CN114465786A - 一种加密网络流量的监控方法 - Google Patents
一种加密网络流量的监控方法 Download PDFInfo
- Publication number
- CN114465786A CN114465786A CN202210074853.4A CN202210074853A CN114465786A CN 114465786 A CN114465786 A CN 114465786A CN 202210074853 A CN202210074853 A CN 202210074853A CN 114465786 A CN114465786 A CN 114465786A
- Authority
- CN
- China
- Prior art keywords
- flow
- encrypted
- model
- traffic
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种加密网络流量的监控方法,包括加密流量,通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。
Description
技术领域
本发明涉及网络监控技术领域,主要提供一种加密网络流量的监控方法。
背景技术
近年来,网络流量在不同的网络协议和行为准则下发生了巨大变化,大多数网络流量以加密的方式进行传输,随着加密网络流量的逐步盛行,明文协议的使用频率较低,尽管它们在LAN网络中仍然相对流行,在网络内容加密传输的应用场景中,网络的可见性就变得尤为重要了。这意味着需要用新的测量指标来补充现有技术,检测加密网络流量的同时对该流量进行特征化,用于识别网络行为以及防备安全威胁和变化。
假设网络的可见性是当代网络安全机制的基础,显然很有必要采取适当的措施及机制来保证零信任或虚拟网络的正常运行;因为各种原因,加密流量的解密并不实用,包括但不限于道德和技术问题,这些问题阻止中间人技术在非 TLS(传输层安全)协议(如SSH、BitTorrent和Skype)上运行。
与传统的其他的方法不同,本发明在不搜索特定流量或恶意软件指纹的情况下,以简化计算量的方式构建网络流量模型对流量进行分类。同时定义了一种新的度量指标和技术,类似于用于明文的指标和技术,可以用于加密流量的处理。达到了在不解码加密流量有效负载的情况下与明文传输具有相同级别的可见性,以解决以上的缺陷。
发明内容
(一)发明目的
本发明的目的在于提供一种加密网络流量的监控方法,以解决上述背景技术中提出的问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种加密网络流量的监控方法,包括加密流量,其特征在于:通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
优选的,首先进行下面的度量指标的计算:
1.将加密流量连接建立后首个流量包的载荷大小划分为Ml个分箱,分别为其中PLi表示第i个分箱的范围,分箱范围分别为,PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;大于个字节。优选地,α=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间 20*Tms至21*Tms;IAT3:包含在区间21*Tms至 22*Tms;大于优选地,T=1,M2=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
优选的,步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
优选的,对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
6、优选的,其次,计算流量模型参数,基于步骤一的数据集,基于同一种类型流量的多个样本计算上述四个无符号64比特整数值的平均值,以及服务端到客户端的字节熵和客户端到服务端的字节熵,流量模型与参数表对应关系如下:
根据上述表格中的流量参数计算获得的流量模型标识,既可以区分正常流量,也可以区分恶意流量,对于恶意流量模型,设置相关的流量模型标识,便于对恶意流量进行监控以及告知网络控制***进行相应的处理。
优选的,步骤五:分别计算被检测加密流量与流量模型的欧式距离,对流量进行分类;基于上述流量模型的参数,分别计算被检测新流量与各流量模型的欧式距离,计算方法如下:
其中,ωj,k表示第j个模型的第k个度量指标,Yk表示被检测流量的第k个度量指标,N表示步骤五中构建模型采用的度量指标总数量,优选的N=6。Dj表示被检测流量与第j个模型的欧式距离,如果Dj小于某个预设的门限值Tj,则认为该流量合法,否则认为该流量为新流量模型。
优选的,对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
与现有技术相比,本发明的有益效果是:本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。
附图说明
图1为本发明的流程示意图。
具体实施方式
请参阅图1,本发明提供一种技术方案:一种加密网络流量的监控方法,包括加密流量,通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤一,设置加密流量模型的监测度量指标,形成度量指标向量,
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
进一步的,首先进行下面的度量指标的计算:
1.将加密连接建立后首个流量包的载荷大小划分为M1个分箱,分别为其中PLi表示第i个分箱的范围,分箱范围分别为, PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;大于个字节。优选地,α=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间20*Tms 至21*Tms;IAT3:包含在区间21*Tms至22*Tms;大于优选地,T=1,M2=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
进一步的,步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
进一步的,对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
进一步的,其次,计算流量模型参数,基于步骤一的数据集,基于同一种类型流量的多个样本计算上述四个无符号64比特整数值的平均值,以及服务端到客户端的字节熵和客户端到服务端的字节熵,流量模型与参数表对应关系如下:
根据上述表格中的流量参数计算获得的流量模型标识,既可以区分正常流量,也可以区分恶意流量,对于恶意流量模型,设置相关的流量模型标识,便于对恶意流量进行监控以及告知网络控制***进行相应的处理。
进一步的,步骤五:分别计算被检测加密流量与流量模型的欧式距离,对流量进行分类;基于上述流量模型的参数,分别计算被检测新流量与各流量模型的欧式距离,计算方法如下:
其中,ωj,k表示第j个模型的第k个度量指标,Yk表示被检测流量的第k个度量指标,N表示步骤五中构建模型采用的度量指标总数量,优选的N=6。Dj表示被检测流量与第j个模型的欧式距离,如果Dj小于某个预设的门限值Tj,则认为该流量合法,否则认为该流量为新流量模型。
进一步的,步骤六:对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
本发明的工作原理:本发明提出的一种加密流量监控方法,在实践中可使加密流量网络的可见性方法和实现算法得到增强,采用基于数据分箱的流量模型技术,在不解密网络内容的情况下,不仅可以大大降低监测过程的计算量,还可以检查流量是否符合预期的行为模型,达到监控识别恶意流量的目的。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。术语“中心”、“纵向”、“横向”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为便于描述本发明的简化描述,而不是指示或暗指所指的装置或元件必须具有特定的方位、为特定的方位构造和操作,因而不能理解为对本发明保护内容的限制。
尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种加密网络流量的监控方法,包括加密流量,其特征在于:通过设置加密流量的检测度量指标,形成加密流量指标的特征向量,采用非对称的分箱技术简化加密流量指标值的计算,通过归一化度量指标值,形成加密流量的流量模型的度量指标向量;然后分别计算被检测加密流量与已知流量模型的欧式距离,实现对被检测流量的分类;从而达到少量计算就可以实现监控加密流量的目的;对于新增的流量模型,将该流量设置为未知流量模型,同时将流量设置为有限权限,可访问部分必要的网络***资源,计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型,其具体步骤流程如下:
步骤二,加密流量数据样本采集:根据加密流量数据包头信息中的五元组将加密网络流量数据包划分为不同的网络流,所述五元组为源IP、源端口、目的IP、目的端口和协议,使用网络流量特征提取工具比如:CICFlowMeter对各个网络流进行特征提取,提取每个网络流的特征值,比如:
按照上述指标采集已知标准加密流量数据样本中的流量指标,形成流量模型标准流量样本或来自互联网上下载CICIDS2017的加密流量数据集,或来自NIST物联网加密流量集,或来自实时采集的含有恶意流量的数据集合,加密流量的采集数量不低于某个门限,且包含当前已知的各种正常以及非正常加密流量。然后将采集的指标构成流量模型指标库
步骤三,计算加密流量模型指标库的特征值,在上述流量模型库中,根据相同的协议版本号的流量指标向量,采用分箱的技术方法构建流量模型的指标库特征值,分箱采用非对称的方式进行构建。
2.根据权利要求1所述的一种加密网络流量的监控方法,其特征在于:首先进行下面的度量指标的计算:
1.将加密流量连接建立后首个流量包的载荷大小划分为M1个分箱,分别为其中PLi表示第i个分箱的范围,分箱范围分别为,PL1:小于2α个字节;PL2:包含在区间2α至2α+1个字节;PL3:包含在区间2α+1至2α+2个字节;大于个字节。优选地,a=5,M1=8。
2.将加密流量包的IAT也划分为M2个分箱,分别为其中IATi表示第i个分箱的IAT值的范围,分箱范围分别为,IAT1:小于20*Tms;IAT2:包含在区间20*Tms至21*Tms;IAT3:包含在区间21*Tms至22*Tms;大于优选地,T=1,M2=8。
5.计算负载字节信息熵H(X):为了节省周期计算的计算开销,基于连接的第一个长度为L的数据包,比如256,创建一个长度为L的整数向量对于有效负载的每个字节,变换为该整数向量的元素。然后在此向量上计算字节熵。
3.根据权利要求2所述的一种加密网络流量的监控方法,其特征在于:步骤四,归一化流量模型指标库特征值,建立加密流量的流量模型,首先,将步骤三计算获得的流量包载荷大小、流量包的IAT、连接持续时间和连接建立的频次等数据分箱进行归一化处理输出相应的值,比如:分箱值归一化为占总数的百分比,这使能够保留时间或数据包长度的简单细节,同时也考虑流之间的差异。
4.根据权利要求3所述的一种加密网络流量的监控方法,其特征在于:对于每一个度量指标分别用一个64位的值来标识分箱,其中该值的8个字节对应的二进制的值分别对应为第i个数据分箱的值,其中,PL′表示流量包的载荷大小分箱经过归一化后的64比特无符号整数值,IAT′表示加密流量包的IAT分箱经过归一化后的64比特无符号整数值,FD′表示加密流量连接持续时间分箱经过归一化后的64比特无符号整数值,CF′表示加密流量新连接创建的频率分箱经过归一化后的64比特无符号整数值。
7.根据权利要求6所述的一种加密网络流量的监控方法,其特征在于:步骤六:对于新流量模型,将该流量设置为未知流量模型,告知网络监控***,将该流量设置为有限权限,可访问部分必要的网络***资源,同时计算其字节熵值,作为新流量模型的特征值,在累计了一定数量的新流量样本后,计算其相应的流量模型参数值,然后将该流量模型标记为已知的流量模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210074853.4A CN114465786B (zh) | 2022-01-21 | 2022-01-21 | 一种加密网络流量的监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210074853.4A CN114465786B (zh) | 2022-01-21 | 2022-01-21 | 一种加密网络流量的监控方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114465786A true CN114465786A (zh) | 2022-05-10 |
CN114465786B CN114465786B (zh) | 2023-10-20 |
Family
ID=81410853
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210074853.4A Active CN114465786B (zh) | 2022-01-21 | 2022-01-21 | 一种加密网络流量的监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114465786B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117692257A (zh) * | 2024-02-02 | 2024-03-12 | 数盾信息科技股份有限公司 | 一种电力物联网业务数据的高速加密方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN110012029A (zh) * | 2019-04-22 | 2019-07-12 | 中国科学院声学研究所 | 一种区分加密和非加密压缩流量的方法和*** |
CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
-
2022
- 2022-01-21 CN CN202210074853.4A patent/CN114465786B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871832A (zh) * | 2016-03-29 | 2016-08-17 | 北京理工大学 | 一种基于协议属性的网络应用加密流量识别方法及其装置 |
US20170364794A1 (en) * | 2016-06-20 | 2017-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for classifying the payload of encrypted traffic flows |
CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
CN108833360A (zh) * | 2018-05-23 | 2018-11-16 | 四川大学 | 一种基于机器学习的恶意加密流量识别技术 |
CN110012029A (zh) * | 2019-04-22 | 2019-07-12 | 中国科学院声学研究所 | 一种区分加密和非加密压缩流量的方法和*** |
CN110493208A (zh) * | 2019-08-09 | 2019-11-22 | 南京聚铭网络科技有限公司 | 一种多特征的dns结合https恶意加密流量识别方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117692257A (zh) * | 2024-02-02 | 2024-03-12 | 数盾信息科技股份有限公司 | 一种电力物联网业务数据的高速加密方法及装置 |
CN117692257B (zh) * | 2024-02-02 | 2024-04-30 | 数盾信息科技股份有限公司 | 一种电力物联网业务数据的高速加密方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114465786B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
EP3304853B1 (en) | Detection of malware and malicious applications | |
KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
Lin et al. | Application classification using packet size distribution and port association | |
US10855549B2 (en) | Network data processing driver for a cognitive artificial intelligence system | |
US20060262789A1 (en) | Method and corresponding device for packets classification | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
WO2020228527A1 (zh) | 数据流的分类方法和报文转发设备 | |
CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
CN114465786B (zh) | 一种加密网络流量的监控方法 | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
KR101437008B1 (ko) | 트래픽 분석 장치 및 방법 | |
CN113037748A (zh) | 一种c&c信道混合检测方法及*** | |
Oh et al. | Appsniffer: Towards robust mobile app fingerprinting against VPN | |
CN114465787B (zh) | 一种基于dpi的物联网加密流量监控方法 | |
CN114124551B (zh) | 一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法 | |
CN114978593B (zh) | 基于图匹配的不同网络环境的加密流量分类方法及*** | |
KR20140117217A (ko) | 빅데이터 분석을 이용한 유해 정보 수집 방법 및 장치 | |
CN115065592A (zh) | 信息处理方法、装置及存储介质 | |
CN114338070B (zh) | 基于协议属性的Shadowsocks(R)识别方法 | |
Kong et al. | A method of detecting the abnormal encrypted traffic based on machine learning and Behavior characteristics | |
CN115766204B (zh) | 一种针对加密流量的动态ip设备标识***及方法 | |
CN106911586B (zh) | 一种服务质量Qos优化方法和装置 | |
CN106790245B (zh) | 一种基于云服务的实时僵尸网络检测方法 | |
CN114006725B (zh) | 一种多层次信息融合的网络攻击态势实时感知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 571924 301, floor 3, building A09, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Haikou City, Hainan Province Applicant after: Jizhi (Hainan) Information Technology Co.,Ltd. Address before: 571924 301, floor 3, building A09, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Haikou City, Hainan Province Applicant before: Zhongdian Jizhi (Hainan) Information Technology Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |