公开(公告)号：CN118410483A

公开(公告)日：2024-07-30

申请号：CN202410498504.4

申请日：2024-04-24

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  郭一澄 ,  余翔湛 ,  胡智超 ,  史建焘 ,  郭明昊 ,  葛蒙蒙 ,  苗钧重 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: G06F21/56 ,  H04L41/14 ,  H04L67/56 ,  H04L9/40 ,  G06F18/10 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了一种基于启发式动态分析的移动应用网络信息提取方法，属于网络信息安全技术领域。解决了现有技术中传统的动态网络分析方法和静态网络分析方法难以实现全面地对APP提取有效网络特征信息的问题；本发明通过逆向待分析应用的apk文件获取程序源码，遍历所得逆向结果中同网络信息相关的关键位置，提取输出静态启发信息及静态网络特征数据；基于随机动作点击和控件坐标生成原始流量，并通过基于代理的方法实现常用协议流量实时解密，对明密文流量中相关协议特征参数进行提取获得动态网络特征数据，对静态网络字符串变量结果和动态网络分析结果进行清洗，输出最终结果。本发明有效提升了流量生成和分析的效率，可以应用于APP测试。

公开(公告)号：CN116668182B

公开(公告)日：2023-11-10

申请号：CN202310837529.8

申请日：2023-07-10

Applicant: 哈尔滨工业大学

Inventor： 葛蒙蒙 ,  余翔湛 ,  赵跃 ,  刘立坤 ,  史建焘 ,  胡智超 ,  刘奉哲 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  孔德文 ,  高展鹏 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森

IPC: H04L9/40

Abstract: 本发明公开了一种基于多流上下文关系的加密应用行为流量检测方法，属于流量检测技术领域。解决了现有技术中加密应用行为流量检测方法在处理复杂网络环境下局限性较大的问题；本发明包括以下步骤：S1.定义多流和多流关系，构建多流结构；S2.对给定的多流结构进行多流结构匹配；具体的：S21.计算出整体多流相似度和单流相似度，得到单流匹配集合；S22.计算出给定的多流结构和给定的待匹配多流的多流相似度；S23.根据选择的阈值判断给定的多流结构和给定的待匹配多流是否匹配成功；S3.定义上下文关系，构建上下文结构；S4.对给定的待匹配多流队列进行多流队列匹配；本发明提高了行为流量检测的准确性，可以应用于流量检测。

公开(公告)号：CN116896469A

公开(公告)日：2023-10-17

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。

公开(公告)号：CN116821907A

公开(公告)日：2023-09-29

申请号：CN202310783624.4

申请日：2023-06-29

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  余翔湛 ,  王久金 ,  史建焘 ,  胡智超 ,  葛蒙蒙 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  孔德文 ,  羿天阳 ,  张森 ,  程明明 ,  高展鹏 ,  王钲皓 ,  郭一澄

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明提出一种基于Drop‑MAML的小样本学习入侵检测方法，属于入侵检测技术领域。包括：S1.初始化元学习模型；S2.根据训练次数设置元学习模型总损失或对元学习模型进行参数调整；S3.根据待取出元任务编号确定取出元任务或更新元学习模型训练次数；S4.判断元任务是否符合丢弃策略，基于丢弃概率阈值和丢弃策略决策是否丢弃元任务；S5.深拷贝元学习模型，获得基学习器，将元任务划分为支持集和询问集，支持集迭代优化基学习器，询问集计算lossi；S6.将lossi累加到总损失sum‑loss中,执行S3。解决无法利用少量新型恶意攻击样本对模型参数进行充分调整，使模型无法适应新型恶意攻击识别问题。提升小样本场景攻击识别效果。

公开(公告)号：CN114372267A

公开(公告)日：2022-04-19

申请号：CN202111340418.3

申请日：2021-11-12

Applicant: 哈尔滨工业大学 ,  上海浦东发展银行股份有限公司

Inventor： 余翔湛 ,  刘立坤 ,  陈巍 ,  史建焘 ,  葛蒙蒙 ,  叶麟 ,  于喜东 ,  王永强 ,  冯帅 ,  赵跃 ,  王久金 ,  宋赟祖 ,  郭明昊 ,  胡智超 ,  苗钧重 ,  刘凡 ,  李精卫 ,  石开宇 ,  韦贤葵 ,  孔德文 ,  羿天阳 ,  刘奉哲 ,  李竑杰

IPC: G06F21/56 ,  G06F16/955 ,  G06F16/951 ,  G06F16/9535 ,  G06F40/284 ,  G06F40/216

Abstract: 本发明提出一种基于静态域的恶意网页识别检测方法、计算机及存储介质，属于网页识别检测技术领域。包括步骤一、实时监听网页流量，提取HTTP头部的URL地址；步骤二、将URL地址与黑名单库中存储的URL地址进行匹配；步骤三、解析匹配失败的网页流量；步骤四、爬取解析后的网页流量中的JS、CSS文件；步骤五、提取目标网页的网页指纹；步骤六、识别网页流量；步骤七、比较两个网页的URL地址；若URL地址相同，说明流量中的网页为正常网页，保存匹配日志；若URL地址不同，说明流量中的网页为恶意网页，进行阻断。解决不能适用于实际应用中实时检测的需要的技术问题。实现了降低网页匹配过程的时间成本的技术效果。

公开(公告)号：CN118713900B

公开(公告)日：2025-02-18

申请号：CN202410920732.6

申请日：2024-07-10

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  龚家兴 ,  余翔湛 ,  胡智超 ,  史建焘 ,  苗钧重 ,  郭明昊 ,  葛蒙蒙 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  郭一澄 ,  鲁宇 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: H04L9/40

Abstract: 本发明公开了一种基于数据包长度分布的动态低开销流量混淆方法，属于防御加密流量指纹检测技术领域。解决了现有技术中传统的流量混淆方法动态性不足且资源开销大的问题；本发明结合基于分布的数据包长度映射方法以及基于分割和堆叠的数据包修改方法，最终提出一个基于数据包长度分布的动态低开销流量混淆方法，对于一个数据包序列中的每个数据包，首先通过基于分布的数据包长度映射方法获得目标数据包长度，然后利用基于分割和堆叠的数据包修改方法将数据包修改为目标长度，最终得到混淆之后的数据包序列。本发明有效避免了对数据包修改过程中引入填充数据的操作，降低了额外的带宽开销，可以应用于在实际网络环境下混淆流量。

公开(公告)号：CN118410483B

公开(公告)日：2025-02-07

申请号：CN202410498504.4

申请日：2024-04-24

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  郭一澄 ,  余翔湛 ,  胡智超 ,  史建焘 ,  郭明昊 ,  葛蒙蒙 ,  苗钧重 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: G06F21/56 ,  H04L41/14 ,  H04L67/56 ,  H04L9/40 ,  G06F18/10 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了一种基于启发式动态分析的移动应用网络信息提取方法，属于网络信息安全技术领域。解决了现有技术中传统的动态网络分析方法和静态网络分析方法难以实现全面地对APP提取有效网络特征信息的问题；本发明通过逆向待分析应用的apk文件获取程序源码，遍历所得逆向结果中同网络信息相关的关键位置，提取输出静态启发信息及静态网络特征数据；基于随机动作点击和控件坐标生成原始流量，并通过基于代理的方法实现常用协议流量实时解密，对明密文流量中相关协议特征参数进行提取获得动态网络特征数据，对静态网络字符串变量结果和动态网络分析结果进行清洗，输出最终结果。本发明有效提升了流量生成和分析的效率，可以应用于APP测试。

公开(公告)号：CN118523948A

公开(公告)日：2024-08-20

申请号：CN202410729180.0

申请日：2024-06-06

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  陈东鑫 ,  葛蒙蒙 ,  高展鹏 ,  刘立坤 ,  胡智超 ,  史建焘 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森 ,  傅言晨 ,  牟铎 ,  周杰 ,  张靖宇 ,  李岱林 ,  张垚

IPC: H04L9/40 ,  H04L47/2441 ,  G06F18/24 ,  G06F18/214 ,  G06N3/096

Abstract: 本发明提出一种基于大语言模型的加密网络流量分类方法，属于网络安全技术领域。本发明提出了基于BERT的开源大语言模型的基础上，通过双向流级别的网络流量测信道特征文本数据(数据包长度)作为预训练数据，训练能够利用开放域未标记流量数据学习具有较强泛化能力的表示的基座模型，并在下流任务中，通过较少数量的带标签的具体分类数据，完成快速迁移学习，增强了模型的适应能力。本发明比起使用不具有可读意义的数据包载荷作为训练样本，使用了数据包长度序列作为测信道特征，够学习到加密网络流量的行为模式；本发明比起使用专家提出的有限特征，通过数据包长度即可完美刻画加密网络流量行为模式。

公开(公告)号：CN117827512B

公开(公告)日：2024-07-26

申请号：CN202311814864.2

申请日：2023-12-27

Applicant: 哈尔滨工业大学

Inventor： 胡智超 ,  余翔湛 ,  刘立坤 ,  史建焘 ,  葛蒙蒙 ,  苗钧重 ,  郭明昊 ,  陈东鑫 ,  高展鹏 ,  郭一澄 ,  王钲皓 ,  程明明 ,  张森 ,  李岱林 ,  张垚 ,  张靖宇 ,  傅言晨 ,  周杰 ,  牟铎

IPC: G06F11/07

Abstract: 本发明公开了一种快速可溯源的多维异常事件根因分析算法，属于数据分析技术领域。解决了现有技术中传统的异常根因分析算法准确率低且兼容性差的问题；本发明通过异常检测筛选出与异常相关的事件，对与异常相关的事件进行初始化并整合为异常相关事件集合；对异常相关事件集合进行聚合约束，根据事件的聚合约束以及关联关系建立了完整的事件聚合图作为统一的事件描述框架；在完整的事件聚合图上搜索定位根因异常事件，通过异常传播与溯源、搜索根因候选节点和根因剪枝，得到最终的根因异常集合。本发明有效地提高了多维异常事件根因分析算法的准确率和兼容性，适用于基础指标和派生指标，可以应用于多维异常事件的快速可溯源根因分析。

公开(公告)号：CN116896469B

公开(公告)日：2023-12-08

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。