CN103297427A - 一种未知网络协议识别方法及*** - Google Patents

一种未知网络协议识别方法及*** Download PDF

Info

Publication number
CN103297427A
CN103297427A CN2013101890792A CN201310189079A CN103297427A CN 103297427 A CN103297427 A CN 103297427A CN 2013101890792 A CN2013101890792 A CN 2013101890792A CN 201310189079 A CN201310189079 A CN 201310189079A CN 103297427 A CN103297427 A CN 103297427A
Authority
CN
China
Prior art keywords
network packet
network
grader
protocol
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013101890792A
Other languages
English (en)
Other versions
CN103297427B (zh
Inventor
云晓春
张永铮
王一鹏
周宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201310189079.2A priority Critical patent/CN103297427B/zh
Publication of CN103297427A publication Critical patent/CN103297427A/zh
Application granted granted Critical
Publication of CN103297427B publication Critical patent/CN103297427B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种未知网络协议识别方法,包括:步骤1,以待识别的网络数据包为输入,并将每个网络数据包表征为可用于分类的特征向量;步骤2,以获得的特征向量为输入,形成特征向量数据集,利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器;步骤3,利用得到的分类器,对待识别的网络数据包的协议属性做出判别。对应该方法,本发明还给出了一种未知网络协议识别***,包括数据包建模模块、分类器构建模块和识别模块。本发明采用主动学习方法,可使用较少的已标记样本达到较优的学习效率,从而有效地降低了学习过程中标记的样本数目,能够从混杂的网络流量中准确识别所分析的网络协议。

Description

一种未知网络协议识别方法及***
技术领域
本发明属于网络信息安全技术领域,涉及网络协议识别技术,特别涉及一种未知网络协议识别方法及***。
背景技术
识别网络数据流中所承载的应用协议在网络与安全领域有众多应用,例如入侵检测和防范***(IDS/IPS)、网络测量、面向应用的缓存和路由机制、面向应用感知的负载均衡,流量分类和隧道检测等。以其在入侵检测和防范***中的应用为例,入侵检测和防范***通常依照已有协议规范,通过对TCP/UDP载荷部分进行有效解析从而实现积极有效的安全防护策略。然而,互联网中许多网络协议属于未知协议或者私有协议,这些网络协议没有公开可得到的协议规范文档,这给网络协议分类与识别带来新的挑战。根据Internet2NetFlow组织对骨干网中流量的统计发现:超过40%的网络数据流属于未知应用协议,其中恶意代码占有很大比例。同时,传统以端口分配规则(IANA规范)来判定协议类别的流量分类方法也面临着诸多新的问题。例如,互联网中大量涌现的Peer-to-Peer(P2P)协议因其在服务质量(QoS)上的巨大优势,在文件分享和在线流媒体等领域中取得了广泛应用。然而,大多数P2P应用协议并不遵守IANA的约定,通常采用动态端口等技术进行伪装,从而逃避网络服务提供商(ISP)的检测。当面临大量未知流量时,传统的检测方法或手段很难对相关未知应用协议做出正确识别。针对未知的网络协议流量,设计合理、有效的识别方法给网络信息安全研究人员带来了新的挑战。因此,在实践中,自动化的未知网络协议识别方法将有利于早期快速的流量分类和可扩展的流量检测。
网络协议识别方法可划分为基于传输层端口、基于数据包载荷和基于网络行为三种类别。其中基于数据包载荷的方法较为常用,其通过:基于主机端的协议解析和基于网络端的协议指纹这两种方式构建所分析协议的分类特征。其中,基于协议指纹的分析方法又可划分为人工分析和自动分析两种。人工分析方法依照经验或先验知识获取协议指纹信息,这种分析过程通常耗时、费力。自动化的分析方法应用模式识别、机器学习等理论对网络数据流中的协议指纹信息进行自动提取,从而最大可能地减少人工成本开销。本发明仅针对自动化的协议指纹提取工作展开相关讨论。
传统的网络协议识别方法大多属于非主动学习的机器学习方法。这类方法依照所获得的离线学习样本构建单一或者多种协议分类器,从而实现对网络协议的准确识别。这些方法实验效果的优劣均依赖所分析的训练样本集合。然而,在实际分析过程中,获取未知协议的网络数据流(如僵尸网络)并对其标记的过程严重依赖领域专家。这是一件费时且繁杂的工作,甚至在样本数据量过大时,人工标记已无法满足实际需求。因此,在复杂的网络环境中,如何以最小的样本标记代价,构建准确的协议识别模型,是目前网络协议识别领域的研究热点
发明内容
本发明所要解决的技术问题是提供一种未知网络协议识别方法及***,用于解决现有的网络协议识别方法无法对未知网络协议在标记样本量很小的情况下进行有效识别的问题。
本发明解决上述技术问题的技术方案如下:一种未知网络协议识别方法,包括:
步骤1,以待识别的网络数据包为输入,并将每个网络数据包表征为能用于分类的特征向量;
步骤2,以步骤1获得的特征向量为输入,形成特征向量数据集,利用面向支持向量机(Support Vector Machine,SVM)的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器;
步骤3,利用步骤2得到的分类器,对待识别的网络数据包的协议属性做出判别。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述步骤1中将每个网络数据包表征为可用于分类的特征向量具体包括:
步骤11,利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包;
步骤12,将网络数据包向量化,且每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值是n-gram元素在网络数据包中出现的次数。
进一步,所述步骤2中还需判定是否已有针对待测网络协议的分类器,若没有则利用主动学习方法构建协议分类器,否则直接对待识别的网络数据包的协议属性做出判别。
进一步,所述步骤2中利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器具体包括:
步骤21,利用一个已标记训练样本集合X中少量已标记样本x,训练构造出SVM(Support Vector Machine,向量机)分类器f;
步骤22,利用已构造的SVM分类器f,对待识别的特征向量数据集U中所有未标记的样本u进行分类;
步骤23,根据SVM分类器f的分类结果,利用一个查询函数q判定未标记样本集合U中每个样本的信息量,对信息量最大、最不确定的样本进行标记;
步骤24,将标记好的样本加入到已标记训练样本集合X中,根据更新后的已标记训练样本集合X,对SVM分类器f进行评估;
步骤25,若达到中止条件r时,则算法中止,返回SVM分类器f,否则重复步骤21至步骤24。
进一步,所述步骤3中对待识别的网络数据包的协议属性做出判别后,分类输出属于目标协议的网络数据包和非目标协议的网络数据包。
基于上述方法,本发明的技术方案还包括了一种未知网络协议识别***,包括:
数据包建模模块,其用于以待识别的网络数据包为输入,将每个网络数据包表征为可用于分类的特征向量;
分类器构建模块,其用于以数据包建模模块获得的特征向量为输入,形成特征向量数据集,并利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待识别的网络数据包的协议的分类器;
识别模块,其用于通过分类器构建模块获得的分类器对待识别的网络数据包的协议属性做出判别。
进一步,所述数据包建模模块包括:
n-gram模型模块,其用于利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包;
数据包向量化模块,其用于将所述n-gram模型模块处理过的网络数据包向量化,且每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值是n-gram元素在网络数据包中出现的次数。
进一步,所述分类器构建模块获得针对待测网络协议的分类器为SVM分类器。
进一步,所述未知网络协议识别***还包括输出模块,用于在所述识别模块作出判别后分类输出属于目标协议的网络数据包和非目标协议的网络数据包。
本发明的有益效果是:
一、本发明以网络数据流为输入,自动地从混杂网络流量中对所分析协议的网络数据流进行准确识别;
二、本发明只分析TCP/UDP数据包的载荷部分,不需要对程序的可执行代码进行逆向分析,也不依赖先验知识,如协议规范、分隔符等;
三、本发明可解决面向连接协议(如TCP)和面向无连接协议(如UDP)的识别问题,并可适用于文本和二进制类协议的分析;
四、该方法的主要特点是通过采用主动学习算法,在学习过程中只选择最有价值的样本训练分类器。这种采样策略使得学习效率(样本标记时间、学习训练训练时间等)得到大幅提高。在实践过程中,通过对训练样本的合理选取,在样本标记代价很小的前提下,同样可以保证很高的识别准确率和召回率。
综上所述,本发明采用主动学习方法,可使用较少的已标记样本达到较优的学习效率(高准确率和高召回率),从而有效地降低了学习过程中标记的样本数目,能够从混杂的网络流量中准确识别所分析的网络协议。
附图说明
图1为本发明所述一种未知网络协议识别方法的流程示意图;
图2为本发明实施例一中通过表征特征向量构建分类器的方法示意图;
图3为本发明实施例一基于主动学习构建分类器的流程示意图;
图4为本发明所述实施例二基于CIFS/SMB协议的实验结果图;
图5为本发明所述实施例二基于DNS协议的实验结果图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例一
如图1所示,实施例一是一种未知网络协议识别方法,包括:
步骤1,以待识别的网络数据包为输入,并将每个网络数据包表征为能用于分类的特征向量;
步骤2,以步骤1获得的特征向量为输入,形成特征向量数据集,利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器;
步骤3,利用步骤2得到的分类器,对待识别的网络数据包的协议属性做出判别。
如图2所示,将每个网络数据包表征为可用于分类的特征向量,并构建分类器的具体内容为:
1)数据包n-gram序列化:数据包n-gram序列化操作利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包。
本实施中所述的n-gram模型是给定序列的(至少为n个元素的序列)n个连续元素的子序列。给定网络数据包集合,n-gram模型将字节大小为m的网络数据包序列b1,b2,…,bm分解为n-grams(n≤m)序列:b1,b2,…,bn,b2,b3,…,bn+1,…,bm-n+1,bm-n+2,…,bm。
2)数据包向量化:将每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值代表n-gram元素在所分析数据包中出现的次数。
例如,假定有四种类型n-gram元素,分别为‵HEL′,ELO′,DAT′和‵ATA′。那么SMTP数据包‵DATA′,向量化分析后的结果为(0,0,1,1),其中数值0代表所分析数据包中没有该n-gram元素,数值1代表该n-gram元素出现1次。
3)判定是否已有所分析协议的分类器,如果没有则先利用主动学习方法构建协议分类器,否则对数据包的协议属性进行判别进行。
4)依照通过步骤1)和2)得到的分类特征向量,利用面向支持向量机的主动学习算法进行训练并得到所分析协议的分类器。
5)根据步骤1)、步骤2)得到的分类特征向量和步骤4)得到的分类器对未标识的网络数据包进行协议类别判定。
主动学习训练分类器过程的输入是已标记训练样本集合X中少量已标记样本x(至少包含一个正样本和一个负样本),未标记测试样本集合U中(包含有正样本和负样本)大量未标记样本u。r为主动学习中止条件。主动学习训练分类器过程的输出结果是分类器f,和已标注样本集合X。如图3所示,基于主动学习对分类器构建阶段的具体实施步骤如下:
步骤21,利用一个已标记训练样本集合X中少量已标记样本x,训练构造出SVM分类器f,从而样本集合X被划分为两类,f:X→{-1,1};
步骤22,利用已构造的SVM分类器f,对待识别的特征向量数据集U中所有未标记的样本u进行分类;
步骤23,根据SVM分类器f的分类结果,利用一个查询函数q判定未标记样本集合U中每个样本的信息量,对信息量最大、最不确定的样本进行标记;在实际中,通常是交由领域专家来标记信息量最大、最不确定的样本;
步骤24,将标记好的样本加入到已标记训练样本集合X中,根据更新后的已标记训练样本集合X,对SVW分类器f进行评估;
步骤25,若达到中止条件r时,则算法中止,返回SVW分类器f,否则重复步骤21至步骤24。
另外,所述步骤3识别完成后,输出结果为两类:一类是属于目标协议的网络数据包,另一类是非目标协议的网络数据包。
基于上述未知网络协议识别方法,本实施例还给出一种对应的未知网络协议识别***,包括:
数据包建模模块,其用于以待识别的网络数据包为输入,将每个网络数据包表征为可用于分类的特征向量;
分类器构建模块,其用于以数据包建模模块获得的特征向量为输入,形成特征向量数据集,并利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待识别的网络数据包的协议的分类器;
识别模块,其用于通过分类器构建模块获得的分类器对待识别的网络数据包的协议属性做出判别。
同样对应上述的未知网络协议识别方法,这种未知网络协议识别***中:
所述数据包建模模块包括:n-gram模型模块,其用于利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包;数据包向量化模块,其用于将所述n-gram模型模块处理过的网络数据包向量化,且每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值是n-gram元素在网络数据包中出现的次数。
所述分类器构建模块获得针对待测网络协议的分类器为SVM分类器。
所述未知网络协议识别***还包括输出模块,用于在所述识别模块作出判别后分类输出属于目标协议的网络数据包和非目标协议的网络数据包。
实施例二
实施例二是对CIFS/SMB协议和DNS协议在T为不同取值的情况下分别进行实验,对比其在主动学习策略和随机采样方法(即随机地选择训练样本)下的准确率,召回率和F-Measure。
给定***要分析的某种未知协议,首先定义以下三种数据集合。
True Positives(TP):被***识别为某协议的网络数据包,且确实是属于该协议的网络数据包集合。
False Positives(FP):被***识别为某协议的网络数据包,但并不属于该协议的网络数据包集合。
False Negatives(FN):被***识别为非某协议的网络数据包,但其实是属于该协议的网络数据包集合。
基于上述三种数据集合,本发明采用机器学习领域中通常使用的准确率(precision),召回率(recall)和F-Measure三种评价指标来对***的有效性和可靠性进行评价。三种评价指标定义如下:
precision = TP TP + FP
recall = TP TP + FN
F - Measure = 2 * precision * recall precision + recall
由于准确率与召回率分别描述***性能的两个方面,单一使用准确率和召回率作为评价指标具有局限性,因此,本文选用F-Measure指标将这两个指标进行综合考虑,从而选择最优方案。
基于主动学习方法的未知网络协议识别方法在CIFS/SMB协议和DNS协议的实验结果如图4所示,其中Y轴为百分数。通过改变T值进行实验对比发现:当已标记样本集合的数量达到100时,主动学习和随机采样方法两种策略的识别准确率基本达到一致。从图中可以发现,此时主动学习方法的召回率已达到约100%,且不随T值的增大而改变。随机采样策略的召回率则处于较低数值,且随样本数量的增加而缓慢提高。对于CIFS/SMB协议,随机采样策略的召回率相对于主动学习方法在小样本的情况下实际效果有一定差距。
DNS协议的实验结果如图5所示,其中Y轴为百分数。对于这两个协议,在T为不同取值的情况下,通过对比实验发现:当已标记样本集合的数量达到100时,主动学习方法和随机采样方法的召回率均已达到约100%。然而,当样本数量为不同取值时,主动学习方法的准确率均明显好于随机采样方法的准确率。主动学习方法的准确率接近100%,而随机采样策略的准确率大约在85%左右,明显低于主动学习方法。图5同时表明,对于DNS协议,T值越大,主动学习方法达到识别的最佳实验效果的收敛速度越慢。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种未知网络协议识别方法,其特征在于,包括:
步骤1,以待识别的网络数据包为输入,并将每个网络数据包表征为能用于分类的特征向量;
步骤2,以步骤1获得的特征向量为输入,形成特征向量数据集,利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器;
步骤3,利用步骤2得到的分类器,对待识别的网络数据包的协议属性做出判别。
2.根据权利要求1所述的一种未知网络协议识别方法,其特征在于,所述步骤1中将每个网络数据包表征为可用于分类的特征向量具体包括:
步骤11,利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包;
步骤12,将网络数据包向量化,且每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值是n-gram元素在网络数据包中出现的次数。
3.根据权利要求1所述的一种未知网络协议识别方法,其特征在于,所述步骤2中还需判定是否已有针对待测网络协议分类器,若没有则利用主动学习方法构建协议分类器,否则直接对待识别的网络数据包的协议属性做出判别。
4.根据权利要求1所述的一种未知网络协议识别方法,其特征在于,所述步骤2中利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器具体包括:
步骤21,利用一个已标记训练样本集合X中少量已标记样本x,训练构造出向量机SVM分类器f;
步骤22,利用已构造的SVM分类器f,对待测特征向量数据集U中所有未标记的样本u进行分类;
步骤23,根据SVM分类器f的分类结果,利用一个查询函数q判定未标记样本集合U中每个样本的信息量,对信息量最大、最不确定的样本进行标记;
步骤24,将标记好的样本加入到已标记训练样本集合X中,根据更新后的已标记训练样本集合X,对SVM分类器f进行评估;
步骤25,若达到中止条件r时,则算法中止,返回SVM分类器f,否则重复步骤21至步骤24。
5.根据权利要求1所述的一种未知网络协议识别方法,其特征在于,所述步骤3中对待识别的网络数据包的协议属性做出判别后,分类输出属于目标协议的网络数据包和非目标协议的网络数据包。
6.一种未知网络协议识别***,其特征在于,包括:
数据包建模模块,其用于以待识别的网络数据包为输入,将每个网络数据包表征为可用于分类的特征向量;
分类器构建模块,其用于以数据包建模模块获得的特征向量为输入,形成特征向量数据集,并利用面向支持向量机的主动学习方法对该特征向量数据集进行学习,获得针对待测网络协议的分类器;
识别模块,其用于通过分类器构建模块获得的分类器对待识别的网络数据包的协议属性做出判别。
7.根据权利要求6所述的一种未知网络协议识别***,其特征在于,所述数据包建模模块包括:
n-gram模型模块,其用于利用n-gram模型将网络数据包转化为以n-gram元素为基本单元的网络数据包;
数据包向量化模块,其用于将所述n-gram模型模块处理过的网络数据包向量化,且每个网络数据包表示为一个向量,向量的每个维度是唯一的n-gram元素,向量的分量数值是n-gram元素在网络数据包中出现的次数。
8.根据权利要求6所述的一种未知网络协议识别***,其特征在于,所述分类器构建模块获得针对待测网络协议的分类器为SVM分类器。
9.根据权利要求6所述的一种未知网络协议识别***,其特征在于,所述未知网络协议识别***还包括输出模块,用于在所述识别模块作出判别后分类输出属于目标协议的网络数据包和非目标协议的网络数据包。
CN201310189079.2A 2013-05-21 2013-05-21 一种未知网络协议识别方法及*** Expired - Fee Related CN103297427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310189079.2A CN103297427B (zh) 2013-05-21 2013-05-21 一种未知网络协议识别方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310189079.2A CN103297427B (zh) 2013-05-21 2013-05-21 一种未知网络协议识别方法及***

Publications (2)

Publication Number Publication Date
CN103297427A true CN103297427A (zh) 2013-09-11
CN103297427B CN103297427B (zh) 2016-01-06

Family

ID=49097747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310189079.2A Expired - Fee Related CN103297427B (zh) 2013-05-21 2013-05-21 一种未知网络协议识别方法及***

Country Status (1)

Country Link
CN (1) CN103297427B (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270392A (zh) * 2014-10-24 2015-01-07 中国科学院信息工程研究所 一种基于三分类器协同训练学习的网络协议识别方法及***
CN104468262A (zh) * 2014-11-17 2015-03-25 中国科学院信息工程研究所 一种基于语义敏感的网络协议识别方法及***
CN104753934A (zh) * 2015-03-23 2015-07-01 电子科技大学 将未知协议多通信方数据流分离为点对点数据流的方法
CN106850338A (zh) * 2016-12-30 2017-06-13 西可通信技术设备(河源)有限公司 一种基于语义分析的r+1类应用层协议识别方法与装置
CN106888136A (zh) * 2015-12-15 2017-06-23 成都网安科技发展有限公司 一种实时识别网络协议的方法
CN107809343A (zh) * 2016-09-09 2018-03-16 中国人民解放军信息工程大学 一种网络协议识别方法及装置
CN107967488A (zh) * 2017-11-28 2018-04-27 网宿科技股份有限公司 一种服务器的分类方法及分类***
CN108650280A (zh) * 2018-08-03 2018-10-12 陕西中达公路技术服务有限公司 一种自适应多协议适配方法
CN109040081A (zh) * 2018-08-10 2018-12-18 哈尔滨工业大学(威海) 一种基于bwt的协议字段逆向分析***及方法
CN109462610A (zh) * 2018-12-24 2019-03-12 哈尔滨工程大学 一种基于主动学习和迁移学习的网络入侵检测方法
CN109586950A (zh) * 2018-10-18 2019-04-05 锐捷网络股份有限公司 网络场景识别方法、网络管理设备、***及存储介质
CN109818929A (zh) * 2018-12-26 2019-05-28 天翼电子商务有限公司 基于主动自步学习的未知威胁感知方法、***、存储介质、终端
CN109981474A (zh) * 2019-03-26 2019-07-05 中国科学院信息工程研究所 一种面向应用软件的网络流量细粒度分类***及方法
CN110049023A (zh) * 2019-03-29 2019-07-23 中国空间技术研究院 一种基于机器学习的未知协议逆向识别方法及***
CN110457465A (zh) * 2019-06-21 2019-11-15 武汉大学 一种针对未知比特流协议的分类方法
CN110661682A (zh) * 2019-09-19 2020-01-07 上海天旦网络科技发展有限公司 通用互联数据自动分析***、方法、设备
CN111144470A (zh) * 2019-12-20 2020-05-12 中国科学院信息工程研究所 一种基于深度自编码器的未知网络流量识别方法及***
CN111723181A (zh) * 2020-06-17 2020-09-29 国家计算机网络与信息安全管理中心 一种基于主动学习的工控协议逆向分析方法
CN111726264A (zh) * 2020-06-18 2020-09-29 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质
WO2021103420A1 (zh) * 2019-11-30 2021-06-03 浙江大学 一种多代理合作场景下的通信协议学习和迁移的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447995A (zh) * 2008-12-30 2009-06-03 成都市华为赛门铁克科技有限公司 一种识别p2p数据流的方法、装置和***
CN101557327A (zh) * 2009-03-20 2009-10-14 扬州永信计算机有限公司 基于支持向量机的入侵检测方法
CN101695035A (zh) * 2009-10-21 2010-04-14 成都市华为赛门铁克科技有限公司 流量识别方法及装置
CN102176701A (zh) * 2011-02-18 2011-09-07 哈尔滨工业大学 一种基于主动学习的网络数据异常检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447995A (zh) * 2008-12-30 2009-06-03 成都市华为赛门铁克科技有限公司 一种识别p2p数据流的方法、装置和***
CN101557327A (zh) * 2009-03-20 2009-10-14 扬州永信计算机有限公司 基于支持向量机的入侵检测方法
CN101695035A (zh) * 2009-10-21 2010-04-14 成都市华为赛门铁克科技有限公司 流量识别方法及装置
CN102176701A (zh) * 2011-02-18 2011-09-07 哈尔滨工业大学 一种基于主动学习的网络数据异常检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张健沛 等: ""支持向量机(SVM)主动学习方法研究与应用"", 《计算机应用》 *

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270392A (zh) * 2014-10-24 2015-01-07 中国科学院信息工程研究所 一种基于三分类器协同训练学习的网络协议识别方法及***
CN104270392B (zh) * 2014-10-24 2017-09-26 中国科学院信息工程研究所 一种基于三分类器协同训练学习的网络协议识别方法及***
CN104468262A (zh) * 2014-11-17 2015-03-25 中国科学院信息工程研究所 一种基于语义敏感的网络协议识别方法及***
CN104468262B (zh) * 2014-11-17 2017-12-15 中国科学院信息工程研究所 一种基于语义敏感的网络协议识别方法及***
CN104753934A (zh) * 2015-03-23 2015-07-01 电子科技大学 将未知协议多通信方数据流分离为点对点数据流的方法
CN104753934B (zh) * 2015-03-23 2018-01-19 电子科技大学 将未知协议多通信方数据流分离为点对点数据流的方法
CN106888136A (zh) * 2015-12-15 2017-06-23 成都网安科技发展有限公司 一种实时识别网络协议的方法
CN107809343B (zh) * 2016-09-09 2021-03-23 中国人民解放军信息工程大学 一种网络协议识别方法及装置
CN107809343A (zh) * 2016-09-09 2018-03-16 中国人民解放军信息工程大学 一种网络协议识别方法及装置
CN106850338B (zh) * 2016-12-30 2020-12-04 西可通信技术设备(河源)有限公司 一种基于语义分析的r+1类应用层协议识别方法与装置
CN106850338A (zh) * 2016-12-30 2017-06-13 西可通信技术设备(河源)有限公司 一种基于语义分析的r+1类应用层协议识别方法与装置
CN107967488B (zh) * 2017-11-28 2020-06-23 网宿科技股份有限公司 一种服务器的分类方法及分类***
CN107967488A (zh) * 2017-11-28 2018-04-27 网宿科技股份有限公司 一种服务器的分类方法及分类***
CN108650280A (zh) * 2018-08-03 2018-10-12 陕西中达公路技术服务有限公司 一种自适应多协议适配方法
CN109040081B (zh) * 2018-08-10 2020-08-04 哈尔滨工业大学(威海) 一种基于bwt的协议字段逆向分析***及方法
CN109040081A (zh) * 2018-08-10 2018-12-18 哈尔滨工业大学(威海) 一种基于bwt的协议字段逆向分析***及方法
CN109586950B (zh) * 2018-10-18 2022-08-16 锐捷网络股份有限公司 网络场景识别方法、网络管理设备、***及存储介质
CN109586950A (zh) * 2018-10-18 2019-04-05 锐捷网络股份有限公司 网络场景识别方法、网络管理设备、***及存储介质
CN109462610A (zh) * 2018-12-24 2019-03-12 哈尔滨工程大学 一种基于主动学习和迁移学习的网络入侵检测方法
CN109818929A (zh) * 2018-12-26 2019-05-28 天翼电子商务有限公司 基于主动自步学习的未知威胁感知方法、***、存储介质、终端
CN109981474A (zh) * 2019-03-26 2019-07-05 中国科学院信息工程研究所 一种面向应用软件的网络流量细粒度分类***及方法
CN110049023B (zh) * 2019-03-29 2021-11-16 中国空间技术研究院 一种基于机器学习的未知协议逆向识别方法及***
CN110049023A (zh) * 2019-03-29 2019-07-23 中国空间技术研究院 一种基于机器学习的未知协议逆向识别方法及***
CN110457465A (zh) * 2019-06-21 2019-11-15 武汉大学 一种针对未知比特流协议的分类方法
CN110661682A (zh) * 2019-09-19 2020-01-07 上海天旦网络科技发展有限公司 通用互联数据自动分析***、方法、设备
CN110661682B (zh) * 2019-09-19 2021-05-25 上海天旦网络科技发展有限公司 通用互联数据自动分析***、方法、设备
WO2021103420A1 (zh) * 2019-11-30 2021-06-03 浙江大学 一种多代理合作场景下的通信协议学习和迁移的方法
CN111144470A (zh) * 2019-12-20 2020-05-12 中国科学院信息工程研究所 一种基于深度自编码器的未知网络流量识别方法及***
CN111144470B (zh) * 2019-12-20 2022-12-16 中国科学院信息工程研究所 一种基于深度自编码器的未知网络流量识别方法及***
CN111723181A (zh) * 2020-06-17 2020-09-29 国家计算机网络与信息安全管理中心 一种基于主动学习的工控协议逆向分析方法
CN111726264B (zh) * 2020-06-18 2021-11-19 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质
CN111726264A (zh) * 2020-06-18 2020-09-29 中国电子科技集团公司第三十六研究所 网络协议变种检测方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN103297427B (zh) 2016-01-06

Similar Documents

Publication Publication Date Title
CN103297427B (zh) 一种未知网络协议识别方法及***
CN104270392A (zh) 一种基于三分类器协同训练学习的网络协议识别方法及***
CN111277578B (zh) 加密流量分析特征提取方法、***、存储介质、安全设备
CN109561322B (zh) 一种视频审核的方法、装置、设备和存储介质
CN104468262B (zh) 一种基于语义敏感的网络协议识别方法及***
CN109284606A (zh) 基于经验特征与卷积神经网络的数据流异常检测***
CN109525508B (zh) 基于流量相似性比对的加密流识别方法、装置及存储介质
CN111526099B (zh) 基于深度学习的物联网应用流量检测方法
CN110796196A (zh) 一种基于深度判别特征的网络流量分类***及方法
CN111385297A (zh) 无线设备指纹识别方法、***、设备及可读存储介质
CN107483451B (zh) 基于串并行结构网络安全数据处理方法及***、社交网络
Salman et al. Data representation for CNN based internet traffic classification: a comparative study
CN108234452B (zh) 一种网络数据包多层协议识别的***和方法
Kim et al. Deep RNN-based network traffic classification scheme in edge computing system
CN110222795A (zh) 基于卷积神经网络的p2p流量的识别方法及相关装置
Xiao et al. A traffic classification method with spectral clustering in SDN
Tang et al. HSLF: HTTP header sequence based lsh fingerprints for application traffic classification
Pekar et al. Knowledge discovery: Can it shed new light on threshold definition for heavy-hitter detection?
CN117675406A (zh) 基于幂律分割长度序列的异构任务流量智能分析方法
CN103812887A (zh) 文件开启方法以及***
CN111310796A (zh) 一种面向加密网络流的Web用户点击识别方法
Zhang et al. Multi-granularity mobile encrypted traffic classification based on fusion features
Kumar et al. Machine learning based traffic classification using low level features and statistical analysis
Zhenxiang et al. Research of P2P traffic comprehensive identification method
CN108881307B (zh) 一种面向移动终端的安全性检测方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160106

CF01 Termination of patent right due to non-payment of annual fee