CN107360159A - 一种识别异常加密流量的方法及装置 - Google Patents
一种识别异常加密流量的方法及装置 Download PDFInfo
- Publication number
- CN107360159A CN107360159A CN201710561737.4A CN201710561737A CN107360159A CN 107360159 A CN107360159 A CN 107360159A CN 201710561737 A CN201710561737 A CN 201710561737A CN 107360159 A CN107360159 A CN 107360159A
- Authority
- CN
- China
- Prior art keywords
- flow
- encryption
- encryption flow
- recognition result
- activity recognition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种识别异常加密流量的方法及装置,所述方法包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。所述装置执行上述方法。本发明实施例提供的识别异常加密流量的方法及装置,能够准确地对异常加密流量进行识别。
Description
技术领域
本发明实施例涉及数据流量识别技术领域,具体涉及一种识别异常加密流量的方法及装置。
背景技术
随着网络技术的飞速发展,互联网及相关应用出现在了我们日常生活中的每一个角落,相应的,互联网上的加密流量的种类越来越多,规模也越来越大。互联网使得人们的日常生活质量得以不断的改善和提高,但与此同时互联网也带来了越来越多的问题,例如,病毒木马大规模扩散并造成危害、大量P2P应用和流量造成的网络大规模堵塞与延迟、敌对势力利用互联网对我国重要机关单位与科研院所进行窃密与网络攻击,这些问题都急需处理。解决上述问题的一个关键是如何在复杂的真实网络环境中,准确、有效地识别各类型的加密流量,并检测出其中的异常流量。
现有技术采用基于端口的流量识别技术对异常流量进行识别,该技术方法简单且计算开销小,并且针对传统的应用具有较高的准确率。但是随着端口伪装技术以及端口跳变技术、动态端口技术和隧道技术的提出与使用,该技术方法也正逐渐失去其优势,识别准确率也在逐渐降低。
因此,如何准确地对异常加密流量进行识别,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种识别异常加密流量的方法及装置。
第一方面,本发明实施例提供一种识别异常加密流量的方法,所述方法包括:
获取加密流量文件;
对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
第二方面,本发明实施例提供一种识别异常加密流量的装置,所述装置包括:
获取单元,用于获取加密流量文件;
确定单元,用于对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
选择单元,用于根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
识别单元,用于根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
第三方面,本发明实施例提供另一种识别异常加密流量的装置,包括:处理器、存储器和总线,其中,
获取加密流量文件;
对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
获取加密流量文件;
对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
本发明实施例提供的识别异常加密流量的方法及装置,能够准确地对异常加密流量进行识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例识别异常加密流量的方法流程示意图;
图2为本发明实施例识别异常加密流量的结构示意图;
图3为本发明实施例提供的装置实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例识别异常加密流量的方法流程示意图,如图1所示,本发明实施例提供的一种识别异常加密流量的方法,包括以下步骤:
S1:获取加密流量文件。
具体的,装置获取加密流量文件。加密流量文件可以是PCAP(过程特性分析软件包)格式标准,但不作具体限定。
S2:对所述加密流量文件进行预处理,以确定加密流量对应的流量协议。
具体的,装置对所述加密流量文件进行预处理,以确定加密流量对应的流量协议。预处理的过程可以包括:将加密流量文件的格式(可以是PCAP)转换为TCP/UDP流格式;再由人工分析以确定加密流量对应的流量协议,。需要说明的是:本发明实施例通过对众多加密流量进行深入调研与学习,选取了十种广泛使用的加密流量协议作为检测和后续分析的对象,可以包括:SSH、TLS、QQ、Skype、ICQ、IPMSG、Thunder、eDonkey、uTorrent、BitTorrent这十种协议。由于不同类型的流量协议行为间往往存在较大的差异性,可以将上述十种流量协议分为四大类,并按每类流量协议独特的行为模式,设计并实现了相应的行为识别方法,四类流量协议分别为:基础加密协议(可以包括SSH、TLS)、C/S即时通信协议(可以包括QQ)、P2P即时通信协议(可以包括Skype、ICQ、IPMSG)和P2P文件传输协议(可以包括Thunder、eDonkey、uTorrent、BitTorrent)。
S3:根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别。
具体的,装置根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别。如果流量协议为基础加密协议(SSH、TLS),对基础流量协议对应的加密流量进行端口识别;由于SSH及TLS协议均是在TCP协议上层实现的公用协议,其端口号固定,故可通过判定TCP流目的端口号是否为默认的22或443(SSH:22,TLS:443)来初步判定该TCP流属性。若目的端口为22(第一识别结果),则对其执行SSH行为模式识别;若目的端口为443(第二识别结果),则对其执行TLS行为模式识别。由于SSH和TLS是端到端加密协议,可以利用的信息有流量数据包头的信息,网络中的一对节点在使用SSH通信时,首先双方会互发握手包,包中均包含SSH-2.0(包头信息中指定字符串)或SSH-1.99(包头信息中指定字符串)开头的明文字符串。随后,双方会互发秘钥及加密算法协议包,其中包含了多种加密方法套件,套件名称以明文形式存放于包负载中。依据RFC文件,SSH客户和服务程序支持ssh-dss(后续信息中指定字符串)或ssh-rsa(后续信息中指定字符串)方法,因此,具体执行SSH行为模式识别包括:如果在包头信息中包括SSH-2.0字符串或SSH-1.99字符串,并且在后续信息中包括ssh-dss字符串或ssh-rsa字符串,若上述两条件均满足,则该行为模式符合SSH协议(即:该加密流量文件的行为识别结果为正常的SSH协议),若上述两条件中,任一个不满足则该行为模式不符合SSH协议(即:该加密流量文件的行为识别结果为不正常的SSH协议)。
由于,TLS协议的行为模式与SSH协议存在一定的相似性,使用TLS协议通信的一对节点中,存在SERVER(服务器节点)和CLIENT(客户端节点)之分。在CLIENT发送的首个握手包(发送给SERVER的首个请求握手包)中,该首个握手包携带有以明文形式包含其支持的多个加密方法套件名称,SERVER可以在其中选择一个,并反馈给CLIENT方,以作为后续两者加密通信的方式。因此,具体执行TLS行为模式识别包括:获取CLIENT HELLO类型的握手包(发送给SERVER的首个请求握手包),CLIENT HELLO类型的握手包可以提供有多个加密方法套件名称。随后,在后续包中寻找是否存在类型为SERVER HELLO(针对首个请求握手包反馈的服务器节点请求握手包),且SERVER HELLO的指定字段对应有上述多个加密方法套件名称中的其中之一。若上述条件都满足,则该行为模式符合TLS协议(即:该加密流量文件的行为识别结果为正常的TLS协议),若上述条件中,任一个不满足则该行为模式不符合TLS协议(即:该加密流量文件的行为识别结果为不正常的TLS协议)。
如果流量协议为C/S即时通信协议,对C/S即时通信协议对应的加密流量进行端口识别;若识别结果为端口号8000(第三识别结果),进一步对加密流量进行行为识别。在QQ流量中,客户端会定期向服务器端请求更新当前用户的朋友列表。该类型请求包中有标识该包类型的明文字段(类型标识字段),且同样以明文形式包含了当前用户所使用的QQ账号(身份标识字段)。上述两字段(包类型的明文字段、当前用户所使用的QQ账号)在QQ的正常通信过程中所发送的所有该类请求包中保持不变,且所有该类请求包的发送的时间间隔相同,因此,具体执行C/S即时通信协议行为模式识别包括:获取标识由客户端向服务器端发送的请求包类型的类型标识字段、以及标识客户端用户身份的身份标识字段;并确定候选请求包,该候选请求包表示同一用户发送的同一类型请求包;获取发送候选请求包的时间间隔,并将时间间隔小于等于预设时间间隔阈值的候选请求包作为目标请求包;计算目标请求包的数量与同一用户发送的所有请求包总数的比值;该比值是否大于比值阈值,预设时间间隔和比值阈值可根据实际情况自主设置,若上述条件都满足,则该行为模式符合C/S即时通信加密协议(即:该加密流量的行为识别结果为正常的C/S即时通信加密协议),若上述条件中,任一个不满足则该行为模式不符合C/S即时通信加密协议(即:该加密流量文件的行为识别结果为不正常的C/S即时通信加密协议)。
若流量协议为P2P即时通信协议,对P2P即时通信协议对应的加密流量进行端口识别,若端口识别的识别结果为目标端口号2425(第四识别结果),则初步认定为该P2P即时通信协议为IPMSQ协议,获取加密流量的源地址和目的地址,并根据当前网络掩码的配置,计算源地址对应的源广播地址、目的地址对应的目的广播地址;需要说明的是:根据当前网络掩码的配置,计算对应的广播地址的方法为本领域成熟的技术,不再赘述。如果加密流量存在从源地址发送至源广播地址、且端口为2425的广播包,若上述条件都满足,则该行为模式符合P2P即时通信协议中的IPMSQ协议(即:该加密流量文件的行为识别结果为正常的P2P即时通信协议中的IPMSQ协议),若上述条件中,任一个不满足,则该行为模式不符合P2P即时通信协议中的IPMSQ协议(即:该加密流量文件的行为识别结果为不正常的P2P即时通信协议中的IPMSQ协议),同理可以确定:如果加密流量存在从目的地址发送至目的广播地址、且端口为2425的广播包,若上述条件都满足,则该行为模式符合P2P即时通信协议中的IPMSQ协议(即:该加密流量文件的行为识别结果为正常的P2P即时通信协议中的IPMSQ协议),若上述条件中,任一个不满足,则该行为模式不符合P2P即时通信协议中的IPMSQ协议(即:该加密流量文件的行为识别结果为不正常的P2P即时通信协议中的IPMSQ协议)。
若端口识别的识别结果不为目标端口号2425(第五识别结果),则获取加密流量的源地址;在加密流量中获取源地址发出的Skype DNS请求包(第一类型请求包)或ICQ DNS请求包(第二类型请求包);根据Skype DNS请求包是否包括有以下字段:“skype.com”、“skype.net”、“skypeassets.com”和“skype-cr.akadns.net”(对应的第一预设数量的第一指定字段,第一预设数量可选为4个、第一指定字段为上述4个),或ICQ DNS请求包是否包括有以下字段:“icq.net”、“icq.com”和“mail.ru”(对应的第二预设数量的第二指定字段,第二预设数量可选为3个、第二指定字段为上述3个),上述的第一预设数量、第二预设数量、第一指定字段和第二指定字段不作具体限定,将满足上述条件的Skype DNS请求包或ICQ DNS请求包作为目标Skype DNS请求包(目标第一类型请求包)或目标ICQ DNS请求包(目标第二类型请求包);根据目标Skype DNS请求包或目标ICQ DNS请求包的发送数量是否大于数量阈值(数量阈值可自主设置,可选为2个),且每个目标Skype DNS请求包或每个目标ICQ DNS请求包所包括的字节数是否小于字节数阈值(字节数阈值可自主设置,可选为170字节),若上述条件都满足(包括确定目标Skype DNS请求包或目标ICQ DNS请求包),则该行为模式符合P2P即时通信协议中的Skype或ICQ协议(即:该加密流量文件的行为识别结果为正常的P2P即时通信协议中的Skype或ICQ协议),若上述条件中,任一个不满足,则该行为模式不符合P2P即时通信协议中的Skype或ICQ协议(即:该加密流量文件的行为识别结果为不正常的P2P即时通信协议中的Skype或ICQ协议)。
若流量协议为P2P文件传输协议,获取P2P文件传输协议对应的加密流量中的每两个IP地址间的所有通信报文;根据所有通信报文是否包括TCP和UDP报文,且UDP报文长度是否都在82个字节(第一预设字节数)到85个字节(第二预设字节数)之间、UDP报文是否都是沿从传送方到接收方的同一方向发送、每个UDP报文的到达时间间隔是否为预设值是否为预设值(预设值可选为6秒,不作具体限定),若上述条件都满足,则该行为模式符合P2P文件传输协议中的Thunder协议(即:该加密流量文件的行为识别结果为正常的P2P文件传输协议中的Thunder协议),若上述条件中,任一个不满足,则该行为模式不符合P2P文件传输协议中的Thunder协议(即:该加密流量文件的行为识别结果为不正常的P2P文件传输协议中的Thunder协议)。
或,
若满足所有通信报文都包括TCP、UDP和eDonkey报文,则该行为模式符合P2P文件传输协议中的eDonkey协议(即:该加密流量文件的行为识别结果为正常的P2P文件传输协议中的eDonkey协议),若不满足,则该行为模式不符合P2P文件传输协议中的eDonkey协议(即:该加密流量文件的行为识别结果为不正常的P2P文件传输协议中的eDonkey协议)。
或,
若满足所有通信报文都包括TCP、UDP和BitTorrent报文,且TCP报文数量多于UDP报文数量,则该行为模式符合P2P文件传输协议中的BitTorrent协议(即:该加密流量文件的行为识别结果为正常的P2P文件传输协议中的BitTorrent协议);若满足所有通信报文都包括TCP、UDP和BitTorrent报文,且TCP报文数量少于UDP报文数量,则该行为模式符合P2P文件传输协议中的uTorrent协议(即:该加密流量文件的行为识别结果为正常的P2P文件传输协议中的uTorrent协议),若不满足上述条件,则确定加密流量文件的行为识别结果为不正常的P2P文件传输协议。
S4:根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
具体的,装置根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。加密流量的机器学习识别是通过提取加密流量的特定特征集,并基于训练好的分类模型,来判断加密流量的具体类型。本发明实施例精选出了部分不易受外界环境影响的特征,作为加密流量的特征库,如表1所示:
表1
| 编号 | 名称 | 描述 |
| 1 | min_fpktl | 前向子流中的最小包长度(字节数,下方均相同) |
| 2 | mean_fpktl | 前向子流中包长度的均值 |
| 3 | max_fpktl | 前向子流中包长度的最大值 |
| 4 | std_fpktl | 前向子流中包长度的标准差 |
| 5 | min_bpktl | 后向子流中的最小包长度 |
| 6 | mean_bpktl | 后向子流中包长度的均值 |
| 7 | max_bpktl | 后向子流中包长度的最大值 |
| 8 | std_bpktl | 后向子流中包长度的标准差 |
| 9 | min_fiat | 前向子流中包间时间差的最小值(微秒计,下相同) |
| 10 | mean_fiat | 前向子流中包间时间差的均值 |
| 11 | max_fiat | 前向子流中包间时间差的最大值 |
| 12 | std_fiat | 前向子流中包间时间差的标准差 |
| 13 | min_biat | 后向子流中包间时间差的最小值 |
| 14 | mean_biat | 后向子流中包间时间差的均值 |
| 15 | max_biat | 后向子流中包间时间差的最大值 |
| 16 | std_biat | 后向子流中包间时间差的标准差 |
针对根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量具体说明如下:
若行为识别的识别结果与机器学习的识别结果不一致,则确定加密流量为异常加密流量。若行为识别的识别结果与机器学习的识别结果相一致,则确定加密流量为正常加密流量。该识别异常加密流量的方法还可以包括以下步骤、以获取加密流量文件中的正常加密流量:
获取加密流量文件的所有加密流量;将所有加密流量与已获得的异常加密流量相减,以获得加密流量文件中的正常加密流量。
下面结合表2举例说明异常加密流量的识别如下:
表2
参照表2第一行:行为模式识别结果为Thunder(符合P2P文件传输协议中的Thunder协议),机器学习识别结果为P2P文件下载流量,二者的识别结果相一致,则确定该加密流量为正常P2P文件下载流量-Thunder。
参照表2第五行:行为模式识别结果为非P2P文件下载流量(不符合P2P文件传输协议),机器学习识别结果为P2P文件下载流量,二者的识别结果不一致,则确定该加密流量为异常P2P文件下载流量。
参照表2第六行:行为模式识别结果为Thunder(符合P2P文件传输协议中的Thunder协议),机器学习识别结果为非P2P文件下载流量,二者的识别结果不一致,则确定该加密流量为异常P2P文件下载流量。
参照表2第十行:行为模式识别结果为非P2P文件下载流量(不符合P2P文件传输协议),机器学习识别结果为非P2P文件下载流量,二者的识别结果相一致,则确定该加密流量为正常非P2P文件下载流量。
本发明实施例提供的识别异常加密流量的方法,能够准确地对异常加密流量进行识别。
在上述实施例的基础上,所述流量协议的类型包括基础加密协议、C/S即时通信协议、P2P即时通信协议和P2P文件传输协议,相应的,所述根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别,包括:
若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别。
具体的,装置若判断获知所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别。可参照上述实施例,不再赘述。
或,
若所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别。
具体的,装置若判断获知所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别。可参照上述实施例,不再赘述。
或,
若所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别。
具体的,装置若判断获知所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别。可参照上述实施例,不再赘述。
或,
若所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别。
具体的,装置若判断获知所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别。可参照上述实施例,不再赘述。
本发明实施例提供的识别异常加密流量的方法,通过对不同加密流量协议类型对应的加密流量分别进行行为识别,能够更加准确地对异常加密流量进行识别。
在上述实施例的基础上,所述若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别。
具体的,装置对所述加密流量进行端口识别。
若端口识别的识别结果为第一识别结果,则根据所述加密流量的包头信息和后续信息是否包括有指定字符串,确定所述加密流量的行为识别结果。
具体的,装置若判断获知端口识别的识别结果为第一识别结果,则根据所述加密流量的包头信息和后续信息是否包括有指定字符串,确定所述加密流量的行为识别结果。
或,
若端口识别的识别结果为第二识别结果,则获取所述基础加密协议中的客户端节点在发送首个请求握手包过程中所提供的加密方法套件名称。
具体的,装置若判断获知端口识别的识别结果为第二识别结果,则获取所述基础加密协议中的客户端节点在发送首个请求握手包过程中所提供的加密方法套件名称。
在所述基础加密协议中的服务器节点与所述客户端节点进行后续数据传输的过程中,根据所述服务器节点是否向所述客户端节点发送过针对所述首个请求握手包反馈的服务器节点请求握手包,且所述服务器节点请求握手包的指定字段是否对应有所述加密方法套件名称,确定所述加密流量的行为识别结果。
具体的,装置在所述基础加密协议中的服务器节点与所述客户端节点进行后续数据传输的过程中,根据所述服务器节点是否向所述客户端节点发送过针对所述首个请求握手包反馈的服务器节点请求握手包,且所述服务器节点请求握手包的指定字段是否对应有所述加密方法套件名称,确定所述加密流量的行为识别结果。
本发明实施例提供的识别异常加密流量的方法,通过对基础加密协议对应的加密流量进行行为识别,能够准确地对异常加密流量进行识别。
在上述实施例的基础上,所述若所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别。
具体的,装置对所述加密流量进行端口识别。可参照上述实施例,不再赘述。
若端口识别的识别结果为第三识别结果,获取标识由客户端向服务器端发送的请求包类型的类型标识字段、以及标识所述客户端用户身份的身份标识字段;其中,请求包为所述客户端向所述服务器端发送的更新当前用户的朋友列表请求。
具体的,装置若判断获知端口识别的识别结果为第三识别结果,获取标识由客户端向服务器端发送的请求包类型的类型标识字段、以及标识所述客户端用户身份的身份标识字段;其中,请求包为所述客户端向所述服务器端发送的更新当前用户的朋友列表请求。可参照上述实施例,不再赘述。
根据所述类型标识字段和所述身份标识字段,确定候选请求包,所述候选请求包表示同一用户发送的同一类型请求包。
具体的,装置根据所述类型标识字段和所述身份标识字段,确定候选请求包,所述候选请求包表示同一用户发送的同一类型请求包。可参照上述实施例,不再赘述。
获取发送所述候选请求包的时间间隔,并将所述时间间隔小于等于预设时间间隔阈值的候选请求包作为目标请求包。
具体的,装置获取发送所述候选请求包的时间间隔,并将所述时间间隔小于等于预设时间间隔阈值的候选请求包作为目标请求包。可参照上述实施例,不再赘述。
计算所述目标请求包的数量与同一用户发送的所有请求包总数的比值。
具体的,装置计算所述目标请求包的数量与同一用户发送的所有请求包总数的比值。可参照上述实施例,不再赘述。
根据所述比值是否大于比值阈值,确定所述加密流量的行为识别结果。
具体的,装置根据所述比值是否大于比值阈值,确定所述加密流量的行为识别结果。可参照上述实施例,不再赘述。
本发明实施例提供的识别异常加密流量的方法,通过对C/S即时通信协议对应的加密流量进行行为识别,能够准确地对异常加密流量进行识别。
在上述实施例的基础上,所述若所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别。
具体的,装置对所述加密流量进行端口识别。可参照上述实施例,不再赘述。
若端口识别的识别结果为第四识别结果,则获取所述加密流量的源地址和目的地址,并根据当前网络掩码的配置,计算所述源地址对应的源广播地址、所述目的地址对应的目的广播地址。
具体的,装置若判断获知端口识别的识别结果为第四识别结果,则获取所述加密流量的源地址和目的地址,并根据当前网络掩码的配置,计算所述源地址对应的源广播地址、所述目的地址对应的目的广播地址。可参照上述实施例,不再赘述。
根据所述加密流量文件是否存在从所述源地址发送至所述源广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果。
具体的,装置根据所述加密流量文件是否存在从所述源地址发送至所述源广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果。可参照上述实施例,不再赘述。
或,
根据所述加密流量是否存在从所述目的地址发送至所述目的广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果。
具体的,装置根据所述加密流量是否存在从所述目的地址发送至所述目的广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果。可参照上述实施例,不再赘述。
本发明实施例提供的识别异常加密流量的方法,通过对P2P即时通信协议对应的加密流量进行行为识别,能够准确地对异常加密流量进行识别。
在上述实施例的基础上,所述方法还包括:
若端口识别的识别结果不为所述第四识别结果,则获取所述加密流量的源地址。
具体的,装置若判断获知端口识别的识别结果不为所述第四识别结果,则获取所述加密流量的源地址。
在所述加密流量中获取所述源地址发出的第一类型请求包或第二类型请求包。
具体的,装置在所述加密流量中获取所述源地址发出的第一类型请求包或第二类型请求包。
根据所述第一类型请求包是否包括有对应的第一预设数量的第一指定字段,或所述第二类型请求包是否包括有对应的第二预设数量的第二指定字段,确定目标第一类型请求包或目标第二类型请求包。
具体的,装置根据所述第一类型请求包是否包括有对应的第一预设数量的第一指定字段,或所述第二类型请求包是否包括有对应的第二预设数量的第二指定字段,确定目标第一类型请求包或目标第二类型请求包。
根据所述目标第一类型请求包或所述目标第二类型请求包的发送数量是否大于数量阈值,且每个目标第一类型请求包或每个目标第二类型请求包所包括的字节数是否小于字节数阈值,确定所述加密流量的行为识别结果。
具体的,装置根据所述目标第一类型请求包或所述目标第二类型请求包的发送数量是否大于数量阈值,且每个目标第一类型请求包或每个目标第二类型请求包所包括的字节数是否小于字节数阈值,确定所述加密流量的行为识别结果。
本发明实施例提供的识别异常加密流量的方法,进一步通过对P2P即时通信协议对应的加密流量进行行为识别,能够准确地对异常加密流量进行识别。
在上述实施例的基础上,所述若所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别,包括:
获取所述加密流量中的每两个IP地址间的所有通信报文。
具体的,装置获取所述加密流量中的每两个IP地址间的所有通信报文。
根据所述所有通信报文是否包括TCP和UDP报文,且所述UDP报文长度是否都在第一预设字节数到第二预设字节数之间、所述UDP报文是否都是沿从传送方到接收方的同一方向发送、每个UDP报文的到达时间间隔是否为预设值,确定所述加密流量的行为识别结果。
具体的,装置根据所述所有通信报文是否包括TCP和UDP报文,且所述UDP报文长度是否都在第一预设字节数到第二预设字节数之间、所述UDP报文是否都是沿从传送方到接收方的同一方向发送、每个UDP报文的到达时间间隔是否为预设值,确定所述加密流量的行为识别结果。
本发明实施例提供的识别异常加密流量的方法,通过对P2P文件传输协议对应的加密流量进行行为识别,能够准确地对异常加密流量进行识别。
图2为本发明实施例识别异常加密流量的装置结构示意图,如图2所示,本发明实施例提供了一种识别异常加密流量的装置,包括获取单元1、确定单元2、选择单元3和识别单元4,其中:
获取单元1用于获取加密流量文件;确定单元2用于对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;选择单元3用于根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;识别单元4用于根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
具体的,获取单元1用于获取加密流量文件;确定单元2用于对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;选择单元3用于根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;识别单元4用于根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
本发明实施例提供的识别异常加密流量的装置,能够准确地对异常加密流量进行识别。
本发明实施例提供的识别异常加密流量的装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图3为本发明实施例提供的装置实体结构示意图,如图3所示,所述装置包括:处理器(processor)301、存储器(memory)302和总线303;
其中,所述处理器301、存储器302通过总线303完成相互间的通信;
所述处理器301用于调用所述存储器302中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取加密流量文件;对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (10)
1.一种识别异常加密流量的方法,其特征在于,包括:
获取加密流量文件;
对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
2.根据权利要求1所述的方法,其特征在于,所述流量协议的类型包括基础加密协议、C/S即时通信协议、P2P即时通信协议和P2P文件传输协议,相应的,所述根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别,包括:
若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别;
或,
若所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别;
或,
若所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别;
或,
若所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别。
3.根据权利要求2所述的方法,其特征在于,所述若所述流量协议为所述基础加密协议,选择相对应的第一行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别;
若端口识别的识别结果为第一识别结果,则根据所述加密流量的包头信息和后续信息是否包括有指定字符串,确定所述加密流量的行为识别结果;
或,
若端口识别的识别结果为第二识别结果,则获取所述基础加密协议中的客户端节点在发送首个请求握手包过程中所提供的加密方法套件名称;
在所述基础加密协议中的服务器节点与所述客户端节点进行后续数据传输的过程中,根据所述服务器节点是否向所述客户端节点发送过针对所述首个请求握手包反馈的服务器节点请求握手包,且所述服务器节点请求握手包的指定字段是否对应有所述加密方法套件名称,确定所述加密流量的行为识别结果。
4.根据权利要求2所述的方法,其特征在于,所述若所述流量协议为所述C/S即时通信协议,选择相对应的第二行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别;
若端口识别的识别结果为第三识别结果,获取标识由客户端向服务器端发送的请求包类型的类型标识字段、以及标识所述客户端用户身份的身份标识字段;其中,请求包为所述客户端向所述服务器端发送的更新当前用户的朋友列表请求;
根据所述类型标识字段和所述身份标识字段,确定候选请求包,所述候选请求包表示同一用户发送的同一类型请求包;
获取发送所述候选请求包的时间间隔,并将所述时间间隔小于等于预设时间间隔阈值的候选请求包作为目标请求包;
计算所述目标请求包的数量与同一用户发送的所有请求包总数的比值;
根据所述比值是否大于比值阈值,确定所述加密流量的行为识别结果。
5.根据权利要求2所述的方法,其特征在于,所述若所述流量协议为所述P2P即时通信协议,选择相对应的第三行为识别规则对所述加密流量进行行为识别,包括:
对所述加密流量进行端口识别;
若端口识别的识别结果为第四识别结果,则获取所述加密流量的源地址和目的地址,并根据当前网络掩码的配置,计算所述源地址对应的源广播地址、所述目的地址对应的目的广播地址;
根据所述加密流量文件是否存在从所述源地址发送至所述源广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果;
或,
根据所述加密流量是否存在从所述目的地址发送至所述目的广播地址、且端口为所述第四识别结果的广播包,确定所述加密流量的行为识别结果。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若端口识别的识别结果不为所述第四识别结果,则获取所述加密流量的源地址;
在所述加密流量中获取所述源地址发出的第一类型请求包或第二类型请求包;
根据所述第一类型请求包是否包括有对应的第一预设数量的第一指定字段,或所述第二类型请求包是否包括有对应的第二预设数量的第二指定字段,确定目标第一类型请求包或目标第二类型请求包;
根据所述目标第一类型请求包或所述目标第二类型请求包的发送数量是否大于数量阈值,且每个目标第一类型请求包或每个目标第二类型请求包所包括的字节数是否小于字节数阈值,确定所述加密流量的行为识别结果。
7.根据权利要求2所述的方法,其特征在于,所述若所述流量协议为所述P2P文件传输协议,选择相对应的第四行为识别规则对所述加密流量进行行为识别,包括:
获取所述加密流量中的每两个IP地址间的所有通信报文;
根据所述所有通信报文是否包括TCP和UDP报文,且所述UDP报文长度是否都在第一预设字节数到第二预设字节数之间、所述UDP报文是否都是沿从传送方到接收方的同一方向发送、每个UDP报文的到达时间间隔是否为预设值,确定所述加密流量的行为识别结果。
8.一种识别异常加密流量的装置,其特征在于,包括:
获取单元,用于获取加密流量文件;
确定单元,用于对所述加密流量文件进行预处理,以确定加密流量对应的流量协议;
选择单元,用于根据所述流量协议的类型,选择相对应的行为识别规则对所述加密流量进行行为识别;
识别单元,用于根据行为识别的识别结果、预先获得的所述加密流量的机器学习识别结果和预设规则,识别异常加密流量。
9.一种识别异常加密流量的装置,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710561737.4A CN107360159B (zh) | 2017-07-11 | 2017-07-11 | 一种识别异常加密流量的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710561737.4A CN107360159B (zh) | 2017-07-11 | 2017-07-11 | 一种识别异常加密流量的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107360159A true CN107360159A (zh) | 2017-11-17 |
| CN107360159B CN107360159B (zh) | 2019-12-03 |
Family
ID=60292363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710561737.4A Active CN107360159B (zh) | 2017-07-11 | 2017-07-11 | 一种识别异常加密流量的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360159B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
| CN108881306A (zh) * | 2018-08-08 | 2018-11-23 | 西安交通大学 | 一种基于数据包大小序列的加密流量分析防御方法 |
| CN109547489A (zh) * | 2018-12-31 | 2019-03-29 | 南京理工大学 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
| CN109672687A (zh) * | 2018-12-31 | 2019-04-23 | 南京理工大学 | 基于可疑度评估的http混淆流量检测方法 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| WO2019140789A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN110708341A (zh) * | 2019-11-15 | 2020-01-17 | 中国科学院信息工程研究所 | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及*** |
| CN110999256A (zh) * | 2018-05-23 | 2020-04-10 | Oppo广东移动通信有限公司 | 通信方法、终端设备和核心网络设备 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN112019500A (zh) * | 2020-07-15 | 2020-12-01 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
| CN112367292A (zh) * | 2020-10-10 | 2021-02-12 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112422589A (zh) * | 2021-01-25 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 域名***请求的识别方法、存储介质及电子设备 |
| CN113595967A (zh) * | 2020-04-30 | 2021-11-02 | 深信服科技股份有限公司 | 数据识别方法、设备、存储介质及装置 |
| CN113645176A (zh) * | 2020-05-11 | 2021-11-12 | 北京观成科技有限公司 | 一种检测伪造流量的方法、装置及电子设备 |
| CN114465962A (zh) * | 2019-09-16 | 2022-05-10 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
| CN114584371A (zh) * | 2022-03-04 | 2022-06-03 | 桀安信息安全技术(上海)有限公司 | 一种加密流量行为检测的方法、***及装置 |
| CN114866301A (zh) * | 2022-04-25 | 2022-08-05 | 中国科学院信息工程研究所 | 基于直推图的加密流量识别与分类方法及*** |
| CN117955734A (zh) * | 2024-03-21 | 2024-04-30 | 道普信息技术有限公司 | 一种加密协议的pcap元数据再分析方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测*** |
| CN104135474A (zh) * | 2014-07-18 | 2014-11-05 | 国家计算机网络与信息安全管理中心 | 基于主机出入度的网络异常行为检测方法 |
| US20150172300A1 (en) * | 2013-12-17 | 2015-06-18 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
-
2017
- 2017-07-11 CN CN201710561737.4A patent/CN107360159B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测*** |
| US20150172300A1 (en) * | 2013-12-17 | 2015-06-18 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
| CN104135474A (zh) * | 2014-07-18 | 2014-11-05 | 国家计算机网络与信息安全管理中心 | 基于主机出入度的网络异常行为检测方法 |
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019140789A1 (zh) * | 2018-01-16 | 2019-07-25 | Oppo广东移动通信有限公司 | 一种数据验证方法、网络设备、ue及计算机存储介质 |
| CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
| CN110999256A (zh) * | 2018-05-23 | 2020-04-10 | Oppo广东移动通信有限公司 | 通信方法、终端设备和核心网络设备 |
| CN108881306A (zh) * | 2018-08-08 | 2018-11-23 | 西安交通大学 | 一种基于数据包大小序列的加密流量分析防御方法 |
| CN108881306B (zh) * | 2018-08-08 | 2020-04-28 | 西安交通大学 | 一种基于数据包大小序列的加密流量分析防御方法 |
| CN109672687B (zh) * | 2018-12-31 | 2021-04-13 | 南京理工大学 | 基于可疑度评估的http混淆流量检测方法 |
| CN109547489A (zh) * | 2018-12-31 | 2019-03-29 | 南京理工大学 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
| CN109547489B (zh) * | 2018-12-31 | 2021-08-03 | 南京理工大学 | 一种针对Obfuscated-Openssh协议流量的检测方法 |
| CN109672687A (zh) * | 2018-12-31 | 2019-04-23 | 南京理工大学 | 基于可疑度评估的http混淆流量检测方法 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN114465962B (zh) * | 2019-09-16 | 2024-01-05 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
| US11838215B2 (en) | 2019-09-16 | 2023-12-05 | Huawei Technologies Co., Ltd. | Data stream classification method and related device |
| CN114465962A (zh) * | 2019-09-16 | 2022-05-10 | 华为技术有限公司 | 一种数据流类型识别方法及相关设备 |
| CN110708341A (zh) * | 2019-11-15 | 2020-01-17 | 中国科学院信息工程研究所 | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及*** |
| CN110708341B (zh) * | 2019-11-15 | 2020-09-29 | 中国科学院信息工程研究所 | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及*** |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111010409B (zh) * | 2020-01-07 | 2021-08-17 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN113595967A (zh) * | 2020-04-30 | 2021-11-02 | 深信服科技股份有限公司 | 数据识别方法、设备、存储介质及装置 |
| CN113645176A (zh) * | 2020-05-11 | 2021-11-12 | 北京观成科技有限公司 | 一种检测伪造流量的方法、装置及电子设备 |
| CN113645176B (zh) * | 2020-05-11 | 2023-08-08 | 北京观成科技有限公司 | 一种检测伪造流量的方法、装置及电子设备 |
| CN112019500A (zh) * | 2020-07-15 | 2020-12-01 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
| CN112019500B (zh) * | 2020-07-15 | 2021-11-23 | 中国科学院信息工程研究所 | 一种基于深度学习的加密流量识别方法及电子装置 |
| CN112367292B (zh) * | 2020-10-10 | 2021-09-03 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112367292A (zh) * | 2020-10-10 | 2021-02-12 | 浙江大学 | 一种基于深度字典学习的加密流量异常检测方法 |
| CN112422589B (zh) * | 2021-01-25 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 域名***请求的识别方法、存储介质及电子设备 |
| CN112422589A (zh) * | 2021-01-25 | 2021-02-26 | 腾讯科技(深圳)有限公司 | 域名***请求的识别方法、存储介质及电子设备 |
| CN114584371A (zh) * | 2022-03-04 | 2022-06-03 | 桀安信息安全技术(上海)有限公司 | 一种加密流量行为检测的方法、***及装置 |
| CN114866301A (zh) * | 2022-04-25 | 2022-08-05 | 中国科学院信息工程研究所 | 基于直推图的加密流量识别与分类方法及*** |
| CN117955734A (zh) * | 2024-03-21 | 2024-04-30 | 道普信息技术有限公司 | 一种加密协议的pcap元数据再分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107360159B (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360159A (zh) | 一种识别异常加密流量的方法及装置 | |
| US20200012785A1 (en) | Self-adaptive application programming interface level security monitoring | |
| CN108551443A (zh) | 一种应用登录方法、装置、终端设备及存储介质 | |
| CN106656849B (zh) | 报文限速方法及装置 | |
| CN105790960B (zh) | 流量识别方法和***、流量网关 | |
| US9813442B2 (en) | Server grouping system | |
| CN107566150A (zh) | 处理云资源的方法和物理节点 | |
| CN104601467B (zh) | 一种发送报文的方法和装置 | |
| CN105915529B (zh) | 一种报文生成方法及装置 | |
| CN108268575A (zh) | 标注信息的处理方法、装置和*** | |
| CN111953552B (zh) | 数据流的分类方法和报文转发设备 | |
| EP2820573A1 (en) | Method and apparatus of user recognition and information distribution | |
| CN104994016A (zh) | 用于分组分类的方法和装置 | |
| CN109818997A (zh) | 一种负载均衡方法、***及存储介质 | |
| CN103905482B (zh) | 推送信息的方法、推送服务器和*** | |
| CN108462615A (zh) | 一种网络用户分组方法和装置 | |
| CN109327479A (zh) | 加密流的识别方法及装置 | |
| WO2022067539A1 (zh) | 网络流量处理方法、装置、存储介质及计算机设备 | |
| CN104660592B (zh) | 一种基于安全套接层协议特征的负载分发方法 | |
| CN102904823A (zh) | 一种基于存储器的多用户多业务的精确流量控制方法 | |
| CN104184723B (zh) | 一种应用程序识别方法、装置和网络设备 | |
| CN105184559B (zh) | 一种支付***及方法 | |
| CN105281987B (zh) | 路由器及数据上传方法、装置、*** | |
| CN106716974A (zh) | 访问分发方法、装置及*** | |
| CN108156273A (zh) | 一种匿名用户id生成方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |