公开(公告)号：CN116383716A

公开(公告)日：2023-07-04

申请号：CN202310269511.2

申请日：2023-03-20

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 鲁睿 ,  宋嘉莹 ,  时磊 ,  李镇 ,  孙旷怡 ,  徐安林 ,  王东安 ,  夏耀华 ,  王红兵 ,  李鹏霄 ,  项菲 ,  吕东

IPC: G06F18/241 ,  G06F18/213 ,  H04L9/40 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明涉及一种增加自注意力机制和加性角度最大化间隔层的加密流量网络行为识别方法和系统。该方法包括：对加密应用网络行为产生的流量进行预处理和嵌入表示；利用自注意力机制增强流量的嵌入表示的语义；构建加密应用行为流量识别模型，基于自注意力机制得到的结果，利用该模型提取流量的深度特征；在加密应用行为流量识别模型中设置加性角度最大化间隔层，用以最大化不同类别流量特征之间的间隔，增加不同类别向量之间的区分性；通过加密应用行为流量识别模型进行加密流量网络行为的识别。本发明能够解决现有技术在识别加密流量网络行为时未能有效表示流量特征并最大化不同网络行为产生流量特征向量之间的距离，从而导致误分率高的问题。

公开(公告)号：CN116401479A

公开(公告)日：2023-07-07

申请号：CN202310269520.1

申请日：2023-03-20

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 鲁睿 ,  宋嘉莹 ,  时磊 ,  王炳旭 ,  段荣昌 ,  秦颖超 ,  王红兵 ,  夏耀华 ,  佟玲玲 ,  王东安 ,  马宏远

IPC: G06F16/955 ,  H04L9/40 ,  G06F16/958 ,  G06F18/214 ,  G06F18/24 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明涉及一种基于加密流量双向突发序列的网站内容行为识别方法和系统。该方法包括以下步骤：获取加密网站的行为流量数据；将行为流量数据预处理为双向突发序列；建立网站内容行为识别模型，以双向突发序列为输入对网站内容行为识别模型进行训练；利用训练完成的网站内容行为识别模型进行加密网站的网站内容行为识别。本发明选择双向突发序列作为输入，可以更好地捕获网站内容行为之间的差异；采用卷积神经网络构建流量表示模型，实现了自动地流量表示与特征提取，避免了人工特征提取和选择，最终达到准确识别加密网站内容行为流量的目的。

公开(公告)号：CN111224940B

公开(公告)日：2021-03-09

申请号：CN201911119871.4

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 夏葳 ,  扶佩佩 ,  管中 ,  徐安林 ,  宋嘉莹 ,  丁嘉宁

IPC: H04L29/06

Abstract: 本发明提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，属于网络测量与行为分析领域，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

公开(公告)号：CN110708341A

公开(公告)日：2020-01-17

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。

公开(公告)号：CN111224940A

公开(公告)日：2020-06-02

申请号：CN201911119871.4

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 夏葳 ,  扶佩佩 ,  管中 ,  徐安林 ,  宋嘉莹 ,  丁嘉宁

IPC: H04L29/06

Abstract: 本发明提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，属于网络测量与行为分析领域，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

公开(公告)号：CN119600643A

公开(公告)日：2025-03-11

申请号：CN202411474911.8

申请日：2024-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 于静 ,  熊刚 ,  屈详颜 ,  李镇 ,  苟高鹏 ,  扶佩佩 ,  管洋洋 ,  宋嘉莹

IPC: G06V40/10 ,  G06V10/764 ,  G06V10/42 ,  G06V10/44 ,  G06V10/82 ,  G06F40/16 ,  G06F40/30 ,  G06N3/045

Abstract: 本发明公开了一种零样本图像分类方法及装置，属于图像识别领域。本发明通过大型语言模型生成类别描述文档，通过视觉编码器和文本编码器获取图像和文档的全局和局部特征信息，然后通过视觉语义分解模块和文本语义分解模块进行解耦，生成视觉语义嵌入和文本语义嵌入；通过上述模块的联合训练，并优化由局部到语义映射方差损失、多语义多样性损失、分解语义对齐损失和局部语义对齐损失组成的总损失；训练完成后用于推理阶段的图像类别预测。本发明可以降低零样本图像分类的难度，提高分类准确率和效率。

公开(公告)号：CN110708341B

公开(公告)日：2020-09-29

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。

公开(公告)号：CN110868409A

公开(公告)日：2020-03-06

申请号：CN201911086474.1

申请日：2019-11-08

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  熊刚 ,  范鑫磊 ,  苟高鹏 ,  李镇 ,  宋嘉莹 ,  刘梦严

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明提供了一种基于TCP/IP协议栈指纹的操作系统被动识别方法及系统，在不需要对网络加密流量解密的前提下，利用IP协议、TCP协议以及TLS协议的头部字段信息和网络流包长和包传输时间序列的统计信息，识别客户端的操作系统类型以及主要版本信息，进而评估目标网络中各主机的网络安全漏洞风险，推断互联网中NAT设备的存在数量。本发明借鉴流量分类领域中的已有成果，在特征集中引入网络流的统计信息特征，增强不同操作系统流量之间的区分性；并首次将LightGBM模型作为完成识别任务的机器学习模型，利用该模型支持类别特征输入的特性，解决了多维度类别特征one-hot编码后导致的特征维度爆炸问题。