CN118101357A - 一种结合数据包语义的网络流量分类方法 - Google Patents
一种结合数据包语义的网络流量分类方法 Download PDFInfo
- Publication number
- CN118101357A CN118101357A CN202410525137.2A CN202410525137A CN118101357A CN 118101357 A CN118101357 A CN 118101357A CN 202410525137 A CN202410525137 A CN 202410525137A CN 118101357 A CN118101357 A CN 118101357A
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- feature vector
- network flow
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 239000013598 vector Substances 0.000 claims abstract description 103
- 230000006854 communication Effects 0.000 claims abstract description 32
- 238000005111 flow chemistry technique Methods 0.000 claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 7
- 238000012549 training Methods 0.000 claims description 7
- 238000003062 neural network model Methods 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 16
- 230000007547 defect Effects 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000013135 deep learning Methods 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种结合数据包语义的网络流量分类方法,将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量;将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量;将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。本发明根据不同传输层协议的特点,采用不同的方法来构图,充分表示不同的通信过程,以此利用数据包之间的上下文信息,弥补了现有方法没有利用上下文信息的缺陷。
Description
技术领域
本发明属于计算机网络安全技术领域,尤其涉及一种结合数据包语义的网络流量分类方法。
背景技术
随着互联网的逐渐普及,网络流量日益增加,网络流量分类也随之成为重要的研究领域。网络流量分类旨在对来自不同网络应用或者Web服务的网络流量进行识别,对网络管理与网络安全有重要意义。然而,在如今的网络环境中,加密流量占据了绝大部分,流量加密技术的广泛使用在保护互联网用户隐私的同时,也为恶意软件和网络中的不法分子提供了隐蔽手段,他们利用加密技术如Tor、VPN等来逃避检测。因此,网络流量分类在防火墙、IPS、IDS、访问控制、QoS等应用领域发挥着重要的作用,如何适应当今流量广泛加密的网络环境,并准确地进行网络流量分类成为当前网络流量分类任务所面临的主要挑战。
在互联网发展初期,对网络流量进行分类采用基于端口的方法,因为这一阶段的网络应用很少,并且都采用固定的端口进行通信。但由于动态端口技术的发展以及网络应用程序数量的增多,这种方法不再有效。在随后的研究中,往往采用深度包检测技术(DPI)对网络流量进行分类,这一技术使用网络流量数据包中的有效载荷来提取固定的模式或关键字,如设备信息、加密证书、指纹等。然而随着加密流量技术的发展,这种技术无法对加密后的数据包进行检测。一些研究结合网络流量统计特征,并采用机器学习算法来处理加密流量,这类方法的主要问题是泛化性差,模型表现严重依赖于专家对于特征的设计,难以面对当前复杂海量的网络应用程序。
针对上述传统方法存在的问题,目前的研究往往采用深度学习方法,并取得了显著的性能提升。目前采用深度学习方法的解决方案主要是使用深度学习技术从网络流量中自动提取特征向量,避免了手动提取向量的过程,使检测模型更具适应性。然而现有基于深度学习方法的研究依然存在很多问题。首先,现有的研究从网络流量中提取数据包或者网络流的特征向量,但是并没有充分结合网络通信双方之间的通信上下文,损失了这部分上下文信息。其次,现有方法在对数据包进行处理时,往往将数据包头和数据包内的有效载荷采用同样的方法进行处理,而数据包头并没有进行加密,不同于经过加密混淆过的有效载荷,包头部分的内容有着丰富的语义信息,而现有研究对这部分信息利用不足。
发明内容
本发明的目的在于提供一种结合数据包语义的网络流量分类方法,旨在解决现有网络流量分类方法存在对通信上下文利用不充分、对包头语义信息利用不充分的问题。
本发明是这样实现的,一种结合数据包语义的网络流量分类方法,所述方法包括以下步骤:
步骤S1:将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量;
步骤S2:将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量;
步骤S3:将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。
本发明的进一步技术方案是:所述步骤S1包括以下步骤:
步骤S11:流量处理工具根据协议栈进行解析,得到数据链路层、网络层、传输层、应用层以及有效载荷各个网络层次的结果,将不加密的各个层次的数据包头解析结果聚合在一起,得到接近自然语言的协议解析结果;
步骤S12:将数据包头的解析结果输入到预训练语言模型中,得到数据包头的特征向量;
步骤S13:利用数据包有效负载中的字节信息,计算数据包有效负载的字节熵,作为数据包有效负载特征向量。
本发明的进一步技术方案是:步骤S13中,采用滑动窗口的方法计算字节熵,以2048字节窗口大小,以1024字节为步长来滑动,将每个滑动窗口的字节熵增加到直方图中,最终得到1*256维的有效负载特征向量。
本发明的进一步技术方案是:流量处理工具采用Wireshark。
本发明的进一步技术方案是:所述步骤S2包括以下步骤:
步骤S21:将数据包包头特征向量与有效负载特征向量分别输入两个独立的滤波器进行计算,滤波器由两个线性层以及激活函数组成;
步骤S22:计算数据包包头特征向量与有效负载门控向量对应元素的乘积,以及有效负载特征向量与数据包包头门控向量对应元素的乘积;
步骤S23:将步骤S21中两个特征向量的计算结果进行拼接,以拼接后的特征向量来表示整个数据包的语义,作为数据包特征向量。
本发明的进一步技术方案是:所述步骤S3包括以下步骤:
步骤S31:分析所有网络流量数据包,对于每一个出现在相同五元组的数据包,视作它们处于同一通信过程,将其归到一起;
步骤S32:根据不同的传输层协议特点构图,若为TCP协议,则根据数据包的序号顺序作边,并且根据数据包之间的确认关系做边,若为UDP协议,则仅根据数据包到达的顺序作边,图中的节点为网络流量数据包,节点的初始特征为所述步骤S2中最终求得的数据包特征向量;
步骤S33:使用图神经网络模型对整张图进行分类,由于图中的每个节点都具有相同的五元组,因此图的类别就是最终每个节点的类别,完成网络流量分类。
本发明的进一步技术方案是:所述五元组为源IP地址、目的IP地址、源端口、目的端口及传输层协议。
本发明的有益效果是:本发明根据不同传输层协议的特点,采用不同的方法来构图,充分表示不同的通信过程,以此利用数据包之间的上下文信息,弥补了现有方法没有利用上下文信息的缺陷。
附图说明
图1是本发明方法的模型结构;
图2是本发明方法的流程图;
图3是本发明方法实施例的模型流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。
本发明提出的结合数据包语义的网络流量分类方法的实施流程如图2所示。本发明提供的结合数据包语义的网络流量分类方法,所述方法包括以下步骤:
步骤S1:将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量;
步骤S2:将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量;
步骤S3:将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。
优先地,所述步骤S1包括以下步骤:
步骤S11:流量处理工具根据协议栈进行解析,得到数据链路层、网络层、传输层、应用层以及有效载荷各个网络层次的结果,将不加密的各个层次的数据包头解析结果聚合在一起,得到接近自然语言的协议解析结果;
步骤S12:将数据包头的解析结果输入到预训练语言模型中,得到数据包头的特征向量;
步骤S13:利用数据包有效负载中的字节信息,计算数据包有效负载的字节熵,作为数据包有效负载特征向量。
优先地,步骤S13中,采用滑动窗口的方法计算字节熵,以2048字节窗口大小,以1024字节为步长来滑动,将每个滑动窗口的字节熵增加到直方图中,最终得到1*256维的有效负载特征向量。
优先地,流量处理工具采用Wireshark。
优先地,所述步骤S2包括以下步骤:
步骤S21:将数据包包头特征向量与有效负载特征向量分别输入两个独立的滤波器进行计算,滤波器由两个线性层以及激活函数组成;
步骤S22:计算数据包包头特征向量与有效负载门控向量对应元素的乘积,以及有效负载特征向量与数据包包头门控向量对应元素的乘积;
步骤S23:将步骤S21中两个特征向量的计算结果进行拼接,以拼接后的特征向量来表示整个数据包的语义,作为数据包特征向量。
优先地,所述步骤S3包括以下步骤:
步骤S31:分析所有网络流量数据包,对于每一个出现在相同五元组的数据包,视作它们处于同一通信过程,将其归到一起;
步骤S32:根据不同的传输层协议特点构图,若为TCP协议,则根据数据包的序号顺序作边,并且根据数据包之间的确认关系做边,若为UDP协议,则仅根据数据包到达的顺序作边,图中的节点为网络流量数据包,节点的初始特征为所述步骤S2中最终求得的数据包特征向量;
步骤S33:使用图神经网络模型对整张图进行分类,由于图中的每个节点都具有相同的五元组,因此图的类别就是最终每个节点的类别,完成网络流量分类。
优先地,所述五元组为源IP地址、目的IP地址、源端口、目的端口及传输层协议。
针对现有问题,本发明提出了一种结合数据包语义的网络流量分类方法,提出了一种新的提取数据包语义的方法以及数据包之间上下文的构建方法,以此来对网络流量进行充分建模。最后采用充分结合数据包语义以及上下文的表示来对网络流量进行分类。
在提取数据包语义的过程中,本发明针对数据包头和数据包有效载荷分别进行处理,对于富含语义信息的数据包头,先是对包头的协议栈进行解码,现有的工具可以将包头中的信息转化为类似自然语言的形式,再采用预训练语言模型来充分利用其中的语义信息。对于有效负载来说,由于已经经过加密混淆,其中的字节信息已经没有语义,则计算其有效负载的字节熵,用于后续的分类。这样就实现了数据包头和数据包有效负载的分别处理,充分利用了数据包的语义信息。
为了有效结合数据包上下文,本发明针对不同的协议特点,对网络通信双方的通信过程进行不同的处理,以此来充分利用数据包之间的上下文信息,从而提升网络流量分类的效果。
本发明提供了一种结合数据包语义的网络流量分类方法及***,包括以下步骤:步骤S1,将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量;步骤S2,将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量;步骤S3,将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。
其中在步骤S1中将数据包包头与有效载荷分别处理,分别得到二者的特征向量。首先给出其处理过程:
将数据包输入到网络流量处理工具,如Wireshark中,区分包头和有效负载以及得到协议栈解析结果;将包头的协议栈解析结果输入到预训练语言模型中,得到包头特征向量;利用数据包有效负载中的字节信息,计算数据包有效负载的字节熵,作为数据包有效负载特征向量。以上步骤是处理网络流量数据包的包头和有效载荷的过程。
其中在步骤S2中是采用交叉门控机制对包头和有效负载的特征向量进行融合。其过程包括:将包头和有效负载的特征向量分别输入两个线性层组成的滤波器中,得到门控向量;计算包头特征向量与有效负载门控向量对应元素的乘积,计算有效负载特征向量与包头门控向量对应元素的乘积,得到最终的包头特征向量与有效负载特征向量;将包头特征向量与有效负载特征向量进行拼接,得到整个数据包的特征向量。以上步骤是将提取的包头和有效载荷特征向量进行融合的过程。
其中在步骤S3中是将同一通信过程中的网络流量数据包构成一张图,表示此次通信过程,并对该图进行分类,从而对该图中所有网络流量分类。其过程包括:将网络流量数据包根据五元组(源IP地址,目的IP地址,源端口,目的端口,传输层协议)进行划分,具有相同五元组的网络流量数据包处于同一通信过程;根据不同传输层协议的特点构成图,以网络流量数据包作为图中的节点,以网络流量数据包之间的关系作为边;使用图神经网络模型对整张图进行分类,则包含在此次通信过程中的所有网络流量数据包均完成分类。
以上步骤是将同一通信过程中的网络流量数据包构成图,并进行分类的过程,模型结构如图1所示。
接下来,对本发明的实现流程做详细说明。
步骤S1:将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量。
101:将网络流量数据包输入到流量处理工具,如Wireshark中,将会根据协议栈进行解析,得到数据链路层、网络层、传输层、应用层以及有效载荷各个网络层次的结果,将不加密的各个层次的包头解析结果聚合在一起,得到接近自然语言的协议解析结果;
102:将包头的解析结果输入到预训练语言模型BERT中,得到包头特征向量;
103:由于有效负载经过加密混淆,因此无法从中得到语义信息,因此计算其字节熵作为有效负载特征向量,为了细化特征向量的粒度,我们并没有直接计算整个有效负载的字节熵,而是采用滑动窗口的方法,以2048字节窗口大小,以1024字节为步长来滑动。将每个滑动窗口的字节熵增加到直方图中,最终得到1*256维的有效负载特征向量,因为字节值为0-255。
步骤S2:将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量。
201:我们设计了两个独立的滤波器,分别对包头特征向量与有效负载特征向量进行计算,滤波器由两个线性层以及激活函数组成;
202:我们分别计算包头特征向量与有效负载门控向量对应元素的乘积,以及有效负载特征向量与包头门控向量对应元素的乘积,这样的计算过程可以剔除不重要的信息,并使两个特征向量保留对分类有效的信息;
203:我们将202中对两个特征向量的计算结果进行拼接,以拼接后的特征向量来表示整个数据包的语义,作为数据包特征向量。
步骤S3:将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。
301:分析所有网络流量数据包,对于每一个出现在相同五元组的数据包,视作它们处于同一通信过程,将其归到一起,准备后续对它们统一构图并分类;
302:根据不同的传输层协议特点构图,若为TCP协议,则根据数据包的序号顺序作边,并且根据数据包之间的确认关系做边。若为UDP协议,则仅根据数据包到达的顺序作边,图中的节点为网络流量数据包,节点的初始特征为步骤S2中最终求得的数据包特征向量;
303:使用图神经网络模型对整张图进行分类,由于图中的每个节点都具有相同的五元组,因此图的类别就是最终每个节点的类别,最终完成网络流量分类。
在说明书附图3中,展示了在一个具体的实施例中,对一个数据包的信息处理,以及对数据包进行分类的全流程。不同于现有方法对数据包包头和有效负载同时处理,视作灰度图,或者数据包包头只采用字节信息。本发明在计算数据包语义的过程中,对数据包包头和数据包有效载荷分别处理,对明文的包头信息,利用预训练语言模型,充分利用其中语义,达到更加准确的表示;对有效负载采用字节熵进行表示,一方面结合了数据包包头不加密的特点,利用了其中的语义信息;另一方面,在对数据包有效负载的表示过程中,结合其已经加密混淆,无法利用语义的特点,采用字节熵对其进行更准确的表示,并使用滑动窗口的方法在细化计算过程的同时不至于增加过多开销。本发明的方法更能够充分利用包头部分已经明确的语义,也采用字节熵对不同类别的网络流量有效负载进行有效区分。
本发明在对网络通信过程的建模中,根据不同协议的特点来构图,充分利用了数据包之间的上下文关系。现有方法往往对数据包直接采用深度学习方法提取其特征。本发明利用了网络通信双方的通信过程,结合数据包之间的上下文更有效地对数据包进行分类。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种结合数据包语义的网络流量分类方法,其特征在于,所述方法包括以下步骤:
步骤S1:将数据包输入到网络流量处理工具,分别处理网络流量数据包的数据包头和有效载荷,分别得到二者的特征向量;
步骤S2:将数据包头的特征向量与有效载荷的特征向量进行融合,得到整个数据包的特征向量;
步骤S3:将特征向量中具有相同五元组的网络流量数据包归于同一通信过程,由同一通信过程中的网络流量数据包构成图,并进行分类。
2.根据权利要求1所述的一种结合数据包语义的网络流量分类方法,其特征在于,所述步骤S1包括以下步骤:
步骤S11:流量处理工具根据协议栈进行解析,得到数据链路层、网络层、传输层、应用层以及有效载荷各个网络层次的结果,将不加密的各个层次的数据包头解析结果聚合在一起,得到接近自然语言的协议解析结果;
步骤S12:将数据包头的解析结果输入到预训练语言模型中,得到数据包头的特征向量;
步骤S13:利用数据包有效负载中的字节信息,计算数据包有效负载的字节熵,作为数据包有效负载特征向量。
3.根据权利要求2所述的一种结合数据包语义的网络流量分类方法,其特征在于,步骤S13中,采用滑动窗口的方法计算字节熵,以2048字节窗口大小,以1024字节为步长来滑动,将每个滑动窗口的字节熵增加到直方图中,最终得到1*256维的有效负载特征向量。
4.根据权利要求1所述的一种结合数据包语义的网络流量分类方法,其特征在于,流量处理工具采用Wireshark。
5.根据权利要求1所述的一种结合数据包语义的网络流量分类方法,其特征在于,所述步骤S2包括以下步骤:
步骤S21:将数据包包头特征向量与有效负载特征向量分别输入两个独立的滤波器进行计算,滤波器由两个线性层以及激活函数组成;
步骤S22:计算数据包包头特征向量与有效负载门控向量对应元素的乘积,以及有效负载特征向量与数据包包头门控向量对应元素的乘积;
步骤S23:将步骤S21中两个特征向量的计算结果进行拼接,以拼接后的特征向量来表示整个数据包的语义,作为数据包特征向量。
6.根据权利要求1所述的一种结合数据包语义的网络流量分类方法,其特征在于,所述步骤S3包括以下步骤:
步骤S31:分析所有网络流量数据包,对于每一个出现在相同五元组的数据包,视作它们处于同一通信过程,将其归到一起;
步骤S32:根据不同的传输层协议特点构图,若为TCP协议,则根据数据包的序号顺序作边,并且根据数据包之间的确认关系做边,若为UDP协议,则仅根据数据包到达的顺序作边,图中的节点为网络流量数据包,节点的初始特征为所述步骤S2中最终求得的数据包特征向量;
步骤S33:使用图神经网络模型对整张图进行分类,由于图中的每个节点都具有相同的五元组,因此图的类别就是最终每个节点的类别,完成网络流量分类。
7.根据权利要求1所述的一种结合数据包语义的网络流量分类方法,其特征在于,所述五元组为源IP地址、目的IP地址、源端口、目的端口及传输层协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410525137.2A CN118101357A (zh) | 2024-04-29 | 2024-04-29 | 一种结合数据包语义的网络流量分类方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410525137.2A CN118101357A (zh) | 2024-04-29 | 2024-04-29 | 一种结合数据包语义的网络流量分类方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118101357A true CN118101357A (zh) | 2024-05-28 |
Family
ID=91153484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410525137.2A Pending CN118101357A (zh) | 2024-04-29 | 2024-04-29 | 一种结合数据包语义的网络流量分类方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118101357A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660220A (zh) * | 2021-07-28 | 2021-11-16 | 上海海事大学 | 一种提升不平衡恶意流量样本识别精度的双模态融合检测方法 |
| KR20220151050A (ko) * | 2021-05-04 | 2022-11-14 | 엘아이지넥스원 주식회사 | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 |
| US20230052712A1 (en) * | 2019-12-11 | 2023-02-16 | Redfig Consulting Pty Ltd | Network Traffic Identification Device |
| CN116232642A (zh) * | 2022-12-12 | 2023-06-06 | 国家电网有限公司客户服务中心 | 一种跨多种协议和协议组合的自动化加密流量分析方法 |
| CN116389293A (zh) * | 2023-04-07 | 2023-07-04 | 南卫兵 | 一种基于深度学习的信息安全保密方法和装置 |
| CN117041167A (zh) * | 2023-08-29 | 2023-11-10 | 西安电子科技大学 | 一种语义感知的意图驱动网络路由报文结构及通信方法 |
| CN117633657A (zh) * | 2023-12-26 | 2024-03-01 | 公安部第三研究所 | 基于多图表征增强实现加密应用流量识别处理的方法、装置、处理器及计算机可读存储介质 |
| CN117911782A (zh) * | 2024-01-24 | 2024-04-19 | 济南博图信息技术有限公司 | 基于多模态融合的暗网流量分类方法及*** |
-
2024
- 2024-04-29 CN CN202410525137.2A patent/CN118101357A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230052712A1 (en) * | 2019-12-11 | 2023-02-16 | Redfig Consulting Pty Ltd | Network Traffic Identification Device |
| KR20220151050A (ko) * | 2021-05-04 | 2022-11-14 | 엘아이지넥스원 주식회사 | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 |
| CN113660220A (zh) * | 2021-07-28 | 2021-11-16 | 上海海事大学 | 一种提升不平衡恶意流量样本识别精度的双模态融合检测方法 |
| CN116232642A (zh) * | 2022-12-12 | 2023-06-06 | 国家电网有限公司客户服务中心 | 一种跨多种协议和协议组合的自动化加密流量分析方法 |
| CN116389293A (zh) * | 2023-04-07 | 2023-07-04 | 南卫兵 | 一种基于深度学习的信息安全保密方法和装置 |
| CN117041167A (zh) * | 2023-08-29 | 2023-11-10 | 西安电子科技大学 | 一种语义感知的意图驱动网络路由报文结构及通信方法 |
| CN117633657A (zh) * | 2023-12-26 | 2024-03-01 | 公安部第三研究所 | 基于多图表征增强实现加密应用流量识别处理的方法、装置、处理器及计算机可读存储介质 |
| CN117911782A (zh) * | 2024-01-24 | 2024-04-19 | 济南博图信息技术有限公司 | 基于多模态融合的暗网流量分类方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| 黄盛林;王恩海;何燕玲;王伟;: "基于五元组加载荷特征的在线流量分类方法", 科研信息化技术与应用, no. 05, 20 September 2015 (2015-09-20), pages 36 - 43 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shapira et al. | FlowPic: A generic representation for encrypted traffic classification and applications identification | |
| CN106464577B (zh) | 网络***、控制装置、通信装置以及通信控制方法 | |
| Cui et al. | A session-packets-based encrypted traffic classification using capsule neural networks | |
| CN109845223B (zh) | 使用预分类来实施网络安全策略 | |
| CN110417729B (zh) | 一种加密流量的服务与应用分类方法及*** | |
| EP2573995A1 (en) | Method and apparatus for identifying application protocol | |
| CN106936667A (zh) | 一种基于应用程序流量分布式分析的主机实时识别方法 | |
| CN110034966B (zh) | 一种基于机器学习的数据流分类方法及*** | |
| Yang et al. | Research on network traffic identification based on machine learning and deep packet inspection | |
| CN109981474A (zh) | 一种面向应用软件的网络流量细粒度分类***及方法 | |
| Wang et al. | Using CNN-based representation learning method for malicious traffic identification | |
| CN113364787A (zh) | 一种基于并联神经网络的僵尸网络流量检测方法 | |
| CN112491894A (zh) | 一种基于时空特征学习的物联网网络攻击流量监测*** | |
| CN113382039B (zh) | 一种基于5g移动网络流量分析的应用识别方法和*** | |
| Wang et al. | Benchmark data for mobile app traffic research | |
| CN117914599A (zh) | 基于图神经网络的移动网络恶意流量识别方法 | |
| Luo et al. | Behavior-based method for real-time identification of encrypted proxy traffic | |
| CN107222343A (zh) | 基于支持向量机的专用网络流分类方法 | |
| CN118101357A (zh) | 一种结合数据包语义的网络流量分类方法 | |
| CN116248530A (zh) | 一种基于长短时神经网络的加密流量识别方法 | |
| Li et al. | Malicious encrypted traffic identification based on four-tuple feature and deep learning | |
| Wang et al. | Bitstream protocol classification mechanism based on feature extraction | |
| US11374838B1 (en) | Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning | |
| Liu et al. | Autonomous Anti-interference Identification of $\text {IoT} $ Device Traffic based on Convolutional Neural Network | |
| Kong et al. | A method of detecting the abnormal encrypted traffic based on machine learning and Behavior characteristics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |