公开(公告)号：CN116821907B

公开(公告)日：2024-02-02

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无

公开(公告)号：CN116668186B

公开(公告)日：2024-02-02

申请号：CN202310879928.0

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  宋赟祖 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: H04L9/40

Abstract: 本发明公开了一种基于多视角特征和集成学习的加密代理协议识别的方法，属于加密代理协议识别技术领域。解决了现有技术中加密代理协议识别方法无法清晰表征完整加密代理协议网络流的问题；本发明包括以下步骤：S1.构建多视角特征提取算法提取时空相关特征、连接管理特征、流量封装特征、认证模式特征和流量混淆特征，将每个网络流提取出的一个135维特征向量的集合作为数据样本集；S2.采用SMOTE过采样算法对数据样本集插值，得到SMOTE平衡数据样本集；S3.根据SMOTE平衡数据样本集构建集成学习分类模型MvBoost，得到加密代理协议分类识别结果。本发明能够对加密代理协议进行有效识别，避免了模型因数据训练变差。

公开(公告)号：CN116743473A

公开(公告)日：2023-09-12

申请号：CN202310783622.5

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明提出一种基于并行度量学习的入侵检测方法，属于入侵检测技术领域。一种基于并行度量学习的入侵检测方法由嵌入模块、度量模块和分类器组成模型；嵌入模块用于接收五元组数据，度量模块用于获得预测相似度，分类器用于获取预测类别；具体实现过程：S1.训练模型；S2.将网络流量输入模型中，模型输出识别结果，若网络流量为非入侵流量，输出结果为0，否则，输出结果为1。解决现有技术中模型的识别效率低实时性差的技术问题；本发明只需利用嵌入模块对网络流量进行特征提取，再将所提取的特征输入分类器中，即可获得最终的识别结果，无需再和支持集中的样本一一比较，可大幅提升识别效率和识别准确率。

公开(公告)号：CN116362326A

公开(公告)日：2023-06-30

申请号：CN202310143695.8

申请日：2023-02-21

Applicant: 哈尔滨工业大学

Inventor： 于海宁 ,  孙骁 ,  余翔湛

IPC: G06N3/098 ,  G06N3/08 ,  G06N3/084 ,  G06N3/048 ,  H04L9/00

Abstract: 基于多偏置交互的纵向联邦场景神经网络训练方法、电子设备及存储介质，属于隐私计算技术领域。为解决在安全传输的前提下提高效率的目的。本发明训练参与各方的模型结构为全连接层、Dropout层，包括训练发起方、训练协助方将训练发起方的数据、训练协助方的数据进行前向传播方法训练，得到前向传播方法的训练结果；将前向传播方法的训练结果进行反向传播方法训练，训练协助方和训练发起方分别进行模型参数的更新，完成一轮的训练，进入下一轮直至训练结果达到精度要求或者停止条件，完成基于多偏置交互的纵向联邦场景神经网络训练。本发明增加了训练各方之间的信息交互，特征的过滤功能得到多方数据信息的指导，结果更具说服力。

公开(公告)号：CN116208506A

公开(公告)日：2023-06-02

申请号：CN202310049743.7

申请日：2023-02-01

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  龚家兴 ,  石开宇 ,  刘立坤 ,  羿天阳 ,  孔德文 ,  刘奉哲 ,  李竑杰 ,  张森 ,  程明明 ,  王钲浩 ,  郭一澄

IPC: H04L41/14 ,  G06F18/2431 ,  G06F18/214 ,  G06F18/23 ,  G06F18/22

Abstract: 本发明提出一种基于时空关联网站指纹的加密流量网站识别方法，属于流量识别技术领域。通过模拟用户在加密代理信道中逐个多次访问网站，获取流量生成时空关联网站指纹；基于时空关联网站指纹识别加密流量，对加密代理构建的加密信道中的加密流量进行网站识别。本发明引入了流量的空间信息，并且通过定义网站指示量WIF和序列指纹重要性评分Score，将流量的时序信息和空间信息结合在一起，生成时空关联的网站指纹。利用时空关联的网站指纹，大幅度提高了流量网站识别的准确率。解决现有技术中存在的网站指纹网站识别准确率低的技术问题。

公开(公告)号：CN116074087A

公开(公告)日：2023-05-05

申请号：CN202310072303.3

申请日：2023-01-17

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  孔德文 ,  葛蒙蒙 ,  刘立坤 ,  史建焘 ,  胡智超 ,  赵跃 ,  宋赟祖 ,  郭一澄 ,  程明明

IPC: H04L9/40 ,  H04L41/16 ,  G06F18/213 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提出一种基于网络流量上下文表征的加密流量分类方法、电子设备及存储介质，属于加密流量识分类技术领域。包括以下步骤：S1.将待分类流量按照五元组划分；S2.构建流量表征滑动窗口，将流量分为若干流量数据包片段；S3.提取每个流量片段的时间特征和空间特征；S4.根据流量片段的时间特征和空间特征生成上下文时空特征矩阵；S5.将上下文时空矩阵转换为灰度图片；S6.构建模型分类器；S7.将灰度图片输入模型分类器，输出分类结果。解决了现有技术中存在的分类准确度低、时效性低和效率低的问题。本发明在流量会话结束前就能对流量实现表征进而使用后续提出的模型进行分类，大大提高表征算法和流量分类的时效性和准确度。

公开(公告)号：CN113779567B

公开(公告)日：2022-09-13

申请号：CN202111061684.2

申请日：2021-09-10

Applicant: 哈尔滨工业大学

Inventor： 史建焘 ,  刘立坤 ,  余翔湛 ,  叶麟 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  车佳臻 ,  赵跃 ,  冯帅 ,  王久金 ,  宋赟祖 ,  谭通海

IPC: G06F21/55 ,  G06F9/54 ,  G06F21/56 ,  G06F9/50 ,  G06F9/48

Abstract: 本发明提出一种面向DPI多核的缓存丢失攻击的防御方法、计算机及存储介质，属于智能防御技术领域。建立多核的算法攻击防御框架，将所有业务线程逻辑上划分为常规线程和攻击线程。流量经负载调度模块分发给常规线程，常规线程运行常用模式匹配算法进行模式匹配。当攻击检测模块检测到缓存攻击时，将攻击流下发给负载调度模块，其将攻击后续流转移到攻击线程处理。常规线程和攻击线程的数量可以根据CPU的压力情况进行自动切换，同时，将自己的线程变更后的类型反馈给负载调度模块，在负载调度模块对反馈确认前，将线程间已经收到的报文进行交换，避免报文的丢失。解决现有技术存在的DPI系统受到攻击时，处理严重延迟或丢包的技术问题。

公开(公告)号：CN115022079A

公开(公告)日：2022-09-06

申请号：CN202210795166.1

申请日：2022-07-07

Applicant: 奇安信科技集团股份有限公司 ,  哈尔滨工业大学

Inventor： 吴雨伦 ,  齐向东 ,  应志军 ,  叶麟 ,  余翔湛 ,  陈晨 ,  吴云坤

IPC: H04L9/40 ,  H04L41/069

Abstract: 本申请提供了一种攻击数据处理方法、装置、电子设备和计算机存储设备，其中，该方法包括：根据获得的多条警报数据，确定出该多条警报数据中的各条警报数据之间的相关度；根据该各条警报数据之间的相关度，确定出警报关系网；根据该警报关系网，确定出攻击数据。可以实现对各类警报数据之间的关联，分析出攻击情况。

公开(公告)号：CN115022049A

公开(公告)日：2022-09-06

申请号：CN202210634083.4

申请日：2022-06-06

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  史建焘 ,  车佳臻 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  郭明昊 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  王久金

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/16 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出一种基于计算马氏距离的分布外网络流量数据检测方法，属于数据检测技术领域。包括以下步骤：S1.原始网络流量的预处理和分类模型的预训练；S2.在预训练分类模型的基础上，获取新样本X与已知类别中最相似类别；S3.计算新样本x与最相似类别实例的马氏距离；S4.设定分布外数据阈值，分布外数据阈值采用实验的方式确定，对原网络流量数据加入小量的扰动数据，计算原网络流量数据与处理后的数据的马氏距离作为阈值的值。判断是否属于分布外数据。本发明提高了分类器分类结果的置信度。解决现有技术中存在基于计算相似度的检测方法的计算距离不具有唯一性导致的置信度低的技术问题。

公开(公告)号：CN114844840A

公开(公告)日：2022-08-02

申请号：CN202210450541.9

申请日：2022-04-26

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  史建焘 ,  叶麟 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  韦贤葵 ,  李精卫 ,  石开宇 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  郭明昊 ,  车佳臻

IPC: H04L47/2441 ,  G06N3/04 ,  G06N3/08

Abstract: 一种基于计算似然比的分布外网络流量数据检测方法，属于网络流量数据检测领域。为提高网络流量数据识别的精准度和置信度的问题。本发明提取网络流量特征：原始流量为pcap包，根据五元组划分为不同的数据流，设置为提取数据包长度序列、计算包到达时间间隔序列，将以上序列保存并生成CSV文件，作为模型训练的原始训练数据；使用原始训练数据训练原始分类模型，采用深度学习算法长短期记忆网络进行原始分类模型的训练，得到原始训练数据训练出的模型，生成扰动数据，采用加入高斯白噪声的方法生成扰动数据，训练扰动模型，得到扰动数据训练出的模型，计算似然比，判断分布外数据。本发明网络流量数据识别的精准度和置信度高。