公开(公告)号：CN119172160A

公开(公告)日：2024-12-20

申请号：CN202411426471.9

申请日：2024-10-14

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  陈翊璐 ,  肖雨佳 ,  贾焰 ,  谭昊 ,  李嘉瑞 ,  曹钰

IPC: H04L9/40 ,  G10L25/24 ,  G10L25/48

Abstract: 本发明公开了一种基于音频特征的加密流量攻击检测方法、系统及介质，该方法包括：通过五元组划分网络会话流，根据流量字节和音频信号的二进制关系，将网络会话流从流量pcap格式转为音频wav格式；将wav格式文件输入至音频特征提取算法中，计算分帧参数，提取MFCC音频特征；利用MFCC音频特征训练神经网络模型，实现加密流量攻击分类。本发明能避免对网络流量中的关键攻击特征提取不充分或者关键攻击信息缺失的问题，能降低专家知识依赖，支持后续特征提取和攻击检测。

公开(公告)号：CN118118274B

公开(公告)日：2024-10-18

申请号：CN202410445603.6

申请日：2024-04-15

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  贾焰 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  王梦娇

IPC: H04L9/40

Abstract: 本发明提供了一种基于图异常检测算法的网络入侵检测方法、系统及介质，该方法包括：针对不同的协议将网络流量数据包按照五元组聚合为网络流，所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议；使用聚合好的网络流构建同源网络流图和同目的网络流图，并采用相似度计算减小同源网络流图和同目的网络流图的规模；使用图自编码器对同源网络流图和同目的网络流图进行编码解码，最终得到每个网络流的异常分，进而根据每个网络流的异常分判断是否为异常恶意流量。本发明能对网络流之间的关系进行充分建模。

公开(公告)号：CN118101357B

公开(公告)日：2024-08-06

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN117932233A

公开(公告)日：2024-04-26

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

公开(公告)号：CN117932233B

公开(公告)日：2024-07-02

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

公开(公告)号：CN117909912B

公开(公告)日：2024-07-02

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN118101357A

公开(公告)日：2024-05-28

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN117909912A

公开(公告)日：2024-04-19

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN119052006A

公开(公告)日：2024-11-29

申请号：CN202411554523.0

申请日：2024-11-04

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  李嘉瑞 ,  杜磊 ,  段晨芸 ,  闫昊 ,  陈翊璐 ,  张明瑞 ,  李鉴明

IPC: H04L9/40 ,  G06N5/025

Abstract: 本发明公开了一种基于大语言模型提示学习的网络攻击流量检测规则生成方法、系统及介质，所述方法包括以下步骤：对原始包数据完成流量明文的重组与解码，将原始的流量会话数据转化为可阅读可理解的HTTP请求报文数据；基于大语言模型提示学习完成网络攻击流量检测规则的生成、细化与优化；完成攻击流量样本、检测规则信息与安全知识库的映射过程。相对于现有技术，本发明能更有效的生成针对攻击流量的检测规则以及获取对应的安全知识。

公开(公告)号：CN118118274A

公开(公告)日：2024-05-31

申请号：CN202410445603.6

申请日：2024-04-15

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  贾焰 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  王梦娇

IPC: H04L9/40

Abstract: 本发明提供了一种基于图异常检测算法的网络入侵检测方法、系统及介质，该方法包括：针对不同的协议将网络流量数据包按照五元组聚合为网络流，所述五元组包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议；使用聚合好的网络流构建同源网络流图和同目的网络流图，并采用相似度计算减小同源网络流图和同目的网络流图的规模；使用图自编码器对同源网络流图和同目的网络流图进行编码解码，最终得到每个网络流的异常分，进而根据每个网络流的异常分判断是否为异常恶意流量。本发明能对网络流之间的关系进行充分建模。