公开(公告)号：CN114124463B

公开(公告)日：2023-05-16

申请号：CN202111253442.3

申请日：2021-10-27

Applicant: 中国电子科技集团公司第三十研究所

Inventor： 李航 ,  丁建伟 ,  吕振远 ,  陈周国 ,  王鑫

IPC: H04L9/40 ,  H04L41/16 ,  H04L61/4511 ,  H04L67/02

Abstract: 本发明提供了基于网络行为特征的暗网加密应用服务识别方法及系统，包括：步骤1、采集历史一段时间内明网与暗网的应用流量数据，并根据五元组信息标注出对应的应用服务，作为训练集；步骤2、以应用流量数据的五元组作为关键值对会话进行解析，提取会话特征；步骤3、提取源IP及目的地址对应的行为特征，构建IP行为特征；步骤4、按相同的源IP地址，将IP行为特征拼接到会话特征中，形成网络行为特征集；步骤5、根据网络行为特征集与训练集进行预测模型进行训练，完成训练后，通过预测模型对未知的网络行为特征样本进行应用服务识别。本发明提出的方案能够提高暗网加密应用服务检测的准确性以及能较全面与完善的提取流量特征。

公开(公告)号：CN114124463A

公开(公告)日：2022-03-01

申请号：CN202111253442.3

申请日：2021-10-27

Applicant: 中国电子科技集团公司第三十研究所

Inventor： 李航 ,  丁建伟 ,  吕振远 ,  陈周国 ,  王鑫

IPC: H04L9/40 ,  H04L41/16 ,  H04L61/4511 ,  H04L67/02

Abstract: 本发明提供了基于网络行为特征的暗网加密应用服务识别方法及系统，包括：步骤1、采集历史一段时间内明网与暗网的应用流量数据，并根据五元组信息标注出对应的应用服务，作为训练集；步骤2、以应用流量数据的五元组作为关键值对会话进行解析，提取会话特征；步骤3、提取源IP及目的地址对应的行为特征，构建IP行为特征；步骤4、按相同的源IP地址，将IP行为特征拼接到会话特征中，形成网络行为特征集；步骤5、根据网络行为特征集与训练集进行预测模型进行训练，完成训练后，通过预测模型对未知的网络行为特征样本进行应用服务识别。本发明提出的方案能够提高暗网加密应用服务检测的准确性以及能较全面与完善的提取流量特征。