公开(公告)号：CN113691537A

公开(公告)日：2021-11-23

申请号：CN202110980179.1

申请日：2021-08-25

Applicant: 北京邮电大学

Inventor： 李祺 ,  杨彦青 ,  赵键锦 ,  米嘉欣

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明的实施例提供了一种基于图分析的恶意加密流量检测方法，涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括：提取已经打标的加密流量的特征；采用加密流量的特征对GraphSAGE图模型进行训练；提取待检测的加密流量的特征，并输入训练好的GraphSAGE图模型，以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意，而且，无需对加密流量解密。

公开(公告)号：CN113626817B

公开(公告)日：2024-06-25

申请号：CN202110979019.5

申请日：2021-08-25

Applicant: 北京邮电大学

Inventor： 李祺 ,  杨彦青 ,  赵键锦 ,  米嘉欣

IPC: G06F21/56 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/241 ,  G06F18/25 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明的实施例提供了一种恶意代码家族分类方法，涉及网络与信息安全技术领域。恶意代码家族分类方法包括：对恶意代码标注家族信息；从已标注的恶意代码中提取静态特征和动态特征；根据动态特征，生成恶意代码的动态关系图；将静态特征和动态关系图输入图神经网络模型中，以训练图神经网络模型；获取待分类的恶意代码的静态特征和动态关系图，并输入已训练的图神经网络模型，以判断恶意代码的家族信息。恶意代码家族分类方法能够快速、准确地判断出恶意代码的家族信息。

公开(公告)号：CN113626817A

公开(公告)日：2021-11-09

申请号：CN202110979019.5

申请日：2021-08-25

Applicant: 北京邮电大学

Inventor： 李祺 ,  杨彦青 ,  赵键锦 ,  米嘉欣

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明的实施例提供了一种恶意代码家族分类方法，涉及网络与信息安全技术领域。恶意代码家族分类方法包括：对恶意代码标注家族信息；从已标注的恶意代码中提取静态特征和动态特征；根据动态特征，生成恶意代码的动态关系图；将静态特征和动态关系图输入图神经网络模型中，以训练图神经网络模型；获取待分类的恶意代码的静态特征和动态关系图，并输入已训练的图神经网络模型，以判断恶意代码的家族信息。恶意代码家族分类方法能够快速、准确地判断出恶意代码的家族信息。

公开(公告)号：CN113691537B

公开(公告)日：2022-07-26

申请号：CN202110980179.1

申请日：2021-08-25

Applicant: 北京邮电大学

Inventor： 李祺 ,  杨彦青 ,  赵键锦 ,  米嘉欣

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明的实施例提供了一种基于图分析的恶意加密流量检测方法，涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括：提取已经打标的加密流量的特征；采用加密流量的特征对GraphSAGE图模型进行训练；提取待检测的加密流量的特征，并输入训练好的GraphSAGE图模型，以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意，而且，无需对加密流量解密。

公开(公告)号：CN119892671A

公开(公告)日：2025-04-25

申请号：CN202411831648.3

申请日：2024-12-12

Applicant: 北京邮电大学

Inventor： 李祺 ,  司成祥 ,  李应博 ,  王其文 ,  孙天艺 ,  米嘉欣

IPC: H04L43/026 ,  H04L61/4511 ,  H04L67/51 ,  H04L9/40

Abstract: 本发明提供一种用于加密域名服务发现的特征构造方法和加密域名服务发现方法，包括：实时获取不同IP对应不同域名服务所产生的多个由多个数据包构成的数据流并按IP分类，得到每个IP的至少一个数据流；对每个IP的每个数据流标记对应标签，标签包括加密和非加密域名服务；从每个IP对应标签的每个数据流中提取每个数据包的字段特征，并得到每个数据流的统计特征和序列特征；对序列特征进行波动性分析，得到波动点位置集合并得到每个波动点的横纵向波动性程度估计，基于所有波动点的横纵向波动性程度估计得到波动点序列特征；将每个IP对应标签的每个数据流的统计特征、序列特征和波动点序列特征进行拼接，从而得到多个用于加密域名服务发现的特征。

公开(公告)号：CN117874756A

公开(公告)日：2024-04-12

申请号：CN202311167567.3

申请日：2023-09-11

Applicant: 北京邮电大学

Inventor： 韩泽伟 ,  米嘉欣 ,  李祺

IPC: G06F21/56 ,  G06F8/41 ,  G06N3/0455 ,  G06F18/241 ,  G06N3/042

Abstract: 本发明提供一种基于序列控制流结构的恶意代码变种检测方法及装置，包括：从恶意代码中提取控制流结构和基本块序列；对基本块序列进行归一化处理，得到操作码序列，将操作码序列输入预设的Transformer模型，提取操作码序列的语义特征，生成序列编码；将序列编码与控制流结构融合，构建带有特征的图结构；将图结构输入预设的GraphSAGE模型，得到恶意代码的类别。本发明提供的恶意代码变种检测方法注重操作码序列本身蕴含的语义信息，对操作码序列进行编码，提取语义特征，得到更高效且准确的节点特征，提升检测精度。