公开(公告)号：CN114169390A

公开(公告)日：2022-03-11

申请号：CN202111231657.5

申请日：2021-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  李仁杰 ,  刘庆云 ,  杨嵘 ,  杨威 ,  李舒

IPC: G06K9/62 ,  G06N20/20 ,  G06N5/00 ,  G06N3/04 ,  G06N3/08 ,  H04L9/40

Abstract: 本发明公开一种集成GBDT与神经网络的网络异常检测方法，属于网络信息安全和机器学习的交叉技术领域。为了克服网络异常检测任务中传统机器学习算法和深度学习算法在处理表格数据上的不足，本发明选用专为表格数据设计的TabTransformer结构，同时为了应对网络异常检测中的类别不平衡问题，本发明采取了代价敏感的思想，引入了专门针对不平衡问题设计的Focal Loss损失函数，采取自适应学习策略，从参数搜索空间中自动选取Focal Loss的最佳参数。本发明既适用于二分类问题又适用于多分类问题。

公开(公告)号：CN112995145A

公开(公告)日：2021-06-18

申请号：CN202110162792.2

申请日：2021-02-05

Applicant: 中国科学院信息工程研究所

Inventor： 李舒 ,  刘庆云 ,  杨威 ,  周舟 ,  张宏飞 ,  刘洋 ,  李钊 ,  杨嵘

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开一种面向DPI应用的HTTP流量分析处理的方法、系统及存储介质，属于网络安全领域，分为解析层和业务层，业务层将各个业务感兴趣的HTTP字段填写在配置文件中，并同时标明解析层到业务层的回调模式，然后将该配置文件发送给解析层进行业务注册；解析层根据配置文件中的各个业务感兴趣的HTTP字段，按照HTTP协议标准对HTTP流量进行解析，当完整解析出HTTP协议的一个字段时，查看业务层是否有业务注册和回调模式，根据回调模式，回调相应的业务至业务层。本发明采用对HTTP协议解析与HTTP业务分析进行分层的设计思想，通过灵活的字段注册的方式以及不同的回调模式，实现HTTP流量的分析处理。

公开(公告)号：CN112910929A

公开(公告)日：2021-06-04

申请号：CN202110312408.2

申请日：2021-03-24

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  张帅 ,  钟友兵 ,  刘庆云 ,  杨威 ,  李舒 ,  李钊

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种基于异质图表示学习的恶意域名检测方法及装置，包括：通过采集DNS流量数据与构建域名白名单及域名黑名单，得到正常域名标注数据集与恶意域名标注数据集；根据DNS流量数据构造DNS场景异质图，获取各节点初始特征，并利用正常域名标注数据集与恶意域名标注数据集对DNS场景异质图中的域名节点标注；通过异质图神经网络半监督学习，获取DNS场景异质图中各未标注域名节点的预测结果。本发明通过提取DNS流量中的域名、IP地址等字段，构建DNS场景异质图，并采用异质图表示学习方法融合域名的属性特征及相关拓扑结构信息，可对具备完备关联模式的恶意域名、新出现的恶意域名及关联模式不完备的恶意域名进行识别，提升了恶意域名检测的准确率。

公开(公告)号：CN106407400A

公开(公告)日：2017-02-15

申请号：CN201610839140.7

申请日：2016-09-21

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  李响 ,  刘庆云 ,  李舒 ,  杨威 ,  张成伟 ,  汤琦

IPC: G06F17/30 ,  G06N7/02

Abstract: 本发明公开了一种面向流式数据的实时摘要生成方法，采用存储中间计算结果的方法进行流式数据摘要计算，能够处理数据缺损、乱序和重叠的情况，并且采用矩阵的乘法运算作为强哈希算法减少内存占用，使得本发明能够使用较少的内存实时计算流式数据摘要。

公开(公告)号：CN105933324A

公开(公告)日：2016-09-07

申请号：CN201610391155.1

申请日：2016-06-03

Applicant: 中国科学院信息工程研究所

Inventor： 刘庆云 ,  陈志鹏 ,  张鹏 ,  郑超 ,  孙永 ,  李舒 ,  郭莉

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L69/22 ,  H04L43/18 ,  H04L69/162

Abstract: 本发明涉及一种基于网络流在线实时分析跳转链和溯源的方法，其步骤包括：1)通过网络流捕获平台对HTTP网络流进行在线实时捕获；2)将捕获的网络流进行编码；3)将编码后得到的一系列HTTP会话发送给后端平台；4)后端平台对收到的网络流进行解码；5)后端平台基于解码后的网络流的HTTP协议头部的不同字段，计算每一次访问资源的跳转链，并从跳转链中发现相同资源的公共前置页面。本发明能从实时网络流中实时识别出各种音视频大文件访问的跳转链，并从中发现相同资源的公共前置页面。

公开(公告)号：CN114169390B

公开(公告)日：2024-11-05

申请号：CN202111231657.5

申请日：2021-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 周舟 ,  李仁杰 ,  刘庆云 ,  杨嵘 ,  杨威 ,  李舒

IPC: G06F18/214 ,  G06F18/10 ,  G06F18/21 ,  G06F18/2431 ,  G06N20/20 ,  G06N5/01 ,  G06N3/04 ,  G06N3/082 ,  G06N3/084 ,  H04L9/40

Abstract: 本发明公开一种集成GBDT与神经网络的网络异常检测方法，属于网络信息安全和机器学习的交叉技术领域。为了克服网络异常检测任务中传统机器学习算法和深度学习算法在处理表格数据上的不足，本发明选用专为表格数据设计的TabTransformer结构，同时为了应对网络异常检测中的类别不平衡问题，本发明采取了代价敏感的思想，引入了专门针对不平衡问题设计的Focal Loss损失函数，采取自适应学习策略，从参数搜索空间中自动选取Focal Loss的最佳参数。本发明既适用于二分类问题又适用于多分类问题。

公开(公告)号：CN114268426A

公开(公告)日：2022-04-01

申请号：CN202111573027.6

申请日：2021-12-21

Applicant: 中国科学院信息工程研究所

Inventor： 杨威 ,  李玉冰 ,  周舟 ,  刘庆云 ,  李钊 ,  李舒

IPC: H04L9/00 ,  H04L9/40

Abstract: 本发明公开一种面向ICMPv6 DoS攻击与DDoS攻击的检测方法及系统，包括：获取ICMPv6数据包S的数据包类型与所述ICMPv6数据包S进入交换机的端口类型；对数据包类型为邻居请求数据包的ICMPv6数据包或端口类型为连接三层转发设备的ICMPv6数据包，进行防止泛洪攻击检测；对数据包类型为非邻居请求数据包，且端口类型为连接一台主机或连接多台主机的ICMPv6数据包，基于源IPv6地址进行源地址欺骗攻击检测，并对通过源地址欺骗攻击检测的ICMPv6数据包进行防止泛洪攻击检测。本发明对ICMPv6 DoS和DDoS重新分类，对分类的攻击，提出解决ICMPv6 DoS和DDoS攻击检测方法，保护IPv6网络安全。

公开(公告)号：CN106407400B

公开(公告)日：2019-08-06

申请号：CN201610839140.7

申请日：2016-09-21

Applicant: 中国科学院信息工程研究所

Inventor： 郑超 ,  李响 ,  刘庆云 ,  李舒 ,  杨威 ,  张成伟 ,  汤琦

IPC: G06F16/2455 ,  G06N7/02

Abstract: 本发明公开了一种面向流式数据的实时摘要生成方法，采用存储中间计算结果的方法进行流式数据摘要计算，能够处理数据缺损、乱序和重叠的情况，并且采用矩阵的乘法运算作为强哈希算法减少内存占用，使得本发明能够使用较少的内存实时计算流式数据摘要。