公开(公告)号：CN109474598A

公开(公告)日：2019-03-15

申请号：CN201811377517.7

申请日：2018-11-19

Applicant: 西安交通大学

Inventor： 马小博 ,  安冰玉 ,  师马玮 ,  焦洪山 ,  彭嘉豪 ,  赵延康 ,  李剑锋 ,  毛蔚轩

IPC: H04L29/06

Abstract: 本文发明提出了一种基于数据包序列的时序和顺序特性的恶意加密流量分析特征提取方法。本发明能够在给定任意一个数据包序列的前提下，有效的提取刻画数据包序列时序特性的所有特征，组成一个可以直接用作训练分类模型的特征组的重要部分。有利于提高网站指纹识别技术的识别准确率，并且节省分类模型构建过程中消耗的时间和空间成本，能够更加高效的监控用户的非法上网行为。

公开(公告)号：CN108881305A

公开(公告)日：2018-11-23

申请号：CN201810897782.1

申请日：2018-08-08

Applicant: 西安交通大学

Inventor： 马小博 ,  师马玮 ,  焦洪山 ,  安冰玉 ,  赵延康 ,  李剑锋 ,  彭嘉豪

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851 ,  H04L9/32

Abstract: 本发明公开了一种面向加密流量识别的样本自动标定方法，提出基于TCP特性的流量拆分方法，从划分不同的应用程序为出发点，将流量拆分为多个不同的样本，借助代理服务器端的日志信息对流量数据进行解析和拆分，从而实现响应网络行为与流量数据的对应关系，即实现分类学习中的流量数据标定。本方法充分利用了应用层通信协议TCP的相关知识和代理服务器端的日志信息，可应用于真实场景下的加密流量识别。

公开(公告)号：CN113141364B

公开(公告)日：2022-07-12

申请号：CN202110438554.X

申请日：2021-04-22

Applicant: 西安交通大学

Inventor： 马小博 ,  安冰玉 ,  瞿建 ,  潘鹏宇 ,  李森 ,  王鑫 ,  卞华峰

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种加密流量分类方法、系统、设备及可读存储介质，基于流的分类模型中每一棵决策树的判定结果的叶子结点的索引，组成一个同时携带其对应流的双标签的k维向量，以其作为输入训练K‑最近邻分类算法计算得到原始加密流量样本以及流的L2I值，对于任意一个给定的加密流量样本分类时，将提取的所有流的元特征向量输入到基于流的分类模型中并预测其加密流量类型标签得到预测标签，计算标签对应的L2I值之和，然后对照原始加密流量样本以及流的L2I值，实现基于流双标签机制的加密流量分类，能够实现一个完整的网站访问分类，能够防止访问过程中流量的交叉，适用于面向网页，面向流的网络行为进行加密流量分类，能够实现一个完整的网站访问分类。

公开(公告)号：CN113141364A

公开(公告)日：2021-07-20

申请号：CN202110438554.X

申请日：2021-04-22

Applicant: 西安交通大学

Inventor： 马小博 ,  安冰玉 ,  瞿建 ,  潘鹏宇 ,  李森 ,  王鑫 ,  卞华峰

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种加密流量分类方法、系统、设备及可读存储介质，基于流的分类模型中每一棵决策树的判定结果的叶子结点的索引，组成一个同时携带其对应流的双标签的k维向量，以其作为输入训练K‑最近邻分类算法计算得到原始加密流量样本以及流的L2I值，对于任意一个给定的加密流量样本分类时，将提取的所有流的元特征向量输入到基于流的分类模型中并预测其加密流量类型标签得到预测标签，计算标签对应的L2I值之和，然后对照原始加密流量样本以及流的L2I值，实现基于流双标签机制的加密流量分类，能够实现一个完整的网站访问分类，能够防止访问过程中流量的交叉，适用于面向网页，面向流的网络行为进行加密流量分类，能够实现一个完整的网站访问分类。

公开(公告)号：CN109104426B

公开(公告)日：2020-05-22

申请号：CN201810953642.1

申请日：2018-08-21

Applicant: 西安交通大学

Inventor： 马小博 ,  焦洪山 ,  师马玮 ,  安冰玉 ,  赵延康 ,  彭嘉豪 ,  李剑锋

IPC: H04L29/06

Abstract: 本发明公开了一种基于发包速率的加密流量分析防御方法，着眼于基于发包速率的防御方法，在互联网飞速发展与网络安全、个人隐私愈加被重视的背景下，基于发包速率的概率分布，提出一种在减少发包速率差异化的同时保证插入哑包所带来的额外带宽开销最小化，使得加密流量分析技术不能准确识别某一流量数据所代表的网络行为的防御方法。本发明充分挖掘发包速率的统计特性，应用于不同安全协议下的加密流量防御，具有很强的适应性和可行性。

公开(公告)号：CN108881306B

公开(公告)日：2020-04-28

申请号：CN201810898484.4

申请日：2018-08-08

Applicant: 西安交通大学

Inventor： 马小博 ,  焦洪山 ,  师马玮 ,  安冰玉 ,  赵延康 ,  彭嘉豪 ,  李剑锋

IPC: H04L29/06 ,  H04L1/00

Abstract: 本发明公开了一种基于数据包大小序列的加密流量分析防御方法，提出一种基于数据包大小序列的防御方法，在不降低防御效果的情况下最小化程度的对流量数据包进行修改，使加密流量识别技术搭建的分类模型不能准确识别发起流量数据包的网络行为类别，进而实现防御的目标。本发明充分挖掘流量数据包的统计特性，应用于不同安全协议下的加密流量防御。

公开(公告)号：CN109194622B

公开(公告)日：2020-03-31

申请号：CN201810896859.3

申请日：2018-08-08

Applicant: 西安交通大学

Inventor： 马小博 ,  安冰玉 ,  师马玮 ,  焦洪山 ,  赵延康 ,  李剑锋 ,  彭嘉豪

IPC: H04L29/06

Abstract: 本发明公开了一种基于特征效率的加密流量分析特征选择方法，首先定义特征效率的计算方法F(f)；然后两类样本上计算每个特征的特征效率，选择特征效率最大的一维特征，并且移除这维特征的值域交叠之外的样本，并记录移除的样本个数，如此循环，直到所有特征被计算完。然后根据预先规定的特征个数或者特征效率的阈值选择特征。本发明能够在给定最大特征集的前提下，有效的计算每个特征的特征效率，根据给定的特征效率阈值或者规定的特征数目筛选特征，有利于提高网站指纹识别技术的识别准确率，并且节省分类模型构建过程中消耗的时间和空间成本。

公开(公告)号：CN108881306A

公开(公告)日：2018-11-23

申请号：CN201810898484.4

申请日：2018-08-08

Applicant: 西安交通大学

Inventor： 马小博 ,  焦洪山 ,  师马玮 ,  安冰玉 ,  赵延康 ,  彭嘉豪 ,  李剑锋

IPC: H04L29/06 ,  H04L1/00

Abstract: 本发明公开了一种基于数据包大小序列的加密流量分析防御方法，提出一种基于数据包大小序列的防御方法，在不降低防御效果的情况下最小化程度的对流量数据包进行修改，使加密流量识别技术搭建的分类模型不能准确识别发起流量数据包的网络行为类别，进而实现防御的目标。本发明充分挖掘流量数据包的统计特性，应用于不同安全协议下的加密流量防御。