公开(公告)号：CN114553790A

公开(公告)日：2022-05-27

申请号：CN202210239823.4

申请日：2022-03-12

Applicant: 北京工业大学

Inventor： 贾文旭 ,  王一鹏 ,  赖英旭 ,  赵子健 ,  刘静

IPC: H04L47/2483 ,  H04L47/2441 ,  H04L41/142 ,  G06K9/62 ,  G06N3/04 ,  G16Y40/20

Abstract: 本发明公开了一种基于多模态特征的小样本学习物联网流量分类方法及系统。该方法包括训练阶段和分类阶段；训练阶段包括：对捕获到的物联网设备流量进行预处理；使用训练数据进行学习训练，构建多模态特征编码器模型；分类阶段包括物联网设备流量采集预处理；根据训练阶段得到的多模态特征编码器，对已标记样本构成的物联网流量支持集中样本以及待分类流量样本样进行多模态特征提取；对获得的特征进行特征比较，从而对待分类的物联网设备流量设备类型进行判别。本发明通过从多个特征维度对于物联网设备产生的网络流量进行准确刻画，从而形成更具表达能力的物联网设备流量指纹，并且基于小样本学习理论构建分类模型，从而解决在物联网设备标记样本量不足的情况下进行准确分类的问题。

公开(公告)号：CN113821793A

公开(公告)日：2021-12-21

申请号：CN202110992620.8

申请日：2021-08-27

Applicant: 北京工业大学

Inventor： 刘静 ,  吕宏硕 ,  赖英旭 ,  毛北逢 ,  王一鹏

IPC: G06F21/55 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明公开了一种基于图卷积神经网络的多步攻击检测和场景构建方法，从网络流量中匹配IDS警报对应的可疑攻击流。利用匹配到的可疑攻击流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图。利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同攻击阶段。并对每个攻击阶段建立带权重的阶段通信图，并从阶段通信图中提取高质量场景子图，得到完整攻击场景。本发明对比多个模型的检测效果。实验结果证明，本发明可以提高精度的同时降低误报的出现。还可以准确划分攻击阶段效果并可以构建完整多步攻击场景，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN112491796A

公开(公告)日：2021-03-12

申请号：CN202011169481.0

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  孙墨童 ,  王一鹏 ,  刘静 ,  谷浩然 ,  毛北逢 ,  王昊辰 ,  朱星宇

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08 ,  G06K9/62

Abstract: 本发明公开了一种基于卷积神经网络的入侵检测及语义决策树量化解释方法，将流量数据转换成流量灰度图像作为输入，对增加了可解释性的卷积神经网络进行训练，并用检测集对训练后的模型进行检测；利用类激活图构建攻击细节图像并输入训练后的卷积神经网络模型提取聚类特征进行聚类，计算检测到的异常样本与各类攻击聚类中心的距离，利用该距离建立决策树；计算语义匹配率为建立的代理决策树赋予语义意义，并利用该匹配率对语义决策树的解释效果进行量化评价。本发明对比多个模型及其改进后模型的检测性能与可解释性能，建立语义决策树对效果最优的模型进行解释，并设计语义匹配率对解释效果进行量化评价。

公开(公告)号：CN113313156B

公开(公告)日：2025-02-21

申请号：CN202110557882.1

申请日：2021-05-21

Applicant: 北京工业大学

Inventor： 王一鹏 ,  贾文旭 ,  赖英旭 ,  杨震

IPC: G06F18/2413 ,  G06N3/045 ,  G06N3/084 ,  G06N5/04 ,  G16Y30/10 ,  G16Y40/20 ,  G06F18/214 ,  G06N3/09

Abstract: 本发明公开了一种基于时序负载流量指纹的物联网设备流量识别方法及系统，本方法的具体工作流程可以分为训练阶段和分类阶段。在训练阶段，根据已标记类别的物联网设备流量的报文长度序列信息和报文字节序列信息，训练神经网络中的可学习参数，从而实现自动化的物联网设备流量指纹提取和物联网设备识别。在分类阶段，基于已训练完成的神经网络模型，对待识别物联网设备流量进行物联网设备流量指纹构建，并完成不同物联网设备的流量识别。本发明从不同的特征维度对于任何物联网设备产生的网络流量进行准确刻画，从而形成更具表达能力的物联网设备流量指纹，在物联网设备流量识别过程中具有高准确率、高度泛化能力和鲁棒性。

公开(公告)号：CN119011427A

公开(公告)日：2024-11-22

申请号：CN202411108297.3

申请日：2024-08-13

Applicant: 北京工业大学

Inventor： 马啸天 ,  王一鹏 ,  周坤毅

IPC: H04L43/026 ,  G06F18/241 ,  G06F18/214 ,  G06F18/10 ,  G06F18/213 ,  G06F18/22 ,  G06N3/0985 ,  G06N3/0464 ,  G06N3/0442

Abstract: 本发明公开了一种基于预训练模型的小样本物联网流量分类方法及系统，分为物联网流量分类模型构建阶段和物联网流量分类阶段。物联网流量分类模型构建阶段包括：抽取与标签绑定的原始移动应用流量样本构成样本集和查询集；对移动应用流量样本进行流量预处理；对移动应用流量序列进行高维向量表示处理；对物联网流量序列的高维向量进行包字节序列特征和包长度序列特征的提取；比较移动应用流量样本特征的相似度；使用与标签绑定的原始移动应用流量样本对模型进行微调；物联网流量分类阶段包括对待分类的物联网流量进行预处理；利用物联网流量分类模型构建阶段得到的物联网流量分类模型对物联网流量进行分类。本发明实现了对物联网流量的准确分类。

公开(公告)号：CN114330469B

公开(公告)日：2024-06-14

申请号：CN202110999637.6

申请日：2021-08-29

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  贺慧杰 ,  赖英旭 ,  云晓春

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/082

Abstract: 本发明公开了一种快速、准确的加密流量分类方法及系统，该方法包括模型构建阶段1、模型构建阶段2以及分类阶段。模型构建阶段1包括：对流序列进行短序列预处理；对短序列训练数据进行模型构建，生成早期快速检测模型。模型构建阶段2包括：对流序列进行长序列预处理；对长序列训练数据进行模型构建，生成细粒度分类模型。根据模型构建阶段2生成的细粒度分类模型对不能早期分类的流进行精细化分类，并输出其预测标签。本发明使用较多的数据报文将不能早期分类的流进行精细化分类，在网络流量分类过程既保证了高精度的同时又极大的减少了所有流等待数据报文所花费的时间，因此，能够同时满足高速与高精度的分类需求。

公开(公告)号：CN114358177B

公开(公告)日：2024-03-29

申请号：CN202111669208.9

申请日：2021-12-31

Applicant: 北京工业大学

Inventor： 王一鹏 ,  乐思琦 ,  赖英旭 ,  贺慧杰 ,  庄俊玺

IPC: G06F18/23213 ,  G06F18/21 ,  G06F18/241 ,  H04L9/40

Abstract: 本发明公开了一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统。包括模型构建阶段、分类阶段及更新阶段。其中模型构建阶段包含用于构建流特征提取模型的模型构建阶段1以及用于构建流分离模型的构建的模型构建阶段2。基于流分离模型，划分已知流量类与未知流量类边界。对于判定为已知类的流输出其对应的预测标签，并存储为已知类流量样本；对于判定为未知类的流，对其进行标记并存储为未知类流量样本。基于新类别样本数据与已知类样本数据组成新流量样本数据集，重复模型构建阶段操作进行模型更新。通过模型构建阶段、分类阶段和更新阶段，有效应对未知加密流量问题，在保证了分类精确度的同时使系统具有良好的可扩展性。

公开(公告)号：CN117633584A

公开(公告)日：2024-03-01

申请号：CN202311529529.8

申请日：2023-11-16

Applicant: 北京工业大学

Inventor： 尹天安 ,  赖英旭 ,  周睿 ,  王一鹏 ,  尹瑞平 ,  赵子健

IPC: G06F18/24 ,  G06F18/214 ,  G06F17/16 ,  G06N3/0464 ,  G06N3/09

Abstract: 本发明公开了一种用于应用流量分类的自动化深度学习模型生成方法及系统，包含应用流量预处理阶段，应用流量分类模型架构搜索阶段，应用流量分类模型选择阶段。预处理阶段包括：原始应用流量样本重组与IP混淆；获得包字节序列；对包字节序列转换为矢量矩阵。搜索阶段包含：控制器和隐藏状态表初始化；正常与缩减单元结构搜索；链接单元形成分类模型；模型训练与测试；控制器更新；判断是否达到终止条件。选择阶段包括：模型性能排序；本发明使用强化学习方法，减少了设计过程的主观性和人为偏好的影响，可以实现自动生成对应用流量进行分类的深度学习模型，提高了模型的表达能力和分类性能，实现了更高的准确性与效率。

公开(公告)号：CN112839024B

公开(公告)日：2023-03-24

申请号：CN202011224892.5

申请日：2020-11-05

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  云晓春 ,  赖英旭

IPC: H04L9/40 ,  H04L41/14 ,  G06F18/241 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种基于多尺度特征注意力的网络流量分类方法及系统，该方法包括训练阶段和分类阶段；训练阶段包括：对应用协议的流量样本进行统一处理；对训练数据进行学习训练，构建应用协议分类模型；分类阶段包括：采集网络流量并统一处理；根据训练阶段得到的应用协议检测模型，对待测流量样本的应用协议类型进行判别，并输出判别结果。本发明能够充分挖掘网络流量中不同尺度的潜在特征信息，从而形成更具表达能力的特征表示，在网络应用协议流量分类过程中具有高准确率和强鲁棒性。

公开(公告)号：CN112491797B

公开(公告)日：2022-11-22

申请号：CN202011169483.X

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 王一鹏 ,  谷浩然 ,  赖英旭 ,  刘静 ,  孙墨童 ,  毛北逢

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于非平衡工控数据集的入侵检测方法，以待检测的工控网络流量为输入进行数据格式的结构性转化，将网络上数据格式转化为灰度图像格式，制作出流量灰度图像；以转化的流量灰度图像作为输入，判断待分类的数据中是否存在少数类样本的；以分类特征向量集作为输入，利用数据填充补齐方法进行分类特征向量的填充和流量灰度图像的格式补齐，得到经过制作和填充后的扩充流量灰度图像；以扩充流量灰度图像作为输入，采用深度学习入侵检测方法进行入侵检测的训练和分类检测。本发明能够有效的提升入侵检测精度和提升模型检测的鲁棒性，从而解决由于工控数据的负面特点而带来的不利于入侵检测工作进行的影响。