公开(公告)号：CN112688928A

公开(公告)日：2021-04-20

申请号：CN202011508537.0

申请日：2020-12-18

Applicant: 中国科学院信息工程研究所

Inventor： 姚叶鹏 ,  郝星然 ,  汪秋云 ,  贾梓健 ,  姜政伟 ,  刘宝旭

IPC: H04L29/06 ,  G06N20/00

Abstract: 本发明公开一种结合自编码器和WGAN的网络攻击流量数据增强方法及系统，涉及网络空间安全领域、通信网络异常流量检测和人工智能领域，针对网络攻击流量检测模型学习、训练、优化的需要，结合自编码器和生成式对抗网络构建改进的生成对抗网络，利用生成对抗网络学习数据分布的特点，生成数据分布、特征更符合真实流量特点的网络攻击流量数据来辅助网络攻击检测。

公开(公告)号：CN113194064A

公开(公告)日：2021-07-30

申请号：CN202110282017.0

申请日：2021-03-16

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  贺捷 ,  姚叶鹏 ,  姜政伟 ,  刘宝旭 ,  卢志刚

IPC: H04L29/06 ,  G06N3/04 ,  H04L29/08

Abstract: 本发明公开了一种基于图卷积神经网络的webshell检测方法及装置，包括：解析流量数据包；根据流量间的跳转关系构建流量关联图，并依据流量关联图，得到该流量数据包的邻接矩阵；获取流量关联图中每一节点的特征向量；将邻接矩阵与特征向量输入双层GCN模型，得到webshell检测结果。本发明在特征提取阶段除了对常规的流量特征进行提取外，还根据流量间的跳转关系，建立图模型，提取流量间的关联特征，并引入了深度学习领域的图卷积技术，从而提高了webshell检测准确率。

公开(公告)号：CN112929380B

公开(公告)日：2022-04-15

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L9/40 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。

公开(公告)号：CN110519276A

公开(公告)日：2019-11-29

申请号：CN201910807836.5

申请日：2019-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 陈明毅 ,  王天 ,  姚叶鹏 ,  刘俊荣 ,  姜波 ,  苏莉娅 ,  卢志刚

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明提出一种检测内网横向移动攻击的方法，通过收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

公开(公告)号：CN113194064B

公开(公告)日：2022-07-26

申请号：CN202110282017.0

申请日：2021-03-16

Applicant: 中国科学院信息工程研究所

Inventor： 汪秋云 ,  贺捷 ,  姚叶鹏 ,  姜政伟 ,  刘宝旭 ,  卢志刚

IPC: H04L9/40 ,  G06N3/04 ,  H04L67/02

Abstract: 本发明公开了一种基于图卷积神经网络的webshell检测方法及装置，包括：解析流量数据包；根据流量间的跳转关系构建流量关联图，并依据流量关联图，得到该流量数据包的邻接矩阵；获取流量关联图中每一节点的特征向量；将邻接矩阵与特征向量输入双层GCN模型，得到webshell检测结果。本发明在特征提取阶段除了对常规的流量特征进行提取外，还根据流量间的跳转关系，建立图模型，提取流量间的关联特征，并引入了深度学习领域的图卷积技术，从而提高了webshell检测准确率。

公开(公告)号：CN112929380A

公开(公告)日：2021-06-08

申请号：CN202110198784.3

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 姜政伟 ,  贾梓健 ,  姚叶鹏 ,  汪秋云 ,  任房利 ,  刘宝旭

IPC: H04L29/06 ,  G06N3/08 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明公开了一种结合元学习与时空特征融合的木马通信检测方法及系统。本方法为：1)构建一元学习网络，将木马流量样本输入元学习网络的嵌入部分，得到样本的特征向量；2)挑选出C个类别，并为每个类别挑选出K个样本并划分为支持集和查询集；3)元学习网络的关系网络将每个元任务对应的支持集中的同一类别样本融合为一条向量，将该条向量作为对应类别的代表向量；4)将每个类别的代表向量与查询集中该类别每一特征向量依次成对输入两个全连接层，得到关系得分，然后根据该关系得分计算损失值，迭代优化元学习网络；5)对于一待识别的流量数据，将其输入训练后的所述元学习网络，根据所得关系得分确定该流量数据对应的类别。