公开(公告)号：CN115828996A

公开(公告)日：2023-03-21

申请号：CN202111102875.9

申请日：2021-09-15

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  周舟 ,  杨威 ,  张宏飞 ,  杨嵘 ,  杜梅婕 ,  李钊

IPC: G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种层次化深度图卷积网络的训练方法，其特征在于，包括如下步骤：1)将目标领域的图中的节点特征输入待训练的层次化深度图卷积网络；2)每次迭代训练时，计算邻接矩阵A的对称归一化邻接矩阵3)判断当前迭代次数k是否小于设定迭代次数K，若小于则进行步骤4)，否则结束训练；4)计算该层次化深度图卷积网络第k+1次迭代训练后输出的节点嵌入Zk+1，然后根据Zk+1计算该层次化深度图卷积网络第k+1次迭代训练后输出的各节点的类别predk+1；5)采用predk+1和节点真实标签的交叉熵作为损失函数，对该层次化深度图卷积网络的参数矩阵进行参数优化，迭代次数加一，返回步骤3)。

公开(公告)号：CN112347272B

公开(公告)日：2023-03-10

申请号：CN202010987148.4

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 云晓春 ,  张冬明 ,  张成伟 ,  李舒 ,  张中一 ,  杨威 ,  杜梅婕 ,  李钊

IPC: G06F16/41 ,  G06F16/432 ,  G06F16/483

Abstract: 本发明涉及一种基于音视频动态特征的流式匹配方法和装置。该方法通过区间索引树和两级哈希表，实现了快速判断每个任意偏移位置的数据是否有匹配的指纹，并输出匹配的状态，解决了音视频匹配速度慢、数据包随机到来并且长度不确定的问题，实现了实时匹配，提高了检测速度；该方法通过建立区间索引树的方式，实现了指纹特征的动态管理，用户可以根据需要动态增删指纹特征，解决了现有的技术方案中指纹特征固定不变，无法随用户需求发生变化的问题。本发明能够快速的检测音视频数据是否与指纹匹配，极大地提高了指纹匹配效率，能够适应高速大流量网络数据的环境，可以根据用户的需要改变指纹特征，满足了指纹特征可能发生变化的需求。

公开(公告)号：CN112995145B

公开(公告)日：2022-05-31

申请号：CN202110162792.2

申请日：2021-02-05

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  杨威 ,  周舟 ,  张宏飞 ,  刘洋 ,  李钊 ,  杨嵘

IPC: H04L9/40 ,  H04L67/02 ,  H04L67/30 ,  H04L67/60 ,  H04L69/22

Abstract: 本发明公开一种面向DPI应用的HTTP流量分析处理的方法、系统及存储介质，属于网络安全领域，分为解析层和业务层，业务层将各个业务感兴趣的HTTP字段填写在配置文件中，并同时标明解析层到业务层的回调模式，然后将该配置文件发送给解析层进行业务注册；解析层根据配置文件中的各个业务感兴趣的HTTP字段，按照HTTP协议标准对HTTP流量进行解析，当完整解析出HTTP协议的一个字段时，查看业务层是否有业务注册和回调模式，根据回调模式，回调相应的业务至业务层。本发明采用对HTTP协议解析与HTTP业务分析进行分层的设计思想，通过灵活的字段注册的方式以及不同的回调模式，实现HTTP流量的分析处理。

公开(公告)号：CN112995145A

公开(公告)日：2021-06-18

申请号：CN202110162792.2

申请日：2021-02-05

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  杨威 ,  周舟 ,  张宏飞 ,  刘洋 ,  李钊 ,  杨嵘

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开一种面向DPI应用的HTTP流量分析处理的方法、系统及存储介质，属于网络安全领域，分为解析层和业务层，业务层将各个业务感兴趣的HTTP字段填写在配置文件中，并同时标明解析层到业务层的回调模式，然后将该配置文件发送给解析层进行业务注册；解析层根据配置文件中的各个业务感兴趣的HTTP字段，按照HTTP协议标准对HTTP流量进行解析，当完整解析出HTTP协议的一个字段时，查看业务层是否有业务注册和回调模式，根据回调模式，回调相应的业务至业务层。本发明采用对HTTP协议解析与HTTP业务分析进行分层的设计思想，通过灵活的字段注册的方式以及不同的回调模式，实现HTTP流量的分析处理。

公开(公告)号：CN112910929A

公开(公告)日：2021-06-04

申请号：CN202110312408.2

申请日：2021-03-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  张帅 ,  钟友兵 ,  刘庆云 ,  杨威 ,  李舒 ,  李钊

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于异质图表示学习的恶意域名检测方法及装置，包括：通过采集DNS流量数据与构建域名白名单及域名黑名单，得到正常域名标注数据集与恶意域名标注数据集；根据DNS流量数据构造DNS场景异质图，获取各节点初始特征，并利用正常域名标注数据集与恶意域名标注数据集对DNS场景异质图中的域名节点标注；通过异质图神经网络半监督学习，获取DNS场景异质图中各未标注域名节点的预测结果。本发明通过提取DNS流量中的域名、IP地址等字段，构建DNS场景异质图，并采用异质图表示学习方法融合域名的属性特征及相关拓扑结构信息，可对具备完备关联模式的恶意域名、新出现的恶意域名及关联模式不完备的恶意域名进行识别，提升了恶意域名检测的准确率。

公开(公告)号：CN112350986A

公开(公告)日：2021-02-09

申请号：CN202010987152.0

申请日：2020-09-18

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 李扬曦 ,  张冬明 ,  郑超 ,  李舒 ,  张成伟 ,  杜梅婕 ,  张中一 ,  李钊

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/851

Abstract: 本发明涉及一种音视频网络传输碎片化的整形方法及系统。该方法的步骤包括：在实时网络流量中，识别音视频碎片化传输的数据流和信息流；将识别的音视频碎片传输的信息流存储在高性能消息队列中；在高性能消息队列中获取音视频碎片传输的信息流，对信息流进行分析处理；利用识别的音视频碎片传输的数据流与分析处理后的信息流，进行音视频碎片数据的关联，实现碎片化传输的音视频的整形。本发明高度概括了音视频碎片化传输的描述模型，能够涵盖目前已知的音视频碎片化传输的所有表现形式，音视频网络传输碎片化的整形具有通用性、灵活性，能够应对不同音视频服务提供商碎片化传输方式的差异性和动态变化。

公开(公告)号：CN111556013A

公开(公告)日：2020-08-18

申请号：CN202010213472.0

申请日：2020-03-24

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 孙旭东 ,  张成伟 ,  黄远 ,  李舒 ,  孙晓晨 ,  杜梅婕 ,  刘发强 ,  李钊

IPC: H04L29/06

Abstract: 本发明公开了一种复杂大流量下VoIP恶意行为发现方法，其步骤包括：1)从网络流量中筛选出VoIP呼叫信令；2)利用设定的过滤门限对VoIP呼叫信令进行筛选，找出可疑的网络流量；3)提取可疑的网络流量中的每一被叫账号的历史呼叫信令数据，统计分析得到该被叫账号的呼叫行为特征与对应阈值进行对比，确定该被叫账号是否受到恶意攻击。本发明能够针对复杂实时数据流进行全面细致的检测，充分挖掘历史数据，有效检测VoIP恶意行为，更好地应对复杂度高、隐蔽性高的VoIP恶意行为。

公开(公告)号：CN115081581B

公开(公告)日：2025-05-09

申请号：CN202110266580.9

申请日：2021-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  周舟 ,  杨威 ,  李钊 ,  张宏飞 ,  杜梅捷 ,  杨嵘

IPC: G06N3/042 ,  G06N3/08 ,  G06F21/56

Abstract: 本发明公开了一种基于图神经网络的恶意用户检测方法及装置，包括：收集社交网络中的用户推文，并建立社交图Go；依据各节点的属性，计算各节点的初始特征，并根据社交图Go中任两个节点初始特征的相似性，获取潜在图Gl的连边，构建潜在图Gl；通过各节点的初始特征、在社交图Go中的社交邻域与在潜在图Gl中的潜在邻域，生成各节点的节点嵌入表示，得到恶意用户检测结果。本发明创建了一个可以帮助捕获远距离节点丰富特征信息的潜在图，且在采样时考虑节点之间的相似性，可以帮助选取特征信息丰富的节点，从而得到更加准确的恶意用户检测结果。

公开(公告)号：CN119884796A

公开(公告)日：2025-04-25

申请号：CN202411810243.1

申请日：2024-12-10

Applicant: 中国科学院信息工程研究所

Inventor： 杜梅婕 ,  胡明祺 ,  李舒 ,  李钊 ,  张中一 ,  张宏飞 ,  刘庆云

IPC: G06F18/2321 ,  H04L9/40 ,  G06F18/2323 ,  G06F18/213

Abstract: 本发明公开了一种基于形状的抗噪加密流量聚类方法。本方法步骤为：1)获取并解析原始流量数据，得到多条数据流；按设定时间间隔对每一条数据流的上行数据和下行数据进行划分，得到每一条数据流对应的上行序列U和下行序列D；2)将每一条流的上行序列U和下行序列D拼接形成一个整体序列F，代表对应数据流的行为特征；从数据流的行为特征中提取对应数据流的形状线S和统计特征；3)基于各数据流归一化后的形状线S对各数据流进行聚类，将具有相同行为模式的数据流聚为一簇；4)基于统计特征计算每个簇的聚类中心特征；然后计算未聚类到任意簇中的数据流的统计特征与各聚类中心特征之间的欧氏距离，确定对应数据流的类别或是否为异常点。

公开(公告)号：CN119110114A

公开(公告)日：2024-12-10

申请号：CN202411292074.7

申请日：2024-09-14

Applicant: 中国科学院信息工程研究所

Inventor： 杜梅婕 ,  汤伟韬 ,  张中一 ,  张宏飞 ,  李钊 ,  李舒 ,  刘庆云

IPC: H04N21/2347 ,  H04N21/234 ,  H04N21/44

Abstract: 本发明涉及加密视频流量识别方法，属于网络流量识别领域。本方法基于待检测目标获取指纹视频库，将视频指纹库中视频指纹的视频段序列组合转化为视频块序列，得到中间视频指纹，获取待识别流量并进行匹配。该方法可以提高加密视频流量的识别速度，同时显著缓解了实际网络环境下可能存在的视频数据丢失和重传等问题。