CN116112256B - 一种面向应用加密流量识别的数据处理方法 - Google Patents

一种面向应用加密流量识别的数据处理方法 Download PDF

Info

Publication number
CN116112256B
CN116112256B CN202310102247.3A CN202310102247A CN116112256B CN 116112256 B CN116112256 B CN 116112256B CN 202310102247 A CN202310102247 A CN 202310102247A CN 116112256 B CN116112256 B CN 116112256B
Authority
CN
China
Prior art keywords
data
flow
network
session
time difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310102247.3A
Other languages
English (en)
Other versions
CN116112256A (zh
Inventor
朱宇坤
牛伟纳
周玉祥
张小松
赵毅卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202310102247.3A priority Critical patent/CN116112256B/zh
Publication of CN116112256A publication Critical patent/CN116112256A/zh
Application granted granted Critical
Publication of CN116112256B publication Critical patent/CN116112256B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向应用加密流量识别的数据处理方法,属于网络监管和网络安全领域,主旨在于对现有的在实验环境中采集的训练数据进行扩充,为后续的模型训练提供有效的数据支撑。主要方案包括获取到具有标注的Pcap格式的流量数据,使用SplitCap工具将不同标注的所述加密流量数据以会话为单位进行得到多个会话单元。对会话单元包含的所有数据包进行解析,提取每个数据包不同协议层的字段内容,计算相邻数据包之间的时间差异,将会话单元的流量数据转化成句向量的特征表示形式,所有会话单元的句向量组成第一训练数据集。从第一训练集中随机选取一部分流量句向量,对其中的每个流量句向量进行数据增强,并得到第二训练集。

Description

一种面向应用加密流量识别的数据处理方法
技术领域
本发明涉及网络监管和网络安全领域,具体涉及一种面向应用流量识别的数据处理方法。
背景技术
随着移动互联网的迅速发展和广泛普及,越来越多的网络应用不断涌现,这将在信息通信和数据传输过程中产生大量不同类型的网络流量,各种网络流量给网络管理和安全带来了巨大的挑战。应用流量可以泄漏用户的生活习惯、个人位置等信息,甚至有研究指出攻击者可以通过利用流行的应用程序来发起网络攻击;同时各种企业和网络运营服务提供商也有监管内部网络流量的需求,因此,网络流量分类、识别不同类型的流量或加密流量、检测恶意流量、发现网络攻击或入侵、提高网络运行效率变得越来越重要,它们是网络监管和网络安全的研究重点。
目前,各种机器学习的方法已被广泛用于流量识别领域以实现网络监管和网络空间安全。传统的基于机器学习流量分类方法很大程度上取决于网络流量的特征选取,这需要人们根据专家经验来手工设计更好的流量特征来提高检测精度,面对日益复杂的网络流量,手工提取网络流量特征的方式变得非常困难。
与机器学习方法相比,深度学习更加复杂,其训练出的模型可以自动从结构化的流量数据中提取特征,然后通过模型的不断迭代训练来挑选出较为重要的特征,相比人工选择特征的方式,这无疑减少了很大的工作量的难度。为此,学者们也提出了许多的基于深度学习的应用流量检测方法,如基于卷积神经网络(CNN)的方法、基于深度自编码器的方法等,但这些流量数据的处理方式无法完整表示一个网络流的特征信息,且无法表达出网络流的数据包之间的时序关系。
深度学习训练模型需要大量的训练数据,并且数据越多,数据的特征信息越丰富,模型的训练效果就越好。虽然人们可以在实验环境中针对一个应用采集大量的流量数据,但这是在受限的网络环境中完成的,可能无法反映出复杂网络环境中的应用流量的全部特征空间,在真实的网络环境中,会面临着数据包丢失,时间延迟等网络问题,同时,同一应用的流量表现形式在不同的网络环境中会有所改变,比如不同地域使用同一应用与服务器通信的RTT时间差异以及不同网络条件下的数据包丢失等,因此单一网络训练的模型在不同的网络环境中的性能会有很大的下降。
数据增强是解决上述问题的一个有效方法,数据增强是指基于有限的训练数据生成更多的训练数据,以此来丰富训练数据集的特征空间分布,使得训练的模型有更强的泛化能力和准确率。然而,当前针对网络数据流特征的数据增强大多是在提取的现有特征上增加一些噪声,这些噪声往往会破坏数据包的合理性,即在现实环境中不存在这样的网络流能够提取出这样的特征。也有一些工作是将网络流转化为图像,然后再进行增强,但网络流量具备自己特有的语义特征,上述的数据增强方法通常会破坏语义特征,使得增强后的数据无法反映流量的真实特征分布,严重影响所训练的模型性能
发明内容
针对上述现状,本发明的主要目的在于提供一种面向应用流量识别的数据处理方法,主要包括数据特征表示方法和数据增强方法。充分考虑网络数据流量的语义特征和不同网络通信环境中可能出现的数据包丢失、时间延迟等现象,在模拟的不同网络环境中采集大量的网络流量,学习同类别样本在不同的网络环境中产生的数据特征差异的分布,然后对现有的在实验环境中采集的训练数据进行扩充,为后续的模型训练提供有效的数据支撑。
为了达到上述目的,本发明采用如下技术方案:
本发明首先提供了一种面向应用流量识别的数据表示方法,所述方法包括如下步骤:
S100:获取到具有标注的Pcap格式的加密流量数据,使用SplitCap工具将不同标注的所述加密流量数据以会话为单位进行得到多个会话单元。
S200:对会话单元包含的所有数据包进行解析,提取每个数据包不同协议层的字段内容,计算相邻数据包之间的时间差异,将会话单元的流量数据转化成句向量的特征表示形式,所有会话单元的句向量组成第一训练数据集。
S300:从第一训练集中随机选取一部分流量句向量,对其中的每个流量句向量进行数据增强,并得到数据规模更大,特征空间更加丰富的第二训练集。
进一步地,所述步骤S100中,所述应用加密流量数据的标签包括一般流量和各种应用(如QQ,微信)的流量,其中一般流量包括实验所关注的几个应用之外的其他流量。
进一步地,所述步骤S100中,所述Pcap(Packet Capture)文件是一种行业标准的网络数据包捕获格式,通常使用Wireshark、Tcpdump 或WinDump 等网络分析器捕获数据包,而抓包后存盘的文件格式就是Pcap 文件。
进一步地,所述步骤S100中,所述Pcap文件是按照数据包的五元组信息分割成不同的会话单元,所述五元组信息包括源IP地址、源端口号、目的IP地址、目的端口号、传输层协议。
进一步地,所述步骤S100中,所述会话文件包含了主机应用与服务器之间的一次完整通信的若干数据包。
进一步地,所述步骤S200中,对数据包的解析方式是按照TCP/IP协议栈格式来进行解析的,每个数据包都是由应用层、传输层、网络层等固定的协议层组成的,每个协议的格式同样是固定的,包括器字段值长度,协议长度等。
进一步地,所述步骤S200中,所述流量数据表示形式的构成方法如附图2所示。
进一步地,所述步骤S300中,所述数据增强方法包括网络环境模拟,数据采集与分析,样本变异等步骤。
所述网络环境模拟通过使用tc、Clumsy等工具改变主机系统的网络丢包率,时间延迟,网络带宽等因子,以此模拟出不同主机在不同的网络环境下使用同一应用所产生的流量。
所述数据采集与分析是指使用tcpdump、wireshark等工具采集上述网络环境模拟所产生的流量,生成pcap格式的流量文件,然后分析同一应用在不同的网络环境所产生的流量差异性,统计相关时间差特征变化规律,得到其分布曲线。
所述样本变异指基于上述数据采集与分析所得到的时间差分布曲线,可以得到不同时间差值的分布概率,以此来对第一训练集的流量句向量的时间差进行修改,得到更多的流量样本组成第二训练集。
所述步骤S300中,所述流量句向量处理的进行数据增强方式包括网络环境模拟,数据采集与分析,样本变异等步骤。
所述网络环境模拟是指通过使用tc、clumsy等网络工具改变主机系统的网络丢包率,时间延迟,网络带宽等影响因子,改变方式是参考《2019年中国网络状况白皮书》的相关网络数据平均值,让网络模拟环境中的网络影响因子在以白皮书中平均数据为均值,白皮书中不同地区的波动变化为方差的正态分布内变化,以此模拟出不同主机在不同的网络环境下使用同一应用所产生的流量。
所述数据采集与分析是指使用tcpdump、wireshark等流量捕获工具采集上述网络环境模拟所产生的流量,生成pcap格式的流量文件,然后分析同一应用在不同的网络环境所产生的流量差异性,统计相关时间差特征变化规律,得到其分布曲线,所述分布曲线是指不同数据包之间的时间差值的分布情况,例如曲线峰值m表示大部分数据包的时间差值为m,分布曲线给后续的样本变异提供了合理的依据。
所述样本变异指基于上述数据采集与分析所得到的时间差分布曲线,可以得到不同时间差值的分布概率,以此来对第一训练集的流量词向量的时间差进行修改,得到更多的流量样本组成第二训练集。
本发明同现有技术相比,其有益效果表现在:
一、本发明提出的网络数据特征表示方法能够克服现有方法无法表示网络流的数据包之间的时序特征和数据特征完整性等问题,不仅能够体现数据包之间的时序间隔特征,还能完整表达网络数据流的所有数据包携带的特征信息;
二、本发明通过模拟不同的网络环境,基于这些网络环境采集不同类别的流量样本,然后学习同类别样本在不同网络环境中的特征差异性,统计出对应的分布曲线,得到其分布曲线,所述分布曲线是指不同数据包之间的时间差值的分布情况,例如曲线峰值m表示大部分数据包的时间差值为m,分布曲线给后续的样本变异提供了合理的依据,然后对训练数据进行数据增强。能够有效扩充现有数据集的样本特征空间,提高训练模型的准确率和泛化能力。
附图说明
图1是本发明提供的面向应用加密流量识别的数据处理方法中的一种优选实施方案的流程示意图;
图2为本发明数提供的面向应用加密流量识别的数据处理方法中的一种优选实施方案的流量句向量表示示意图。
图3为本发明数提供的面向应用加密流量识别的数据处理方法中的S300中的数据增强具体流程示意图。
具体实施方式
为了更加清楚的阐述本发明为达成预定发明目的所采用的技术手段及功效,下面将结合附图及具体实施方式对本发明提出的面向应用加密流量识别的数据处理方法作进一步的描述。
实施例
本发明首先提供了一种面向应用流量识别的数据表示方法,所述方法包括如下步骤:
S100:获取到具有标注的Pcap格式的流量数据,使用SplitCap工具将不同标注的所述加密流量数据以会话为单位进行得到多个会话单元。
S200:对会话单元包含的所有数据包进行解析,提取每个数据包不同协议层的字段内容,计算相邻数据包之间的时间差异,将会话单元的流量数据转化成句向量的特征表示形式,所有会话单元的句向量组成第一训练数据集。
S300:从第一训练集中随机选取一部分流量句向量,对其中的每个流量句向量进行数据增强,并得到数据规模更大,特征空间更加丰富的第二训练集。
通过上述步骤,针对网络中的包含标签的应用加密流量数据,可以将原始的流量数据Pcap文件切分为多个会话单元,然后将每个会话单元转化为对应的流量句向量并组成第一训练集,然后从第一训练集中随机选择一部分流量句向量,并对这一步分流量句向量进行数据增强,由此得到新的第二训练集,可应用与基于监督式的机器学习或深度学习方法的应用加密流量识别场景。
具体的,在步骤S100中,
关于标签,是用于对应用流量数据进行分类识别,包含比较关注的几种应用(如QQ,微信等)流量和其他一般流量,机器学习或深度学习方法能够利用处理后的流量数据训练出模型,模型能够对未打上标签的用于加密流量进行预测,并打上对应的标签。
所述步骤S100中,所述数据包包含五元组信息,所述五元组信息包括源IP、源端口、目的IP、目的端口和协议类型,并根据所述五元组信息将所述应用加密流量数据Pcap文件切分为多个独立的会话单元,所述会话单元是包含主机应用与服务器的一次完成会话的Pcap文件。
具体的,在步骤S200中,
对数据包的解析方式是按照TCP/IP协议栈格式来进行解析的,每个数据包都是由应用层、传输层、网络层等固定的协议层组成的,每个协议的格式同样是固定的。需要以会话为单位,从数据包中获取IP协议层、TCP协议层和应用层的字节序列,拼接成
进一步地,所述步骤S200中,对所述请求包和响应包的区分是根据数据包的传输方向所确定的,从主机发往服务器的数据包都是请求包,而从服务器传回主机的都是响应包,将一个会话单元划分为由请求包组成的请求单元和由响应包组成的响应单元。
进一步地,所述步骤S200,所述流量句向量的构成方法如附图2所示。一个流量句向量由一个会话单元生成,会话单元中的每一个数据包构成流量句向量的词向量,所述词向量就是固定格式,固定长度的字符串,词向量的字符串长度是固定的130字节,其中时间差占2字节长度,其余由数据包IP协议层之后的字符串构成,如果IP协议层之后的字符串长度超过128字节,则舍弃掉后面的应用层数据;如果IP协议层之后的字符串长度小于128字节,则添加00作为填充值。时间差是两个数据包之间的差值,一个网络流的第一个数据包时间差为0,后续数据包的时间差则大于0,以毫秒为单位,因为时间差的长度为2字节,因此最大时间差为65536毫秒。
具体的,在步骤S300中,所述数据增强方法包括网络环境模拟,数据采集与分析,样本变异等步骤。
所述网络环境模拟是指通过使用tc、clumsy等网络工具改变主机系统的网络丢包率,时间延迟,网络带宽等影响因子,改变方式是参考《2019年中国网络状况白皮书》的相关网络数据平均值,让网络模拟环境中的网络影响因子在以白皮书中平均数据为均值,白皮书中不同地区的波动变化为方差的正态分布内变化,以此模拟出不同主机在不同的网络环境下使用同一应用所产生的流量。
所述数据采集与分析是指使用tcpdump、wireshark等流量捕获工具采集上述网络环境模拟所产生的流量,生成pcap格式的流量文件,然后分析同一应用在不同的网络环境所产生的流量差异性,统计相关时间差特征变化规律,得到其分布曲线,所述分布曲线是指不同数据包之间的时间差值的分布情况,例如曲线峰值m表示大部分数据包的时间差值为m,分布曲线给后续的样本变异提供了合理的依据。
所述样本变异指基于上述数据采集与分析所得到的时间差分布曲线,可以得到不同时间差值的分布概率,以此来对第一训练集的流量词向量的时间差进行修改,得到更多的流量样本组成第二训练集。
具体的,对上述流量句向量进行的基于数据包的修改操作包括如下步骤:
S310,从第一训练集中随机选择一部分流量句向量,基于从网络模拟中采集的应用流量中所学习到的时间差分布调整不同数据包的时间差值。
S320,从第一训练集中随机选择一部分流量句向量,随机选择一些数据包的词向量,在其后插入相同的词向量以模拟数据包丢失导致数据包重复的情况。
S330,从第一训练集中随机选择一部分流量句向量,修改该流量句向量的所有词向量的源IP地址,避免大量相同的源IP导致模型训练形成误差,同时增强模型的泛化能力。
通过上述步骤,所述数据处理方法,面对现有应用流量样本稀少、流量数据表示特征不完整且缺失数据包之间的时序关系,同时无法反映真实网络中的应用流量特征空间的现实问题,能够充分考虑网络流量的语义特征和时序特征,采用深度学习领域的自然语言处理的句向量方式来表示流量特征,模拟实际通信在不同网络环境中可能出现的数据包丢失、时间延迟、数据包重传等传输因素造成的差异,以及同类别样本通信过程中产生的数据差异等实际情况,有效扩充了模型训练数据集,实现了数据扩充和增强的目的,为提高机器学习模型泛化能力提供有效的数据支撑。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法以及核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (3)

1.一种面向应用加密流量识别的数据处理方法,其特征在于,所述方法包括以下步骤:
S100:获取到具有标注的Pcap格式的加密流量数据,使用SplitCap工具将不同标注的所述加密流量数据以会话为单位进行分割得到多个会话单元;
S200:对会话单元包含的所有数据包进行解析,提取每个数据包不同协议层的字段内容,计算相邻数据包之间的时间差异,将会话单元的流量数据转化成流量句向量的特征表示形式,所有会话单元的流量句向量组成第一训练数据集;
S300:从第一训练集中随机选取一部分流量句向量,对其中的每个流量句向量进行数据增强,并得到数据规模更大、特征空间更加丰富的第二训练集;
所述步骤S200中,从每个会话单元中选取在时序上的前N个数据包,并根据所述N个数据包生成所述流量句向量,具体为:
一个流量句向量由一个会话单元生成,会话单元中的每一个数据包构成流量句向量的词向量,词向量的字符串长度是固定的130字节,其中时间差占2字节长度,其余由数据包IP协议层之后的字符串构成,如果IP协议层之后的字符串长度超过128字节,则舍弃掉后面的应用层数据;如果IP协议层之后的字符串长度小于128字节,则添加00作为填充值;时间差是两个数据包之间的差值,一个网络流的第一个数据包时间差为0,后续数据包的时间差则大于0,以毫秒为单位;
所述步骤S300中,所述数据增强方法包括网络环境模拟,数据采集与分析,样本变异:
所述网络环境模拟通过使用tc、Clumsy工具改变主机系统的网络丢包率,时间延迟,网络带宽因子,以此模拟出不同主机在不同的网络环境下使用同一应用所产生的流量;
所述数据采集与分析是指使用tcpdump、wireshark工具采集上述网络环境模拟所产生的流量,生成pcap格式的流量文件,然后分析同一应用在不同的网络环境所产生的流量差异性,统计相关时间差特征变化规律,得到其分布曲线;
所述样本变异指基于上述数据采集与分析所得到的时间差分布曲线,得到不同时间差值的分布概率,根据分布概率来对第一训练集的流量句向量的时间差进行修改,得到更多的流量样本组成第二训练集。
2.如权利要求1所述的数据处理方法,其特征在于,所述步骤S100中,所述应用加密流量数据的标签包括一般流量和各种应用的流量,其中一般流量包括实验所关注的几个应用之外的其他流量。
3.如权利要求1所述的数据处理方法,其特征在于,所述步骤S100中,所述数据包具有五元组信息,所述五元组信息包括源IP、源端口、目的IP、目的端口和协议类型,并根据所述五元组信息将所述加密应用流量数据切分为多个会话单元,其中切分方法是根据不同的会话有不同的五元组信息将不同五元组信息的数据包分成不同的组,每个组的所有数据包构成一个会话。
CN202310102247.3A 2023-02-08 2023-02-08 一种面向应用加密流量识别的数据处理方法 Active CN116112256B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310102247.3A CN116112256B (zh) 2023-02-08 2023-02-08 一种面向应用加密流量识别的数据处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310102247.3A CN116112256B (zh) 2023-02-08 2023-02-08 一种面向应用加密流量识别的数据处理方法

Publications (2)

Publication Number Publication Date
CN116112256A CN116112256A (zh) 2023-05-12
CN116112256B true CN116112256B (zh) 2024-06-25

Family

ID=86263513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310102247.3A Active CN116112256B (zh) 2023-02-08 2023-02-08 一种面向应用加密流量识别的数据处理方法

Country Status (1)

Country Link
CN (1) CN116112256B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115314240A (zh) * 2022-06-22 2022-11-08 国家计算机网络与信息安全管理中心 面向加密异常流量识别的数据处理方法
CN115688000A (zh) * 2022-10-28 2023-02-03 重庆邮电大学 Sdn环境下基于改进的残差卷积网络的细粒度流量分类方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10115055B2 (en) * 2015-05-26 2018-10-30 Booking.Com B.V. Systems methods circuits and associated computer executable code for deep learning based natural language understanding
JP2021129203A (ja) * 2020-02-13 2021-09-02 沖電気工業株式会社 通信解析装置、通信解析プログラム及び通信解析方法
CN112163594B (zh) * 2020-08-28 2022-07-26 南京邮电大学 一种网络加密流量识别方法及装置
CN112507704B (zh) * 2020-12-15 2023-10-03 中国联合网络通信集团有限公司 多意图识别方法、装置、设备及存储介质
CN112671757B (zh) * 2020-12-22 2023-10-31 无锡江南计算技术研究所 一种基于自动机器学习的加密流量协议识别方法及装置
CN114679792A (zh) * 2020-12-24 2022-06-28 华为技术有限公司 业务流的调度方法、装置及系统
CN114866301B (zh) * 2022-04-25 2023-05-02 中国科学院信息工程研究所 基于直推图的加密流量识别与分类方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115314240A (zh) * 2022-06-22 2022-11-08 国家计算机网络与信息安全管理中心 面向加密异常流量识别的数据处理方法
CN115688000A (zh) * 2022-10-28 2023-02-03 重庆邮电大学 Sdn环境下基于改进的残差卷积网络的细粒度流量分类方法

Also Published As

Publication number Publication date
CN116112256A (zh) 2023-05-12

Similar Documents

Publication Publication Date Title
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN107665191B (zh) 一种基于扩展前缀树的私有协议报文格式推断方法
CN109284606B (zh) 基于经验特征与卷积神经网络的数据流异常检测系统
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
CN112988762B (zh) 一种适用于失信单位的实时识别及预警方法
CN114422211B (zh) 基于图注意力网络的http恶意流量检测方法及装置
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
CN108289125A (zh) 基于流式处理的tcp会话重组与统计数据提取方法
CN112019500B (zh) 一种基于深度学习的加密流量识别方法及电子装置
CN109660656A (zh) 一种智能终端应用程序识别方法
CN117914599A (zh) 基于图神经网络的移动网络恶意流量识别方法
Tang et al. HSLF: HTTP header sequence based lsh fingerprints for application traffic classification
CN108055166A (zh) 一种嵌套的应用层协议的状态机提取系统及其提取方法
CN111224998A (zh) 一种基于极限学习机的僵尸网络识别方法
Ren et al. App identification based on encrypted multi-smartphone sources traffic fingerprints
CN118138306A (zh) 一种基于机器学习的加密流量分类方法
CN117650935A (zh) 一种基于业务应用分类模型的干扰流量识别方法
CN116112256B (zh) 一种面向应用加密流量识别的数据处理方法
CN108040052A (zh) 一种基于Netflow日志数据的网络安全威胁分析方法及系统
CN115622810B (zh) 一种基于机器学习算法的业务应用识别系统及方法
CN114205151B (zh) 基于多特征融合学习的http/2页面访问流量识别方法
CN117318980A (zh) 一种面向小样本场景的自监督学习恶意流量检测方法
CN111310796A (zh) 一种面向加密网络流的Web用户点击识别方法
CN116599907A (zh) 网络流量处理方法及装置、设备、存储介质
CN111401067B (zh) 一种蜜罐仿真数据的生成方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant