CN111611280A - 一种基于cnn和sae的加密流量识别方法 - Google Patents
一种基于cnn和sae的加密流量识别方法 Download PDFInfo
- Publication number
- CN111611280A CN111611280A CN202010358549.3A CN202010358549A CN111611280A CN 111611280 A CN111611280 A CN 111611280A CN 202010358549 A CN202010358549 A CN 202010358549A CN 111611280 A CN111611280 A CN 111611280A
- Authority
- CN
- China
- Prior art keywords
- data
- flow
- cnn
- sae
- classifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于CNN和SAE的加密流量识别方法。***结构设计为两层,第一层是有监督的CNN分类器,用来分类已知类型的流量;第二层是无监督的SAE分类器,用来分类未知类型的流量。流量到达之后先进入第一层分类器,如果某个流匹配到每一个类别的概率都低于给定阈值,就认为这条流不属于任何类别,是未知类型,进入第二层分类器(如果在第一层就分好了,就不用进入第二层)。第二层收集到一定数量的流量后,用无监督分类器进行分类,人工对这些分好类的流进行标记,然后再用这些新标记的数据重训练第一层的有监督分类器。本发明既可以对已知流量进行分类,也可以对未知流量进行分类。
Description
技术领域
本发明属于加密流量识别技术领域,特别是一种基于CNN和SAE的加密流量识别方法。
背景技术
随着网络技术的发展以及人们对隐私的重视,各种加密技术在网络通信中得到了广泛的应用。对于特定类型的流量,加密甚至已经成为了法律的强制性要求。然而,流量加密后负载统计特征和流统计特征都会发生变化,为加密网络协议和加密网络应用的精细化识别和准确识别带来了额外挑战,使得流量分析和网络管理还存在一定的难度。目前主流的加密流量识别手段有两种,解密后识别和不解密识别。但是解密再重新加密的手段成本很高,而且违反了加密的初衷。
目前最常用的不解密的加密流量分类方法就是基于机器学习的分类方法。基于机器学习的识别方法首先会对网络流量进行标记,提取网络流量的特征属性,如报文的间隔时间、报文大小、流持续时间等,再用分类器训练和分类。如,Taylor VF等利用机器学习和流量分析来实现自动指纹识别和实时识别Android应用程序的加密网络流量(Taylor,V.F.,Spolaor,R.,Conti,M.,&Martinovic,I.(2016,March).Appscanner:Automaticfingerprinting of smartphone apps from encrypted network traffic.In 2016IEEEEuropean Symposium on Security and Privacy(EuroS&P)(pp.439-454).IEEE.)。He G等提出一种针对Tor应用的识别方法,该方法首先选择一些应用行为的代表性流特征,如爆发量和流方向,并采用机器学习算法来模拟不同的应用,如HMM模型,然后,使用建立的模型对Tor流量进行识别(He,G.,Yang,M.,Luo,J.,&Gu,X.(2015).A novel applicationclassification attack against Tor.Concurrency and Computation:Practice andExperience,27(18),5640-5661.)。但是机器学习方法耗时,而且需要人工提取特征。此外,绝大多数的方法都会把未知流量错误地分类到已知的几种类别中。
发明内容
本发明的目的在于提供一种可以同时对已知流量和未知流量进行分类的加密流量识别方法。
实现本发明目的的技术解决方案为:一种基于CNN和SAE的加密流量识别方法,所述识别方法包括以下步骤:
步骤1、根据分类要求收集加密流量数据,生成pcap文件;
步骤3、利用步骤2处理后的数据对CNN分类器进行训练;
步骤4、捕获待识别的流量,并按照步骤2的过程对该流量进行处理,之后利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5;
步骤5、利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,返回执行步骤4。
进一步地,步骤1所述收集加密流量数据的方式包括:从公开数据集中采集加密流量数据,或主动捕获加密流量数据。
进一步地,所述主动捕获加密流量数据的过程包括:
从客户端、服务端、网络边缘、网络核心以及它们之间的任何地方捕获网络流量数据包,并利用流分析器对网络流量数据包进行标记。
进一步地,步骤2中所述数据清洗包括:删除重复数据,删除数据中的无效值,以及填充缺失值;
所述特征提取包括提取以下特征:
1)时空特征:包括数据包长度、间隔时间、连续分组方向,包大小转移矩阵以及熵值;
2)头部特征:网络层和传输层头部,包括端口号、协议类型以及数据包长度;
3)握手特征:包括协议版本、支持的扩展项;
4)证书特征:包括证书链长度、使用者正常度;
5)统计特征:整个流的特征,包括平均数据包长度、最小到达间隔时间;
所述标准化包括:将提取的特征值缩放为[-1,+1]或[0,1]范围内的值。
进一步地,所述数据清洗具体包括:
1)删除数据包重传、冗余ACK带来的重复数据;
2)去除以太网头部;
3)对输入到神经网络CNN中的数据的大小进行统一;
4)将数据包长度统一截断或填充至1480字节;
5)丢弃SYN、ACK、FIN包;
6)删除IP地址和MAC地址。
进一步地,步骤4所述利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5,具体过程包括:
步骤4-1,计算某个流匹配到每个类别的概率,并从中提取最大值Mp:
Mp=max{p1,p2,…,pn}
式中,pi表示流匹配到第i个类别的概率,i=1,2,...,n,n表示类别数;
步骤4-2,判断条件Mp<λp是否成立,若成立,表示该流不属于任何类别,是未知类型,执行步骤5;反之,表示该流存在所属类别,且该流对应的类别为匹配概率最大的类别。
进一步地,步骤5所述利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,具体包括:
步骤5-1,SAE分类器从接收到第一条未知类型流数据开始实时计算经过的时间T和收到的流数据的个数N,在T≥λt或N≥λn时,利用SAE分类器对收集到的流数据进行分类;
步骤5-2,假设SAE分类器将收集到的流数据分成了m个类别,对m个类别以及这些流数据进行标记;
步骤5-3,利用标记后的流数据重新训练所述CNN分类器。
本发明与现有技术相比,其显著优点为:1)除了需要对未知类别进行标记外,很少依赖人工;2)可以同时对已知流量和未知流量进行分类;3)对于已知类型的流量,准确率高;对于未知类型的流量,也不会将它错误地分类到已知的类别中。
下面结合附图对本发明作进一步详细描述。
附图说明
图1为一个实施例中基于CNN和SAE的加密流量识别方法的流程图。
图2为一个实施例中基于CNN和SAE的加密流量识别***的框架图。
图3为一个实施例中CNN结构示意图。
图4为一个实施例中SAE结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,结合图1和图2,提供了一种基于CNN和SAE的加密流量识别方法,所述识别方法包括以下步骤:
步骤1、根据分类要求收集加密流量数据,生成pcap文件;
这里,假如分类是为了做网络资源调度,那就按应用类型收集数据,收集一些聊天加密流量、视频加密流量之类的。如果为了是为了做入侵检测,就收集一些加密正常流量和加密攻击流量。
步骤3、利用步骤2处理后的数据对CNN分类器进行训练;
步骤4、捕获待识别的流量,并按照步骤2的过程对该流量进行处理,之后利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5;
步骤5、利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,返回执行步骤4。
进一步地,在其中一个实施例中,步骤1所述收集加密流量数据的方式包括:从公开数据集中采集加密流量数据,或主动捕获加密流量数据。
进一步地,在其中一个实施例中,所述主动捕获加密流量数据的过程包括:
利用Wireshark从客户端、服务端、网络边缘、网络核心以及它们之间的任何地方捕获网络流量数据包,并利用流分析器对网络流量数据包进行标记。其中受控的客户端是标记数据最容易的地方。
进一步地,在其中一个实施例中,步骤2中数据清洗包括:删除重复数据,删除数据中的无效值,以及填充缺失值;
所述特征提取包括提取以下特征:
1)时空特征:包括数据包长度、间隔时间、连续分组方向,包大小转移矩阵以及熵值等;
2)头部特征:网络层和传输层头部,包括端口号、协议类型以及数据包长度等;
3)握手特征:包括协议版本、支持的扩展项等;
4)证书特征:包括证书链长度、使用者正常度等;
5)统计特征:整个流的特征,包括平均数据包长度、最小到达间隔时间等;
所述标准化包括:将提取的特征值缩放为[-1,+1]或[0,1]范围内的值。
进一步地,在其中一个实施例中,所述数据清洗具体包括:
1)删除数据包重传、冗余ACK带来的重复数据;
2)去除以太网头部;这是因为数据是在数据链路层捕获的,包括以太网头部,这些信息对于流量识别没有帮助;
3)对输入到神经网络CNN中的数据的大小进行统一;例如,TCP头部有20字节,UDP头部有8字节,用0填充使UDP头部也达到20字节;
4)将数据包长度统一截断或填充至1480字节;这是因为96%的数据包的负载长度小于1480字节;
5)丢弃SYN、ACK、FIN包;这是因为这些包没有有效负载;
6)删除IP地址和MAC地址;这是因为模型可能直接使用这些信息进行分类,导致过拟合。
进一步地,在其中一个实施例中,步骤4所述利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5,具体过程包括:
步骤4-1,计算某个流匹配到每个类别的概率,并从中提取最大值Mp:
Mp=max{p1,p2,…,pn}
式中,pi表示流匹配到第i个类别的概率,i=1,2,...,n,n表示类别数;
步骤4-2,判断条件Mp<λp是否成立,若成立,表示该流不属于任何类别,是未知类型,执行步骤5;反之,表示该流存在所属类别,且该流对应的类别为匹配概率最大的类别。
进一步地,在其中一个实施例中,步骤5所述利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,具体包括:
步骤5-1,SAE分类器从接收到第一条未知类型流数据开始实时计算经过的时间T和收到的流数据的个数N,在T≥λt或N≥λn时,利用SAE分类器对收集到的流数据进行分类;
步骤5-2,假设SAE分类器将收集到的流数据分成了m个类别,对m个类别以及这些流数据进行标记;
步骤5-3,利用标记后的流数据重新训练所述CNN分类器。
在智能手机的流量中,70%是背景流量,只有30%的流量和用户交互直接相关。而使用自己捕获的数据时,即使在完全受控的环境中,完全把背景流量区分和移除也不是一件容易的事情。此外,网络拥塞水平、流量强度和用户行为等都会影响到网络和应用的状态,进而影响分类结果。
作为一种具体示例,对本发明基于CNN和SAE的加密流量识别方法进行进一步说明,具体包括:
利用ISCX VPN-nonVPN数据集进行应用分类和流量分类,ISCX VPN-nonVPN数据集中是pcap文件格式的数据包,包括7种常规流量和7种协议封装流量,分别是Browsing、VPN-Browsing、Email、VPN-Email、Chat、VPN-Chat、Streaming、VPN-Streaming、FTP、VPN-FTP、VoIP、VPN-VoIP、P2P、VPN-P2P。因此分类粒度为协议类型+应用类型。步骤包括:
1、利用SplitCap将pcap文件分割成流。数据预处理,包括数据清洗、特征提取、标准化等。具体包括:
(1)数据清洗,包括删除重复数据;对数据中的无效值进行删除,缺失值进行填充。具体包括:
1)删除数据包重传、冗余ACK带来的重复数据;
2)去除以太网头部;这是因为数据是在数据链路层捕获的,包括以太网头部,这些信息对于流量识别没有帮助;
3)对输入到神经网络CNN中的数据的大小进行统一;例如,TCP头部有20字节,UDP头部有8字节,用0填充使UDP头部也达到20字节;
4)将数据包长度统一截断或填充至1480字节;这是因为96%的数据包的负载长度小于1480字节;
5)丢弃SYN、ACK、FIN包;这是因为这些包没有有效负载;
6)删除IP地址和MAC地址;这是因为模型可能直接使用这些信息进行分类,导致过拟合。
(2)特征选择,主要有以下几类特征:时空特征、头部特征、握手特征、证书特征、统计特征等。
1)时空特征:包括数据包长度、间隔时间、连续分组方向,包大小转移矩阵以及熵值等;
2)头部特征:网络层和传输层头部,包括端口号、协议类型以及数据包长度等;
3)握手特征:包括协议版本、支持的扩展项等;
4)证书特征:包括证书链长度、使用者正常度等;
5)统计特征:整个流的特征,包括平均数据包长度、最小到达间隔时间等;
2、转换成索引文件。经过特征提取和标准化后,原来1480字节的数据变成了625字节,把625字节转换成25*25的矩阵,用索引文件进行打包。
3、利用70K-100K条数据对CNN分类器进行训练,获得训练好的CNN分类器,如图3所示。
4、捕获待识别的流量,并按照上述过程2对该流量进行处理,利用上述过程3训练后的CNN模型对流数据进行分类:
计算某个流匹配到每个类别的概率,并从中提取最大值Mp:
Mp=max{p1,p2,…,pn}
式中,pi表示流匹配到第i个类别的概率,i=1,2,...,n,n表示类别数;
判断条件Mp<λp是否成立,取λp=0.5,若成立,表示该流不属于任何类别,是未知类型,执行过程5;反之,表示该流存在所属类别,且该流对应的类别为匹配概率最大的类别。
5、利用SAE分类器对未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,具体包括:
SAE分类器(如图4所示)从接收到第一条未知类型流数据开始实时计算经过的时间T和收到的流数据的个数N,在T≥λt或N≥λn时,利用SAE分类器对收集到的流数据进行分类;取λt=24h,λn=10000;
假设SAE分类器将收集到的流数据分成了m个类别,对m个类别以及这些流数据进行标记;
利用标记后的流数据重新训练所述CNN分类器。
综上,未加密流量的特征提取方式大多聚焦在数据包大小和一些与时间有关的参数上,但是对于加密流量,本发明充分利用了握手阶段的未加密字段及证书信息等。本发明的方法应用于不要求实时分类的场景中,既可以对已知流量进行分类,也可以对未知流量进行分类。分类前需要确定分类目标和分类粒度。分类目标,如网络资源调度、入侵检测、个性化推荐等。分类粒度,如加密/非加密、协议类型、应用类型、网站类型、用户特殊行为、设备类型等。
以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.一种基于CNN和SAE的加密流量识别方法,其特征在于,所述识别方法包括以下步骤:
步骤1、根据分类要求收集加密流量数据,生成pcap文件;
步骤3、利用步骤2处理后的数据对CNN分类器进行训练;
步骤4、捕获待识别的流量,并按照步骤2的过程对该流量进行处理,之后利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5;
步骤5、利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,返回执行步骤4。
2.根据权利要求1所述的基于CNN和SAE的加密流量识别方法,其特征在于,步骤1所述收集加密流量数据的方式包括:从公开数据集中采集加密流量数据,或主动捕获加密流量数据。
3.根据权利要求2所述的基于CNN和SAE的加密流量识别方法,其特征在于,所述主动捕获加密流量数据的过程包括:
从客户端、服务端、网络边缘、网络核心以及它们之间的任何地方捕获网络流量数据包,并利用流分析器对网络流量数据包进行标记。
4.根据权利要求1所述的基于CNN和SAE的加密流量识别方法,步骤2中所述数据清洗包括:删除重复数据,删除数据中的无效值,以及填充缺失值;
所述特征提取包括提取以下特征:
1)时空特征:包括数据包长度、间隔时间、连续分组方向,包大小转移矩阵以及熵值;
2)头部特征:网络层和传输层头部,包括端口号、协议类型以及数据包长度;
3)握手特征:包括协议版本、支持的扩展项;
4)证书特征:包括证书链长度、使用者正常度;
5)统计特征:整个流的特征,包括平均数据包长度、最小到达间隔时间;
所述标准化包括:将提取的特征值缩放为[-1,+1]或[0,1]范围内的值。
5.根据权利要求4所述的基于CNN和SAE的加密流量识别方法,其特征在于,所述数据清洗具体包括:
1)删除数据包重传、冗余ACK带来的重复数据;
2)去除以太网头部;
3)对输入到神经网络CNN中的数据的大小进行统一;
4)将数据包长度统一截断或填充至1480字节;
5)丢弃SYN、ACK、FIN包;
6)删除IP地址和MAC地址。
6.根据权利要求1所述的基于CNN和SAE的加密流量识别方法,其特征在于,步骤4所述利用步骤3训练后的CNN模型对流数据进行分类,针对未实现分类即未知类型的流数据,执行步骤5,具体过程包括:
步骤4-1,计算某个流匹配到每个类别的概率,并从中提取最大值Mp:
Mp=max{p1,p2,…,pn}
式中,pi表示流匹配到第i个类别的概率,i=1,2,...,n,n表示类别数;
步骤4-2,判断条件Mp<λp是否成立,若成立,表示该流不属于任何类别,是未知类型,执行步骤5;反之,表示该流存在所属类别,且该流对应的类别为匹配概率最大的类别。
7.根据权利要求1所述的基于CNN和SAE的加密流量识别方法,其特征在于,步骤5所述利用SAE分类器对所述未知类型的流数据进行分类,利用分类后的流数据重新训练所述CNN分类器,具体包括:
步骤5-1,SAE分类器从接收到第一条未知类型流数据开始实时计算经过的时间T和收到的流数据的个数N,在T≥λt或N≥λn时,利用SAE分类器对收集到的流数据进行分类;
步骤5-2,假设SAE分类器将收集到的流数据分成了m个类别,对m个类别以及这些流数据进行标记;
步骤5-3,利用标记后的流数据重新训练所述CNN分类器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010358549.3A CN111611280A (zh) | 2020-04-29 | 2020-04-29 | 一种基于cnn和sae的加密流量识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010358549.3A CN111611280A (zh) | 2020-04-29 | 2020-04-29 | 一种基于cnn和sae的加密流量识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111611280A true CN111611280A (zh) | 2020-09-01 |
Family
ID=72199758
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010358549.3A Pending CN111611280A (zh) | 2020-04-29 | 2020-04-29 | 一种基于cnn和sae的加密流量识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111611280A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112270351A (zh) * | 2020-10-24 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于辅助分类生成对抗网络的半监督加密流量识别方法 |
CN112733689A (zh) * | 2020-12-31 | 2021-04-30 | 网络通信与安全紫金山实验室 | 一种https终端类型分类方法及装置 |
CN112749663A (zh) * | 2021-01-15 | 2021-05-04 | 金陵科技学院 | 基于物联网和ccnn模型的农业果实成熟度检测*** |
CN114338442A (zh) * | 2021-11-16 | 2022-04-12 | 山东师范大学 | 一种基于特征数据和深度学习的网络流量识别方法及*** |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类*** |
CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841440A (zh) * | 2010-04-30 | 2010-09-22 | 南京邮电大学 | 基于支持向量机与深层包检测的对等网络流量识别方法 |
CN108900360A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种基于多节点流量回放的网络背景生成***及方法 |
CN110650124A (zh) * | 2019-09-05 | 2020-01-03 | 长沙理工大学 | 一种基于多层回声状态网络的网络流量异常检测方法 |
CN110808971A (zh) * | 2019-10-30 | 2020-02-18 | 中国科学院信息工程研究所 | 一种基于深度嵌入的未知恶意流量主动检测***及方法 |
CN111064678A (zh) * | 2019-11-26 | 2020-04-24 | 西安电子科技大学 | 基于轻量级卷积神经网络的网络流量分类方法 |
-
2020
- 2020-04-29 CN CN202010358549.3A patent/CN111611280A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841440A (zh) * | 2010-04-30 | 2010-09-22 | 南京邮电大学 | 基于支持向量机与深层包检测的对等网络流量识别方法 |
CN108900360A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种基于多节点流量回放的网络背景生成***及方法 |
CN110650124A (zh) * | 2019-09-05 | 2020-01-03 | 长沙理工大学 | 一种基于多层回声状态网络的网络流量异常检测方法 |
CN110808971A (zh) * | 2019-10-30 | 2020-02-18 | 中国科学院信息工程研究所 | 一种基于深度嵌入的未知恶意流量主动检测***及方法 |
CN111064678A (zh) * | 2019-11-26 | 2020-04-24 | 西安电子科技大学 | 基于轻量级卷积神经网络的网络流量分类方法 |
Non-Patent Citations (1)
Title |
---|
李传煌等: "SDN 下基于深度学习混合模型的 DDoS 攻击检测与防御", 《通信学报》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112270351A (zh) * | 2020-10-24 | 2021-01-26 | 国网江苏省电力有限公司信息通信分公司 | 基于辅助分类生成对抗网络的半监督加密流量识别方法 |
CN112733689A (zh) * | 2020-12-31 | 2021-04-30 | 网络通信与安全紫金山实验室 | 一种https终端类型分类方法及装置 |
CN112733689B (zh) * | 2020-12-31 | 2024-03-26 | 网络通信与安全紫金山实验室 | 一种https终端类型分类方法及装置 |
CN112749663A (zh) * | 2021-01-15 | 2021-05-04 | 金陵科技学院 | 基于物联网和ccnn模型的农业果实成熟度检测*** |
CN112749663B (zh) * | 2021-01-15 | 2023-07-07 | 金陵科技学院 | 基于物联网和ccnn模型的农业果实成熟度检测*** |
CN114338442A (zh) * | 2021-11-16 | 2022-04-12 | 山东师范大学 | 一种基于特征数据和深度学习的网络流量识别方法及*** |
CN114338442B (zh) * | 2021-11-16 | 2024-05-10 | 山东师范大学 | 一种基于特征数据和深度学习的网络流量识别方法及*** |
CN114866486A (zh) * | 2022-03-18 | 2022-08-05 | 广州大学 | 一种基于数据包的加密流量分类*** |
CN115150165A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
CN115150165B (zh) * | 2022-06-30 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 一种流量识别方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111611280A (zh) | 一种基于cnn和sae的加密流量识别方法 | |
Rezaei et al. | Deep learning for encrypted traffic classification: An overview | |
CN108768986B (zh) | 一种加密流量分类方法及服务器、计算机可读存储介质 | |
CN113179223B (zh) | 一种基于深度学习和序列化特征的网络应用识别方法及*** | |
CN110012029B (zh) | 一种区分加密和非加密压缩流量的方法和*** | |
US8539221B2 (en) | Method and system for identifying an application type of encrypted traffic | |
CN111064678A (zh) | 基于轻量级卷积神经网络的网络流量分类方法 | |
KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
CN111565156B (zh) | 一种对网络流量识别分类的方法 | |
CN112511555A (zh) | 基于稀疏表示和卷积神经网络的私有加密协议报文分类法 | |
CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别***及方法 | |
CN112910853A (zh) | 基于混合特征的加密流量分类方法 | |
CN111147394A (zh) | 一种远程桌面协议流量行为的多级分类检测方法 | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
CN112036518B (zh) | 基于数据包字节分布的应用程序流量分类方法和存储介质 | |
Han et al. | An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform | |
CN111917665A (zh) | 一种终端应用数据流识别方法及*** | |
CN114091087B (zh) | 一种基于人工智能算法的加密流量识别方法 | |
Dener et al. | RFSE-GRU: Data balanced classification model for mobile encrypted traffic in big data environment | |
CN114338437B (zh) | 网络流量分类方法、装置、电子设备及存储介质 | |
Babaria et al. | Flowformers: Transformer-based models for real-time network flow classification | |
US11374838B1 (en) | Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning | |
CN116248530A (zh) | 一种基于长短时神经网络的加密流量识别方法 | |
CN115174961A (zh) | 一种面向高速网络的多平台视频流量早期识别方法 | |
CN113449768A (zh) | 一种基于短时傅里叶变换的网络流量分类装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |