CN116192997B - 一种基于网络流的事件检测方法和系统 - Google Patents
一种基于网络流的事件检测方法和系统 Download PDFInfo
- Publication number
- CN116192997B CN116192997B CN202310146496.2A CN202310146496A CN116192997B CN 116192997 B CN116192997 B CN 116192997B CN 202310146496 A CN202310146496 A CN 202310146496A CN 116192997 B CN116192997 B CN 116192997B
- Authority
- CN
- China
- Prior art keywords
- tuple
- candidate
- user behavior
- network
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 34
- 230000006399 behavior Effects 0.000 claims description 95
- 238000013145 classification model Methods 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 28
- 238000012549 training Methods 0.000 claims description 26
- 238000010801 machine learning Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims 2
- 230000005540 biological transmission Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005192 partition Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000011176 pooling Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000013136 deep learning model Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000012421 spiking Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本说明书实施例提供一种基于网络流的事件检测方法,该方法包括:获取网络数据包;从所述网络数据包中提取出五元组,五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个;基于五元组,确定事件分类,事件分类包括应用类型和用户行为中的至少一个。
Description
技术领域
本说明书涉及通信技术领域,特别涉及一种基于网络流的事件检测方法和系统。
背景技术
随着信息技术的不断发展,各种基于网络的应用逐渐占据互联网应用的主流位置。在这样的形势下想要进行网络安全管理、保证网络运营的效率,则需要对网络流量中的事件进行准确的识别,例如,网络管理员需要基于网络流对不同的应用进行监控和管理,以保证网络运行的安全。
针对基于网络流量的识别,CN114401229A提出了一种基于Transformer深度学习模型的加密流量识别方法,通过改进的intra-Transformer模型先后提取出数据包内各字节的全局特征和局部特征和数据流中数据包间字节的全局特征和统计信息的全局特征。但是,该方法对于数据的内在关系性利用不够充分,可能使最终的识别结果产生较大误差。
因此,希望提供一种基于网络流的事件检测方法和系统,以便于提供更准确的事件检测结果。
发明内容
本说明书一个或多个实施例提供一种基于网络流的事件检测方法,其特征在于,所述方法包括:获取网络数据包;从所述网络数据包中提取出五元组,所述五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个;基于所述五元组,确定事件分类,所述事件分类包括应用类型和用户行为中的至少一个。
本说明书一个或多个实施例提供一种基于网络流的事件检测系统,包括获取模块、提取模块和确定模块;所述获取模块用于获取网络数据包;所述提取模块用于从所述网络数据包中提取出五元组,所述五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个;所述确定模块用于基于所述五元组,确定事件分类,所述事件分类包括应用类型和用户行为中的至少一个。
本说明书一个或多个实施例提供一种基于网络流的事件检测装置,包括处理器,所述处理器用于执行上述任一项所述的基于网络流的事件检测方法。
本说明书一个或多个实施例提供一种计算机可读存储介质,所述存储介质存储计算机指令,当计算机读取存储介质中的计算机指令后,计算机执行如上述中任一项所述的基于网络流的事件检测方法。
附图说明
本说明书将以示例性实施例的方式进一步说明,这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的,在这些实施例中,相同的编号表示相同的结构,其中:
图1是根据本说明书一些实施例所示的基于网络流的事件检测系统的应用场景示意图;
图2是根据本说明书一些实施例所示的基于网络流的事件检测系统200的示例性模块图;
图3是根据本说明书一些实施例所示的基于网络流的事件检测方法的示例性流程图;
图4是根据本说明书一些实施例所示的确定应用类型的方法示意图;
图5是根据本说明书一些实施例所示的确定用户行为的方法流程图。
具体实施方式
为了更清楚地说明本说明书实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本说明书的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
应当理解,本文使用的“系统”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而,如果其他词语可实现相同的目的,则可通过其他表达来替换所述词语。
如本说明书和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其它的步骤或元素。
本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是,前面或后面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各个步骤。同时,也可以将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
图1是根据本说明书一些实施例所示的基于网络流的事件检测系统的应用场景示意图。
如图1所示,基于网络流的事件检测系统的应用场景100中的组件可以包括终端110、服务器120、存储设备130、网络140。在一些实施例中,应用场景100中的组件可以经由网络140(例如无线连接、有线连接或其组合),以实现彼此连接和/或通信。
在一些实施例中,基于网络流的事件检测系统可以用于检测用户当前在网络中发生的事件类型。当终端用户参与网络时,可以通过基于网络流的事件检测系统确定其参与的事件类型。例如,当用户参与网络时,可以通过基于网络流的事件检测系统确定当前用户是否正在进行发送邮件、浏览网页、使用聊天软件进行交流等网络事件。
终端110指任何用户使用的带有网络连接功能的一个或多个终端或软件。在一些实施例中,用户可以通过终端110接入网络,进行网络活动,发生相应的网络事件。在一些实施例中,终端110可以是移动设备、平板计算机、膝上型计算机等其他具有输入和/或输出功能的设备中的一种或其任意组合。
服务器120可以处理与基于网络流的事件检测系统相关的数据和/或信息。在一些实施例中,服务器120从存储设备130和/或终端110以访问信息和/或数据。在一些实施例中,服务器可以从存储设备130和/或终端110以获取网络数据包。
服务器120可以用于管理资源以及处理来自本系统至少一个组件或外部数据源(例如,云数据中心)的数据和/或信息。在一些实施例中,服务器可以从获取的网络数据包中提取出五元组,并基于五元组,确定时间分类。
在一些实施例中,服务器120可以包含处理设备122。处理设备122可以处理从其他设备或系统组成部分中获得的数据和/或信息。处理设备122可以基于这些数据、信息和/或处理结果执行程序指令,以执行一个或多个本申请中描述的功能。
存储设备130可以用于存储数据和/或指令。存储设备130在单个中央服务器、通过通信链路连接的多个服务器或多个个人设备中实现。在一些实施例中,存储设备130也可以用于为基于网络流的事件检测系统提供其他信息的一个或多个来源。存储设备130可以是一个或多个设备,可以是一个或多个应用程序接口,可以是一个或多个基于协议的信息获取接口,可以是其他可获取信息的方式。存储设备130所提供的信息,可以是在提取信息时已存在的,也可以是在提取信息时临时生成的,也可以是上述方式的组合。在一些实施例中,存储设备130可以存储网络数据包、从网络数据包中提取出的五元组等。
网络140可以连接系统的各组成部分和/或连接系统与外部资源部分。网络140使得各组成部分之间,以及与系统之外其他部分之间可以进行通讯,促进数据和/或信息的交换。在一些实施例中,网络140可以包括场所内的局域网及其他网络。例如,网络140可以包括终端110请求接入的场所内的局域网。例如,当终端110接入网络140后,用户可以通过终端110进行网络活动,从而发生网络事件。在一些实施例中,网络140还可以包括电缆网络、光纤网络、电信网络、互联网等或其任意组合。各部分之间的网络连接可以是采用上述一种方式,也可以是采取多种方式。在一些实施例中,网络可以是点对点的、共享的、中心式的等各种拓扑结构或者多种拓扑结构的组合。在一些实施例中,网络140可以包括一个或以上网络接入点。例如,网络140可以包括有线或无线网络接入点,例如基站和/或网络交换点,通过这些接入点,基于网络流的事件检测系统的一个或多个组件可连接到网络140上以交换数据和/或信息。
应当注意基于网络流的事件检测系统的应用场景100仅仅是为了说明的目的而提供,并不意图限制本说明书的范围。对于本领域的普通技术人员来说,可以根据本说明书的描述,做出多种修改或变化。例如,基于网络流的事件检测系统的应用场景100可以在其他设备上实现以实现类似或不同的功能。然而,变化和修改不会背离本说明书的范围。
图2是根据本说明书一些实施例所示的基于网络流的事件检测系统200的示例性模块图。如图2所示,基于网络流的事件检测系统200可以包括获取模块210、提取模块220和确定模块230。
获取模块210可以用于获取网络数据包。关于网络数据包的详细内容可以参见本说明书其他内容的描述,例如,图3。
提取模块220可以用于从所述网络数据包中提取出五元组,五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个。关于五元组的详细内容可以参见本说明书其他内容的描述,例如,图3。
在一些实施例中,提取模块220可以用于:将所述五元组分为前向五元组和后向五元组;基于预设时间间隔分别对所述前向五元组和所述后向五元组分块,获得多个前向五元组分块和多个后向五元组分块;其中,相邻的两个前向五元组分块之间具有时间重叠,相邻的两个后向五元组分块之间具有时间重叠。关于前向五元环和后向五元环的详细内容可以参见本说明书其他内容的描述,例如,图3。
确定模块230可以用于基于所述五元组,确定事件分类。关于事件分类的详细内容可以参见本说明书其他内容的描述,例如,图3、图4。
在一些实施例中,事件分类包括应用类型,确定模块230可以用于:基于五元组确定事件分类包括:基于所述前向五元组分块和所述后向五元组分块,通过分类模型确定应用类型,所述分类模型为机器学习模型;分类模型的输入数据与前向五元组分块的有效荷载长度以及所述后向五元组分块的有效荷载长度相关。关于分类模型的详细内容可以参见本说明书其他内容的描述,例如,图4。
在一些实施例中,事件分类还包括用户行为,确定模块230可以用于:基于应用类型,确定至少一种候选用户行为;基于五元组与候选五元组,通过相似度模型,计算五元组和所述候选五元组之间相似度;基于相似度确定所述至少一种候选用户行为中的每一种候选用户行为发生的概率;当至少一种候选用户行为之间的概率差值大于阈值时,将概率最高的候选用户行为作为目标用户行为。关于候选五元度、相似度模型、候选用户行为以及目标用户行为的详细内容可以参见本说明书其他内容的描述,例如,图4。
图3是根据本说明书一些实施例所示的基于网络流的事件检测方法的示例性流程图。在一些实施例中,基于网络流的事件检测方法的流程300可以由处理器执行。如图3所示,流程300可以包括以下步骤:
步骤310,获取网络数据包。
网络数据包可以指与用户进行的网络活动有关的基本传输单元。数据包可以是通信传输中与用户进行的网络活动有关的数据单位。例如,用户在传输视频时,网络数据包可以是该视频的一个或多个帧的集合。在一些实施例中,每个网络数据包都可以包括其有效荷载程度、发送时间戳和/或接收时间戳等。关于有效荷载程度、发送时间戳和/或接收时间戳的详细内容可以参见本说明书下面内容的描述。
在一些实施例中,处理器可以从终端、存储设备获取网络数据包。
步骤320,从网络数据包中提取出五元组。
五元组可以指用于反映网络数据包信息特征的字段集合。在一些实施例中,五元组可以包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个。源IP地址可以是表示网络数据包的来源的网络地址。源端口可以指发送网络数据包的端口号。端口号可以用来表示终端上进行通讯的应用的号码。同一个终端上可以同时运行多种应用进行,例如,端口号可以为21、22、80等。目的IP地址可以指接收网络数据包的网络地址。目的端口可以指接收网络数据包的端口号。传输层协议可以指进行通讯的、对应用可以封装、解析的数据格式。例如,传输层协议可以为TCP协议、UDP协议等。例如,数据包中五元组相关内容可以为192.168.1.1 10000TCP 121.14.88.76 80,可以表示一个源IP地址为192.168.1.1的终端通过源端口10000,利用TCP协议和目的IP地址为121.14.88.76、目的端口为80的终端进行连接。
在一些实施例中,每个网络数据包可以对应一个五元组。
在一些实施例中,处理器可以通过基于处理算法的字段抽取方法获取文本段落分类结果对应的解析结果。处理算法可以指机器学习模型、或者机器阅读理解模型等。处理器可以通过机器学习模型、或者机器阅读理解模型等从每个网络数据包中抽取对应的解析结果,确定对应的五元组相关内容,进一步地,五元组中源IP地址、源端口、目的IP地址、目的端口和传输层协议都对应有特定的位置和长度,可以按照顺序从五元组相关内容中提取出对应的内容。例如,五元组相关内容为192.168.1.1 10000TCP 121.14.88.76 80,可以按照顺序分别提取出对应的源IP地址、源端口、传输层协议、目的IP地址、目的端口。
在一些实施例中,从网络数据包中提取出五元组包括:将五元组分为前向五元组和后向五元组;基于预设时间间隔分别对前向五元组和后向五元组分块,获得多个前向五元组分块和多个后向五元组分块;其中,相邻的两个前向五元组分块之间具有时间重叠,相邻的两个后向五元组分块之间具有时间重叠。
前向五元组可以指与从源IP地址发送到目的IP地址的网络数据包对应的五元组。后向五元组可以指与从目的IP地址发送到源IP地址的网络数据包对应的五元组。
在一些实施例中,处理器可以获取从源IP地址发送到目的IP地址的网络数据包,并从中从提取前向五元组。在一些实施例中,处理器可以获取从目的IP地址发送到源IP地址的网络数据包,并从中提取后向五元组。
预设时间间隔可以指选取网络数据包所占的时间长度。预设时间间隔可以人工预设。在一些实施例中,预设时间间隔可以相同。在一些实施例中,处理器可以基于预设时间间隔获得多个前向五元组分块和多个后向五元组分块。例如,预设时间间隔可以为0.1s,前向五元组可以为0s-0.10s、0.05s-0.15s、0.10s-0.20s等。
在一些实施例中,从网络数据包中提取出五元组,还包括:从网络数据包中提取出每个五元组对应的有效荷载长度。
有效荷载长度可以指在传输数据时,为了使原始数据(例如,网络流)传输更可靠,常常把需要传输的原始数据分成网络数据包进行传输,并且在每一个网络数据包头部和尾部都加上一定的辅助标识信息(例如校验位等),可以使得原始数据不易丢失,每一个数据包中的原始数据部分就是该数据包中的有效荷载。有效荷载长度可以指有效荷载所占字节。
在一些实施例中,处理器可以去除网络数据包中的其他辅助标识信息,获取有效荷载,并计算其字节,确定有效荷载长度。
通过本说明书一些实施例,可以确定有效荷载长度,并基于网络数据包的数据量长度可以确定有效长度可以反映出网络数据包的数据量。
在一些实施例中,从网络数据包中提取出五元组,还包括:从网络数据包中提取出每个五元组对应的发送时间戳和接收时间戳。
发送时间戳可以指网络数据包的发送时间。接收时间戳可以指网络数据包的接收时间。每个五元组对应的发送时间戳和接收时间戳可以从网络数据包中提取,提取方式可以参见五元组的提取方式。
通过本说明书的一些实施例,可以确定出五元组的发送时间戳和接收时间戳,发送时间戳和接收时间戳可以反映出网络数据包的时段特征。
在一些实施例中,处理器可以基于发送时间戳和接收时间戳确定传输延迟。
在一些实施例中,在一些实施例中,处理器可以基于当前时间以及相同预设时间间隔各选取一组对应的前向五元组和后向五元组,则传输延迟可以通过公式(1)确定。
α=(t4-t1)-(t2-t3)…(1)
其中,α为传输延时,t1、t2分别为前向五元组的发送时间戳和接收时间戳,t3、t4分别为后向五元组的发送时间戳和接收时间戳。
通过本说明书的一些实施例,可以通过发送时间戳以及接收时间戳进一步确定网络延迟的情况。
步骤330,基于五元组,确定事件分类。
事件分类可以指用户当前正在从事的事件的类型。在一些实施例中,事件分类可以包括进程类型。在一些实施例中,事件分类可以包括事件分类包括应用类型和用户行为中的至少一个,其中,应用类型可以包括但不限于邮件、聊天软件、视频软件等,用户行为可以包括但不限于邮件沟通、文字沟通、未参与会议、参与语音会议、参与视频会议等。
在一些实施例中,事件分类包括应用类型,基于五元组确定事件分类包括:基于前向五元组分块和后向五元组分块,通过分类模型确定应用类型,分类模型为机器学习模型;分类模型的输入数据与前向五元组分块的有效荷载长度以及后向五元组分块的有效荷载长度相关。关于通过分类模型确定事件分类的详细内容可以参见本说明书其他内容的描述,例如,图4。
在一些实施例中,事件分类还包括用户行为,基于五元组确定事件分类包括:基于应用类型,确定至少一种候选用户行为;基于五元组与候选五元组,通过相似度模型,计算五元组和候选五元组之间相似度;基于相似度确定至少一种候选用户行为中的每一种候选用户行为发生的概率;当至少一种候选用户行为之间的概率差值大于阈值时,将概率最高的候选用户行为作为目标用户行为。关于基于候选五元组确定事件分类的详细内容可以参见本说明书其他内容的描述,例如,图5。
通过本说明书的一些实施例,通过五元组确定网络数据包对应的事件分类,可以提高确定事件分类的效率和准确率。
需要说明的是,不同实施例可能产生的有益效果不同,在不同的实施例里,可能产生的有益效果可以是以上任意一种或几种的组合,也可以是其他任何可能获得的有益效果。
图4是根据本说明书一些实施例所示的确定应用类型的方法示意图。如图4所示,确定应用类型的方法400可以包括以下内容。
在一些实施例中,处理器122可以基于前向五元组分块和后向五元组分块,通过分类模型确定应用类型。其中,应用类型可以包括但不限于邮件、聊天软件、视频软件等。
在一些实施例中,分类模型可以是机器学习模型。分类模型的输入数据与前向五元组分块的有效在和长度以及后向五元组分块的有效载荷长度相关。
在一些实施例中,分类模型的输入数据可以包括前向五元组分块、前向五元组分块的有效载荷长度和包数目、后向五元组分块、后向五元组分块的有效载荷长度和包数目。其中,有效载荷长度指五元组分块对应的包的数据长度,报数据指五元组分块对应的包的数量。
在一些实施例中,分类模型的输出可以包括应用类型。例如,邮件、聊天软件、视频软件等。
如图4所示,在一些实施例中,分类模型的输入数据可以包括前向五元组分块的有效载荷长度直方图和包数目直方图、后向五元组分块的有效载荷长度直方图和包数目直方图,输出可以包括应用类型。
在一些实施例中,分类模型可以包括transformer层420和全连接层440。
transformer层420也可以被称为自注意力机制层,可以用于提取网络流特征。该层的输入可以是分类模型的输入,即前向五元组分块的有效载荷长度直方图和包数目直方图410-1、后向五元组分块的有效载荷长度直方图和包数目直方图410-2,该层的输出可以包括网络流特征430。transformer层的输出可以作为全连接层的输入。
全连接层440可以用于基于网络流特征确定应用类型,该层的输入可以包括transformer层输出的网络流特征430,输出可以包括事件分类450。在一些实施例中,全连接层可以为脉冲神经网络(Spiking Neural Network,SNN)。
在一些实施例中,transformer层的输出可以作为全连接层的输入,transformer层和全连接层可以联合训练得到。
在一些实施例中,联合训练的第一样本数据可以包括样本前向五元组分块的有效载荷长度直方图和包数目直方图、样本后向五元组分块的有效载荷长度直方图和包数目直方图,标签为样本事件分类。将第一样本数据输入初始transformer层,得到初始transformer层输出的网络流特征,将初始transformer层输出的网络流特征输入初始全连接层,得到初始全连接层输出的事件分类。基于样本事件分类和初始全连接层输出的事件分类构建损失函数,同步更新初始transformer层和初始全连接层的参数,直到满足预设条件时训练完成。其中,预设条件可以包括损失函数小于阈值、损失函数收敛或训练周期到达阈值。
在一些实施例中,分类模型的transformer层和全连接层之间,还可以包括卷积层和池化层(图中未示出)。其中,卷积层和池化层依次连接,transformer层的输出可以作为卷积层的输入,池化层的输出可以作为全连接层的输入。
在一些实施例中,分类模型还可以包括时间戳嵌入层460。时间戳嵌入层的输入可以包括前向五元组分块及分块内的全部时间戳470-1、后向五元组分块及分块内的全部时间戳470-2。其中,全部时间戳可以包括接收时间戳和分块时间戳,接收时间戳即接收数据的时间点,分块时间戳即用于进行分块的时间点。该层的输出可以包括时段特征480。
在一些实施例中,全连接层的输入还可以包括时段特征480和传输延迟490。时段特征可以通过前述时间戳嵌入层获取。传输延迟可以基于时间戳获取,有关获取传输延迟的更多详细内容可参见图3中的相关描述。
在一些实施例中,时间戳嵌入层可以基于第二训练样本进行训练得到。例如,可以将多个带有标签的第二训练样本输入初始时间戳嵌入层,通过标签和初始时间戳嵌入层的结果构建损失函数,基于损失函数通过梯度下降或其他方法迭代更新初时间戳嵌入层的参数。当满足预设条件时模型训练完成,得到训练好的时间戳嵌入层。其中,预设条件可以是损失函数收敛、迭代的次数达到阈值等。
在一些实施例中,第二训练样本可以包括样本前向五元组分块及分块内的全部时间戳、样本后向五元组分块及分块内的全部时间戳,训练的标签表征样本时段特征。训练的标签可以历史数据确定,或通过人工标注获取。
在一些实施例中,通过时间戳嵌入层确定时段特征,并将时段特征作为全连接层的输入,可以使分类模型能够对前向五元组分块和/或后向五元组分块对应的网络流的发送和接收时间进行学习,从而结合时间特征更好地判断对应的应用类型。
本说明书一些实施例中,基于前向五元组分块的有效载荷长度以及后向五元组的有效载荷长度通过分类模型确定应用类型,能够更加智能、准确地达到确定事件分类的目的。
图5是根据本说明书一些实施例所示的确定用户行为的方法流程图。如图5所示,流程500可以包括以下内容。
步骤510,基于应用类型,确定至少一种候选用户行为。
在一些实施例中,应用类型可以指能够产生网络信息流的应用软件或应用程序。例如,邮件、聊天软件、视频软件等。
在一些实施例中,应用类型可以由处理器通过分类模型确定,有关分类模型的详细内容可参见本说明书图3及其相关描述。
在一些实施例中,候选用户行为可以指用户当前可能的行为状态,例如,邮件沟通、文字沟通、未参与会议、参与语音会议、参与视频会议等。
在一些实施例中,候选用户行为可以基于应用类型确定。例如,当应用类型包括邮件时,候选用户行为可以包括邮件沟通;当应用类型包括聊天软件时,候选用户行为可以包括文字沟通、参与语音会议、参与视频会议、未参与会议等;当应用类型包括视频软件时,候选用户行为可以包括未参与会议、参与语音会议、参与视频会议等。
在一些实施例中,应用类型还可以包括其他种类,相应的候选用户行为也可以包括其他类型,具体可根据实际情况确定。
步骤520,基于五元组与候选五元组,通过相似度模型,计算五元组和候选五元组之间相似度,基于所述相似度确定所述至少一种候选用户行为中的每一种候选用户行为发生的概率。
在一些实施例中,候选五元组可以指从候选行为发生时对应的网络数据包中提取的五元组数据。
在一些实施例中,候选五元组可以由处理器通过多种方式获取。例如,处理器可以从当前用户的历史数据中提取历史网络数据包及其对应的历史行为,从历史网络数据包中提取历史五元组,通过候选用户行为和历史行为的匹配,将与候选用户行为一致的历史行为对应的历史五元组,作为该候选用户行为对应的候选五元组。又例如,处理器可以获取用户基于不同候选用户行为预先模拟好的不同标准五元组,将与不同候选用户行为对应的标准五元组作为候选五元组。
在一些实施例中,相似度模型可以用于计算五元组(即,当前五元组)和候选五元组之间的相似度。相似度模型可以是机器学习模型,例如,深度神经网络模型(DNN)、卷积神经网络(CNN)等,还可以是其他能够完成相同处理的模型。
相似度模型的输入可以包括当前五元组的网络流特征和候选五元组的网络流特征。当前五元组的网络流特征和候选五元组的网络流特征可以通过分类模型的transformer层确定,更多详细内容可参见本说明书图4中的相关描述。
相似度模型的输出可以是当前五元组和候选五元组之间的相似度,可以用[0,1]之间的数值表示,数值越大二者之间的相似度越高。
在一些实施例中,相似度模型可以通过多个带有标签的第三训练样本得到。例如,可以将多个带有标签的第三训练样本输入初始相似度模型,通过标签和初始相似度模型的结果构建损失函数,基于损失函数通过梯度下降或其他方法迭代更新初始相似度模型的参数。当满足预设条件时模型训练完成,得到训练好的相似度模型。其中,预设条件可以是损失函数收敛、迭代的次数达到阈值等。
在一些实施例中,第三训练样本可以包括样本五元组和样本标准五元组,训练的标签表征样本五元组和样本标准五元组是否为同种应用类型下的同种候选用户行为产生的网络流,可以用0或1标记,其中0表示否,1表示是。训练的标签可以历史数据确定,或通过人工标注获取。
在一些实施例中,若候选五元组是基于当前用户的历史数据获取的,则相似度模型的输入还可以包括时段特征。时段特征可以通过分类模型的时间戳嵌入层获取,更多详细内容可参见本说明书图4中的相关描述。
相应的,当候选五元组基于当前用户的历史数据获取时,第三训练样本还包括历史时段特征。
在一些实施例中,处理器可以基于相似度模型的输出结果确定候选用户行为发生的概率。例如,可以将相似度模型的输出结果作为候选用户行为发生的概率,具体的,当相似度模型的输出结果为0.7时,表征候选用户行为发生的概率为70%。
步骤530,基于至少一种候选用户行为之间的概率差值,确定目标用户行为。
在一些实施例中,当至少一种候选用户行为之间的概率差值大于阈值时,将概率最高的候选用户行为作为目标用户行为。其中,任意两种候选用户行为之间的概率差值可以是二者概率之差的绝对值。该阈值可以由人工根据实际情况进行设置。
在一些实施例中,当至少一种候选用户行为之间的概率差值不大于阈值时,处理器可以对前述至少一种候选用户行为中的每一种候选用户行为,结合相关设备进行二分类判断,并基于二分类判断的结果,确定是否将该候选用户行为作为目标用户行为。
在一些实施例中,处理器可以通过判断模型对候选用户行为进行二分类判断,其中,判断模型可以是二分类模型。
判断模型的输入可以包括当前五元组的网络流特征、候选行为发生的概率、当前设备类型、相关设备类型及相关设备的统计信息。
其中,当前五元组的网络流特征可以通过分类模型的transformer层确定,更多详细内容可参见本说明书图4中的相关描述。
候选行为发生的概率可以通过基于相似度模型的输出确定,有关相似度模型及根据相似度确定候选行为发生的概率的更多详细内容可参见步骤520中的相关描述。
当前设备类型可以指当前用户正在使用的设备的类型,包括但不限于电脑、手机等。
相关设备类型可以指与当前用户使用的设备具有相关性的终端的类型。例如,当前用户正在使用电脑,同时也用手机登录了相同账号,则手机可以是相关设备;又例如,当前用户正在使用电脑,同一空间内的同事也在使用电脑,则其他同事使用的电脑可以看作是相关设备。相关设备可以是多个,例如,在同一时段内出现频率最高的几个设备可以作为相关设备。
在一些实施例中,具有相关性的终端可以指处于同一网络接入点的时间分布满足预设条件的多个终端。例如,在一定时间内与当前用户的设备接入同一网络接入点的设备可以看作是相关设备。
在一些实施例中,当前设备的类型、相关设备的类型可以基于训练好的设备类型判断模型确定。设备类型判断模型可以是机器学习模型,例如,深度学习模型(DNN)等,还可以是其他能够完成相应处理的模型。设备类型判断模型的输入可以包括设备多个历史时间点的五元组的网络流特征和应用类型,输出可以包括设备类型。设备类型判断模型可以通过多个带有标签的训练样本,通过梯度下降或其他训练方法得到,训练样本可以包括历史数据中多个时间点的样本五元组网络流特征、样本应用类型,训练标签可以包括前述历史数据对应的设备类型。
相关设备的统计信息可以包括相关设备的网络流特征被判断为是候选用户行为的统计频次,例如,该相关设备平均一小时出现3次候选用户行为。
判断模型的输出可以是二分类的结果,可以用1或0表示。
在一些实施例中,判断模型可以基于多个带有标签的第四训练样本进行训练得到。在一些实施例中,第四训练样本至少可以包括历史五元组的网络流特征、历史候选行为的概率、历史设备的类型、历史相关设备的类型、历史相关设备的统计信息。训练的标签可以表示历史候选行为是否和历史目标用户行为一致,其中,可以用1表示一致,0表示不一致。标签可以基于历史数据获取,也可以通过人工标注获取。
在一些实施例中,处理器可以将判断模型输出结果为1的候选用户行为作为目标用户行为。
本说明书一些实施例中,基于相关设备,通过判断模型进一步对候选用户行为进行二分类判断,结合了终端设备之间的关联,从而可以在至少一种候选用户行为之间的概率差值小于阈值时进行更准确地判断。
上文已对基本概念做了描述,显然,对于本领域技术人员来说,上述详细披露仅仅作为示例,而并不构成对本说明书的限定。虽然此处并没有明确说明,本领域技术人员可能会对本说明书进行各种修改、改进和修正。该类修改、改进和修正在本说明书中被建议,所以该类修改、改进、修正仍属于本说明书示范实施例的精神和范围。
同时,本说明书使用了特定词语来描述本说明书的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本说明书至少一个实施例相关的某一特征、结构或特点。因此,应强调并注意的是,本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外,本说明书的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。
此外,除非权利要求中明确说明,本说明书所述处理元素和序列的顺序、数字字母的使用、或其他名称的使用,并非用于限定本说明书流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例,但应当理解的是,该类细节仅起到说明的目的,附加的权利要求并不仅限于披露的实施例,相反,权利要求旨在覆盖所有符合本说明书实施例实质和范围的修正和等价组合。例如,虽然以上所描述的系统组件可以通过硬件设备实现,但是也可以只通过软件的解决方案得以实现,如在现有的服务器或移动设备上安装所描述的系统。
同理,应当注意的是,为了简化本说明书披露的表述,从而帮助对一个或多个发明实施例的理解,前文对本说明书实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。但是,这种披露方法并不意味着本说明书对象所需要的特征比权利要求中提及的特征多。实际上,实施例的特征要少于上述披露的单个实施例的全部特征。
一些实施例中使用了描述成分、属性数量的数字,应当理解的是,此类用于实施例描述的数字,在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明,“大约”、“近似”或“大体上”表明所述数字允许有±20%的变化。相应地,在一些实施例中,说明书和权利要求中使用的数值参数均为近似值,该近似值根据个别实施例所需特点可以发生改变。在一些实施例中,数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本说明书一些实施例中用于确认其范围广度的数值域和参数为近似值,在具体实施例中,此类数值的设定在可行范围内尽可能精确。
针对本说明书引用的每个专利、专利申请、专利申请公开物和其他材料,如文章、书籍、说明书、出版物、文档等,特此将其全部内容并入本说明书作为参考。与本说明书内容不一致或产生冲突的申请历史文件除外,对本说明书权利要求最广范围有限制的文件(当前或之后附加于本说明书中的)也除外。需要说明的是,如果本说明书附属材料中的描述、定义、和/或术语的使用与本说明书所述内容有不一致或冲突的地方,以本说明书的描述、定义和/或术语的使用为准。
最后,应当理解的是,本说明书中所述实施例仅用以说明本说明书实施例的原则。其他的变形也可能属于本说明书的范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导一致。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。
Claims (8)
1.一种基于网络流的事件检测方法,其特征在于,所述方法包括:
获取网络数据包;
从所述网络数据包中提取出五元组,所述五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个;
基于所述五元组,确定事件分类,所述事件分类包括应用类型和用户行为中的至少一个;其中,所述基于所述五元组,确定事件分类包括:
基于所述应用类型,确定至少一种候选用户行为;
基于所述五元组与候选五元组,通过相似度模型,计算所述五元组和所述候选五元组之间相似度,所述候选五元组指从候选行为发生时对应的网络数据包中提取的五元组数据,所述相似度模型为机器学习模型,所述相似度模型通过多个带有标签的第三训练样本得到,所述第三训练样本包括样本五元组和样本标准五元组,训练的标签表征所述样本五元组和所述样本标准五元组是否为同种应用类型下的同种候选用户行为产生的网络流,以及,响应于所述候选五元组基于当前用户的历史数据获取,所述相似度模型的输入还包括时段特征;
基于所述相似度确定所述至少一种候选用户行为中的每一种候选用户行为发生的概率;
当所述至少一种候选用户行为之间的概率差值大于阈值时,将概率最高的候选用户行为作为目标用户行为;
当所述至少一种候选用户行为之间的概率差值不大于所述阈值时,对所述至少一种候选用户行为中的每一种候选用户行为,通过判断模型对所述候选用户行为进行二分类判断,并基于二分类判断的结果,确定是否将所述候选用户行为作为目标用户行为;其中,所述判断模型基于多个带有标签的第四训练样本进行训练得到,所述判断模型的输入包括当前五元组的网络流特征、候选行为发生的概率、当前设备类型、相关设备类型及相关设备的统计信息,所述候选行为发生的概率基于所述相似度模型的输出确定,所述当前设备类型指当前用户正在使用的设备的类型,所述相关设备类型指与当前用户使用的设备具有相关性的终端的类型,所述具有相关性的终端指处于同一网络接入点的时间分布满足预设条件的多个终端。
2.如权利要求1所述的基于网络流的事件检测方法,其特征在于,所述从所述网络数据包中提取出五元组包括:
将所述五元组分为前向五元组和后向五元组;
基于预设时间间隔分别对所述前向五元组和所述后向五元组分块,获得多个前向五元组分块和多个后向五元组分块;
其中,相邻的两个前向五元组分块之间具有时间重叠,相邻的两个后向五元组分块之间具有时间重叠。
3.如权利要求2所述的基于网络流的事件检测方法,其特征在于,所述基于五元组确定事件分类包括:
基于所述前向五元组分块和所述后向五元组分块,通过分类模型确定所述应用类型,所述分类模型为机器学习模型;
所述分类模型的输入数据与所述前向五元组分块的有效荷载长度以及所述后向五元组分块的有效荷载长度相关。
4.一种基于网络流的事件检测系统,其特征在于,所述系统包括获取模块、提取模块和确定模块;
所述获取模块用于获取网络数据包;
所述提取模块用于从所述网络数据包中提取出五元组,所述五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议中的至少一个;
所述确定模块用于基于所述五元组,确定事件分类,所述事件分类包括应用类型和用户行为中的至少一个;其中,所述确定模块还用于:
基于所述应用类型,确定至少一种候选用户行为;
基于所述五元组与候选五元组,通过相似度模型,计算所述五元组和所述候选五元组之间相似度,所述候选五元组指从候选行为发生时对应的网络数据包中提取的五元组数据,所述相似度模型为机器学习模型,所述相似度模型通过多个带有标签的第三训练样本得到,所述第三训练样本包括样本五元组和样本标准五元组,训练的标签表征所述样本五元组和所述样本标准五元组是否为同种应用类型下的同种候选用户行为产生的网络流,以及,响应于所述候选五元组基于当前用户的历史数据获取,所述相似度模型的输入还包括时段特征;
基于所述相似度确定所述至少一种候选用户行为中的每一种候选用户行为发生的概率;
当所述至少一种候选用户行为之间的概率差值大于阈值时,将概率最高的候选用户行为作为目标用户行为;
当所述至少一种候选用户行为之间的概率差值不大于所述阈值时,对所述至少一种候选用户行为中的每一种候选用户行为,通过判断模型对所述候选用户行为进行二分类判断,并基于二分类判断的结果,确定是否将所述候选用户行为作为目标用户行为;其中,所述判断模型基于多个带有标签的第四训练样本进行训练得到,所述判断模型的输入包括当前五元组的网络流特征、候选行为发生的概率、当前设备类型、相关设备类型及相关设备的统计信息,所述候选行为发生的概率基于所述相似度模型的输出确定,所述当前设备类型指当前用户正在使用的设备的类型,所述相关设备类型指与当前用户使用的设备具有相关性的终端的类型,所述具有相关性的终端指处于同一网络接入点的时间分布满足预设条件的多个终端。
5.如权利要求4所述的基于网络流的事件检测系统,其特征在于,所述提取模块进一步用于:
将所述五元组分为前向五元组和后向五元组;
基于预设时间间隔分别对所述前向五元组和所述后向五元组分块,获得多个前向五元组分块和多个后向五元组分块;
其中,相邻的两个前向五元组分块之间具有时间重叠,相邻的两个后向五元组分块之间具有时间重叠。
6.如权利要求5所述的基于网络流的事件检测系统,其特征在于,所述确定模块进一步用于:
基于所述前向五元组分块和所述后向五元组分块,通过分类模型确定所述应用类型,所述分类模型为机器学习模型;
所述分类模型的输入数据与所述前向五元组分块的有效荷载长度以及所述后向五元组分块的有效荷载长度相关。
7.一种基于网络流的事件检测装置,包括处理器,所述处理器用于执行权利要求1~3中任一项所述的基于网络流的事件检测方法。
8.一种计算机可读存储介质,所述存储介质存储计算机指令,当计算机读取存储介质中的计算机指令后,计算机执行如权利要求1~3中任一项所述的基于网络流的事件检测方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311657344.5A CN117640794A (zh) | 2023-02-21 | 2023-02-21 | 一种网络流划分方法和系统 |
| CN202310146496.2A CN116192997B (zh) | 2023-02-21 | 2023-02-21 | 一种基于网络流的事件检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310146496.2A CN116192997B (zh) | 2023-02-21 | 2023-02-21 | 一种基于网络流的事件检测方法和系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311657344.5A Division CN117640794A (zh) | 2023-02-21 | 2023-02-21 | 一种网络流划分方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116192997A CN116192997A (zh) | 2023-05-30 |
| CN116192997B true CN116192997B (zh) | 2023-12-01 |
Family
ID=86445876
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310146496.2A Active CN116192997B (zh) | 2023-02-21 | 2023-02-21 | 一种基于网络流的事件检测方法和系统 |
| CN202311657344.5A Pending CN117640794A (zh) | 2023-02-21 | 2023-02-21 | 一种网络流划分方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311657344.5A Pending CN117640794A (zh) | 2023-02-21 | 2023-02-21 | 一种网络流划分方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN116192997B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118118274B (zh) * | 2024-04-15 | 2024-10-18 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于图异常检测算法的网络入侵检测方法、系统及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306296A (zh) * | 2015-10-21 | 2016-02-03 | 北京工业大学 | 一种基于lte信令的数据过滤处理方法 |
| CN107832672A (zh) * | 2017-10-12 | 2018-03-23 | 北京航空航天大学 | 一种利用姿态信息设计多损失函数的行人重识别方法 |
| CN109299742A (zh) * | 2018-10-17 | 2019-02-01 | 深圳信息职业技术学院 | 自动发现未知网络流的方法、装置、设备及存储介质 |
| CN110796196A (zh) * | 2019-10-30 | 2020-02-14 | 中国科学院信息工程研究所 | 一种基于深度判别特征的网络流量分类系统及方法 |
| CN111431819A (zh) * | 2020-03-06 | 2020-07-17 | 中国科学院深圳先进技术研究院 | 一种基于序列化的协议流特征的网络流量分类方法和装置 |
| CN112491643A (zh) * | 2020-11-11 | 2021-03-12 | 北京马赫谷科技有限公司 | 深度报文检测方法、装置、设备及存储介质 |
| CN114844840A (zh) * | 2022-04-26 | 2022-08-02 | 哈尔滨工业大学 | 一种基于计算似然比的分布外网络流量数据检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936661B (zh) * | 2015-12-31 | 2020-01-03 | 华为技术有限公司 | 一种网络监测方法、装置及系统 |
| US10762417B2 (en) * | 2017-02-10 | 2020-09-01 | Synaptics Incorporated | Efficient connectionist temporal classification for binary classification |
-
2023
- 2023-02-21 CN CN202310146496.2A patent/CN116192997B/zh active Active
- 2023-02-21 CN CN202311657344.5A patent/CN117640794A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306296A (zh) * | 2015-10-21 | 2016-02-03 | 北京工业大学 | 一种基于lte信令的数据过滤处理方法 |
| CN107832672A (zh) * | 2017-10-12 | 2018-03-23 | 北京航空航天大学 | 一种利用姿态信息设计多损失函数的行人重识别方法 |
| CN109299742A (zh) * | 2018-10-17 | 2019-02-01 | 深圳信息职业技术学院 | 自动发现未知网络流的方法、装置、设备及存储介质 |
| CN110796196A (zh) * | 2019-10-30 | 2020-02-14 | 中国科学院信息工程研究所 | 一种基于深度判别特征的网络流量分类系统及方法 |
| CN111431819A (zh) * | 2020-03-06 | 2020-07-17 | 中国科学院深圳先进技术研究院 | 一种基于序列化的协议流特征的网络流量分类方法和装置 |
| CN112491643A (zh) * | 2020-11-11 | 2021-03-12 | 北京马赫谷科技有限公司 | 深度报文检测方法、装置、设备及存储介质 |
| CN114844840A (zh) * | 2022-04-26 | 2022-08-02 | 哈尔滨工业大学 | 一种基于计算似然比的分布外网络流量数据检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117640794A (zh) | 2024-03-01 |
| CN116192997A (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109961204B (zh) | 一种微服务架构下业务质量分析方法和系统 | |
| US20200274787A1 (en) | Multi-Access Edge Computing Based Visibility Network | |
| CN112491643B (zh) | 深度报文检测方法、装置、设备及存储介质 | |
| US20240273116A1 (en) | Method and System for Constructing Data Warehouse Based on Wireless Communication Network, and Device and Medium | |
| CN111431819B (zh) | 一种基于序列化的协议流特征的网络流量分类方法和装置 | |
| CN114157502B (zh) | 一种终端识别方法、装置、电子设备及存储介质 | |
| CN113762377B (zh) | 网络流量识别方法、装置、设备及存储介质 | |
| CN116192997B (zh) | 一种基于网络流的事件检测方法和系统 | |
| CN109658120A (zh) | 一种业务数据处理方法以及装置 | |
| CN116186759A (zh) | 一种面向隐私计算的敏感数据识别与脱敏方法 | |
| CN110958305A (zh) | 一种识别物联网终端设备的方法和装置 | |
| CN117130870B (zh) | 面向Java架构微服务系统的透明请求追踪及采样方法和装置 | |
| CN116828087B (zh) | 基于区块链连接的信息安全系统 | |
| CN110601909B (zh) | 网络维护方法、装置、计算机设备和存储介质 | |
| CN114491010A (zh) | 信息抽取模型的训练方法及装置 | |
| CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
| CN116074056A (zh) | 智能物联终端操作系统和应用软件的精准识别方法和系统 | |
| US11928013B2 (en) | Image analysis of data logs | |
| CN113918577B (zh) | 数据表识别方法、装置、电子设备及存储介质 | |
| CN116414876A (zh) | 日志处理方法和通信设备 | |
| CN111177595B (zh) | 一种针对http协议模板化提取资产信息的方法 | |
| CN110175635B (zh) | 基于Bagging算法的OTT应用程序用户分类方法 | |
| CN118509337B (zh) | 一种数据资产识别方法、系统、装置及可读存储介质 | |
| CN116805926B (zh) | 网络业务类型识别模型训练方法、网络业务类型识别方法 | |
| CN114697139B (zh) | 基于特征迁移的设备异常检测、训练方法、系统和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 10g27, No. 2299, Yan'an west road, Changning District, Shanghai 200336 Applicant after: Xingrong (Shanghai) Information Technology Co.,Ltd. Address before: Room 10g27, No. 2299, Yan'an west road, Changning District, Shanghai 200336 Applicant before: SHANGHAI XINGRONG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |