公开(公告)号：CN116743473B

公开(公告)日：2024-02-06

申请号：CN202310783622.5

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明提出一种基于并行度量学习的入侵检测方法，属于入侵检测技术领域。一种基于并行度量学习的入侵检测方法由嵌入模块、度量模块和分类器组成模型；嵌入模块用于接收五元组数据，度量模块用于获得预测相似度，分类器用于获取预测类别；具体实现过程：S1.训练模型；S2.将网络流量输入模型中，模型输出识别结果，若网络流量为非入侵流量，输出结果为0，否则，输出结果为1。解决现有技术中模型的识别效率低实时性差的技术问题；本发明只需利用嵌入模块对网络流量进行特征提取，再将所提取的特征输入分类器中，即可获得最终的识别结果，无需再和支持集中的样本一一比较，可大幅提升识别效率和识别准确率。

公开(公告)号：CN116776248A

公开(公告)日：2023-09-19

申请号：CN202310746661.8

申请日：2023-06-21

Applicant: 哈尔滨工业大学

Inventor： 胡智超 ,  余翔湛 ,  冯帅 ,  刘立坤 ,  史建焘 ,  葛蒙蒙 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  王钲皓 ,  郭一澄 ,  张森 ,  程明明 ,  高展鹏

IPC: G06F18/2415 ,  G06F18/213 ,  G06F18/214

Abstract: 本发明提出一种基于虚拟对数的分布外检测方法，属于分布外检测技术领域。包括：S1.对流量进行特征提取，作为样本特征；S2.将样本特征输入到分类模型中，输出模型原始输出；S3.对样本特征进行特征分解；S4.令虚拟对数等于样本特征在主空间上的特征残差，加入到模型原始输出；S5.结合模型原始输出计算softmax函数值，将输入的多维向量的每一维映射到(0,1)区间的值，值的累积和为1；将虚拟对数所在维度对应的函数值，作为样本的分布外得分；S6.设置分布外阈值，判断输入样本是否为分布外样本。解决依赖单一输入源，检测精确度不高的问题。兼顾样本原始特征又利用深度学习模型学习到的知识，不需要重新训练模型。

公开(公告)号：CN116668182B

公开(公告)日：2023-11-10

申请号：CN202310837529.8

申请日：2023-07-10

Applicant: 哈尔滨工业大学

Inventor： 葛蒙蒙 ,  余翔湛 ,  赵跃 ,  刘立坤 ,  史建焘 ,  胡智超 ,  刘奉哲 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  孔德文 ,  高展鹏 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森

IPC: H04L9/40

Abstract: 本发明公开了一种基于多流上下文关系的加密应用行为流量检测方法，属于流量检测技术领域。解决了现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题；本发明包括以下步骤：S1.定义多流和多流关系，构建多流结构；S2.对给定的多流结构进行多流结构匹配；具体的：S21.计算出整体多流相似度和单流相似度，得到单流匹配集合；S22.计算出给定的多流结构和给定的待匹配多流的多流相似度；S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功；S3.定义上下文关系，构建上下文结构；S4.对给定的待匹配多流队列进行多流队列匹配；本发明提高了行为流量检测的准确性，可以应用于流量检测。

公开(公告)号：CN116896469A

公开(公告)日：2023-10-17

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。

公开(公告)号：CN116821907A

公开(公告)日：2023-09-29

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无法利用少量新型恶意攻击样本对模型参数进行充分调整，使模型无法适应新型恶意攻击识别问题。提升小样本场景攻击识别效果。

公开(公告)号：CN118713900A

公开(公告)日：2024-09-27

申请号：CN202410920732.6

申请日：2024-07-10

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  龚家兴 ,  余翔湛 ,  胡智超 ,  史建焘 ,  苗钧重 ,  郭明昊 ,  葛蒙蒙 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  郭一澄 ,  鲁宇 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: H04L9/40

Abstract: 本发明公开了一种基于数据包长度分布的动态低开销流量混淆方法，属于防御加密流量指纹检测技术领域。解决了现有技术中传统的流量混淆方法动态性不足且资源开销大的问题；本发明结合基于分布的数据包长度映射方法以及基于分割和堆叠的数据包修改方法，最终提出一个基于数据包长度分布的动态低开销流量混淆方法，对于一个数据包序列中的每个数据包，首先通过基于分布的数据包长度映射方法获得目标数据包长度，然后利用基于分割和堆叠的数据包修改方法将数据包修改为目标长度，最终得到混淆之后的数据包序列。本发明有效避免了对数据包修改过程中引入填充数据的操作，降低了额外的带宽开销，可以应用于在实际网络环境下混淆流量。

公开(公告)号：CN116016365A

公开(公告)日：2023-04-25

申请号：CN202310019534.8

申请日：2023-01-06

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  李竑杰 ,  李精卫 ,  刘立坤 ,  孔德文 ,  羿天阳 ,  刘奉哲 ,  龚家兴 ,  王钲浩 ,  郭一澄 ,  张森 ,  程明明

IPC: H04L47/2483 ,  H04L9/40 ,  G06F16/958 ,  G06F16/957 ,  G06F16/955 ,  G06N20/00 ,  G06F18/24 ,  G06F18/2413

Abstract: 本发明提出一种加密流量下基于数据包长度信息的网页识别方法，属于网页识别技术领域。包括以下步骤：S1.模拟用户的浏览行为，访问不同网站，获取加密流量数据；S2.对加密流量数据进行处理；S3.提取加密流量数据特征，保存为网页指纹；S4.将网页指纹进行分类，建立加密流量数据特征与网页指纹的对应关系；S5.构建网页指纹识别模型；S6.将加密流量数据特征和网页的真实ID作为网页指纹识别模型的输入，输出网页的预测ID。解决现有技术中存在的无法细粒度的识别网页的技术问题。本发明将数据包长度信息作为一维特征的预处理算法，可以解决网页识别问题中的特征提取时间复杂性问题，并且训练时间较短，时间复杂度很低。

公开(公告)号：CN116821907B

公开(公告)日：2024-02-02

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无

公开(公告)号：CN116668186B

公开(公告)日：2024-02-02

申请号：CN202310879928.0

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  宋赟祖 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: H04L9/40

Abstract: 本发明公开了一种基于多视角特征和集成学习的加密代理协议识别的方法，属于加密代理协议识别技术领域。解决了现有技术中加密代理协议识别方法无法清晰表征完整加密代理协议网络流的问题；本发明包括以下步骤：S1.构建多视角特征提取算法提取时空相关特征、连接管理特征、流量封装特征、认证模式特征和流量混淆特征，将每个网络流提取出的一个135维特征向量的集合作为数据样本集；S2.采用SMOTE过采样算法对数据样本集插值，得到SMOTE平衡数据样本集；S3.根据SMOTE平衡数据样本集构建集成学习分类模型MvBoost，得到加密代理协议分类识别结果。本发明能够对加密代理协议进行有效识别，避免了模型因数据训练变差。

公开(公告)号：CN116743473A

公开(公告)日：2023-09-12

申请号：CN202310783622.5

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明提出一种基于并行度量学习的入侵检测方法，属于入侵检测技术领域。一种基于并行度量学习的入侵检测方法由嵌入模块、度量模块和分类器组成模型；嵌入模块用于接收五元组数据，度量模块用于获得预测相似度，分类器用于获取预测类别；具体实现过程：S1.训练模型；S2.将网络流量输入模型中，模型输出识别结果，若网络流量为非入侵流量，输出结果为0，否则，输出结果为1。解决现有技术中模型的识别效率低实时性差的技术问题；本发明只需利用嵌入模块对网络流量进行特征提取，再将所提取的特征输入分类器中，即可获得最终的识别结果，无需再和支持集中的样本一一比较，可大幅提升识别效率和识别准确率。