公开(公告)号：CN111581352A

公开(公告)日：2020-08-25

申请号：CN202010368890.7

申请日：2020-05-03

Applicant: 南开大学

Inventor： 王志 ,  李涵 ,  林宇量 ,  詹婧 ,  于涛

IPC: G06F16/33 ,  G06F16/951 ,  H04L29/06 ,  H04L29/12 ,  G06N20/00

Abstract: 一种基于可信度的互联网恶意域名检测方法，应用于网络空间安全领域。包括：第1、利用XGBoost、LSTM、Bagging等多种机器学习对海量的恶意域名样本和正常的域名样本进行学习，建立多种异构算法的恶意域名检测模型；第2、通过统计学习算法计算XGBoost、LSTM、Bagging等多种检测模型对可疑域名预测结果的可信度；第3、利用计算得到模型预测结果的可信度进行多模型预测结果的融合，实现异构模型的协同防御。本发明选择了13个域名特征值，利用多种机器学习模对域名进行分析获取可信度，在可信度的基础上采用简单投票法进行模型的融合，提升了域名分析准确性。

公开(公告)号：CN111565192A

公开(公告)日：2020-08-21

申请号：CN202010382950.0

申请日：2020-05-08

Applicant: 南开大学

Inventor： 王志 ,  陈炜嘉 ,  付晏升 ,  王雨奇

IPC: H04L29/06 ,  G06K9/62 ,  G06N20/00

Abstract: 基于可信度的内网安全威胁多模型协同防御方法。通过以下方式实现：第1、利用LogSig等十三种日志分析算法从海量日志中提取出异构的日志模板集，通过block_id分块，生成特征矩阵，利用SVM等三种机器学习算法对特征矩阵学习，建立三十九种日志检测模型；第2、通过统计学习算法计算不同检测模型对待测日志预测结果的可信度；第3、利用计算得到的多种模型预测结果的可信度进行多模型预测结果的融合，实现异构模型的协同防御。本发明区别于基于阈值和单模型的分析方式，利用了十三种日志解析算法，三种机器学习算法生成日志检测模型，实现多模型协同；利用统计学习方法，提高了对异常日志的探测能力。

公开(公告)号：CN110673337A

公开(公告)日：2020-01-10

申请号：CN201910920673.1

申请日：2019-09-27

Applicant: 南开大学

Inventor： 刘艳格 ,  郭慧毅 ,  张红伟 ,  毛百威 ,  王志 ,  刘波 ,  张昊

IPC: G02B27/00

Abstract: 一种多芯波导传输特性的快速矢量分析方法。包括：利用数值计算或解析解的方法计算多芯波导的所有本征模式模场分布及所有本征模式的传播常数；通过计算交叠积分对入射模场进行模式成分分析，将入射模场分解为本征模式模场相干叠加的形式；计算一段传输长度后各本征模式的相位变化量，得到传输一段距离后各本征模式的相位；将本征模式模场按照计算得到的相位和振幅进行相干叠加，得到了传输一段距离后的模场。本发明方法只需要对波导的横截面进行本征模式分析，大大节约了计算成本；同时，本发明只包含本征模式计算方法本身的误差，具有计算误差不随波导长度增加而累积的优点。本发明是一种针对复杂形状多芯波导的高效、精确的分析方法。

公开(公告)号：CN106850658B

公开(公告)日：2019-12-03

申请号：CN201710110112.6

申请日：2017-02-28

Applicant: 南开大学 ,  天津云安科技发展有限公司

Inventor： 王志 ,  田美琦 ,  秦枚林 ,  贾春福

IPC: H04L29/06

Abstract: 实时在线学习的网络恶意行为检测方法。本发明不需要提前训练一个恶意行为检测模型，通过实时分析用户的网络行为，吸收用户的行为习惯，基于用户设定的可信度，实时检测网络恶意行为。首先提取网络行为的特征点，组成网络行为的特征向量。把大量的用户正常网络行为的特征向量组成特征矩阵。其次确定不一致性度量函数，计算一个特征矩阵中所有特征向量与该矩阵的不一致性得分，根据计算结果计算出每个特征向量的统计量p‑value。根据用户给定的可信度和网络行为的p‑value的大小关系判断该行为的性质。最后，对每一个新发现的未知行为重复上述过程，若判断为恶意，则报告给用户；否则将该行为吸收进用户正常行为集合，作为下一次检测的输入。

公开(公告)号：CN109462578A

公开(公告)日：2019-03-12

申请号：CN201811227305.0

申请日：2018-10-22

Applicant: 南开大学

Inventor： 王志 ,  杨帆 ,  李昊润 ,  林美含 ,  杨晨煜 ,  刘新慧

IPC: H04L29/06

Abstract: 本发明提出了一种基于统计学习的威胁情报利用与繁殖方法，应用于网络安全领域，基于有限的已知威胁情报，通过统计学习，发现大量未知的威胁情报，实现威胁情报的繁殖。为了躲避安全检测，网络攻击的变化速度越来越快，导致威胁情报的数量增多、时效性缩短。只利用已知威胁情报的安全检测模型，会受到模型退化问题的影响，准确度下降。本发明基于统计学习算法，引入可信度，代替静态阈值，提高模型对未知威胁的识别能力；该方法支持多种异构检测模型，基于可信度对比，实现多模型协同防御；该方法引入滑动时间窗概念，实现检测模型对新出现的威胁情报的快速吸收，对过期情报的有效遗忘。

公开(公告)号：CN109033836A

公开(公告)日：2018-12-18

申请号：CN201810815327.2

申请日：2018-07-24

Applicant: 南开大学

Inventor： 王志 ,  余沛然 ,  孙心怡 ,  魏然 ,  邱克帆

IPC: G06F21/56

CPC classification number: G06F21/563 ,  G06F21/561

Abstract: 本发明提出了一种基于统计学习的恶意代码多模型交叉检测方法，可较好地应用于在恶意代码检测领域。该方法引入可信度，解决各个机器学习模型彼此孤立的问题，提供一个机器学习模型间互相学习的平台。另外，在细粒度的统计学习平台上，多个机器学习模型从不同角度统计分析恶意代码的变异过程，缓解单一模型的退化问题，并使用APV算法来识别概念漂移现象，从而实现多模型共同防御。

公开(公告)号：CN107490434A

公开(公告)日：2017-12-19

申请号：CN201710605418.9

申请日：2017-07-24

Applicant: 南开大学

Inventor： 王志 ,  王振洪 ,  刘艳格 ,  刘波 ,  张昊

IPC: G01J3/28

Abstract: 本发明涉及一种多模光脉冲簇时空光谱信息高速测量的方法及装置，所述方法包括如下步骤：利用模式解复用器将多模光脉冲簇中不同光纤模式的光成分转化为光纤基模并分解到不同的单模光纤中；利用可调衰减器对每路单模光纤中的光进行适当的衰减；利用光纤延迟线和耦合器将光耦合到一根单模光纤中，并将空间模式信息映射到时域上；利用色散光纤将光谱的信息映射到时域上，并利用高速光电探测系统进行探测，从而实现对每个模式光谱信息的高速测量。本发明可用于多模光纤超快激光系统中瞬时脉冲非线性效应的研究。

公开(公告)号：CN106878314A

公开(公告)日：2017-06-20

申请号：CN201710110103.7

申请日：2017-02-28

Applicant: 南开大学 ,  天津云安科技发展有限公司

Inventor： 王志 ,  田美琦 ,  秦枚林 ,  贾春福

IPC: H04L29/06

Abstract: 基于可信度的网络恶意行为检测方法。本发明以分析网络行为的可信度代替设定固定阈值，实现对网络恶意行为的检测。首先提取网络恶意数据的特征，例如，时间戳、发送的数据包数量、发送数据的频率等，将二进制的网络数据转换成特征向量。大量的恶意网络数据对应的特征向量组成特征矩阵。然后确定不一致性度量函数，计算一个特征矩阵中所有特征向量与该矩阵的不一致性，根据计算结果计算出每个特征向量的统计量p‑value。最后通过用户设定的可信度，计算出用户可接受的最大错误概率；当未知网络行为被发现后，计算该网络行为对于网络恶意行为矩阵的统计量p‑value，如果统计量p‑value大于用户可接受的最大错误概率，则报告该网络行为是恶意网络行为。

公开(公告)号：CN106850658A

公开(公告)日：2017-06-13

申请号：CN201710110112.6

申请日：2017-02-28

Applicant: 南开大学 ,  天津云安科技发展有限公司

Inventor： 王志 ,  田美琦 ,  秦枚林 ,  贾春福

IPC: H04L29/06

Abstract: 实时在线学习的网络恶意行为检测方法。本发明不需要提前训练一个恶意行为检测模型，通过实时分析用户的网络行为，吸收用户的行为习惯，基于用户设定的可信度，实时检测网络恶意行为。首先提取网络行为的特征点，组成网络行为的特征向量。把大量的用户正常网络行为的特征向量组成特征矩阵。其次确定不一致性度量函数，计算一个特征矩阵中所有特征向量与该矩阵的不一致性得分，根据计算结果计算出每个特征向量的统计量p‑value。根据用户给定的可信度和网络行为的p‑value的大小关系判断该行为的性质。最后，对每一个新发现的未知行为重复上述过程，若判断为恶意，则报告给用户；否则将该行为吸收进用户正常行为集合，作为下一次检测的输入。

公开(公告)号：CN104102879B

公开(公告)日：2016-08-17

申请号：CN201310130639.7

申请日：2013-04-15

Applicant: 腾讯科技(深圳)有限公司 ,  南开大学

Inventor： 邹赞 ,  张晓康 ,  王志 ,  贾春福 ,  刘露

IPC: G06F21/56 ,  H04L9/36

CPC classification number: G06F21/566 ,  G06F21/567 ,  G06F2221/033

Abstract: 本发明实施例公开了一种消息格式的提取方法和装置，以方法的实现为例，包括：捕获恶意程序客户端的执行轨迹；对所述执行轨迹中的输入消息处理过程进行分析，提取出恶意程序通信协议的输入消息格式。以上方法，针对于恶意程序客户端的执行轨迹来进行分析，可以实现恶意程序通信协议的输入消息格式的自动提取，那么不再依赖于人的手工操作，因此可以提升自动化程度降低对人经验依赖和人力成本，提升了提取效率；针对于恶意程序客户端的执行轨迹来进行分析可以提供系统级别的语义信息，实现细粒度的恶意代码分析，因此分析定位准确，降低了误报率。