Darknet流量分类对于实时应用程序分类具有重要意义。分析darknet流量有助于在攻击前对恶意软件进行早期监控,并有助于检测疫情后的恶意活动。
本研究提出了一种新的技术,通过将ISCXTor2016和ISCxVPN016两个公共数据集合并,分别创建覆盖Tor和VPN业务的完整darknet数据集,并将其作为darknet业务的真正代表,并将其作为其特征。
1.简介
在cicdarknet020数据集中,采用两层方法在第一层生成良性和黑暗的业务。第二层生成的darknet流量包括音频流、浏览、聊天、电子邮件、P2P、传输、视频流和VOIP。为了生成代表性数据集,我们将以前生成的数据集ISCXTor2016和ISCxVPN016合并,并将各自的VPN和Tor业务合并到相应的Darknet类别中。表1提供了darknet流量类别的详细信息以及用于生成网络流量的应用程序。
表1:Darknet网络流量详细信息
使用的流量类别应用程序
音频流Vimeo和Youtube
浏览Firefox和Chrome
聊天ICQ、AIM、Skype、Facebook和Hangout
电子邮件SMTPS、POP3和IMAP
P2P自动转发与传输(BitTorrent)
使用Filezilla和外部服务通过SSH(SFTP)和SSL(FTPS)传输Skype、FTP
视频流Vimeo和Youtube
VOIP Facebook、Skype和Hangouts语音呼叫
2.数据集详细信息
基于前面一节中的组合表达式,图1(a)显示了第一层良性和达克内特业务的样本数的详细信息,(b)突出了我们darknet业务中加密流的数量。