公开(公告)号：CN113656073A

公开(公告)日：2021-11-16

申请号：CN202110947992.9

申请日：2021-08-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  杨霄璇 ,  李精卫 ,  石开宇 ,  韦贤葵 ,  冯帅 ,  王久金 ,  车佳臻 ,  赵跃 ,  宋赟祖

IPC: G06F9/38 ,  G06N3/12

Abstract: 本发明提出一种大模式集下基于并行调度模式重组方法、计算机及存储介质，属于人工智能技术领域具体包括，首先，对模式集划分为模式子集，选取最优划分模式子集作为结果；其次，利用优化的遗传退火算法将模式子集调度到多核中；再其次，对模式子集进行评估，判断是否需要对运行时间长的子集进行二次重组，最后，根据评估结果，对不满足评估条件的模式子集进行模式重组。本发明能够适应长度分布不同的多种模式集特征，细粒度地对模式集划分、调度、评估与重组。解决现有技术中存在的检测预定义模式集运行时间长的技术问题。实现了检测预定义模式集运行时间短的效果。

公开(公告)号：CN113067819A

公开(公告)日：2021-07-02

申请号：CN202110292025.3

申请日：2021-03-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  韦贤葵 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  李精卫 ,  石开宇 ,  车佳臻 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖

IPC: H04L29/06

Abstract: 一种分布式异步并行检测MPTCP协议多路径攻击的算法，涉及一种异步并行检测攻击算法的技术领域。本发明由三个子算法组成；process_packet、process_state和ac_scan，三个子算法对应与分布式异步检测模型状态机中的三种状态，PROCESS_PACKET、PROCESS_STATE和SCAN；其中PROCESS_PACKET表示数据报文状态、PROCESS_STATE表示状态同步报文状态和SCAN表示扫描状态；相应的process_packet子算法处理数据报文；process_state子算法处理状态同步报文；ac_scan子算法为算法自动机，扫描边界数据，支持对输入数据从指定的自动机节点开始扫描，具体为支持对整个数据报文从自动机根节点开始扫描和支持对边界数据从指定自动机节点开始扫描；解决现有技术对MPTCP协议多路径攻击检测存在系统性能较差、占用CPU资源、防御效果差、处理性能差的技术问题。

公开(公告)号：CN116821907B

公开(公告)日：2024-02-02

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无

公开(公告)号：CN116743473A

公开(公告)日：2023-09-12

申请号：CN202310783622.5

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明提出一种基于并行度量学习的入侵检测方法，属于入侵检测技术领域。一种基于并行度量学习的入侵检测方法由嵌入模块、度量模块和分类器组成模型；嵌入模块用于接收五元组数据，度量模块用于获得预测相似度，分类器用于获取预测类别；具体实现过程：S1.训练模型；S2.将网络流量输入模型中，模型输出识别结果，若网络流量为非入侵流量，输出结果为0，否则，输出结果为1。解决现有技术中模型的识别效率低实时性差的技术问题；本发明只需利用嵌入模块对网络流量进行特征提取，再将所提取的特征输入分类器中，即可获得最终的识别结果，无需再和支持集中的样本一一比较，可大幅提升识别效率和识别准确率。

公开(公告)号：CN113779567B

公开(公告)日：2022-09-13

申请号：CN202111061684.2

申请日：2021-09-10

Applicant: 哈尔滨工业大学

Inventor： 史建焘 ,  刘立坤 ,  余翔湛 ,  叶麟 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  车佳臻 ,  赵跃 ,  冯帅 ,  王久金 ,  宋赟祖 ,  谭通海

IPC: G06F21/55 ,  G06F9/54 ,  G06F21/56 ,  G06F9/50 ,  G06F9/48

Abstract: 本发明提出一种面向DPI多核的缓存丢失攻击的防御方法、计算机及存储介质，属于智能防御技术领域。建立多核的算法攻击防御框架，将所有业务线程逻辑上划分为常规线程和攻击线程。流量经负载调度模块分发给常规线程，常规线程运行常用模式匹配算法进行模式匹配。当攻击检测模块检测到缓存攻击时，将攻击流下发给负载调度模块，其将攻击后续流转移到攻击线程处理。常规线程和攻击线程的数量可以根据CPU的压力情况进行自动切换，同时，将自己的线程变更后的类型反馈给负载调度模块，在负载调度模块对反馈确认前，将线程间已经收到的报文进行交换，避免报文的丢失。解决现有技术存在的DPI系统受到攻击时，处理严重延迟或丢包的技术问题。

公开(公告)号：CN115022049A

公开(公告)日：2022-09-06

申请号：CN202210634083.4

申请日：2022-06-06

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  史建焘 ,  车佳臻 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  郭明昊 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  王久金

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/16 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提出一种基于计算马氏距离的分布外网络流量数据检测方法，属于数据检测技术领域。包括以下步骤：S1.原始网络流量的预处理和分类模型的预训练；S2.在预训练分类模型的基础上，获取新样本X与已知类别中最相似类别；S3.计算新样本x与最相似类别实例的马氏距离；S4.设定分布外数据阈值，分布外数据阈值采用实验的方式确定，对原网络流量数据加入小量的扰动数据，计算原网络流量数据与处理后的数据的马氏距离作为阈值的值。判断是否属于分布外数据。本发明提高了分类器分类结果的置信度。解决现有技术中存在基于计算相似度的检测方法的计算距离不具有唯一性导致的置信度低的技术问题。

公开(公告)号：CN114844840A

公开(公告)日：2022-08-02

申请号：CN202210450541.9

申请日：2022-04-26

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  刘立坤 ,  史建焘 ,  叶麟 ,  张晓慧 ,  葛蒙蒙 ,  苗钧重 ,  刘凡 ,  韦贤葵 ,  李精卫 ,  石开宇 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖 ,  郭明昊 ,  车佳臻

IPC: H04L47/2441 ,  G06N3/04 ,  G06N3/08

Abstract: 一种基于计算似然比的分布外网络流量数据检测方法，属于网络流量数据检测领域。为提高网络流量数据识别的精准度和置信度的问题。本发明提取网络流量特征：原始流量为pcap包，根据五元组划分为不同的数据流，设置为提取数据包长度序列、计算包到达时间间隔序列，将以上序列保存并生成CSV文件，作为模型训练的原始训练数据；使用原始训练数据训练原始分类模型，采用深度学习算法长短期记忆网络进行原始分类模型的训练，得到原始训练数据训练出的模型，生成扰动数据，采用加入高斯白噪声的方法生成扰动数据，训练扰动模型，得到扰动数据训练出的模型，计算似然比，判断分布外数据。本发明网络流量数据识别的精准度和置信度高。

公开(公告)号：CN113760664A

公开(公告)日：2021-12-07

申请号：CN202111060878.0

申请日：2021-09-10

Applicant: 哈尔滨工业大学

Inventor： 史建焘 ,  刘立坤 ,  余翔湛 ,  叶麟 ,  李精卫 ,  韦贤葵 ,  石开宇 ,  车佳臻 ,  赵跃 ,  冯帅 ,  王久金 ,  宋赟祖 ,  谭通海

IPC: G06F11/30 ,  G06F11/34

Abstract: 本发明提出一种两级阈值攻击检测方法、计算机及存储介质，属于智能检测技术领域。基于I级和II级的两级阈值攻击检测方法，首先，重构模式匹配算法自动机，选择≥4层的所有节点，为每个选择的节点增加被访问次数t、I级阈值L1和II级阈值L2后执行下一步骤，其次，自动机接收待匹配数据T，将I级阈值L1阈值节点比例p1和II级阈值L2阈值节点比例p2设置为0，匹配指针指向T的首字符，执行下一步骤，最后，统计节点访问次数；判断节点访问次数是否超过I级阈值L1和II级阈值L2阈值节点比例p1和节点比例p2，访问次数超过阈值的判定为攻击。解决现有技术无法识别攻击数据DPI系统收到攻击技术问题。

公开(公告)号：CN113010882A

公开(公告)日：2021-06-22

申请号：CN202110292042.7

申请日：2021-03-18

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  韦贤葵 ,  史建焘 ,  叶麟 ,  葛蒙蒙 ,  李精卫 ,  石开宇 ,  车佳臻 ,  王久金 ,  冯帅 ,  赵跃 ,  宋赟祖

IPC: G06F21/52 ,  G06F21/78 ,  G06K9/62

Abstract: 本发明提出了一种适用于缓存丢失攻击的自定义位置顺序模式匹配算法，涉及一种匹配算法，尤其涉及一种适用于缓存丢失攻击的自定义位置顺序模式匹配算法，通过建立自定义位置顺序的自动机，将当前扫描字符与当前状态节点进行匹配；当前扫描字符与当前状态节点边值或失败指针中的chr匹配成功，自动机沿着边或失败指针跳转到下一个节点，如果新节点为模式自定义顺序的尾节点，即自动机的叶子节点，命中模式，输出OUTPUT表中记录的模式，自动机当前状态跳转到当前节点记录的下一个节点，继续扫描匹配；自定义位置顺序匹配算法解决了模式匹配算法总是向深度扫描，因大量自动机节点不在CPU缓存内，造成缓存命中率低，系统处理性能大幅下降的问题。