-
公开(公告)号:CN115348058B
公开(公告)日:2025-05-09
申请号:CN202210818672.8
申请日:2022-07-12
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于数据帧抽取的DoH流量分析方法,涉及信息技术领域,从DoH流量中提取报文级别加密流量特征,构建并训练数据帧抽取分类器来识别承载数据帧TLS报文;将承载了数据帧的TLS报文重组成TLS流,提取流级别加密流量特征,构建并训练DoH流量指纹识别分类器来识别DoH流量对应的具体网页。本方法能够提升模型的准确性和泛化性。
-
公开(公告)号:CN112068926B
公开(公告)日:2024-08-09
申请号:CN202010759077.2
申请日:2020-07-31
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455 , H04L61/103 , H04L69/16 , H04L101/622 , H04L101/659
Abstract: 本发明提出一种局域网内虚拟机的识别方法,通过获取局域网内待识别设备的广播和多播流量,将该流量作为待识别流量;提取待识别流量的数据传输协议的特征信息,根据预设的特征类型与各数据传输协议的对应关系,将特征信息划归各特征类型;将各特征类型的特征信息进行向量化,再拼接得到指纹信息;将指纹信息输入到预先训练好的设备识别模型中,输出mDNS视图与LBN视图的预测结果,并判断待识别设备是否为异常设备;若待识别设备为异常设备,则比较mDNS视图与LBN视图的预测结果,如果该两个预测结果存在差异时,则判定待识别设备为虚拟机。本方法能在不增加网络中负载且无需与其它设备交互的情况下,对虚拟机进行识别。
-
公开(公告)号:CN118199927A
公开(公告)日:2024-06-14
申请号:CN202410203156.3
申请日:2024-02-23
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明公开了一种基于主动探测的Tor桥节点的隐藏节点发现方法及系统,所述方法包括:在Tor网络中植入非出口的受控路由节点,所述受控路由节点具有记录Tor网络的链路日志的功能;受控客户端向建立成功的两跳链路发送内容为指定桥节点IP的payload包;其中,所述两跳链路中的第一跳为指定桥节点,第二跳为所述受控路由节点;受控路由节点通过识别所述内容为指定桥节点IP的payload包发现所述两跳链路后,结合链路日志判断所述指定桥节点是否与隐藏节点绑定。本发明可以准确检测Tor网络路由节点的隐藏节点。
-
公开(公告)号:CN118157914A
公开(公告)日:2024-06-07
申请号:CN202410164354.3
申请日:2024-02-05
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40
Abstract: 本发明公开了一种基于主被动结合的匿名服务器节点识别方法及系统,涉及网络安全领域。本发明通过构建探测图和通信图,并进行探测特征和通信特征的嵌入,提取探测图特征和通信图特征,再进行探测图特征和通信图特征的特征融合,然后输入到分类模型中进行匿名服务器检测。本发明基于主被动结合的方式来识别匿名服务器,能够提高识别的泛化能力,减缓因缺乏响应信息带来的性能下降问题。
-
公开(公告)号:CN117932503A
公开(公告)日:2024-04-26
申请号:CN202211312131.4
申请日:2022-10-25
Applicant: 中国科学院信息工程研究所
IPC: G06F18/2433 , G06F16/2458 , G06N3/045 , G06N3/048 , G06N3/09
Abstract: 本发明涉及一种基于异常段的时间序列异常检测评估方法和系统。本发明通过自动化划分异常段,实现了用异常段作为评估的计算单元,对时间序列异常检测任务进行有效评估,解决了基于点为计算单元的评估方法破坏了异常完整性与连续性的问题,可以更客观的反应模型检测能力。本发明将异常段作为评估计算单元,而不是点,保留了异常的完整性与连续性;通过使用权重曲线,突出了异常段中不同位置的点具有不一样的权重得分,与现有技术的无权重方案相比更加关注实际应用价值;本发明保留了现有方案的计算简易性,不需要过多的额外参数。
-
Patent Agency Ranking
公开(公告)号:CN117353971A
公开(公告)日:2024-01-05
申请号:CN202310948872.X
申请日:2023-07-31
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L61/4511 , H04L61/103 , G06F16/955 , G06F16/958 , G06N3/042 , G06N3/08
Abstract: 本发明涉及一种基于新型图神经网络的恶意域名检测方法和装置。该方法包括:采集目标网页的网页信息;根据采集的网页信息构建图结构,其中节点的集合表示网页和网页中的资源,边的集合表示节点之间的关系;利用构建的图结构,基于图神经网络模型进行恶意域名检测。本发明面向网页访问互联网资源这一场景进行建模,将网页和资源建模得到异构图,通过图结构和已知的节点标签训练检测模型,可有效识别恶意域名,能够解决现有技术在检测恶意域名时效果欠佳的问题。
-
公开(公告)号:CN114268426B
公开(公告)日:2023-12-19
申请号:CN202111573027.6
申请日:2021-12-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统,包括:获取ICMPv6数据包S的数据包类型与所述ICMPv6数据包S进入交换机的端口类型;对数据包类型为邻居请求数据包的ICMPv6数据包或端口类型为连接三层转发设备的ICMPv6数据包,进行防止泛洪攻击检测;对数据包类型为非邻居请求数据包,且端口类型为连接一台主机或连接多台主机的ICMPv6数据包,基于源IPv6地址进行源地址欺骗攻击检测,并对通过源地址欺骗攻击检测的ICMPv6数据包进行防止泛洪攻击检测。本发明对ICMPv6 DoS和DDoS重新分类,对分类的攻击,提出解决ICMPv6 DoS和DDoS攻击检测方法,保护IPv6网络安全。
-
公开(公告)号:CN116304597A
公开(公告)日:2023-06-23
申请号:CN202211136889.7
申请日:2022-09-19
Applicant: 中国科学院信息工程研究所
IPC: G06F18/21 , G06F18/2415 , G06N20/00 , H04L51/212 , H04L9/40
Abstract: 本发明公开了一种基于邮件服务资产共现图的垃圾邮件检测方法。本方法包括:机器学习模型离线训练阶段:获取样本集合中每一样本邮件的头部信息;所述样本集合包括若干合法邮件和若干垃圾邮件;从每封样本邮件的头部信息中提取预设字段,构建各样本邮件对应的共现子图,然后对所得各共现子图进行合并得到一邮件服务资产共现图;基于样本邮件的共现子图和所述邮件服务资产共现图,使用子图表示学习技术,学习对应样本邮件的子图表示并对其进行标签标注;利用带有标签的子图表示训练机器学习模型;在线检测阶段:将待检测邮件的子图表示输入训练后的机器学习模型,输出该待检测邮件为垃圾邮件的概率。本发明充分利用邮件资产信息进行垃圾邮件检测。
-
公开(公告)号:CN114915444B
公开(公告)日:2023-03-10
申请号:CN202210293159.1
申请日:2022-03-23
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种基于图神经网络的DDoS攻击检测方法及装置,所述方法包括:将待检测流量中的数据包按照 二元组进行分组;对每一分组,按时间排序所述数据包,并根据所述数据包为上行流量或下行流量,将所述分组划分为若干小组;针对每一分组,构建至少一个图结构;使用图神经网络计算所述图结构的表征,并基于所述表征进行分类,得到所述图结构的DDoS攻击检测结果;结合各图结构的DDoS攻击检测结果,获取所述待检测流量的DDoS攻击检测结果。本发明更好地体现了DDoS攻击流量的固有特性,具有更高的准确率。
-
公开(公告)号:CN115396381A
公开(公告)日:2022-11-25
申请号:CN202210889760.7
申请日:2022-07-27
Applicant: 中国科学院信息工程研究所
IPC: H04L47/2483 , H04L47/28 , H04L41/14 , H04L41/147
Abstract: 本发明提供一种基于响应时间特征的加密音视频流量识别方法及系统,涉及网络流量识别领域,基于服务端与客户端响应时间的特征,经过处理后作为机器学习模型的输入,预测加密音视频流量。本发明利用了TCP流的握手时延模拟网络平均时延,在网络流后续的数据交互过程中将网络平均时延归零,去除了网络平均时延对视频流量特征造成的影响,最终使得训练的模型在复杂开发网络环境下仍能保持高准确率识别。
-
-
-
-
-
-
-
-
-
Search Results
137
records
(took 0.069 seconds)
