CN117978414A - 域名网站识别方法、服务器、电子设备及存储介质 - Google Patents

域名网站识别方法、服务器、电子设备及存储介质 Download PDF

Info

Publication number
CN117978414A
CN117978414A CN202211320566.3A CN202211320566A CN117978414A CN 117978414 A CN117978414 A CN 117978414A CN 202211320566 A CN202211320566 A CN 202211320566A CN 117978414 A CN117978414 A CN 117978414A
Authority
CN
China
Prior art keywords
target
byte
domain name
data
byte sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211320566.3A
Other languages
English (en)
Inventor
高翔
王雷
彭伟
闫冰
朱明博
孙善勇
张宏阳
李陆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shandong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202211320566.3A priority Critical patent/CN117978414A/zh
Publication of CN117978414A publication Critical patent/CN117978414A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例提出了一种域名网站识别方法、服务器、电子设备及存储介质,能够在不依赖于SNI字段的情况实现对所访问的域名网站的精确识别。其中,域名网站识别方法包括:目标服务器接收DPI所发送的目标数据流;目标服务器从目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,其中,当第一字节序列中出现SNI字段时,SNI字段被预设二进制数所替换,第一字节序列与第二字节序列的总字节数为目标固定值;将第一字节序列和/或第二字节序列输入域名网站识别模型,输出目标业务对应的目标域名网站。

Description

域名网站识别方法、服务器、电子设备及存储介质
【技术领域】
本申请实施例涉及通信技术领域,尤其涉及一种域名网站识别方法、服务器、电子设备及存储介质。
【背景技术】
目前,随着互联网技术的发展,对网络通讯安全要求逐渐提高,因此,HTTPS协议被广泛运用到Web应用服务当中,以防止数据在传输过程中被窃取、篡改,确保用户的隐私安全,同时,流量监测和业务统计作为网络管理和维护的重要工作,需要对HTTPS流量所访问的域名网站进行识别。
现有技术中,通过提取HTTPS协议TLS握手阶段中的SNI字段对HTTPS流量所访问的域名网站进行识别,由于SNI字段存在着流量伪装的问题,导致对用户所访问的域名网站进行识别所获得的识别结果的精确度较低。
【发明内容】
本申请实施例提供了一种域名网站识别方法、服务器,电子设备及存储介质,能够在不依赖于SNI字段的情况实现对所访问的域名网站的精确识别。
第一方面,本申请实施例提供了一种域名网站识别方法,应用于服务器,所述方法包括:
所述目标服务器接收DPI所发送的目标数据流,所述目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的;
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,其中,当所述第一字节序列中出现SNI字段时,所述SNI字段被等字节数的预设二进制数所替换,所述第一字节序列与所述第二字节序列的总字节数为目标固定值;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站。
本申请实施例中,当用户访问域名网站时,在客户端与业务服务器之间会基于HTTPS协议产生数据流,此时DPI能够采集上述数据流,并且目标服务器可以通过DPI接收上述数据流,当目标服务器接收到目标数据流后,基于HTTPS协议,可以提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,上述的第一字节序列与第二字节序列的总字节数为固定值,即目标服务器从目标数据流中提取的总字节数是固定的,并且当上述的第一字节序列中出现SNI字段时,需要将上述SNI字段隐去,即通过预设的二进制数将其替换掉,保证输入域名网站识别模型中的上述第一字节序列中不含有SNI字段,而第二字节序列中原本就不含有SNI字段,因此,通过上述的第一字节序列和/或上述第二字节序列识别用户所访问的域名网站,保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以提取HTTPS协议的握手阶段中任一字节数满足目标固定值的连续字节数据,并且在确定上述连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,即利用不包含有SNI字段的第一字节序列对HTTPS流量所访问的域名网站进行识别,从而保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以提取HTTPS协议的握手阶段中任一字节数满足目标固定值的非连续字节数据,而非连续字节数据可以认为包括有更多的时空特征,同时在确定上述非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,即利用不包含有SNI字段且由非连续字节数据所构成的第一字节序列对HTTPS流量所访问的域名网站进行识别,从而保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为第一固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述非连续字节数据以及所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以先提取HTTPS协议的握手阶段中的任一字节数满足第一固定值的非连续字节数据,即在握手阶段提取目标数据流中更多的时空特征,同时确定上述非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,再提取HTTPS协议的加密传输阶段中的任一字节数满足第二固定值的连续字节数据,上述第一固定值与第二固定值之和为目标固定值,在上述的加密传输阶段中,所以上述连续字节数据中不包含SNI字段,然后利用不包含有SNI字段且由非连续字节数据所构成的第一字节序列与不包含SNI字段且由连续字节数据所构成的第二字节序列对HTTPS流量所访问的域名网站进行识别,通过从HTTPS协议的两个阶段中都提取一定的字节数据,保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为第一固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述连续字节数据以及所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以先提取HTTPS协议的握手阶段中的任一字节数满足第一固定值的连续字节数据,同时确定上述连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,再提取HTTPS协议的加密传输阶段中的任一字节数满足第二固定值的非连续字节数据,上述第一固定值与第二固定值之和为目标固定值,即在加密传输阶段提取目标数据流中更多的时空特征,同时在上述的加密传输阶段中,上述连续字节数据中不包含SNI字段,然后利用不包含有SNI字段且由连续字节数据所构成的第一字节序列与不包含SNI字段且由连续字节数据所构成的第二字节数据对HTTPS流量所访问的域名网站进行识别,通过从HTTPS协议的两个阶段中都提取一定的字节数据,保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将所述连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以提取HTTPS协议的加密传输阶段中任一字节数满足目标固定值的连续字节数据,并且因为在加密传输阶段中,上述连续字节数据中不包含SNI字段,即利用不包含有SNI字段的第二字节序列对HTTPS流量所访问的域名网站进行识别,从而保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列,
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将所述非连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
本申请实施例中,可以提取HTTPS协议的加密传输阶段中任一字节数满足目标固定值的非连续字节数据,并且因为在加密传输阶段中,上述非连续字节数据中不包含SNI字段,即利用不包含有SNI字段的第二字节序列对HTTPS流量所访问的域名网站进行识别,从而保证了对HTTPS流量所访问的域名网站的识别的准确性。
可选的,所述域名网站识别模型包括依次连接的输入层、双向GRU层、注意力机制层以及输出层:其中,
所述输入层,用于接收所述第一字节序列和/或所述第二字节序列,将所述第一字节序列和/或所述第二字节序列中的全部字节转化为目标向量,并输入至所述双向GRU层;
所述双向GRU层,用于提取所述目标向量中的时空特征;
所述注意力机制层,用于基于预训练的特征权重以及所述时空特征,输出加权处理后的目标值;
所述输出层,用于根据所述目标值输出所述目标域名网站。
本申请实施例中,域名网站识别模型由依次连接的输入层、双向GRU层、注意力机制层以及输出层构成,其中,输入层用于接收第一字节序列和/或第二字节序列,并且将上述第一字节序列和/或第二字节序列中的全部字节转化为目标向量,以使体现出从目标数据流中提取的全部字节的时空特征;双向GRU层用于提取所述目标向量中的时空特征,双向的GRU在提取目标向量中的时空特征时,提取到的时空特征更加可靠,保证了域名网站识别模型的可靠性;注意力机制层用于基于预训练的特征权重以及时空特征,输出加权处理后的目标值,以使域名网站识别模型能够更加关注对识别域名网站更有作用的时空特征;输出层用于根据目标值输出目标域名网站,从而完成对HTTPS流量所访问的域名网站的识别。
第二方面,本申请实施例提供了一种目标服务器,所述目标服务器包括:
接收单元,用于接收DPI所发送的目标数据流,所述目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的;
提取单元,用于从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,其中,当所述第一字节序列中出现SNI字段时,所述SNI字段被等字节数的预设二进制数所替换,所述第一字节序列与所述第二字节序列的总字节数为目标固定值;
识别单元,用于将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
所述识别单元具体用于:
将替换后的所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
所述识别单元具体用于:
将替换后的所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为第一固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
所述识别单元具体用于:
将替换后的所述非连续字节数据以及所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为第一固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列;
所述识别单元具体用于:
将替换后的所述连续字节数据以及所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
所述识别单元具体用于:
将所述连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述提取单元具体用于:
从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列;
所述识别单元具体用于:
将所述非连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
可选的,所述域名网站识别模型包括:
输入层,用于接收所述第一字节序列和/或所述第二字节序列,将所述第一字节序列和/或所述第二字节序列中的全部字节转化为目标向量,并输入至所述双向GRU层;
双向GRU层,用于提取所述目标向量中的时空特征;
注意力机制层,用于基于预训练的特征权重以及所述时空特征,输出加权处理后的目标值;
输出层,用于根据所述目标值输出所述目标域名网站。
第三方面,本申请实施例提供了一种电子设备,所述电子设备包括至少一个处理器以及与所述至少一个处理器连接的存储器,所述至少一个处理器用于执行存储器中存储的计算机程序时实现如第一方面任一项所述方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项所述方法的步骤。
应当理解的是,本发明实施例的第二~四方面与本发明实施例的第一方面的技术方案一致,各方面及对应的可行实施方式所取得的有益效果相似,不再赘述。
【附图说明】
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种域名网站识别方法的流程图;
图2为本申请实施例提供的一种域名网站识别模型的结构示意图;
图3为本申请实施例提供的一种字节序列提取方式的示意图;
图4为本申请实施例提供的另一种字节序列提取方式的示意图;
图5为本申请实施例提供的另一种字节序列提取方式的示意图;
图6为本申请实施例提供的另一种字节序列提取方式的示意图;
图7为本申请实施例提供的另一种字节序列提取方式的示意图;
图8为本申请实施例提供的另一种字节序列提取方式的示意图;
图9为本申请实施例提供的一种目标服务器的结构示意图;
图10为本申请实施例提供的一种电子设备的结构示意图。
【具体实施方式】
为了更好的理解本说明书的技术方案,下面结合附图对本申请实施例进行详细描述。
应当明确,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本说明书保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
随着网络通讯安全要求的逐渐提高,承载用户访问业务的加密协议业务量在逐渐增加,其中,HTTPS协议被广泛运用到Web应用服务中,同时,流量监测和业务统计作为网络管理和维护的重要工作,需要对HTTPS流量所访问的域名网站进行识别。
经本申请发明人研究发现,目前对HTTPS流量所访问的域名网站进行识别是通过提取HTTPS协议TLS握手阶段中的SNI字段并对SNI字段进行识别来实现的,由于SNI字段存在着流量伪装的问题,导致对用户所访问的域名网站进行识别所获得的识别结果的精确度较低。
鉴于此,本申请实施例提供了一种域名网站识别方法,当用户访问域名网站时,在客户端与服务端之间会基于HTTPS协议产生数据流,此时DPI能够采集上述数据流,并且目标服务器可以通过DPI接收上述数据流,当目标服务器接收到目标数据流后,基于HTTPS协议,可以提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,上述的第一字节序列与第二字节序列的总字节数为固定值,即目标服务器从目标数据流中提取的总字数是固定的,并且当上述的第一字节序列中出现SNI字段时,需要将上述SNI字段隐去,即通过预设的二进制数将其替换掉,保证输入域名网站识别模型中的上述第一字节序列中不含有SNI字段,而第二字节序列中原本就不含有SNI字段,因此,通过上述的第一字节序列和/或上述第二字节序列识别用户所访问的域名网站,保证了对HTTPS流量所访问的域名网站的识别的准确性。
下面结合附图对本申请实施例提供的技术方案进行介绍。请参见图1,为本申请实施例提供的一种域名网站识别方法,应用于目标服务器,该方法流程描述如下:
步骤101:目标服务器接收DPI所发送的目标数据流,目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的。
本申请实施例中,考虑到目标服务器需要提取目标数据流中的字节数据对HTTPS流量所访问的域名网站进行识别,所以目标服务器需要接收到上述的目标数据流,应当理解的是,目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的,这里的目标业务可以是访问腾讯新闻、访问腾讯QQ以及访问微博等业务。
作为一种可能的实施方式,在对HTTPS流量所访问的域名网站进行识别时,DPI(深度包检测技术,Deep Packet Inspection)可以采集到客户端与业务服务器之间会基于HTTPS协议产生的目标数据流,并将上述目标数据流发送至目标服务器,那么目标服务器便可以接收到目标数据流。
步骤102:目标服务器从目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列。
本申请实施例中,考虑到HTTPS协议的握手阶段中的SNI字段对HTTPS流量所访问的域名网站的识别具有一定的局限性,所以在提取目标数据流中的字节序列时,不再使用SNI字段作为后续识别域名网站的基准。
作为一种可能的实施方式,目标服务器接收到目标数据流后,基于HTTPS协议,可以提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列。应理解,上述的第一字节序列与第二字节序列的总字节数为目标固定值,即目标服务器从目标数据流中提取的总字节数是固定的,并且当上述的第一字节序列中出现SNI字段时,通过等字节数的预设的二进制数将其替换掉,比如,预设二进制数可以为0,而第二字节序列原本就不包含SNI字段,这样便可以确保即将输入到域名网站识别模型中的第一字节序列和/或第二字节序列均不包含SNI字段。
步骤103:将第一字节序列和/或第二字节序列输入域名网站识别模型,输出目标业务对应的目标域名网站。
本申请实施例中,目标服务器提取到在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列后,便可以对上述的第一字节序列和/或第二字节序列进行特征提取,以使基于上述特征对HTTPS流量所访问的域名网站进行识别。
作为一种可能的实施方式,目标服务器在提取到在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列后,将第一字节序列和/或第二字节序列输入域名网站识别模型,该域名网站识别模型可以认为是经过预先训练的能够较高的提取上述第一字节序列和/或第二字节序列的特征,从而较为准确的输出目标业务对应的目标域名网站。
进一步的,请参见图2,为本申请实施例提供的一种域名网站识别模型的结构示意图,域名网站识别模型200包括输入层201、双向GRU层202、注意力机制层203以及输出层204。其中,输入层201用于接收第一字节序列和/或第二字节序列,并且将上述第一字节序列和/或第二字节序列中的全部字节转化为目标向量;双向GRU层202用于提取所述目标向量中的时空特征,双向的GRU在提取目标向量中的时空特征时,提取到的时空特征更加可靠,保证了识别模型的可靠性;注意力机制层203用于基于预训练的特征权重以及时空特征,输出加权处理后的目标值,以使域名网站识别模型能够更加关注对识别域名网站更有作用的时空特征;输出层204用于根据目标值输出目标域名网站,从而完成对HTTPS流量所访问的域名网站的识别。
下面对域名网站识别模型200的预先训练过程进行详细说明。
首先,通过DPI采集客户端与业务服务器之间基于HTTPS协议产生的HTTPS类型流量,并基于五元组信息通过汇聚分流器将上述的HTTPS类型流量进行数据流整合,其中五元组信息包括源IP地址、目的IP地址、源端口号、目的端口号以及运输层协议,并将五元组信息相同的数据流划分为一个数据流样本集,该数据流样本集中的数条数据流作为训练数据流。
其次,将训练数据流输入目标服务器,将训练数据流进行划分,采用K次交叉验证方法,其中K取10,即将训练数据流分为10组子训练数据流,在训练过程中以其中一组子训练数据流作为测试集,其余九组作为训练集。
然后,对九组子训练数据流中的每一组子训练数据流进行字节数据提取,将提取到的字节数据输入待训练的域名网站识别模型进行时空特征提取,使待训练的域名网站识别模型学习到提取字节数据中时空特征的能力。
最后将测试集进行字节数据提取,将所提取的字节数据输入训练后的域名网站识别模型进行时空特征的提取,然后输出对应的域名网站。其中,10组子训练数据流中的每一组子均会作为一次测试集,以上述同样的方式,进行域名网站识别模型的训练,综合每次训练,获得训练完善的域名网站识别模型,并且会通过不断的训练和迭代,优化模型,从而使域名网站识别模型识别出的域名网站更加准确。
请参见图3-图8,下面针对字节序列的具体提取方式进行详细说明。
提取方式一:目标服务器从目标数据流中提取在HTTPS协议的握手阶段的连续的字节数据。
本申请实施例中,请参见图3,目标服务器从目标数据流中提取HTTPS协议的握手阶段中任一连续的字节数据,其中,连续字节数据的总字节数为目标固定值,当提取到的连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,并将替换后的连续字节数据作为第一字节序列,然后将该替换后的连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
例如,预设总字节字数为900,即目标固定值为900,目标服务器则从目标数据流中提取HTTPS协议的握手阶段中任一连续的900个字节数据,当提取到的900个连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数将其替换,比如预设二进制数为0,就用等字节数的0将所含有的SNI字段替换,并将替换后的900个连续字节数据作为第一字节序列,然后将该替换后的900个连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
提取方式二:目标服务器从目标数据流中提取在HTTPS协议的握手阶段的非连续的字节数据。
本申请实施例中,请参见图4,目标服务器从目标数据流中提取在HTTPS协议的握手阶段中任一非连续的字节数据,其中,非连续字节数据的总字节数为目标固定值,当提取到的非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,并将替换后的非连续字节数据作为第一字节序列,然后将该替换后的非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
例如,预设总字节字数为900,即目标固定值为900,目标服务器则从目标数据流中提取在HTTPS协议的握手阶段中任一非连续的900个字节数据,当提取到的900个非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数将其替换,比如预设二进制数为0,就用等字节数的0将所含有的SNI字段替换,并将替换后的900个非连续字节数据作为第一字节序列,然后将该替换后的900个非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
提取方式三:目标服务器从目标数据流中先提取在HTTPS协议的握手阶段的非连续字节数据,再提取在HTTPS协议的加密传输阶段的连续字节数据。
本申请实施例中,请参见图5,目标服务器从目标数据流中先提取在HTTPS协议的握手阶段中任一非连续字节数据,其中,非连续字节数据的字节数为第一固定值,当提取到的非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,并将替换后的非连续字节数据作为第一字节序列;再提取HTTPS协议的加密传输阶段中任一连续字节数据,其中,连续字节数据的字节数为第二固定值,第一固定值与第二固定值之和为目标固定值,并将连续字节数据作为第二字节序列。然后将上述替换后的非连续字节数据以及连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
应当理解的是,在HTTPS协议的两个阶段中都提取一定的字节序列,能够使得域名网站识别模型在识别HTTPS流量所访问的域名网站时捕获到目标数据流中更多的时空特征,利于对HTTPS流量所访问的域名网站的识别,同时HTTPS协议的握手阶段为明文形式,在该阶段中,目标数据流未经过加密,在加密传输阶段目标数据流经过了加密处理,因此在握手阶段所隐含的时空特征更准确,即在握手阶段以非连续的方式提取字节数据,以使域名网站识别模型在识别HTTPS流量所访问的域名网站时捕获到目标数据流中更多原始的时空特征,更有利于保证对HTTPS流量所访问的域名网站进行识别后获得的识别结果更加准确,所以该提取方式为最优提取方式。
例如,预设总字节字数为900,即目标固定值为900,目标服务器从目标数据流中先提取HTTPS协议的握手阶段中任一非连续的600个字节数据,当提取到的600个非连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,比如预设二进制数为0,就用等字节数的0将所含有的SNI字段替换,并将替换后的600非连续字节数据作为第一字节序列;再提取HTTPS协议加密传输阶段中任一连续的300个字节数据,并将300个连续字节数据作为第二字节序列。然后将上述替换后的600个非连续字节数据以及300个连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
提取方式四:目标服务器从目标数据流中先提取在HTTPS协议的握手阶段的连续字节数据,再提取在HTTPS协议的加密传输阶段的非连续字节数据。
本申请实施例中,请参见图6,目标服务器从目标数据流中先提取在HTTPS协议的握手阶段中的任一连续字节数据,其中,连续字节数据的字节数为第一固定值,当提取到的连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,并将替换后的连续字节数据作为第一字节序列;再提取在HTTPS协议的加密传输阶段中的任一非连续字节数据,其中,非连续字节数据的字节数为第二固定值,第一固定值与第二固定值之和为目标固定值,并将非连续字节数据作为第二字节序列。然后将上述替换后的连续字节数据以及非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
例如,预设总字节字数为900,即目标固定值为900,目标服务器从目标数据流中先提取在HTTPS协议的握手阶段中的任一连续的300个字节数据,当提取到的300个连续字节数据中包括有SNI字段时,利用等字节数的预设二进制数对其进行替换,比如预设二进制数为0,就用等字节数的0将所含有的SNI字段替换,并将替换后的300个连续字节数据作为第一字节序列;再提取在HTTPS协议的加密传输阶段中的任一非连续的600个字节数据,并将600个非连续字节数据作为第二字节序列。然后将上述替换后的300个连续字节数据以及600个非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
提取方式五:目标服务器从目标数据流中提取在HTTPS协议的加密传输阶段的连续的字节数据。
本申请实施例中,请参见图7,目标服务器从目标数据流中提取在HTTPS协议的加密传输阶段中任一连续的字节数据,其中,连续字节数据的总字节数为目标固定值,因在加密传输阶段不含有SNI字段,故将连续字节数据作为第二字节序列,然后将该连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
例如,预设总字节字数为900,即目标固定值为900,目标服务器则从目标数据流中提取在HTTPS协议的加密传输阶段中任一连续900个字节数据,因在加密传输阶段不含有SNI字段,故将900个连续字节数据作为第二字节序列,然后将该900个连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
提取方式六:目标服务器从目标数据流中提取在HTTPS协议的加密传输阶段的非连续的字节数据。
本申请实施例中,请参见图8,目标服务器从目标数据流中提取在HTTPS协议的加密传输阶段中任一非连续的字节数据,其中,非连续字节数据的总字节数为目标固定值,因在加密传输阶段不含有SNI字段,故将非连续字节数据作为第二字节序列,然后将该非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站,以实现对HTTPS流量所访问的域名网站的识别。
例如,预设总字节字数为900,即目标固定值为900,目标服务器则从目标数据流中提取在HTTPS协议的加密传输阶段中任一非连续的900个字节数据,因在加密传输阶段不含有SNI字段,故将900个非连续字节数据作为第二字节序列,然后将该900个非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
请参见图9,基于同一发明构思,本申请实施例还提供了一种目标服务器,该目标服务器包括:接收单元301、提取单元302与识别单元303。
接收单元301,用于接收DPI所发送的目标数据流,目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的;
提取单元302,用于从目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,其中,当第一字节序列中出现SNI字段时,SNI字段被预设二进制数所替换,第一字节序列与第二字节序列的总字节数为目标固定值;
识别单元303,用于将第一字节序列和/或第二字节序列输入域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,连续字节数据的总字节数为目标固定值;
若连续字节数据中存在SNI字段,根据预设二进制对SNI字段进行替换,并将替换后的连续字节数据作为第一字节序列;
识别单元303具体用于:
将替换后的连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,非连续字节数据的总字节数为目标固定值;
若非连续字节数据中存在SNI字段,根据预设二进制对SNI字段进行替换,并将替换后的非连续字节数据作为第一字节序列;
识别单元303具体用于:
将替换后的非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,非连续字节数据的总字节数为第一固定值;
若非连续字节数据中存在SNI字段,根据预设二进制对SNI字段进行替换,并将替换后的非连续字节数据作为第一字节序列;
从目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,连续字节数据的总字节数为第二固定值,第一固定值与第二固定值之和为目标固定值;
将连续字节数据作为第二字节序列;
识别单元303具体用于:
将替换后的非连续字节数据以及连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,连续字节数据的总字节数为第一固定值;
若连续字节数据中存在SNI字段,根据预设二进制对SNI字段进行替换,并将替换后的连续字节数据作为第一字节序列;
从目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,非连续字节数据的总字节数为第二固定值,第一固定值与第二固定值之和为目标固定值;
将非连续字节数据作为第二字节序列;
识别单元303具体用于:
将替换后的连续字节数据以及非连续字节数据输入域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,连续字节数据的总字节数为目标固定值;
将连续字节数据作为第二字节序列;
识别单元具体用于:
将连续字节数据输入到域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,提取单元302具体用于:
从目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,非连续字节数据的总字节数为目标固定值;
将非连续字节数据作为第二字节序列;
识别单元具体用于:
将非连续字节数据输入到域名网站识别模型,输出目标业务对应的目标域名网站。
可选的,所述识别单元303包括域名网站识别模型200,所述域名网站识别模型200包括:
输入层201,用于接收第一字节序列和/或第二字节序列,将第一字节序列和/或第二字节序列中的全部字节转化为目标向量,并输入至双向GRU层202;
双向GRU层202,用于提取目标向量中的时空特征;
注意力机制层203,用于基于预训练的特征权重以及时空特征,输出加权处理后的目标值;
输出层204,用于根据目标值输出所述目标域名网站。
请参见图10,基于同一发明构思,本申请实施例还提供了一种电子设备,该电子设备可以包括至少一个处理器401,该至少一个处理器401用于执行存储器中存储的计算机程序,实现本申请实施例提供的如图1所示的域名网站识别方法的步骤。
可选的,处理器401具体可以是中央处理器、特定ASIC,可以是一个或多个用于控制程序执行的集成电路。
可选的,该电子设备还可以包括与至少一个处理器401连接的存储器402,存储器402可以包括ROM、RAM和磁盘存储器。存储器402用于存储处理器401运行时所需的数据,即存储有可被至少一个处理器401执行的指令,至少一个处理器401通过执行存储器402存储的指令,执行如图1所示的方法。其中,存储器402的数量为一个或多个。其中,存储器402在图10中一并示出,但需要知道的是存储器402不是必选的功能模块,因此在图10中以虚线示出。
其中,接收单元301、提取单元302以及识别单元303与所对应的实体设备均可以是前述的处理器401。该电子设备可以用于执行图1所示的实施例所提供的方法。因此关于该电子设备中各功能模块所能够实现的功能,可参考图1所示的实施例中的相应描述,不多赘述。
本申请实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如图1所述的方法。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (10)

1.一种域名网站识别方法,其特征在于,应用于目标服务器,所述方法包括:
所述目标服务器接收DPI所发送的目标数据流,所述目标数据流为业务服务器与客户端之间基于HTTPS协议在执行目标业务时所产生的;
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列,其中,当所述第一字节序列中出现SNI字段时,所述SNI字段被等字节数的预设二进制数所替换,所述第一字节序列与所述第二字节序列的总字节数为目标固定值;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站。
2.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
3.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
4.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的非连续字节数据,所述非连续字节数据的总字节数为第一固定值;
若所述非连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述非连续字节数据作为所述第一字节序列;
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述非连续字节数据以及所述连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
5.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的连续字节数据,所述连续字节数据的总字节数为第一固定值;
若所述连续字节数据中存在所述SNI字段,根据所述预设二进制对所述SNI字段进行替换,并将替换后的所述连续字节数据作为所述第一字节序列;
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为第二固定值,所述第一固定值与所述第二固定值之和为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将替换后的所述连续字节数据以及所述非连续字节数据输入所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
6.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的连续字节数据,所述连续字节数据的总字节数为所述目标固定值;
将所述连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将所述连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
7.根据权利要求1所述的方法,其特征在于,所述目标服务器从所述目标数据流中提取在HTTPS协议的握手阶段的第一字节序列,和/或在HTTPS协议的加密传输阶段的第二字节序列包括:
所述目标服务器从所述目标数据流中提取在HTTPS协议的加密传输阶段的非连续字节数据,所述非连续字节数据的总字节数为所述目标固定值;
将所述非连续字节数据作为所述第二字节序列;
将所述第一字节序列和/或所述第二字节序列输入域名网站识别模型,输出所述目标业务对应的目标域名网站包括:
将所述非连续字节数据输入到所述域名网站识别模型,输出所述目标业务对应的所述目标域名网站。
8.根据权利要求1所述的方法,其特征在于,所述域名网站识别模型包括依次连接的输入层、双向GRU层、注意力机制层以及输出层:其中,
所述输入层,用于接收所述第一字节序列和/或所述第二字节序列,将所述第一字节序列和/或所述第二字节序列中的全部字节转化为目标向量,并输入至所述双向GRU层;
所述双向GRU层,用于提取所述目标向量中的时空特征;
所述注意力机制层,用于基于预训练的特征权重以及所述时空特征,输出加权处理后的目标值;
所述输出层,用于根据所述目标值输出所述目标域名网站。
9.一种电子设备,其特征在于,所述电子设备包括至少一个处理器以及与所述至少一个处理器连接的存储器,所述至少一个处理器用于执行存储器中存储的计算机程序时实现如权利要求1-8任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-8任一项所述方法的步骤。
CN202211320566.3A 2022-10-26 2022-10-26 域名网站识别方法、服务器、电子设备及存储介质 Pending CN117978414A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211320566.3A CN117978414A (zh) 2022-10-26 2022-10-26 域名网站识别方法、服务器、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211320566.3A CN117978414A (zh) 2022-10-26 2022-10-26 域名网站识别方法、服务器、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117978414A true CN117978414A (zh) 2024-05-03

Family

ID=90846580

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211320566.3A Pending CN117978414A (zh) 2022-10-26 2022-10-26 域名网站识别方法、服务器、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117978414A (zh)

Similar Documents

Publication Publication Date Title
Kim et al. AI-IDS: Application of deep learning to real-time Web intrusion detection
Min et al. TR-IDS: Anomaly-based intrusion detection through text-convolutional neural network and random forest
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
Homayoun et al. BoTShark: A deep learning approach for botnet traffic detection
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
Sija et al. A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view
EP3697042A1 (en) Traffic analysis method, public service traffic attribution method and corresponding computer system
EP3614645B1 (en) Embedded dga representations for botnet analysis
CN111866024B (zh) 一种网络加密流量识别方法及装置
CN111147394B (zh) 一种远程桌面协议流量行为的多级分类检测方法
US9491186B2 (en) Method and apparatus for providing hierarchical pattern recognition of communication network data
CN114257428B (zh) 一种基于深度学习的加密网络流量识别及分类方法
CN109151880A (zh) 基于多层分类器的移动应用流量识别方法
CN110417729A (zh) 一种加密流量的服务与应用分类方法及系统
CN114422211B (zh) 基于图注意力网络的http恶意流量检测方法及装置
Wu et al. Tdae: Autoencoder-based automatic feature learning method for the detection of dns tunnel
CN103324886A (zh) 一种网络攻击检测中指纹库的提取方法和系统
Chen et al. Sequential message characterization for early classification of encrypted internet traffic
CN114629718A (zh) 一种基于多模型融合的隐匿恶意行为检测方法
Liang et al. FECC: DNS Tunnel Detection model based on CNN and Clustering
Oh et al. AppSniffer: Towards robust mobile app fingerprinting against VPN
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN117978414A (zh) 域名网站识别方法、服务器、电子设备及存储介质
Zhao et al. A classification and identification technology of TLS encrypted traffic applications
CN115473734A (zh) 基于单分类和联邦学习的远程代码执行攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination