层,保证了在多个层次筛选提取恶意特征。
发明内容
本发明提出了一种基于时空特征与双层注意力的加密恶意流量检测方法,通过卷积神经网络提取加密流量的空间特征,引入基于数据包字段的注意力机制层提取数据包中的重要恶意特征,通过循环神经网络提取加密流量数据包间的时间特征,再引入基于流中数据包的注意力机制层提取数据流中的重要恶意特征。通过输入经过预处理后的原始流量,得到加密恶意检测结果。
本发明提供一种基于时空特征与双层注意力的加密恶意流量检测方法,包括以下步骤:
(1)、加密流量的提取与预处理:收集网卡节点处的原始流量,从原始pcap文件中提取加密流量双向会话流,经过删除以太网头、mask IP地址、传输层包头对齐、对齐数据包等操作,得到流量矩阵X。
(2)、数据包内恶意特征提取层:通过一维卷积神经网络学习每个加密网络流量包的空间特征A,再通过基于数据包字段的注意力机制层,在每个数据包内提取重要的恶意特征P。
(3)、数据流内恶意特征提取层:通过BiGRU学习数据包之间前向和后向的时间关联特征H,再通过基于流中数据包的注意力机制层,通过软注意力机制提取数据流中的重要的恶意特征F,通过上述步骤提取的最终特征通过分类器,得到最终的恶意检测结果。
进一步的,上述步骤(1)中所述包括以下步骤:
A、通过网关采集正常通信流量,利用虚拟沙箱环境,运行恶意代码,收集恶意原始流量,并进行标记。
B、使用tshark工具提取协议为SSL/TLS的加密流的四元组(srcip,srcport,dstip,dstport),再将四元组进行去重后再根据IP地址提取双向通信流作为一个样本。
C、对上一步骤B生成的双向流先对干扰信息删除,对样本进行删除以太网头、maskIP地址。并将结果进一步进行对齐操作,将传输层统一补充为TCP长度20字节,进行数据包对齐操作,提取前M个数据包的前N个字节,超出部分进行截取,不足部分补0填充,得到处理后的样本数据[x1,x2,x3,x4,...,xm]
进一步的,所述步骤(2)所述的模型构建的步骤包括以下步骤:
A、将经过预处理之后的样本数据[x1,x2,x3,x4,...,xm]进行one-hot编码得到k维向量,将结果进行串联得到处理后的流量数据[o1,o2,o3,o4,...,om]
B、将上一步骤A中得到的结果作为输入,经过空间特征提取层进行空间特征提取得到空间特征[a1,a2,a3,a4,...,am],空间特征提取层包含两个空间特征提取模块,每个空间特征提取模块包含一个一维卷积层和一个最大池化层。
C、将上一步骤B得到的结果作为输入,经过基于数据包字段的注意力机制层得到包内加权后特征[p1,p2,p3,p4,...,pm]。基于数据包字段的注意力机制层使用软注意力机制,通过数据包内字段加权方式得到数据包中各个字段的权重uit,将计算出来的结果通过softmax后得到各个特征的权重αit,最后将计算好的权重与特征相乘得到加权后第i个数据包的特征向量pi
进一步的,所述步骤(3)所述的迭代和训练步骤包括以下步骤:
A、将上一步骤处理后得到的特征[p1,p2,p3,p4,...,pm]作为输入,经过时间特征提取层得到提取的时间特征[h1,h2,h3,h4,...,hm],由于恶意软件网络行为通常是一系列连续的行为,针对网络通信中体现出来的行为具有前向关联和后向关联性,采用双向GRU提取数据包的时间特征,其中
Figure BDA0003424422070000041
Figure BDA0003424422070000042
分别表示向后和向前的特征序列,最后通过合并得到最终第i个数据包时间特征hi,它结合了双向的时间特征。
B、将上一步骤A得到的结果作为输入,经过基于流中数据包的注意力机制层得到流内加权后特征F,基于流中数据包的注意力机制层使用软注意力机制,通过数据流内加权方式得到数据流中各个数据包特征的权重ui,将计算出来的结果通过softmax后得到各个特征的权重αi,最后将计算好的权重与特征相乘得到加权后的特征向量F。
C、将整个数据流的最终的特征向量F,通过softmax计算得到分类结果,使用交叉熵损失函数来评估当前训练得到的概率分布与真实分布的差异情况,通过损失值进行反向传播,更新梯度并迭代得到最佳的检测模型。
通过本发明的方法能够在不解密流量的情况下对原始加密流量进行建模,检测加密恶意流量,与现有技术相比具有以下优点:
1、本发明首次在数据包和数据流两个层面引入注意力机制层,解决了不同场景下不同特征对于检测恶意行为的重要性不同的问题,在多个层面进一步提取重要的恶意特征,保证了检测的准确性。
2、模型结合加密网络流量空间和时间特征,通过卷积神经网络整合数据包中原始字节流中包含的空间特征,并对数据流采用双向GRU提取双向数据包的时间特征,保证提取数据流间的前向和后向关联特征。
附图说明
图1是本方法的总体流程图,主要包含:采集与预处理部分,模型构建部分。
图2是使用本发明方法预处理流程图,为采集与预处理部分示意图
图3是本发明方法基于时空特征与双层注意力的加密恶意流量检测模型图,其为模型构建示意图。
具体实施方式
下面结合具体实施方式和附图对本发明作进一步详细说明。
本发明设计的基于时空特征与双层注意力的加密恶意流量检测方法,能够在不解密流量的情况下对原始加密流量进行建模,检测加密恶意流量,具体流程如图1所示,其主要步骤包括:
步骤101、采集原始流量,并进行干扰信息删除和对齐等预处理工作。具体步骤如下:
(1)预处理流程图如图2所示,通过网关采集正常通信流量,利用虚拟沙箱环境,运行恶意代码,收集恶意原始流量,并进行标记。
(2)使用tshark工具提取协议为SSL/TLS的加密流的四元组(srcip,srcport,dstip,dstport),再将四元组进行去重后再根据IP地址提取双向通信流作为一个样本。
(3)对干扰信息删除,对样本进行删除以太网头、mask IP地址。并将结果进一步进行对齐操作,将传输层统一补充为TCP长度20字节,进行数据包对齐操作,提取前30个数据包的前300个字节,超出部分进行截取,不足部分补0填充,得到处理后的单个样本数据[x1,x2,x3,x4,...,x30]
步骤201、通过卷积神经网络、基于数据包字段的软注意力机制层结合提取数据包内的恶意特征。具体步骤如下:
(5)、将经过预处理之后的样本数据[x1,x2,x3,x4,...,x30],每个数据包进行one-hot编码得到256维向量,将结果进行串联得到处理后的流量数据[o1,o2,o3,o4,...,o30]
(6)、将上一步骤得到的结果作为输入,经过空间特征提取层进行空间特征提取得到空间特征[a1,a2,a3,a4,...,a30],空间特征提取层包含两个空间特征提取模块,每个空间特征提取模块包含一个一维卷积层和一个最大池化层。
(7)、将上一步骤B得到的结果作为输入,经过基于数据包字段的注意力机制层得到包内加权后特征[p1,p2,p3,p4,...,p30]。基于数据包字段的注意力机制层使用软注意力机制,通过数据包内字段加权方式得到数据包中各个字段的权重uit,将计算出来的结果通过softmax后得到各个特征的权重αit,最后将计算好的权重与特征相乘得到加权后第i个数据包的特征向量pi
步骤301、通过循环神经网络、基于流中数据包的软注意力机制层结合提取数据流中包含的恶意特征,具体步骤如下:
(8)、将上一步骤处理后得到的特征[p1,p2,p3,p4,...,p30]作为输入,经过时间特征提取层得到提取的时间特征[h1,h2,h3,h4,...,h30],由于恶意软件网络行为通常是一系列连续的行为,针对网络通信中体现出来的行为具有前向关联和后向关联性,采用双向GRU提取数据包的时间特征,其中
Figure BDA0003424422070000061
Figure BDA0003424422070000062
分别表示向后和向前的特征序列,最后通过合并得到最终第i个数据包时间特征hi,它结合了双向的时间特征。
(9)、将上一步骤A得到的结果作为输入,经过基于流中数据包的注意力机制层得到流内加权后特征F,基于流中数据包的注意力机制层使用软注意力机制,通过数据流内加权方式得到数据流中各个数据包特征的权重ui,将计算出来的结果通过softmax后得到各个特征的权重αi,最后将计算好的权重与特征相乘得到加权后的特征向量F。
(10)、将整个数据流的最终的特征向量F,通过softmax计算得到分类结果,使用交叉熵损失函数来评估当前训练得到的概率分布与真实分布的差异情况,通过损失值进行反向传播,使用rmsprop优化器优化训练并调整参数并迭代得到最佳的检测模型。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权力要求的保护范围为准。

Claims (4)

1.一种基于时空特征与双层注意力的加密恶意流量检测方法,其特征在于,包括以下步骤:
A、加密流量的提取与预处理:收集网卡节点处的原始流量,从原始pcap文件中提取加密流量双向会话流,经过删除以太网头、mask IP地址、传输层包头对齐、对齐数据包等操作,得到流量矩阵X;
B、数据包内恶意特征提取层:通过一维卷积神经网络学习每个加密网络流量包的空间特征A,再通过基于数据包字段的注意力机制层,在每个数据包内提取重要的恶意特征P;
C、数据流内恶意特征提取层:通过BiGRU学习数据包之间前向和后向的时间关联特征H,再通过基于流中数据包的注意力机制层,通过软注意力机制提取数据流中的重要的恶意特征F,通过上述步骤提取的最终特征通过分类器,得到最终的恶意检测结果。
2.根据权利要求1所述的一种基于时空特征与双层注意力的加密恶意流量检测方法,其特征在于,所述步骤A包括以下步骤:
A1、通过网关采集正常通信流量,利用虚拟沙箱环境,运行恶意代码,收集恶意原始流量,并进行标记;
A2、使用tshark工具提取协议为SSL/TLS的加密流的四元组(srcip,srcport,dstip,dstport),再将四元组进行去重后再根据IP地址提取双向通信流作为一个样本;
A3、对上一步骤A2生成的双向流先对干扰信息删除,对样本进行删除以太网头、maskIP地址,并将结果进一步进行对齐操作,将传输层统一补充为TCP长度20字节,进行数据包对齐操作,提取前M个数据包的前N个字节,超出部分进行截取,不足部分补0填充,得到处理后的样本数据[x1,x2,x3,x4,...,xm]。
3.根据权利要求1所述的一种基于时空特征与双层注意力的加密恶意流量检测方法,其特征在于,所述步骤B包括以下步骤:
B1、将经过预处理之后的样本数据[x1,x2,x3,x4,...,xm]每个数据包进行one-hot编码得到k维向量,将结果进行串联得到处理后的流量数据[o1,o2,o3,o4,...,om];
B2、将上一步骤B1中得到的结果作为输入,经过空间特征提取层进行空间特征提取得到空间特征[a1,a2,a3,a4,...,am],空间特征提取层包含两个空间特征提取模块,每个空间特征提取模块包含一个一维卷积层和一个最大池化层;
B3、将上一步骤B2得到的结果作为输入,经过基于数据包字段的注意力机制层得到包内加权后特征[p1,p2,p3,p4,...,pm],基于数据包字段的注意力机制层使用软注意力机制,通过数据包内字段加权方式得到数据包中各个字段的权重uit,将计算出来的结果通过softmax后得到各个特征的权重αit,最后将计算好的权重与特征相乘得到加权后第i个数据包的特征向量pi
4.根据权利要求1所述的一种基于时空特征与双层注意力的加密恶意流量检测方法,其特征在于,所述步骤C包括以下步骤:
C1、将上一步骤处理后得到的特征[p1,p2,p3,p4,...,pm]作为输入,经过时间特征提取层得到时间特征[h1,h2,h3,h4,...,hm],由于恶意软件网络行为通常是一系列连续的行为,针对网络通信中体现出来的行为具有前向关联和后向关联性,采用双向GRU提取数据包的时间特征,其中
Figure FDA0003424422060000031
Figure FDA0003424422060000032
分别表示向后和向前的特征序列,最后通过合并得到最终第i个数据包时间特征hi,它结合了双向的时间特征;
C2、将上一步骤C1得到的结果作为输入,经过基于流中数据包的注意力机制层得到流内加权后特征F,基于流中数据包的注意力机制层使用软注意力机制,通过数据流内加权方式得到数据流中各个数据包特征的权重ui,将计算出来的结果通过softmax后得到各个特征的权重αi,最后将计算好的权重与特征相乘得到加权后的特征向量F;
C3、将整个数据流的最终的特征向量F,通过softmax计算得到分类结果,使用交叉熵损失函数来评估当前训练得到的概率分布与真实分布的差异情况,通过损失值进行反向传播,更新梯度并迭代得到最佳的检测模型。
CN202111573050.5A 2021-12-21 2021-12-21 一种基于时空特征与双层注意力的加密恶意流量检测方法 Pending CN114239737A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111573050.5A CN114239737A (zh) 2021-12-21 2021-12-21 一种基于时空特征与双层注意力的加密恶意流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111573050.5A CN114239737A (zh) 2021-12-21 2021-12-21 一种基于时空特征与双层注意力的加密恶意流量检测方法

Publications (1)

Publication Number Publication Date
CN114239737A true CN114239737A (zh) 2022-03-25

Family

ID=80760452

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111573050.5A Pending CN114239737A (zh) 2021-12-21 2021-12-21 一种基于时空特征与双层注意力的加密恶意流量检测方法

Country Status (1)

Country Link
CN (1) CN114239737A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114745175A (zh) * 2022-04-11 2022-07-12 中国科学院信息工程研究所 一种基于注意力机制的网络恶意流量识别方法及系统
CN114978585A (zh) * 2022-04-12 2022-08-30 国家计算机网络与信息安全管理中心 基于流量特征的深度学习对称加密协议识别方法
CN115086029A (zh) * 2022-06-15 2022-09-20 河海大学 一种基于双通道时空特征融合的网络入侵检测方法
CN115841004A (zh) * 2023-02-24 2023-03-24 北京科技大学 基于多维数据的带钢热轧过程力学性能软测量方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114745175A (zh) * 2022-04-11 2022-07-12 中国科学院信息工程研究所 一种基于注意力机制的网络恶意流量识别方法及系统
CN114745175B (zh) * 2022-04-11 2022-12-23 中国科学院信息工程研究所 一种基于注意力机制的网络恶意流量识别方法及系统
CN114978585A (zh) * 2022-04-12 2022-08-30 国家计算机网络与信息安全管理中心 基于流量特征的深度学习对称加密协议识别方法
CN114978585B (zh) * 2022-04-12 2024-02-27 国家计算机网络与信息安全管理中心 基于流量特征的深度学习对称加密协议识别方法
CN115086029A (zh) * 2022-06-15 2022-09-20 河海大学 一种基于双通道时空特征融合的网络入侵检测方法
CN115841004A (zh) * 2023-02-24 2023-03-24 北京科技大学 基于多维数据的带钢热轧过程力学性能软测量方法及装置

Similar Documents

Publication Publication Date Title
CN114239737A (zh) 一种基于时空特征与双层注意力的加密恶意流量检测方法
CN111865815B (zh) 一种基于联邦学习的流量分类方法及系统
CN109951444B (zh) 一种加密匿名网络流量识别方法
CN113472809B (zh) 一种加密恶意流量检测方法、检测系统及计算机设备
CN110417729B (zh) 一种加密流量的服务与应用分类方法及系统
CN111064678A (zh) 基于轻量级卷积神经网络的网络流量分类方法
CN113037730A (zh) 基于多特征学习的网络加密流量分类方法及系统
CN111224994A (zh) 一种基于特征选择的僵尸网络检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN113364787A (zh) 一种基于并联神经网络的僵尸网络流量检测方法
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
Han et al. An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform
CN113938290B (zh) 一种用户侧流量数据分析的网站去匿名方法和系统
JP2004312083A (ja) 学習データ作成装置、侵入検知システムおよびプログラム
CN117056797A (zh) 基于非平衡数据的加密流量分类方法、设备及介质
CN116684133A (zh) 基于双层注意力和时空特征并行融合的sdn网络异常流量分类装置及方法
Luo et al. Behavior-based method for real-time identification of encrypted proxy traffic
Zhang et al. Encrypted network traffic classification: A data driven approach
CN109698835A (zh) 一种面向https隐蔽隧道的加密木马检测方法
CN111835720B (zh) 基于特征增强的vpn流量web指纹识别方法
CN112261656A (zh) 一种基于序列模型的无线传感网入侵检测方法
Li et al. TCMal: A Hybrid Deep Learning Model for Encrypted Malicious Traffic Classification
CN115134176B (zh) 一种基于不完全监督的暗网加密流量分类方法
Chen et al. Artificial intelligence hybrid learning architecture for malware families classification
Hublikar et al. Malicious encrypted network traffic flow detection using enhanced optimal deep feature selection with DLSTM.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination