公开(公告)号：CN116821907A

公开(公告)日：2023-09-29

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无法利用少量新型恶意攻击样本对模型参数进行充分调整，使模型无法适应新型恶意攻击识别问题。提升小样本场景攻击识别效果。

公开(公告)号：CN110851824B

公开(公告)日：2023-07-28

申请号：CN201911106972.8

申请日：2019-11-13

Applicant: 哈尔滨工业大学 ,  电子科技大学广东电子信息工程研究院

Inventor： 叶麟 ,  詹东阳 ,  余翔湛 ,  刘立坤 ,  张宇 ,  于海宁 ,  方滨兴 ,  尹怀东 ,  蒋振韬

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明属于计算机技术领域，具体涉及一种针对恶意容器的检测方法，包括以下步骤，步骤1、对被监控虚拟机中所有进程的创建行为进行监听；步骤2、判断创建的进程是否属于该虚拟机中的容器，若此进程属于该虚拟机中的容器，则读取其执行文件的信息；若此进程不属于该虚拟机中的容器，则结束；步骤3、在读取完毕后，从容器中查找该执行文件；步骤4、对执行文件进行安全扫描，若该执行文件为恶意文件，则测得其对应的容器即为恶意容器。与现有技术相比，本发明能够有效地检测出恶意容器，从而防止恶意容器对虚拟机的控制与控制，提高了系统的安全性。

公开(公告)号：CN114862001A

公开(公告)日：2022-08-05

申请号：CN202210454436.2

申请日：2022-04-27

Applicant: 哈尔滨工业大学

Inventor： 刘春雨 ,  张宏莉 ,  刘立坤 ,  田泽庶 ,  孟超

IPC: G06Q10/04 ,  G06Q50/26 ,  G06F16/29 ,  G06K9/62 ,  G06N20/00 ,  G06F17/18

Abstract: 一种基于区域功能增强特征的城市人群流量预测方法及系统，涉及城市智能计算技术领域，用以解决现有技术对于城市人群流量预测准确性不高的问题。本发明的技术要点包括：根据人群移动轨迹数据和城市兴趣点位置数据提取时空轨迹特征集和区域功能增强特征集，并将时空轨迹特征集和区域功能增强特征集结合输入预训练的机器学习预测模型中预测人群流量，其中，区域功能增强特征集包括基于兴趣点的区域功能增强特征集和基于轨迹的区域功能增强特征集。本发明中模型输入特征不仅考虑了轨迹特征，还考虑了兴趣点特征，即包含了基于城市各个区域功能影响的特征提取，可以有效地提高城市动态时空轨迹的流量预测结果的准确性。

公开(公告)号：CN111988239B

公开(公告)日：2022-07-15

申请号：CN202010848858.9

申请日：2020-08-21

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 张翀 ,  卓子寒 ,  邢潇 ,  余翔湛 ,  刘睿 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L47/2475

Abstract: 本发明提供了一种用于Android应用的软件纯净流量获取方法。用于Android应用的软件纯净流量获取方法包括：进行流量捕获以获得对应的流量集，并在流量捕获期间，采用脚本记录目标软件占用的端口信息和时间戳信息；基于目标软件占用的端口信息和时间戳信息对步骤S1所捕获的流量集进行流量提纯，以获得目标软件对应的纯净流量集。本发明的一种用于Android应用的软件纯净流量获取方法，能够克服现有技术的上述不足，准确地提取Android应用的软件纯净流量。

公开(公告)号：CN111935136B

公开(公告)日：2022-05-20

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L9/40 ,  H04L61/4511 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。

公开(公告)号：CN114372267A

公开(公告)日：2022-04-19

申请号：CN202111340418.3

申请日：2021-11-12

Applicant: 哈尔滨工业大学 ,  上海浦东发展银行股份有限公司

Inventor： 余翔湛 ,  刘立坤 ,  陈巍 ,  史建焘 ,  葛蒙蒙 ,  叶麟 ,  于喜东 ,  王永强 ,  冯帅 ,  赵跃 ,  王久金 ,  宋赟祖 ,  郭明昊 ,  胡智超 ,  苗钧重 ,  刘凡 ,  李精卫 ,  石开宇 ,  韦贤葵 ,  孔德文 ,  羿天阳 ,  刘奉哲 ,  李竑杰

IPC: G06F21/56 ,  G06F16/955 ,  G06F16/951 ,  G06F16/9535 ,  G06F40/284 ,  G06F40/216

Abstract: 本发明提出一种基于静态域的恶意网页识别检测方法、计算机及存储介质，属于网页识别检测技术领域。包括步骤一、实时监听网页流量，提取HTTP头部的URL地址；步骤二、将URL地址与黑名单库中存储的URL地址进行匹配；步骤三、解析匹配失败的网页流量；步骤四、爬取解析后的网页流量中的JS、CSS文件；步骤五、提取目标网页的网页指纹；步骤六、识别网页流量；步骤七、比较两个网页的URL地址；若URL地址相同，说明流量中的网页为正常网页，保存匹配日志；若URL地址不同，说明流量中的网页为恶意网页，进行阻断。解决不能适用于实际应用中实时检测的需要的技术问题。实现了降低网页匹配过程的时间成本的技术效果。

公开(公告)号：CN113779567A

公开(公告)日：2021-12-10

申请号：CN202111061684.2

申请日：2021-09-10

Applicant: 哈尔滨工业大学

Inventor： 史建焘 ,  刘立坤 ,  余翔湛 ,  叶麟 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  车佳臻 ,  赵跃 ,  冯帅 ,  王久金 ,  宋赟祖 ,  谭通海

IPC: G06F21/55 ,  G06F9/54 ,  G06F21/56 ,  G06F9/50 ,  G06F9/48

Abstract: 本发明提出一种面向DPI多核的缓存丢失攻击的防御方法、计算机及存储介质，属于智能防御技术领域。建立多核的算法攻击防御框架，将所有业务线程逻辑上划分为常规线程和攻击线程。流量经负载调度模块分发给常规线程，常规线程运行常用模式匹配算法进行模式匹配。当攻击检测模块检测到缓存攻击时，将攻击流下发给负载调度模块，其将攻击后续流转移到攻击线程处理。常规线程和攻击线程的数量可以根据CPU的压力情况进行自动切换，同时，将自己的线程变更后的类型反馈给负载调度模块，在负载调度模块对反馈确认前，将线程间已经收到的报文进行交换，避免报文的丢失。解决现有技术存在的DPI系统受到攻击时，处理严重延迟或丢包的技术问题。

公开(公告)号：CN113709156A

公开(公告)日：2021-11-26

申请号：CN202110994850.8

申请日：2021-08-27

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  杨霄璇 ,  韦贤葵 ,  李精卫 ,  石开宇 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  谭通海 ,  车佳臻

IPC: H04L29/06

Abstract: 本发明提出一种NIDS网络渗透检测方法、计算机及存储介质，属于智能检测技术领域。具体包括，首先，检测TCP状态机攻击模型中的NIDS到服务端的TTL字段值；其次，判断接收报文数据包的类型，当报文数据包为控制报文时执行控制报文数据攻击检测，当报文数据包为数据报文时执行数据报文攻击检测；再其次，检测TCP状态机攻击模型中控制报文；最后，检测TCP状态机攻击模型中数据报文数据包。本发明通过对TCP状态机攻击伪数据包的识别，解决了绕过NIDS检测的TCP状态机攻击的技术问题。

公开(公告)号：CN108833554B

公开(公告)日：2021-05-18

申请号：CN201810649775.X

申请日：2018-06-22

Applicant: 哈尔滨工业大学

Inventor： 叶麟 ,  余翔湛 ,  刘立坤 ,  史建焘 ,  刘飞扬 ,  赵俊达 ,  陈晨 ,  郭冠军 ,  王旭东 ,  葛蒙蒙 ,  朱秋萍

IPC: H04L29/08 ,  H04L12/58

Abstract: 一种面向大规模网络的实时高可靠消息分发系统及其方法属于网络传输领域；装置包括多媒体平台连接中央服务器，一个中央服务器连接若干个中转服务器，一个中转服务器连接若干个终端用户，若干个终端用户分成若干个小组，每个小组之间的终端用户相互连接；方法包括中央服务器广播一条控制信息，确定当前在线的终端用户及其状态；当中央服务器分发消息时，通过RabbitMQ传输文件信息，终端用户接收到消息信息后，返回一个反馈信息，建立对应的消息传输队列；当发送消息过大时，用P2P进行多媒体文件的分发；终端用户收到完整的种子文件后，终端用户开启本地P2P下载进程；本发明有效的解决了网络数据在分发过程中无法兼顾实时性与可靠性的问题。

公开(公告)号：CN111935136A

公开(公告)日：2020-11-13

申请号：CN202010789093.6

申请日：2020-08-07

Applicant: 哈尔滨工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 卓子寒 ,  张翀 ,  邢潇 ,  余翔湛 ,  李康 ,  叶麟 ,  史建焘 ,  刘立坤 ,  杨宸 ,  王璞 ,  刘睿 ,  吕欣润 ,  谷杰铭 ,  张奕欣

IPC: H04L29/06 ,  H04L29/12 ,  G06K9/62

Abstract: 本发明是基于DNS数据分析的域名查询与解析异常检测，尤其涉及域名解析协议，属于互联网领域，目的是为了解决变化的恶意攻击行为以及DNS的恶意域变化的恶意攻击行为等问题。本发明包括搜索引擎查询主域名地址，收集域名信息，对DNS记录批量查及数据入库和数据分析，提供有关DNS查询和响应方面的客户端的详细信息；对得到的信息数据预处理，通过聚类分析获得时间特征进行解析，从而得到判断网络状态的数据并对数据进行最后的分析处理。域名查询与解析异常检测能寻找出更具描述性的特征，针对当前网络攻击的动态性和复杂性，使DNS的恶意域检测更为清晰，判断准确。