公开(公告)号：CN113162908B

公开(公告)日：2022-11-15

申请号：CN202110239809.X

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  汤霁月 ,  韩冬旭 ,  李宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚

IPC: H04L9/40 ,  H04L47/2441 ,  H04L43/0876 ,  G06N3/04 ,  G06V10/764 ,  G06V10/82

Abstract: 本发明提供了一种基于深度学习的加密流量检测方法及系统。主要思想为：1)将流量转换为图像处理方式提取其几何特征，按照CapsNet提取下层空间特征以及LSTM提取上层时间序列特征的方式构建Caps‑LSTM分层训练模型，以自动提取流量的时空特征；2)对原始连续流量进行流切分成离散流，离散流根据会话粒度连续切分成许多小尺寸数据包；3)将流量匿名化处理减少不必要特征的同时避免训练过程中可能产生的过拟合现象，清洗掉重复的空数据包，提高加密流量的检测能力；4)端到端的方式实现加密流量的服务类别与具体应用类别的有效分类，解决人工特征依赖问题。本发明中的加密流量检测方法具有自动学习、高效性与普适性等特点。

公开(公告)号：CN115037532A

公开(公告)日：2022-09-09

申请号：CN202210594687.0

申请日：2022-05-27

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  王青 ,  卢志刚 ,  刘俊荣 ,  韩冬旭 ,  杜丹 ,  朱燕 ,  董聪 ,  樊昭杉 ,  祁银皓

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于异构图神经网络的恶意域名检测方法及装置，所述方法包括：基于DNS日志数据与Whois数据，构建DNS流量的异构图G＝(V，E)；基于边E，获取起始节点与终止节点类型均为域名节点的元路径；根据DNS日志数据与Whois数据在不同时期下的域名行为，提取各域名节点的时间序列特征与域名注册特征，以获取各域名节点的特征向量；基于所述元路径与所述特征向量，计算各域名节点的嵌入特征，以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。

公开(公告)号：CN114553496A

公开(公告)日：2022-05-27

申请号：CN202210105191.2

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  樊昭杉 ,  刘俊荣 ,  韩冬旭 ,  王青 ,  焦浩然

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明提供了一种基于半监督学习的恶意域名检测方法及装置，所述方法包括：收集域名样本，构建原始样本集；针对每一域名样本抽取典型特征的特征表示；通过恶意域名标注信息，从原始样本集中提取恶意域名样本集；基于原始样本集中各域名样本的孤立分数，构建可信域名样本集；对恶意域名样本集与可信域名样本集并集后，根据是否为恶意域名样本与孤立分数赋予域名样本权重，得到加权训练样本集；基于加权训练样本集中域名样本的特征表示训练分类模型，得到恶意域检测模型；将待检测域名的特征表示输入恶意域名检测模型，得到恶意域名检测结果。本发明的恶意域名检测模型具有自动学习、高效性与普适性等特点，从而提高了恶意域名检测的准确度。

公开(公告)号：CN113472751A

公开(公告)日：2021-10-01

申请号：CN202110623379.1

申请日：2021-06-04

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  崔苏苏 ,  姜波 ,  张辰 ,  韩冬旭 ,  刘文愗 ,  王萌

IPC: H04L29/06 ,  H04L12/24 ,  G06N3/04

Abstract: 本发明公开一种基于数据包头的加密流量识别方法及装置，包括提取加密流量中每个数据包的头部信息；依据所述头部信息，对该加密流量进行预处理，得到一流量矩阵；将该流量矩阵输入CapsNet模型，得到该加密流量的类别。本发明不仅可避免隐私问题，减轻数据传输和存储的压力，还可以同时学习加密流量的空间特征和字节特征，提升加密流量识别的精度。