CN116405278A - 一种恶意攻击加密流量检测方法 - Google Patents

一种恶意攻击加密流量检测方法 Download PDF

Info

Publication number
CN116405278A
CN116405278A CN202310338579.1A CN202310338579A CN116405278A CN 116405278 A CN116405278 A CN 116405278A CN 202310338579 A CN202310338579 A CN 202310338579A CN 116405278 A CN116405278 A CN 116405278A
Authority
CN
China
Prior art keywords
malicious
data
encrypted
traffic
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310338579.1A
Other languages
English (en)
Inventor
张兴强
张红军
谭晓亮
戚雨晴
杨春燕
韩硕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Bidding Branch Of China Huaneng Group Co ltd
Huaneng Information Technology Co Ltd
Original Assignee
Beijing Bidding Branch Of China Huaneng Group Co ltd
Huaneng Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Bidding Branch Of China Huaneng Group Co ltd, Huaneng Information Technology Co Ltd filed Critical Beijing Bidding Branch Of China Huaneng Group Co ltd
Priority to CN202310338579.1A priority Critical patent/CN116405278A/zh
Publication of CN116405278A publication Critical patent/CN116405278A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络信息安全技术领域,公开了一种恶意攻击加密流量检测方法,包括获取预设时间内的所有网络流量数据,对网络流量数据进行解析,判断网络流量数据是否为加密流量数据,当网络流量数据为加密流量数据时,对加密流量数据进行预处理,获得加密流量数据的数据结构,获取加密流量数据的IP地址,判断加密流量数据是否满足第一判断条件,若是,则判断加密流量数据为恶意加密流量,若否,则判断加密流量数据为疑似恶意加密流量,当加密流量数据为疑似恶意加密流量时,获取加密流量数据的特征数据,基于恶意加密流量模型对加密流量数据的特征数据检测,将检测结果发送至网络安全终端。本发明可以实现对恶意加密流量的精准识别,提高检测效率。

Description

一种恶意攻击加密流量检测方法
技术领域
本发明涉及网络信息安全技术领域,特别是涉及一种恶意攻击加密流量检测方法。
背景技术
在互联网、物联网以及工业互联网的发展和演化中,网络流量加密日益被广泛接受和采用,成为一项重要的网络通信安全保护机制,但网络流量加密技术是一把双刃剑,在保护正常用户网络通信安全的同时,也可以被攻击者所利用以隐藏攻击特征,从而躲避检测。因此加密恶意流量(包含恶意内容或执行恶意行为的加密流量)给当前的网络管理和网络安全防护带来巨大挑战。
传统的恶意攻击加密流量检测方法主要采用人为统计法,但是传统的恶意加密流量检测易产生大量误报,以科罗拉多大学博尔德分校校园网络为例,该网络中共包含33000余名学生和7000余名教职工,每小时产生大约1000万条流量。若检测系统的误报率为0.01%,则每小时产生1000条误报,一天则多达24000条误报。这些误报若均由人工分析排除,这是非常艰难的工作。同时,主流的学习方法大多为黑箱运作模式,难以解释说明一条加密网络流量由于存在何种特征而被判断为恶意流量,从而无法为网络管理人员提供可靠的分析依据。这进一步增大了以人工方式排除误报的困难性。
因此,如何提供一种可以对恶意攻击加密流量进行检测的方法,是目前有待解决的技术问题。
发明内容
针对上述现有技术存在的问题,本发明的目的是提供一种恶意攻击加密流量检测方法,本发明可以实现对恶意加密流量的精准检测,提高检测效率,降低误报率。
为了实现上述目的,本发明提供了一种恶意攻击加密流量检测方法,所述方法包括:
获取预设时间内的所有网络流量数据,并对所述网络流量数据进行解析,判断所述网络流量数据是否为加密流量数据;
当所述网络流量数据为加密流量数据时,对所述加密流量数据进行预处理,获得所述加密流量数据的数据结构;
获取所述加密流量数据的IP地址,并基于所述IP地址判断所述加密流量数据是否满足第一判断条件,
若是,则判断所述加密流量数据为恶意加密流量;
若否,则判断所述加密流量数据为疑似恶意加密流量;
当所述加密流量数据为所述疑似恶意加密流量时,获取所述加密流量数据的特征数据;
基于恶意加密流量模型对所述加密流量数据的特征数据检测,并将检测结果发送至网络安全终端。
在其中一个实施例中,在当所述网络流量数据为加密流量数据,对所述加密流量数据进行预处理时,包括:
获取与所述加密流量数据相对应的客户端,识别所述客户端的密钥交互过程;
基于所述密钥交互过程获得与所述加密流量数据对应的解密密钥,并根据所述解密密钥对所述加密流量数据进行解密。
在其中一个实施例中,在根据所述解密密钥对所述加密流量数据进行解密之后,还包括:
基于预设条件对所述加密流量数据进行数据过滤和数据删除;
判断所述加密流量数据中是否存在空字段,若是,则根据Null标志对所述加密流量数据中的空字段进行填充。
在其中一个实施例中,所述数据结构包括字节、数据包、流和会话。
在其中一个实施例中,在基于所述IP地址判断所述加密流量数据是否满足第一判断条件时,包括:
获取预设的恶意IP地址,判读所述IP地址是否在所述预设的恶意IP地址内,
若是,则判断所述加密流量数据满足第一判断条件;
若否,则判断所述加密流量数据不满足第一判断条件。
在其中一个实施例中,在基于恶意加密流量模型对所述加密流量数据的特征数据进行检测时,包括:
获取所述特征数据的特征向量,并将所述特征向量输入到所述恶意加密流量模型中;
基于所述恶意加密流量模型的输出端输出恶意概率,根据所述恶意概率与预设恶意概率之间的关系判断所述加密流量数据是否为恶意加密流量,
若所述恶意概率大于或等于所述预设恶意概率,则判断所述加密流量数据为恶意加密流量;
若所述恶意概率小于所述预设恶意概率,则判断所述加密流量数据为安全加密流量。
在其中一个实施例中,在将检测结果发送至网络安全终端时,包括:
当所述加密流量数据为恶意加密流量时,获取所述网络安全终端中预设的处理库,并基于所述预设的处理库对所述恶意加密流量进行处理;
当所述加密流量数据为安全加密流量时,获取所述加密流量数据的目的IP地址,并基于所述目的IP地址对所述加密流量数据进行发送。
在其中一个实施例中,所述恶意加密流量模型为机器学习模型。
在其中一个实施例中,在基于恶意加密流量模型对所述加密流量数据的特征数据检测,并将检测结果发送至网络安全终端之后,还包括:
基于所述检测结果与预测结果对所述恶意加密流量模型进行性能评估。
在其中一个实施例中,根据下式对所述恶意加密流量模型进行性能评估:
Figure SMS_1
其中,D为性能系数,P为查准率,R为召回率。
本发明提供了一种恶意攻击加密流量检测方法,相较现有技术,具有以下有益效果:
本发明涉及网络信息安全技术领域,公开了一种恶意攻击加密流量检测方法,包括获取预设时间内的所有网络流量数据,对网络流量数据进行解析,判断网络流量数据是否为加密流量数据,当网络流量数据为加密流量数据时,对加密流量数据进行预处理,获得加密流量数据的数据结构,获取加密流量数据的IP地址,判断加密流量数据是否满足第一判断条件,若是,则判断加密流量数据为恶意加密流量,若否,则判断加密流量数据为疑似恶意加密流量,当加密流量数据为疑似恶意加密流量时,获取加密流量数据的特征数据,基于恶意加密流量模型对加密流量数据的特征数据检测,将检测结果发送至网络安全终端。本发明可以实现对恶意加密流量的精准识别,提高检测效率。
附图说明
图1示出了本发明实施例中一种恶意攻击加密流量检测方法的流程示意图;
图2示出了本发明实施例中对加密流量数据的特征数据进行检测的流程示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式做进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体的连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下文是结合附图对本发明的优选的实施例说明。
如图1所示,本发明的实施例公开了一种恶意攻击加密流量检测方法,所述方法包括:
S110:获取预设时间内的所有网络流量数据,并对所述网络流量数据进行解析,判断所述网络流量数据是否为加密流量数据;
S120:当所述网络流量数据为加密流量数据时,对所述加密流量数据进行预处理,获得所述加密流量数据的数据结构;
S130:获取所述加密流量数据的IP地址,并基于所述IP地址判断所述加密流量数据是否满足第一判断条件,
若是,则判断所述加密流量数据为恶意加密流量;
若否,则判断所述加密流量数据为疑似恶意加密流量;
S140:当所述加密流量数据为所述疑似恶意加密流量时,获取所述加密流量数据的特征数据;
S150:基于恶意加密流量模型对所述加密流量数据的特征数据进行检测,并将检测结果发送至网络安全终端。
本实施例中,公开了一种恶意攻击加密流量检测方法,包括获取预设时间内的所有网络流量数据,对网络流量数据进行解析,判断网络流量数据是否为加密流量数据,当网络流量数据为加密流量数据时,对加密流量数据进行预处理,获得加密流量数据的数据结构,获取加密流量数据的IP地址,判断加密流量数据是否满足第一判断条件,若是,则判断加密流量数据为恶意加密流量,若否,则判断加密流量数据为疑似恶意加密流量,当加密流量数据为疑似恶意加密流量时,获取加密流量数据的特征数据,基于恶意加密流量模型对加密流量数据的特征数据检测,将检测结果发送至网络安全终端。本发明可以实现对恶意加密流量的精准识别,提高检测效率。
需要说明的是,预设时间可以是10秒,30秒等,在此不作具体限定,应该理解的是,网络流量数据是在预设时间内获取到的所有的数据样本,通过判断获取到的网络流量数据是否存在加密,进而来判断是否为加密流量数据。
在本申请的一些实施例中,在当所述网络流量数据为加密流量数据,对所述加密流量数据进行预处理时,包括:
获取与所述加密流量数据相对应的客户端,识别所述客户端的密钥交互过程;
基于所述密钥交互过程获得与所述加密流量数据对应的解密密钥,并根据所述解密密钥对所述加密流量数据进行解密。
本实施例中,在发送数据时,通过客户端对需要加密的数据进行加密,密钥交互可以是常用的密钥生成方法,生成密钥后,将密钥存储在客户端,同时发送至用户端,用户根据密钥对加密流量数据进行解密,进而获得加密数据的内容。
在本申请的一些实施例中,在根据所述解密密钥对所述加密流量数据进行解密之后,还包括:
基于预设条件对所述加密流量数据进行数据过滤和数据删除;
判断所述加密流量数据中是否存在空字段,若是,则根据Null标志对所述加密流量数据中的空字段进行填充。
本实施例中,Null是在计算中具有保留的值,用于指示指针不引用有效对象。程序通常使用空指针来表示条件,例如未知长度列表的结尾或未执行某些操作。若收集数据包丢失了部分信息,以 NULL 标志填充空字段,然后以特征提取模块进行相应的处理,可以确保不丢失网络流量数据,保留所有的不完整数据包。
在本申请的一些实施例中,所述数据结构包括字节、数据包、流和会话。
本实施例中,由最底层向上聚合,分别是字节、数据包、流和会话。它们之间的关系也显而易见,首先数据包的相互传输形成了流,而多个流又组成会话,分为双向流会话和单向流会话。本发明通过获取网络流量数据的数据结构,可以避免数据不平衡带来的影响。
在本申请的一些实施例中,在基于所述IP地址判断所述加密流量数据是否满足第一判断条件时,包括:
获取预设的恶意IP地址,判读所述IP地址是否在所述预设的恶意IP地址内,
若是,则判断所述加密流量数据满足第一判断条件;
若否,则判断所述加密流量数据不满足第一判断条件。
本实施例中,首先通过加密流量数据的IP地址对加密流量数据进行初始判断,判断加密流量数据是否在预设的恶意IP地址内,若加密流量数据在预设的恶意IP地址内,则直接判断当前加密流量数据为恶意加密流量,若不在预设的恶意IP地址内,则判断当前加密流量数据为疑似恶意加密流量,需要作进一步的判断,避免出现误判的情况。
如图2所示,在本申请的一些实施例中,在基于恶意加密流量模型对所述加密流量数据的特征数据进行检测时,包括:
S151:获取所述特征数据的特征向量,并将所述特征向量输入到所述恶意加密流量模型中;
S152:基于所述恶意加密流量模型的输出端输出恶意概率,根据所述恶意概率与预设恶意概率之间的关系判断所述加密流量数据是否为恶意加密流量,
S153:若所述恶意概率大于或等于所述预设恶意概率,则判断所述加密流量数据为恶意加密流量;
S154:若所述恶意概率小于所述预设恶意概率,则判断所述加密流量数据为安全加密流量。
本实施例中,首先获取特征数据的特征向量,将特征向量输入到恶意加密流量模型中,恶意加密流量模型可以提前进行训练,在恶意加密流量模型的输出端可以输出一个数值,也就是本发明中的恶意概率,通过恶意概率可以对加密流量数据进行判断,预设恶意概率可以根据实际情况进行设置,如85%或90%等,在此不做具体限定,若恶意概率大于或等于预设恶意概率,则判断加密流量数据为恶意加密流量,若恶意概率小于预设恶意概率,则判断加密流量数据为安全加密流量。本发明通过根据恶意概率与预设恶意概率之间的关系判断加密流量数据是否为恶意加密流量,可以实现对恶意加密流量的精准检测,防止恶意加密流量对网络系统造成威胁的现象,保护用户的隐私安全。
在本申请的一些实施例中,在将检测结果发送至网络安全终端时,包括:
当所述加密流量数据为恶意加密流量时,获取所述网络安全终端中预设的处理库,并基于所述预设的处理库对所述恶意加密流量进行处理;
当所述加密流量数据为安全加密流量时,获取所述加密流量数据的目的IP地址,并基于所述目的IP地址对所述加密流量数据进行发送。
本实施例中,在网络安全终端中预设有处理库,处理库中设置有相关的处理方案,当加密流量数据为恶意加密流量时,将恶意加密流量发送至网络安全终端,网络安全终端根据恶意加密流量获取相关的处理方案,根据获取的处理方案对恶意加密流量进行处理,防止恶意加密流量威胁网络安全,当加密流量数据为安全加密流量时,获取加密流量数据的目的IP地址,并基于目的IP地址对加密流量数据进行发送,避免影响正常的数据传输,避免影响用户的正常体验。
在本申请的一些实施例中,所述恶意加密流量模型为机器学习模型。
本实施例中,机器学习模型可以为CNN、SVM等等,CNN是指卷积神经网络(Convolutional Neural Networks, CNN)是一类包含卷积计算且具有深度结构的前馈神经网络(Feedforward Neural Networks),是深度学习(deep learning)的代表算法之一,卷积神经网络具有表征学习(representation learning)能力,能够按其阶层结构对输入信息进行平移不变分类(shift-invariant classification),因此也被称为“平移不变人工神经网络(Shift-Invariant Artificial Neural Networks, SIANN)”,SVM(SupportVector Machine)指的是支持向量机,是常见的一种判别方法。在机器学习领域,是一个有监督的学习模型,通常用来进行模式识别、分类以及回归分析。它是针对线性可分情况进行分析,对于线性不可分的情况,通过使用非线性映射算法将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分,从而使得高维特征空间采用线性算法对样本的非线性特征进行线性分析成为可能。它基于结构风险最小化理论之上在特征空间中构建最优超平面,使得学习器得到全局最优化,并且在整个样本空间的期望以某个概率满足一定上界。其他机器学习模型在此不一一举例示出。
在本申请的一些实施例中,在基于恶意加密流量模型对所述加密流量数据的特征数据检测,并将检测结果发送至网络安全终端之后,还包括:
基于所述检测结果与预测结果对所述恶意加密流量模型进行性能评估。
在本申请的一些实施例中,根据下式对所述恶意加密流量模型进行性能评估:
Figure SMS_2
其中,D为性能系数,P为查准率,R为召回率。
本实施例中,查准率可以根据下式进行计算,
Figure SMS_3
召回率可以根据下式进行计算,
Figure SMS_4
其中,TP 表示预测结果与实际期望相同都是恶意加密流量,FN表示预测结果是安全加密流量但实际却是恶意加密流,FP 表示预测结果是恶意加密流但实际结果是安全加密流量,TN 表示预测结果与实际期望都是安全加密流量,本发明通过计算性能系数,进而通过性能系数对恶意加密流量模型进行性能评估,且性能系数越高,则代表恶意加密流量模型进行性能越好,检测准确性也就越高,性能系数越低,则代表恶意加密流量模型进行性能越差,检测准确性也就越低。
综上,本发明实施例公开了一种恶意攻击加密流量检测方法,包括获取预设时间内的所有网络流量数据,对网络流量数据进行解析,判断网络流量数据是否为加密流量数据,当网络流量数据为加密流量数据时,对加密流量数据进行预处理,获得加密流量数据的数据结构,获取加密流量数据的IP地址,判断加密流量数据是否满足第一判断条件,若是,则判断加密流量数据为恶意加密流量,若否,则判断加密流量数据为疑似恶意加密流量,当加密流量数据为疑似恶意加密流量时,获取加密流量数据的特征数据,基于恶意加密流量模型对加密流量数据的特征数据检测,将检测结果发送至网络安全终端。本发明可以实现对恶意加密流量的精准识别,提高检测效率。
在上述实施方式的描述中,具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
虽然在上文中已经参考实施例对本发明进行了描述,然而在不脱离本发明的范围的情况下,可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是,只要不存在结构冲突,本发明所披露的实施例中的各项特征均可通过任意方式相互结合起来使用,在本说明书中未对这些组合的情况进行全部的描述仅仅是出于省略篇幅和节约资源的考虑。因此,本发明并不局限于文中公开的特定实施例,而是包括落入权利要求的范围内的所有技术方案。
本领域普通技术人员可以理解:以上仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种恶意攻击加密流量检测方法,其特征在于,所述方法包括:
获取预设时间内的所有网络流量数据,并对所述网络流量数据进行解析,判断所述网络流量数据是否为加密流量数据;
当所述网络流量数据为加密流量数据时,对所述加密流量数据进行预处理,获得所述加密流量数据的数据结构;
获取所述加密流量数据的IP地址,并基于所述IP地址判断所述加密流量数据是否满足第一判断条件,
若是,则判断所述加密流量数据为恶意加密流量;
若否,则判断所述加密流量数据为疑似恶意加密流量;
当所述加密流量数据为所述疑似恶意加密流量时,获取所述加密流量数据的特征数据;
基于恶意加密流量模型对所述加密流量数据的特征数据进行检测,并将检测结果发送至网络安全终端。
2.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,在当所述网络流量数据为加密流量数据,对所述加密流量数据进行预处理时,包括:
获取与所述加密流量数据相对应的客户端,识别所述客户端的密钥交互过程;
基于所述密钥交互过程获得与所述加密流量数据对应的解密密钥,并根据所述解密密钥对所述加密流量数据进行解密。
3.根据权利要求2所述的恶意攻击加密流量检测方法,其特征在于,在根据所述解密密钥对所述加密流量数据进行解密之后,还包括:
基于预设条件对所述加密流量数据进行数据过滤和数据删除;
判断所述加密流量数据中是否存在空字段,若是,则根据Null标志对所述加密流量数据中的空字段进行填充。
4.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,所述数据结构包括字节、数据包、流和会话。
5.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,在基于所述IP地址判断所述加密流量数据是否满足第一判断条件时,包括:
获取预设的恶意IP地址,判读所述IP地址是否在所述预设的恶意IP地址内,
若是,则判断所述加密流量数据满足第一判断条件;
若否,则判断所述加密流量数据不满足第一判断条件。
6.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,在基于恶意加密流量模型对所述加密流量数据的特征数据进行检测时,包括:
获取所述特征数据的特征向量,并将所述特征向量输入到所述恶意加密流量模型中;
基于所述恶意加密流量模型的输出端输出恶意概率,根据所述恶意概率与预设恶意概率之间的关系判断所述加密流量数据是否为恶意加密流量,
若所述恶意概率大于或等于所述预设恶意概率,则判断所述加密流量数据为恶意加密流量;
若所述恶意概率小于所述预设恶意概率,则判断所述加密流量数据为安全加密流量。
7.根据权利要求6所述的恶意攻击加密流量检测方法,其特征在于,在将检测结果发送至网络安全终端时,包括:
当所述加密流量数据为恶意加密流量时,获取所述网络安全终端中预设的处理库,并基于所述预设的处理库对所述恶意加密流量进行处理;
当所述加密流量数据为安全加密流量时,获取所述加密流量数据的目的IP地址,并基于所述目的IP地址对所述加密流量数据进行发送。
8.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,所述恶意加密流量模型为机器学习模型。
9.根据权利要求1所述的恶意攻击加密流量检测方法,其特征在于,在基于恶意加密流量模型对所述加密流量数据的特征数据检测,并将检测结果发送至网络安全终端之后,还包括:
基于所述检测结果与预测结果对所述恶意加密流量模型进行性能评估。
10.根据权利要求9所述的恶意攻击加密流量检测方法,其特征在于,
根据下式对所述恶意加密流量模型进行性能评估:
Figure QLYQS_1
其中,D为性能系数,P为查准率,R为召回率。
CN202310338579.1A 2023-03-30 2023-03-30 一种恶意攻击加密流量检测方法 Pending CN116405278A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310338579.1A CN116405278A (zh) 2023-03-30 2023-03-30 一种恶意攻击加密流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310338579.1A CN116405278A (zh) 2023-03-30 2023-03-30 一种恶意攻击加密流量检测方法

Publications (1)

Publication Number Publication Date
CN116405278A true CN116405278A (zh) 2023-07-07

Family

ID=87019316

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310338579.1A Pending CN116405278A (zh) 2023-03-30 2023-03-30 一种恶意攻击加密流量检测方法

Country Status (1)

Country Link
CN (1) CN116405278A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111277587A (zh) * 2020-01-19 2020-06-12 武汉思普崚技术有限公司 基于行为分析的恶意加密流量检测方法及系统
CN111447190A (zh) * 2020-03-20 2020-07-24 北京观成科技有限公司 一种加密恶意流量的识别方法、设备及装置
CN112261007A (zh) * 2020-09-27 2021-01-22 北京六方云信息技术有限公司 基于机器学习的https恶意加密流量检测方法及系统
CN113472809A (zh) * 2021-07-19 2021-10-01 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN113938314A (zh) * 2021-11-17 2022-01-14 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质
CN114638633A (zh) * 2022-02-28 2022-06-17 北京明略软件系统有限公司 异常流量检测的方法和装置、电子设备和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111277587A (zh) * 2020-01-19 2020-06-12 武汉思普崚技术有限公司 基于行为分析的恶意加密流量检测方法及系统
CN111447190A (zh) * 2020-03-20 2020-07-24 北京观成科技有限公司 一种加密恶意流量的识别方法、设备及装置
CN112261007A (zh) * 2020-09-27 2021-01-22 北京六方云信息技术有限公司 基于机器学习的https恶意加密流量检测方法及系统
CN113472809A (zh) * 2021-07-19 2021-10-01 华中科技大学 一种加密恶意流量检测方法、检测系统及计算机设备
CN113938314A (zh) * 2021-11-17 2022-01-14 北京天融信网络安全技术有限公司 一种加密流量的检测方法及装置、存储介质
CN114638633A (zh) * 2022-02-28 2022-06-17 北京明略软件系统有限公司 异常流量检测的方法和装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
Janarthanan et al. Feature selection in UNSW-NB15 and KDDCUP'99 datasets
US10187401B2 (en) Hierarchical feature extraction for malware classification in network traffic
US9038172B2 (en) Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
EP4049424B1 (en) Anomaly detection
Kato et al. An intelligent ddos attack detection system using packet analysis and support vector machine
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
Franc et al. Learning detector of malicious network traffic from weak labels
Atli Anomaly-based intrusion detection by modeling probability distributions of flow characteristics
Pathak et al. Study on decision tree and KNN algorithm for intrusion detection system
Niandong et al. Detection of probe flow anomalies using information entropy and random forest method
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Pandey Design and performance analysis of various feature selection methods for anomaly‐based techniques in intrusion detection system
Wang et al. A two-phase approach to fast and accurate classification of encrypted traffic
Bhati et al. An ensemble model for network intrusion detection using adaboost, random forest and logistic regression
CN116405278A (zh) 一种恶意攻击加密流量检测方法
CN111371727A (zh) 一种针对ntp协议隐蔽通信的检测方法
Ullah et al. Detection of cybersecurity attacks through analysis of web browsing activities using principal component analysis
Wang et al. Traffic identification in big internet data
Lu et al. Comparison and analysis of flow features at the packet level for traffic classification
CN112804239A (zh) 一种流量安全分析建模方法和系统
CN113438207B (zh) 一种基于白名单的网络安全防护方法
CN111786903B (zh) 一种基于约束模糊聚类和粒计算的网络流量分类方法
Sharma et al. Identification of Device Type Using Transformers in Heterogeneous Internet of Things Traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination