公开(公告)号：CN114745170A

公开(公告)日：2022-07-12

申请号：CN202210362853.4

申请日：2022-04-07

Applicant: 鹏城实验室

Inventor： 李清 ,  董宇韬 ,  李克军 ,  江勇 ,  夏树涛

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明公开了一种物联网异常实时检测方法，包括：对途径交换机的数据流进行过滤，得到异常流ID，并将异常流ID报告给服务器防火墙，同时将包含异常流ID的镜像流量发送给服务器；服务器从镜像流量中分析异常流ID，并得到异常流的包序列；对得到的包序列进行高精度异常检测，并根据高精度异常检测结果进行判断，得到一个判断信息，根据判断信息更新交换机的黑名单；本发明提前将孤立森林转换成规则并部署在交换机上，实现了在交换机上通过无监督学习算法来对互联网进行恶意流量的检测，在交换机上设计使用了双哈希算法特征提取方案，降低了延迟和资源占用，设置非对称的自动编码器模型，在交换机初步检测流量后进一步检测，提高了检测高精度。

公开(公告)号：CN112737885B

公开(公告)日：2022-05-03

申请号：CN202011588909.5

申请日：2020-12-28

Applicant: 鹏城实验室 ,  清华大学深圳国际研究生院 ,  南方科技大学

Inventor： 李清 ,  董宇韬 ,  夏树涛 ,  江勇 ,  杨镕玮

IPC: H04L43/0823 ,  H04L43/18 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种自治域内自管理的BGP异常检测方法，方法包括：获取BGP网络在预设时间段内的更新报文，根据所述更新报文获取目标自治域的目标特征；将所述目标自治域的目标特征输入至已训练的异常检测模型中，获取所述异常检测模型输出的所述目标自治域在所述预设时间段内的异常信息，所述异常信息包括所述目标自治域产生的异常种类；其中，所述异常检测模型是由多组训练数据训练完成的，每组训练数据包括样本自治域的目标特征以及所述样本自治域的异常信息。本发明能够实现在目标自治域内进行异常检测，不需要依赖第三方异常检测系统。

公开(公告)号：CN114422620B

公开(公告)日：2023-12-01

申请号：CN202111565340.5

申请日：2021-12-20

Applicant: 鹏城实验室

Inventor： 李清 ,  谢国锐 ,  段光林 ,  董宇韬 ,  江勇 ,  刘冀洵 ,  刘凯 ,  齐竹云

IPC: H04L69/22 ,  G06F18/24 ,  G06F18/214

Abstract: 本申请公开了一种基于知识蒸馏的数据包分类方法及相关装置，所述方法包括基于经过训练的教师模型，确定预设训练集中的各训练数据包各自对应的类别概率向量；基于各训练数据包及其对应的属性数据和类别概率向量构建二进制决策树模型；根据二进制决策树模型生成三元匹配流表并将三元匹配流表部署于可编程交换机，并通过可编程交换机对数据包进行分类。本申请基于预先训练的教师模型所学的知识构建二进制决策树模型，以将复杂的教师模型转换为简单的二进制决策树模型，使得学习到教师模型所学的知识的二进制决策树模型可以布置于可编程交换机，这样一方面可以利用可编程交换机的数据包处理能力，另一方面可以提高可编程交换机的数据包分类效率。

公开(公告)号：CN114745170B

公开(公告)日：2023-08-18

申请号：CN202210362853.4

申请日：2022-04-07

Applicant: 鹏城实验室

Inventor： 李清 ,  董宇韬 ,  李克军 ,  江勇 ,  夏树涛

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明公开了一种物联网异常实时检测方法，包括：对途径交换机的数据流进行过滤，得到异常流ID，并将异常流ID报告给服务器防火墙，同时将包含异常流ID的镜像流量发送给服务器；服务器从镜像流量中分析异常流ID，并得到异常流的包序列；对得到的包序列进行高精度异常检测，并根据高精度异常检测结果进行判断，得到一个判断信息，根据判断信息更新交换机的黑名单；本发明提前将孤立森林转换成规则并部署在交换机上，实现了在交换机上通过无监督学习算法来对互联网进行恶意流量的检测，在交换机上设计使用了双哈希算法特征提取方案，降低了延迟和资源占用，设置非对称的自动编码器模型，在交换机初步检测流量后进一步检测，提高了检测高精度。

公开(公告)号：CN112737885A

公开(公告)日：2021-04-30

申请号：CN202011588909.5

申请日：2020-12-28

Applicant: 鹏城实验室 ,  清华大学深圳国际研究生院 ,  南方科技大学

Inventor： 李清 ,  董宇韬 ,  夏树涛 ,  江勇 ,  杨镕玮

IPC: H04L12/26 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种自治域内自管理的BGP异常检测方法，方法包括：获取BGP网络在预设时间段内的更新报文，根据所述更新报文获取目标自治域的目标特征；将所述目标自治域的目标特征输入至已训练的异常检测模型中，获取所述异常检测模型输出的所述目标自治域在所述预设时间段内的异常信息，所述异常信息包括所述目标自治域产生的异常种类；其中，所述异常检测模型是由多组训练数据训练完成的，每组训练数据包括样本自治域的目标特征以及所述样本自治域的异常信息。本发明能够实现在目标自治域内进行异常检测，不需要依赖第三方异常检测系统。

公开(公告)号：CN114422620A

公开(公告)日：2022-04-29

申请号：CN202111565340.5

申请日：2021-12-20

Applicant: 鹏城实验室

Inventor： 李清 ,  谢国锐 ,  段光林 ,  董宇韬 ,  江勇 ,  刘冀洵 ,  刘凯 ,  齐竹云

IPC: H04L69/22 ,  G06K9/62

Abstract: 本申请公开了一种基于知识蒸馏的数据包分类方法及相关装置，所述方法包括基于经过训练的教师模型，确定预设训练集中的各训练数据包各自对应的类别概率向量；基于各训练数据包及其对应的属性数据和类别概率向量构建二进制决策树模型；根据二进制决策树模型生成三元匹配流表并将三元匹配流表部署于可编程交换机，并通过可编程交换机对数据包进行分类。本申请基于预先训练的教师模型所学的知识构建二进制决策树模型，以将复杂的教师模型转换为简单的二进制决策树模型，使得学习到教师模型所学的知识的二进制决策树模型可以布置于可编程交换机，这样一方面可以利用可编程交换机的数据包处理能力，另一方面可以提高可编程交换机的数据包分类效率。