公开(公告)号：CN117633584A

公开(公告)日：2024-03-01

申请号：CN202311529529.8

申请日：2023-11-16

Applicant: 北京工业大学

Inventor： 尹天安 ,  赖英旭 ,  周睿 ,  王一鹏 ,  尹瑞平 ,  赵子健

IPC: G06F18/24 ,  G06F18/214 ,  G06F17/16 ,  G06N3/0464 ,  G06N3/09

Abstract: 本发明公开了一种用于应用流量分类的自动化深度学习模型生成方法及系统，包含应用流量预处理阶段，应用流量分类模型架构搜索阶段，应用流量分类模型选择阶段。预处理阶段包括：原始应用流量样本重组与IP混淆；获得包字节序列；对包字节序列转换为矢量矩阵。搜索阶段包含：控制器和隐藏状态表初始化；正常与缩减单元结构搜索；链接单元形成分类模型；模型训练与测试；控制器更新；判断是否达到终止条件。选择阶段包括：模型性能排序；本发明使用强化学习方法，减少了设计过程的主观性和人为偏好的影响，可以实现自动生成对应用流量进行分类的深度学习模型，提高了模型的表达能力和分类性能，实现了更高的准确性与效率。

公开(公告)号：CN117375947A

公开(公告)日：2024-01-09

申请号：CN202311396788.8

申请日：2023-10-26

Applicant: 北京工业大学

Inventor： 刘静 ,  慕泽林 ,  赖英旭

IPC: H04L9/40

Abstract: 本发明公开了面向边缘异构的个性化联邦学习入侵检测方法，提出的基于个性化剪枝的自适应模型压缩算法能够使参与者能够拥有个性化模型以此应对边缘节点资源约束存在异构性的问题，从而提高联邦学习效率；同时系统中的基于相似度加权的异步模型聚合策略能够使网络结构不同的本地模型进行细粒度聚合，应对节点之间数据呈现非独立同分布的问题，从而提高入侵检测精度。本发明设计实验，对比多个方法的实验效果。实验结果证明，本发明对于边缘异构场景下资源受限的客户端训练效率上有显著提升，在数据非独立同分布的场景下客户端的入侵检测精度能够得到提高。

公开(公告)号：CN112738015B

公开(公告)日：2023-05-02

申请号：CN202011168087.5

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 毛北逢 ,  刘静 ,  赖英旭

IPC: H04L9/40 ,  G06N3/09 ,  G06N3/0464

Abstract: 本发明公开了一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统，将网络通信流量进行捕捉，建立通信状态图。将捕获的网络通信流量对其进行分流，将分流后得到的数据进行规整。将得到的数据作为输入，形成规整后的训练数据集，利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型。并利用类激活图提取细节与决策树结合建立代理模型得到可解释的卷积神经网络。利用得到的可解释的卷积神经网络模型对待检测的流量进行检测，对建立的通信状态图进行更新。从建立的通信状态图中提取带权重的异常攻击子图，得到攻击场景，利用带权重的深度优先遍历算法提取攻击链。本发明可以提高精度的同时降低误报的出现。还能够输出对应的权重信息，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN112839024B

公开(公告)日：2023-03-24

申请号：CN202011224892.5

申请日：2020-11-05

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  云晓春 ,  赖英旭

IPC: H04L9/40 ,  H04L41/14 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种基于多尺度特征注意力的网络流量分类方法及系统，该方法包括训练阶段和分类阶段；训练阶段包括：对应用协议的流量样本进行统一处理；对训练数据进行学习训练，构建应用协议分类模型；分类阶段包括：采集网络流量并统一处理；根据训练阶段得到的应用协议检测模型，对待测流量样本的应用协议类型进行判别，并输出判别结果。本发明能够充分挖掘网络流量中不同尺度的潜在特征信息，从而形成更具表达能力的特征表示，在网络应用协议流量分类过程中具有高准确率和强鲁棒性。

公开(公告)号：CN112491797B

公开(公告)日：2022-11-22

申请号：CN202011169483.X

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 王一鹏 ,  谷浩然 ,  赖英旭 ,  刘静 ,  孙墨童 ,  毛北逢

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于非平衡工控数据集的入侵检测方法，以待检测的工控网络流量为输入进行数据格式的结构性转化，将网络上数据格式转化为灰度图像格式，制作出流量灰度图像；以转化的流量灰度图像作为输入，判断待分类的数据中是否存在少数类样本的；以分类特征向量集作为输入，利用数据填充补齐方法进行分类特征向量的填充和流量灰度图像的格式补齐，得到经过制作和填充后的扩充流量灰度图像；以扩充流量灰度图像作为输入，采用深度学习入侵检测方法进行入侵检测的训练和分类检测。本发明能够有效的提升入侵检测精度和提升模型检测的鲁棒性，从而解决由于工控数据的负面特点而带来的不利于入侵检测工作进行的影响。

公开(公告)号：CN112468440B

公开(公告)日：2022-11-15

申请号：CN202011168061.0

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  周昆 ,  刘静

IPC: H04L9/40 ,  G06F40/284 ,  G06F40/295 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了基于知识图谱的工控系统攻击线索发现系统。工控系统大多是多年前设计开发的，缺乏相应的安全考虑，难免存在不少危及系统安全的漏洞，而这些漏洞很有可能被入侵者所利用。针对工控入侵检测系统仅能发现攻击但不能提供攻击相关的线索，而这些线索对系统的攻击后快速恢复具有重要作用，本发明通过构建工控系统漏洞利用知识图谱，从漏洞利用的角度给出攻击的相关线索。在构建知识图谱的过程中，提出了一种基于条件随机场的攻击信息命名实体识别方法、一种基于规则和字符相似度计算的实体对齐框架和一种基于类型限定与预训练模型负三元组潜在正确概率的知识推理算法。本发明将知识图谱根据用户输入得出的攻击线索以力导向图的方式可视化展示，更加准确和直观。

公开(公告)号：CN112491796B

公开(公告)日：2022-11-04

申请号：CN202011169481.0

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  孙墨童 ,  王一鹏 ,  刘静 ,  谷浩然 ,  毛北逢 ,  王昊辰 ,  朱星宇

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08 ,  G06K9/62

Abstract: 本发明公开了一种基于卷积神经网络的入侵检测及语义决策树量化解释方法，将流量数据转换成流量灰度图像作为输入，对增加了可解释性的卷积神经网络进行训练，并用检测集对训练后的模型进行检测；利用类激活图构建攻击细节图像并输入训练后的卷积神经网络模型提取聚类特征进行聚类，计算检测到的异常样本与各类攻击聚类中心的距离，利用该距离建立决策树；计算语义匹配率为建立的代理决策树赋予语义意义，并利用该匹配率对语义决策树的解释效果进行量化评价。本发明对比多个模型及其改进后模型的检测性能与可解释性能，建立语义决策树对效果最优的模型进行解释，并设计语义匹配率对解释效果进行量化评价。

公开(公告)号：CN113946832A

公开(公告)日：2022-01-18

申请号：CN202111244200.8

申请日：2021-10-26

Applicant: 北京工业大学

Inventor： 赖英旭 ,  叶腾飞

IPC: G06F21/57 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于改进的生成对抗网络框架的漏洞挖掘方法，提出一种改进的生成对抗网络模型框架，解决了测试用例生成过程中目标函数训练效果较差以及模型训练过程中的模式崩溃问题；接着，针对在训练过程中生成器网络从判别器网络中获得的反馈信息不足而造成收敛速度过慢，生成的测试用例质量不够高的问题，使得模型能够较快的完成收敛并且能够获得更高质量的测试用例；最后，设计并实现了基于Modbus‑TCP协议的漏洞挖掘系统，并在仿真环境以及真实工业环境中进行模糊测试试验；本发明提高测试用例的接收率以及能够触发被测目标的各种异常以及发现Modbus‑TCP协议的漏洞，从而解决了传统漏洞挖掘方法中存在的低接收率以及低漏洞挖掘能力的问题。

公开(公告)号：CN113852605A

公开(公告)日：2021-12-28

申请号：CN202110999657.3

申请日：2021-08-29

Applicant: 北京工业大学

Inventor： 王一鹏 ,  唐通 ,  赖英旭 ,  刘静

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于关系推理的协议格式自动化推断方法及系统。该方法包括三个阶段，分别为粗粒度结构生成阶段、关系学习阶段和细粒度结构生成阶段：粗粒度结构生成阶段包括：对原始网络流量进行预处理；对预处理后的有效负载集合生成频率字典；根据频率字典产生粗粒度结构；关系学习阶段包括：对有效负载的特征进行提取；对负载粗粒度结构产生对应的问题集和答案集；利用问题和答案推理有效负载特征中各n‑gram间逻辑关系，构建字段关系模型；细粒度结构生成阶段包括：根据关系学习阶段得到的字段关系模型，将其映射到粗粒度结构中；根据映射关系推断出负载的格式。本发明在TCP/UDP负载中从变长字段间提取精确的协议格式，提取方法效率高、鲁棒性强。

公开(公告)号：CN113824684A

公开(公告)日：2021-12-21

申请号：CN202110958643.7

申请日：2021-08-20

Applicant: 北京工业大学

Inventor： 赖英旭 ,  王宇航 ,  陈业 ,  庄俊玺

IPC: H04L29/06 ,  H04L29/08 ,  G06F21/55 ,  G06K9/62 ,  G06N3/02

Abstract: 本发明公开了一种基于迁移学习的车载网络入侵检测方法及系统，提取连续的29条CAN报文的ID，将CANID序列转为特征矩阵作为输入。由基于DenseNet的检测模型提取该特征矩阵的时序特征；由基于GAN的检测模型提取该特征矩阵的时序特征，判断是否符合未知攻击特征，若是则发出警报，并将其作为未知攻击样本存储下来，当检查到存储的样本达到一定数量，使用PCA方法对存储的未知攻击样本进行降维，使用Meanshift方法对降维后的样本进行分类，得到具有预分类标签的未知攻击数据集，完成入侵检测系统的更新。本发明所提出的PCA与Meanshift结合的方法能够有效对未知攻击进行分类，所提出的使用迁移学习更新检测模型的方法能够有效减少模型学习时对训练数据的需求量。