CN110113349A - 一种恶意加密流量特征分析方法 - Google Patents
一种恶意加密流量特征分析方法 Download PDFInfo
- Publication number
- CN110113349A CN110113349A CN201910402969.4A CN201910402969A CN110113349A CN 110113349 A CN110113349 A CN 110113349A CN 201910402969 A CN201910402969 A CN 201910402969A CN 110113349 A CN110113349 A CN 110113349A
- Authority
- CN
- China
- Prior art keywords
- feature
- flow
- certificate
- tuple
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种恶意加密流量特征分析方法,属于网络安全和机器学习的交叉领域,用于分析HTTPS流量并检测其中的恶意威胁。本发明将流量数据以连接四元组为数据结构进行数据建模,并以连接四元组为单位从四个层次分析加密流量,提取连接四元组的流级特征、TLS握手特征、X.509证书特征和上下文特征,得到初始特征集。本发明采用基于决策树的递归式特征消除方法对初始特征集进行筛选得到最优特征集用于机器学习模型训练得到恶意加密流量检测模型。
Description
技术领域:
本发明属于网络安全和机器学习的交叉领域,涉及一种恶意加密流量特征分析方法。
背景技术:
全球互联网走向全面加密时代已经是大势所趋。加密技术能够保障通讯安全和用户隐私,越来越多的企业服务和应用软件将加密技术作为确保信息安全的主要手段。然而加密流量也给安全领域带来了新的挑战和威胁。通过加密通道,攻击者能够绕过检测***实施恶意侵害。
由于利用流量元数据的机器学习算法受流量是否加密的影响较小,因此,利用以流量元数据为特征的机器学习算法成为加密流量识别研究的重点。然而,现有的基于机器学习的恶意加密流量检测方法存在着许多问题,在实际应用上进展缓慢。
主要原因之一是机器学习方法的训练效果依赖于流量特征的提取,但是目前对于恶意加密流量特征的研究还不够全面,往往根据经验和专家知识提取特征,提取出的特征效果难以得到保证,使得机器学习方法无法发挥最好的效果。
因此,在当前越来越多的恶意攻击采取加密手段的情况下,实现一种高效的恶意加密流量特征分析方法对基于机器学习的恶意加密流量检测具有重要的意义。
发明内容:
为了解决现有方法在难以有效提取恶意加密流量特征和对于提取特征进行优化选择等方面问题,本发明以连接四元组为基本单位,在四个层次上全面分析加密流量,尤其是HTTPS流量。本发明将HTTPS流量特征划分成流级特征,TLS握手特征,X.509证书特征和上下文特征四大类,利用基于决策树的递归式特征消除方法对流量特征做进一步的优化筛选,得到实际用于训练模型的样本数据。
本发明所采用的技术方案:
本发明以连接四元组为单位对加密流量数据进行预处理,连接四元组以源IP地址、目的IP地址、目的端口号和传输层协议为关键字索引,包含了网络中一对通信双方的所有HTTPS流以及相应的DNS流。
本发明以连接四元组为数据结构提取相应的流量特征。流量特征分为流级特征,TLS握手特征,X.509证书特征和上下文特征四大类。流级特征说明流量的行为特征和连接模式,TLS握手特征说明加密流量使用的TLS/SSL协议属性,X.509证书特征说明网络通信双方的认证信息,上下文特征说明HTTPS流的相应DNS流信息。连接四元组的流量特征集合构成了初始特征集。
本发明对初始特征集利用基于决策树的递归式特征消除方法进行筛选,得到最优特征子集。最优特征子集和连接四元组的标签集合构成用于机器学习方法的训练样本。
本发明的有益效果是,本发明实现了一种高效的恶意加密流量特征分析方法,利用该方法对加密流量进行特征分析,应用随机森林和梯度提升树两种机器学习算法训练模型,得到的恶意加密流量检测模型在测试样本上的准确率,精确率和召回率均高达100%,漏报率和误报率均为0%。本发明应用的基于决策树的递归式特征消除方法能够对流量特征的重要性进行排序,并且训练结果能够以决策树的形式直观展示判断恶意加密流量的依据,具有良好的可解释性。
附图说明:
图1是本发明的连接四元组结构图;
图2是本发明特征分析流程图。
具体实施方式:
【实施例1】
本发明使用流量分析检测工具对采集的流量数据文件进行数据清洗,过滤出加密流量,并且根据数据集中已有的流量标签文件对流量进行标记,标记分为恶意流量、正常流量和背景流量。过滤背景流量,以连接四元组为单位对过滤出的流量数据进行预处理,将将源IP地址、目的IP地址、目的端口号和传输层协议相同的HTTPS流以及相应的上下文流量DNS流加入对应的连接四元组结构中。
【实施例2】
本发明以连接四元组为单位对流量进行分析,提取出相应的流级特征,TLS握手特征,证书特征和上下文特征。四大类流量特征具体如下:
(1)流级特征
流到达间隔时间的平均值、最大值、标准差,连接持续时间的平均值、最大值、标准差,数据包大小的平均值,数据包个数的平均值,发送与接收的数据包大小比例,发送与接收的数据包个数比例,丢包数,正常连接状态的比例。
(2)TLS握手特征
TLS/SSL协议版本,TLS握手阶段客户端提供的加密组件和扩展,TLS握手阶段服务器选择的加密组件和扩展,TLS重新连接时是否使用之前的密钥,包含SNI的HTTPS流比例。
(3)X.509证书特征
X.509证书是否自签名,证书包含的公钥长度,证书使用的密码算法和密码类型,证书签名算法,证书有效期以及剩余有效时间占总有效期的比例,证书的SAN支持的域名个数,证书的使用者和签发者的CN、O、L、ST字段,可信证书链长度。
(4)上下文特征
HTTPS流相应的DNS流的TTL,DNS请求字段的域名长度的平均值和标准差,DNS应答字段的IP地址个数。
本发明的连接四元组的流量特征集合形成初始特征集。
【实施例3】
本发明利用基于决策树的递归式特征消除方法对上述的初始特征集进行特征选择。递归式特征消除方法对初始特征集在模型训练时的重要性进行排序,每经过一轮训练将重要性最低的特征剔除,形成新的特征集,然后在新的特征集上进行训练,重复上述过程直至剩余特征集的规模达到阈值,生成最优特征集。最优特征集与样本标签形成训练样本。
【实施例4】
本发明应用机器学习算法对最优特征集的效果进行评估测试。本发明将训练样本划分成训练集和测试集。在训练集上应用随机森林和梯度提升树两种算法训练模型,得到恶意加密流量检测模型。本发明在测试集上对恶意加密流量模型进行分析验证,评估训练效果。本发明使用的评估指标包括训练速度、准确率、精确率、召回率、F1值、漏报率和误报率。
Claims (6)
1.一种恶意加密流量特征分析方法,其特征在于:以连接四元组为基本单位,在四个层次上全面分析加密流量;将HTTPS流量特征划分成流级特征,TLS握手特征,X.509证书特征和上下文特征四大类,流级特征说明流量的行为特征和连接模式,TLS握手特征说明加密流量使用的TLS/SSL协议属性,X.509证书特征说明网络通信双方的认证信息,上下文特征说明HTTPS流的相应DNS流信息;连接四元组的流量特征集合构成了初始特征集;利用基于决策树的递归式特征消除方法对流量特征做筛选,得到最优特征子集;最优特征子集和连接四元组的标签集合构成用于机器学习方法的训练样本。
2.根据权利要求1所述的一种恶意加密流量特征分析方法,其特征在于:
以连接四元组为单位对加密流量数据进行预处理,连接四元组以源IP地址、目的IP地址、目的端口号和传输层协议为关键字索引,包含了网络中一对通信双方的所有HTTPS流以及相应的DNS流。
3.根据权利要求1所述的一种恶意加密流量特征分析方法,其特征在于:
使用流量分析检测工具对采集的流量数据文件进行数据清洗,过滤出加密流量,并且根据数据集中已有的流量标签文件对流量进行标记,标记分为恶意流量、正常流量和背景流量;过滤背景流量,以连接四元组为单位对过滤出的流量数据进行预处理,将将源IP地址、目的IP地址、目的端口号和传输层协议相同的HTTPS流以及相应的上下文流量DNS流加入对应的连接四元组结构中。
4.根据权利要求1所述的一种恶意加密流量特征分析方法,其特征在于,四大类流量特征具体如下:
(1)流级特征
流到达间隔时间的平均值、最大值、标准差,连接持续时间的平均值、最大值、标准差,数据包大小的平均值,数据包个数的平均值,发送与接收的数据包大小比例,发送与接收的数据包个数比例,丢包数,正常连接状态的比例;
(2)TLS握手特征
TLS/SSL协议版本,TLS握手阶段客户端提供的加密组件和扩展,TLS握手阶段服务器选择的加密组件和扩展,TLS重新连接时是否使用之前的密钥,包含SNI的HTTPS流比例;
(3)X.509证书特征
X.509证书是否自签名,证书包含的公钥长度,证书使用的密码算法和密码类型,证书签名算法,证书有效期以及剩余有效时间占总有效期的比例,证书的SAN支持的域名个数,证书的使用者和签发者的CN、O、L、ST字段,可信证书链长度;
(4)上下文特征
HTTPS流相应的DNS流的TTL,DNS请求字段的域名长度的平均值和标准差,DNS应答字段的IP地址个数。
5.根据权利要求1所述的一种恶意加密流量特征分析方法,其特征在于:
利用基于决策树的递归式特征消除方法对上述的初始特征集进行特征选择;递归式特征消除方法对初始特征集在模型训练时的重要性进行排序,每经过一轮训练将重要性最低的特征剔除,形成新的特征集,然后在新的特征集上进行训练,重复上述过程直至剩余特征集的规模达到阈值,生成最优特征集;最优特征集与样本标签形成训练样本。
6.根据权利要求1所述的一种恶意加密流量特征分析方法,其特征在于:
应用机器学习算法对最优特征集的效果进行评估测试;将训练样本划分成训练集和测试集;在训练集上应用随机森林和梯度提升树两种算法训练模型,得到恶意加密流量检测模型;在测试集上对恶意加密流量模型进行分析验证,评估训练效果;使用的评估指标包括训练速度、准确率、精确率、召回率、F1值、漏报率和误报率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910402969.4A CN110113349A (zh) | 2019-05-15 | 2019-05-15 | 一种恶意加密流量特征分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910402969.4A CN110113349A (zh) | 2019-05-15 | 2019-05-15 | 一种恶意加密流量特征分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110113349A true CN110113349A (zh) | 2019-08-09 |
Family
ID=67490201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910402969.4A Pending CN110113349A (zh) | 2019-05-15 | 2019-05-15 | 一种恶意加密流量特征分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110113349A (zh) |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110598774A (zh) * | 2019-09-03 | 2019-12-20 | 中电长城网际安全技术研究院(北京)有限公司 | 加密流量检测方法及装置、计算机可读存储介质、电子设备 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及*** |
| CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、***、存储介质、安全设备 |
| CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
| CN111884813A (zh) * | 2020-08-05 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种恶意证书检测方法 |
| CN112261007A (zh) * | 2020-09-27 | 2021-01-22 | 北京六方云信息技术有限公司 | 基于机器学习的https恶意加密流量检测方法及*** |
| CN112422474A (zh) * | 2019-08-20 | 2021-02-26 | 中移(苏州)软件技术有限公司 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
| CN112800424A (zh) * | 2021-02-02 | 2021-05-14 | 西南交通大学 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
| CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与*** |
| EP3826261A1 (en) * | 2019-11-25 | 2021-05-26 | Cisco Technology, Inc. | Network telemetry collection with packet metadata filtering |
| CN113067839A (zh) * | 2021-06-02 | 2021-07-02 | 中国人民解放军国防科技大学 | 一种基于多模态神经网络的恶意加密流量检测方法 |
| CN113259313A (zh) * | 2021-03-30 | 2021-08-13 | 浙江工业大学 | 一种基于在线训练算法的恶意https流量智能分析方法 |
| CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及*** |
| CN113469366A (zh) * | 2020-03-31 | 2021-10-01 | 北京观成科技有限公司 | 一种加密流量的识别方法、装置及设备 |
| CN113518080A (zh) * | 2021-06-23 | 2021-10-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
| CN113595967A (zh) * | 2020-04-30 | 2021-11-02 | 深信服科技股份有限公司 | 数据识别方法、设备、存储介质及装置 |
| CN113904861A (zh) * | 2021-10-21 | 2022-01-07 | 厦门安胜网络科技有限公司 | 一种加密流量安全检测方法及装置 |
| CN113965390A (zh) * | 2021-10-26 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 一种恶意加密流量检测方法、***及相关装置 |
| CN114079579A (zh) * | 2021-10-21 | 2022-02-22 | 北京天融信网络安全技术有限公司 | 一种恶意加密流量检测方法及装置 |
| CN114172748A (zh) * | 2022-02-10 | 2022-03-11 | 中国矿业大学(北京) | 一种加密恶意流量检测方法 |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| CN114448819A (zh) * | 2021-12-24 | 2022-05-06 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114553605A (zh) * | 2022-04-26 | 2022-05-27 | 中国矿业大学(北京) | 一种投票策略的加密恶意流量检测方法 |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| CN114785563A (zh) * | 2022-03-28 | 2022-07-22 | 中国矿业大学(北京) | 一种软投票策略的加密恶意流量检测方法 |
| CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类*** |
| CN114900360A (zh) * | 2022-05-12 | 2022-08-12 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| US11431744B2 (en) | 2018-02-09 | 2022-08-30 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11438247B2 (en) | 2019-08-05 | 2022-09-06 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11463299B2 (en) | 2018-02-07 | 2022-10-04 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US11463465B2 (en) | 2019-09-04 | 2022-10-04 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| CN115396163A (zh) * | 2022-08-10 | 2022-11-25 | 广州天懋信息***股份有限公司 | 一种恶意周期行为检测方法 |
| US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
| US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| CN117081865A (zh) * | 2023-10-17 | 2023-11-17 | 北京启天安信科技有限公司 | 一种基于恶意域名检测方法的网络安全防御*** |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130056630A1 (en) * | 2010-05-03 | 2013-03-07 | The Cleveland Clinic Foundation | Detection and monitoring of nonalcoholic fatty liver disease |
| CN106716455A (zh) * | 2014-09-17 | 2017-05-24 | 卡特彼勒公司 | 使用机器学习来研发机器操作分类器的方法 |
| CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
| CN109698835A (zh) * | 2019-01-19 | 2019-04-30 | 郑州轻工业学院 | 一种面向https隐蔽隧道的加密木马检测方法 |
| CN109726735A (zh) * | 2018-11-27 | 2019-05-07 | 南京邮电大学 | 一种基于K-means聚类和随机森林算法的移动应用程序识别方法 |
-
2019
- 2019-05-15 CN CN201910402969.4A patent/CN110113349A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130056630A1 (en) * | 2010-05-03 | 2013-03-07 | The Cleveland Clinic Foundation | Detection and monitoring of nonalcoholic fatty liver disease |
| CN106716455A (zh) * | 2014-09-17 | 2017-05-24 | 卡特彼勒公司 | 使用机器学习来研发机器操作分类器的方法 |
| CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
| CN109726735A (zh) * | 2018-11-27 | 2019-05-07 | 南京邮电大学 | 一种基于K-means聚类和随机森林算法的移动应用程序识别方法 |
| CN109698835A (zh) * | 2019-01-19 | 2019-04-30 | 郑州轻工业学院 | 一种面向https隐蔽隧道的加密木马检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| AQNIU 安全牛: "一篇报告了解国内首个针对加密流量的检测引擎", 《URL:HTTPS://BLOG.CSDN.NET/LIQIUMAN180688/ARTICLE/DETAILS/88572869》 * |
| 高猛: "基于递归和SVM的特征选择方法研究", 《电子测试》 * |
Cited By (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11546153B2 (en) | 2017-03-22 | 2023-01-03 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US11665207B2 (en) | 2017-10-25 | 2023-05-30 | Extrahop Networks, Inc. | Inline secret sharing |
| US11463299B2 (en) | 2018-02-07 | 2022-10-04 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US11431744B2 (en) | 2018-02-09 | 2022-08-30 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11496378B2 (en) | 2018-08-09 | 2022-11-08 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US11706233B2 (en) | 2019-05-28 | 2023-07-18 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11652714B2 (en) | 2019-08-05 | 2023-05-16 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11438247B2 (en) | 2019-08-05 | 2022-09-06 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) * | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| CN112422474A (zh) * | 2019-08-20 | 2021-02-26 | 中移(苏州)软件技术有限公司 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
| CN112422474B (zh) * | 2019-08-20 | 2023-07-18 | 中移(苏州)软件技术有限公司 | 一种加密数据流的监测方法、第一电子设备和存储介质 |
| CN110598774A (zh) * | 2019-09-03 | 2019-12-20 | 中电长城网际安全技术研究院(北京)有限公司 | 加密流量检测方法及装置、计算机可读存储介质、电子设备 |
| US11463465B2 (en) | 2019-09-04 | 2022-10-04 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11563771B2 (en) | 2019-11-25 | 2023-01-24 | Cisco Technology, Inc. | Network telemetry collection with packet metadata filtering |
| EP3826261A1 (en) * | 2019-11-25 | 2021-05-26 | Cisco Technology, Inc. | Network telemetry collection with packet metadata filtering |
| EP4277207A3 (en) * | 2019-11-25 | 2024-02-21 | Cisco Technology, Inc. | Network telemetry collection with packet metadata filtering |
| US11979430B2 (en) | 2019-11-25 | 2024-05-07 | Cisco Technology, Inc. | Network telemetry collection with packet metadata filtering |
| CN111277578A (zh) * | 2020-01-14 | 2020-06-12 | 西安电子科技大学 | 加密流量分析特征提取方法、***、存储介质、安全设备 |
| CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及*** |
| CN111447232A (zh) * | 2020-03-30 | 2020-07-24 | 杭州迪普科技股份有限公司 | 一种网络流量检测方法及装置 |
| CN113469366A (zh) * | 2020-03-31 | 2021-10-01 | 北京观成科技有限公司 | 一种加密流量的识别方法、装置及设备 |
| CN113595967A (zh) * | 2020-04-30 | 2021-11-02 | 深信服科技股份有限公司 | 数据识别方法、设备、存储介质及装置 |
| CN111884813A (zh) * | 2020-08-05 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种恶意证书检测方法 |
| CN111884813B (zh) * | 2020-08-05 | 2022-03-25 | 哈尔滨工业大学(威海) | 一种恶意证书检测方法 |
| US11558413B2 (en) | 2020-09-23 | 2023-01-17 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| CN112261007A (zh) * | 2020-09-27 | 2021-01-22 | 北京六方云信息技术有限公司 | 基于机器学习的https恶意加密流量检测方法及*** |
| CN112822167A (zh) * | 2020-12-31 | 2021-05-18 | 杭州立思辰安科科技有限公司 | 异常tls加密流量检测方法与*** |
| CN112800424A (zh) * | 2021-02-02 | 2021-05-14 | 西南交通大学 | 一种基于随机森林的僵尸网络恶意流量监测方法 |
| CN113259313A (zh) * | 2021-03-30 | 2021-08-13 | 浙江工业大学 | 一种基于在线训练算法的恶意https流量智能分析方法 |
| CN113329023A (zh) * | 2021-05-31 | 2021-08-31 | 西北大学 | 一种加密流量恶意性检测模型建立、检测方法及*** |
| CN113067839A (zh) * | 2021-06-02 | 2021-07-02 | 中国人民解放军国防科技大学 | 一种基于多模态神经网络的恶意加密流量检测方法 |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| CN113518080A (zh) * | 2021-06-23 | 2021-10-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
| CN113518080B (zh) * | 2021-06-23 | 2021-11-19 | 北京观成科技有限公司 | 一种tls加密流量检测方法、装置和电子设备 |
| US11916771B2 (en) | 2021-09-23 | 2024-02-27 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| CN113904861B (zh) * | 2021-10-21 | 2023-10-17 | 厦门安胜网络科技有限公司 | 一种加密流量安全检测方法及装置 |
| CN114079579B (zh) * | 2021-10-21 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种恶意加密流量检测方法及装置 |
| CN113904861A (zh) * | 2021-10-21 | 2022-01-07 | 厦门安胜网络科技有限公司 | 一种加密流量安全检测方法及装置 |
| CN114079579A (zh) * | 2021-10-21 | 2022-02-22 | 北京天融信网络安全技术有限公司 | 一种恶意加密流量检测方法及装置 |
| CN113965390A (zh) * | 2021-10-26 | 2022-01-21 | 杭州安恒信息技术股份有限公司 | 一种恶意加密流量检测方法、***及相关装置 |
| CN114448819A (zh) * | 2021-12-24 | 2022-05-06 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114448819B (zh) * | 2021-12-24 | 2024-03-22 | 固安县艾拉信息科技有限公司 | 基于网络实时数据的密码分析和实现方法 |
| CN114172748A (zh) * | 2022-02-10 | 2022-03-11 | 中国矿业大学(北京) | 一种加密恶意流量检测方法 |
| CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类*** |
| WO2023173790A1 (zh) * | 2022-03-18 | 2023-09-21 | 广州大学 | 一种基于数据包的加密流量分类*** |
| CN114866486B (zh) * | 2022-03-18 | 2024-06-18 | 广州大学 | 一种基于数据包的加密流量分类*** |
| CN114785563A (zh) * | 2022-03-28 | 2022-07-22 | 中国矿业大学(北京) | 一种软投票策略的加密恶意流量检测方法 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN114553605A (zh) * | 2022-04-26 | 2022-05-27 | 中国矿业大学(北京) | 一种投票策略的加密恶意流量检测方法 |
| CN114900360B (zh) * | 2022-05-12 | 2023-09-22 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| CN114900360A (zh) * | 2022-05-12 | 2022-08-12 | 国家计算机网络与信息安全管理中心山西分中心 | 一种检测HTTPS流量中的DoH流量方法 |
| CN115396163A (zh) * | 2022-08-10 | 2022-11-25 | 广州天懋信息***股份有限公司 | 一种恶意周期行为检测方法 |
| CN117081865A (zh) * | 2023-10-17 | 2023-11-17 | 北京启天安信科技有限公司 | 一种基于恶意域名检测方法的网络安全防御*** |
| CN117081865B (zh) * | 2023-10-17 | 2023-12-29 | 北京启天安信科技有限公司 | 一种基于恶意域名检测方法的网络安全防御*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113349A (zh) | 一种恶意加密流量特征分析方法 | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| EP2633646B1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
| Dusi et al. | Quantifying the accuracy of the ground truth associated with Internet traffic traces | |
| CN109167754A (zh) | 一种网络应用层安全防护*** | |
| Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
| CN106341282A (zh) | 一种恶意代码行为分析装置 | |
| Stergiopoulos et al. | Automatic detection of various malicious traffic using side channel features on TCP packets | |
| Shen et al. | Webpage fingerprinting using only packet length information | |
| Sun et al. | Detection and classification of malicious patterns in network traffic using Benford's law | |
| CN107370752A (zh) | 一种高效的远控木马检测方法 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| Canini et al. | GTVS: Boosting the collection of application traffic ground truth | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
| CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
| Raman et al. | Network measurement methods for locating and examining censorship devices | |
| Zhong et al. | Side-channels in electric power synchrophasor network data traffic | |
| Hnamte et al. | An extensive survey on intrusion detection systems: Datasets and challenges for modern scenario | |
| Gomez et al. | Unsupervised detection and clustering of malicious tls flows | |
| Salehi et al. | A novel approach for detecting DGA-based ransomwares | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| Liu et al. | TPII: tracking personally identifiable information via user behaviors in HTTP traffic | |
| Mishari et al. | Harvesting SSL certificate data to identify web-fraud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190809 |