CN115086242A - 加密数据包识别方法、装置与电子设备 - Google Patents
加密数据包识别方法、装置与电子设备 Download PDFInfo
- Publication number
- CN115086242A CN115086242A CN202110270072.8A CN202110270072A CN115086242A CN 115086242 A CN115086242 A CN 115086242A CN 202110270072 A CN202110270072 A CN 202110270072A CN 115086242 A CN115086242 A CN 115086242A
- Authority
- CN
- China
- Prior art keywords
- target
- session
- data packet
- encrypted data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012549 training Methods 0.000 claims description 80
- 230000015654 memory Effects 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 18
- 238000003062 neural network model Methods 0.000 claims description 18
- 230000007787 long-term memory Effects 0.000 claims description 14
- 238000013528 artificial neural network Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 230000006403 short-term memory Effects 0.000 claims description 13
- 238000005457 optimization Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 13
- 238000004590 computer program Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 239000010410 layer Substances 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种加密数据包识别方法、装置以及电子设备和计算机可读存储介质。所述加密数据包识别方法包括:通过智能网关实时获取加密流量中的当前加密数据包;根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;根据所述N个目标加密数据包生成目标会话特征;将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。本公开实施例可以对当前加密数据包的会话类型进行识别。
Description
技术领域
本公开涉及网络技术领域,尤其涉及一种加密数据包识别方法及装置、电子设备和计算机可读存储介质。
背景技术
随着网络技术的发展与进步,加密网络流量呈现爆发式增长,这对网络带宽、网络安全和流量管控均带来了很大的挑战。准确识别网络流量中加密数据包的应用类别是有效进行流量管控、优化,进行用户行为分析的基础。由于网络技术的发展与进步,传统网络流量分类方法如基于端口号查询和基于有效包载荷检测技术的分类方法的局限性已经越来越明显,无法对如今的流量中的数据包进行精准地分类识别。
面对加密流量日益增长,而传统网络流量分类方法对加密流量识别能力有限等问题,本公开提出了一种可以精准、快速地对网络流量中加密数据包进行分类识别的方法。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种加密数据包识别方法、装置与电子设备,能够对加密流量中的加密数据包进行精准的分类识别。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开实施例提供了一种加密数据包识别方法,包括:通过智能网关实时获取加密流量中的当前加密数据包;根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;根据所述N个目标加密数据包生成目标会话特征;将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
在一些实施例中,按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,包括:按照时间顺序对所述目标会话中的所有加密数据包进行排队,所述当前加密数据包位于队头或者队尾;根据排队结果、从所述当前加密数据包开始按照时间顺序获取N个加密数据包,以作为所述目标加密数据包。
在一些实施例中根据所述N个目标加密数据包生成目标会话特征,包括:分别获取各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间;根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间,分别为各个目标加密数据包生成数据包特征;将各个目标加密数据包的数据包特征按照时间顺序进行拼接,以生成所述目标会话特征。
在一些实施例中,根据所述N个目标加密数据包生成目标会话特征,还包括:分别获取各个目标加密数据包的加密协议版本、数据包大小、持续时间,以便根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口、与相邻目标加密数据包之间的间隔时间、加密协议版本、数据包大小以及持续时间分别为各个目标加密数据包生成数据包特征。
在一些实施例中,在将所述目标会话特征输入至会话分类网络模型中之前,包括:获取训练会话样本和所述训练会话样本对应的训练标签,所述训练会话样本由N个训练加密数据包组成;将所述训练会话样本输入至长短时记忆神经网络模型,以获取各个训练加密数据包的训练数据包特征;通过所述长短时记忆神经网络将各个训练数据包特征按照时间顺序进行拼接,以获得所述训练会话样本的训练会话特征;通过所述长短时记忆神经网络对所述训练会话特征进行分类处理,以获取针对所述训练会话样本的预测标签;通过目标损失函数对所述预测标签与所述训练标签进行处理,以获得目标交叉熵;基于所述目标交叉熵、通过目标优化函数对所述长短时记忆神经网络模型进行参数进行优化,以完成对所述长短时记忆神经网络模型的训练,获得所述会话分类网络模型。
本公开实施例中,所述加密数据包识别还包括:确定所述目标会话的会话类型为恶意会话;通过恶意会话标签对所述目标会话进行打标,以便所述智能网关拒绝五元组信息属于所述目标会话的加密数据包通过。
在一些实施例中,所述加密数据包识别还包括:确定所述目标会话的会话类型为重要会话;通过重要会话标签为所述目标会话进行打标,以便所述智能网关为五元组信息属于所述目标会话的加密数据包安排通畅网络链路。
本公开实施例提供了一种加密数据包识别装置,所述加密数据包识别装置还包括:当前加密数据包获取模块、加密数据包分组模块、目标加密数据包获取模块、目标会话特征获取模块以及预测模块
其中,所述当前加密数据包获取模块可以配置为通过智能网关实时获取加密流量中的当前加密数据包;所述加密数据包分组模块可以配置为根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;所述目标加密数据包获取模块可以配置为按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;所述目标会话特征获取模块可以配置为根据所述N个目标加密数据包生成目标会话特征;所述预测模块可以配置为将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
本公开实施例提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一项所述的加密数据包识别方法。
本公开实施例提出一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述任一项所述的加密数据包识别方法。
本公开实施例提出一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述加密数据包识别方法。
本公开某些实施例提供的加密数据包识别方法、装置及电子设备和计算机可读存储介质,通过五元组信息对当前加密数据包进行了分组处理,确定了当前加密数据包所属的会话组(即目标会话);然后根据时间顺序从目标会话中获取包括当前加密数据包在内的目标加密数据包;接着对目标加密数据包进行特征提取生成了目标会话的目标会话特征;最后通过会话分类网络模型对目标会话特征进行特征分类,以确定目标会话的会话类型。本公开通过对五元组信息相同的当前加密数据包、与当前加密数据包时间最近的历史加密数据包进行特征处理,精准、快速地确定了目标会话的会话类型,进而确定当前加密数据包的会话类型,以便根据当前加密数据包所属的会话类型对当前加密数据包进行处理。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用于本公开实施例的加密数据包识别方法或加密数据包识别加密数据包识别装置的示例性系统架构的示意图。
图2是根据一示例性实施例示出的一种应用于加密数据包识别装置的计算机系统的结构示意图。
图3是根据一示例性实施例示出的一种加密数据包方法的流程图。
图4是根据一示例性实施例示出的一种长短时记忆神经网络模型的结构图。
图5是根据一示例性实施例示出的一种流量分类示意图。
图6是根据一示例性实施例示出的一种会话分类网络模型训练方法。
图7是根据一示例性实施例示出的一种加密数据包识别装置的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
本公开所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和步骤,也不是必须按所描述的顺序执行。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本说明书中,用语“一个”、“一”、“该”、“所述”和“至少一个”用以表示存在一个或多个要素/组成部分/等;用语“包含”、“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等;用语“第一”、“第二”和“第三”等仅作为标记使用,不是对其对象的数量限制。
在介绍本公开实施例之前,先对本公开实施例涉及的智能网关进行介绍。
网关又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。
网关既可以应用于服务器和服务器之间,也可以应用于服务器和客户端设备之间,还可以应用于客户端和客户端之间,本公开对此不做限制。
下面,将智能网卡应用于服务器和客户端设备之间为例介绍一下本公开的应用场景,但本公开并不限于此。
图1示出了可以应用于本公开实施例的加密数据包识别方法或加密数据包识别加密数据包识别装置的示例性系统架构的示意图。
如图1所示,系统架构100可以包括终端设备101、102、103、智能网关104和服务器105。终端设备101、102、103和服务器可以通过智能网关进行通信,该网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络与服务器105交互,以接收或发送消息等。其中,终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、虚拟现实设备、智能家居等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据进行分析等处理,并将处理结果反馈给终端设备。
服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器等,本公开对此不做限制。
在服务器105与终端设备101、102、103通信时,通信数据可以以加密流量的形式通过智能网关,以完成协议的转换等。其中,加密流量可以是由多个加密数据包组成。
在服务器105与终端设备101、102、103通信时,通信数据可能会经过智能网关104,该智能网关104可以用来实时获取加密流量中的当前加密数据包;根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;根据所述N个目标加密数据包生成目标会话特征;将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型,然后根据目标会话的会话类型对当前加密数据包进行处理等。
应该理解,图1中的终端设备、网关和服务器的数目仅仅是示意性的,服务器105可以是一个实体的服务器,还可以为多个服务器组成,根据实际需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图2,其示出了适于用来实现本申请实施例的终端设备的计算机系统200的结构示意图。图2示出的终端设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图2所示,计算机系统200包括中央处理单元(CPU)201,其可以根据存储在只读存储器(ROM)202中的程序或者从储存部分208加载到随机访问存储器(RAM)203中的程序而执行各种适当的动作和处理。在RAM 203中,还存储有计算机系统200操作所需的各种程序和数据。CPU 201、ROM 202以及RAM 203通过总线204彼此相连。输入/输出(I/O)接口205也连接至总线204。
以下部件连接至I/O接口205:包括键盘、鼠标等的输入部分206;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分207;包括硬盘等的储存部分208;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至I/O接口205。可拆卸介质211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器210上,以便于从其上读出的计算机程序根据需要被安装入储存部分208。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分209从网络上被下载和安装,和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(CPU)201执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本申请所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块和/或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块和/或单元也可以设置在处理器中,例如,可以描述为:一种处理器包括发送单元、获取单元、确定单元和第一处理单元。其中,这些模块和/或单元的名称在某种情况下并不构成对该模块和/或单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备可实现功能包括:通过智能网关实时获取加密流量中的当前加密数据包;根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;根据所述N个目标加密数据包生成目标会话特征;将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
流量识别是计算机网络领域的一项重要任务,其目的是在网络边界上基于网络流量数据判定其是否含有恶意行为,如果发现有恶意行为,则及时采取阻断等安全措施,保证终端用户的网络安全。近年来,随着加密通信协议的普遍应用,很多恶意流量也开始使用加密通信的方式。由于恶意行为被隐藏于加密数据中,恶意流量很难被识别出来,恶意加密流量成为安全监测的一个难题和瓶颈。
随着网络技术的飞速发展,互联网及相关应用出现在了我们日常生活中的每一个角落,相应的,互联网上的加密流量的种类越来越多,规模也越来越大。互联网使得人们的日常生活质量得以不断的改善和提高,但与此同时互联网也带来了越来越多的问题,例如,病毒木马大规模扩散并造成危害、大量P2P应用和流量造成的网络大规模堵塞与延迟、敌对势力利用互联网对我国重要机关单位与科研院所进行窃密与网络攻击,这些问题都急需处理。解决上述问题的一个关键是如何在复杂的真实网络环境中,准确、有效地识别各类型的密流量,并检测出其中的异常流量。
本公开实施例提供的技术方案,通过对当前加密数据包所在的目标会话的会话组特征进行特征识别,精准地确定了当前加密数据包的会话类型,例如当前加密数据包属于恶意会话、视频会话、语音会话等会话中的加密数据包,以便根据当前加密数据包的会话类型进行流量处理,以满足用户的需求。
图3是根据一示例性实施例示出的一种加密数据包方法的流程图。本公开实施例所提供的方法可以由任意具备计算处理能力的电子设备来执行,例如该方法可以由上述图1实施例中智能网关执行,在下面的实施例中,以执行主体为智能网关为例进行举例说明,但本公开并不限定于此。
参照图3,本公开实施例提供的种加密数据包识别方法可以包括以下步骤。
在步骤S1中,智能网关实时获取加密流量中的当前加密数据包。
数据包,又称分组,是在分组交换网络中传输的格式化数据单位。
一个数据包(packet)可以分成两个部分,包括控制信息,也就是头(header),和数据本身,也就是负载(payload)。可以将一个数据包比作一封信,头相当于信封,而数据包的数据部分则相当于信的内容。
通过一定的加密协议对数据包的数据(也就是负载)进行加密后可以形成加密数据包,而多个数据包连续经过智能网关又可以形成加密流量。
可以理解的是,由于一个智能网关可以对来自(或去往)不同的设备的流量进行协议转换,所以智能网关在连续时间内获取的加密数据包可能来自于不同的设备,也可能转发至不同的设备,可能是通过同一通信协议生成的,也可能是通过不同协议生成的,本公开对此不做限制。为了能够对通过智能网关的加密流量的会话类型进行细粒度的分类,本公开实施例对加密流量中的加密数据包进行逐一分类识别。
在一些实施例中,可以将智能网关在当前时间获取的加密数据包称之为当前加密数据包,将智能网关在历史时间获取的加密数据包称之为历史加密数据包。
在步骤S2中,根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包。
五元组是通信术语,通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议等。
在一些实施例中,可以将五元组信息相同的数据包分组形成一个会话。
在一些实施例中,由于同一智能网关在不同的时间可能会接收不同五元组信息的数据包,因此智能网关在接收到当前加密数据包之后可以根据该数据包的五元组信息对加密数据包进行分组,以作为某个会话中的加密数据包。
例如,当智能网关获得当前加密数据包后,可以根据该当前加密数据包的五元组信息将该当前加密数据包分组至目标会话。该目标会话中还可能会包括多个与当前加密数据包的五元组信息相同的其它历史加密数据包。
在步骤S3中,按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数。
在一些实施例中,可以按照时间顺序对目标会话中的所有加密数据包进行排队,当前加密数据包可以位于队头也可以位于队尾,本公开对此不做限制。
在一些实施例中,可以根据排队结果、从所述当前加密数据包开始按照时间顺序获取N个(例如20个)加密数据包,以作为所述目标加密数据包。
总之,可以将距离该当前加密数据包时间最近的历史加密数据包作为目标加密数据包。
可以理解的是,如果目标会话中包括至少N个加密数据包,则可以从所述当前加密数据包开始按照时间顺序获取N个加密数据包,以作为所述目标加密数据包;如果目标会话中的加密数据包少于N个,则智能网关不对当前加密数据保进行分类识别处理,而继续获取下一时刻的加密数据包。
在步骤S4中,根据所述N个目标加密数据包生成目标会话特征。
在一些实施例中,可以分别获取各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间中的一种或者多种;然后根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间中的一种或多种,分别为各个目标加密数据包生成数据包特征;最后将各个目标加密数据包的数据包特征按照时间顺序进行拼接,以生成所述目标会话特征。
其中,目标数据包的源端口可以指的是发送目标加密数据包的端口;目的端口可以指的是接收目标加密数据包的端口;根据上下行标志可以确定该目标加密数据包是上行数据包还是下行数据包;有效负载payload可以用来确定目标加密数据包的有效负载;TCP窗口(即TCP Window):一种tcp协议自带的一个特征,表示能接收到数据量,作用是用来控制tcp的流速率;相邻两个目标加密数据包之间的间隔时间可以指的是该相邻两个目标加密数据包的接收间隔时间。
选择上述特征作为目标加密数据包的特征的理由可以包括:
1、根据对实际流量的观察,尤其针对我们要区分出的类型,上述特征具有相对大的特异性,考虑其可作为区分依据。
2、考虑特征提取复杂程度,上述针对每个包的6个特征都比较基础,提取快,(考虑流量预测的实时性,由于同一会话一般会有大几百甚至上千个包,实际特征相似,仅提取前N(例如20)个包的特征有利于实时预测流量类别,不必等到整个会话结束再进行统计和预测,且从业务需求角度看提前预测出流量也利于流量控制,方便进行流量通断控制、选路等操作。
在另外一些实施例中,还可以为各个目标加密数据包分别获取加密协议版本、数据包大小、持续时间,以便根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口、与相邻目标加密数据包之间的间隔时间、加密协议版本、数据包大小以及持续时间分别为各个目标加密数据包生成数据包特征。
可以理解的是,本领域技术人员所知的根据特征信息生成数据包特征的方法均在本公开实施例的保护范围内。
为保证实施例能够清楚地被复现,本实施例提供了以下方法对数据包特征的生成过程进行解释,但本公开并不以此为限。
假设,可以根据目标加密数据包的有效负载payload、相邻目标加密数据包之间的时间间隔生成该目标加密数据包的数据包特征,其生成过程可以包括如下步骤:
预先将有效负载按照负载范围设置为n个层次,每个层次对应特征值分别为1~n,预先将时间间隔按照间隔范围设置为m个层次,每个层次对应特征值分为为1~m;若目标加密数据包的有效负载落在第1个负载层次内,则该目标加密数据包的有效负载的特征值为1;若目标加密数据包的间隔时间落在第m个间隔时间层次内,则目标加密数据包的间隔时间的特征值为m;综上,根据目标加密数据包的有效负载、间隔时间生成的数据包特征值为[1,m]。
根据上述方法,本领域技术人员可以类推出根据其它特征为目标加密数据包生成数据包特征的方法,本公开不再赘述。
在步骤S5中,将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
在一些实施例中,会话分类网络模型可以是对如图4所示的长短时记忆神经网络模型(LSTM,Long Short-Term Memory)训练后获得的。
图4为单神经元按时间序列展开的示意图,即每一时刻单个神经元的输入由上一时刻的输出结果和按时间序列该时刻的外部输入组成,通过对大量数据的训练得到会话分类网络模型;
长短期记忆网络是一种时间循环神经网络,是为了解决一般的RNN(循环神经网络)存在的长期依赖问题而专门设计出来的,所有的RNN都具有一种重复神经网络模块的链式形式。长短期记忆神经网络是一种时间递归神经网络,适合于处理和预测时间序列中存在时间间隔和延迟重要事件,能够学习长期依赖关系。
在本公开实施例中,目标会话特征中的各个数据包特征中就包括各个相邻加密数据包之间的时间间隔,通过长短时记忆网络模型可以更好的学习到相邻目标加密数据包之间的特性。
在一些实施例中,目标会话的会话类型可以是恶意会话类型、视频聊天会议类型、语音聊天会议类型、视频播放类型、音乐播放类型、文件传输类型及其他类型等。
在一些实施例中,若确定目标会话的会话类型为恶意会话;则可以通过恶意会话标签对目标会话进行打标,以便智能网关在之后的工作中拒绝五元组信息属于所述目标会话的加密数据包通过。
在一些实施例中,若确定目标会话的会话类型为重要会话,则可以通过重要会话标签为目标会话进行打标,以便智能网关在后续工作中为五元组信息属于该目标会话的加密数据包安排通畅网络链路。
其中,重要会话可以是提前指定的会话类型,例如可以是某个设备发送过来的视频会话、语音会话等,本公开对此不做限制
在另外一些实施例中,结合用户自定义要求,通过本公开实施例提供的方法可以对流量进行通断控制,如用户自定义规则允许文件传输、语音聊天流量通过,但不允许观看视频、听音乐的流量通过网关;
在另外一些实施例中,还可以结合用户自定义规则及智能网关系统其他模块的功能,根据预测结果对流量数据进行链路选择,如视频会议流量将被安排通过更流畅的网络链路,优先保证低延时的网络质量;
另外,还允许具有权限的用户获取一段时间内的网关流量统计值,如近7天内的网络流量统计,统计结果如图5所示,如统计获得一段时间内通过智能网关的流量包括17.39%的视频播放流量、0.03%的语音通话流量、2.7%的搜索引擎流量等等。
本公开提出的加密数据包识别方法特征简单有代表性,提取速度快,且创造性地在加密流量识别的方法中加入了对时间维度的利用(如在数据包特征中开创性的增加了相邻目标加密数据包时间间隔特征、利用长短时记忆神经网络模型提取特征等),并通过单层神经网络模型训练获得较高的加密流量识别准确率。
基于本方案的加密流量识别技术可以很好地应用于智能网关,替代传统DPI流量识别方案完成加密和非加密流量分析、统计和管控工作,从而实现云网络时代的数据挖掘与应用,并通过流量控制保障云基础服务的安全性。
图6是根据一示例性实施例示出的一种会话分类网络模型训练方法。参考图6,上述训练会话分类网络模型的方法可以包括以下步骤。
在步骤S01中,获取训练会话样本和所述训练会话样本对应的训练标签,所述训练会话样本由N个训练加密数据包组成。
在一些实施例中,训练会话样本可以是已知训练标签的会话样本,该会话样本中可以包括N个五元组信息相同的加密数据包,该五元组信息相同的加密数据包可以是通过同一智能网关在一段时间内获取的。
在步骤S02中,将所述训练会话样本输入至长短时记忆神经网络模型,以获取各个训练加密数据包的训练数据包特征。
在步骤S03中,通过所述长短时记忆神经网络将各个训练数据包特征按照时间顺序进行拼接,以获得所述训练会话样本的训练会话特征。
在步骤S04中,通过所述长短时记忆神经网络对所述训练会话特征进行分类处理,以获取针对所述训练会话样本的预测标签。
在步骤S05中,通过目标损失函数对所述预测标签与所述训练标签进行处理,以获得目标交叉熵。
在一些实施例中,可以通过公式(1)获取预测标签与训练标签之间的目标交叉熵。
在步骤S06中,基于所述目标交叉熵、通过目标优化函数对所述长短时记忆神经网络模型进行参数进行优化,以完成对所述长短时记忆神经网络模型的训练,获得所述会话分类网络模型。
在一些实施例中,可以通过AdamOptimizer(自适应)优化算法对长短时记忆神经网络模型中的参数进行优化,以完成对长短时记忆神经网络模型的训练,获得会话分类网络模型。
本公开实施例提供的技术方案,通过预先标注的训练会话样本训练了可以对目标会话的会话特征进行精准类别识别的会话分类网络模型,在训练过程中通过交叉熵以及优化函数的设置,提供了会话分类网络模型的识别准确率。
图7是根据一示例性实施例示出的一种加密数据包识别装置的框图。参照图7,本公开实施例提供的加密数据包识别装置700可以包括:当前加密数据包获取模块701、加密数据包分组模块702、目标加密数据包获取模块703、目标会话特征获取模块704以及预测模块705。
其中,所述当前加密数据包获取模块701可以配置为通过智能网关实时获取加密流量中的当前加密数据包;所述加密数据包分组模块702可以配置为根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;所述目标加密数据包获取模块703可以配置为按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;所述目标会话特征获取模块704可以配置为根据所述N个目标加密数据包生成目标会话特征;所述预测模块705可以配置为将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
在一些实施例中,所述目标加密数据包获取模块703可以包括:排序单元和目标加密数据包确定单元。
其中,所述排序单元可以配置为按照时间顺序对所述目标会话中的所有加密数据包进行排队,所述当前加密数据包位于队头或者队尾;所述目标加密数据包确定单元可以配置为根据排队结果、从所述当前加密数据包开始按照时间顺序获取N个加密数据包,以作为所述目标加密数据包。
在一些实施例中,所述目标会话特征获取模块704可以包括:特征确定单元、数据包特征生成单元以及拼接单元。
其中,所述特征确定单元可以配置为分别获取各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间;所述数据包特征生成单元可以配置为根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间,分别为各个目标加密数据包生成数据包特征;所述拼接单元可以配置为将各个目标加密数据包的数据包特征按照时间顺序进行拼接,以生成所述目标会话特征。
在一些实施例中,所述目标会话特征获取模块704还可以包括:特征获取单元。
其中,所述特征获取单元可以配置为分别获取各个目标加密数据包的加密协议版本、数据包大小、持续时间,以便根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口、与相邻目标加密数据包之间的间隔时间、加密协议版本、数据包大小以及持续时间分别为各个目标加密数据包生成数据包特征。
在一些实施例中,所述加密数据包识别装置还可以包括:训练样本获取模块、训练数据包特征获取模块、训练会话特征生成模块、预测标签生成模块、目标交叉熵确定模块以及参数优化模块。
其中,所述训练样本获取模块可以配置为获取训练会话样本和所述训练会话样本对应的训练标签,所述训练会话样本由N个训练加密数据包组成;所述训练数据包特征获取模块可以配置为将所述训练会话样本输入至长短时记忆神经网络模型,以获取各个训练加密数据包的训练数据包特征;所述训练会话特征生成模块可以配置为通过所述长短时记忆神经网络将各个训练数据包特征按照时间顺序进行拼接,以获得所述训练会话样本的训练会话特征;所述预测标签生成模块可以配置为通过所述长短时记忆神经网络对所述训练会话特征进行分类处理,以获取针对所述训练会话样本的预测标签;所述目标交叉熵确定模块可以配置为通过目标损失函数对所述预测标签与所述训练标签进行处理,以获得目标交叉熵;所述参数优化模块可以配置为基于所述目标交叉熵、通过目标优化函数对所述长短时记忆神经网络模型进行参数进行优化,以完成对所述长短时记忆神经网络模型的训练,获得所述会话分类网络模型。
在一些实时中,所述加密会话识别装置还可以包括:恶意会话确定单元、恶意会话打标单元。
其中,所述恶意会话确定单元可以配置为确定所述目标会话的会话类型为恶意会话;所述恶意会话打标单元可以配置为通过恶意会话标签对所述目标会话进行打标,以便所述智能网关拒绝五元组信息属于所述目标会话的加密数据包通过。
在一些实时中,所述加密会话识别装置还还可以包括:重要会话确定单元、重要会话打标单元。
其中,所述重要会话确定单元可以配置为确定所述目标会话的会话类型为重要会话;所述重要会话打标单元可以配置为通过重要会话标签为所述目标会话进行打标,以便所述智能网关为五元组信息属于所述目标会话的加密数据包安排通畅网络链路。
由于装置700的各功能已在其对应的方法实施例中予以详细说明,本公开于此不再赘述。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者智能设备等)执行根据本公开实施例的方法,例如图3的一个或多个所示的步骤。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其他实施例。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不限于这里已经示出的详细结构、附图方式或实现方法,相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (10)
1.一种加密数据包识别方法,其特征在于,包括:
智能网关实时获取加密流量中的当前加密数据包;
根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;
按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;
根据所述N个目标加密数据包生成目标会话特征;
将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
2.根据权利要求1所述方法,其特征在于,按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,包括:
按照时间顺序对所述目标会话中的所有加密数据包进行排队,所述当前加密数据包位于队头或者队尾;
根据排队结果、从所述当前加密数据包开始按照时间顺序获取N个加密数据包,以作为所述目标加密数据包。
3.根据权利要求2所述方法,其特征在于,根据所述N个目标加密数据包生成目标会话特征,包括:
分别获取各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间;
根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口以及与相邻目标加密数据包之间的间隔时间,分别为各个目标加密数据包生成数据包特征;
将各个目标加密数据包的数据包特征按照时间顺序进行拼接,以生成所述目标会话特征。
4.根据权利要求3所述方法,其特征在于,根据所述N个目标加密数据包生成目标会话特征,还包括:
分别获取各个目标加密数据包的加密协议版本、数据包大小、持续时间,以便根据各个目标加密数据包的源端口、目的端口、上下行标志、有效负载paylod长度、TCP窗口、与相邻目标加密数据包之间的间隔时间、加密协议版本、数据包大小以及持续时间分别为各个目标加密数据包生成数据包特征。
5.根据权利要求1所述方法,其特征在于,在将所述目标会话特征输入至会话分类网络模型中之前,包括:
获取训练会话样本和所述训练会话样本对应的训练标签,所述训练会话样本由N个训练加密数据包组成;
将所述训练会话样本输入至长短时记忆神经网络模型,以获取各个训练加密数据包的训练数据包特征;
通过所述长短时记忆神经网络将各个训练数据包特征按照时间顺序进行拼接,以获得所述训练会话样本的训练会话特征;
通过所述长短时记忆神经网络对所述训练会话特征进行分类处理,以获取针对所述训练会话样本的预测标签;
通过目标损失函数对所述预测标签与所述训练标签进行处理,以获得目标交叉熵;
基于所述目标交叉熵、通过目标优化函数对所述长短时记忆神经网络模型进行参数进行优化,以完成对所述长短时记忆神经网络模型的训练,获得所述会话分类网络模型。
6.根据权利要求1所述方法,其特在于,还包括:
确定所述目标会话的会话类型为恶意会话;
通过恶意会话标签对所述目标会话进行打标,以便所述智能网关拒绝五元组信息属于所述目标会话的加密数据包通过。
7.根据权利要求1所所述方法,其特征在于,还包括:
确定所述目标会话的会话类型为重要会话;
通过重要会话标签为所述目标会话进行打标,以便所述智能网关为五元组信息属于所述目标会话的加密数据包安排通畅网络链路。
8.一种加密数据包识别装置,其特征在于,包括:
当前加密数据包获取模块,配置为通过智能网关实时获取加密流量中的当前加密数据包;
加密数据包分组模块,配置为根据所述当前加密数据包的五元组信息将所述当前加密数据包分组至目标会话,所述目标会话还包括多个历史加密数据包;
目标加密数据包获取模块,配置为按照时间顺序从所述目标会话中获取包括所述当前加密数据包的N个目标加密数据包,N为大于或者等于1的正整数;
目标会话特征获取模块,配置为根据所述N个目标加密数据包生成目标会话特征;
预测模块,配置为将所述目标会话特征输入至会话分类网络模型中,以确定所述目标会话的会话类型。
9.一种电子设备,其特征在于,包括:
存储器;以及
耦合到所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-7任一项所述方法。
10.一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如权利要求1-7任一项所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110270072.8A CN115086242A (zh) | 2021-03-12 | 2021-03-12 | 加密数据包识别方法、装置与电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110270072.8A CN115086242A (zh) | 2021-03-12 | 2021-03-12 | 加密数据包识别方法、装置与电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115086242A true CN115086242A (zh) | 2022-09-20 |
Family
ID=83241270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110270072.8A Pending CN115086242A (zh) | 2021-03-12 | 2021-03-12 | 加密数据包识别方法、装置与电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115086242A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116192490A (zh) * | 2023-02-14 | 2023-05-30 | 北京中睿天下信息技术有限公司 | 一种基于流量行为的网络威胁检测方法和系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN104125167A (zh) * | 2014-07-24 | 2014-10-29 | 海信集团有限公司 | 一种流量控制方法和装置 |
US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
CN112104570A (zh) * | 2020-09-11 | 2020-12-18 | 南方电网科学研究院有限责任公司 | 流量分类方法、装置、计算机设备和存储介质 |
-
2021
- 2021-03-12 CN CN202110270072.8A patent/CN115086242A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN104125167A (zh) * | 2014-07-24 | 2014-10-29 | 海信集团有限公司 | 一种流量控制方法和装置 |
US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
CN109327479A (zh) * | 2018-12-14 | 2019-02-12 | 锐捷网络股份有限公司 | 加密流的识别方法及装置 |
CN110391958A (zh) * | 2019-08-15 | 2019-10-29 | 北京中安智达科技有限公司 | 一种对网络加密流量自动进行特征提取和识别的方法 |
CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
CN111245860A (zh) * | 2020-01-20 | 2020-06-05 | 上海交通大学 | 一种基于双维度特征的加密恶意流量检测方法和系统 |
CN112104570A (zh) * | 2020-09-11 | 2020-12-18 | 南方电网科学研究院有限责任公司 | 流量分类方法、装置、计算机设备和存储介质 |
Non-Patent Citations (5)
Title |
---|
RANA ABUBAKAR ET AL.: "An effective mechanism to mitigate real-time DDos attack", IEEE, 20 May 2020 (2020-05-20) * |
刘亚丽;孟令愚;丁云峰;: "电网工控系统流量异常检测的应用与算法改进", 计算机系统应用, no. 03, 15 March 2018 (2018-03-15) * |
吴东阳: "基于机器学习的加密流量识别算法研究", 《中国优秀硕士学位论文全文数据库》, 15 February 2021 (2021-02-15) * |
朱迪: "基于加密流量分析和深度学习的移动应用程序识别关键技术研究", 《中国优秀硕士学位论文全文数据库》, 15 February 2020 (2020-02-15), pages 1 - 4 * |
程光等: "互联网大数据挖掘与分类", 31 December 2015, pages: 163 - 164 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116192490A (zh) * | 2023-02-14 | 2023-05-30 | 北京中睿天下信息技术有限公司 | 一种基于流量行为的网络威胁检测方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11263321B2 (en) | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions | |
US11122058B2 (en) | System and method for the automated detection and prediction of online threats | |
US9769248B1 (en) | Performance-based content delivery | |
US10027739B1 (en) | Performance-based content delivery | |
US10572818B2 (en) | Horizontal decision tree learning from very high rate data streams with horizontal parallel conflict resolution | |
CN110719215B (zh) | 虚拟网络的流信息采集方法及装置 | |
CN109936512A (zh) | 流量分析方法、公共服务流量归属方法及相应的计算机系统 | |
WO2021052379A1 (zh) | 一种数据流类型识别方法及相关设备 | |
CN110011932B (zh) | 一种可识别未知流量的网络流量分类方法和终端设备 | |
CN111431819A (zh) | 一种基于序列化的协议流特征的网络流量分类方法和装置 | |
CN113760674A (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
CN114285781A (zh) | Srv6业务流量统计方法、装置、电子设备及介质 | |
Shen et al. | An experiment study on federated learning testbed | |
CN115086242A (zh) | 加密数据包识别方法、装置与电子设备 | |
CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
US10693736B2 (en) | Real time simulation monitoring | |
CN111478861B (zh) | 流量识别方法、装置、电子设备、及存储介质 | |
Lai et al. | Task assignment and capacity allocation for ml-based intrusion detection as a service in a multi-tier architecture | |
WO2024040794A1 (zh) | 一种异常流量检测方法、装置、电子设备及存储介质 | |
de la Puerta et al. | Detecting malicious Android applications based on the network packets generated | |
CN113452810B (zh) | 一种流量分类方法、装置、设备和介质 | |
CN113360542A (zh) | 大气颗粒物的来源分析方法和相关设备 | |
Yun et al. | Exploratory analysis and performance prediction of big data transfer in High-performance Networks | |
Hatanaka et al. | Extraction and prediction of user communication behaviors from dns query logs based on nonnegative tensor factorization | |
Foremski et al. | Source model of TCP traffic in LTE networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |