公开(公告)号：CN111131069A

公开(公告)日：2020-05-08

申请号：CN201911164936.7

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  薛静锋 ,  肖恩 ,  赵小林 ,  单纯 ,  郭宇

IPC: H04L12/851 ,  H04L12/26 ,  G06N3/04 ,  G06N3/08 ,  G06K9/62 ,  H04L29/06

Abstract: 本发明提出了一种基于深度学习策略的异常加密流量检测与分类方法，既能对使用公有加密协议的已知类型异常加密流量进行在线快速识别，又能对使用私有加密协议的未知类型异常加密流量进行检测与分类。该方法利用相邻做差法对原始数据进行特征加强，利用加强后的数据集中带有协议标签的数据训练1dCNN(一维卷积神经网络)模型来对已知类型异常加密流量进行检测与分类，利用k-means算法(k-均值算法)对加强后的数据集中没有协议标签的未知类型异常加密流量进行分类。

公开(公告)号：CN111131069B

公开(公告)日：2021-06-08

申请号：CN201911164936.7

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  薛静锋 ,  肖恩 ,  赵小林 ,  单纯 ,  郭宇

IPC: H04L12/851 ,  H04L12/26 ,  G06N3/04 ,  G06N3/08 ,  G06K9/62 ,  H04L29/06

Abstract: 本发明提出了一种基于深度学习策略的异常加密流量检测与分类方法，既能对使用公有加密协议的已知类型异常加密流量进行在线快速识别，又能对使用私有加密协议的未知类型异常加密流量进行检测与分类。该方法利用相邻做差法对原始数据进行特征加强，利用加强后的数据集中带有协议标签的数据训练1dCNN(一维卷积神经网络)模型来对已知类型异常加密流量进行检测与分类，利用k‑means算法(k‑均值算法)对加强后的数据集中没有协议标签的未知类型异常加密流量进行分类。

公开(公告)号：CN107832611B

公开(公告)日：2020-12-08

申请号：CN201710987829.9

申请日：2017-10-21

Applicant: 北京理工大学

Inventor： 薛静锋 ,  张继 ,  郭宇 ,  单纯 ,  刘康

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种动静态特征结合的僵尸程序检测与分类方法，基于静态特征信息，进行僵尸程序检测；检测过程中的特征选择采用了采用改进的TF‑IDF算法，改进的TF‑IDF算法是在TF‑IDF算法计算TF‑IDF权重时加入类区分度因子GF，用于表征特征项在某一类别中的出现程度与在其他所有类别中出现程度的比例；运行检测的僵尸程序，提取僵尸程序运行的API序列和网路流量信息，处理获得僵尸程序家族分类特征；基于僵尸程序家族分类特征，对僵尸程序进行分类。本发明能够自动进行分类，降低耗时，提高分类效率。

公开(公告)号：CN107832611A

公开(公告)日：2018-03-23

申请号：CN201710987829.9

申请日：2017-10-21

Applicant: 北京理工大学

Inventor： 薛静锋 ,  张继 ,  郭宇 ,  单纯 ,  刘康

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种动静态特征结合的僵尸程序检测与分类方法，基于静态特征信息，进行僵尸程序检测；检测过程中的特征选择采用了采用改进的TF-IDF算法，改进的TF-IDF算法是在TF-IDF算法计算TF-IDF权重时加入类区分度因子GF，用于表征特征项在某一类别中的出现程度与在其他所有类别中出现程度的比例；运行检测的僵尸程序，提取僵尸程序运行的API序列和网路流量信息，处理获得僵尸程序家族分类特征；基于僵尸程序家族分类特征，对僵尸程序进行分类。本发明能够自动进行分类，降低耗时，提高分类效率。