CN110868409A - 一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** - Google Patents
一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** Download PDFInfo
- Publication number
- CN110868409A CN110868409A CN201911086474.1A CN201911086474A CN110868409A CN 110868409 A CN110868409 A CN 110868409A CN 201911086474 A CN201911086474 A CN 201911086474A CN 110868409 A CN110868409 A CN 110868409A
- Authority
- CN
- China
- Prior art keywords
- operating system
- tcp
- data
- session
- passive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于TCP/IP协议栈指纹的操作***被动识别方法及***,在不需要对网络加密流量解密的前提下,利用IP协议、TCP协议以及TLS协议的头部字段信息和网络流包长和包传输时间序列的统计信息,识别客户端的操作***类型以及主要版本信息,进而评估目标网络中各主机的网络安全漏洞风险,推断互联网中NAT设备的存在数量。本发明借鉴流量分类领域中的已有成果,在特征集中引入网络流的统计信息特征,增强不同操作***流量之间的区分性;并首次将LightGBM模型作为完成识别任务的机器学习模型,利用该模型支持类别特征输入的特性,解决了多维度类别特征one‑hot编码后导致的特征维度***问题。
Description
技术领域
本发明涉及一种基于TCP/IP协议栈指纹的操作***被动识别方法及***,属于计算机软件技术领域。
背景技术
近些年来,由于各种智能设备使用量的增长和网络加密技术的发展,网络监控和管理技术面临越来越多的问题和挑战。众所周知,了解本地网络中所有主机的操作***信息,是完成保障网络安全,优化网络管理等任务必不可少的一环。一方面,大部分网络漏洞与特定的操作***种类和版本有关,因此掌握本地网络中各主机的操作***信息有助于及时修补潜在漏洞,免受恶意攻击;另一方面,网络地址转换(NAT)设备在互联网中的部署规模日益增大,严重破坏了IP协议的端到端特性,增加了网络拓扑的复杂性,而对于操作***识别方法的研究可用于测量网络中的NAT规模。
识别网络中客户端操作***信息的方法主要分为两种:主动和被动。主动识别方法指构造特定的网络报文发往待测主机,根据待测主机的响应推断其操作***相关信息,具有针对性强和准确性高等特点。然而,主动识别行为很容易被入侵检测***或网络防火墙等安全设备检测并拦截,无法将探测数据包发送到目标主机,导致其仅适用于少量场景。与主动识别方法相比,被动识别方法不需要和目标主机进行交互,仅需监听网络中的数据包,通过提取并利用网络数据包中的协议头部信息,载荷信息和其他信息来识别目标主机的操作***。由于被动识别方法不受防火墙等安全设备的影响,其适用范围更广,但其局限性是识别准确性相对较差。
根据是否加密,操作***被动识别方法的研究对象可分为明文流量和加密流量。对于明文流量,操作***被动识别的主流方法是利用深度包检测(DPI)技术获取网络数据包中应用层的特征字符串,并结合正则匹配技术在已经构建好的字典或数据库中通过查询得到客户端的操作***信息。例如,利用HTTP协议中的User-Agent字段,DNS协议中操作***开发商的相关域名以及NTP协议的服务器地址等信息都可以获取客户端的操作***信息。
对于加密流量,操作***被动识别方法通常利用了操作***在实现TCP/IP协议栈时的细微差异以及设备性能上的差异。对于不同类型的操作***,客户端发往服务端的TCP握手报文和TLS Client Hello报文中都隐含了大量操作***信息。例如,IP层的TTL初始值、报文长度值,TCP层的WIN初始值、MSS初始值、Options初始序列和TLS层的TLS版本、加密套件序列、扩展类型序列等信息都可以组成识别操作***信息的指纹。
然而,以上方法均不适用于加密网络中大规模主机操作***信息的细粒度识别任务。仅利用TCP握手报文的IP层和TCP层信息,在识别客户端操作***主版本任务中的准确率、召回率和精度都非常低,难以满足要求。因此,从网络流信息中引入新的指纹特征,比如TLS层的参数信息和网络流的统计信息,并结合性能更好的机器学习模型,是解决加密网络中大规模主机操作***信息细粒度识别问题的关键。
发明内容
本发明的目的是将现有技术的已有成果结合起来,并引入新的网络流特征处理方法,克服当前技术对于动态网络中加密流量客户端操作***信息识别精度和粒度不佳的缺陷。在不需要对网络加密流量解密的前提下,利用IP协议、TCP协议以及TLS协议的头部字段信息和网络流包长和包传输时间序列的统计信息,识别客户端的操作***类型以及主要版本信息,进而评估目标网络中各主机的网络安全漏洞风险,推断互联网中NAT设备的存在数量。
本发明的技术方案如下:
一种基于TCP/IP协议栈指纹的操作***被动识别方法,包括以下步骤:
(1)采集待测加密流量数据,通过主被动的方法对数据集中的全部样本完成属性标注;
(2)将元组<IP source,IP destination,Port source,Port destination>作为一次网络会话的唯一标识,并提取每次会话中TCP SYN报文的IP层,TCP层头部参数,TLSClient Hello报文的TLS层头部参数,以及整个会话关于包长和包到达时间相邻差的统计信息,得到特征集;
(3)将提取的特征数据输入训练完成的操作***被动识别模型中,得到待测流量客户端的操作***信息;其中,
所述操作***被动识别模型通过下述训练方法得到:
(a)采集不同操作***类型和版本的加密流量数据作为样本数据集,通过主被动的方法对样本数据集中的全部样本完成属性标注;
(b)对完成标注的流量数据提取流量特征:将元组<IP source,IP destination,Port source,Port destination>作为一次网络会话的唯一标识,提取每次会话中TCP SYN报文的IP层,TCP层头部参数以及TLS Client Hello报文的TLS层头部参数,得到一次会话的头部字段特征集,并基于整个会话中的包长和包到达时间序列,构建马尔可夫状态转移概率矩阵,得到一次会话的统计类特征集;
(c)将特征集数据作为输入训练LightGBM模型。
进一步地,上述方法中采集加密流量数据的操作***类型包括Windows,MacOS,Linux,Android和iOS;操作***版本包括该五类操作***的主流版本,在本发明一实施例中采集21种主流版本。
进一步地,上述方法中提取的特征数据在模型输入前还包括预处理:完成缺失数据的填充、数据归一化以及文本特征转化为离散数值特征等操作。
进一步地,步骤(c)在训练模型时还包括通过K折交叉验证对该模型不断调参优化,并结合准确率、召回率、精度、P-R曲线以及混淆矩阵等指标评估模型性能。
进一步地,步骤(3)所述操作***信息包括操作***类型和版本。
一种基于TCP/IP协议栈指纹的操作***被动识别***,包括:
数据采集模块:采集待测加密流量数据,通过主被动的方法对数据集中的全部样本完成属性标注;
特征数据提取模块:将元组<IP source,IP destination,Port source,Portdestination>作为一次网络会话的唯一标识,并提取每次会话中TCP SYN报文的IP层,TCP层头部参数,TLS Client Hello报文的TLS层头部参数,以及整个会话关于包长和包到达时间相邻差的统计信息,得到特征集;
识别模块:将提取的特征数据输入训练完成的操作***被动识别模型中,得到待测流量客户端的操作***信息;
模型训练模块:采集不同操作***类型和版本的加密流量数据作为样本数据集,通过主被动的方法对样本数据集中的全部样本完成属性标注,对完成标注的流量数据提取流量特征:将元组<IP source,IP destination,Port source,Portdestination>作为一次网络会话的唯一标识,提取每次会话中TCP SYN报文的IP层,TCP层头部参数以及TLSClient Hello报文的TLS层头部参数,得到一次会话的头部字段特征集,并基于整个会话中的包长和包到达时间序列,构建马尔可夫状态转移概率矩阵,得到一次会话的统计类特征集,将特征集数据作为输入训练LightGBM模型。
一种服务器,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,其特征在于,所述计算机程序包括用于执行上述方法中各步骤的指令。
一种计算机可读存储介质,其特征在于,存储一计算机程序,所述计算机程序包括用于上述方法中各步骤的指令。
本发明的主要创造性包括:
在利用IP协议和TCP协议头部信息的基础上,引入TLS协议中的版本号、加密套件序列以及扩展类型序列等信息,提升机器学习模型对于操作***信息识别的效果和性能;
借鉴流量分类领域中的已有成果,在特征集中引入网络流的统计信息特征,增强不同操作***流量之间的区分性;
首次将LightGBM模型作为完成识别任务的机器学习模型,利用该模型支持类别特征输入的特性,解决了多维度类别特征one-hot编码后导致的特征维度***问题。
利用本发明提供的方法在对加密流量中客户端操作***信息识别时,具有以下优点:
(1)利用了TLS协议中的版本号、加密套件序列以及扩展类型序列等信息,丰富了操作***指纹识别任务中的特征种类,同时也提升了机器学习模型对于操作***信息识别的效果和性能。
(2)在网络流的统计类特征提取中,通过构建马尔可夫状态转移概率矩阵考虑了每个数据流中报文之间的传递关系,保留了网络流内部的转移特性。
(3)通过综合网络协议头部字段特征和网络流的统计类特征,在无需解密密文流量的前提下,实现了对操作***信息更高精度、更细粒度、更广覆盖的识别。
附图说明
图1为基于TCP/IP协议栈指纹的操作***被动识别框架图。
具体实施方式
以下将结合附图对本发明的技术方案做进一步解释说明:
参照图1所示方法框架图,于2019年4月份在某校园中采集了共计一周的HTTPS流量,其中客户端的操作***类型主要有Windows,MacOS,Linux,Android和iOS等五种,操作***主版本为以上五类操作***的21种主流版本。
采集的数据集共计包含2157万个样本,每个样本为每条网络流的特征数据。特征集包含IP层的time to live字段、total length字段、fragment flag字段等三类特征,TCP层的window size字段、window scale字段、maximum segment size字段、Option typecodes sequence字段等四类特征,TlS层的version字段、extensions length字段、ciphersuite codes sequence信息、extension type codessequence信息、supported groupcodes sequence信息、application layer protocolnegotiation codes sequence信息等六类特征以及如包数、字节数、包长均值、包长方差、包长分布、包到达时间间隔均值、包到达时间间隔方差等七类网络流统计特征。
通过将样本数据集中前5天的数据作为训练集,第6天的数据作为验证集,第7天的数据作为测试集,对搭建好的LightGBM模型进行充分地训练和优化。得到最终模型的参数见表1。
表1 LightGBM模型参数
利用上述训练好的模型对测试集中的数据进行测试,其对于操作***类型的识别准确率为96.35%,对操作***主版本的识别准确率为84.72%。
尽管为说明目的公开了本发明的具体内容,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种基于TCP/IP协议栈指纹的操作***被动识别方法,包括以下步骤:
(1)采集待测加密流量数据,通过主被动的方法对数据集中的全部样本完成属性标注;
(2)将元组<IP source,IP destination,Port source,Port destination>作为一次网络会话的唯一标识,并提取每次会话中TCP SYN报文的IP层,TCP层头部参数,TLS ClientHello报文的TLS层头部参数,以及整个会话关于包长和包到达时间相邻差的统计信息,得到特征集;
(3)将上述特征集中的特征数据输入训练完成的操作***被动识别模型中,得到待测流量客户端的操作***信息;
其中,
所述操作***被动识别模型通过下述训练方法得到:
(a)采集不同操作***类型和版本的加密流量数据作为样本数据集,通过主被动的方法对样本数据集中的全部样本完成属性标注;
(b)对完成标注的流量数据提取流量特征:将元组<IP source,IP destination,Portsource,Port destination>作为一次网络会话的唯一标识,提取每次会话中TCP SYN报文的IP层,TCP层头部参数以及TLS Client Hello报文的TLS层头部参数,得到一次会话的头部字段特征集,并基于整个会话中的包长和包到达时间序列,构建马尔可夫状态转移概率矩阵,得到一次会话的统计类特征集;
(c)将特征集数据作为输入训练LightGBM模型。
2.如权利要求1所述一种基于TCP/IP协议栈指纹的操作***被动识别方法,其特征在于,采集加密流量数据的操作***类型包括Windows,MacOS,Linux,Android和iOS。
3.如权利要求2所述一种基于TCP/IP协议栈指纹的操作***被动识别方法,其特征在于,采集21种操作***版本类型。
4.如权利要求1所述一种基于TCP/IP协议栈指纹的操作***被动识别方法,其特征在于,步骤(3)中特征集数据在输入识别模型前还包括预处理:完成缺失数据的填充、数据归一化以及文本特征转化为离散数值特征。
5.如权利要求1所述一种基于TCP/IP协议栈指纹的操作***被动识别方法,其特征在于,步骤(c)在训练模型时还包括通过K折交叉验证对模型调参优化。
6.如权利要求1所述一种基于TCP/IP协议栈指纹的操作***被动识别方法,其特征在于,步骤(3)所述操作***信息包括操作***类型和版本。
7.一种基于TCP/IP协议栈指纹的操作***被动识别***,包括:
数据采集模块:采集待测加密流量数据,通过主被动的方法对数据集中的全部样本完成属性标注;
特征数据提取模块:将元组<IP source,IP destination,Port source,Portdestination>作为一次网络会话的唯一标识,并提取每次会话中TCP SYN报文的IP层,TCP层头部参数,TLS Client Hello报文的TLS层头部参数,以及整个会话关于包长和包到达时间相邻差的统计信息,得到特征集;
识别模块:将提取的特征集数据输入训练完成的操作***被动识别模型中,得到待测流量客户端的操作***信息。
8.如权利要求7所述的一种基于TCP/IP协议栈指纹的操作***被动识别***,其特征在于,所述***还包括模型训练模块:采集不同操作***类型和版本的加密流量数据作为样本数据集,通过主被动的方法对样本数据集中的全部样本完成属性标注,对完成标注的流量数据提取流量特征,将元组<IP source,IP destination,Port source,Portdestination>作为一次网络会话的唯一标识,提取每次会话中TCP SYN报文的IP层,TCP层头部参数以及TLS Client Hello报文的TLS层头部参数,得到一次会话的头部字段特征集,并基于整个会话中的包长和包到达时间序列,构建马尔可夫状态转移概率矩阵,得到一次会话的统计类特征集,将特征集数据作为输入训练LightGBM模型。
9.一种服务器,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,其特征在于,所述计算机程序包括用于执行权利要求1-7任一所述方法中各步骤的指令。
10.一种计算机可读存储介质,存储一计算机程序,其特征在于,所述计算机程序包括用于权利要求1-7任一所述方法中各步骤的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911086474.1A CN110868409A (zh) | 2019-11-08 | 2019-11-08 | 一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911086474.1A CN110868409A (zh) | 2019-11-08 | 2019-11-08 | 一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110868409A true CN110868409A (zh) | 2020-03-06 |
Family
ID=69653743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911086474.1A Pending CN110868409A (zh) | 2019-11-08 | 2019-11-08 | 一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110868409A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464510A (zh) * | 2020-03-18 | 2020-07-28 | 华南理工大学 | 一种基于快速梯度提升树模型的网络实时入侵检测方法 |
CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
CN113194043A (zh) * | 2021-03-18 | 2021-07-30 | 成都深思科技有限公司 | 一种nat环境下的网络流量分类方法 |
CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作***类型的方法、***、装置、设备及介质 |
CN114189350A (zh) * | 2021-10-20 | 2022-03-15 | 北京交通大学 | 一种基于LightGBM的列车通信网络入侵检测方法 |
CN114449064A (zh) * | 2022-01-26 | 2022-05-06 | 普联技术有限公司 | Tls加密流量的应用识别方法、装置和应用识别设备 |
CN115051977A (zh) * | 2022-06-24 | 2022-09-13 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
WO2023173790A1 (zh) * | 2022-03-18 | 2023-09-21 | 广州大学 | 一种基于数据包的加密流量分类*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050086522A1 (en) * | 2003-10-15 | 2005-04-21 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
US7519954B1 (en) * | 2004-04-08 | 2009-04-14 | Mcafee, Inc. | System and method of operating system identification |
CN102307123A (zh) * | 2011-09-06 | 2012-01-04 | 电子科技大学 | 基于传输层流量特征的nat流量识别方法 |
CN105959321A (zh) * | 2016-07-13 | 2016-09-21 | 中国人民解放军理工大学 | 网络远程主机操作***被动识别方法及装置 |
CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
CN110363439A (zh) * | 2019-07-19 | 2019-10-22 | 山东浪潮人工智能研究院有限公司 | 一种基于消费者人群画像的信用评分方法 |
-
2019
- 2019-11-08 CN CN201911086474.1A patent/CN110868409A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050086522A1 (en) * | 2003-10-15 | 2005-04-21 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
CN1864182A (zh) * | 2003-10-15 | 2006-11-15 | 思科技术公司 | 用于降低网络入侵检测***的虚假警报率的方法和*** |
US7519954B1 (en) * | 2004-04-08 | 2009-04-14 | Mcafee, Inc. | System and method of operating system identification |
CN102307123A (zh) * | 2011-09-06 | 2012-01-04 | 电子科技大学 | 基于传输层流量特征的nat流量识别方法 |
CN105959321A (zh) * | 2016-07-13 | 2016-09-21 | 中国人民解放军理工大学 | 网络远程主机操作***被动识别方法及装置 |
CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
CN110363439A (zh) * | 2019-07-19 | 2019-10-22 | 山东浪潮人工智能研究院有限公司 | 一种基于消费者人群画像的信用评分方法 |
Non-Patent Citations (3)
Title |
---|
XINLEI FAN,ET: "Identify OS from encrypted traffic with TCP/IP stack", 《IEEE XPLORE》 * |
徐卜灵: "lightgbm调参的关键参数", 《HTTPS://WWW.JIANSHU.COM/P/3F114699C6ED》 * |
王芳杰等: "基于LightGBM算法的公交行程时间预测", 《交通运输***工程与信息》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111464510A (zh) * | 2020-03-18 | 2020-07-28 | 华南理工大学 | 一种基于快速梯度提升树模型的网络实时入侵检测方法 |
CN111464510B (zh) * | 2020-03-18 | 2021-06-08 | 华南理工大学 | 基于快速梯度提升树分类模型的网络实时入侵检测方法 |
CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
CN113194043A (zh) * | 2021-03-18 | 2021-07-30 | 成都深思科技有限公司 | 一种nat环境下的网络流量分类方法 |
CN113194043B (zh) * | 2021-03-18 | 2022-09-02 | 成都深思科技有限公司 | 一种nat环境下的网络流量分类方法 |
CN114189350A (zh) * | 2021-10-20 | 2022-03-15 | 北京交通大学 | 一种基于LightGBM的列车通信网络入侵检测方法 |
CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
CN113905364B (zh) * | 2021-10-25 | 2023-07-04 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作***类型的方法、***、装置、设备及介质 |
CN114449064A (zh) * | 2022-01-26 | 2022-05-06 | 普联技术有限公司 | Tls加密流量的应用识别方法、装置和应用识别设备 |
CN114449064B (zh) * | 2022-01-26 | 2023-12-29 | 普联技术有限公司 | Tls加密流量的应用识别方法、装置和应用识别设备 |
WO2023173790A1 (zh) * | 2022-03-18 | 2023-09-21 | 广州大学 | 一种基于数据包的加密流量分类*** |
CN115051977A (zh) * | 2022-06-24 | 2022-09-13 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
CN115051977B (zh) * | 2022-06-24 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作***被动识别方法及*** | |
CN111277578B (zh) | 加密流量分析特征提取方法、***、存储介质、安全设备 | |
Feng et al. | Characterizing industrial control system devices on the internet | |
Wang et al. | Seeing through network-protocol obfuscation | |
US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
US9210181B1 (en) | Detection of anomaly in network flow data | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
Shen et al. | Certificate-aware encrypted traffic classification using second-order markov chain | |
CN104506484A (zh) | 一种私有协议分析与识别方法 | |
CN113259313A (zh) | 一种基于在线训练算法的恶意https流量智能分析方法 | |
Ye et al. | NetPlier: Probabilistic Network Protocol Reverse Engineering from Message Traces. | |
CN111030941A (zh) | 一种基于决策树的https加密流量分类方法 | |
CN103155487A (zh) | 用于使用业务样本来检测可疑数据泄漏的方法和*** | |
CN111224946A (zh) | 一种基于监督式学习的tls加密恶意流量检测方法及装置 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
US20240064107A1 (en) | System for classifying encrypted traffic based on data packet | |
CN112217763A (zh) | 一种基于机器学习的隐蔽tls通信流检测方法 | |
Li et al. | Understanding the usage of industrial control system devices on the internet | |
CN113923026A (zh) | 一种基于TextCNN的加密恶意流量检测模型及其构建方法 | |
CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取***、恶意通信模式提取方法及恶意通信模式提取程序 | |
Kumar et al. | Light weighted CNN model to detect DDoS attack over distributed scenario | |
Matoušek et al. | On reliability of JA3 hashes for fingerprinting mobile applications | |
CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
Hejun et al. | Online and automatic identification and mining of encryption network behavior in big data environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200306 |