公开(公告)号：CN116318963A

公开(公告)日：2023-06-23

申请号：CN202310244646.3

申请日：2023-03-14

Applicant: 东南大学

Inventor： 胡晓艳 ,  蒋怡云 ,  程光 ,  吴桦

IPC: H04L9/40 ,  H04L67/1042 ,  G06Q20/38

Abstract: 本发明公开了一种联盟链安全监管系统，该系统基于链上加密数据高效协同审计机制以及视频数据上链有害性审核机制进行设计与实现，以Hyperledger Fabric为底层联盟链架构，支持监管机构对整个系统进行穿透式监管。系统由区块链及IPFS维护模块、明密文数据发布模块以及明密文数据监管模块组成，分别服务于系统管理员、普通用户和监管者这三类角色，具体功能为：系统管理员通过区块链及IPFS维护模块维护区块链网络及IPFS网络，普通用户通过明密文数据发布模块发布和处理数据，监管者通过明密文数据监管模块进行链上加密数据的协同审计及视频数据上链的有害性审核。本发明能够以高效完成链上加密数据协同审计操作，加强了联盟链网络内数据信息的内容安全性核查与监管。

公开(公告)号：CN116232682A

公开(公告)日：2023-06-06

申请号：CN202310006242.0

申请日：2023-01-04

Applicant: 东南大学 ,  江苏省未来网络创新研究院

Inventor： 胡晓艳 ,  朱成 ,  程光 ,  吴桦

IPC: H04L9/40

Abstract: 本发明提供了一种面向持续连接的恶意木马细粒度行为早期精准识别方法，具体步骤包括：提取持续连接的加密恶意木马细粒度攻击行为流量的数据包长度序列、方向序列和时间序列，输入到细粒度行为段分割模块以精准识别攻击行为段分割点；对包含完整行为段的数据包序列重新还原为TLS Fragment，选择前n个TLS Fragment并分别提取m个稳定特征组成[n×m,1]维序列特征向量；将n‑TLS Fragment稳定特征序列输入到1D‑CNN分类器中进行训练，以识别细粒度攻击行为。本发明能够对持续连接的加密恶意木马流量，不依赖人工经验而较为准确地划分攻击行为段；本发明能够早期精准的识别恶意木马细粒度攻击行为，并且提出的TLS Fragment稳定特征适用于具备网络波动性的细粒度行为识别场景。

公开(公告)号：CN112187664B

公开(公告)日：2023-04-18

申请号：CN202011010285.9

申请日：2020-09-23

Applicant: 东南大学

Inventor： 吴桦 ,  陈晰颖 ,  程光

IPC: H04L47/2441 ,  H04L9/40 ,  G06F18/231 ,  G06F18/24 ,  G06F18/22

Abstract: 本发明公开了一种基于半监督学习的应用流自动分类方法，该方法从网络流量数据中提取有效特征，包括非比例特征和比例特征；使用自底向上的层次聚类算法实现对网络流量的多层次自动分类，在每一层次的聚类中计算非比例特征的余弦相似度和比例特征的欧氏距离，将结果中满足阈值条件的流聚合为一类，调整分类阈值逐层聚类直到将所有原始流量最终聚合为一类；确定聚类结果中能够将典型流量类型区分开来且将同一类流量聚合为一类的流量类型层，根据已有标签的典型流量信息为流量类型层中的各类流量打上流量类型标签。本发明可自动区分网络流量的流量类型，可用于网络管理和网络安全监测。

公开(公告)号：CN114095216B

公开(公告)日：2023-04-07

申请号：CN202111294445.1

申请日：2021-11-03

Applicant: 东南大学

Inventor： 胡晓艳 ,  栗淼 ,  程光 ,  吴桦 ,  龚俭

IPC: H04L9/40 ,  G06F18/25 ,  G06F18/241 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/082 ,  G06N3/084 ,  G06N3/0895

Abstract: 本发明提供了一种有限训练样本下基于对比学习的恶意域名检测方法，具体步骤包括：引入对比学习思想设计基于孪生网络的神经特征提取器，构建同类/异类的标签编码域名对，进行训练；将获取的域名神经特征向量集输入到机器学习算法模型中，训练得到域名分类器；将待检测域名依次输入特征提取器和域名分类器，得到判别结果。本发明从数据的角度缓解了样本不足的问题，能够自动化地提取特征，且特征具有高区分度利于进一步检测，以便更有效地检测出恶意域名样本，有利于拦截恶意活动中的通信并避免其进一步传播，从而提高对僵尸网络等常见恶意攻击模式的安全防御和监督能力。

公开(公告)号：CN115174198A

公开(公告)日：2022-10-11

申请号：CN202210768482.X

申请日：2022-07-01

Applicant: 东南大学

Inventor： 许昱玮 ,  张雨泉 ,  范心宇 ,  王若风 ,  吴桦 ,  程光

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/0811 ,  H04L67/00 ,  H04L67/56 ,  G06K9/62 ,  G06N20/00

Abstract: 本发明设计一种基于特征优化的开源代理软件流量识别方法，该方法构建基于云的大规模流量采集与处理平台以生成完整的高质量数据集，根据机器学习理论和特征优化思想建立了具有3个独立任务的高效识别方案，并将该方案应用于完整流识别。基于云的大规模流量采集平台主要包括开源代理服务的搭建、用户行为模拟脚本的编写、服务器端流量的采集与存储、流量数据的预处理。基于特征优化的流量识别方案一方面定义了三个分类任务来实现不同角度及粒度的监管，另一方面提出了一种基于双维度的两阶段特征选择算法(TT)来为不同的识别任务构造在不同分类器下的最优特征子集，在保障分类性能的前提下满足了快速落地检测的要求。

公开(公告)号：CN115065983A

公开(公告)日：2022-09-16

申请号：CN202210623575.3

申请日：2022-06-02

Applicant: 东南大学

Inventor： 吴桦 ,  王瑞 ,  程光

IPC: H04W24/02 ,  G06K9/62 ,  G06N20/00 ,  G06N20/10

Abstract: 本发明公开了一种基于服务分析的高耦合移动应用识别方法。在模型训练阶段，该方法首先捕获移动应用从启动开始运行几十秒的网络流量数据，并为网络流量数据打上标签；然后设置时间长度t，提取t秒网络流量数据中移动应用访问的服务信息作为属性，形成属性空间；接着，根据属性空间生成特征向量，将特征向量和应用标签组成样例；最后，利用有监督的机器学习算法训练分类模型，在训练模型的过程中对属性空间进行优化，得到最终的识别模型。在应用识别阶段，利用训练阶段得到的识别模型识别网络流量中的移动应用。本发明可以实现从多个高耦合移动应用中精准识别出每一个具体的高耦合移动应用，可以为互联网提供商为不同应用提供差异化服务提供前提。

公开(公告)号：CN113055251B

公开(公告)日：2022-06-03

申请号：CN202110414969.3

申请日：2021-04-17

Applicant: 东南大学

Inventor： 吴桦 ,  刘亚 ,  程光

IPC: H04L43/0829 ,  H04L69/163 ,  H04L69/164 ,  G06N5/00 ,  G06K9/62

Abstract: 本发明提出了一种面向高速网络的流量丢包状态实时感知方法，该方法能够实时检测出高速网络中使用TCP和UDP传输的服务的丢包状态。方法的具体步骤分为模型训练和模型使用两个场景。模型训练时，在可控的网络环境中进行流量抽样采集；根据传输协议的不同，设置特征Sketch的计数器从而提取出有效特征；根据提取的特征，训练机器学习分类模型，进而得到丢包预测模型。使用该模型时，首先在网络中的流量采集点抽样采集真实流量，并利用特征Sketch实时提取真实流量特征；使用丢包预测模型对真实流量特征进行识别分类，实时检测丢包状态。本发明可用于网络服务提供商在网络中间节点上对网络服务状态进行实时监测，为提高接入服务质量提供依据。

公开(公告)号：CN114298169A

公开(公告)日：2022-04-08

申请号：CN202111510657.9

申请日：2021-12-10

Applicant: 东南大学

Inventor： 胡晓艳 ,  桂美群 ,  程光 ,  吴桦 ,  龚俭

IPC: G06K9/62 ,  G06Q40/04

Abstract: 本发明提供了一种基于图分类的比特币混合服务类型识别方法，包括：通过多种途径收集六种类型的比特币混合服务的地址数据；从公开的比特币账本中，获取每一个标签地址参与的所有交易数据，并制定数据清洗规则，通过处理获得的交易数据进行地址的筛选；利用处理后的交易信息，为每一个混合服务地址构建一个有向加权图；对每一个图数据，使用无监督的图嵌入方法自动提取特征，为每一个地址得到固定维度的特征向量；将地址的特征向量和标签信息输入到随机森林分类器中进行识别，最终输出地址所属的混合服务类型。本发明能够准确地识别不同类型的比特币混合服务，实现洗钱地址的精细化识别。

公开(公告)号：CN114172697A

公开(公告)日：2022-03-11

申请号：CN202111399436.9

申请日：2021-11-19

Applicant: 东南大学

Inventor： 吴桦 ,  张晅阁 ,  程光

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开了一种防御高速网络中IP地址欺骗DDoS攻击的方法，分为离线训练和在线防御。离线训练中，将DDoS攻击公开数据集的地址平移后与高速网络流量公开数据集混合，得到混合流量数据集并系统抽样，用包含6个计数器和1个哈希表的Sketch结构基于源MAC地址和目的IP地址提取流量特征并标记，随后在有监督的机器学习方法下使用经过标记的流量特征训练生成攻击流量分类器。在线防御中，部署在高速网络边界节点上，对输入的高速网络流量系统抽样并提取流量特征，用攻击流量分类器检测，给出包含攻击流量地址对(源MAC地址和目的IP地址)的告警列表，最后通知边界路由器过滤告警列表中流量实现防御。本发明可被网络管理者用于防御高速网络中IP地址欺骗DDoS攻击。

公开(公告)号：CN113872962A

公开(公告)日：2021-12-31

申请号：CN202111124600.5

申请日：2021-09-24

Applicant: 东南大学

Inventor： 吴桦 ,  邵梓菱 ,  程光

IPC: H04L29/06 ,  G06N20/00 ,  G06K9/62

Abstract: 本发明公开了一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法，该方法首先对公开数据集进行系统抽样，然后利用一个包含4个计数器和2个哈希表的sketch结构提取流量特征。首先采用K‑means算法对流量特征进行聚类，然后基于规则对已知扫描流所在簇中的流量进行验证和标注，进而构建具有完整标签的训练集。最后，利用有监督机器学习算法训练用于端口扫描检测的分类模型。该分类模型在抽样数据采集情景下检测出高速网络中TCP和UDP的慢速端口扫描活动，对于持续时间超过50天的慢速扫描攻击，该方法仍然有效。本发明使用有限的内存实现对海量高速流量中端口扫描事件的检测，被网络管理者用于高速网络中的安全事件监测。