CN112398865A - 多层协议嵌套情况下的应用层信息推理方法 - Google Patents
多层协议嵌套情况下的应用层信息推理方法 Download PDFInfo
- Publication number
- CN112398865A CN112398865A CN202011309663.3A CN202011309663A CN112398865A CN 112398865 A CN112398865 A CN 112398865A CN 202011309663 A CN202011309663 A CN 202011309663A CN 112398865 A CN112398865 A CN 112398865A
- Authority
- CN
- China
- Prior art keywords
- length
- protocol
- confidence
- information
- protocol header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多层协议嵌套情况下的应用层信息推理方法,包括:采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;将协议信息的组合形式中的协议头进行两两组合,获取对应的置信长度或置信偏移分布曲线;将置信长度或置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线;对置信长度偏移分布曲线进行极大似然估计,确定现网流量的多层协议嵌套似然组合。通过已经获取的定长协议头长度值或可变长协议头长度分布,获取两两组合后的置信长度或置信偏移分布曲线,并以此推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线,从而推断出现网流量中多层协议嵌套的组合情况。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种多层协议嵌套情况下的应用层信息推理方法。
背景技术
当前加密网络环境存在可用明文信息微存、未知加密协议众多、应用类型广泛、内容无法审查的状况,同时加密流量检测与分类方法存在忽略应用层信息、多依靠加密流量中伴生的明文信息等问题,难以实现对加密流量的准确检测、精细化分类和内容识别。应用层作为网络协议栈的最高层,与产生网络流量的应用及行为直接相关。主流网络流量加密协议主要实现在传输层或应用层。
在实际网络通信传输中,应用层协议的负载不一定是直接应用数据,而有可能是另一个应用层的协议头和负载(如基于HTTP协议的私有应用协议),也有可能是另一个报文(如VPN)甚至多层嵌套的报文(如多层VPN和Tor)。这种现象将为加密流量的应用层信息还原带来干扰,尤其是ADU的长度分布。
因此,如何高效还原被外层加密协议加密嵌套的协议和实际数据内容成为亟待解决的问题。
发明内容
有鉴于此,本发明实施例提供了一种多层协议嵌套情况下的应用层信息推理方法,以解决现有技术中还原被外层加密协议加密嵌套的协议和实际数据内容效率不够高的问题。
本发明实施例提供了一种多层协议嵌套情况下的应用层信息推理方法,包括:
采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成;
将协议信息的组合形式中的协议头进行两两组合,获取对应的置信长度或置信偏移分布曲线;
将置信长度或置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线;
对置信长度偏移分布曲线进行极大似然估计,确定现网流量的多层协议嵌套似然组合。
可选地,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
通过一个长度-概率的离散矩阵或者一个拟合函数对可变长协议头进行表达;
通过分析归纳构建可变长协议头的分布指纹特征。
可选地,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
大量采集现网流量,利用蒙特卡罗方法归纳已知可变长协议头的长度-概率分布。
可选地,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
在白盒环境下利用协议信息中协议头的不变部分对协议信息进行识别,而后采集大量样本进行归纳。
可选地,将置信长度或置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线包括:
在一层被加密协议嵌套的情况下,若第一应用数据单元前被添加了新的协议头,造成的应用层信息偏移被均摊至每个下层报文,长度影响体现为出现更多的报文、首报文长度偏移或末报文长度偏移,则建立各类非标准应用层协议的应用层信息特征样本库,从而还原出应用层的嵌套情况。
可选地,将置信长度或置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线包括:
在一层被加密协议嵌套的情况下,若第二应用数据单元被切分成报文之后,以报文为外层应用层数据进行加密封装,信息偏移存在于每一个报文中,则结合现有标准公开协议,构建网络层/传输层协议头嵌套下的应用层信息特征样本库。
可选地,对置信长度偏移分布曲线进行极大似然估计,确定现网流量的多层协议嵌套似然组合包括:
假设测试样本x∈{x1,x2,…,xn}服从U(0,k)的均匀分布,则测试样本的概率密度函数为:
测试样本的似然函数为:
其中,k≥max(x1,x2,L,xn)。
可选地,根据协议信息的组合形式获取对应的置信长度或置信偏移分布曲线,其中,置信度为95%。
可选地,通过一个长度-概率的离散矩阵或者一个拟合函数对可变长协议头进行表达,包括:
设定一个方便抽样的函数q(y),以及一个常量c,使得已知的分布p(y)总在分布cq(y)的下方;
从方便抽样的q(y)分布抽样得到z0;
从均匀分布(0,cq(z0))抽样得到u0;
如果u0刚好落到p(y)上方到分布cq(y)下方的区间内,则拒绝本次采样,否则接受这次采样yt=z0;
重复以上过程,得到接近p(y)分布的样本{y1,y2,...,ym};
其中,t为采样次数,m为有效采样次数,t=1…m。
本发明实施例提供的多层协议嵌套情况下的应用层信息推理方法,通过已经获取的定长协议头长度值或可变长协议头长度分布,获取两两组合后的置信长度或置信偏移分布曲线,并以此推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线,从而推断出现网流量中多层协议嵌套的组合情况。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1为本发明实施例中一种多层协议嵌套情况下的应用层信息推理方法的流程图;
图2为本发明实施例中应用层信息嵌套示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一种多层协议嵌套情况下的应用层信息推理方法,如图1所示,包括:
步骤S10,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式。协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成。
步骤S20,将协议信息的组合形式中的协议头进行两两组合,获取对应的置信长度或置信偏移分布曲线。
步骤S30,将置信长度或置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线。
步骤S40,对置信长度偏移分布曲线进行极大似然估计,确定现网流量的多层协议嵌套似然组合。
在本实施例中,如图2所示,在一层被加密协议嵌套的情况下,由于嵌套的协议和实际数据内容均被外层加密协议加密,因此存在两种情况:第一种,整个ADU前被添加了新的协议头,造成的应用层信息偏移被均摊至每个下层报文,长度影响体现为出现更多的报文、首报文长度偏移或末报文长度偏移;第二种,在ADU被切分成报文之后,以该报文为外层应用层数据进行加密封装,信息偏移存在于每一个报文中。因此协议信息的可能组合形式为:整个ADU前被添加了新的协议头和在ADU被切分成报文之后,以该报文为外层应用层数据进行加密封装,信息偏移存在于每一个报文中,这两种情况的排列组合。
第一种情况中,由于整体偏移量只能在一个ADU中的报文数量、首尾报文长度中进行体现,也就是对应用层信息长度偏移的影响仅包含一个头部,那么每个ADU增加的长度的值应是小于甚至远小于ADU本身的大小,此类偏移将会导致嵌套协议被识别为非嵌套状态;第二种情况中,与第一种情况相反,整个ADU的长度被增加了报文数量个的嵌套协议长度,因此还原出的ADU的长度将明显大于真实的ADU长度。
第一种情况对ADU真实长度的影响较小,需要对各类协议尤其是应用层协议的数据单元切分原理进行深入研究,建立各类非标准应用层协议的应用层信息特征样本库,从而还原出应用层的嵌套情况;第二种情况则结合现有标准公开协议,构建网络层/传输层协议头嵌套下的应用层信息特征样本库。
图2中的公式表明在可变长协议头的存在下,最典型的可变长协议头即为TCP协议头,误差将随着嵌套层数的增多而增大。因此对于多层协议嵌套的情况,如果单纯地对每一种协议进行互相组合,无论是从时间还是从成本上都难以实现。因此本实施例通过对现网流量进行分析,以获取可能的协议组合形式;而后通过已经获取的定长协议头长度值或可变长协议头长度分布,获取两两组合后的置信长度或置信偏移分布曲线,并以此推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线,从而推断出现网流量中多层协议嵌套的组合情况。
作为可选的实施方式,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
通过一个长度-概率的离散矩阵或者一个拟合函数对可变长协议头进行表达;
通过分析归纳构建可变长协议头的分布指纹特征。
在本实施例中,设定一个方便抽样的函数q(y),以及一个常量c,使得已知的分布p(y)总在分布cq(y)的下方;
从方便抽样的q(y)分布抽样得到z0;
从均匀分布(0,cq(z0))抽样得到u0;
如果u0刚好落到p(y)上方到分布cq(y)下方的区间内,则拒绝本次采样,否则接受这次采样yt=z0;
重复以上过程,得到接近p(y)分布的样本{y1,y2,...,ym};
其中,t为采样次数,m为有效采样次数,t=1…m。
通过对样本{y1,y2,...,ym}进行分析归纳构建可变长协议头的分布指纹特征。
作为可选的实施方式,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
大量采集现网流量,利用蒙特卡罗方法归纳已知可变长协议头的长度-概率分布。
在本实施例中,由于已知可变长协议头的长度-概率分布是不均匀的,因此通过蒙特卡罗方法对已知可变长协议头样本的长度-概率求解概率分布,并且蒙特卡罗方法在连续或离散时一样成立。
作为可选的实施方式,采集现网流量的测试样本并对测试样本进行分析,获取协议信息的组合形式;协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
在白盒环境下利用协议信息中协议头的不变部分对协议信息进行识别,而后采集大量样本进行归纳。
在本实施例中,随机的从样本中选择一个节点,以此为起点沿出边进行随机遍历,记录经过的所有节点和边,直到出现第一条重复的边为止,或者进入的某个节点不存在出边为止。在遍历过程中,用户也可随时停止遍历。
作为可选的实施方式,将置信长度或置信偏移分布曲线推广到协议多层嵌套,产生置信长度偏移分布曲线,包括:在一层被加密协议嵌套的情况下,若第一应用数据单元前被添加了新的协议头,造成的应用层信息偏移被均摊至每个下层报文,长度影响体现为出现更多的报文、首报文长度偏移或末报文长度偏移,则建立各类非标准应用层协议的应用层信息特征样本库,从而还原出应用层的嵌套情况。
作为可选的实施方式,将置信长度或置信偏移分布曲线推广到协议多层嵌套,置信度设为95%,产生置信长度偏移分布曲线,包括:在一层被加密协议嵌套的情况下,若第二应用数据单元被切分成报文之后,以报文为外层应用层数据进行加密封装,信息偏移存在于每一个报文中,则结合现有标准公开协议,构建网络层/传输层协议头嵌套下的应用层信息特征样本库。
置信度设为95%,选取样本集中的区域,以单个协议头的信息提取为例,采集该协议头数据所在数据段的信息,使得样本中95%或以上为该协议头数据。
在本实施例中,通过使用sigmid函数,将偏移量的范围限制到(0,1),使得预测框的中心坐标总位于格子内部,减少了模型的不稳定性。
作为可选的实施方式,通过极大似然估计的方式推断出测试样本的多层协议嵌套似然组合包括:假设测试样本x∈{x1,x2,…,xn}服从U(0,k)的均匀分布,则测试样本的概率密度函数为:
测试样本的似然函数为:
其中,k≥max(x1,x2,L,xn)。
在本实施例中,在特征样本库构建完成之后,则可以通过极大似然估计的方式推断出测试样本的多层协议嵌套似然组合,根据极大似然估计的计算结果确定测试样本的多层协议嵌套实际组合,从而再依据组合形式还原出应用层的嵌套情况,提高了嵌套加密流量的外层应用层进行负载加密后,对其进行解密还原的效率,同时实现了有效的应用层信息还原。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (9)
1.一种多层协议嵌套情况下的应用层信息推理方法,其特征在于,包括:
采集现网流量的测试样本并对所述测试样本进行分析,获取协议信息的组合形式;所述协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成;
将所述协议信息的组合形式中的协议头进行两两组合,获取对应的置信长度或置信偏移分布曲线;
将所述置信长度或所述置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线;
对所述置信长度偏移分布曲线进行极大似然估计,确定所述现网流量的多层协议嵌套似然组合。
2.根据权利要求1所述的应用层信息推理方法,其特征在于,采集现网流量的测试样本并对所述测试样本进行分析,获取协议信息的组合形式;所述协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
通过一个长度-概率的离散矩阵或者一个拟合函数对所述可变长协议头进行表达;
通过分析归纳构建可变长协议头的分布指纹特征。
3.根据权利要求1所述的应用层信息推理方法,其特征在于,采集现网流量的测试样本并对所述测试样本进行分析,获取协议信息的组合形式;所述协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
大量采集所述现网流量,利用蒙特卡罗方法归纳所述已知可变长协议头的长度-概率分布。
4.根据权利要求1所述的应用层信息推理方法,其特征在于,采集现网流量的测试样本并对所述测试样本进行分析,获取协议信息的组合形式;所述协议信息的组合为定长协议头、已知可变长协议头和未知可变长协议头中的至少一种组成,其中:
在白盒环境下利用所述协议信息中协议头的不变部分对所述协议信息进行识别,而后采集大量样本进行归纳。
5.根据权利要求1所述的应用层信息推理方法,其特征在于,将所述置信长度或所述置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线包括:在一层被加密协议嵌套的情况下,若第一应用数据单元前被添加了新的协议头,造成的应用层信息偏移被均摊至每个下层报文,长度影响体现为出现更多的报文、首报文长度偏移或末报文长度偏移,则建立各类非标准应用层协议的应用层信息特征样本库,从而还原出应用层的嵌套情况。
6.根据权利要求1所述的应用层信息推理方法,其特征在于,将所述置信长度或所述置信偏移分布曲线推广到协议多层嵌套的现网流量中,产生置信长度偏移分布曲线包括:在一层被加密协议嵌套的情况下,若第二应用数据单元被切分成报文之后,以所述报文为外层应用层数据进行加密封装,信息偏移存在于每一个所述报文中,则结合现有标准公开协议,构建网络层/传输层协议头嵌套下的应用层信息特征样本库。
7.根据权利要求1所述的应用层信息推理方法,其特征在于,对所述置信长度偏移分布曲线进行极大似然估计,确定所述现网流量的多层协议嵌套似然组合包括:
假设所述测试样本x∈{x1,x2,…,xn}服从U(0,k)的均匀分布,则所述测试样本的概率密度函数为:
所述测试样本的似然函数为:
其中,k≥max(x1,x2,L,xn)。
8.根据权利要求1所述的应用层信息推理方法,其特征在于,根据所述协议信息的组合形式获取对应的置信长度或置信偏移分布曲线,其中,置信度选取为95%。
9.根据权利要求2所述的应用层信息推理方法,其特征在于,通过一个长度-概率的离散矩阵或者一个拟合函数对所述可变长协议头进行表达,包括:
设定一个方便抽样的函数q(y),以及一个常量c,使得已知的分布p(y)总在分布cq(y)的下方;
从所述方便抽样的q(y)分布抽样得到z0;
从均匀分布(0,cq(z0))抽样得到u0;
如果u0刚好落到所述p(y)上方到所述分布cq(y)下方的区间内,则拒绝本次采样,否则接受这次采样yt=z0;
重复以上过程,得到接近p(y)分布的样本{y1,y2,...,ym};
其中,t为采样次数,m为有效采样次数,t=1…m。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011309663.3A CN112398865B (zh) | 2020-11-20 | 2020-11-20 | 多层协议嵌套情况下的应用层信息推理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011309663.3A CN112398865B (zh) | 2020-11-20 | 2020-11-20 | 多层协议嵌套情况下的应用层信息推理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398865A true CN112398865A (zh) | 2021-02-23 |
| CN112398865B CN112398865B (zh) | 2022-11-08 |
Family
ID=74605998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011309663.3A Active CN112398865B (zh) | 2020-11-20 | 2020-11-20 | 多层协议嵌套情况下的应用层信息推理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398865B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及*** |
| CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
| CN103067218A (zh) * | 2012-12-14 | 2013-04-24 | 华中科技大学 | 一种高速网络数据包内容分析装置 |
| CN109922081A (zh) * | 2019-04-02 | 2019-06-21 | 全知科技(杭州)有限责任公司 | 一种tcp流长连接数据分析方法 |
| CN109951464A (zh) * | 2019-03-07 | 2019-06-28 | 西安电子科技大学 | 未知二进制私有协议的报文序列聚类方法 |
| CN111147483A (zh) * | 2019-12-25 | 2020-05-12 | 武汉绿色网络信息服务有限责任公司 | 一种对原始网络数据包的有损压缩存储方法和装置 |
-
2020
- 2020-11-20 CN CN202011309663.3A patent/CN112398865B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426000A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种通用协议解析方法及*** |
| CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
| CN103067218A (zh) * | 2012-12-14 | 2013-04-24 | 华中科技大学 | 一种高速网络数据包内容分析装置 |
| CN109951464A (zh) * | 2019-03-07 | 2019-06-28 | 西安电子科技大学 | 未知二进制私有协议的报文序列聚类方法 |
| CN109922081A (zh) * | 2019-04-02 | 2019-06-21 | 全知科技(杭州)有限责任公司 | 一种tcp流长连接数据分析方法 |
| CN111147483A (zh) * | 2019-12-25 | 2020-05-12 | 武汉绿色网络信息服务有限责任公司 | 一种对原始网络数据包的有损压缩存储方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398865B (zh) | 2022-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shapira et al. | FlowPic: A generic representation for encrypted traffic classification and applications identification | |
| CN112163594B (zh) | 一种网络加密流量识别方法及装置 | |
| Chen et al. | Seq2img: A sequence-to-image based approach towards ip traffic classification using convolutional neural networks | |
| CN111031071B (zh) | 恶意流量的识别方法、装置、计算机设备及存储介质 | |
| CN110290022B (zh) | 一种基于自适应聚类的未知应用层协议识别方法 | |
| CN111464485A (zh) | 一种加密代理流量检测方法和装置 | |
| CN111860628A (zh) | 一种基于深度学习的流量识别与特征提取方法 | |
| CN105429968B (zh) | 基于布隆过滤器的网络取证载荷归属方法及*** | |
| CN112994984B (zh) | 识别协议及内容的方法、存储设备、安全网关、服务器 | |
| CN112019449B (zh) | 流量识别抓包方法和装置 | |
| WO2015154484A1 (zh) | 流量数据分类方法及装置 | |
| Wang et al. | Using entropy to classify traffic more deeply | |
| US20220174083A1 (en) | Method and device for detecting malicious activity over encrypted secure channel | |
| CN113328985A (zh) | 一种被动物联网设备识别方法、***、介质及设备 | |
| CN111526101A (zh) | 一种基于机器学习的物联网动态流量分类方法 | |
| Liu et al. | Semi-supervised encrypted traffic classification using composite features set | |
| CN111626322A (zh) | 一种基于小波变换的加密流量的应用活动识别方法 | |
| CN112398865B (zh) | 多层协议嵌套情况下的应用层信息推理方法 | |
| CN112688924A (zh) | 网络协议分析*** | |
| CN116340814A (zh) | 加密流量分类方法、装置、电子设备和计算机可读介质 | |
| CN114866301B (zh) | 基于直推图的加密流量识别与分类方法及*** | |
| Ramström | Botnet detection on flow data using the reconstruction error from Autoencoders trained on Word2Vec network embeddings | |
| CN110808915B (zh) | 数据流所属应用识别方法、装置及数据处理设备 | |
| Hurley et al. | Classifying network protocols: a ‘two-way’flow approach | |
| CN113469275A (zh) | 一种以太坊行为流量精细化分类方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20221025 Address after: 215000 Station 004, Building 7, Yongchun Industrial Park, No. 88, Chunwang Road, Huangdai Town, Xiangcheng District, Changzhou City, Jiangsu Province (cluster registration) Applicant after: Suzhou Panbing Technology Co.,Ltd. Address before: Room 307 309, Mingde Institute (6 #), National University Science Park (Suzhou), Southeast University, No. 399, Linquan Street, Suzhou Industrial Park, Jiangsu Province, 215000 Applicant before: Suzhou Xinwang TianDun Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |