公开(公告)号：CN110708341A

公开(公告)日：2020-01-17

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。

公开(公告)号：CN110708341B

公开(公告)日：2020-09-29

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。