公开(公告)号：CN106506630A

公开(公告)日：2017-03-15

申请号：CN201610953238.5

申请日：2016-10-27

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  曹自刚 ,  李镇 ,  郭莉

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明涉及一种基于HTTP内容一致性的恶意网络行为发现方法。该方法包括：1)对HTTP报文进行解析；2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性；3)若步骤2)比较的结果为不一致，则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断；4)对可疑程度大于设定的阈值的不一致行为进行记录；5)对记录的可疑的不一致行为进行扫描和分析，从而发现恶意行为。本发明具有很好的未知恶意行为发现能力，弥补了传统基于规则的防火墙和入侵检测系统对未知恶意行为检测的不足。

公开(公告)号：CN114896539B

公开(公告)日：2025-05-06

申请号：CN202210350716.9

申请日：2022-04-02

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  熊刚 ,  田婧 ,  刘畅 ,  苟高鹏 ,  管洋洋

IPC: G06F16/958 ,  G06F16/901 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/042

Abstract: 本发明涉及一种基于图变分自编码器的匿名社交图恢复方法及系统。对匿名后的社交网络构建社交图，其中用户作为节点，用户之间的关联作为边集，对社交图提取邻接矩阵和节点集；将邻接矩阵和节点集输入图变分自编码器中的编码器，通过编码器提取社交图中节点的结构特征，构成潜层向量空间，以扩大虚假边和真实边的距离；利用图变分自编码器中的解码器对边的存在性进行合理性评判，根据合理性评判结果，通过设定阈值识别增加的虚假边，从而完成针对匿名社交图的恢复。本发明针对现有图匿名攻击的缺陷，实现了一种社交图中匿名虚假边识别原型系统，其编码‑解码结构能提取虚假边区别于正常边的隐式特征，高准确率识别还原社交网络图。

公开(公告)号：CN114021637B

公开(公告)日：2025-04-22

申请号：CN202111282170.X

申请日：2021-11-01

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  石俊峥 ,  王宇 ,  苟高鹏 ,  管洋洋 ,  扶佩佩 ,  熊刚

IPC: G06F18/241 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23213 ,  G06N3/09 ,  H04L9/40

Abstract: 本发明公开了一种基于度量空间下去中心化应用加密流量分类方法及装置，包括收集去中心化应用的加密流量，对各加密流量标记应用；利用各加密流量的特征向量，进行聚类，以划分简单样本和困难样本；将聚类结果中任一困难样本作为正样本F，该正样本F所属类别的簇中心点作为正样本簇中心CF，其他类别中的任一困难样本作为负样本F′i，该负样本F′i所属类别的簇中心点作为#imgabs0#以构建若干四元组#imgabs1#利用四元组S对四重网络进行训练，得到分类模型；将测试集中的样本输入分类模型，在度量空间下计算相似度，获取目标加密流量的分类结果。本发明提供包含更多信息的优质样本，有效的筛选简单数据集，通过网络自动学习有效特征，使DApps分类更加高效、更加准确。

公开(公告)号：CN119854181A

公开(公告)日：2025-04-18

申请号：CN202411779965.5

申请日：2024-12-05

Applicant: 中国科学院信息工程研究所

Inventor： 崔明鑫 ,  苟高鹏 ,  叶凌云 ,  熊刚 ,  李镇

IPC: H04L43/0888 ,  H04L47/127 ,  H04L47/19 ,  H04L9/08

Abstract: 本发明公开了一种隧道用户精细化行为的识别方法及系统，属于网络流量检测领域。本发明提取无标注隧道流量的字节特征，通过预训练网络模型学习无标注隧道流量的上下文关系，生成字节特征的向量表示；提取目标隧道用户行为流量的字节特征、数据包长度序列和数据包到达时间间隔序列，通过预训练网络模型获取字节特征的向量表示；基于卷积神经网络CNN获取字节特征的向量表示、数据包长度序列和数据包到达时间间隔序列的隐藏状态特征，再通过融合获得综合隐藏状态特征；将综合隐藏状态特征输入到分类器中预测目标隧道用户行为。本发明能够解决现有方法难以识别真实网络环境下识别隧道用户行为难的问题。

公开(公告)号：CN119675904A

公开(公告)日：2025-03-21

申请号：CN202411626111.3

申请日：2024-11-14

Applicant: 中国科学院信息工程研究所

Inventor： 夏葳 ,  熊刚 ,  李镇 ,  陈子骞 ,  肖俊超 ,  梁睿琪

IPC: H04L9/40 ,  H04L67/12 ,  G06N3/006

Abstract: 本发明公开了一种针对IoT入侵检测系统的成本敏感流量特征选择方法及系统，属于物联网领域。本发明通过量化特征计算成本与识别效果的平衡，优化特征子集。使用计算成本评估模型对特征的计算负担进行量化，并结合粒子群优化算法与正交稀疏向量初始化策略，从多个流量场景中筛选出高效且精准的特征子集。通过多维适应度函数评估计算损失、识别能力与特征数量的综合效果，确保特征子集在降低计算成本的同时不牺牲检测精度。本发明有效提高了IoT恶意流量识别的效率与精度。

公开(公告)号：CN118114106A

公开(公告)日：2024-05-31

申请号：CN202410101840.0

申请日：2024-01-24

Applicant: 中国科学院信息工程研究所 ,  三六零数字安全科技集团有限公司

Inventor： 熊刚 ,  苟高鹏 ,  朱智燊 ,  石俊峥 ,  崔明鑫 ,  李镇 ,  姚珊 ,  余洋 ,  陈曦

IPC: G06F18/241 ,  G06F18/2321 ,  H04L9/40

Abstract: 本发明公开了一种工业控制系统加密流量的敏感行为识别方法及系统，该方法包括：获取控制台工程师站到远程工控设备终端的带行为标签的网络流量，并将所述网络流量分割成独立的网络流作为输入样本；删除输入样本中的周期性包长序列片段，得到学习输入；对学习输入行聚类生成若干敏感行为指纹组，并计算每一敏感行为指纹组中各敏感行为指纹的相应权重；对实时采集的加密流量进行片段切分后，基于所述敏感行为指纹组和敏感行为指纹组中各敏感行为指纹的相应权重进行指纹组的加权配对，得到该加密流量的敏感行为识别结果。本发明可以在工业控制系统网络流量已被加密的情况下仍能检测出敏感行为。

公开(公告)号：CN113630384A

公开(公告)日：2021-11-09

申请号：CN202110778054.0

申请日：2021-07-09

Applicant: 中国科学院信息工程研究所

Inventor： 扶佩佩 ,  李真真 ,  苟高鹏 ,  刘畅 ,  杨青娅 ,  李镇 ,  熊刚

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/46 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于NetFlow数据的特定加密流量识别方法及系统。该方法的步骤包括：利用原始网络流量生成NetFlow序列；采用双向LSTM网络捕获NetFlow序列的上下文关系；采用注意力机制对NetFlow序列的上下文关系进行注意力权重计算，得到NetFlow序列的特征；利用得到的NetFlow序列的特征识别加密流量。本发明以NetFlow序列作为输入来保护用户隐私，利用双向LSTM网络尽可能捕获稀疏流记录上下文关系，增加注意力机制进行注意力权重计算，对信息进行加权，实现对相关性特征的增强，自动学习流记录的潜在特征。即使在较低的采样率下，本发明仍能够取得较好的加密流量识别效果。

公开(公告)号：CN112651227A

公开(公告)日：2021-04-13

申请号：CN202011328134.8

申请日：2020-11-24

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  王炳旭 ,  崔天宇 ,  李镇 ,  苟高鹏 ,  刘梦严

IPC: G06F40/216 ,  G06F40/284 ,  G06F40/30 ,  G06N3/04 ,  H04L29/12

Abstract: 本发明涉及一种基于向量空间下语言建模的IPv6目标生成方法和装置。本发明将整个活动地址空间映射到语义向量空间，实验证明这可以有效地对活动地址空间进行地址分类；通过使用Transformer网络进行建模，采用基于余弦相似度和softmax温度参数的方法来替换语言模型中的概率预测，实验证明该方案可以全面考虑多个序列关系，并生成与数据集具有语义相似且更富有创造性的地址序列。本发明首次探索了IPv6语义空间的构建，可以有效地提取地址的语义信息并对活跃地址空间分类，采用了新的生成方法完善了语言模型以获得富有创意性的地址序列，能够在有限数据集下生成更多的活跃目标。

公开(公告)号：CN110602038B

公开(公告)日：2020-12-04

申请号：CN201910706278.3

申请日：2019-08-01

Applicant: 中国科学院信息工程研究所

Inventor： 苟高鹏 ,  熊刚 ,  陈洁 ,  李镇 ,  徐安林

IPC: H04L29/06 ,  G06F16/903 ,  G06F16/906

Abstract: 本发明提供一种基于规则的异常UA检测和分析的方法及系统，基于Spark网络流量捕获平台对网络流量进行捕获，根据HTTP格式将HTTP流量从所有网络流量中过滤出来，通过对HTTP流量进行UA字段的提取，可以有效针对网络流量中的异常UA进行检测和分析，从而便于网络管理和恶意软件检测。

公开(公告)号：CN110708341B

公开(公告)日：2020-09-29

申请号：CN201911119243.6

申请日：2019-11-15

Applicant: 中国科学院信息工程研究所

Inventor： 石俊峥 ,  刘梦严 ,  蒋明昊 ,  宋嘉莹 ,  李镇 ,  熊刚 ,  苟高鹏 ,  崔明鑫

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明提供一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统，其步骤包括：获取远程桌面客户端到远程桌面服务端的网络流量，并将所述网络流量分割成独立的网络流；将每一条所述的网络流分割成若干个流尖峰，并根据每个流尖峰的包长序列和包到达时间序列获取向量化后的数据集；将所述数据集送入用户行为检测模型，获取远程桌面客户端的粗粒度行为与细粒度动作。本发明无需对加密流量进行解密，只需利用流量的包长序列和到达时间序列提取统计特征，即可实现对用户的粗粒度行为与细粒度动作的检测。