公开(公告)号：CN117668838A

公开(公告)日：2024-03-08

申请号：CN202311382467.2

申请日：2023-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 姜波 ,  尚梦川 ,  卢志刚 ,  崔泽林 ,  张辰 ,  刘松

IPC: G06F21/56 ,  G06F8/41 ,  G06F18/243 ,  G06N3/0442

Abstract: 本发明公开了一种多语言Webshell的检测方法，旨在解决现有技术语言检测种类单一、泛用性差、无法检测混淆编码的问题。该方法首先提取脚本文件的抽象语法树，对抽象语法树进行标准化，利用TreeLSTM对抽象语法树进行向量化，再利用分类模型根据AST特征向量检测Webshell。本发明可以有效地检测多种语言的Webshell，并且可以检测混淆编码的Webshell，具有较高的准确性和泛化性。

公开(公告)号：CN113162908A

公开(公告)日：2021-07-23

申请号：CN202110239809.X

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  汤霁月 ,  韩冬旭 ,  李宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚

IPC: H04L29/06 ,  H04L12/851 ,  H04L12/26 ,  G06N3/04 ,  G06K9/62

Abstract: 本发明提供了一种基于深度学习的加密流量检测方法及系统。主要思想为：1)将流量转换为图像处理方式提取其几何特征，按照CapsNet提取下层空间特征以及LSTM提取上层时间序列特征的方式构建Caps‑LSTM分层训练模型，以自动提取流量的时空特征；2)对原始连续流量进行流切分成离散流，离散流根据会话粒度连续切分成许多小尺寸数据包；3)将流量匿名化处理减少不必要特征的同时避免训练过程中可能产生的过拟合现象，清洗掉重复的空数据包，提高加密流量的检测能力；4)端到端的方式实现加密流量的服务类别与具体应用类别的有效分类，解决人工特征依赖问题。本发明中的加密流量检测方法具有自动学习、高效性与普适性等特点。

公开(公告)号：CN114884704B

公开(公告)日：2023-03-10

申请号：CN202210425627.6

申请日：2022-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  韩雪莹 ,  姜波 ,  董璞 ,  崔泽林 ,  刘松

IPC: H04L9/40

Abstract: 本发明涉及一种基于对合和投票的网络流量异常行为检测方法和系统。该方法包括：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。本发明使用对合结构代替卷积结构，提出了一个分类算法I‑Res，得到更具有代表性的特征；分别选取会话开始部分和结束部分的数据包并分别使用I‑Res进行判别，使用投票算法将两部分结果结合，从而得到鲁棒性更强的结果。

公开(公告)号：CN114884704A

公开(公告)日：2022-08-09

申请号：CN202210425627.6

申请日：2022-04-21

Applicant: 中国科学院信息工程研究所

Inventor： 卢志刚 ,  韩雪莹 ,  姜波 ,  董璞 ,  崔泽林 ,  刘松

IPC: H04L9/40

Abstract: 本发明涉及一种基于对合和投票的网络流量异常行为检测方法和系统。该方法包括：选择网络流量数据的会话开始部分和会话结束部分的数据包，将其分别转化为头部特征图和尾部特征图；采用基于对合结构的分类算法对头部特征图和尾部特征图中的特征分别进行分类，得到网络流量是异常行为的两组概率；通过投票算法将两组概率进行整合，得到网络流量异常行为的检测结果。本发明使用对合结构代替卷积结构，提出了一个分类算法I‑Res，得到更具有代表性的特征；分别选取会话开始部分和结束部分的数据包并分别使用I‑Res进行判别，使用投票算法将两部分结果结合，从而得到鲁棒性更强的结果。

公开(公告)号：CN113595987B

公开(公告)日：2022-06-21

申请号：CN202110750021.5

申请日：2021-07-02

Applicant: 中国科学院信息工程研究所

Inventor： 刘俊荣 ,  潘海琪 ,  卢志刚 ,  崔泽林 ,  崔苏苏 ,  姜波

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种基于基线行为刻画的通联异常发现方法及装置，包括对待测流量数据进行数据清洗及预处理，得到流量矩阵y；利用CapsNet模型构建自编码器，并基于所述自编码器，获取流量矩阵y的重构流量矩阵根据流量矩阵y与重构流量矩阵得到通联异常发现结果。本发明可以从输入数据中自动提取特征，可将流量特征之间的特定位置以及数据之间的排列顺序作为学习的特征，且向量的方向可以表示特征值的大小、相对位置等属性，既能识别正常行为并且对已知的异常行为进行检测，又能发现新型未知的网络攻击。

公开(公告)号：CN113595987A

公开(公告)日：2021-11-02

申请号：CN202110750021.5

申请日：2021-07-02

Applicant: 中国科学院信息工程研究所

Inventor： 刘俊荣 ,  潘海琪 ,  卢志刚 ,  崔泽林 ,  崔苏苏 ,  姜波

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开一种基于基线行为刻画的通联异常发现方法及装置，包括对待测流量数据进行数据清洗及预处理，得到流量矩阵y；利用CapsNet模型构建自编码器，并基于所述自编码器，获取流量矩阵y的重构流量矩阵根据流量矩阵y与重构流量矩阵得到通联异常发现结果。本发明可以从输入数据中自动提取特征，可将流量特征之间的特定位置以及数据之间的排列顺序作为学习的特征，且向量的方向可以表示特征值的大小、相对位置等属性，既能识别正常行为并且对已知的异常行为进行检测，又能发现新型未知的网络攻击。

公开(公告)号：CN110417729B

公开(公告)日：2020-10-27

申请号：CN201910504060.X

申请日：2019-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 崔苏苏 ,  卢志刚 ,  姜波 ,  徐健锋 ,  刘松 ,  崔泽林

IPC: H04L29/06 ,  H04L12/851 ,  H04L12/24 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明公开了一种加密流量的服务与应用分类方法及系统。本方法为：1)按照会话粒度将待处理的连续流量切分为多个会话流量；2)对处理后的各会话流量按照数据包粒度进行切分，将每一会话流量切分为多个流量组，每一流量组中的数据包个数不超过设定的最大值；3)将各流量组的大小进行统一，然后将每一流量组转换为一流量矩阵，并将流量矩阵及其标签封装为IDX流量文件；4)用上述IDX流量文件训练CapsNet模型，得到具有自动特征选择能力的识别模型；5)对于一待识别加密流量，对其进行划分并转换为流量矩阵然后输入到该识别模型，得到该待识别流量所属的服务类型和应用类别。本发明可对加密流量进行有效分类。

公开(公告)号：CN110417729A

公开(公告)日：2019-11-05

申请号：CN201910504060.X

申请日：2019-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 崔苏苏 ,  卢志刚 ,  姜波 ,  徐健锋 ,  刘松 ,  崔泽林

IPC: H04L29/06 ,  H04L12/851 ,  H04L12/24 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明公开了一种加密流量的服务与应用分类方法及系统。本方法为：1)按照会话粒度将待处理的连续流量切分为多个会话流量；2)对处理后的各会话流量按照数据包粒度进行切分，将每一会话流量切分为多个流量组，每一流量组中的数据包个数不超过设定的最大值；3)将各流量组的大小进行统一，然后将每一流量组转换为一流量矩阵，并将流量矩阵及其标签封装为IDX流量文件；4)用上述IDX流量文件训练CapsNet模型，得到具有自动特征选择能力的识别模型；5)对于一待识别加密流量，对其进行划分并转换为流量矩阵然后输入到该识别模型，得到该待识别流量所属的服务类型和应用类别。本发明可对加密流量进行有效分类。

公开(公告)号：CN119341988A

公开(公告)日：2025-01-21

申请号：CN202411325203.8

申请日：2024-09-23

Applicant: 中国科学院信息工程研究所

Inventor： 安宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚 ,  姜波

IPC: H04L47/12 ,  H04L47/2416 ,  H04L45/12 ,  H04L45/00 ,  H04L45/247

Abstract: 本发明公开了一种协同调度方法，其步骤包括：1)在目标网络中部署一中央节点控制器，在目标网络中每一节点上部署协同调度器；2)中央节点控制器定期向每一节点发送监测请求；协同调度器将所在节点的状态信息和链路负载情况上报给中央节点控制器；3)中央节点控制器根据状态信息与链路负载数据构建全局资源视图，并将其推送给每一节点；4)源节点上的协同调度器根据数据流的目IP地址以及目标网络的全局路由链路表、网络拓扑结构，计算出多条候选路径并将其发送给中央节点控制器；5)中央节点控制器计算每一候选路径的综合评分结果，选择出最优路径发送给所述源节点进行数据传输。本发明大大提高了网络通信的效率和可靠性。

公开(公告)号：CN113162908B

公开(公告)日：2022-11-15

申请号：CN202110239809.X

申请日：2021-03-04

Applicant: 中国科学院信息工程研究所

Inventor： 刘玉岭 ,  汤霁月 ,  韩冬旭 ,  李宁 ,  崔泽林 ,  刘俊荣 ,  卢志刚

IPC: H04L9/40 ,  H04L47/2441 ,  H04L43/0876 ,  G06N3/04 ,  G06V10/764 ,  G06V10/82

Abstract: 本发明提供了一种基于深度学习的加密流量检测方法及系统。主要思想为：1)将流量转换为图像处理方式提取其几何特征，按照CapsNet提取下层空间特征以及LSTM提取上层时间序列特征的方式构建Caps‑LSTM分层训练模型，以自动提取流量的时空特征；2)对原始连续流量进行流切分成离散流，离散流根据会话粒度连续切分成许多小尺寸数据包；3)将流量匿名化处理减少不必要特征的同时避免训练过程中可能产生的过拟合现象，清洗掉重复的空数据包，提高加密流量的检测能力；4)端到端的方式实现加密流量的服务类别与具体应用类别的有效分类，解决人工特征依赖问题。本发明中的加密流量检测方法具有自动学习、高效性与普适性等特点。