公开(公告)号：CN101257415A

公开(公告)日：2008-09-03

申请号：CN200810019277.3

申请日：2008-01-18

Applicant: 东南大学

Inventor： 程光 ,  龚俭 ,  江洁欣 ,  史海涛 ,  丁伟 ,  吴桦

IPC: H04L12/26 ,  H04L12/56

Abstract: 一种基于固定存储空间的网络流实时自适应测量方法，设定一个期望测量区间持续时间、网络流存储空间和抽样测量参数，在测量过程中设定一个固定网络流存储空间大小阀值作为一个测量循环结束的依据，如果存储空间网络流流数超过阀值，则当前测量区间结束，输出所有的流量记录信息估计值；根据当前测量区间的时间间隔、期望测量区间持续时间和当前的抽样测量参数计算下一个测量区间内的抽样测量参数。本方法节省自适应过程中测量资源的消耗和保留网络流量信息的精度；在不同测量区间内使用不同的抽样参数的测量结果可以直接进行相互比较和计算。

公开(公告)号：CN101051999A

公开(公告)日：2007-10-10

申请号：CN200710022213.4

申请日：2007-05-09

Applicant: 东南大学

Inventor： 程光 ,  吴桦 ,  龚俭 ,  丁伟

IPC: H04L12/56 ,  H04L12/26

Abstract: 本发明公开了一种资源可控制的网络流监测方法：第一步：设置测量参数；第二步：预抽样过程；第三步：报文更新抽样判断；第四步：更新流记录；第五步：流抽样过程；第六步：流淘汰判断；第七步：设置流淘汰大小阀值初始值；第八步：计算淘汰流数量；第九步：更新流淘汰大小阀值m；第十步：设置淘汰初始随机值；第十一步：流抽样淘汰判断；第十二步：流抽样淘汰过程；第十三步：查找流缓冲中下一流记录；第十四步：测量结束判断。本发明能够在一个测量时间粒度内采用不同的抽样比率，实现网络流自适应抽样测量；使用不等概率淘汰流策略，在同样的测量资源内实现更高精度的抽样；采用多抽样模块，使系统可以控制不同系统资源的消耗优点。

公开(公告)号：CN113709152B

公开(公告)日：2022-11-25

申请号：CN202110991233.2

申请日：2021-08-26

Applicant: 东南大学

Inventor： 胡晓艳 ,  陈浩 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L9/40

Abstract: 本发明提供了一种具备高抗检测能力的对抗域名生成模型，模型由三个部分组成，分别是良性域名建模器，候选域名合成器，无效域名筛选器。良性域名建模器是利用自回归和LSTM对良性域名建立统计学模型，挖掘隐藏在良性域名字符间的相关关系；候选域名合成器是根据建立的统计学模型对输入的良性域名进行字符替换，随机从输入的良性域名中挑选两个位置，利用模型计算替换的字符，完成替换，从而生成新的域名；无效域名筛选器是从上一步骤生成的域名列表中剔除无法使用的域名，最后剩下的域名便是符合使用要求的域名。本发明生成的对抗域名具备很高的抗检测能力，能够误导DGA域名检测器做出错误的分类；同时本发明生成域名的重复率和碰撞率都非常低，实用性很强。

公开(公告)号：CN113194092A

公开(公告)日：2021-07-30

申请号：CN202110469814.X

申请日：2021-04-28

Applicant: 东南大学

Inventor： 胡晓艳 ,  朱成 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L29/06 ,  H04L12/24 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种精准的恶意流量变种检测方法，具体步骤包括：将恶意流量及其变种进行图像处理后，通过预训练神经网络提取原始特征输入到通道注意力模块；将重新得到的带通道注意力的特征经过局部最大均值差异优化，缩短各子域的特征分布距离；将域适应后的特征输入到空间注意力模块以快速获得最具代表性特征的位置；输出预测标签，使用最大熵分类器优化预测标签与真实标签的差距，最后输出样本类别。本发明能够准确地识别恶意流量变种，并且在训练初期收敛速度更快，以更好的应对突发的恶意软件变种入侵；本发明在少量目标域数据的环境下仍然能准确识别恶意流量变种，进而收集少量恶意流量变种即可实现其检测。

公开(公告)号：CN109347983B

公开(公告)日：2021-02-26

申请号：CN201811452766.8

申请日：2018-11-30

Applicant: 东南大学

Inventor： 胡晓艳 ,  郑少琦 ,  赵丽侠 ,  龚俭 ,  程光 ,  吴桦

IPC: H04L29/08 ,  H04L12/751 ,  H04L12/741 ,  H04L1/16

Abstract: 本发明公开了一种基于网络编码的命名数据网络中多路径转发方法，该方法包括探索路径外缓存内容以及利用路径外缓存内容两个阶段，在获取数据内容代的初始探索阶段，路由表正常转发兴趣报文外，还会转发兴趣报文到其他可用接口来主动探索路径外网络节点缓存的该代数据内容的可用性，并根据返回的报文为路径外缓存内容建立可达性信息；路由器一方面根据路由表将兴趣报文转发到原始数据源，另一方面根据探索阶段建立的路径外缓存内容的可达性信息将兴趣报文转发到路径外缓存节点来寻求响应，返回的报文又会进一步更新缓存内容的可达性信息。本发明能够利用路径外的缓存内容，充分发挥命名数据网络多路径传输和网络内缓存的优势，提升网络的传输性能。

公开(公告)号：CN108574690B

公开(公告)日：2020-07-31

申请号：CN201810144648.4

申请日：2018-02-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  龚俭 ,  程光 ,  吴桦

IPC: H04L29/06 ,  H04L12/733 ,  H04L12/741 ,  H04L12/745 ,  H04L9/32

Abstract: 本发明公开了一种缓解命名数据网络中内容毒害攻击的方法，首先基于内容名字和发布者公钥转发报文以减少毒害报文进入网络；其次，多路径重传兴趣报文并针对性地验证缓存或返回的数据报文：若兴趣报文在向合法数据源转发的路径上被毒害报文响应，用户重发兴趣报文并声明网络不能用刚收到的毒害报文响应重传的兴趣报文，路由器多路径转发重传的兴趣报文并针对性地验证缓存或返回的数据报文，进而清除缓存在网络中的毒害报文，返回合法数据报文给当前用户，并为后续兴趣报文的转发探索新路径，以恢复合法的数据内容访问。本发明方法能够减少网络上毒害数据内容的传输和缓存，有效地降低内容毒害攻击对用户数据内容访问的影响。

公开(公告)号：CN108574690A

公开(公告)日：2018-09-25

申请号：CN201810144648.4

申请日：2018-02-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  龚俭 ,  程光 ,  吴桦

IPC: H04L29/06 ,  H04L12/733 ,  H04L12/741 ,  H04L12/745 ,  H04L9/32

CPC classification number: H04L63/10 ,  H04L9/3236 ,  H04L9/3247 ,  H04L45/20 ,  H04L45/745 ,  H04L45/748 ,  H04L63/145 ,  H04L63/1466

Abstract: 本发明公开了一种缓解命名数据网络中内容毒害攻击的方法，首先基于内容名字和发布者公钥转发报文以减少毒害报文进入网络；其次，多路径重传兴趣报文并针对性地验证缓存或返回的数据报文：若兴趣报文在向合法数据源转发的路径上被毒害报文响应，用户重发兴趣报文并声明网络不能用刚收到的毒害报文响应重传的兴趣报文，路由器多路径转发重传的兴趣报文并针对性地验证缓存或返回的数据报文，进而清除缓存在网络中的毒害报文，返回合法数据报文给当前用户，并为后续兴趣报文的转发探索新路径，以恢复合法的数据内容访问。本发明方法能够减少网络上毒害数据内容的传输和缓存，有效地降低内容毒害攻击对用户数据内容访问的影响。

公开(公告)号：CN101741646B

公开(公告)日：2011-09-07

申请号：CN200910262844.2

申请日：2009-12-11

Applicant: 东南大学

Inventor： 程光 ,  龚俭 ,  臧宁宁

IPC: H04L12/26 ,  H04L29/12 ,  H04L12/56

Abstract: 本发明公开一种基于数组链表的大流量网络地址前缀识别方法，其特征是建立一个用于记录IP地址前缀流量信息的8层结构，每层结构记录IP地址的4个比特前缀流量信息且每层结构至少包括一个结点，其中，第0层记录IP地址的第0个至第3个比特流量信息，第1层记录IP地址的第4个至第7个比特流量信息，第2层记录IP地址的第8个至第11个比特流量信息，第3层记录IP地址的第12个至第15个比特流量信息，第4层记录IP地址的第16个至第19个比特流量信息，第5层记录IP地址的第20个至第23个比特流量信息，第6层记录IP地址的第24个至第27个比特流量信息，第7层记录IP地址的第28个至第31个比特流量信息，每个被测量的IP地址及其前缀的流量信息被记录在8层结构中，测量结束后，对于流量超过阀值的大流量网络地址前缀，其相应的网络地址前缀、网络地址前缀长度和网络地址前缀的流量大小输出，本发明相对于传统处理方法减轻了系统处理的负担，加快了处理每个IP地址的效率，同时大大减少生成新结点的数量，节省生成新结点所需要的时间，并降低中间结点所需要的内存空间的使用。

公开(公告)号：CN101227318B

公开(公告)日：2011-05-11

申请号：CN200710191035.8

申请日：2007-12-04

Applicant: 东南大学

Inventor： 程光 ,  龚俭 ,  江洁欣 ,  强士卿 ,  丁伟

IPC: H04L12/24 ,  H04L12/56

Abstract: 一种高速网络流量的超点实时检测方法，包括设置三个数据结构和三个过程，三个数据结构分别是Bloom Filter数据结构、计数型Bloom Filter数据结构和哈希链表数据结构。Bloom Filter数据结构用于记录流存在信息，计数型Bloom Filter数据结构用于记录聚合点的流数信息，哈希链表结构用于记录超点标识和超点流数信息；三个过程分别是基于Bloom Filter的新流检测过程、基于计数型Bloom Filter的超点检测过程和基于哈希链表的超点信息记录过程。当一个报文到达测量器，首先在Bloom Filter数据结构中查找该报文是否是一个新流，如果是一个新流，则在计数型Bloom Filter数据结构中查找该新流的聚合点是否是一个超点，如果是一个超点，则在哈希链表数据结构中记录该超点标识信息和流数信息。本方法能够直接实时检测出超点信息，节省测量资源的消耗并提高超点流数的检测精度。

公开(公告)号：CN101753639A

公开(公告)日：2010-06-23

申请号：CN200910262842.3

申请日：2009-12-11

Applicant: 东南大学

Inventor： 程光 ,  龚俭 ,  吴昊 ,  刘军

IPC: H04L29/12 ,  H04L12/56 ,  H04L12/24 ,  H04L29/08 ,  H04L12/26

Abstract: 本发明公开一种基于流量通信模式的服务角色识别方法，其特征是：在一个时间尺度5分钟范围内，在哈希链表中为测量到的流量维护{源IP地址和源端口}结点，并为每个相同{源IP地址和源端口}的结点记录其对应的前两个不同的宿IP地址，如果一个{源IP地址和源端口}结点中记录了两个不同的宿IP地址，说明该源IP地址从该源端口向至少2台其他不同主机发送流量，则认为该源IP地址是服务方，其服务端口为该源端口，该方法可以对网络流量中的服务角色进行高效识别，可以识别多种不同类型网络流量数据的服务角色。