公开(公告)号：CN116389048B

公开(公告)日：2025-04-18

申请号：CN202310137086.1

申请日：2023-02-20

Applicant: 东南大学

Inventor： 吴桦 ,  陈锦锋 ,  程光

IPC: H04L9/40

Abstract: 本发明公开了一种面向主干网中慢速HTTP拒绝服务攻击(Slow HTTP DoS，SHD)的检测方法，通过本发明提出的方法可以完成对三种不同类型的SHD攻击的检测。本发明中的检测方法分为离线训练阶段和在线检测阶段，离线训练阶段中，根据不同SHD类型的攻击特点，提取若干种具有代表性的单向流量特征数据并构建对应特征组别，这些特征均可以有效应对主干网节点存在大量单向流量的情况；对公开主干网流量数据集进行系统抽样并结合Count‑min Sketch技术存储数据，这很大程度上改善了主干网需要大计算量与高存储空间的问题；最终，使用特定的机器学习方法进行训练，得到攻击检测模型。本发明可以用于主干网等海量流量场景下的SHD攻击行为检测与预警，为维护网络的安全状况提供依据。

公开(公告)号：CN114115068B

公开(公告)日：2025-03-28

申请号：CN202111471268.X

申请日：2021-12-03

Applicant: 东南大学

Inventor： 程光 ,  赵玉宇 ,  刘纯香 ,  吴桦

IPC: H04L9/40

Abstract: 本发明公开了一种内生安全交换机的异构冗余防御策略下发方法，该方法通过对多种网络攻击在数据平面的表现形式分析和建模，针对每一种网络攻击都生成一套多手段的异构防御方法策略集合，实现策略弹性，最后利用MRV知识库和边界资源智能投票选择策略，完成拟态条件下的策略使能。本发明拟对6种网络攻击：VLAN跳跃攻击、生成树攻击、MAC表洪水攻击、ARP欺骗攻击、UDP洪泛攻击、MAC欺骗攻击进行主动防御，根据当前受到攻击的网络状态严重性，引入分级防御机制，分别实施清洗，隔离，资产迁移和系统跳变四种防御策略的集合方法。

公开(公告)号：CN119484036A

公开(公告)日：2025-02-18

申请号：CN202411491458.1

申请日：2024-10-24

Applicant: 东南大学

Inventor： 胡晓艳 ,  张晨星 ,  孟阳 ,  程光 ,  吴桦

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/08 ,  H04L67/12

Abstract: 本发明提出了一种结合域名和DNS流量特征的物联网早期恶意流量检测方法，分为四个部分，第一部分为流量抓取和过滤；第二部分为DNS流量信息提取，第三部分为检测模型的训练，第四部分为物联网恶意流量检测，具体内容为提取物联网DNS域名及查询信息等流量特征后，分别利用具有多头注意力机制的长短期记忆模型学习DNS域名特征、利用卷积神经网络提取DNS流量特征，在恶意流量发生早期进行检测。本发明提出的方法能够快速、高效地在早期检测出物联网恶意流量，识别准确率达到了98％，并且模型训练时间和检测时间短。在早期恶意流量检测的方法便于网络管理者快速响应和保护物联网设备。

公开(公告)号：CN115065983B

公开(公告)日：2024-12-03

申请号：CN202210623575.3

申请日：2022-06-02

Applicant: 东南大学

Inventor： 吴桦 ,  王瑞 ,  程光

IPC: H04W24/02 ,  G06F18/214 ,  G06N20/00 ,  G06N20/10

Abstract: 本发明公开了一种基于服务分析的高耦合移动应用识别方法。在模型训练阶段，该方法首先捕获移动应用从启动开始运行几十秒的网络流量数据，并为网络流量数据打上标签；然后设置时间长度t，提取t秒网络流量数据中移动应用访问的服务信息作为属性，形成属性空间；接着，根据属性空间生成特征向量，将特征向量和应用标签组成样例；最后，利用有监督的机器学习算法训练分类模型，在训练模型的过程中对属性空间进行优化，得到最终的识别模型。在应用识别阶段，利用训练阶段得到的识别模型识别网络流量中的移动应用。本发明可以实现从多个高耦合移动应用中精准识别出每一个具体的高耦合移动应用，可以为互联网提供商为不同应用提供差异化服务提供前提。

公开(公告)号：CN113283498B

公开(公告)日：2024-10-18

申请号：CN202110560776.9

申请日：2021-05-21

Applicant: 东南大学

Inventor： 吴桦 ,  刘玉洁

IPC: G06F18/2411 ,  G06F18/214 ,  H04L47/2483 ,  H04L47/2441

Abstract: 本发明提供了一种面向高速网络的VPN流量快速识别方法，方法的具体步骤分为模型训练和模型使用两个场景。模型训练时，在可控的网络环境中进行流量抽样采集，选择能够用于抽样后VPN流量识别分类的相关特征，构建小规模的流量数据训练集进行模型训练。使用该模型时，在高速网络中进行流量抽样，通过Count Bloom Filter算法过滤出长流流量，使用链接法散列表存储统计信息，并根据记录的统计信息提取特征值，得到流量特征记录，用于流量检测。本发明能够快速精确地识别出高速网络中存在的VPN流量，并对VPN流量使用的代理工具进行分类，有效提高了网络流量的检测能力。

公开(公告)号：CN115174961B

公开(公告)日：2024-09-27

申请号：CN202210796253.9

申请日：2022-07-07

Applicant: 东南大学

Inventor： 吴桦 ,  乐鑫 ,  程光

IPC: H04N21/234 ,  H04N21/44 ,  H04N21/858

Abstract: 本发明公开了一种面向高速网络的多平台视频流量早期识别方法，首先从多个平台采集原始流量，然后根据流的握手或者请求信息对视频流和非视频流进行标记。接着基于协议无关原则构建用于分类视频和非视频流量的特征空间，并对已标记的流量提取特征向量构建数据集。最后，使用有监督机器学习方法，对包含视频和非视频流量的数据集离线构造分类模型。该分类模型结合前面提出的特征空间，可以在高速网络采样数据采集情景下准确地识别高速网络中的视频流量。本发明提出的特征空间可以从流的少量数据包中提取稳定的特征向量，可以在流传输的早期阶段识别视频流量。本发明可以在有限的内存和合理时间内实现对海量高速流量中视频流量的实时识别，能够用于网络流量分析和网络管理。

公开(公告)号：CN115314407B

公开(公告)日：2024-08-02

申请号：CN202210927727.9

申请日：2022-08-03

Applicant: 东南大学

Inventor： 吴桦 ,  韩振 ,  程光

IPC: H04L43/028 ,  H04L43/04 ,  H04L43/0829 ,  H04L43/0852 ,  H04L43/0876 ,  H04L43/55 ,  H04L41/16

Abstract: 本发明公开了一种基于网络流量的网络游戏QoE(Quality of Experience，体验质量)检测方法。首先搭建延迟和丢包可控的实验环境，进行主观QoE评估实验，根据实验结果进行数据统计分析，获得以延迟和丢包率为自变量的QoS‑QoE检测模型。然后，在实验环境中采集不同丢包率的流量样本数据，提取流量特征并优化得到丢包率训练样本集，使用机器学习算法训练得到丢包率分类模型。最后，使用数据采集设备采集游戏流量，通过丢包率分类模型得到丢包等级，通过统计流量得到延迟数据，将丢包率分类结果、延迟检测结果代入QoS‑QoE检测模型，实现对用户游戏QoE的检测。本发明基于网络流量检测用户游戏QoE，可用于网络管理和用户QoE监测。

公开(公告)号：CN113901334B

公开(公告)日：2024-07-16

申请号：CN202111194702.4

申请日：2021-10-13

Applicant: 东南大学

Inventor： 吴桦 ,  祝成飞 ,  王磊 ,  程光 ,  胡晓艳

IPC: G06F16/9536 ,  G06Q50/00 ,  G06F18/24 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/08 ,  H04L67/1396

Abstract: 本发明公开了一种基于服务数据矩阵的社交软件用户行为识别方法。该方法首先对每个用户行为持续时间内所有的服务进行统计，建立关联服务数据矩阵，根据关联服务出现的频次特征从加密流量中筛选出相对稳定的控制数据流，即控制服务数据，提取其数据分组长度作为原始特征，然后使用深度学习算法,自动从控制服务分组的负载长度序列中提取特征以识别用户的行为。本发明提供的方法，只需要检测很少的控制数据分组即可达到很高的识别准确率，可用于社交软件用户行为近实时识别。该方法对将控制数据和用户数据分开传输的社交软件用户行为识别具有很好的效果，可用于网络的流量分析与网络安全管理。

公开(公告)号：CN118264477A

公开(公告)日：2024-06-28

申请号：CN202410442453.3

申请日：2024-04-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  戴琦 ,  程光 ,  吴桦

IPC: H04L9/40

Abstract: 本发明公开了一种基于领域泛化的网络钓鱼URL检测方法及系统，首先对URL字符串进行编码，得到URL数字向量；再应用两种数据生成技术生成良性URL和钓鱼URL，提高训练集的多样性；接着使用Encoder网络构建预训练模型，利用预训练模型学习良性URL字符间的语义关系，生成通用的URL嵌入；最后使用扩充后的数据集，对预训练模型进行微调，构建具有强大泛化能力钓鱼URL检测模型，实现网络钓鱼URL的检测。本发明方法能够实现对钓鱼URL的持久有效检测，即便当钓鱼URL特征分布发生显著变化时，模型的检测准确率依旧很高。

公开(公告)号：CN118133276A

公开(公告)日：2024-06-04

申请号：CN202410442455.2

申请日：2024-04-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  李佳鹏 ,  程光 ,  吴桦

IPC: G06F21/55 ,  G06F18/10 ,  G06F18/214 ,  G06F18/24 ,  G06F18/213 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明公开了一种基于小样本增量学习的可扩展网络公害检测方法及系统，将数据包长度信息转换为图向量，再将图向量转为可训练的RGB图像；使用基础类别样本训练基础分类模型，得到特征提取网络主干以及基础类别分类器权值；在类增量学习前对GAT模型训练，将基础类别数据集划分为伪基础类别和伪增量类别进行伪增量学习，将伪增量学习的分类器输入到GAT模型中进行更新，计算损失函数以优化GAT参数，最后GAT模型的参数；在进行类增量学习阶段，利用少量增量类别样本和已训练的网络主干学习增量类别分类器权值，并在基础类别分类器权值以及预训练的GAT模型的基础上对所有分类器权值进行更新，利用已训练的网络主干结合更新后的分类器可实现新旧攻击的识别。