Identifying Encrypted Malware Traffic with Contextual Flow Data 识别加密网络流量中包含的威胁会带来一系列独特的挑战。监视此流量中是否存在威胁和恶意软件很重要,但是必须以保持加密完整性的方式进行监视。由于模式匹配无法对加密数据进行操作,因此以前的方法已经利用了从流中收集的可观察到的元数据,例如流的数据包长度和到达时间。在这项工作中,我们通过考虑数据全能性来扩展当前的最新技术方法。为此,我们开发了受监督的机器学习模型,这些模型利用了一组独特且多样化的网络流数据功能。这些数据功能包括TLS握手元数据,链接到加密流的DNS上下文流以及5分钟内来自同一源IP地址的HTTP上下文流的HTTP标头。 我们首先展示数百万个唯一流上恶意流量和良性流量对TLS,DNS和HTTP的使用之间的区别。本研究用于设计具有最大区分能力的功能集。然后,我们表明,将这种上下文信息合并到有监督的学习系统中,可以对分类为加密的恶意流的问题以0.00%的错误发现率显着提高性能。我们还将在一个独立的真实数据集中验证我们的误报率。
2022-04-26 18:08:24 176KB 流量分析分类
1
ClickHouse技术在手淘流量分析应用实践.pdf
2022-04-06 02:03:39 9.8MB 安全 ClickHouse
用法示例 要分析包含设备和服务器之间流量的pcap文件,请指定其路径和IP地址: ./pcap_analysis.py --pcap trace-mup-PUB-UPDATE-IMAGE.pcap --device-addr 00:12:4b:00:04:13:3d:f0 --broker-addr 00:12:4b:00:04:13:36:c1 要分析应用程序层有效负载,请另外指定要使用的有效负载分析器模块的名称: --payload-analyser myno 要使用特定的tshark二进制文件和MQTT版本,请另外指定二进制文件的路径和版本: --tshark /home/vagrant/iot/wireshark-3.3.0rc0-1711-gc099892700eb/build/run/tshark --mqtt-version 5.0 注意:首选项“ mqtt.de
2022-03-17 17:34:10 28KB Python
1
监控本地网络,捕获一段时间的IP数据包,列出本机与其他主机之间不同协议类型IP数据包的数量。
1
介绍 基于C语言网络流量在线分析系统 实验环境 1.操作系统:macOS Sierra 10.12.5 2.编程语言:C语言 3.网络数据包捕获函数包:libpcap 4.Xcode 8.3.3 + mac终端 环境配置 1.tcpdump网站( 版本 2.解压之后,在软件目录下执行。/configure 3.执行make 4.执行make install,此时,在/ usr / local / lib目录下会生成libpcap的动态链接库,如:libpcap.dylib 5.执行export DYLD_LIBRARY_PATH = / usr / local / lib插入目录加入动态链接库的CLASSPATH 6.编写测试代码测试是否可用: // vim device.c # include # include int main(i
2022-03-03 10:00:53 8KB 系统开源
1
网络中各种流量穿梭,你想清楚的看到每个流量的情况就要使用流量分析工具来查看
2022-02-28 14:58:01 52.18MB 流量分析
1
《网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析》专栏的数据包资源
1
数据分析取证,流量分析
2022-01-13 14:00:15 388KB 数据分析取证 流量分析
数据分析取证;流量分析
2022-01-13 14:00:15 200KB 数据分析取证 流量分析
数据分析取证;流量分析
2022-01-13 14:00:14 1.6MB 数据分析取证 流量分析