公开(公告)号：CN109858251B

公开(公告)日：2023-02-10

申请号：CN201910140721.5

申请日：2019-02-26

Applicant: 哈尔滨工程大学

Inventor： 郎大鹏 ,  姜昊辰 ,  柏方 ,  刘海波 ,  沈晶 ,  丁巍

IPC: G06F21/56

Abstract: 基于Bagging集成学习算法的恶意代码分类检测方法，属于网络信息安全和计算机应用技术领域。本发明首先获得恶意代码并将其转换成汇编形式；然后采用2‑gram特征提取方法，得到恶意代码的特征信息，并通过决策树方法对其进行笼统分类，之后根据得到可能的分类情况，再判断是否适合3‑gram特征提取方法，如果符合则采用3‑gram方法进行特征提取，否则判断是否为同一家族的恶意代码，如果符合则利用特征纹理图提取其特征信息；通过以上方法得到特征信息后，采用Bagging集成学习方法进行分类，对恶意代码进行再分类，得到更好结果。本发明通过引入机器学习的方法，实现对恶意代码的分类，相比利用传统的静态特征提取方法进行的分类检测方法分类效果更好，有较高的准确率。

公开(公告)号：CN112333203A

公开(公告)日：2021-02-05

申请号：CN202011343306.9

申请日：2020-11-26

Applicant: 哈尔滨工程大学

Inventor： 郎大鹏 ,  刘翔宇 ,  董文睿 ,  韩新宇

IPC: H04L29/06 ,  H04L9/32 ,  H04L9/08

Abstract: 本发明属于网络安全技术领域，具体涉及一种基于中间人技术的高交互蜜罐系统的RDP会话方法。本发明的蜜罐系统包括蜜罐代理服务器、蜜罐主机、RDP数据解析模块、日志管理模块和入侵检测系统；入侵检测系统客户端安装在蜜罐主机内；蜜罐代理服务器由RDP代理客户端和RDP代理服务端组成，RDP代理服务端与攻击者进行加密通信，RDP代理客户端与蜜罐主机进行加密通信。本发明解决了目前在对于RDP蜜罐的研究主要以模拟RDP协议的低交互蜜罐为主，这种方式提供的交互性有限，获取的信息也十分有限，并且容易被攻击者识别的问题。本发明提高了RDP蜜罐的交互能力、信息收集能力和伪装能力。

公开(公告)号：CN112182577A

公开(公告)日：2021-01-05

申请号：CN202011097233.X

申请日：2020-10-14

Applicant: 哈尔滨工程大学

Inventor： 郎大鹏 ,  陈宇 ,  梁甜甜 ,  武文达 ,  赵国冬 ,  刘翔宇

IPC: G06F21/56 ,  G06K9/62 ,  G06N3/08

Abstract: 本发明属于网络信息安全技术领域，具体涉及一种基于深度学习的安卓恶意代码检测方法。本发明将APK文件直接解压，将部分二进制文件进行可视化，将灰度图添加颜色通道并进行像素归一化，构造出图片信息量更大，利于在模型中训练的像素归一RGB图。最后设计并实现卷积神经网络分类检测模型，再对经过上述方法操作处理的恶意代码图像进行分类训练，以达到对恶意代码进行检测的目的。本发明针对现有Android恶意代码可视化技术中提取图像特征的方法单一、图像特征不明显、检测效果较差的问题，通过生成恶意代码的RGB图像，对像素归一化图后进行学习分类，以此实现更为精准的恶意代码检测。

公开(公告)号：CN107566407B

公开(公告)日：2020-07-28

申请号：CN201710980913.8

申请日：2017-10-20

Applicant: 哈尔滨工程大学

Inventor： 郎大鹏 ,  姜昊辰 ,  刘海波 ,  陈志远

IPC: H04L29/06 ,  H04L9/32 ,  H04L9/06

Abstract: 本发明提供的是一种基于USBkey的双向认证数据安全传输与存储方法。包括a.模拟USBKey，向扇区中存入PIN码等信息。b.建立面向无连接的通信。c.验证客户端PIN码是否正确。d.验证身份证书是否正确。e.服务器对客户端的认证。f.客户端对服务器的认证。g.认证成功后建立面向连接的通信。h.数据的加密存储。i.数据的销毁。本发明的方法不但保证数据的安全传输，还能基于同一认证机制实现数据的安全存储及销毁。

公开(公告)号：CN111447212A

公开(公告)日：2020-07-24

申请号：CN202010214994.2

申请日：2020-03-24

Applicant: 哈尔滨工程大学

Inventor： 刘海波 ,  董济源 ,  沈晶 ,  史长亭 ,  白玉 ,  郎大鹏 ,  田乔 ,  林森

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全和深度学习技术领域，具体涉及一种基于GAN的APT攻击序列的生成与检测方法。本发明的针对目前在APT攻击的检测方向尚存在无法检测长序列攻击、历史信息关联差、未知攻击检测能力差等问题，为有效检测APT攻击并且扩充APT攻击攻击数据集，提出了一种基于GAN的APT攻击序列生成与检测方法。本发明通过生成式对抗网络的形式采用LSTM网络增加了对前后文相关联的步骤，记忆了网络流量的历史记录，对时序性数据具有较好的检测能力；通过生成模型可以利用随机噪声生成符合APT攻击特征的数据，扩充了现有APT攻击数据集。

公开(公告)号：CN109858251A

公开(公告)日：2019-06-07

申请号：CN201910140721.5

申请日：2019-02-26

Applicant: 哈尔滨工程大学

Inventor： 郎大鹏 ,  姜昊辰 ,  柏方 ,  刘海波 ,  沈晶 ,  丁巍

IPC: G06F21/56

Abstract: 基于Bagging集成学习算法的恶意代码分类检测方法，属于网络信息安全和计算机应用技术领域。本发明首先获得恶意代码并将其转换成汇编形式；然后采用2-gram特征提取方法，得到恶意代码的特征信息，并通过决策树方法对其进行笼统分类，之后根据得到可能的分类情况，再判断是否适合3-gram特征提取方法，如果符合则采用3-gram方法进行特征提取，否则判断是否为同一家族的恶意代码，如果符合则利用特征纹理图提取其特征信息；通过以上方法得到特征信息后，采用Bagging集成学习方法进行分类，对恶意代码进行再分类，得到更好结果。本发明通过引入机器学习的方法，实现对恶意代码的分类，相比利用传统的静态特征提取方法进行的分类检测方法分类效果更好，有较高的准确率。