公开(公告)号：CN118509189A

公开(公告)日：2024-08-16

申请号：CN202410300111.8

申请日：2024-03-15

申请人： 中国科学院信息工程研究所 ,  国家电网有限公司信息通信分公司 ,  国网信息通信产业集团有限公司 ,  国网天津市电力公司

发明人： 卢志刚 ,  郑伊静 ,  刘玉岭 ,  韩冬旭 ,  姜波 ,  李凌浩 ,  程杰 ,  孙磊 ,  何金

IPC分类号： H04L9/40 ,  H04L61/3015 ,  G06F18/213 ,  G06F18/23 ,  G06F18/10 ,  G06N20/20 ,  G06F18/24

摘要： 本发明公开了一种DoH隧道流量的检测方法、装置及存储介质，涉及网络安全领域。本发明通过获取DoH流量，依次进行时序特征提取，候选子序列获取，代表性子序列获取，核心子序列选择等步骤的处理，得到距离特征向量；然后将带标签的DoH流量的距离特征向量输入到DoH隧道流量检测模型中进行监督训练；利用训练好的DoH隧道流量检测模型来完成DoH隧道流量的检测。本发明不依赖流级别统计特征，利用TLS有效载荷长度序列对DoH隧道流量进行有效检测，具有更强的鲁棒性，提高了检测的准确率。

公开(公告)号：CN114553496B

公开(公告)日：2022-11-15

申请号：CN202210105191.2

申请日：2022-01-28

申请人： 中国科学院信息工程研究所

发明人： 刘玉岭 ,  樊昭杉 ,  刘俊荣 ,  韩冬旭 ,  王青 ,  焦浩然

IPC分类号： H04L9/40 ,  H04L61/4511 ,  G06K9/62 ,  G06N3/08

摘要： 本发明提供了一种基于半监督学习的恶意域名检测方法及装置，所述方法包括：收集域名样本，构建原始样本集；针对每一域名样本抽取典型特征的特征表示；通过恶意域名标注信息，从原始样本集中提取恶意域名样本集；基于原始样本集中各域名样本的孤立分数，构建可信域名样本集；对恶意域名样本集与可信域名样本集并集后，根据是否为恶意域名样本与孤立分数赋予域名样本权重，得到加权训练样本集；基于加权训练样本集中域名样本的特征表示训练分类模型，得到恶意域检测模型；将待检测域名的特征表示输入恶意域名检测模型，得到恶意域名检测结果。本发明的恶意域名检测模型具有自动学习、高效性与普适性等特点，从而提高了恶意域名检测的准确度。

公开(公告)号：CN113162908A

公开(公告)日：2021-07-23

申请号：CN202110239809.X

申请日：2021-03-04

申请人： 中国科学院信息工程研究所

发明人： 刘玉岭 ,  汤霁月 ,  韩冬旭 ,  李宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚

IPC分类号： H04L29/06 ,  H04L12/851 ,  H04L12/26 ,  G06N3/04 ,  G06K9/62

摘要： 本发明提供了一种基于深度学习的加密流量检测方法及系统。主要思想为：1)将流量转换为图像处理方式提取其几何特征，按照CapsNet提取下层空间特征以及LSTM提取上层时间序列特征的方式构建Caps‑LSTM分层训练模型，以自动提取流量的时空特征；2)对原始连续流量进行流切分成离散流，离散流根据会话粒度连续切分成许多小尺寸数据包；3)将流量匿名化处理减少不必要特征的同时避免训练过程中可能产生的过拟合现象，清洗掉重复的空数据包，提高加密流量的检测能力；4)端到端的方式实现加密流量的服务类别与具体应用类别的有效分类，解决人工特征依赖问题。本发明中的加密流量检测方法具有自动学习、高效性与普适性等特点。

公开(公告)号：CN113472751B

公开(公告)日：2023-01-17

申请号：CN202110623379.1

申请日：2021-06-04

申请人： 中国科学院信息工程研究所

发明人： 卢志刚 ,  崔苏苏 ,  姜波 ,  张辰 ,  韩冬旭 ,  刘文愗 ,  王萌

IPC分类号： H04L9/40 ,  H04L41/142 ,  G06N3/04

摘要： 本发明公开一种基于数据包头的加密流量识别方法及装置，包括提取加密流量中每个数据包的头部信息；依据所述头部信息，对该加密流量进行预处理，得到一流量矩阵；将该流量矩阵输入CapsNet模型，得到该加密流量的类别。本发明不仅可避免隐私问题，减轻数据传输和存储的压力，还可以同时学习加密流量的空间特征和字节特征，提升加密流量识别的精度。

公开(公告)号：CN111709021A

公开(公告)日：2020-09-25

申请号：CN202010323268.4

申请日：2020-04-22

申请人： 中国科学院信息工程研究所

发明人： 卢志刚 ,  董聪 ,  韩冬旭 ,  姜波 ,  刘宝旭

IPC分类号： G06F21/55 ,  G06K9/62

摘要： 本发明提供一种基于海量告警的攻击事件识别方法及电子装置，该方法包括依据告警信息的属性列，将告警信息分为一局部特征组及若干全局特征组；获取局部特征组的局部特征键列组及全局特征组的全局特征键列组集合，计算局部特征表与全局特征表集合；拼接局部特征表与全局特征表集合，将得到的完整特征表输入堆叠模型，根据输出概率判定对应事件是否属于攻击事件。本发明基于告警记录所涵盖的信息维度对告警属性进行划分，基于映射归约计算框架进行特征生成，在保证原始告警信息关联信息有效广泛的同时，减少了冗余特征的生成，适合海量告警数据的情况，识别精准度高。

公开(公告)号：CN112651422B

公开(公告)日：2023-10-10

申请号：CN202011341722.5

申请日：2020-11-25

申请人： 中国科学院信息工程研究所

发明人： 姜波 ,  韩雪莹 ,  张辰 ,  杜丹 ,  韩冬旭 ,  卢志刚

IPC分类号： G06F18/241 ,  G06N3/0442 ,  G06N3/049 ,  H04L9/40

摘要： 本发明公开了一种时空感知的网络流量异常行为检测方法及电子装置，包括提取网络流量的流特征、长度特征与时间特征，并依据所述流特征，得到空间特征；根据空间特征、长度特征与时间特征，获取分类特征；依据分类特征对网络流量进行分类，得到所述网络流量的异常行为检测结果。本发明在性能方面优于决策树、随机森林等现有的基线识别方法，并且优于单一使用CNN和LSTM的对照方法，能够更好地提升入侵检测的效率和准确性。

公开(公告)号：CN115037532B

公开(公告)日：2023-03-24

申请号：CN202210594687.0

申请日：2022-05-27

申请人： 中国科学院信息工程研究所

发明人： 刘玉岭 ,  王青 ,  卢志刚 ,  刘俊荣 ,  韩冬旭 ,  杜丹 ,  朱燕 ,  董聪 ,  樊昭杉 ,  祁银皓

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本发明公开了一种基于异构图的恶意域名检测方法、电子装置及存储介质，所述方法包括：基于DNS日志数据与Whois数据，构建DNS流量的异构图G＝(V,E)；基于边E，获取起始节点与终止节点类型均为域名节点的元路径；根据DNS日志数据与Whois数据在不同时期下的域名行为，提取各域名节点的时间序列特征与域名注册特征，以获取各域名节点的特征向量；基于所述元路径与所述特征向量，计算各域名节点的嵌入特征，以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。

公开(公告)号：CN111709021B

公开(公告)日：2023-04-07

申请号：CN202010323268.4

申请日：2020-04-22

申请人： 中国科学院信息工程研究所

发明人： 卢志刚 ,  董聪 ,  韩冬旭 ,  姜波 ,  刘宝旭

IPC分类号： G06F21/55 ,  G06F18/2431 ,  G06F18/25

摘要： 本发明提供一种基于海量告警的攻击事件识别方法及电子装置，该方法包括依据告警信息的属性列，将告警信息分为一局部特征组及若干全局特征组；获取局部特征组的局部特征键列组及全局特征组的全局特征键列组集合，计算局部特征表与全局特征表集合；拼接局部特征表与全局特征表集合，将得到的完整特征表输入堆叠模型，根据输出概率判定对应事件是否属于攻击事件。本发明基于告警记录所涵盖的信息维度对告警属性进行划分，基于映射归约计算框架进行特征生成，在保证原始告警信息关联信息有效广泛的同时，减少了冗余特征的生成，适合海量告警数据的情况，识别精准度高。

公开(公告)号：CN113162908B

公开(公告)日：2022-11-15

申请号：CN202110239809.X

申请日：2021-03-04

申请人： 中国科学院信息工程研究所

发明人： 刘玉岭 ,  汤霁月 ,  韩冬旭 ,  李宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚

IPC分类号： H04L9/40 ,  H04L47/2441 ,  H04L43/0876 ,  G06N3/04 ,  G06V10/764 ,  G06V10/82

摘要： 本发明提供了一种基于深度学习的加密流量检测方法及系统。主要思想为：1)将流量转换为图像处理方式提取其几何特征，按照CapsNet提取下层空间特征以及LSTM提取上层时间序列特征的方式构建Caps‑LSTM分层训练模型，以自动提取流量的时空特征；2)对原始连续流量进行流切分成离散流，离散流根据会话粒度连续切分成许多小尺寸数据包；3)将流量匿名化处理减少不必要特征的同时避免训练过程中可能产生的过拟合现象，清洗掉重复的空数据包，提高加密流量的检测能力；4)端到端的方式实现加密流量的服务类别与具体应用类别的有效分类，解决人工特征依赖问题。本发明中的加密流量检测方法具有自动学习、高效性与普适性等特点。

公开(公告)号：CN115037532A

公开(公告)日：2022-09-09

申请号：CN202210594687.0

申请日：2022-05-27

申请人： 中国科学院信息工程研究所

发明人： 刘玉岭 ,  王青 ,  卢志刚 ,  刘俊荣 ,  韩冬旭 ,  杜丹 ,  朱燕 ,  董聪 ,  樊昭杉 ,  祁银皓

IPC分类号： H04L9/40 ,  H04L61/4511 ,  G06N3/04 ,  G06N3/08

摘要： 本发明公开了一种基于异构图神经网络的恶意域名检测方法及装置，所述方法包括：基于DNS日志数据与Whois数据，构建DNS流量的异构图G＝(V，E)；基于边E，获取起始节点与终止节点类型均为域名节点的元路径；根据DNS日志数据与Whois数据在不同时期下的域名行为，提取各域名节点的时间序列特征与域名注册特征，以获取各域名节点的特征向量；基于所述元路径与所述特征向量，计算各域名节点的嵌入特征，以获取未标记域名节点的恶意域名检测结果。本发明从海量DNS流量中对存在的恶意域名的有效识别。