网络流量分析

摘要： 以网络流量分析系统(Network Traffic Analysis,NTA)为代表的网络安全设备面临着严峻的性能挑战,主要体现为处理能力的扩展性问题。影响NTA系统处理能力扩展性的主要有两个方面:一是硬件层面的资源竞争问题;二是软件层面的资源竞争问题。针对第一个问题,设计了一套基于DPDK的可扩展收包架构,提供接口,对影响收包性能的硬件资源进行配置,可以使整个系统在收包层面获得合适的硬件资源。针对第二个问题,在对NTA业务模型进行分析的基础上,提出一种基于硬件的资源分区竞争消除方法,使该系统可以按照硬件资源增加而得到与之相匹配的性能扩展性。测试结果表明,优化后的NTA系统在一款Hygon C86 7185核心的海光处理器上达到了近似线性的性能扩展能力,最大支持200Gbps的网络流量处理。

摘要： 远程代码执行漏洞是工业界的网络安全攻防中危害最大的漏洞种类之一,能够直接控制目标电网系统.在遭受攻击后,对内存破坏类型的漏洞进行分析十分困难,由于在此类漏洞利用过程中,攻击者可能会随机化地绕过地址空间.针对二进制远程代码执行类漏洞中对地址空间随机化的绕过手段,设计并实现了基于流量的自动化分析与利用工具,能够分析并且重现执行漏洞.提出影子服务技术,在完全可控的环境下建立与目标服务环境相同的影子服务;在此基础上提出同步处理技术,处理已记录攻击流量.实验结果表明,防御者可以使用该工具快速针对原生服务的远程代码执行漏洞调查,从而防止利用同类漏洞再次攻击.

摘要： 针对目前绝大多数网络流量分析只是基于底层和单一主机层次的分析,缺少更高层次的分析而不利于找出普遍性规律的问题,提出一个从主机群层面进行网络流量分析的方法。方法利用采集到的网络流量PCAP数据包,提取其五元组信息组成网络流;分析得到网络流中主机的关键信息,再依照重新定义的主机行为特征对主机进行画像;最后对主机进行聚类,对结果进行分析。实验结果表明,上述方法的主机聚类结果可以对目标主机群进行一个有效的分类,且聚类结果相较于其它方法在稳定性上也得到了一定的提升。

摘要： 当前网络安全问题已成为网络世界的重要课题,如何有效的检测和响应则成为一项重大挑战.实际上,为保持超前于高级网络安全威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,本文通过研究和设计一种网络异常流量分析检测系统,主要将机器学习的方法应用在网络异常流量分析检测,实现对网络异常流量的有效分析和高准确率检测,从而达到洞悉网络中的恶意活动,并将可疑行为匹配到确认的威胁,提高对网络异常流量的检测目的.

摘要： 随着全球互联网进入大数据发展时代,网络通信流量数据的深入挖掘和综合分析能更快、更准确地寻找和了解到用户的喜好,并且可以更加深入地分析业务所需要面向的对象,即业务中的用户个体.通过分析用户访问的网络通信数据,可以更好地分析和抽象出人物网络行为的特征,为业务的发展提供完善可靠的数据支持.高质量的数据分析结果来源于完善可靠的数据源.与其他数据源的分析相比,路由器数据可以为用户的网络行为特征提供更高的数据可信度和更好的数据完整性.

摘要： 随着企业各类业务的持续增长,IT设施也在不断完善和扩建.网络线路、网络设备和服务器等基础设备不断增加,整个网络结构变得异常庞大且复杂,一定程度上增加了监控和管理的难度.许多关键的业务系统往往包括网络线路、防火墙、前端应用服务器、负载均衡设备、中间件、数据库和存储等各类软硬件设施,在传统管理手段下,对于多段网络、多层应用的架构,运维管理关联度不够高,导致在问题发生时,分析定位相对比较困难,排障速度相对较慢.部署面向应用的网络流量分析系统,可以建立统一的网络流量监测分析的底层平台,自动梳理应用系统网络访问路径,同时建立起面向应用的网络服务视图,实现全网流量监测,并且根据流量特征实现快速故障预警与故障诊断,更加科学有效地的管理IT设施,确保业务系统稳定运行.

摘要： 现有研究表明,域名生成算法(domain generation algorithm,DGA)已成为僵尸网络建立命令和控制服务通信的关键技术之一.由于利用DGA域名随机性的检测方法已趋于成熟,为逃避检测,DGA算法可能采用加密流量形式进行传输.针对基于域名随机性的检测模型缺乏对加密DGA流量的识别等问题,该文基于DoH(DNS-over-HTTPS)协议验证了DGA流量进行加密传输的可能性,分析了命令控制服务过程所产生的HTTP报文内容、HTTP流量及对应的TCP流量.因利用DoH协议进行传输的数据包中不再包含DNS报文解析过程,最终选取了DoH流量数据包的长度和时序信息等特征进行识别.在DoH网络中DGA流量特征分析的基础上结合KNN分类算法识别DGA域名,设计了一种基于特征工程与机器学习结合的识别方法,提供了DoH网络中DGA流量的检测方法.实验结果表明,基于DoH流量的DGA分类模型在人工数据集上的准确率达到了79％,表现出良好的分类精度,为DoH网络安全提供了保障.

摘要： 商业银行的智能化系统设计,包括五个重要模块:智能化系统的信息化、信息安全、综合技防、集成管理、绿色节能。本文对整个商业银行智能化系统进行优化设计,其中对綜合布线系统采用四个独立网网络进行设计,实现数据分网、高效传输的效果。对系统的安全防范系统中的设备,使用松耦合部署方式,通过基于网络流量分析编排的调整平台策略,实现维护设备的平滑下线及上线及灰度管理。在主机安全系统方面,采用了轻量级Agent的部署方案,通过Server-Agent方式部署主机监控系统。系统优化为中心办公和管理提供了--个高效、可靠的信息化管理手段和环境。

摘要： Tor等匿名流量的分类与识别对运营商监管网络安全具有重要意义,但目前To r流量的分类检测技术普遍存在识别准确率低、缺乏实时性、无法有效处理高维数据等问题.为此,提出一种To r流量在线识别方法.通过搭建基于逻辑回归的深度神经网络,提取To r流量特征匹配度以实现特征增强,并使用人工蜂群机制代替梯度下降等常见迭代算法,得到流量分类及识别结果.在此基础上,构建一套实时流量检测工具应用于实际生产环境中.在公开Tor数据集上的实验结果表明,与逻辑回归、随机森林、KNN算法相比,该算法的精确率和召回率分别提高了10％～50％,相比梯度下降的迭代算法准确率提高了7％～8％.

摘要： 坚强智能电网概念的提出,标志着国网发、输、变、配、用、调度的信息化、数字化、自动化等朝着智能化发展。智能变电站在智能电网中不仅起着保护、测量和控制等的实现,而且是构建网络集成平台的基础,是智能电网开发和创新的理想切入点。通信网络作为智能变电站的重要组成部分,是变电站智能化的基础。通信网络是变电站与主站之间的信息传输通道,实现全站的信息共享,其可靠运行对于电网的正常运行至关重要。因此,研究智能变电站通信网络的可靠性具有一定的应用价值。基于此,本篇文章对智能变电站过程层网络流量分析及网络优化进行研究,以供参考。

摘要： 本文通过介绍SNMP技术在网络流量分析中的应用，并在政务网络中建立针对政务网络特征的流量分析体系，分析各种政务网业务的情况，更为有效的利用信息资源，提高办公效率。

摘要： 如何帮助企业分析网络中的异常流量,快速地定位网络中的问题,实现高效运维,为网络管理人员解决网络慢和不稳定的问题,是目前企业最关心的问题之一,因此流量分析对企业生产及管理具有非常重要的作用。

摘要： 基于序贯频繁模式挖掘,本文提出并实现了一种宏观网络流量异常检测的方法。本文定义了一个新的频繁模式和相对应的异常度概念。我们在863-917网络安全监测平台提供的全国流量数据进行了很多实验,得出对应于"橙色八月"的2006年8月上旬流量严重异常的结论。通过与相关的其他传统算法进行对比,如使用绝对流量的算法和简单使用不同小时流量排名的算法,进一步说明序贯频繁模式对网络流量分析的实用性。

摘要： 在工作时间内，企业网络的WAN资源本身非常宝贵。在企业网络的使用高峰期，管理员在企业网络的出口上分析网络流量时，往往会发现有部分与企业正常业务无关的数据传输。正是这些非正常业务的文件传输占用了大量的企业WAN带宽，从而导致企业的正常业务访问变得非常缓慢。利用NBAR技术，可以有效防止泛滥下载MP3、视频、图片文件等，为企业节省WAN带宽资源。

摘要： 在工作时间内，企业网络的WAN资源本身非常宝贵。在企业网络的使用高峰期，管理员在企业网络的出口上分析网络流量时，往往会发现有部分与企业正常业务无关的数据传输。正是这些非正常业务的文件传输占用了大量的企业WAN带宽，从而导致企业的正常业务访问变得非常缓慢。利用NBAR技术，可以有效防止泛滥下载MP3、视频、图片文件等，为企业节省WAN带宽资源。

摘要： 在工作时间内，企业网络的WAN资源本身非常宝贵。在企业网络的使用高峰期，管理员在企业网络的出口上分析网络流量时，往往会发现有部分与企业正常业务无关的数据传输。正是这些非正常业务的文件传输占用了大量的企业WAN带宽，从而导致企业的正常业务访问变得非常缓慢。利用NBAR技术，可以有效防止泛滥下载MP3、视频、图片文件等，为企业节省WAN带宽资源。

摘要： 在工作时间内，企业网络的WAN资源本身非常宝贵。在企业网络的使用高峰期，管理员在企业网络的出口上分析网络流量时，往往会发现有部分与企业正常业务无关的数据传输。正是这些非正常业务的文件传输占用了大量的企业WAN带宽，从而导致企业的正常业务访问变得非常缓慢。利用NBAR技术，可以有效防止泛滥下载MP3、视频、图片文件等，为企业节省WAN带宽资源。

摘要： 近年来，随着P2P软件的增长，P2P的运行机制也变得多种多样。依靠单一的检测方法已经很难准确区分P2P流量和正常流量，而越来越多的加密P2P协议也给检测带来了极大的挑战。因此，文中首先讨论"Connection ResponsedSuccess Rate"方法，该方法通过流量分析中的连接特征来识别已知和未知的P2P流量。然后，对该方法的优缺点进行分析，指出其不足之处并对此加以改进。通过核密度估计对结果进行处理，辅以"双向传输流"方法弥补其检测的不足，以提高该方法的识别精度。最后，通过对实际采集到的网络流量进行分析，以验证所提出方法的准确性。

摘要： 近年来，随着P2P软件的增长，P2P的运行机制也变得多种多样。依靠单一的检测方法已经很难准确区分P2P流量和正常流量，而越来越多的加密P2P协议也给检测带来了极大的挑战。因此，文中首先讨论"Connection ResponsedSuccess Rate"方法，该方法通过流量分析中的连接特征来识别已知和未知的P2P流量。然后，对该方法的优缺点进行分析，指出其不足之处并对此加以改进。通过核密度估计对结果进行处理，辅以"双向传输流"方法弥补其检测的不足，以提高该方法的识别精度。最后，通过对实际采集到的网络流量进行分析，以验证所提出方法的准确性。

摘要： 近年来，随着P2P软件的增长，P2P的运行机制也变得多种多样。依靠单一的检测方法已经很难准确区分P2P流量和正常流量，而越来越多的加密P2P协议也给检测带来了极大的挑战。因此，文中首先讨论"Connection ResponsedSuccess Rate"方法，该方法通过流量分析中的连接特征来识别已知和未知的P2P流量。然后，对该方法的优缺点进行分析，指出其不足之处并对此加以改进。通过核密度估计对结果进行处理，辅以"双向传输流"方法弥补其检测的不足，以提高该方法的识别精度。最后，通过对实际采集到的网络流量进行分析，以验证所提出方法的准确性。

摘要： 本发明公开了一种家庭网络流量截获方法及家庭网络流量管理设备，属于通信技术领域。所述方法包括：接入家用路由器，为家用设备提供接管网段，并提供DHCP服务和路由；攻击所述家用路由器的DHCP服务，使其无法为所述家用设备提供IP；转接已经接入或接入过网络的所述家用设备至所述接管网段；响应未接入网络的所述家用设备的DHCP请求，为所述家用设备分配接管网段IP。本发明提供的家庭网络流量截获方法及家庭网络流量管理设备无需用户手动设置，即可将家用设备转接至接管网段，截获家庭网络流量，进而对家庭网络流量中的信息进行识别或拦截。

摘要： 本发明公开了一种网络流量的分配方法及实现网络流量分配的路由方法，该网络流量的分配方法包括：将源节点的全部或部分流量通过多条链路发送至目的节点，且使流向所述目的节点的任一链路的流量接近该链路的设定流量，其中，每一链路的设定流量为根据最大链路利用率及所述链路的带宽确定的流量值。该方法实现了对网络流量的分流链路流量的最优分配，降低了网络的最大链路利用率。同时通过建立基于二维路由的转发方法以实现最优网络流量分配，克服了现有域内OSPF路由方法中无法充分利用非最短路径的问题，提升了网络服务的品质。

摘要： 本申请提供了一种网络流量的检测方法，网络流量的检测系统和电子设备，该方法包括：获取待检测的网络流量；基于检测规则中的前置规则对获取的网络流量进行第一检测，得到第一检测结果，其中，检测规则用于检测所获取的网络流量是否为恶意程序；当确定第一检测结果中具有前置规则所指示的内容时，基于检测规则中的后续规则对获取的网络流量进行第二检测，以确定网络流量是否为所述恶意程序；当确定第一检测结果中不具有前置规则指示的内容时，不再使用后续规则对网络流量进行检测。该方法首先加载前置规则，后续规则根据前置规则的命中情况加载或卸载，相对于全部规则一次性加载，提高了网络流量的检测系统的命中效率。

摘要： 一种网络流量分析系统的网络流量展示方法和系统，其中方法包括步骤：获取各网络流量分析系统的分析数据，将同一分析数据在不同网络流量分析系统中的不同标识转换为同一标识，生成各网络流量分析系统的映射文件；获取待转换网络流量分析系统中的设备型号数据；根据所述获取的设备型号数据和预存的型号数据列表判断数据采集方式；根据所述采集方式获取待转换网络流量分析系统中的分析数据，并根据所述设备型号数据、所述采集方式和所述映射文件将所述待转换网络流量分析系统中的分析数据进行协议转换，获得转换分析数据；将所述转换分析数据进行展示。通过本发明实现了同时展示不同系统输出的分析数据。

摘要： 本申请涉及一种基于多源网络流量数据的网络流量分析方法和装置。所述方法包括：在网络流数据源部署预训练分类器池，对于每一个数据源，接收当前时刻的多源网络流数据，通过在线分类器对多源网络流数据进行流量分类，每间隔预设时间，将每个网络流数据源收集的数据进行特征处理和变换，将处理得到的流量数据特征和特征变换矩阵传输至流量漂移检测模块；流量漂移检测模块包含历史概念数据，以根据流量数据特征、特征变换矩阵以及历史概念数据，对概念漂移进行检测，若检测到概念漂移，则对多源部署的在线分类器进行重置。采用本方法能对多源网络流量数据进行持续实时准确的分析。

摘要： 一种网络流量分析系统的网络流量展示方法和系统，其中方法包括步骤：获取各网络流量分析系统的分析数据，将同一分析数据在不同网络流量分析系统中的不同标识转换为同一标识，生成各网络流量分析系统的映射文件；获取待转换网络流量分析系统中的设备型号数据；根据所述获取的设备型号数据和预存的型号数据列表判断数据采集方式；根据所述采集方式获取待转换网络流量分析系统中的分析数据，并根据所述设备型号数据、所述采集方式和所述映射文件将所述待转换网络流量分析系统中的分析数据进行协议转换，获得转换分析数据；将所述转换分析数据进行展示。通过本发明实现了同时展示不同系统输出的分析数据。

摘要： 本发明公开了一种结合网络流量分析和消息聚类的网络协议逆向分析方法，其包括步骤：S1.对目标网络协议应用进行逆向分析，捕获该应用产生的网络流量；S2.对捕获的网络流量按五元组进行分流；S3.结合逆向分析结果，在反编译的汇编代码中，将发包或者收包定义为一个消息，一个流包含多个消息；S4.以流为单位，假设捕获了s条流，对这s条流进行聚类；S5.将s条流聚类成少量k个关键协议交互过程后，对其进行保存；S6.k个关键协议交互过程再经过状态机标准简化算法，得到最简形式，即为系统最终协议分析的结果。该方法通过结合逆向分析，能够得到目标网络协议的具体交互过程；该方法是自动化地进行，得到的结果准确、简洁。

摘要： 本发明属于网络信息安全技术领域，具体涉及一种网络流量分析对抗方法及装置。基于分割流量的网络流量分析对抗方法，包括：步骤一：数据发送端将接收的原始数据包进行分割及封装，获得若干个子数据包；步骤二：将子数据包发送到中间交换结点，并由中间交换节点转发至数据接收端；步骤三：数据接收端接收所有的子数据包，检查无误后，按照顺序将子数据包恢复为原始数据包，发送至目的地或继续转发。本发明相比于其他传统的网络流量分析对抗方法，不引入冗余的数据信息，减少了网络带宽开销和延迟。相比于聚合流量的方法，提升了网络中活跃用户少的情况下的保护效果。

摘要： 本发明涉及一种基于虚拟网络流量分析的5G切片网络异常检测方法，设计获得各采集节点分别所对应的正常累计数据量波动范围集合，并以此为依据，由各采集节点分别针对经过其的各数据流量进行异常分析，做到5G切片业务端到端的安全检测，实现了网络异常检测算法的并行化；并且基于各采集节点对数据流量的OD分流，由中心服务器基于网络拓扑结构，统计网络中各条数据流量的传输、以及各节点分别对经过其的数量流量的异常分析；整个方案设计实现了海量数据存储和计算的本地化，在实现直接采集的同时也为大规模网络的异常检测提供了一个高性能可扩展的分布式分析平台。

摘要： 本发明公开了一种应用于网络流量分析的方法，是将互联网业务进行会话跟踪分析，提取每一个会话的流量、业务服务质量(QoS)、会话状态信息等，这些信息形成业务会话统计信息数据库。本发明基于统计学理论，解决了当前网络应用业务飞速发展更新频繁情况下，通过对应用层业务数据的完整分析，避免了传统基于Cisco Netflow技术只能分析TCP/IP的第四层协议以下信息的弊端，避免NetFlow基于抽样统计的数据采样技术的信息失真，在网络流量分析、业务服务质量测量、异常流量识别方面，具有非常重要的意义。本发明基于应用层业务检测技术和流量统计测试技术，统计结果准确，便于复杂网络环境下的网络维护、安全定位、业务质量控制等。