公开(公告)号：CN118349866B

公开(公告)日：2025-02-14

申请号：CN202410449202.8

申请日：2024-04-15

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  郭一澄 ,  刘立坤 ,  胡智超 ,  史建焘 ,  葛蒙蒙 ,  苗钧重 ,  郭明昊 ,  高展鹏 ,  王钲皓 ,  张森 ,  陈东鑫 ,  程明明 ,  张垚 ,  张靖宇 ,  李岱林 ,  傅言晨 ,  周杰

IPC: G06F18/23213 ,  H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种移动应用SNI信息大规模细粒度分类算法，属于网络安全技术领域。解决了现有技术中传统的域名分类方法难以在大规模的SNI结果中剔除无效SNI信息并提取相关特征SNI的问题；本发明基于统计特征对SNI提取结果中确定为无效信息的二级域名进行删除，根据得到的初筛无效二级域名在APP出现的次数，基于预设的阈值条件对特征字符串去重，得到第一次去重结果并采用K‑Means聚类对其去重两次，得到第三次去重结果；遍历第三次去重结果中的重复的SNI数据，对不相似APP的二级域名的SNI去重，对所得结果数据清洗，得到最终特征SNI结果。本发明有效提取了APP的特征SNI，可以应用于加密流量特征识别。

公开(公告)号：CN118410483A

公开(公告)日：2024-07-30

申请号：CN202410498504.4

申请日：2024-04-24

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  郭一澄 ,  余翔湛 ,  胡智超 ,  史建焘 ,  郭明昊 ,  葛蒙蒙 ,  苗钧重 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: G06F21/56 ,  H04L41/14 ,  H04L67/56 ,  H04L9/40 ,  G06F18/10 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了一种基于启发式动态分析的移动应用网络信息提取方法，属于网络信息安全技术领域。解决了现有技术中传统的动态网络分析方法和静态网络分析方法难以实现全面地对APP提取有效网络特征信息的问题；本发明通过逆向待分析应用的apk文件获取程序源码，遍历所得逆向结果中同网络信息相关的关键位置，提取输出静态启发信息及静态网络特征数据；基于随机动作点击和控件坐标生成原始流量，并通过基于代理的方法实现常用协议流量实时解密，对明密文流量中相关协议特征参数进行提取获得动态网络特征数据，对静态网络字符串变量结果和动态网络分析结果进行清洗，输出最终结果。本发明有效提升了流量生成和分析的效率，可以应用于APP测试。

公开(公告)号：CN114785606B

公开(公告)日：2024-02-02

申请号：CN202210466869.X

申请日：2022-04-27

Applicant: 哈尔滨工业大学 ,  奇安信科技集团股份有限公司

Inventor： 詹东阳 ,  齐向东 ,  谭凯 ,  冯词童 ,  高晓红 ,  谢慧昭 ,  叶麟 ,  余翔湛

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/24

Abstract: 本发明提出一种基于预训练LogXLNet模型的日志异常检测方法、电子设备及存储介质，属于日志异常检测技术领域。包括以下步骤：S1.将日志消息进行预处理，将日志消息拆分为字符标记和数字标记；S2.将日志消息标识化；S3.将日志消息进行词集表示，从日志消息中获取词序列，将词序列编码为向量；S4.将日志消息进行数字值表示后将日志消息表示为语义向量；S5.基于Transformer的分类模型进行异常检测。本发明使用了transformer模型来捕获日志序列的上下文依赖关系并检测异常b能够稳健地表示日志消息，有效提高检测精度；解决了现有技术中存在的概念漂移引起的误报、日志解析错误、日志信息利用不足的技术问题。

公开(公告)号：CN116633830B

公开(公告)日：2024-01-23

申请号：CN202310597940.2

申请日：2023-05-25

Applicant: 哈尔滨工业大学

Inventor： 叶麟 ,  刘念 ,  严明 ,  武跃 ,  吴雨伦 ,  朱若彬 ,  余翔湛

IPC: H04L43/18 ,  H04L9/40 ,  H04L41/142 ,  G06N3/006

Abstract: 本发明公开了一种基于萤火虫算法的种子变异操作调度方法，属于协议模糊测试技术领域。解决了现有技术中协议模糊测试整体效果不稳定的问题；本发明包括以下步骤：S1.借助萤火虫算法建立变异操作调度模型；S2.计算变异操作效能；S3.调整变异操作权重值；S4.增加变异操作奖励机制和惩罚机制；S5.运行变异操作选择算法，选择出具体变异操作。本发明变异操作调度方法可以减少或增加相应变异操作权重值，最终保证各变异操作效能值lighti数值差距不大，保障了协议模糊测试整体效果稳定，且可以实现变异操作调度较大概率选择效率更好的种子进行模糊测试，从而提高了协议模糊测试运行效率，可以应用于协议模糊测试。(56)对比文件Huhua Li;Dongyang Zhan;Tianrui Liu;Lin Ye.Using Deep-Learning-Based MemoryAnalysis for Malware Detection in Cloud.《2019 IEEE 16th International Conferenceon Mobile Ad Hoc and Sensor SystemsWorkshops (MASSW)》.2020,全文.任静敏;潘大志.一种改进的模拟退火萤火虫混合算法求解0/1背包问题.绵阳师范学院学报.2020,(02),全文.

公开(公告)号：CN116668182B

公开(公告)日：2023-11-10

申请号：CN202310837529.8

申请日：2023-07-10

Applicant: 哈尔滨工业大学

Inventor： 葛蒙蒙 ,  余翔湛 ,  赵跃 ,  刘立坤 ,  史建焘 ,  胡智超 ,  刘奉哲 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  孔德文 ,  高展鹏 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森

IPC: H04L9/40

Abstract: 本发明公开了一种基于多流上下文关系的加密应用行为流量检测方法，属于流量检测技术领域。解决了现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题；本发明包括以下步骤：S1.定义多流和多流关系，构建多流结构；S2.对给定的多流结构进行多流结构匹配；具体的：S21.计算出整体多流相似度和单流相似度，得到单流匹配集合；S22.计算出给定的多流结构和给定的待匹配多流的多流相似度；S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功；S3.定义上下文关系，构建上下文结构；S4.对给定的待匹配多流队列进行多流队列匹配；本发明提高了行为流量检测的准确性，可以应用于流量检测。

公开(公告)号：CN116896469A

公开(公告)日：2023-10-17

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。

公开(公告)号：CN116821907A

公开(公告)日：2023-09-29

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无法利用少量新型恶意攻击样本对模型参数进行充分调整，使模型无法适应新型恶意攻击识别问题。提升小样本场景攻击识别效果。

公开(公告)号：CN116633830A

公开(公告)日：2023-08-22

申请号：CN202310597940.2

申请日：2023-05-25

Applicant: 哈尔滨工业大学

Inventor： 叶麟 ,  刘念 ,  严明 ,  武跃 ,  吴雨伦 ,  朱若彬 ,  余翔湛

IPC: H04L43/18 ,  H04L9/40 ,  H04L41/142 ,  G06N3/006

Abstract: 本发明公开了一种基于萤火虫算法的种子变异操作调度方法，属于协议模糊测试技术领域。解决了现有技术中协议模糊测试整体效果不稳定的问题；本发明包括以下步骤：S1.借助萤火虫算法建立变异操作调度模型；S2.计算变异操作效能；S3.调整变异操作权重值；S4.增加变异操作奖励机制和惩罚机制；S5.运行变异操作选择算法，选择出具体变异操作。本发明变异操作调度方法可以减少或增加相应变异操作权重值，最终保证各变异操作效能值lighti数值差距不大，保障了协议模糊测试整体效果稳定，且可以实现变异操作调度较大概率选择效率更好的种子进行模糊测试，从而提高了协议模糊测试运行效率，可以应用于协议模糊测试。

公开(公告)号：CN110851824B

公开(公告)日：2023-07-28

申请号：CN201911106972.8

申请日：2019-11-13

Applicant: 哈尔滨工业大学 ,  电子科技大学广东电子信息工程研究院

Inventor： 叶麟 ,  詹东阳 ,  余翔湛 ,  刘立坤 ,  张宇 ,  于海宁 ,  方滨兴 ,  尹怀东 ,  蒋振韬

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明属于计算机技术领域，具体涉及一种针对恶意容器的检测方法，包括以下步骤，步骤1、对被监控虚拟机中所有进程的创建行为进行监听；步骤2、判断创建的进程是否属于该虚拟机中的容器，若此进程属于该虚拟机中的容器，则读取其执行文件的信息；若此进程不属于该虚拟机中的容器，则结束；步骤3、在读取完毕后，从容器中查找该执行文件；步骤4、对执行文件进行安全扫描，若该执行文件为恶意文件，则测得其对应的容器即为恶意容器。与现有技术相比，本发明能够有效地检测出恶意容器，从而防止恶意容器对虚拟机的控制与控制，提高了系统的安全性。

公开(公告)号：CN111988239B

公开(公告)日：2022-07-15

申请号：CN202010848858.9

申请日：2020-08-21

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张翀 ,  卓子寒 ,  邢潇 ,  余翔湛 ,  刘睿 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L47/2475

Abstract: 本发明提供了一种用于Android应用的软件纯净流量获取方法。用于Android应用的软件纯净流量获取方法包括：进行流量捕获以获得对应的流量集，并在流量捕获期间，采用脚本记录目标软件占用的端口信息和时间戳信息；基于目标软件占用的端口信息和时间戳信息对步骤S1所捕获的流量集进行流量提纯，以获得目标软件对应的纯净流量集。本发明的一种用于Android应用的软件纯净流量获取方法，能够克服现有技术的上述不足，准确地提取Android应用的软件纯净流量。