公开(公告)号：CN111988239A

公开(公告)日：2020-11-24

申请号：CN202010848858.9

申请日：2020-08-21

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张翀 ,  卓子寒 ,  邢潇 ,  余翔湛 ,  刘睿 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L12/859

Abstract: 本发明提供了一种用于Android应用的软件纯净流量获取方法。用于Android应用的软件纯净流量获取方法包括：进行流量捕获以获得对应的流量集，并在流量捕获期间，采用脚本记录目标软件占用的端口信息和时间戳信息；基于目标软件占用的端口信息和时间戳信息对步骤S1所捕获的流量集进行流量提纯，以获得目标软件对应的纯净流量集。本发明的一种用于Android应用的软件纯净流量获取方法，能够克服现有技术的上述不足，准确地提取Android应用的软件纯净流量。

公开(公告)号：CN111988239B

公开(公告)日：2022-07-15

申请号：CN202010848858.9

申请日：2020-08-21

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张翀 ,  卓子寒 ,  邢潇 ,  余翔湛 ,  刘睿 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L47/2475

Abstract: 本发明提供了一种用于Android应用的软件纯净流量获取方法。用于Android应用的软件纯净流量获取方法包括：进行流量捕获以获得对应的流量集，并在流量捕获期间，采用脚本记录目标软件占用的端口信息和时间戳信息；基于目标软件占用的端口信息和时间戳信息对步骤S1所捕获的流量集进行流量提纯，以获得目标软件对应的纯净流量集。本发明的一种用于Android应用的软件纯净流量获取方法，能够克服现有技术的上述不足，准确地提取Android应用的软件纯净流量。

公开(公告)号：CN111935136B

公开(公告)日：2022-05-20

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

公开(公告)号：CN111935136A

公开(公告)日：2020-11-13

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

公开(公告)号：CN107196870A

公开(公告)日：2017-09-22

申请号：CN201710599012.4

申请日：2017-07-20

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 李城龙 ,  朱佳伟 ,  刘培朋 ,  余翔湛 ,  李凯 ,  叶麟 ,  刘立坤 ,  张宏莉 ,  史建焘 ,  于海宁 ,  胡阳 ,  赵卫晨 ,  路遥

IPC: H04L12/803 ,  H04L12/801 ,  H04L12/26

CPC classification number: H04L47/125 ,  H04L43/0817 ,  H04L43/16 ,  H04L47/12

Abstract: 本发明一种基于DPDK的流量动态负载均衡方法涉及计算机多核技术领域；该方法通过建立两张Hash表；分别进行Hash1()以及Hash2()计算，根据Hash结果查找表1以及Hash表2，判断两次Hash计算结果与处理核心id是否存在映射关系，如果是，将数据包分配到对应的处理核心中，否则，计算当前CPU的整体负载均衡度；判断负载均衡度是否超出阈值，如果否，根据Hash1()的结果在Hash表1中建立映射关系，将数据包分配到对应的处理核心中，如果是，剔除过载严重的处理核心；动态更新Hash2()的计算结果与处理核心id的映射关系，根据Hash2()的结果在Hash表2中建立映射关系，并将数据包分配到对应的处理核心中；本发明解决了多核处理器负载不均衡的问题。

公开(公告)号：CN107196870B

公开(公告)日：2021-07-20

申请号：CN201710599012.4

申请日：2017-07-20

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 李城龙 ,  朱佳伟 ,  刘培朋 ,  余翔湛 ,  李凯 ,  叶麟 ,  刘立坤 ,  张宏莉 ,  史建焘 ,  于海宁 ,  胡阳 ,  赵卫晨 ,  路遥

IPC: H04L12/803 ,  H04L12/801 ,  H04L12/26

Abstract: 本发明一种基于DPDK的流量动态负载均衡方法涉及计算机多核技术领域；该方法通过建立两张Hash表；分别进行Hash1()以及Hash2()计算，根据Hash结果查找表1以及Hash表2，判断两次Hash计算结果与处理核心id是否存在映射关系，如果是，将数据包分配到对应的处理核心中，否则，计算当前CPU的整体负载均衡度；判断负载均衡度是否超出阈值，如果否，根据Hash1()的结果在Hash表1中建立映射关系，将数据包分配到对应的处理核心中，如果是，剔除过载严重的处理核心；动态更新Hash2()的计算结果与处理核心id的映射关系，根据Hash2()的结果在Hash表2中建立映射关系，并将数据包分配到对应的处理核心中；本发明解决了多核处理器负载不均衡的问题。

公开(公告)号：CN110071871A

公开(公告)日：2019-07-30

申请号：CN201910189504.5

申请日：2019-03-13

Applicant: 国家计算机网络与信息安全管理中心 ,  哈尔滨工业大学

Inventor： 邹潇湘 ,  卓子寒 ,  余翔湛 ,  史建焘 ,  朱秋苹 ,  张奕欣 ,  张翀 ,  邢潇 ,  谷杰铭

IPC: H04L12/741 ,  H04L12/745

Abstract: 本发明公开了一种大模式集IP地址匹配方法，通过采用前缀串的有序集合构建搜索树，同时使搜索树中的子节点继承父节点的所有输出信息，建立IP地址精确匹配搜索算法，实现了IP地址的精确匹配，以及IP地址匹配规则的动态增删，大幅度地减小了数据冗余，适用于模式集变化多或存储空间有限的应用场景。

公开(公告)号：CN118713900A

公开(公告)日：2024-09-27

申请号：CN202410920732.6

申请日：2024-07-10

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  龚家兴 ,  余翔湛 ,  胡智超 ,  史建焘 ,  苗钧重 ,  郭明昊 ,  葛蒙蒙 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  郭一澄 ,  鲁宇 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: H04L9/40

Abstract: 本发明公开了一种基于数据包长度分布的动态低开销流量混淆方法，属于防御加密流量指纹检测技术领域。解决了现有技术中传统的流量混淆方法动态性不足且资源开销大的问题；本发明结合基于分布的数据包长度映射方法以及基于分割和堆叠的数据包修改方法，最终提出一个基于数据包长度分布的动态低开销流量混淆方法，对于一个数据包序列中的每个数据包，首先通过基于分布的数据包长度映射方法获得目标数据包长度，然后利用基于分割和堆叠的数据包修改方法将数据包修改为目标长度，最终得到混淆之后的数据包序列。本发明有效避免了对数据包修改过程中引入填充数据的操作，降低了额外的带宽开销，可以应用于在实际网络环境下混淆流量。

公开(公告)号：CN114844840B

公开(公告)日：2024-04-02

申请号：CN202210450541.9

申请日：2022-04-26

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  史建焘 ,  叶麟 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  韦贤葵 ,  李精卫 ,  石开宇 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  郭明昊 ,  车佳臻

IPC: H04L47/2441 ,  G06N3/0442 ,  G06N3/084

Abstract: 一种基于计算似然比的分布外网络流量数据检测方法，属于网络流量数据检测领域。为提高网络流量数据识别的精准度和置信度的问题。本发明提取网络流量特征：原始流量为pcap包，根据五元组划分为不同的数据流，设置为提取数据包长度序列、计算包到达时间间隔序列，将以上序列保存并生成CSV文件，作为模型训练的原始训练数据；使用原始训练数据训练原始分类模型，采用深度学习算法长短期记忆网络进行原始分类模型的训练，得到原始训练数据训练出的模型，生成扰动数据，采用加入高斯白噪声的方法生成扰动数据，训练扰动模型，得到扰动数据训练出的模型，计算似然比，判断分布外数据。本发明网络流量数据识别的精准度和置信度高。

公开(公告)号：CN116743482A

公开(公告)日：2023-09-12

申请号：CN202310838283.6

申请日：2023-07-10

Applicant: 哈尔滨工业大学

Inventor： 张宇 ,  王斌 ,  史建焘 ,  朱国普 ,  张伟哲

IPC: H04L9/40

Abstract: 本发明公开了一种抗网络拓扑探测防火墙，涉及抗网络拓扑测量技术领域，用以抵抗攻击者获取目标网络内的拓扑结构。本发明所述防火墙包括包过滤模块、包延迟控制模块、拓扑欺骗模块、可信探测认证模块、配置生成模块、中枢控制模块、可视化人机交互模块；其中包过滤模块使用位图加速技术，快速过滤数据包；包延迟控制模块负责控制数据包的延迟；拓扑欺骗模块负责识别探测包，并生成响应的伪造应答包，欺骗攻击者；可信探测认证模块负责认证可信的探测者；配置生成模块负责根据真实拓扑和虚拟拓扑生成包延迟控制模块和拓扑欺骗模块所需配置。本发明可有效抵抗攻击者获取目标网络内的拓扑结构，并向攻击者展示虚拟拓扑，同时保证延迟一致性。