-
公开(公告)号:CN114785563B
公开(公告)日:2023-06-06
申请号:CN202210330082.0
申请日:2022-03-28
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , H04L41/14 , H04L41/147 , G06N20/00 , G06F18/214 , G06F18/2431
Abstract: 本发明公开了一种软投票策略的加密恶意流量检测方法。本发明首先捕获流量包,将所捕获流量打上恶意/良性标签;对流量包进行预处理;对预处理后的流量包进行特征提取,并使用所提取的特征构建两个特征子集;对两个特征子集进行标准化和编码、特征子集降维、特征子集组合处理,进而构成样本集,并划分为训练集和测试集;建立投票器模型,调节投票器模型参数,采用层次分析法确定投票器模型权重;建立软投票的SWVC检测模型,训练模型;检验模型,使用准确率、F1分数和误报率3个指标来评估SWVC检测模型的性能。本发明采用多特征组合和软投票策略相结合的方式实现对加密恶意流量的检测,具有较强的检测能力。
-
公开(公告)号:CN114172748A
公开(公告)日:2022-03-11
申请号:CN202210124869.1
申请日:2022-02-10
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , H04L41/142 , H04L41/16
Abstract: 本发明公开了一种加密恶意流量检测方法。本发明利用Wireshark工具处理流量包;过滤掉无效的IP校验和,对样本集进行预处理和标记恶意/良性标签;对预处理后的流量包进行初步的特征提取;对初步提取的特征构建3个特征子集并进行标准化和编码;针对每一类特征子集采用机器学习或主成分析法进行特征降维;针对3个特征子集分别建立随机森林、XGBoost和高斯朴素贝叶斯分类器模型;按照Stacking策略组合3个分类器模型构成DMMFC检测模型;将3个特征子集通过流指纹融合后构成样本集,并划分为训练集和测试集,训练模型;检验模型,使用准确率、F1分数和误报率评价指标来评估DMMFC模型的测试效果;采用多特征融合与Stacking策略相结合的方法进行加密恶意流量检测,具有较强检测能力。
-
Patent Agency Ranking
公开(公告)号:CN114553605A
公开(公告)日:2022-05-27
申请号:CN202210441306.5
申请日:2022-04-26
Applicant: 中国矿业大学(北京)
Abstract: 本发明公开了一种投票策略的加密恶意流量检测方法。本发明利用Wireshark工具捕获流量包;对流量包进行预处理,过滤掉无效的流量并打上恶意/良性标签;对预处理后的流量包进行特征提取;对所提取的特征构建5个特征子集并进行标准化和编码;针对5个特征子集分别建立流分类器、TLS分类器、证书主体分类器、域名分类器和证书签名分类器模型,并进行参数调节;按照投票策略组合5个分类器模型构成MMVC检测模型;将5个特征子集通过流指纹融合构成样本集,并划分为训练集和测试集;将训练集输入检测模型进行训练,使用测试集检验检测模型性能;采用多模型投票的方法进行加密恶意流量检测,具有较强检测能力。
-
公开(公告)号:CN116055201B
公开(公告)日:2023-09-01
申请号:CN202310069213.9
申请日:2023-01-16
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , G06F18/25 , G06V10/774 , G06V10/764 , G06N5/01 , G06N3/0895
Abstract: 本发明公开了基于协同训练的多视图加密恶意流量检测模型,属于数据识别中的加密恶意流量检测领域,包括:利用Wireshark工具捕获原始pcap流量包;采用Zeek工具解析原始pcap流量包,得到流特征、连接特征和TLS证书特征;将流特征与连接特征融合并进行标准化,经特征重要性评估后构建视图1;对TLS证书特征采用词频‑逆文本频率指数方法进行编码,采用主成分分析法降维后构建视图2,进而构建对视图样本集;将多视图样本集分为训练集和测试集;协同XGBoost分类器和随机森林分类器构造检测模型;利用训练集训练检测模型;利用测试集检验检测模型性能;采用协同训练的方式结合网络流量不同类别的特征进行加密恶意流量检测,具有较强的检测能力。
-
公开(公告)号:CN116055201A
公开(公告)日:2023-05-02
申请号:CN202310069213.9
申请日:2023-01-16
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , G06F18/25 , G06V10/774 , G06V10/764 , G06N5/01 , G06N3/0895
Abstract: 本发明公开了基于协同训练的多视图加密恶意流量检测模型,属于数据识别中的加密恶意流量检测领域,包括:利用Wireshark工具捕获原始pcap流量包;采用Zeek工具解析原始pcap流量包,得到流特征、连接特征和TLS证书特征;将流特征与连接特征融合并进行标准化,经特征重要性评估后构建视图1;对TLS证书特征采用词频‑逆文本频率指数方法进行编码,采用主成分分析法降维后构建视图2,进而构建对视图样本集;将多视图样本集分为训练集和测试集;协同XGBoost分类器和随机森林分类器构造检测模型;利用训练集训练检测模型;利用测试集检验检测模型性能;采用协同训练的方式结合网络流量不同类别的特征进行加密恶意流量检测,具有较强的检测能力。
-
公开(公告)号:CN114785563A
公开(公告)日:2022-07-22
申请号:CN202210330082.0
申请日:2022-03-28
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , H04L41/14 , H04L41/147 , G06N20/00 , G06K9/62
Abstract: 本发明公开了一种软投票策略的加密恶意流量检测方法。本发明首先捕获流量包,将所捕获流量打上恶意/良性标签;对流量包进行预处理;对预处理后的流量包进行特征提取,并使用所提取的特征构建两个特征子集;对两个特征子集进行标准化和编码、特征子集降维、特征子集组合处理,进而构成样本集,并划分为训练集和测试集;建立投票器模型,调节投票器模型参数,采用层次分析法确定投票器模型权重;建立软投票的SWVC检测模型,训练模型;检验模型,使用准确率、F1分数和误报率3个指标来评估SWVC检测模型的性能。本发明采用多特征组合和软投票策略相结合的方式实现对加密恶意流量的检测,具有较强的检测能力。
-
公开(公告)号:CN114172748B
公开(公告)日:2022-04-15
申请号:CN202210124869.1
申请日:2022-02-10
Applicant: 中国矿业大学(北京)
IPC: H04L9/40 , H04L41/142 , H04L41/16
Abstract: 本发明公开了一种加密恶意流量检测方法。本发明利用Wireshark工具处理流量包;过滤掉无效的IP校验和,对样本集进行预处理和标记恶意/良性标签;对预处理后的流量包进行初步的特征提取;对初步提取的特征构建3个特征子集并进行标准化和编码;针对每一类特征子集采用机器学习或主成分析法进行特征降维;针对3个特征子集分别建立随机森林、XGBoost和高斯朴素贝叶斯分类器模型;按照Stacking策略组合3个分类器模型构成DMMFC检测模型;将3个特征子集通过流指纹融合后构成样本集,并划分为训练集和测试集,训练模型;检验模型,使用准确率、F1分数和误报率评价指标来评估DMMFC模型的测试效果;采用多特征融合与Stacking策略相结合的方法进行加密恶意流量检测,具有较强检测能力。
-
-
-
-
-
-
Search Results
7
records
(took 0.026 seconds)
