公开(公告)号：CN111935136B

公开(公告)日：2022-05-20

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

公开(公告)号：CN111935136A

公开(公告)日：2020-11-13

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

公开(公告)号：CN110149302A

公开(公告)日：2019-08-20

申请号：CN201910190234.X

申请日：2019-03-13

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学

Inventor： 邹潇湘 ,  卓子寒 ,  余翔湛 ,  叶麟 ,  赵俊达 ,  张奕欣 ,  邢潇 ,  张翀 ,  谷杰铭

IPC: H04L29/06 ,  H04L12/721 ,  H04L12/46

Abstract: 本发明公开了一种匿名通信中面向地域多样性的节点选择方法，通过对路由节点进行评估，筛选出高性能的路由节点，再从中根据路由节点所在的地域选择位于不同地域的路由节点构成通信隧道，有效地提高了对消极恶意节点的抵御能力，通过选择不同地域的路由节点组成隧道，增加了攻击者的攻击成本，从而提高了系统的匿名性，以及对共谋攻击的抵御能力。

公开(公告)号：CN107196870A

公开(公告)日：2017-09-22

申请号：CN201710599012.4

申请日：2017-07-20

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 李城龙 ,  朱佳伟 ,  刘培朋 ,  余翔湛 ,  李凯 ,  叶麟 ,  刘立坤 ,  张宏莉 ,  史建焘 ,  于海宁 ,  胡阳 ,  赵卫晨 ,  路遥

IPC: H04L12/803 ,  H04L12/801 ,  H04L12/26

CPC classification number: H04L47/125 ,  H04L43/0817 ,  H04L43/16 ,  H04L47/12

Abstract: 本发明一种基于DPDK的流量动态负载均衡方法涉及计算机多核技术领域；该方法通过建立两张Hash表；分别进行Hash1()以及Hash2()计算，根据Hash结果查找表1以及Hash表2，判断两次Hash计算结果与处理核心id是否存在映射关系，如果是，将数据包分配到对应的处理核心中，否则，计算当前CPU的整体负载均衡度；判断负载均衡度是否超出阈值，如果否，根据Hash1()的结果在Hash表1中建立映射关系，将数据包分配到对应的处理核心中，如果是，剔除过载严重的处理核心；动态更新Hash2()的计算结果与处理核心id的映射关系，根据Hash2()的结果在Hash表2中建立映射关系，并将数据包分配到对应的处理核心中；本发明解决了多核处理器负载不均衡的问题。

公开(公告)号：CN107437105A

公开(公告)日：2017-12-05

申请号：CN201710675625.1

申请日：2017-08-09

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 余翔湛 ,  叶麟 ,  葛蒙蒙 ,  何首帅 ,  张东于 ,  赵卫晨 ,  胡阳 ,  路遥 ,  李凯 ,  康宁 ,  李城龙 ,  朱佳伟 ,  刘培朋

IPC: G06K17/00 ,  G07F17/12 ,  G06Q10/08 ,  H04L9/32

Abstract: 本发明涉及物流技术领域，具体涉及一种多角色全场景的NFC和QR码安全快递系统及使用方法。本发明为了解决现有的快递方式泄露个人信息，快递会被冒领和程序繁琐的问题。本发明的安全快递系统包括：快递员端口、服务器和用户端口，快递员端口包括快递员登陆/注册模块，任务管理模块、身份验证模块、第一数据传输模块；服务器包括证书授权中心、用户管理中心和数据中心；用户端口包括用户登录/注册模块、物流查询模块、公钥和私钥初始化模块、订单管理模块和第二数据传输模块；本发明的安全快递系统的使用方法中，快递邮寄过程中采用分角色的权限管理和NFC及QR码进行身份验证，减少个人信息的泄露，同时有效避免冒领的情况。

公开(公告)号：CN119299214A

公开(公告)日：2025-01-10

申请号：CN202411654640.4

申请日：2024-11-19

Applicant: 哈尔滨工业大学

Inventor： 胡智超 ,  刘立坤 ,  李竑杰 ,  余翔湛 ,  葛蒙蒙 ,  刘海心 ,  李卓凌 ,  秦浩伦 ,  宋晨 ,  王邦国 ,  牟铎 ,  张垚 ,  张靖宇 ,  周杰 ,  傅言晨 ,  李岱林

IPC: H04L9/40 ,  G06F18/214

Abstract: 一种基于日志的APT攻击检测与溯源方法，属于攻击检测技术领域。为解决APT攻击检测的高效、细粒度、精确性，本发明包括采集原始的系统日志数据，然后对原始的系统日志数据进行预处理，得到数据集；基于4种操作类型构建溯源图。所述4种操作类型包括文件操作、进程操作、权限操作和网络操作；使用BERT模型和VAE模型进行节点异常检测，获得威胁节点集合；基于得到的威胁节点集合以及溯源图，使用斯坦纳树算法获得包括所有威胁节点的攻击路径。本发明适于在不具备大量已标注样本和先验知识的情况下进行学习，可以克服传统的算法无法检测出零日攻击的问题，并且能够从大批量的系统日志中提取出简洁的APT攻击路径溯源图。

公开(公告)号：CN117879968B

公开(公告)日：2024-11-01

申请号：CN202410163731.1

申请日：2024-02-05

Applicant: 哈尔滨工业大学

Inventor： 詹东阳 ,  张雯琦 ,  张宏莉 ,  余翔湛 ,  叶麟 ,  方滨兴

IPC: H04L9/40 ,  G06N3/092 ,  G06N3/0464 ,  H04L67/12 ,  H04L43/16 ,  G06N3/042

Abstract: 本发明提出一种多维度工业网络行为异常检测方法，属于网络行为检测技术领域。包括：S1.建构多视图关联分析的行为分析模型；S2.建构多维跨域共享学习模型，以工控网络多维度视图及共享节点嵌入作为输入，以新的共享节点嵌入作为输出；S3.建构单域特定学习模型，使模型在多个维度上对异常进行评估和检测；S4.在多个维度上进行单视图特定学习，强化学习各维度上的嵌入信息，并根据各维度嵌入特征重建预测行为值，根据预测行为与实际行为的偏差计算各维度上的异常得分；S5.设置异常得分阈值，当异常得分在异常得分阈值内，进行异常告警。解决缺乏多维度识别和理解网络行为、处理高维数据的效率差的问题。

公开(公告)号：CN118713900A

公开(公告)日：2024-09-27

申请号：CN202410920732.6

申请日：2024-07-10

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  龚家兴 ,  余翔湛 ,  胡智超 ,  史建焘 ,  苗钧重 ,  郭明昊 ,  葛蒙蒙 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  郭一澄 ,  鲁宇 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: H04L9/40

Abstract: 本发明公开了一种基于数据包长度分布的动态低开销流量混淆方法，属于防御加密流量指纹检测技术领域。解决了现有技术中传统的流量混淆方法动态性不足且资源开销大的问题；本发明结合基于分布的数据包长度映射方法以及基于分割和堆叠的数据包修改方法，最终提出一个基于数据包长度分布的动态低开销流量混淆方法，对于一个数据包序列中的每个数据包，首先通过基于分布的数据包长度映射方法获得目标数据包长度，然后利用基于分割和堆叠的数据包修改方法将数据包修改为目标长度，最终得到混淆之后的数据包序列。本发明有效避免了对数据包修改过程中引入填充数据的操作，降低了额外的带宽开销，可以应用于在实际网络环境下混淆流量。

公开(公告)号：CN114844840B

公开(公告)日：2024-04-02

申请号：CN202210450541.9

申请日：2022-04-26

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  史建焘 ,  叶麟 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  韦贤葵 ,  李精卫 ,  石开宇 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  郭明昊 ,  车佳臻

IPC: H04L47/2441 ,  G06N3/0442 ,  G06N3/084

Abstract: 一种基于计算似然比的分布外网络流量数据检测方法，属于网络流量数据检测领域。为提高网络流量数据识别的精准度和置信度的问题。本发明提取网络流量特征：原始流量为pcap包，根据五元组划分为不同的数据流，设置为提取数据包长度序列、计算包到达时间间隔序列，将以上序列保存并生成CSV文件，作为模型训练的原始训练数据；使用原始训练数据训练原始分类模型，采用深度学习算法长短期记忆网络进行原始分类模型的训练，得到原始训练数据训练出的模型，生成扰动数据，采用加入高斯白噪声的方法生成扰动数据，训练扰动模型，得到扰动数据训练出的模型，计算似然比，判断分布外数据。本发明网络流量数据识别的精准度和置信度高。

公开(公告)号：CN116074087B

公开(公告)日：2023-08-04

申请号：CN202310072303.3

申请日：2023-01-17

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  孔德文 ,  葛蒙蒙 ,  刘立坤 ,  史建焘 ,  胡智超 ,  赵跃 ,  宋赟祖 ,  郭一澄 ,  程明明

IPC: H04L9/40 ,  H04L41/16 ,  G06F18/213 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提出一种基于网络流量上下文表征的加密流量分类方法、电子设备及存储介质，属于加密流量识分类技术领域。包括以下步骤：S1.将待分类流量按照五元组划分；S2.构建流量表征滑动窗口，将流量分为若干流量数据包片段；S3.提取每个流量片段的时间特征和空间特征；S4.根据流量片段的时间特征和空间特征生成上下文时空特征矩阵；S5.将上下文时空矩阵转换为灰度图片；S6.构建模型分类器；S7.将灰度图片输入模型分类器，输出分类结果。解决了现有技术中存在的分类准确度低、时效性低和效率低的问题。本发明在流量会话结束前就能对流量实现表征进而使用后续提出的模型进行分类，大大提高表征算法和流量分类的时效性和准确度。