公开(公告)号：CN117278320A

公开(公告)日：2023-12-22

申请号：CN202311488927.X

申请日：2023-11-09

Applicant: 东南大学

Inventor： 吴桦 ,  杨富豪 ,  程光 ,  胡晓艳

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明公开了一种面向主干网的HTTP/2多路复用非对称攻击检测方法。通过本发明提出的方法可以在主干网中完成对HTTP/2多路复用非对称攻击的检测。本发明分为模型训练阶段和在线检测阶段。模型训练阶段，根据HTTP/2多路复用非对称攻击的特点，提取若干能够区分客户端恶意攻击和服务器遭受恶意攻击时对应返回数据的单向流量特征。通过特定的机器学习方法训练得到攻击检测模型。在线检测阶段，在主干网节点中部署基于Sketch的流特征提取软件实时获取通过节点的流特征，送入攻击检测模型中判断当前流中是否包含有HTTP/2多路复用非对称攻击流量。后续还可根据识别结果进一步判断受害者服务器和攻击客户端IP。

公开(公告)号：CN116781543A

公开(公告)日：2023-09-19

申请号：CN202310749051.3

申请日：2023-06-21

Applicant: 东南大学

Inventor： 曹捷 ,  许昱玮 ,  范心宇 ,  梁志远 ,  李江峰 ,  程光

IPC: H04L43/026 ,  H04L43/028 ,  H04L43/0876 ,  H04L43/12 ,  H04L43/00 ,  H04L9/40 ,  G06N3/047 ,  G06N3/048 ,  G06N3/0499 ,  G06N3/084 ,  G06F18/214 ,  G06F18/2415

Abstract: 本发明公开了一种面向网络管理设备的轻量级加密流量快速识别方法。本方法包含一个基于IP数据包的加密流量预处理方法与一个低参数量的神经网络模型。基于IP数据包的加密流量预处理方法主要包括流量采集与划分、报文过滤、数据包截断、数据包字节序列分词、数据集划分5个步骤。低参数量的神经网络模型主要包括2个模块，一是数据包表征模块用于对预处理后的IP数据包进行有效表征，二是分类模块用于对数据包表征进行准确地分类识别。本方法的模型参数量少，时间开销较低，适用于网络流量的实时监测；在不依赖高性能网络管理设备的前提下能够准确识别网络加密流量，为实现网络管理，增强用户体验提供基础。

公开(公告)号：CN116743450A

公开(公告)日：2023-09-12

申请号：CN202310661831.2

申请日：2023-06-05

Applicant: 东南大学

Inventor： 黄哲 ,  袁亚丽 ,  程光

IPC: H04L9/40 ,  H04L41/12 ,  G06N7/01

Abstract: 本发明提出了一种拟态网络风险评估方法，应用于网络空间中拟态防御策略部署的有效性测量，方法主要包括以下步骤：网络拓扑获取；漏洞信息扫描；社区结构划分；节点风险评估；漏洞共模测量；概率转移测量；综合风险评估。上述方法能够有效捕获拟态网络安全特性，贴合拟态防御系统实际应用情况，构建出一种用于拟态网络的分区定位风险评估方法。

公开(公告)号：CN113194092B

公开(公告)日：2023-08-04

申请号：CN202110469814.X

申请日：2021-04-28

Applicant: 东南大学

Inventor： 胡晓艳 ,  朱成 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L9/40 ,  H04L41/14 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提供了一种精准的恶意流量变种检测方法，具体步骤包括：将恶意流量及其变种进行图像处理后，通过预训练神经网络提取原始特征输入到通道注意力模块；将重新得到的带通道注意力的特征经过局部最大均值差异优化，缩短各子域的特征分布距离；将域适应后的特征输入到空间注意力模块以快速获得最具代表性特征的位置；输出预测标签，使用最大熵分类器优化预测标签与真实标签的差距，最后输出样本类别。本发明能够准确地识别恶意流量变种，并且在训练初期收敛速度更快，以更好的应对突发的恶意软件变种入侵；本发明在少量目标域数据的环境下仍然能准确识别恶意流量变种，进而收集少量恶意流量变种即可实现其检测。

公开(公告)号：CN116318963A

公开(公告)日：2023-06-23

申请号：CN202310244646.3

申请日：2023-03-14

Applicant: 东南大学

Inventor： 胡晓艳 ,  蒋怡云 ,  程光 ,  吴桦

IPC: H04L9/40 ,  H04L67/1042 ,  G06Q20/38

Abstract: 本发明公开了一种联盟链安全监管系统，该系统基于链上加密数据高效协同审计机制以及视频数据上链有害性审核机制进行设计与实现，以Hyperledger Fabric为底层联盟链架构，支持监管机构对整个系统进行穿透式监管。系统由区块链及IPFS维护模块、明密文数据发布模块以及明密文数据监管模块组成，分别服务于系统管理员、普通用户和监管者这三类角色，具体功能为：系统管理员通过区块链及IPFS维护模块维护区块链网络及IPFS网络，普通用户通过明密文数据发布模块发布和处理数据，监管者通过明密文数据监管模块进行链上加密数据的协同审计及视频数据上链的有害性审核。本发明能够以高效完成链上加密数据协同审计操作，加强了联盟链网络内数据信息的内容安全性核查与监管。

公开(公告)号：CN116232682A

公开(公告)日：2023-06-06

申请号：CN202310006242.0

申请日：2023-01-04

Applicant: 东南大学 ,  江苏省未来网络创新研究院

Inventor： 胡晓艳 ,  朱成 ,  程光 ,  吴桦

IPC: H04L9/40

Abstract: 本发明提供了一种面向持续连接的恶意木马细粒度行为早期精准识别方法，具体步骤包括：提取持续连接的加密恶意木马细粒度攻击行为流量的数据包长度序列、方向序列和时间序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点；对包含完整行为段的数据包序列重新还原为TLS Fragment，选择前n个TLS Fragment并分别提取m个稳定特征组成[n×m,1]维序列特征向量；将n‑TLS Fragment稳定特征序列输入到1D‑CNN分类器中进行训练，以识别细粒度攻击行为。本发明能够对持续连接的加密恶意木马流量，不依赖人工经验而较为准确地划分攻击行为段；本发明能够早期精准的识别恶意木马细粒度攻击行为，并且提出的TLS Fragment稳定特征适用于具备网络波动性的细粒度行为识别场景。

公开(公告)号：CN116192470A

公开(公告)日：2023-05-30

申请号：CN202310035091.1

申请日：2023-01-10

Applicant: 东南大学

Inventor： 梁思初 ,  袁亚丽 ,  朱鸿宇 ,  程光

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/082 ,  G06N3/088

Abstract: 本发明公开了一种基于自适应快照集成的未知威胁识别方法，应用于网络加密流量的即时精细化分类，且能识别由概念漂移产生的未知威胁。包括加密流量预处理与特征提取模块；加密流量时序特征神经网络分类模块；新类别流量判别模块；快照集成模块；迁移学习模块。上述方法能够应对不断增加的未知异常流量，并给出未知异常流量聚类结果供专家进行标记，同时能够有效解决概念漂移和类别不平衡问题，从而保障了异常流量检测的可靠性。

公开(公告)号：CN116155572A

公开(公告)日：2023-05-23

申请号：CN202310036438.4

申请日：2023-01-09

Applicant: 东南大学

Inventor： 朱鸿宇 ,  袁亚丽 ,  胡文韬 ,  程光

IPC: H04L9/40 ,  G06F18/23 ,  G06F18/241 ,  G06F18/2411 ,  G06F18/25 ,  G06N20/20

Abstract: 本发明公开了一种基于集成学习的加密流量网络入侵检测方法，应用于网络中加密恶意流量的即时识别与分类，包括加密流量预处理与特征提取；加密流量时序特征聚类分析模块；加密流量统计特征支持向量机分类模块；加密源流量深度学习异常检测模块；各流量分析模块的集成策略。上述方法可以应对网络中不断出现的未知恶意流量类别，并在恶意流量产生效果之前及时发出警报，同时具备一定抵抗数据包填充逃避攻击的能力，从而保护网络基础设施完整性、可用性及用户数据安全。

公开(公告)号：CN116032633A

公开(公告)日：2023-04-28

申请号：CN202310015676.7

申请日：2023-01-06

Applicant: 东南大学

Inventor： 程光 ,  戴显龙 ,  于子洋

IPC: H04L9/40 ,  H04L41/142

Abstract: 本发明公开了一种面向资源约束环境的百万数据流top‑k测量方法，该方法的步骤分为u‑level多级抽样、较小长度bit计数器组成的查找器Finder和流标签记录三个功能模块。当测量开始时，在待测量的网络环境中进行流量的分组级处理；u‑level多级抽样模块根据初始抽样阈值θ和设定好的u值，生成u个抽样概率；当Finder中流标识对应的计数器计数陆续达到第1级计数区间～第u级计数区间时，启用相应级别对应的抽样概率继续处理到达的分组，并根据抽样的结果来判断该分组是否更新Finder中对应位置的计数器；流标识记录模块在记录流标识时，根据当前计数值及时更新和记录top‑k大象流信息。本发明为网络服务运营商和网络监管部门提高服务质量、异常检测、攻击检测等测量任务提供依据。

公开(公告)号：CN112187664B

公开(公告)日：2023-04-18

申请号：CN202011010285.9

申请日：2020-09-23

Applicant: 东南大学

Inventor： 吴桦 ,  陈晰颖 ,  程光

IPC: H04L47/2441 ,  H04L9/40 ,  G06F18/231 ,  G06F18/24 ,  G06F18/22

Abstract: 本发明公开了一种基于半监督学习的应用流自动分类方法，该方法从网络流量数据中提取有效特征，包括非比例特征和比例特征；使用自底向上的层次聚类算法实现对网络流量的多层次自动分类，在每一层次的聚类中计算非比例特征的余弦相似度和比例特征的欧氏距离，将结果中满足阈值条件的流聚合为一类，调整分类阈值逐层聚类直到将所有原始流量最终聚合为一类；确定聚类结果中能够将典型流量类型区分开来且将同一类流量聚合为一类的流量类型层，根据已有标签的典型流量信息为流量类型层中的各类流量打上流量类型标签。本发明可自动区分网络流量的流量类型，可用于网络管理和网络安全监测。