流量识别

摘要： 伴随着诸多新兴业务的发展,对移动通信的数据速率的要求也越来越高,网络运营商需要在确保用户隐私安全的情况下进行流量分类,分配所需的网络资源来服务用户,更好地优化移动通信的体系结构。传统的基于协议特征、关键字信息的流量分类方法会带来精度下降、实时性不足等问题。文章采集4G LTE网络中的下行控制信息(Downlink Control Information,DCI),训练了三类基准机器学习分类模型和长短期记忆网络(Long Short-Term Memory,LSTM)模型,识别了5种主流应用流量。实验结果表明,LSTM模型的F1-Score达到了98.92%,在不侵犯用户隐私的前提下,实现了移动通信流量的高精度分类。

摘要： 基于网站指纹(WF)攻击的Tor网页流量识别方法往往建立在分离好的Tor流量甚至是分离好的Tor网页流量的基础上,但从实际网络的原始流中分离出Tor流量,再从Tor流量中分离出Tor网页流量,其计算量和困难程度远高于Tor网页流量的WF攻击本身。根据目前互联网的体系结构,利用网络流量汇聚到区域中心节点的特点,通过中心节点的SDN结构所提供的域内全局视角,结合Tor网络公开的节点信息提出了一种区分Tor流量的双向统计特征(BSF),可以有效分离Tor流量;进而提出了一种基于LSF技术的网页流量隐藏特征提取方法,从而获得了基于BSF和LSF的复合流量特征(CTTF);在此基础上,针对当前Tor流量训练数据较少的问题,提出了一种基于平移的流量数据增强方法,使增强后的流量数据与真实工作环境中捕获的Tor流量数据分布尽量一致。实验结果表明,基于CTTF与仅使用原始数据特征相比,识别率提高了4%左右,在训练数据较少时,使用流量数据增强方法后分类效果提升更加明显,并且可以有效降低误报率。

摘要： 本文从基础出发,首先阐述Web浏览记录的产生与采集过程;其次,阐明固定网络中的Web流向的基本概念与流量识别及建模方法;最后重点分析移动互联网Web流量的研究现状与具体识别框架及应用。

摘要： 恶意加密流量识别公开数据集中存在的类不平衡问题,严重影响着恶意流量预测的性能。本文提出使用深度生成对抗网络DGAN中的生成器和鉴别器,模拟真实数据集生成并扩展小样本数据,形成平衡数据集。此外,针对传统机器学习方法依赖人工特征提取导致分类准确度下降等问题,提出一种基于双向门控循环单元BiGRU与注意力机制相融合的恶意流量识别模型,由深度学习算法自动获取数据集不同时序的重要特征向量,进行恶意流量得识别。实验表明,与常用恶意流量识别算法相比,该模型在精度、召回率、F1等指标上都有较好的提升,能有效实现恶意加密流量的识别。

摘要： 近年来,在利益驱动下通过传播挖矿木马程序,利用受害者主机算力进行挖矿获取虚拟货币的行为愈演愈烈。从攻击者视角分析了挖矿木马的暴力爆破、漏洞利用、木马植入、横向传播等典型攻击路径,基于挖矿协议的流量识别、威胁情报匹配、攻击链模型关联分析、AI基因模型监测等开展技术研究,结合研究成果进行了实际网络流量监测应用,为挖矿木马的防范和治理提供思考与借鉴。

摘要： 在网络恶意流量识别任务中,存在恶意流量样本数量与正常流量样本比例不平衡问题,从而导致训练出的机器学习模型泛化能力差、识别准确率低。为此,在网络流量图片化的基础上提出一种利用具有梯度惩罚项的条件Wasserstein生成对抗网络(CWGAN-GP)对少量数据类进行平衡的分类方法。该方法首先借助网络流量图片化方法将原始流量PCAP数据按照流为单位进行切分、填充、映射到灰度图片中;然后使用CWGAN-GP方法实现数据集的平衡;最后,在公开数据集USTC-TFC2016和CICIDS2017上使用CNN模型对不平衡数据集和平衡后的数据集进行分类测试。实验结果表明,使用CWGAN-GP的平衡方法在精确度、召回率、F1这3个指标上均优于随机过采样、SMOTE、GAN以及WGAN平衡方法。

摘要： 针对现有匿名网络流量识别模型准确率低的问题,提出了一种基于一维残差卷积神经网络的Tor匿名网络流量识别模型。该模型根据网络流量各特征之间相互独立,无内在关联的特性,采用一维卷积进行特征提取,并采用最大池化筛选、保留关键特征,通过引入跳跃连接解决深层网络存在的退化问题,降低训练时梯度消失的风险,使得模型可进一步加深,提高识别准确率。实验结果表明,该模型优于常用的SVM、KNN、ResNet等对比模型,将Tor匿名网络流量识别准确率提高至98.87%,具体匿名应用类型识别准确率提高至96.14%。

摘要： 基于DPI的流量识别方法,通过匹配应用流量报文独有的特征字符串来识别移动应用程序产生的流量,具有较好的识别效果,但特征字符串需要人为提取.对此,提出一种通过全面观察移动应用程序产生的流量报文以自动学习移动应用指纹的方法.实验结果表明,该方法用于移动网络流量识别时的应用覆盖率可达83.3％,流覆盖率、字节覆盖率均可达较高水平.

摘要： 流量拟态技术将传输数据伪装成特定白名单协议以突破网络流量审查,实现隐蔽数据传输.随着检测对抗的愈加激烈,基于静态规则的混淆隐蔽传输技术局限性愈加突显,在混淆固有特征时容易形成新的网桥协议指纹.设计并实现基于当前网络环境特征的自适应流量拟态协议网桥,通过对环境中正常HTTP流量的特征提取分析,预测生成拟态网桥采用的混淆特征.实验证明该自适应网桥能够动态生成拟态规则,生成流量与真实流量具有较高相似度,拟态所需的冗余数据在可接受范围内.同时论证了当前基于特征的流量协议检测技术在面临高复杂度的流量拟态时所存在的局限性.

摘要： 针对流量分类效果与实际情况存在偏差的问题,首先将多模态深度学习运用在流量分类中,通过利用多模态之间的互补性,剔除模态间的冗余,从而学习到更好的流量数据特征表示.然后,提出了一种基于多模态流量数据的检测和分类方法,对同一流量单位的不同模态输入分别采用卷积神经网络(Convolutional Neural Networks,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)进行训练,以充分学习流量数据模态间和模态内信息的相互依赖性,克服现有单模态分类器的局限,从而支持更为复杂的现代网络应用场景.

摘要： 针对P2P流量迅猛增长的现状和高速网络下数据流量的特性,首先采用基于传输层行为的流量识别方法将数据流分为P2P流量和非P2P流量,并制作成有标记的特征训练集.然后提出一种基于C4.5决策树算法的P2P流量识别方法,该方法只需计算一个数据流的前若干个数据包即可完成流量识别.实验表明该方法识别准确率高,计算复杂度低,适用于高速网络下的流量识别.

摘要： 在与恶意软件的对抗中,网络边界防御作为一种有效的手段,发挥了极大的作用.在网络边界上拦截恶意软件流量,能够实现全网监控.当前主流的技术是基于深度包解析(DPI)技术的数据包拦截.但是由于数据包逐步采用加密传输,DPI技术遇到了很多困难.本文提出了一种恶意软件流量识别新思路,结合恶意软件的行为导致的流量特征的不同,采用机器学习技术进行识别.对于基于DPI的恶意软件拦截技术不失为一种有机的补充.

摘要： 利用小波神经网络实时学习和快速识别的优点，该文提出一种统计特征和小波神经网络相结合的P2P流量识别方法。在实际网络环境下，通过建立网络分类模型，统计分析并提取多种流量特性，通过小波神经网络对各种P2P应用流量特征的学习和识别，提高了P2P流量识别的准确度，改善了之前单一识别方法的复杂度。

摘要： P2P(Peer-to-Peer)系统在文件共享、协同计算、流媒体等领域获得了广泛应用.随着P2P技术的发展,越来越多的P2P应用对数据进行加密传输,加大了对其流量的识别难度.通过对MSE(Message Stream Encryption)协议特征的分析,提出了还原MSE协议消息流,实现BT(BitTorrent)加密流量识别的方法.修改了开源BT客户端Vuze,利用其收集的真实BT流量信息来检验本方法,结果表明该方法与现有的DPI(deep packet inspection)技术结合,对网络中BT流量进行识别,具有较高的召回率和准确率,同时保持了较低的误报率.

摘要： 针对现有的基于连接模式的流鼍识别方法无法区分1台服务器上提供的多种应用类型的问题，分析了Mail，Web和BT应用流量的交互方式和服务器端口的并发连接数分布情况，提出了一种基于连接模式和并发连接数的流量识别方法。研究结果表明：该方法可以在不使用预定义端口信息的情况下识别服务器上搭载的多种应用，其有效性在实验中得到验证。

摘要： 面向骨干网的P2P流量识别算法难以识别基于NAT实现的局域网中产生P2P流量的节点,针对该问题提出了NAT局域网的P2P流量模型,并在此基础上提出了面向NAT局域网环境的P2P流量识别算法。算法采用基于P2P传输层连接特征的流量识别方法,对TCP协议与UDP协议分别制定了识别规则。实验结果表明,本算法对于NAT局域网中的P2P节点具有较高的识别率,通过动态阈值设定策略提高了算法的性能。

摘要： 迅雷作为国内目前最流行的下载工具，占用巨大的网络带宽，严重影响了网络的整体性能。由于其协议是未公开的，对其流量识别的研究才刚刚起步，目前尚无系统性的研究和突破性的进展。本文详细分析迅雷的P2SP架构，把迅雷分为C/S下载模式和传统P2P下载模式，并分类研究。采用主动探测方法，捕获数据包，观察报文的首部字段值，提取其特征字符，实现了对迅雷流量较为准确的识别。

摘要： 对网络流量进行识别时,利用标准端口和采用匹配报文载荷关键字的方法是网络监测常用手段,但随着网络技术的发展,上述两种方法具有很大的局限性.本文提出了基于统计特征向量方法的网络流量分类技术,适用于监测使用加密协议的应用服务与信息.文中提出了基于网络数据流量的统计属性的解决方法,采用特征归纳和特征属性交叉区间拆分算法提取特征向量,利用前缀树结构建立监测模型,对类型未知的加密网络数据流量进行识别.最后,通过实验证明了该方法针对使用加密协议的应用流量具有较好的效果,识别准确率达95％以上.

摘要： 对网络流量进行识别时,利用标准端口和采用匹配报文载荷关键字的方法是网络监测常用手段,但随着网络技术的发展,上述两种方法具有很大的局限性.本文提出了基于统计特征向量方法的网络流量分类技术,适用于监测使用加密协议的应用服务与信息.文中提出了基于网络数据流量的统计属性的解决方法,采用特征归纳和特征属性交叉区间拆分算法提取特征向量,利用前缀树结构建立监测模型,对类型未知的加密网络数据流量进行识别.最后,通过实验证明了该方法针对使用加密协议的应用流量具有较好的效果,识别准确率达95％以上.

摘要： 对网络流量进行识别时,利用标准端口和采用匹配报文载荷关键字的方法是网络监测常用手段,但随着网络技术的发展,上述两种方法具有很大的局限性.本文提出了基于统计特征向量方法的网络流量分类技术,适用于监测使用加密协议的应用服务与信息.文中提出了基于网络数据流量的统计属性的解决方法,采用特征归纳和特征属性交叉区间拆分算法提取特征向量,利用前缀树结构建立监测模型,对类型未知的加密网络数据流量进行识别.最后,通过实验证明了该方法针对使用加密协议的应用流量具有较好的效果,识别准确率达95％以上.

摘要： 本发明提供一种可识别未知流量的网络流量分类方法和终端设备，方法包括：网络流量数据通过初始网络流量分类模型时，基于信息熵的阈值判断法判断网络流量数据是否为未知流量；未知流量属于新的类别；若网络流量数据为已知类别的流量则基于平衡损失的动态自适应算法为初始网络流量分类模型加入增量学习新的类别的能力，得到实时网络分类模型；把新的类别的损失和已知类别的蒸馏损失结合为平衡损失来作为实时网络分类模型的损失函数。网络流量分类模型在准确识别已知类别流量的同时，也能很好地识别未知类别流量，同时能够动态自适应当前网络环境中最新的流量，及时地自我更新，始终保持较高的分类准确率，非常适用于实时在线网络流量分类任务。

摘要： 本发明请求保护一种噪声干扰条件下识别低频电磁流量计流量变化的方法，包括骤S1数据采集和存储；步骤S2数据处理；步骤S3数据分析。本方法充分适应现场情况，对采集到的信号经科学处理后，可以在噪声干扰条件下识别低频电磁流量计流量变化，可达到提高电磁流量计测量精度目的有益效果。

摘要： 本发明公开一种基于流量特征的APT组织流量识别方法，定义并计算DNS和TCP、HTTP/HTTPS流量中的APT组织特征，利用特征识别出APT组织流量，实现APT组织流量识别。定义的组织特征包括：Response_type，用于区分APT组织流量中的DNS隧道流量；包负载波动特征C2Load_fluct，用于计算DNS流量在时间窗口内，流量包簇在单位域名下的平均负载量；包相似特征Bad_rate，用于判断APT组织恶意流量产生时的网络状态。本发明通过构造组织流量特征进行APT组织流量识别，提出并定义的组织特征能够有效地将APT恶意流量和正常流量进行区分，提高了APT组织流量识别的准确性，为APT组织流量识别提供了新的设计思路。

摘要： 本发明公开了一种基于流量重构与继承学习的匿名网络流量识别方法及装置，方法包括：采集原始网络流量，并进行流量初筛，剔除非Tor流量；对初筛后的流量进行重构，将流量转化为灰度特征图；利用卷积神经网络和循环神经网络模型处理流量重构后的特征图，提取出交互信息特征向量、包空间特征向量、流时序特征向量，并将三种特征向量进行融合；将融合特征输入多分类器进行应用分类，所述多分类器在检测到流量新类别时通过继承学习机制更新分类器参数；基于多数原则确定流量的归属应用。本发明简化了特征设计过程，同时丰富了特征的全面性，满足模型参数在线更新的需求，使模型保持对过去训练的记忆，每次增加新类别只需要进行小规模训练。

摘要： 本发明公开了一种流量数据特征提取方法、恶意流量识别方法以及网络系统。特征提取方法包括：S1，获取流量数据，包括m条数据流，分别从每条数据流中提取n个特征，构建矩阵X；S2，对矩阵X进行归一化处理获得特征值矩阵

摘要： 本发明公开了一种流量引导方法及流量识别设备，其中，所述方法包括：接收应用程序数据，并识别所述应用程序数据指向的目标服务器；查询所述目标服务器是否具备已存储的属性信息，若具备，按照所述属性信息限定的路由策略，将所述应用程序数据引导至所述目标服务器；识别所述应用程序数据的流量特征，并判断所述流量特征是否与所述属性信息限定的已知流量特征相匹配，若不匹配，缩短所述属性信息的有效时限，并利用缩短有效时限后的属性信息替换所述已存储的属性信息。本申请提供的技术方案，能够及时调整错误分类的未知流量，以提高各项流量的引导效率。

摘要： 本申请实施例公开了一种流量识别方法和流量识别设备，用于准确识别游戏流量，提高游戏流量的识别准确率。本申请实施例方法包括：流量识别设备获取目标数据流的待分析流量；所述流量识别设备获取所述待分析流量的报文的到达时间间隔；所述流量识别设备根据所述到达时间间隔中的部分或全部到达时间间隔的概率的分布特征确定所述待分析流量的类型。

摘要： 本发明提供一种基于DNS解析流量和IP流量融合分析的异常流量识别方法，该方法包括以下步骤：步骤1、工控网络通信设备资产发现，采集企业参与通信的设备列表，建立工控网络通信设备资产信息库；骤2、DNS流量特征提取；步骤3、IP流量特征提取；步骤4、异常通信行为识别；步骤5、异常流量识别与防护；步骤6、异常流量画像信息获取；步骤7、异常流量识别日志、异常流量特征组以及异常流量画像信息存储与提交。该方法结合网络的特征，获取异常流量的画像信息，建立域名、IP地址、授权行为列表以及画像信息等多层防护屏障，可以实现高精确度监测，可以为安全管理人员提供更多的决策依据。

摘要： 本发明公开了一种基于流量重构与继承学习的匿名网络流量识别方法及装置，方法包括：采集原始网络流量，并进行流量初筛，剔除非Tor流量；对初筛后的流量进行重构，将流量转化为灰度特征图；利用卷积神经网络和循环神经网络模型处理流量重构后的特征图，提取出交互信息特征向量、包空间特征向量、流时序特征向量，并将三种特征向量进行融合；将融合特征输入多分类器进行应用分类，所述多分类器在检测到流量新类别时通过继承学习机制更新分类器参数；基于多数原则确定流量的归属应用。本发明简化了特征设计过程，同时丰富了特征的全面性，满足模型参数在线更新的需求，使模型保持对过去训练的记忆，每次增加新类别只需要进行小规模训练。

摘要： 本发明提供了一种流量识别方法、流量确定方法以及知识图谱建立方法，其中，流量识别方法包括：根据目标流量中的报文之间的相似性程度对目标流量中的报文进行聚类处理，以获取一个或多个流量簇；对每一个流量簇进行特征提取，以获取每一个流量簇对应的特征信息；其中，特征信息用于指示对应的流量簇包括的报文的特征；将一个或多个流量簇与对应的特征信息之间的映射关系上传至深度报文检测DPI模块，以供DPI模块进行流量识别。本发明可以解决相关技术中流量识别的过程中，流量识别的效率以及准确率均易于受人工影响的问题，以达到释放了流量识别过程中依赖的人工特征分析与设置以自动进行流量识别，进而提高了流量识别的效率以及准确率。