公开(公告)号：CN112804251B

公开(公告)日：2022-04-15

申请号：CN202110136774.7

申请日：2021-02-01

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  赵跃 ,  史建焘 ,  刘立坤 ,  王久金 ,  冯帅 ,  宋赟祖 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  车佳臻

IPC: H04L9/40

Abstract: 一种基于userId的Android应用流量过滤方法与系统，属于网络安全技术领域。本发明包括以下步骤：步骤一、从Android设备中读取指定应用的userId；步骤二、使用iptables给指定userId打上流标签；步骤三、编写iptables规则，将带有所述流标签的userId的INPUT、OUTPUT数据包放入NFLOG消息池中，并为所述NFLOG消息池指定一个标号；步骤四、从所述NFLOG消息池中获取目标userId对应的纯净流量集。本发明解决了应用流量混杂在一个网络中导致应用网络流量无法进行准确分析的问题。

公开(公告)号：CN113656073A

公开(公告)日：2021-11-16

申请号：CN202110947992.9

申请日：2021-08-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  杨霄璇 ,  李精卫 ,  石开宇 ,  韦贤葵 ,  冯帅 ,  王久金 ,  车佳臻 ,  赵跃 ,  宋赟祖

IPC: G06F9/38 ,  G06N3/12

Abstract: 本发明提出一种大模式集下基于并行调度模式重组方法、计算机及存储介质，属于人工智能技术领域具体包括，首先，对模式集划分为模式子集，选取最优划分模式子集作为结果；其次，利用优化的遗传退火算法将模式子集调度到多核中；再其次，对模式子集进行评估，判断是否需要对运行时间长的子集进行二次重组，最后，根据评估结果，对不满足评估条件的模式子集进行模式重组。本发明能够适应长度分布不同的多种模式集特征，细粒度地对模式集划分、调度、评估与重组。解决现有技术中存在的检测预定义模式集运行时间长的技术问题。实现了检测预定义模式集运行时间短的效果。

公开(公告)号：CN113067819A

公开(公告)日：2021-07-02

申请号：CN202110292025.3

申请日：2021-03-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  韦贤葵 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  李精卫 ,  石开宇 ,  车佳臻 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖

IPC: H04L29/06

Abstract: 一种分布式异步并行检测MPTCP协议多路径攻击的算法，涉及一种异步并行检测攻击算法的技术领域。本发明由三个子算法组成；process_packet、process_state和ac_scan，三个子算法对应与分布式异步检测模型状态机中的三种状态，PROCESS_PACKET、PROCESS_STATE和SCAN；其中PROCESS_PACKET表示数据报文状态、PROCESS_STATE表示状态同步报文状态和SCAN表示扫描状态；相应的process_packet子算法处理数据报文；process_state子算法处理状态同步报文；ac_scan子算法为算法自动机，扫描边界数据，支持对输入数据从指定的自动机节点开始扫描，具体为支持对整个数据报文从自动机根节点开始扫描和支持对边界数据从指定自动机节点开始扫描；解决现有技术对MPTCP协议多路径攻击检测存在系统性能较差、占用CPU资源、防御效果差、处理性能差的技术问题。

公开(公告)号：CN111988239A

公开(公告)日：2020-11-24

申请号：CN202010848858.9

申请日：2020-08-21

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张翀 ,  卓子寒 ,  邢潇 ,  余翔湛 ,  刘睿 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L12/859

Abstract: 本发明提供了一种用于Android应用的软件纯净流量获取方法。用于Android应用的软件纯净流量获取方法包括：进行流量捕获以获得对应的流量集，并在流量捕获期间，采用脚本记录目标软件占用的端口信息和时间戳信息；基于目标软件占用的端口信息和时间戳信息对步骤S1所捕获的流量集进行流量提纯，以获得目标软件对应的纯净流量集。本发明的一种用于Android应用的软件纯净流量获取方法，能够克服现有技术的上述不足，准确地提取Android应用的软件纯净流量。

公开(公告)号：CN114969598B

公开(公告)日：2025-03-18

申请号：CN202210470323.1

申请日：2022-04-28

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  张晓慧 ,  苗钧重 ,  刘凡 ,  李精卫 ,  石开宇 ,  韦贤葵 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  郭明昊 ,  车佳臻

IPC: G06F16/958 ,  G06F9/445

Abstract: 本发明提出涉及基于隐藏插件CSS泄漏的浏览器指纹防御方法、电子设备及存储介质，属于浏览器指纹防御技术领域。包括以下步骤：S1.收集提炼插件的CSS，并保存在本地；S2.控制隐藏或显示的安装插件向网页引入的CSS，所述安装插件向网页引入的CSS包括layout无关属性的隐藏和layout相关属性的隐藏。S3.完成随机化插件。本发明不仅能够隐藏我们真实的安装插件信息，还能够抵御浏览器指纹识别，保护用户的隐私信息，通过随机化安装的插件，主动抵御网站收集插件作为指纹信息；解决现有技术中存在的防御指纹方法灵活性不高、性能差和防御性不强的技术问题。

公开(公告)号：CN119544354A

公开(公告)日：2025-02-28

申请号：CN202411751420.3

申请日：2024-12-02

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  谷杰铭 ,  刘奉哲 ,  刘立坤 ,  胡智超 ,  葛蒙蒙 ,  秦浩伦 ,  李卓凌 ,  刘海心 ,  宋晨 ,  王邦国 ,  牟铎 ,  张垚 ,  张靖宇 ,  周杰 ,  傅言晨 ,  李岱林

IPC: H04L9/40 ,  H04L41/14 ,  G06N3/08 ,  G06F18/214

Abstract: 本发明公开了一种网络流量多任务增量预训练模型架构设计方法，属于网络安全检测技术领域。解决了现有技术中传统的多任务深度神经网络框架无法随网络环境动态变化保持对新任务的高精度判别能力的问题；本发明构建了预训练模型与共有知识表示层分离的、引入特定任务表示层的多任务增量预训练模型架构；对多任务增量预训练模型架构中的预训练模型进行训练，得到训练后的多任务增量预训练模型架构；对训练后的多任务增量预训练模型架构进行微调，根据设置的共有知识表示层架构和特定任务表示层架构，得到最终的多任务增量预训练模型架构。本发明有效提升了网络流量检测的泛化能力、稳定性和检测效果，可以应用于复杂多变的网络环境下的网络流量检测。

公开(公告)号：CN118349866B

公开(公告)日：2025-02-14

申请号：CN202410449202.8

申请日：2024-04-15

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  郭一澄 ,  刘立坤 ,  胡智超 ,  史建焘 ,  葛蒙蒙 ,  苗钧重 ,  郭明昊 ,  高展鹏 ,  王钲皓 ,  张森 ,  陈东鑫 ,  程明明 ,  张垚 ,  张靖宇 ,  李岱林 ,  傅言晨 ,  周杰

IPC: G06F18/23213 ,  H04L9/40 ,  H04L61/4511

Abstract: 本发明公开了一种移动应用SNI信息大规模细粒度分类算法，属于网络安全技术领域。解决了现有技术中传统的域名分类方法难以在大规模的SNI结果中剔除无效SNI信息并提取相关特征SNI的问题；本发明基于统计特征对SNI提取结果中确定为无效信息的二级域名进行删除，根据得到的初筛无效二级域名在APP出现的次数，基于预设的阈值条件对特征字符串去重，得到第一次去重结果并采用K‑Means聚类对其去重两次，得到第三次去重结果；遍历第三次去重结果中的重复的SNI数据，对不相似APP的二级域名的SNI去重，对所得结果数据清洗，得到最终特征SNI结果。本发明有效提取了APP的特征SNI，可以应用于加密流量特征识别。

公开(公告)号：CN118410483A

公开(公告)日：2024-07-30

申请号：CN202410498504.4

申请日：2024-04-24

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  郭一澄 ,  余翔湛 ,  胡智超 ,  史建焘 ,  郭明昊 ,  葛蒙蒙 ,  苗钧重 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: G06F21/56 ,  H04L41/14 ,  H04L67/56 ,  H04L9/40 ,  G06F18/10 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了一种基于启发式动态分析的移动应用网络信息提取方法，属于网络信息安全技术领域。解决了现有技术中传统的动态网络分析方法和静态网络分析方法难以实现全面地对APP提取有效网络特征信息的问题；本发明通过逆向待分析应用的apk文件获取程序源码，遍历所得逆向结果中同网络信息相关的关键位置，提取输出静态启发信息及静态网络特征数据；基于随机动作点击和控件坐标生成原始流量，并通过基于代理的方法实现常用协议流量实时解密，对明密文流量中相关协议特征参数进行提取获得动态网络特征数据，对静态网络字符串变量结果和动态网络分析结果进行清洗，输出最终结果。本发明有效提升了流量生成和分析的效率，可以应用于APP测试。

公开(公告)号：CN116668182B

公开(公告)日：2023-11-10

申请号：CN202310837529.8

申请日：2023-07-10

Applicant: 哈尔滨工业大学

Inventor： 葛蒙蒙 ,  余翔湛 ,  赵跃 ,  刘立坤 ,  史建焘 ,  胡智超 ,  刘奉哲 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  孔德文 ,  高展鹏 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森

IPC: H04L9/40

Abstract: 本发明公开了一种基于多流上下文关系的加密应用行为流量检测方法，属于流量检测技术领域。解决了现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题；本发明包括以下步骤：S1.定义多流和多流关系，构建多流结构；S2.对给定的多流结构进行多流结构匹配；具体的：S21.计算出整体多流相似度和单流相似度，得到单流匹配集合；S22.计算出给定的多流结构和给定的待匹配多流的多流相似度；S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功；S3.定义上下文关系，构建上下文结构；S4.对给定的待匹配多流队列进行多流队列匹配；本发明提高了行为流量检测的准确性，可以应用于流量检测。

公开(公告)号：CN116896469A

公开(公告)日：2023-10-17

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。