公开(公告)号：CN113382413A

公开(公告)日：2021-09-10

申请号：CN202110634005.X

申请日：2021-06-07

Applicant: 西安电子科技大学

Inventor： 李腾 ,  方保坤 ,  乔伟 ,  廖艾 ,  林杨旭 ,  孙小敏 ,  马卓 ,  马建峰

IPC: H04W12/121 ,  H04W12/00 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08 ,  G06N20/10

Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统，检测方法包括：获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据，抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态，并将其转化为特征向量；对特征向量进行降维，并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类，将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件；针对划分后的行驶事件，将对应的特征向量整合成相应的矩阵输入机器学习模型中，学习正常事件和异常事件的特征，再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据，能实现高效的异常检测。

公开(公告)号：CN116743468A

公开(公告)日：2023-09-12

申请号：CN202310757725.4

申请日：2023-06-26

Applicant: 西安电子科技大学 ,  西安联飞智能装备研究院有限责任公司

Inventor： 李腾 ,  唐智亮 ,  孙小敏 ,  方保坤 ,  林炜国 ,  马卓 ,  李德彪

IPC: H04L9/40 ,  H04L45/02 ,  H04L45/12 ,  H04L41/14 ,  H04L41/16

Abstract: 本发明提出了一种基于强化学习的动态攻击路径生成方法，主要解决现有技术在内部网络环境下获取最优攻击路径效率低且结果不全面的问题。包括：1)构建用于模拟真实内部网络情况的网络拓扑结构；2)生成网络拓扑结构图，获取网络拓扑信息以及各主机漏洞信息；3)对主机漏洞信息进行权值计算，得到表示各节点间连通边的权值矩阵；4)利用前述步骤得到的信息构建基于强化学习的动态攻击路径生成模型；5)采用改进强化学习Q‑learning算法对模型进行迭代训练；6)根据训练后的攻击路径生成模型获取最优攻击路径结果。本发明能够应对复杂网络环境，高效输出符合真实网络环境特征的全部最优攻击路径结果。

公开(公告)号：CN116633609A

公开(公告)日：2023-08-22

申请号：CN202310553343.X

申请日：2023-05-17

Applicant: 西安电子科技大学

Inventor： 李腾 ,  朱雄杰 ,  林泽键 ,  魏少博 ,  孙小敏 ,  李思琦 ,  马卓

IPC: H04L9/40

Abstract: 本发明提出了一种基于贝叶斯攻击图与因子图的APT攻击预测方法，主要解决在中大型网络下现有预测方法普适性差且效果欠佳的问题。方案包括：1)收集目标网络下的漏洞信息、网络节点配置信息主机互连信息与攻击场景信息，生成攻击图并对其进行消除环路等处理；2)使用改进的贝叶斯动态推理技术快速评估风险概率；3)根据风险概率进行攻击路径提取与高危路径标记；4)提取APT事件，定义因子函数并捕获定义变量之间的关系，构造因子图；5)基于因子图的联合概率分布，判断用户所处的阶段；6)根据用户的行为和所处的阶段构建决策行动模型，进行抢占式防御，实现攻击预测。本发明能够有效降低防御成本，提升攻击检测效率，且具有普适性。

公开(公告)号：CN116560943A

公开(公告)日：2023-08-08

申请号：CN202310519321.1

申请日：2023-05-09

Applicant: 西安电子科技大学

Inventor： 李腾 ,  魏少博 ,  韩相宇 ,  张胜凯 ,  朱雄杰 ,  孙小敏 ,  马卓

IPC: G06F11/30 ,  G06F16/31 ,  G06F16/901 ,  G06F9/448 ,  G06F18/241 ,  G06F18/2431 ,  G06F18/213 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种基于日志工作流挖掘的分布式系统异常检测方法，主要解决在海量非结构化分布式系统日志中系统异常检测困难的问题。方案包括：1)对分布式系统产生的日志进行解析，提取日志中事件模板并挖掘日志事件之间的时序关系；2)构造系统单进程FSM模型，并利用进程间的通道对每个进程对应的FSM进行整合得到工作流图；3)对工作流图进行抽象处理，根据时序关系对其进行检查，将不符合实例之间时序关系的部分进行修改，得到最终工作流图模型；4)使用基于Top‑K池化机制的图卷积神经网络模型对最终工作流图进行图分类以识别异常的工作流图。本发明能够针对分布式系统海量非结构化日志实现异常检测，且有效提高了检测准确率。

公开(公告)号：CN116389120A

公开(公告)日：2023-07-04

申请号：CN202310363837.1

申请日：2023-04-06

Applicant: 西安电子科技大学

Inventor： 李腾 ,  孙小敏 ,  孔甜甜 ,  林泽健 ,  韩志峰 ,  何彦武 ,  卢知雨 ,  马卓

IPC: H04L9/40

Abstract: 本发明公开了一种基于IP与拓扑混淆的新型DDOS攻击防御系统及方法，主要解决现有方法对于新型DDOS攻击的防御强度不够的问题，方案包括：代理服务器IP混淆单元、拓扑混淆单元以及通信质量维持单元；首先通过代理服务器IP混淆单元延长攻击者收集代理服务器通信IP的时间；其次拓扑混淆单元向响应攻击者跟踪流的路径信息中加入冗余路径，防止攻击者区别出虚拟路径和真实通信路径，且由于生成的虚拟路径长度和真实通信路径长度不同，从而阻止攻击者通过分析长度信息区分出真实通信路径；最后通过在网络拥塞初期调用基于强化学习的重路由算法，实现恢复网络通信质量的目的。本发明能够有效保护网络免受新型DDOS攻击，同时保证通信质量。

公开(公告)号：CN113382413B

公开(公告)日：2022-09-27

申请号：CN202110634005.X

申请日：2021-06-07

Applicant: 西安电子科技大学

Inventor： 李腾 ,  方保坤 ,  乔伟 ,  廖艾 ,  林杨旭 ,  孙小敏 ,  马卓 ,  马建峰

IPC: H04W12/121 ,  H04W12/00 ,  H04L9/40 ,  G06N3/04 ,  G06N3/08 ,  G06N20/10

Abstract: 基于机器学习的智能无人设备组网异常检测方法及系统，检测方法包括：获取智能无人设备组网中每一辆智能无人设备的行驶数据和组网中相互通信所产生的网络数据，抽取不同特征的数据以表示智能无人设备组网在行驶过程中的行驶状态和网络状态，并将其转化为特征向量；对特征向量进行降维，并对降维后的特征向量根据密度分布进行智能无人设备的行驶事件聚类，将智能无人设备组网中各智能无人设备的行驶事件划分为正常事件和异常事件；针对划分后的行驶事件，将对应的特征向量整合成相应的矩阵输入机器学习模型中，学习正常事件和异常事件的特征，再利用模型对智能无人设备组网实现异常检测。本发明结合了行驶数据和网络数据，能实现高效的异常检测。