公开(公告)号：CN113094707B

公开(公告)日：2024-05-14

申请号：CN202110347685.7

申请日：2021-03-31

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  王天 ,  姜波 ,  刘俊荣 ,  刘松 ,  董璞

IPC: G06F21/56 ,  G06F21/55 ,  G06F21/44 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/0895

Abstract: 本发明涉及一种基于异质图网络的横向移动攻击检测方法及系统。该方法基于内网的认证日志，将用户与主机之间的登录行为图结构化，构建用户登录图和源主机路径图，之后在图上进行两阶段异常检测。第一阶段基于用户登录图，使用互信息最大化的图神经网络算法学习主机的行为模式，再通过局部异常因子算法计算得到部分异常样本；第二阶段基于源主机路径图和第一阶段得到的有标签样本，使用异质图注意力网络算法进行半监督学习，检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为，效果超过了大部分有监督学习的方法，具有高召回率和低误报率。

公开(公告)号：CN116582300A

公开(公告)日：2023-08-11

申请号：CN202310386039.0

申请日：2023-04-12

Applicant: 中国科学院信息工程研究所

Inventor： 秦健 ,  卢志刚 ,  姜波 ,  张辰 ,  董璞 ,  刘俊荣

IPC: H04L9/40 ,  G06F18/214 ,  G06N20/20

Abstract: 本发明公开了一种基于机器学习的网络流量分类方法及装置，所述方法包括：获取包含正常流量和异常流量的训练数据集；基于训练数据集中样本的近邻，计算样本的刚度IH；根据刚度IH，将训练数据集划分为易集和难集；根据类别的样本数量，将难集划分为多数类样本集和少数类样本集；对多数类样本集进行K‑means聚类，并用聚类中心代替每个簇中的样本，以得到样本集SK；对多数类样本集进行SMOTE过采样，以得到样本集SZ；合并易集、少数类样本集、样本集SK和样本集SZ，得到训练数据集SN；基于训练数据集SK对网络流量分类模型进行训练；使用训练后的网络流量分类模型进行待检测流量的预测，得到该待检测流量的分类结果。本发明可以提高网络流量分类模型的准确率。

公开(公告)号：CN113094707A

公开(公告)日：2021-07-09

申请号：CN202110347685.7

申请日：2021-03-31

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  王天 ,  姜波 ,  刘俊荣 ,  刘松 ,  董璞

IPC: G06F21/56 ,  G06F21/55 ,  G06F21/44 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于异质图网络的横向移动攻击检测方法及系统。该方法基于内网的认证日志，将用户与主机之间的登录行为图结构化，构建用户登录图和源主机路径图，之后在图上进行两阶段异常检测。第一阶段基于用户登录图，使用互信息最大化的图神经网络算法学习主机的行为模式，再通过局部异常因子算法计算得到部分异常样本；第二阶段基于源主机路径图和第一阶段得到的有标签样本，使用异质图注意力网络算法进行半监督学习，检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为，效果超过了大部分有监督学习的方法，具有高召回率和低误报率。

公开(公告)号：CN114884704B

公开(公告)日：2023-03-10

申请号：CN202210425627.6

申请日：2022-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  韩雪莹 ,  姜波 ,  董璞 ,  崔泽林 ,  刘松

IPC: H04L9/40

Abstract: 本发明涉及一种基于对合和投票的网络流量异常行为检测方法和系统。该方法包括：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。本发明使用对合结构代替卷积结构，提出了一个分类算法I‑Res，得到更具有代表性的特征；分别选取会话开始部分和结束部分的数据包并分别使用I‑Res进行判别，使用投票算法将两部分结果结合，从而得到鲁棒性更强的结果。

公开(公告)号：CN114884704A

公开(公告)日：2022-08-09

申请号：CN202210425627.6

申请日：2022-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  韩雪莹 ,  姜波 ,  董璞 ,  崔泽林 ,  刘松

IPC: H04L9/40

Abstract: 本发明涉及一种基于对合和投票的网络流量异常行为检测方法和系统。该方法包括：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。本发明使用对合结构代替卷积结构，提出了一个分类算法I‑Res，得到更具有代表性的特征；分别选取会话开始部分和结束部分的数据包并分别使用I‑Res进行判别，使用投票算法将两部分结果结合，从而得到鲁棒性更强的结果。

公开(公告)号：CN115455405A

公开(公告)日：2022-12-09

申请号：CN202210586179.8

申请日：2022-05-26

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  闫楚依 ,  卢志刚 ,  刘宝旭 ,  张辰 ,  刘俊荣 ,  朱燕 ,  董璞 ,  祁银皓

IPC: G06F21/55 ,  G06F16/901 ,  G06F16/906 ,  G06K9/62 ,  G06N20/00 ,  G06Q40/04

Abstract: 本发明公开了一种区块链恶意行为检测方法及装置，所述方法包括：构建区块链的交易图Gtrans；基于节点属性集合预计算每条边的转移概率π，以形成带有转移概率的交易图并计算所述交易图中各节点的节点嵌入特征；对所述节点嵌入特征进行分类，得到具有恶意行为的地址节点。本发明融合了网络结构、纯语义以及混合时间特征，剔除了链上记录信息繁杂的干扰，且不丢失地保留完整恶意链条，从而提高了检测的精确度、召回率与F1值。