公开(公告)号：CN114095216B

公开(公告)日：2023-04-07

申请号：CN202111294445.1

申请日：2021-11-03

Applicant: 东南大学

Inventor： 胡晓艳 ,  栗淼 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L9/40 ,  G06F18/25 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/082 ,  G06N3/084 ,  G06N3/0895

Abstract: 本发明提供了一种有限训练样本下基于对比学习的恶意域名检测方法，具体步骤包括：引入对比学习思想设计基于孪生网络的神经特征提取器，构建同类/异类的标签编码域名对，进行训练；将获取的域名神经特征向量集输入到机器学习算法模型中，训练得到域名分类器；将待检测域名依次输入特征提取器和域名分类器，得到判别结果。本发明从数据的角度缓解了样本不足的问题，能够自动化地提取特征，且特征具有高区分度利于进一步检测，以便更有效地检测出恶意域名样本，有利于拦截恶意活动中的通信并避免其进一步传播，从而提高对僵尸网络等常见恶意攻击模式的安全防御和监督能力。

公开(公告)号：CN115174198A

公开(公告)日：2022-10-11

申请号：CN202210768482.X

申请日：2022-07-01

Applicant: 东南大学

Inventor： 许昱玮 ,  张雨泉 ,  范心宇 ,  王若风 ,  吴桦 ,  程光

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/0811 ,  H04L67/00 ,  H04L67/56 ,  G06K9/62 ,  G06N20/00

Abstract: 本发明设计一种基于特征优化的开源代理软件流量识别方法，该方法构建基于云的大规模流量采集与处理平台以生成完整的高质量数据集，根据机器学习理论和特征优化思想建立了具有3个独立任务的高效识别方案，并将该方案应用于完整流识别。基于云的大规模流量采集平台主要包括开源代理服务的搭建、用户行为模拟脚本的编写、服务器端流量的采集与存储、流量数据的预处理。基于特征优化的流量识别方案一方面定义了三个分类任务来实现不同角度及粒度的监管，另一方面提出了一种基于双维度的两阶段特征选择算法(TT)来为不同的识别任务构造在不同分类器下的最优特征子集，在保障分类性能的前提下满足了快速落地检测的要求。

公开(公告)号：CN115065983A

公开(公告)日：2022-09-16

申请号：CN202210623575.3

申请日：2022-06-02

Applicant: 东南大学

Inventor： 吴桦 ,  王瑞 ,  程光

IPC: H04W24/02 ,  G06K9/62 ,  G06N20/00 ,  G06N20/10

Abstract: 本发明公开了一种基于服务分析的高耦合移动应用识别方法。在模型训练阶段，该方法首先捕获移动应用从启动开始运行几十秒的网络流量数据，并为网络流量数据打上标签；然后设置时间长度t，提取t秒网络流量数据中移动应用访问的服务信息作为属性，形成属性空间；接着，根据属性空间生成特征向量，将特征向量和应用标签组成样例；最后，利用有监督的机器学习算法训练分类模型，在训练模型的过程中对属性空间进行优化，得到最终的识别模型。在应用识别阶段，利用训练阶段得到的识别模型识别网络流量中的移动应用。本发明可以实现从多个高耦合移动应用中精准识别出每一个具体的高耦合移动应用，可以为互联网提供商为不同应用提供差异化服务提供前提。

公开(公告)号：CN113301041B

公开(公告)日：2022-06-14

申请号：CN202110560775.4

申请日：2021-05-21

Applicant: 东南大学

Inventor： 程光 ,  张家康

IPC: H04L9/40 ,  G06N20/00

Abstract: 本发明提出了一种基于分段熵和时间特征的V2Ray流量识别方法，该方法以网络流量会话中的部分报文序列的信息熵、会话交互的时间差以及其他时间特征作为流量特征，并使用随机森林算法，识别出网络流量中V2Ray的流量。该方法的具体步骤包括模型训练和模型使用两个场景。模型训练时，在可控的网络环境中采集流量；基于指纹识别方法，判断是否使用TLS协议，将网络流量分类为TLS流量和非TLS流量；以流量会话为基本单位，提取部分报文序列的分段熵、会话交互的时间差以及其他时间特征；根据提取的特征，训练随机森林算法分类模型，进而得到V2Ray流量识别预测模型。本发明可用于对网络中V2Ray流量的检测和识别，为流量识别、维护网络安全提供保障。

公开(公告)号：CN113055251B

公开(公告)日：2022-06-03

申请号：CN202110414969.3

申请日：2021-04-17

Applicant: 东南大学

Inventor： 吴桦 ,  刘亚 ,  程光

IPC: H04L43/0829 ,  H04L69/163 ,  H04L69/164 ,  G06N5/00 ,  G06K9/62

Abstract: 本发明提出了一种面向高速网络的流量丢包状态实时感知方法，该方法能够实时检测出高速网络中使用TCP和UDP传输的服务的丢包状态。方法的具体步骤分为模型训练和模型使用两个场景。模型训练时，在可控的网络环境中进行流量抽样采集；根据传输协议的不同，设置特征Sketch的计数器从而提取出有效特征；根据提取的特征，训练机器学习分类模型，进而得到丢包预测模型。使用该模型时，首先在网络中的流量采集点抽样采集真实流量，并利用特征Sketch实时提取真实流量特征；使用丢包预测模型对真实流量特征进行识别分类，实时检测丢包状态。本发明可用于网络服务提供商在网络中间节点上对网络服务状态进行实时监测，为提高接入服务质量提供依据。

公开(公告)号：CN114298169A

公开(公告)日：2022-04-08

申请号：CN202111510657.9

申请日：2021-12-10

Applicant: 东南大学

Inventor： 胡晓艳 ,  桂美群 ,  程光 ,  吴桦 ,  龚俭

IPC: G06K9/62 ,  G06Q40/04

Abstract: 本发明提供了一种基于图分类的比特币混合服务类型识别方法，包括：通过多种途径收集六种类型的比特币混合服务的地址数据；从公开的比特币账本中，获取每一个标签地址参与的所有交易数据，并制定数据清洗规则，通过处理获得的交易数据进行地址的筛选；利用处理后的交易信息，为每一个混合服务地址构建一个有向加权图；对每一个图数据，使用无监督的图嵌入方法自动提取特征，为每一个地址得到固定维度的特征向量；将地址的特征向量和标签信息输入到随机森林分类器中进行识别，最终输出地址所属的混合服务类型。本发明能够准确地识别不同类型的比特币混合服务，实现洗钱地址的精细化识别。

公开(公告)号：CN114172697A

公开(公告)日：2022-03-11

申请号：CN202111399436.9

申请日：2021-11-19

Applicant: 东南大学

Inventor： 吴桦 ,  张晅阁 ,  程光

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种防御高速网络中IP地址欺骗DDoS攻击的方法，分为离线训练和在线防御。离线训练中，将DDoS攻击公开数据集的地址平移后与高速网络流量公开数据集混合，得到混合流量数据集并系统抽样，用包含6个计数器和1个哈希表的Sketch结构基于源MAC地址和目的IP地址提取流量特征并标记，随后在有监督的机器学习方法下使用经过标记的流量特征训练生成攻击流量分类器。在线防御中，部署在高速网络边界节点上，对输入的高速网络流量系统抽样并提取流量特征，用攻击流量分类器检测，给出包含攻击流量地址对(源MAC地址和目的IP地址)的告警列表，最后通知边界路由器过滤告警列表中流量实现防御。本发明可被网络管理者用于防御高速网络中IP地址欺骗DDoS攻击。

公开(公告)号：CN113872962A

公开(公告)日：2021-12-31

申请号：CN202111124600.5

申请日：2021-09-24

Applicant: 东南大学

Inventor： 吴桦 ,  邵梓菱 ,  程光

IPC: H04L29/06 ,  G06N20/00 ,  G06K9/62

Abstract: 本发明公开了一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法，该方法首先对公开数据集进行系统抽样，然后利用一个包含4个计数器和2个哈希表的sketch结构提取流量特征。首先采用K‑means算法对流量特征进行聚类，然后基于规则对已知扫描流所在簇中的流量进行验证和标注，进而构建具有完整标签的训练集。最后，利用有监督机器学习算法训练用于端口扫描检测的分类模型。该分类模型在抽样数据采集情景下检测出高速网络中TCP和UDP的慢速端口扫描活动，对于持续时间超过50天的慢速扫描攻击，该方法仍然有效。本发明使用有限的内存实现对海量高速流量中端口扫描事件的检测，被网络管理者用于高速网络中的安全事件监测。

公开(公告)号：CN113709152A

公开(公告)日：2021-11-26

申请号：CN202110991233.2

申请日：2021-08-26

Applicant: 东南大学

Inventor： 胡晓艳 ,  陈浩 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L29/06

Abstract: 本发明提供了一种具备高抗检测能力的对抗域名生成模型，模型由三个部分组成，分别是良性域名建模器，候选域名合成器，无效域名筛选器。良性域名建模器是利用自回归和LSTM对良性域名建立统计学模型，挖掘隐藏在良性域名字符间的相关关系；候选域名合成器是根据建立的统计学模型对输入的良性域名进行字符替换，随机从输入的良性域名中挑选两个位置，利用模型计算替换的字符，完成替换，从而生成新的域名；无效域名筛选器是从上一步骤生成的域名列表中剔除无法使用的域名，最后剩下的域名便是符合使用要求的域名。本发明生成的对抗域名具备很高的抗检测能力，能够误导DGA域名检测器做出错误的分类；同时本发明生成域名的重复率和碰撞率都非常低，实用性很强。

公开(公告)号：CN113656800A

公开(公告)日：2021-11-16

申请号：CN202110950651.7

申请日：2021-08-18

Applicant: 东南大学

Inventor： 胡晓艳 ,  朱成 ,  程光 ,  吴桦 ,  龚俭

IPC: G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种基于加密流量分析的恶意软件行为识别方法，具体步骤包括：制作使用加密协议进行数据通信的恶意软件，自动化攻击并提取带标签的行为流量数据集；对采样流量进行特征提取，简单的进行特征筛选后使用三种深度神经网络进行训练；使用训练后的模型对恶意软件执行的恶意行为进行识别，最后输出执行的恶意行为类别。本发明提供了用于研究恶意软件内部的恶意行为流量数据集，并贡献了一种自动化采集带标签的恶意行为样本的方法；本发明能够通过加密流量准确地识别恶意软件内部的恶意行为，并拥有快速部署在网络边缘的能力，为网络管理员确定恶意软件入侵阶段提供新的解决方案，对未来将发生的危险行为针对性的防御。