公开(公告)号：CN116506683A

公开(公告)日：2023-07-28

申请号：CN202310593338.1

申请日：2023-05-24

Applicant: 东南大学

Inventor： 吴桦 ,  陆安婷 ,  程光

IPC: H04N21/44 ,  H04N21/234 ,  G06N3/0464

Abstract: 本发明公开了一种主干网中实时识别VPN视频流平台的方法，首先根据VPN视频流的流量模式具有阶段性和周期性的特点，提取数据包大小和数据包到达时间特征，并将它们构建成一维聚合特征序列。这些特征序列的构建仅依赖单向流量数据，从而适用于广泛存在的非对称路由场景。其次，将公开主干网高速流量和VPN视频流量进行混合，并通过VPN视频流占比不超过5％来模拟现实的网络环境，更具实用性。最后，根据特征序列的特点构建一个轻量级的1D‑CNN模型，并将从主干网流量和VPN视频流流量中提取到的特征序列送入模型中进行监督训练，得到能够准确识别流量类型的1D‑CNN模型。该方法可以实现对海量高速流量中VPN视频流平台的实时识别，为促进网络流量管理提供依据。

公开(公告)号：CN116418565A

公开(公告)日：2023-07-11

申请号：CN202310246077.6

申请日：2023-03-14

Applicant: 东南大学

Inventor： 胡晓艳 ,  栗淼 ,  程光 ,  吴桦

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/084 ,  G06F18/24 ,  G06F18/25

Abstract: 本发明提出了一种基于属性异构图神经网络的域名检测方法，分为四个部分，第一部分为数据集构建，基于DNS流量报文找出有用信息，同时结合域名黑白名单构建可用数据集；第二部分为异构信息网络的构建，利用DNS流量信息刻画出节点连接而成的信息网络，其中蕴含着关联级别特征；第三部分为网络节点初始属性设定，给节点注入高区分度的个体级特征；第四部分为异构图节点分类，具体内容为依据邻居关系进行节点采样和特征聚合，得到域名嵌入向量表示并分类识别。本发明相比于现有研究能够在域名回顾性检测场景中实现对恶意域的更精准的分类，准确率达到98.67％，便于网络管理者对恶意域流量进行精细化分类与监管。

公开(公告)号：CN116405419A

公开(公告)日：2023-07-07

申请号：CN202310395191.5

申请日：2023-04-13

Applicant: 东南大学

Inventor： 胡晓艳 ,  周霞 ,  程光 ,  吴桦

IPC: H04L43/18 ,  H04L9/40 ,  H04L41/16 ,  G06F18/214 ,  G06F18/241 ,  G06F18/2431

Abstract: 本发明提供了一种基于小样本学习的未知网络协议分类方法，具体步骤包括：第一部分采集纯净的单协议原始网络流量，分流处理后将每个流在通信最初阶段的部分数据包报头和少部分的载荷可视化处理成RGB图像，构建纯净的可视化协议流量数据集。第二部分构建小样本协议模型在元训练和元测试阶段的“N‑way K‑shot”的分类问题所需的任务集。第三部分将任务集输入神经网络，通过元训练获得具有协议流量分类先验知识的元学习模型，在元测试阶段通过少量未知协议构成的新任务微调模型，得到适用于未知协议的分类模型。第四部分为未知协议识别，将待测流量预处理生成图像后输入到小样本未知协议识别模型并输出最终的预测结果。

公开(公告)号：CN116192765A

公开(公告)日：2023-05-30

申请号：CN202310245479.4

申请日：2023-03-14

Applicant: 东南大学

Inventor： 胡晓艳 ,  施语欣 ,  程光 ,  吴桦

IPC: H04L47/2483 ,  G06N3/0464 ,  H04L47/2441 ,  H04L9/40

Abstract: 本发明提出了一种基于注意力机制的物联网设备流量早期识别方法，分为四个部分，第一部分为对物联网流量的数据预处理和特征处理；第二部分为构建多特征时序样本集，具体内容为基于窗口，构建多特征时序样本；第三部分为构建物联网设备早期识别模型，具体为通过通道注意力和空间注意力模块，在保留所有维度信息的基础上重新学习输入样本不同通道以及不同位置的权重；第四部分为模型训练与物联网设备流量分类，具体内容为使用训练样本训练模型，使用该模型对测试样本分类，根据模型对比结果确定最终分类模型。本发明能够实现对物联网设备流量的早期准确分类，仅使用75个分组精确率可达99.2％。便于网络管理者对物联网流量进行及时的分类与监管。

公开(公告)号：CN115982915A

公开(公告)日：2023-04-18

申请号：CN202310137087.6

申请日：2023-02-20

Applicant: 东南大学

Inventor： 吴桦 ,  刘嵩涛 ,  程光

IPC: G06F30/18 ,  G06F30/20 ,  G06F17/18 ,  G06F119/02

Abstract: 本发明涉及一种面向复杂网络环境的细粒度网页识别方法，首先将网页访问流量按五元组切流，并利用数据包中包含的SNI信息将切流后的流量分组；然后将特定分组中的数据包重组为TLS分片，并提取长度信息。在对同一网页的多次访问过程中，能代表网页特征的ADU会被重复请求，通过统计TLS分片长度信息中的频繁项，构造表征网页的特征向量，这些特征向量被视作网页指纹。本发明利用聚类修正特征向量的数值波动，并设计词袋模型修正特征向量的顺序波动，最终，将修正后的特征向量输入机器学习模型进行训练，得到能精准识别网页的分类器。该方法能够在复杂网络环境下得到稳定的细粒度网页指纹，用于对公害网页访问行为的精准识别。

公开(公告)号：CN115766212A

公开(公告)日：2023-03-07

申请号：CN202211422976.9

申请日：2022-11-14

Applicant: 东南大学

Inventor： 吴桦 ,  刘世越 ,  程光

IPC: H04L9/40 ,  G06F40/216 ,  G06F16/955

Abstract: 本发明公开了一种基于URL多角度特征的钓鱼网站检测方法，属于信息安全技术领域。所述方法首先捕获网页对应的实际URL作为待测URL，然后对待测URL分解获得各组件信息；之后对URL及组件进行预处理，包括使用文本分解算法获得token和分词列表，使用文本可读性检测算法计算token可读性权值；从完整URL、各组件以及预处理结果提取成分特征和语言特征作为待测URL的特征；最后将URL特征输入训练好的机器学习分类器进行合法性判断。与基于列表的方法相比，所述方法可以检测没有出现过的URL；与基于视觉相似性和内容的方法相比，所述方法无需等待页面加载，具有较高实时性；与基于URL的同类方法相比，所述方法占用资源较少，特征丰富，泛化能力更强。

公开(公告)号：CN115499179A

公开(公告)日：2022-12-20

申请号：CN202211075132.1

申请日：2022-09-03

Applicant: 东南大学

Inventor： 吴桦 ,  江初晴 ,  程光

IPC: H04L9/40

Abstract: 本发明公开了一种面向主干网中DoH隧道流量的检测方法，包括以下步骤：通过部署自建DoH隐蔽隧道采集含DoH隧道流量的数据集，对含DoH隧道流量的数据集进行数据预处理，过滤出纯净的DoH隧道流量，并提取DoH隧道流量数据的单向统计特征，构建DoH隧道流量数据集；对主干网流量进行数据预处理，并提取数据的单向统计特征，构建良性背景流量数据集；再将处理后的良性背景流量数据集与DoH隧道流量数据集混合并打上标签，构建具有完整标签的训练集；使用有监督机器学习算法训练用于DoH隧道流量检测分类模型；使用测试集对模型检测模块性能进行测试。本发明只提取流的单向统计特征，适用于广泛配置了非对称路由的主干网场景。

公开(公告)号：CN111865823B

公开(公告)日：2022-11-01

申请号：CN202010584367.8

申请日：2020-06-24

Applicant: 东南大学

Inventor： 胡晓艳 ,  童钟奇 ,  程光 ,  吴桦 ,  许昱伟 ,  张玉健

IPC: H04L47/2483 ,  H04L47/2441

Abstract: 本发明公开了一种轻量化以太坊加密流量识别方法，首先，设置活跃节点库记录以太坊活跃节点信息，由以太坊核心节点库初始化活跃节点库，并由流量识别结果动态更新活跃节点库；然后，对活跃节点库中有记录的节点，由端口号、报文大小、报文到达顺序识别是否为以太坊UDP流量，由以太坊加密握手、标识报文统计结果识别是否为以太坊TCP流量。本发明能够充分的利用以太坊加密流量的特征，准确的识别以太坊加密流量，为以太坊的网络监管打下坚实基础。

公开(公告)号：CN115242724A

公开(公告)日：2022-10-25

申请号：CN202210867993.7

申请日：2022-07-21

Applicant: 东南大学

Inventor： 吴桦 ,  隋玉平 ,  程光

IPC: H04L47/2441 ,  H04L43/022 ,  H04L43/0876

Abstract: 本发明公开了一种基于两阶段聚类的高速网络流量服务分类方法，首先获取主干网的一段时间内的数据，对该数据进行抽样后，再根据数据包的大小分布进行特征提取，然后采用两阶段聚类方法对流量样本进行聚类，第一阶段使用凝聚聚类算法对全部的特征向量进行聚类，根据聚类结果构建类别分布矩阵选出需要第二次聚类的特征向量，第二阶段对类别分布矩阵选出的特征向量进行第二次凝聚聚类，然后合并全部的流量样本，确定每个簇的服务标签，构建具有服务标签的训练集，最后，利用机器学习算法对有服务标签的训练集进行训练，得到服务分类模型。本发明能够快速实现对高速网络流量的服务类型进行识别，可被网络管理者用于保证网络服务质量和进行带宽资源分配。

公开(公告)号：CN115189936A

公开(公告)日：2022-10-14

申请号：CN202210796254.3

申请日：2022-07-07

Applicant: 东南大学

Inventor： 许昱玮 ,  黄信旭 ,  杨华斌 ,  汪磊 ,  胡晓艳 ,  程光

IPC: H04L9/40

Abstract: 本发明设计了一种基于特征选择的Tor隐藏服务流量识别方法。该方法通过构建基于云服务器的隐藏服务流量采集系统来完成Tor版本3隐藏服务流量采集与数据预处理，通过设计一种特征选择算法来为不同识别模型构建最优特征子集。隐藏服务流量采集与数据预处理主要包括构建基于云服务器的流量采集系统、Tor隐藏服务流量采集、Tor隐藏服务流量数据预处理。特征选择算法以mRMR算法为基础通过改善相关冗余的估计误差与减少无关冗余的负面影响来为不同的识别模型构建最优特征子集，从而在保证识别准确率与误报率的前提下降低识别模型的实际部署开销。