公开(公告)号：CN117633560B

公开(公告)日：2024-04-09

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN117633560A

公开(公告)日：2024-03-01

申请号：CN202410102692.4

申请日：2024-01-25

Applicant: 东南大学 ,  国家计算机网络与信息安全管理中心江苏分中心

Inventor： 蔡冰 ,  程光 ,  吴琳 ,  罗雅琼 ,  仇星 ,  柯家龙 ,  袁艺

IPC: G06F18/23 ,  G06F18/24 ,  H04L9/40

Abstract: 本发明属于网络空间安全以及数据安全技术领域，涉及一种基于引力模型的网络异常数据传输行为聚类识别方法，包括步骤1，获取网络传输行为特征向量样本集，进行行为类别标注；步骤2，计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力，获得最大引力值；步骤3，若最大引力值超过引力捕获阈值，将未标注行为类别的网络传输行为特征向量标注为对应的行为类别，加入至对应的行为类别特征向量集合；步骤4，执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下，判断网络传输行为是否存在异常，从而完成对加密流量的恶意行为识别和发现。

公开(公告)号：CN119094215A

公开(公告)日：2024-12-06

申请号：CN202411280049.7

申请日：2024-09-12

Applicant: 东南大学

Inventor： 程光 ,  李胥蝰 ,  仇星

IPC: H04L9/40 ,  H04L41/16

Abstract: 本发明提出了一种基于高性能流量采集的加密流量异常检测方法，具体如下：1)基于DPDK的高性能流量采集实现高速流量的捕获与采集，同时以流为单位提取流量特征并持久化到流量数据库中；2)基于加密流量的业务分类提出自动化在线加密流量采集与样本构建、业务分类模型构建的两阶段技术实现针对加密流量的特定业务分类；3)提出设备级流量画像的构建实现流量信息预测结果的时空粒度划分，并依据真实网络环境下的设备级流量提出多种异常情况和相应评判策略，构建流量异常检测模型，实现及时对异常情况进行预警。本发明实现流量采集——业务分类——异常检测全流程的支持服务，及时应对各个服务设备的流量行为异常，保障网络与信息系统运行的有效性和可靠性。

公开(公告)号：CN119357768A

公开(公告)日：2025-01-24

申请号：CN202411377427.3

申请日：2024-09-30

Applicant: 东南大学

Inventor： 程光 ,  仇星 ,  朱唯周 ,  唐亚东

IPC: G06F18/241 ,  H04L9/40 ,  G06F18/214 ,  G06F18/25 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明提出了一种基于图结构和双通道序列特征混合的加密流量分类方法，具体步骤如下：1)基于加密流量的通信过程，构建流内消息级的报文间交互图结构，在图结构中设计三种异构的典型边连接方式(同向连续报文、流量方向改变报文、二阶同向报文)，以多维度表征客户端‑服务器的通信全局模式；2)基于双通道模态编码器结构，使用Transformer网络并行编码加密流量报文的长度和时间间隔序列，并对以上两种并行特征进行融合，生成节点特征Node Features；3)基于消息感知的图Transformer架构，混合节点信息嵌入层，并结合基于边的空间关系信息设计注意力Attention机制，全局捕捉图输入形式的加密流量空间结构信息，从而以高精度完成多种公开和非公开数据集下的加密流量分类任务。

公开(公告)号：CN119210832A

公开(公告)日：2024-12-27

申请号：CN202411310191.1

申请日：2024-09-19

Applicant: 东南大学

Inventor： 程光 ,  仇星 ,  朱唯周 ,  李胥蝰

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/045

Abstract: 本发明提出了一种基于流量序列行为特征的移动端加密应用分类方法，具体步骤如下：1)基于移动端UI控件实现对各种加密协议下加密流量的捕获与采集，同时进行组流，构建各协议下的报文长度序列样本；2)基于客户端‑服务器的流量传输机制，针对TCP和QUIC协议，构建同向连续MSS长度的报文长度序列特征，表征流量的行为间关联模式，使用MCFormer模型分类两种协议下的不同应用加密流量，从而实现准确的移动端场景加密TCP和QUIC流量应用分类任务；3)面向TLS协议的报文拼接特性，提出在报文时间间隔相近的区间内，累加连续的TLS报文长度，构建TLS的报文长度序列特征；使用MCFormer模型分类TLS协议下的不同应用加密流量，从而实现准确的移动端场景加密TLS流量应用分类任务。