公开(公告)号：CN115913721A

公开(公告)日：2023-04-04

申请号：CN202211457073.4

申请日：2022-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  成振语 ,  谢江

IPC: H04L9/40

Abstract: 本发明涉及一种基于分层时空特征的HTTP恶意通联流量检测方法及系统，其方法包括：S1：对流量数据进行预处理，获取报文、请求流和响应流；构建报文灰度图、报文级和流级统计特征向量；S2：对灰度图进行归一化；将报文级和流级统计特征向量分别经编码器得到报文级和流级编码特征向量；S3：将归一化的灰度图经CNN网络得到报文级特征向量；将多个报文级特征向量按时序组成报文级特征向量序列，与报文级编码特征向量结合后输入LSTM，得到时序特征向量，将时序特征向量和流级编码特征向量进行拼接，得到输出特征向量，再对输出特征向量进行降维后计算分别属于恶意通联行为和良性的概率。本发明提供的方法可自动进行数据报文异常检测，具有较高检测防护率。

公开(公告)号：CN111405562B

公开(公告)日：2021-05-28

申请号：CN202010164721.1

申请日：2020-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  李书豪 ,  周文涛 ,  成振语

IPC: H04W12/121 ,  H04W12/122

Abstract: 本发明涉及一种基于通信行为规律的移动恶意用户识别方法及系统，步骤为：在脱敏移动通信流数据中基于非均匀采样方法采集数据，并执行预处理操作；基于预处理后的移动通信采样数据，利用移动通信行为分析模型中的行为模式分析提取用户的通话行为特征、短信行为特征和时间分布特征；基于预处理后的移动通信采样数据，利用移动通信行为分析模型中的通信网络分析提取用户的社交属性特征；基于提取的用户行为模式特征和提取的用户社交属性特征，构建移动恶意用户识别模型；本发明能够基于脱敏数据对用户的行为规律进行分析，识别用户是否为移动恶意用户，具有良好的时效性，并且在不涉及用户个人隐私的情况下，能够以高准确度识别移动恶意用户。

公开(公告)号：CN111405562A

公开(公告)日：2020-07-10

申请号：CN202010164721.1

申请日：2020-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 云晓春 ,  张永铮 ,  李书豪 ,  周文涛 ,  成振语

IPC: H04W12/12

Abstract: 本发明涉及一种基于通信行为规律的移动恶意用户识别方法及系统，步骤为：在脱敏移动通信流数据中基于非均匀采样方法采集数据，并执行预处理操作；基于预处理后的移动通信采样数据，利用移动通信行为分析模型中的行为模式分析提取用户的通话行为特征、短信行为特征和时间分布特征；基于预处理后的移动通信采样数据，利用移动通信行为分析模型中的通信网络分析提取用户的社交属性特征；基于提取的用户行为模式特征和提取的用户社交属性特征，构建移动恶意用户识别模型；本发明能够基于脱敏数据对用户的行为规律进行分析，识别用户是否为移动恶意用户，具有良好的时效性，并且在不涉及用户个人隐私的情况下，能够以高准确度识别移动恶意用户。

公开(公告)号：CN116015788A

公开(公告)日：2023-04-25

申请号：CN202211606900.1

申请日：2022-12-13

Applicant: 中国科学院信息工程研究所

Inventor： 成振语 ,  桑亚飞 ,  孙裴帅

IPC: H04L9/40 ,  G06N3/0475 ,  G06N3/094

Abstract: 本发明涉及一种基于主动探测的恶意流量防护方法及系统，其方法包括：S1：攻击者输入原始流量样本到恶意流量防护模型，在黑盒攻击场景下攻击恶意流量防护模型，输出原始流量样本的标签；S2：构建替代模型，包括：生成器G和鉴别器D；提取原始流量样本的时间序列和长度序列构建具有时空特征流量样本，输入鉴别器D，输出原始流量样本的类别：恶意或良性；S3：对替代模型进行训练，使得生成器G生成对抗样本，鉴别器D识别对抗样本是恶意还是良性；S4：将对抗样本输入恶意流量防护模型，如果输出对抗样本的类别不正确，则重复执行步骤S2～S4，直到防护模型无法识别生成的对抗样本。本发明提供的方法可有效检测恶意行为，提高防护模型的鲁棒性。

公开(公告)号：CN115987599A

公开(公告)日：2023-04-18

申请号：CN202211624392.X

申请日：2022-12-16

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  麻景润 ,  成振语 ,  赵树园

IPC: H04L9/40 ,  G06F18/2415 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/047

Abstract: 本发明涉及一种基于多层次注意力机制的恶意加密流量检测方法及系统，其方法包括：S1：对待检测的网络流量进行预处理，得到具有相同报文数量以及报文负载大小的流集合；S2：将报文负载以不同n值按照多个尺度对其进行字节级的n‑gram划分，得到L个n‑gram序列；计算n‑gram序列里每个gram元素的权重，加权求和得到Gram级注意力特征向量ui；计算每个ui的权重，加权求和后得到Scale级注意力特征向量si；S3：将si输入Bi‑LSTM提取特征，得到报文特征向量ti，计算每个ti的权重，加权求和后得到流级特征向量v；S4：将v经过全连接层以及Softmax计算后，得到流属于每一类别的概率。本发明提供的方法利用多层次注意力从多个尺度学习报文负载的特征，自动进行报文负载异常检测。

公开(公告)号：CN115941168A

公开(公告)日：2023-04-07

申请号：CN202211413147.4

申请日：2022-11-11

Applicant: 中国科学院信息工程研究所

Inventor： 田长波 ,  桑亚飞 ,  成振语 ,  南哲峰

IPC: H04L9/08 ,  H04L9/40

Abstract: 本发明涉及一种防窃听数据传输方法及系统，其方法包括：每个用户作为发送方和接收方，将待发送消息分成不同的消息分组并加密后，并将每个消息分组发送到入口服务器，由入口服务器分发消息分组至交换服务器，在交换服务器进行消息分组的交换和计算后发回相应的入口服务器，并由入口服务器分发回相应的用户。本发明提供的方法具有较强的防窃听性能和较高的通信效率，此外，交换服务器还提供离线消息存储服务，使通信更加简单和灵活。