公开(公告)号：CN119363462A

公开(公告)日：2025-01-24

申请号：CN202411557920.3

申请日：2024-11-04

Applicant: 国网江苏省电力有限公司信息通信分公司 ,  国网江苏省电力有限公司 ,  东南大学

Inventor： 赵新建 ,  程光 ,  陈石 ,  张颂 ,  宋浒 ,  窦昊翔 ,  张玉健 ,  徐晨维 ,  吴子成 ,  沈力

IPC: H04L9/40 ,  G06F16/36

Abstract: 本发明公开了一种攻击行为的分析方法、装置、设备、存储介质及产品，所述方法包括：获取网络攻击行为相关的告警信息并对告警信息进行处理，得到攻击行为信息；将攻击行为信息与网络攻击行为知识库中的专家知识进行匹配，得到至少一种攻击类型，并生成攻击行为图；对攻击行为图进行攻击行为关联分析，生成至少一条可能攻击路径；对各可能攻击路径进行危害程度评估，得到各可能攻击路径对应的危害程度分析结果。本发明公开的攻击行为的分析方法，针对攻击行为生成攻击行为图，进而生成可能攻击路径并对每条路径进行危害程度评估，可以发现潜在的攻击路径，使对攻击行为的分析更全面，并且可以使对攻击危害程度的评估更加准确。

公开(公告)号：CN119357837A

公开(公告)日：2025-01-24

申请号：CN202411544191.8

申请日：2024-10-31

Applicant: 东南大学

Inventor： 程光 ,  付楠 ,  张炎

IPC: G06F18/243 ,  G06N3/088 ,  G06F18/213 ,  G06N3/045 ,  G06F18/22 ,  G06F18/214 ,  G06N3/08

Abstract: 本发明提出了一种基于微服务系统多源数据的无监督异常检测方法，具体步骤为微服务选择、多源特征序列构建、异常检测和解释四个部分。微服务选择时，提取追踪数据构建调用树，分析故障传播模式，并将调用树中的叶子节点对应微服务定义为故障敏感实例。多源特征序列构建时，分析指标和追踪与不同故障的相关性，在时间上进行关联并实现特征序列化。异常检测时，使用滑动窗口机制将时序特征划分为连续数据块，通过对数据块的编码和重构判断数据块状态。异常解释时，提取数据块重构距离，获取异常概率较大的微服务实例及对应特征。本发明可用于企业、云服务提供商评估内部云环境中关键业务、应用服务和系统的运行状态，为提高应用服务质量提供保障。

公开(公告)号：CN115189936B

公开(公告)日：2024-12-10

申请号：CN202210796254.3

申请日：2022-07-07

Applicant: 东南大学

Inventor： 许昱玮 ,  黄信旭 ,  杨华斌 ,  汪磊 ,  胡晓艳 ,  程光

IPC: H04L9/40

Abstract: 本发明设计了一种基于特征选择的Tor隐藏服务流量识别方法。该方法通过构建基于云服务器的隐藏服务流量采集系统来完成Tor版本3隐藏服务流量采集与数据预处理，通过设计一种特征选择算法来为不同识别模型构建最优特征子集。隐藏服务流量采集与数据预处理主要包括构建基于云服务器的流量采集系统、Tor隐藏服务流量采集、Tor隐藏服务流量数据预处理。特征选择算法以mRMR算法为基础通过改善相关冗余的估计误差与减少无关冗余的负面影响来为不同的识别模型构建最优特征子集，从而在保证识别准确率与误报率的前提下降低识别模型的实际部署开销。

公开(公告)号：CN115065983B

公开(公告)日：2024-12-03

申请号：CN202210623575.3

申请日：2022-06-02

Applicant: 东南大学

Inventor： 吴桦 ,  王瑞 ,  程光

IPC: H04W24/02 ,  G06F18/214 ,  G06N20/00 ,  G06N20/10

Abstract: 本发明公开了一种基于服务分析的高耦合移动应用识别方法。在模型训练阶段，该方法首先捕获移动应用从启动开始运行几十秒的网络流量数据，并为网络流量数据打上标签；然后设置时间长度t，提取t秒网络流量数据中移动应用访问的服务信息作为属性，形成属性空间；接着，根据属性空间生成特征向量，将特征向量和应用标签组成样例；最后，利用有监督的机器学习算法训练分类模型，在训练模型的过程中对属性空间进行优化，得到最终的识别模型。在应用识别阶段，利用训练阶段得到的识别模型识别网络流量中的移动应用。本发明可以实现从多个高耦合移动应用中精准识别出每一个具体的高耦合移动应用，可以为互联网提供商为不同应用提供差异化服务提供前提。

公开(公告)号：CN115174961B

公开(公告)日：2024-09-27

申请号：CN202210796253.9

申请日：2022-07-07

Applicant: 东南大学

Inventor： 吴桦 ,  乐鑫 ,  程光

IPC: H04N21/234 ,  H04N21/44 ,  H04N21/858

Abstract: 本发明公开了一种面向高速网络的多平台视频流量早期识别方法，首先从多个平台采集原始流量，然后根据流的握手或者请求信息对视频流和非视频流进行标记。接着基于协议无关原则构建用于分类视频和非视频流量的特征空间，并对已标记的流量提取特征向量构建数据集。最后，使用有监督机器学习方法，对包含视频和非视频流量的数据集离线构造分类模型。该分类模型结合前面提出的特征空间，可以在高速网络采样数据采集情景下准确地识别高速网络中的视频流量。本发明提出的特征空间可以从流的少量数据包中提取稳定的特征向量，可以在流传输的早期阶段识别视频流量。本发明可以在有限的内存和合理时间内实现对海量高速流量中视频流量的实时识别，能够用于网络流量分析和网络管理。

公开(公告)号：CN115314407B

公开(公告)日：2024-08-02

申请号：CN202210927727.9

申请日：2022-08-03

Applicant: 东南大学

Inventor： 吴桦 ,  韩振 ,  程光

IPC: H04L43/028 ,  H04L43/04 ,  H04L43/0829 ,  H04L43/0852 ,  H04L43/0876 ,  H04L43/55 ,  H04L41/16

Abstract: 本发明公开了一种基于网络流量的网络游戏QoE(Quality of Experience，体验质量)检测方法。首先搭建延迟和丢包可控的实验环境，进行主观QoE评估实验，根据实验结果进行数据统计分析，获得以延迟和丢包率为自变量的QoS‑QoE检测模型。然后，在实验环境中采集不同丢包率的流量样本数据，提取流量特征并优化得到丢包率训练样本集，使用机器学习算法训练得到丢包率分类模型。最后，使用数据采集设备采集游戏流量，通过丢包率分类模型得到丢包等级，通过统计流量得到延迟数据，将丢包率分类结果、延迟检测结果代入QoS‑QoE检测模型，实现对用户游戏QoE的检测。本发明基于网络流量检测用户游戏QoE，可用于网络管理和用户QoE监测。

公开(公告)号：CN113901334B

公开(公告)日：2024-07-16

申请号：CN202111194702.4

申请日：2021-10-13

Applicant: 东南大学

Inventor： 吴桦 ,  祝成飞 ,  王磊 ,  程光 ,  胡晓艳

IPC: G06F16/9536 ,  G06Q50/00 ,  G06F18/24 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/08 ,  H04L67/1396

Abstract: 本发明公开了一种基于服务数据矩阵的社交软件用户行为识别方法。该方法首先对每个用户行为持续时间内所有的服务进行统计，建立关联服务数据矩阵，根据关联服务出现的频次特征从加密流量中筛选出相对稳定的控制数据流，即控制服务数据，提取其数据分组长度作为原始特征，然后使用深度学习算法,自动从控制服务分组的负载长度序列中提取特征以识别用户的行为。本发明提供的方法，只需要检测很少的控制数据分组即可达到很高的识别准确率，可用于社交软件用户行为近实时识别。该方法对将控制数据和用户数据分开传输的社交软件用户行为识别具有很好的效果，可用于网络的流量分析与网络安全管理。

公开(公告)号：CN118264477A

公开(公告)日：2024-06-28

申请号：CN202410442453.3

申请日：2024-04-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  戴琦 ,  程光 ,  吴桦

IPC: H04L9/40

Abstract: 本发明公开了一种基于领域泛化的网络钓鱼URL检测方法及系统，首先对URL字符串进行编码，得到URL数字向量；再应用两种数据生成技术生成良性URL和钓鱼URL，提高训练集的多样性；接着使用Encoder网络构建预训练模型，利用预训练模型学习良性URL字符间的语义关系，生成通用的URL嵌入；最后使用扩充后的数据集，对预训练模型进行微调，构建具有强大泛化能力钓鱼URL检测模型，实现网络钓鱼URL的检测。本发明方法能够实现对钓鱼URL的持久有效检测，即便当钓鱼URL特征分布发生显著变化时，模型的检测准确率依旧很高。

公开(公告)号：CN118133276A

公开(公告)日：2024-06-04

申请号：CN202410442455.2

申请日：2024-04-12

Applicant: 东南大学

Inventor： 胡晓艳 ,  李佳鹏 ,  程光 ,  吴桦

IPC: G06F21/55 ,  G06F18/10 ,  G06F18/214 ,  G06F18/24 ,  G06F18/213 ,  G06N3/042 ,  G06N3/08

Abstract: 本发明公开了一种基于小样本增量学习的可扩展网络公害检测方法及系统，将数据包长度信息转换为图向量，再将图向量转为可训练的RGB图像；使用基础类别样本训练基础分类模型，得到特征提取网络主干以及基础类别分类器权值；在类增量学习前对GAT模型训练，将基础类别数据集划分为伪基础类别和伪增量类别进行伪增量学习，将伪增量学习的分类器输入到GAT模型中进行更新，计算损失函数以优化GAT参数，最后GAT模型的参数；在进行类增量学习阶段，利用少量增量类别样本和已训练的网络主干学习增量类别分类器权值，并在基础类别分类器权值以及预训练的GAT模型的基础上对所有分类器权值进行更新，利用已训练的网络主干结合更新后的分类器可实现新旧攻击的识别。

公开(公告)号：CN117955687A

公开(公告)日：2024-04-30

申请号：CN202311721928.4

申请日：2023-12-14

Applicant: 东南大学

Inventor： 许昱玮 ,  吴泽辉 ,  张天天 ,  田萌萌 ,  戴生江 ,  曾君玉 ,  蔡海浪 ,  程光

IPC: H04L9/40 ,  H04L9/00 ,  H04L9/06

Abstract: 本发明涉及一种基于区块链的隐蔽通信方法，具有隐蔽性强、信道容量高的优点。本发明包括地址二叉树动态标签与秘密信息嵌入两个部分。地址二叉树动态标签通过构建与更新地址二叉树提供隐蔽通信的区块链交易源地址与目的地址,隐蔽通信的发送方借助地址二叉树为每笔特殊交易生成地址以躲避检测，隐蔽通信的接收方利用地址二叉树快速识别出新生成的特殊交易以提取其中的秘密信息。秘密信息嵌入将隐蔽通信需要传输的秘密信息进行加密、混淆后，编码嵌入至区块链交易的交易金额字段，并将交易提交至区块链上，从而实现隐蔽通信。通过采用地址二叉树动态标签提高了隐蔽通信的抗检测能力；通过秘密信息嵌入提高了隐蔽通信的信道容量，提高了传输效率。