公开(公告)号：CN119249142A

公开(公告)日：2025-01-03

申请号：CN202411129997.0

申请日：2024-08-16

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) ,  中国电子科技集团公司第五十四研究所

Inventor： 杜磊 ,  顾钊铨 ,  宋志群 ,  刘丽哲 ,  李皓 ,  李嘉瑞 ,  王梦娇 ,  张欢 ,  段晨芸 ,  张明瑞

IPC: G06F18/214 ,  H04L9/40 ,  G06F18/23213

Abstract: 本发明提供了一种基于有限审查预算的网络入侵样本高效标注方法、系统及存储介质，该网络入侵样本高效标注方法包括执行以下步骤：人工标注步骤：从新样本中选取设定数量的样本用于人工的审查、标记和统计类别数；标注分配步骤：利用已标记样本和统计类别数来聚类和标注剩余样本。本发明的有益效果是：1.本发明的网络入侵样本高效标注方法不对特征空间进行限制，可在原始特征空间执行，也可在特征表示空间执行；2.本发明的网络入侵样本高效标注方法能够在有限标注预算的前提下提高新样本的标注准确性和效率。

公开(公告)号：CN119299129A

公开(公告)日：2025-01-10

申请号：CN202411255263.7

申请日：2024-09-09

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) ,  中国电子科技集团公司第五十四研究所

Inventor： 杜磊 ,  顾钊铨 ,  宋志群 ,  刘丽哲 ,  李皓 ,  段晨芸 ,  谭昊 ,  曹钰 ,  李嘉瑞 ,  张明瑞

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/21 ,  G06F18/2433 ,  G06F18/2431 ,  G06F18/2415

Abstract: 本发明提供了一种用于细粒度多分类的网络入侵开放识别方法、系统及存储介质，网络入侵开放识别方法包括：特征表示步骤：学习一个泛化性的特征表示网络来表征训练和测试样本，从而为后续的分类步骤和拒绝步骤提供支撑；分类步骤：构建分类器，在封闭世界假设中将测试样本分类为已知类别中的某一个类别；拒绝步骤：从训练数据分布中估计可能的簇数，以在开放特征空间学习准确的识别器，从而最小化已知类别样本被错误识别为未知的风险。本发明的有益效果是：1.该网络入侵开放识别方法提高了网络入侵检测在开放世界中的检测准确性；2.该网络入侵开放识别方法具有很好的特征表示能力，能够在分类已知类别样本的同时拒绝那些未知类别的样本。

公开(公告)号：CN119052006A

公开(公告)日：2024-11-29

申请号：CN202411554523.0

申请日：2024-11-04

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  李嘉瑞 ,  杜磊 ,  段晨芸 ,  闫昊 ,  陈翊璐 ,  张明瑞 ,  李鉴明

IPC: H04L9/40 ,  G06N5/025

Abstract: 本发明公开了一种基于大语言模型提示学习的网络攻击流量检测规则生成方法、系统及介质，所述方法包括以下步骤：对原始包数据完成流量明文的重组与解码，将原始的流量会话数据转化为可阅读可理解的HTTP请求报文数据；基于大语言模型提示学习完成网络攻击流量检测规则的生成、细化与优化；完成攻击流量样本、检测规则信息与安全知识库的映射过程。相对于现有技术，本发明能更有效的生成针对攻击流量的检测规则以及获取对应的安全知识。

公开(公告)号：CN117095243A

公开(公告)日：2023-11-21

申请号：CN202311345466.0

申请日：2023-10-18

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  杜磊 ,  张明瑞 ,  段晨芸 ,  李嘉瑞 ,  李鉴明 ,  张志强 ,  廖清 ,  夏文 ,  李诗逸

IPC: G06V10/764 ,  H04L9/40 ,  G06V10/774 ,  G06V10/80 ,  G06V10/82 ,  G06V10/70 ,  G06V10/74 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/24 ,  G06F18/25 ,  G06F18/20 ,  G06N3/045 ,  G06N3/0895 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  G06F123/02

Abstract: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法，包括：步骤一：将采集到的网络流量样本进行拆分处理，处理后的网络流量样本被转化为灰度图像表示；步骤二：将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力；步骤三：初始化基础会话分支分类器的投影层参数，用于训练初始的检测分类模型；步骤四：学习每个新会话分支分类器模块，进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是：本发明方法在不会遗忘已学习攻击类别的情况下，允许以增量、小样本、灵活的方式持续学习新攻击类别，实现保护目标网络系统免受恶意攻击。

公开(公告)号：CN118101357B

公开(公告)日：2024-08-06

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN117932233A

公开(公告)日：2024-04-26

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

公开(公告)号：CN118972160B

公开(公告)日：2024-12-31

申请号：CN202411393075.0

申请日：2024-10-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  张明瑞 ,  杜磊 ,  王昊 ,  段晨芸 ,  石雨佳 ,  李鉴明

IPC: H04L9/40 ,  G06F18/2431 ,  G06F18/2137

Abstract: 本发明公开一种基于图像的分布级概念漂移检测与适应方法及系统，包括对捕获的网络流量提取流级别特征并进行独热编码，使用对比自编码器对特征进行降维得到嵌入特征向量并分别计算训练集中正常类和异常类的质心，并采用中位数绝对偏差方法将测试集样本分为正常类、漂移类和异常类；使用tsne将样本对应的嵌入特征向量降维到二维可视化特征并进行归一化处理，用于将样本数据投影在黑白图上；采用黑白图差异化的方法筛选出待检测像素点集合，基于待检测像素点集合生成人工标记样本，并使用正则化进行增量学习，提高模型的检测效果。本发明以图像对比、增量、灵活的方式持续学习网络流量的分布特点，保护目标网络系统免受恶意攻击。

公开(公告)号：CN118972160A

公开(公告)日：2024-11-15

申请号：CN202411393075.0

申请日：2024-10-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  张明瑞 ,  杜磊 ,  王昊 ,  段晨芸 ,  石雨佳 ,  李鉴明

IPC: H04L9/40 ,  G06F18/2431 ,  G06F18/2137

Abstract: 本发明公开一种基于图像的分布级概念漂移检测与适应方法及系统，包括对捕获的网络流量提取流级别特征并进行独热编码，使用对比自编码器对特征进行降维得到嵌入特征向量并分别计算训练集中正常类和异常类的质心，并采用中位数绝对偏差方法将测试集样本分为正常类、漂移类和异常类；使用tsne将样本对应的嵌入特征向量降维到二维可视化特征并进行归一化处理，用于将样本数据投影在黑白图上；采用黑白图差异化的方法筛选出待检测像素点集合，基于待检测像素点集合生成人工标记样本，并使用正则化进行增量学习，提高模型的检测效果。本发明以图像对比、增量、灵活的方式持续学习网络流量的分布特点，保护目标网络系统免受恶意攻击。

公开(公告)号：CN117095243B

公开(公告)日：2024-05-07

申请号：CN202311345466.0

申请日：2023-10-18

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  杜磊 ,  张明瑞 ,  段晨芸 ,  李嘉瑞 ,  李鉴明 ,  张志强 ,  廖清 ,  夏文 ,  李诗逸

IPC: G06V10/764 ,  H04L9/40 ,  G06V10/774 ,  G06V10/80 ,  G06V10/82 ,  G06V10/70 ,  G06V10/74 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/24 ,  G06F18/25 ,  G06F18/20 ,  G06N3/045 ,  G06N3/0895 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  G06F123/02

Abstract: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法，包括：步骤一：将采集到的网络流量样本进行拆分处理，处理后的网络流量样本被转化为灰度图像表示；步骤二：将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力；步骤三：初始化基础会话分支分类器的投影层参数，用于训练初始的检测分类模型；步骤四：学习每个新会话分支分类器模块，进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是：本发明方法在不会遗忘已学习攻击类别的情况下，允许以增量、小样本、灵活的方式持续学习新攻击类别，实现保护目标网络系统免受恶意攻击。

公开(公告)号：CN117932233B

公开(公告)日：2024-07-02

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。