公开(公告)号：CN118890210A

公开(公告)日：2024-11-01

申请号：CN202411200227.0

申请日：2024-08-29

Applicant: 东南大学

Inventor： 吕亚涵 ,  王良民 ,  程光 ,  周强 ,  施家栋

IPC: H04L9/40 ,  G06N3/0464 ,  G06F18/214

Abstract: 本发明提供了一种基于对抗式生成网络的网站指纹防御方法，首先采集网络用户的敏感网站访问流量作为流量数据集，训练对抗生成网络，生成网站的流量模式，随机将其它网站流量模式作为防御目标，利用动态带宽机制调整缓存区尺寸与防御目标之间的区别，以此来混淆深度网站指纹攻击。本发明通过混淆网络流量模式信息，达到防御的目的。可抵御基于深度神经网络的网站指纹攻击，实现保护用户浏览隐私安全的效果。针对网络用户产生的网络流量训练流量对抗生成网络，从流量突发和流量突发时间间隔角度生成各网站流量的流量模式，通过动态带宽机制来调整流量，混淆流量模式。本发明能够实现网站流量的智能混淆，解决了匿名网络中网页访问的隐私保护的问题。

公开(公告)号：CN113469275B

公开(公告)日：2024-10-15

申请号：CN202110824930.9

申请日：2021-07-21

Applicant: 东南大学

Inventor： 胡晓艳 ,  童钟奇 ,  程光

IPC: G06F18/241 ,  H04L9/40

Abstract: 本发明公开了一种以太坊行为流量精细化分类方法，该方法包括以太坊行为流量分割和以太坊行为流量分类两个阶段。在以太坊行为流量分割阶段，通过识别以太坊RLPx帧头报文位置和判断以太坊行为流量Burst范围，确定以太坊行为流量分割位置，实现单条以太坊TCP流中的行为流量的分割。以太坊行为流量分类阶段首先将相似的多个Get类行为合并，使用机器学习方法进行粗分类，对粗分类结果使用Get类行为与相应的Send类行为之间的关联性关系，进一步判断Get类行为的准确类别，实现以太坊行为流量的精细化分类。

公开(公告)号：CN118551372A

公开(公告)日：2024-08-27

申请号：CN202410430166.0

申请日：2024-04-10

Applicant: 东南大学

Inventor： 胡晓艳 ,  李嘉雯 ,  程光 ,  吴桦

IPC: G06F21/56 ,  G06F18/25 ,  G06F18/213 ,  G06V10/764 ,  G06N3/096 ,  G06N3/045 ,  G06N3/0464

Abstract: 本发明提出了一种基于深度子域迁移学习的细粒度攻击行为变种识别方法，分为四个部分，第一部分为EADU还原操作，具体内容为根据还原算法将变种行为流量还原为EADU，并选择前n个EADU作为行为早期样本。第二部分为特征提取操作，具体内容为对n‑EADU提取m个统计特征，并生成对应[k,k]维RGB图片，作为后续模块的输入。第三部分为深度子域迁移学习模型，具体内容为通过注意力模块对不同特征以及特征不同位置进行权重更新，生成新的特征图，通过深度子域适应模块拟合源域和目标域特征分布差异，压缩原始攻击行为流量和行为变种流量特征的距离，第四部分为远控木马攻击行为变种流量的识别操作，具体内容为将训练好的模型对不同攻击行为的变种流量进行识别。

公开(公告)号：CN116192765B

公开(公告)日：2024-07-12

申请号：CN202310245479.4

申请日：2023-03-14

Applicant: 东南大学

Inventor： 胡晓艳 ,  施语欣 ,  程光 ,  吴桦

IPC: H04L47/2483 ,  G06N3/0464 ,  H04L47/2441 ,  H04L9/40

Abstract: 本发明提出了一种基于注意力机制的物联网设备流量早期识别方法，分为四个部分，第一部分为对物联网流量的数据预处理和特征处理；第二部分为构建多特征时序样本集，具体内容为基于窗口，构建多特征时序样本；第三部分为构建物联网设备早期识别模型，具体为通过通道注意力和空间注意力模块，在保留所有维度信息的基础上重新学习输入样本不同通道以及不同位置的权重；第四部分为模型训练与物联网设备流量分类，具体内容为使用训练样本训练模型，使用该模型对测试样本分类，根据模型对比结果确定最终分类模型。本发明能够实现对物联网设备流量的早期准确分类，仅使用75个分组精确率可达99.2％。便于网络管理者对物联网流量进行及时的分类与监管。

公开(公告)号：CN118200275A

公开(公告)日：2024-06-14

申请号：CN202410435513.9

申请日：2024-04-11

Applicant: 东南大学

Inventor： 吴桦 ,  黄瑞琪 ,  汪晓慧 ,  程光 ,  胡晓艳

IPC: H04L51/04 ,  H04L51/10 ,  H04L65/65 ,  H04L69/00 ,  H04N21/44 ,  H04N21/234 ,  H04N21/2343 ,  H04N21/2347 ,  H04N21/4402 ,  H04N21/4408

Abstract: 本发明公开了一种面向复杂传输协议的即时通讯软件视频识别方法，该方法首先针对在即时通讯软件上的加密和非加密两种不同视频传输方式，构建两个独立的视频指纹数据库，然后收集即时通讯软件用户下载视频的流量数据，进而针对即时通讯软件复杂的传输协议提出不同的方法提取视频的传输指纹，并对加密视频的传输指纹进行修正，最后将视频的传输指纹与预先构建的视频指纹库进行匹配，实现即时通讯软件上的视频识别。本发明设计了通用的即时通讯软件视频内容识别框架，可应用于复杂传输协议的即时通讯软件视频识别，为网络管理提供依据，具有通用性。

公开(公告)号：CN115242724B

公开(公告)日：2024-05-31

申请号：CN202210867993.7

申请日：2022-07-21

Applicant: 东南大学

Inventor： 吴桦 ,  隋玉平 ,  程光

IPC: H04L47/2441 ,  H04L43/022 ,  H04L43/0876

Abstract: 本发明公开了一种基于两阶段聚类的高速网络流量服务分类方法，首先获取主干网的一段时间内的数据，对该数据进行抽样后，再根据数据包的大小分布进行特征提取，然后采用两阶段聚类方法对流量样本进行聚类，第一阶段使用凝聚聚类算法对全部的特征向量进行聚类，根据聚类结果构建类别分布矩阵选出需要第二次聚类的特征向量，第二阶段对类别分布矩阵选出的特征向量进行第二次凝聚聚类，然后合并全部的流量样本，确定每个簇的服务标签，构建具有服务标签的训练集，最后，利用机器学习算法对有服务标签的训练集进行训练，得到服务分类模型。本发明能够快速实现对高速网络流量的服务类型进行识别，可被网络管理者用于保证网络服务质量和进行带宽资源分配。

公开(公告)号：CN114006725B

公开(公告)日：2024-02-06

申请号：CN202111124601.X

申请日：2021-09-24

Applicant: 东南大学

Inventor： 吴桦 ,  庄幼琼 ,  程光

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/24 ,  G06F18/25

Abstract: 本发明提出了一种基于多层次网络信息融合的网络攻击态势实时感知方法，该方法利用提出的层次化监控Sketch结构能够实时检测出高速网络中的DDoS攻击态势，具体步骤分为离线模型训练和在线模型使用两个场景，离线模型训练时，首先采用系统抽样技术对网络分组进行抽样，然后分别在接口层次、区域层次和主机层次对抽样网络分组进行流量聚合，在线使用三个检测模型时，首先在网络中的流量采集点进行真实流量的抽样采集，并利用层次化监控Sketch实时提取接口层等三个层次的流量特征。通过融合多个层次的网络异常信息来逐步缩小网络攻击态势的监测范围，实现在高速网络环境中快速发现和定位DDoS攻击，可用于高速网络的安全监测。

公开(公告)号：CN116962065A

公开(公告)日：2023-10-27

申请号：CN202310992809.6

申请日：2023-08-08

Applicant: 东南大学

Inventor： 吴桦 ,  王苏越 ,  程光 ,  胡晓艳

IPC: H04L9/40 ,  H04L49/60 ,  G06N20/00

Abstract: 本发明公开了一种基于SDN的DDoS攻击溯源和防御方法，该方法通过SDN交换机对流量数据进行收集和统计并上报SDN控制器，SDN控制器使用统计数据进行DDoS攻击检测，根据检测结果构建溯源树，并对SDN交换机下发防御指令和统计数据收集指令，对具有IP地址欺骗的攻击源进行层层溯源和防御。该方案使用攻击检测所得的受害者IP地址和攻击流来源设备接口MAC地址，利用SDN控制器的全局网络拓扑，构建出溯源路径并实现实时防御，避免了正常网络状态下的额外开销，有效地减少了对合法通信的影响，可对具有IP地址欺骗的DDoS攻击进行溯源和有效防御。

公开(公告)号：CN116744052A

公开(公告)日：2023-09-12

申请号：CN202310428925.5

申请日：2023-04-20

Applicant: 东南大学

Inventor： 吴桦 ,  罗浩 ,  倪珊珊 ,  刘嵩涛 ,  程光

IPC: H04N21/44 ,  H04N21/439 ,  H04L47/2483 ,  H04N21/4408 ,  H04N21/858 ,  H04N21/4782

Abstract: 本发明公开了一种面向HTTP/2流量多路复用特征的加密视频识别方法，针对使用多路复用HTTP/2协议的加密视频，该方法首先利用自动化数据采集模块，采集视频明文数据获取视频明文指纹，并在网络中间节点采集视频加密传输数据，从而构建大型视频明文指纹库和加密视频传输数据集，其次利用修正指纹构建模块，通过对加密视频传输数据进行精准还原，构建加密视频修正指纹，最后利用加密视频识别模块，以加密视频修正指纹和大型视频明文指纹库为基础，通过加密视频修正指纹滑动匹配方法，识别HTTP/2加密视频。本发明通过视频明文指纹识别由DASH技术分发的HTTP/2加密视频，具有通用性，此外，本发明可应用于不断变化的真实网络环境，具有较好的泛化性能。

公开(公告)号：CN116668111A

公开(公告)日：2023-08-29

申请号：CN202310617536.7

申请日：2023-05-29

Applicant: 东南大学

Inventor： 吴桦 ,  王刚 ,  程光

IPC: H04L9/40 ,  H04L47/2483 ,  H04L41/16

Abstract: 本发明公开了一种可以应用于高速网络场景下进行网站指纹识别的技术方案。该方案通过构建网站指纹，从网络流量中识别出受监控网站的流量和访问信息。本发明中的识别方案分为模型训练和在线识别两个阶段。在模型训练阶段，首先，在用于训练的网页数据采集阶段进行系统抽样，然后将抽样后的流量进行组流处理，并从每个流中提取出TLS记录大小的频繁项作为该流的特征。第二步，采用层次聚类算法对频繁项特征进行聚类，根据特征之间的相似度对样本进行标注，得到具有完整标签的训练集。最后，使用数据集训练机器学习分类模型，得到网站指纹识别模型。该方案借助数据抽样，有效的减少了识别操作中需处理的数据量，提高了识别速度和效率，可有效应用于具备高速带宽特点的主干网等场景。