公开(公告)号：CN116886637A

公开(公告)日：2023-10-13

申请号：CN202311133687.1

申请日：2023-09-05

申请人： 北京邮电大学

发明人： 何明枢 ,  韩影 ,  王小娟 ,  阳柳 ,  郭世泽 ,  俞赛赛 ,  路子逵 ,  王欣蕾

IPC分类号： H04L47/2441 ,  H04L9/40 ,  G06F18/24 ,  G06N5/02

摘要： 本发明提供一种基于图积分的单特征加密流检测方法及系统，所述方法的步骤包括：获取流量信息中的多个数据包，基于数据包的五元组信息将多个数据包分为多个数据流；获取数据流中数据包的第一特征值，基于数据包为上行数据包或下行数据包为第一特征值赋予第一标记或第二标记，得到第二特征值；将数据流中的第二特征值构建为特征序列，并构建上行流量交互图和下行流量交互图；基于上行流量交互图和中下行流量交互图节点的节点属性，对上行流量交互图和下行流量交互图进行图积分，得到上行流量积分图和下行流量积分图；将上行流量积分图和下行流量积分图进行拼接得到联合积分图，基于将联合积分图输入到预设的神经网络分类模型得到检测结果。

公开(公告)号：CN116599689A

公开(公告)日：2023-08-15

申请号：CN202310307306.0

申请日：2023-03-27

申请人： 北京邮电大学 ,  中国电子科技集团公司第十五研究所

发明人： 王小娟 ,  何明枢 ,  刘晓影 ,  雍婷 ,  郭世泽 ,  王家瑄 ,  邢紫璇

IPC分类号： H04L9/40 ,  H04L47/2441

摘要： 本申请提供一种网络流量数据分类模型训练方法、分类方法及训练装置，所述方法包括：采用不同的特征提取方式提取历史网络流量数据集中的各个数据样本分别对应的基础特征、统计特征和变换特征；将各个所述数据样本的所述基础特征、统计特征和变换特征均进行融合并转换为表征矩阵；基于各个所述数据样本及对应的表征矩阵训练预设的分类器，以将该分类器训练为用于输出各个所述数据样本对应的网络流量组分类结果的网络流量数据分类模型。本申请能够有效提升网络流量分类的全面性和精确性。

公开(公告)号：CN116366291A

公开(公告)日：2023-06-30

申请号：CN202310164016.5

申请日：2023-02-24

申请人： 北京邮电大学 ,  中国电子科技集团公司第十五研究所

发明人： 王小娟 ,  何明枢 ,  雍婷 ,  邢紫璇 ,  李海鹰 ,  刘晓影 ,  郭世泽 ,  巢文涵 ,  阳柳

IPC分类号： H04L9/40 ,  H04L69/22

摘要： 本申请提供一种信流元数据生成方法及装置，所述方法包括：获取用户自预设的多模式信流模板中选取的当前的目标信流模板；基于所述目标信流模板，对原始信流数据对应的各个特征数据和各个负载数据进行随机重组，生成对应的信流元数据，其中，所述特征数据和负载数据预先自所述原始信流数据中提取，且所述负载数据为经对所述原始信流数据的协议字段剪切后获取的数据。本申请能够直接生成网络流数据，同时能够实现网络流数据真实传输，提高可传输性。

公开(公告)号：CN114944926A

公开(公告)日：2022-08-26

申请号：CN202210211405.4

申请日：2022-03-04

申请人： 北京邮电大学 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

发明人： 郭世泽 ,  王小娟 ,  何明枢 ,  任传伦 ,  俞赛赛

IPC分类号： H04L9/40 ,  G06N3/04

摘要： 本申请提供一种势变谱构造方法、网络流异常行为识别方法及相关装置，势变谱构造方法包括：通过预定义分析原子和原子学习两种方式得到超完备原子库；根据预设的基底筛选规则自超完备原子库中选取对应的原子以构成基底；基于基底生成用于识别目标网络流数据对应的网络流异常行为的势变谱，其中，势变谱为目标网络流数据的网络流映射表征集合。本申请能够自动学习网络流行为以得到精确且简练的网络流表达，并能够以更少的特征针对经稀疏表达后的网络流进行重新表达，使得针对不同业务类型的网络流能够具有更清晰的可解释性，并能够将网络流以直观、可视化的形式展现出来，进而能够有效提高恶意网络流识别的效率、便捷性、准确性及可靠性。

公开(公告)号：CN117278336A

公开(公告)日：2023-12-22

申请号：CN202311565136.2

申请日：2023-11-22

申请人： 北京邮电大学

发明人： 何明枢 ,  王欣蕾 ,  李昕航 ,  王小娟 ,  阳柳 ,  刘晓影 ,  路子逵 ,  郭世泽

IPC分类号： H04L9/40 ,  H04L43/026 ,  H04L43/04 ,  G06F18/213 ,  G06F18/214 ,  G06F18/24 ,  G06N3/0442 ,  G06N3/08

摘要： 本发明提供一种基于时频域变换的物联网设备异常流量检测方法和系统，所述方法包括：将经过物联网设备的网络流输入到预训练完成的非端到端类型的表征模型以进行特征提取；所述表征模型将输入的网络流表征到时域空间和频域空间，在时域空间利用时间感知高斯对比网络提取网络流的时间特征，在频域空间利用基于幅度谱的对比网络提取幅度谱特征；将所述时间特征和幅度谱特征输入到预训练的用于物联网设备异常流量检测的机器学习分类模型，得到物联网设备异常流量检测结果。本发明能够使用非端到端的方法解决物联网中异常流量检测问题，同时对网络流进行时域和幅度域变换，能够有效的提取网络流中的特征表示。

公开(公告)号：CN118535988A

公开(公告)日：2024-08-23

申请号：CN202410991750.3

申请日：2024-07-23

申请人： 北京邮电大学

发明人： 王小娟 ,  石鹏飞 ,  何明枢 ,  郭世泽

IPC分类号： G06F18/2413 ,  G06F18/213 ,  G06F18/23 ,  H04L9/40

摘要： 本发明提供一种基于插值谱的流量分类方法、装置、存储介质及程序产品，涉及计算机技术领域，方法包括：获取待分类流量数据；待分类流量数据包括从边缘计算网络中接收到的至少一类流量数据，每一类流量数据中包括至少一个数据点；获取预先训练的流量分类模型，流量分类模型包括特征提取层和流量分类层；特征提取层用于基于各个数据点，分别插入预设数量的插值，并集成得到插值谱作为提取的数据特征；流量分类层用于基于数据特征，将待分类流量数据分类；将待分类流量数据输入流量分类模型，得到待分类流量数据对应的流量分类结果；能够解决流量分类准确性较低的问题；能够避免基于高维数据点距离计算所引起的误差，提高流量分类的准确性。

公开(公告)号：CN114944926B

公开(公告)日：2023-12-22

申请号：CN202210211405.4

申请日：2022-03-04

申请人： 北京邮电大学 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

发明人： 郭世泽 ,  王小娟 ,  何明枢 ,  任传伦 ,  俞赛赛

IPC分类号： H04L9/40 ,  G06N3/0495 ,  G06N3/043

摘要： 本申请提供一种势变谱构造方法、网络流异常行为识别方法及相关装置，势变谱构造方法包括：通过预定义分析原子和原子学习两种方式得到超完备原子库；根据预设的基底筛选规则自超完备原子库中选取对应的原子以构成基底；基于基底生成用于识别目标网络流数据对应的网络流异常行为的势变谱，其中，势变谱为目标网络流数据的网络流映射表征集合。本申请能够自动学习网络流行为以得到精确且简练的网络流表达，并能够以更少的特征针对经稀疏表达后的网络流进行重新表达，使得针对不同业务类型的网络流能够具有更清晰的可解释性，并能够将网络流以直观、可视化的形式展现出来，进而能够有效提高恶意网络流识别的效率、便捷性、准确性及可靠性。

公开(公告)号：CN116366739A

公开(公告)日：2023-06-30

申请号：CN202310118420.9

申请日：2023-02-10

申请人： 北京邮电大学 ,  中国电子科技集团公司第十五研究所

发明人： 王小娟 ,  黄元铭 ,  苏千叶 ,  何明枢 ,  郭世泽 ,  俞赛赛 ,  路子逵 ,  阳柳

IPC分类号： H04L69/22 ,  H04L43/18

摘要： 本发明提供一种基于数据流谱的流量验证方法及装置，所述方法的步骤包括：采集流量数据包，解析流量数据包的五元组数据，将相同五元组的流量数据包构建为数据包集合；解析得到对于每个数据包的元数据，将数据包集合中的每个数据包的元数据作为一行，构建数据流谱；对所述数据流谱中的字符类元数据进行编码，得到流谱矩阵；将所述流谱矩阵输入到预设的验证模型中，基于所述验证模型输出验证结果。本方案在对数据包进行解析之后，将每个数据包的元数据作为一行，构建数据流谱，对元数据的表达进行规范，并对字符类数据进行编码，得到验证模型能够快捷处理的流谱矩阵，再基于验证模型输出验证结果，提高验证结果精确度。

公开(公告)号：CN114818850A

公开(公告)日：2022-07-29

申请号：CN202210225791.2

申请日：2022-03-07

申请人： 北京邮电大学 ,  中国电子科技集团公司第三十研究所 ,  中电科网络空间安全研究院有限公司

发明人： 郭世泽 ,  王小娟 ,  何明枢 ,  任传伦 ,  俞赛赛 ,  张宇 ,  阳柳

IPC分类号： G06K9/62 ,  H04L9/40

摘要： 本发明提供了一种基于聚类压缩的网络流空间映射表征方法、装置和存储介质，所述方法包括：训练样本获取步骤，用于获取不同网络空间行为类别训练样本形成样本集；对训练样本集中各行为类别的训练样本进行聚类；将样本空间中的子类别样本数据输入至基于类间间距最大化以及类内间距最小化原则创建的多层映射网络模型，从模型的第一层开始逐层计算并更新包括扩张因子和压缩因子在内的模型参数，并基于更新的模型参数生成用于在测试阶段计算压缩因子权重并对结果进行加权的筛选器；测试样本获取步骤；测试步骤，将得到的样本集合输入至经训练阶段训练后的多层映射网络模型，输出空间映射矩阵。

公开(公告)号：CN101567887A

公开(公告)日：2009-10-28

申请号：CN200910136094.4

申请日：2009-04-28

申请人： 中国人民解放军总参谋部第五十四研究所 ,  北京邮电大学 ,  北京工业大学

发明人： 郑康锋 ,  杨义先 ,  郭世泽 ,  朱峻茂 ,  武斌 ,  王秀娟 ,  赵建鹏

IPC分类号： H04L29/06 ,  H04L12/24

摘要： 本发明公开了一种漏洞拟真超载蜜罐方法，包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块；当攻击序列到达虚拟蜜罐时，根据情况由虚拟蜜罐系统来进行处理；当攻击者对虚拟主机进行漏洞扫描，虚拟蜜罐根据漏洞配置信息进行响应处理；接着，会利用这些漏洞进一步攻击，此时，虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统，由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应；最后，当攻击者利用漏洞攻击成功获取控制权时，则将此时的攻击数据转交至物理蜜罐模块，所有的攻击过程和相关数据由数据审计模块记录下来并进行综合分析。本方法减小蜜网中硬件设备数量，降低了成本。