公开(公告)号：CN109218441B

公开(公告)日：2021-05-11

申请号：CN201811215367.X

申请日：2018-10-18

Applicant: 哈尔滨工业大学

Inventor： 叶麟 ,  余翔湛 ,  张宏莉 ,  刘飞扬 ,  赵俊达 ,  刘立坤 ,  顾旭 ,  张元禛 ,  葛蒙蒙

IPC: H04L29/08 ,  H04L12/24 ,  H04L12/26 ,  H04L12/733 ,  H04L12/803

Abstract: 一种基于预测和区域划分的P2P网络动态负载均衡方法属于网络文件传输领域；包括获取节点资源利用率；判断节点资源利用率是否超过高负载区阈值，若是，执行步骤e，若否，执行步骤c；根据节点当前文件访问情况预测接下来的访问量；判断文件是否成为热点文件，若是，执行步骤e，若否，执行步骤a；向周围节点广播获取周围节点负载信息；判断是否处在高负载区域，若是，执行高负载区域负载均衡模块，若否，执行低负载区域负载均衡模块；服务器建立热点文件副本，进行步骤a；本发明能够很好地实现实际系统网络的负载均衡。

公开(公告)号：CN110851824A

公开(公告)日：2020-02-28

申请号：CN201911106972.8

申请日：2019-11-13

Applicant: 哈尔滨工业大学 ,  电子科技大学广东电子信息工程研究院

Inventor： 叶麟 ,  詹东阳 ,  余翔湛 ,  刘立坤 ,  张宇 ,  于海宁 ,  方滨兴 ,  尹怀东 ,  蒋振韬

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明属于计算机技术领域，具体涉及一种针对恶意容器的检测方法，包括以下步骤，步骤1、对被监控虚拟机中所有进程的创建行为进行监听；步骤2、判断创建的进程是否属于该虚拟机中的容器，若此进程属于该虚拟机中的容器，则读取其执行文件的信息；若此进程不属于该虚拟机中的容器，则结束；步骤3、在读取完毕后，从容器中查找该执行文件；步骤4、对执行文件进行安全扫描，若该执行文件为恶意文件，则测得其对应的容器即为恶意容器。与现有技术相比，本发明能够有效地检测出恶意容器，从而防止恶意容器对虚拟机的控制与控制，提高了系统的安全性。

公开(公告)号：CN110837641A

公开(公告)日：2020-02-25

申请号：CN201911106277.1

申请日：2019-11-13

Applicant: 电子科技大学广东电子信息工程研究院 ,  哈尔滨工业大学

Inventor： 叶麟 ,  詹东阳 ,  余翔湛 ,  张宇 ,  刘立坤 ,  于海宁 ,  方滨兴 ,  蒋振韬 ,  郭新凯

IPC: G06F21/56 ,  G06F21/53

Abstract: 本发明属于计算机安全的技术领域，具体涉及一种基于内存分析的恶意软件检测方法，包括获取虚拟机的内存镜像，解析内存镜像中的内核数据结构，通过内核数据结构分析出恶意软件，获取恶意软件的可执行代码，以二进制文件的形式导出恶意软件的可执行代码，将二进制文件转换为灰度图像。本发明对恶意软件检测的安全性强，适用于检测多种类型的恶意软件以及运行于不同的操作系统版本，大大提高了检测的通用性和移植性。此外，本发明还提供了一种基于内存分析的恶意软件检测系统。

公开(公告)号：CN108833554A

公开(公告)日：2018-11-16

申请号：CN201810649775.X

申请日：2018-06-22

Applicant: 哈尔滨工业大学

Inventor： 叶麟 ,  余翔湛 ,  刘立坤 ,  史建焘 ,  刘飞扬 ,  赵俊达 ,  陈晨 ,  郭冠军 ,  王旭东 ,  葛蒙蒙 ,  朱秋萍

IPC: H04L29/08 ,  H04L12/58

Abstract: 一种面向大规模网络的实时高可靠消息分发系统及其方法属于网络传输领域；装置包括多媒体平台连接中央服务器，一个中央服务器连接若干个中转服务器，一个中转服务器连接若干个终端用户，若干个终端用户分成若干个小组，每个小组之间的终端用户相互连接；方法包括中央服务器广播一条控制信息，确定当前在线的终端用户及其状态；当中央服务器分发消息时，通过RabbitMQ传输文件信息，终端用户接收到消息信息后，返回一个反馈信息，建立对应的消息传输队列；当发送消息过大时，用P2P进行多媒体文件的分发；终端用户收到完整的种子文件后，终端用户开启本地P2P下载进程；本发明有效的解决了网络数据在分发过程中无法兼顾实时性与可靠性的问题。

公开(公告)号：CN118713900B

公开(公告)日：2025-02-18

申请号：CN202410920732.6

申请日：2024-07-10

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  龚家兴 ,  余翔湛 ,  胡智超 ,  史建焘 ,  苗钧重 ,  郭明昊 ,  葛蒙蒙 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  郭一澄 ,  鲁宇 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: H04L9/40

Abstract: 本发明公开了一种基于数据包长度分布的动态低开销流量混淆方法，属于防御加密流量指纹检测技术领域。解决了现有技术中传统的流量混淆方法动态性不足且资源开销大的问题；本发明结合基于分布的数据包长度映射方法以及基于分割和堆叠的数据包修改方法，最终提出一个基于数据包长度分布的动态低开销流量混淆方法，对于一个数据包序列中的每个数据包，首先通过基于分布的数据包长度映射方法获得目标数据包长度，然后利用基于分割和堆叠的数据包修改方法将数据包修改为目标长度，最终得到混淆之后的数据包序列。本发明有效避免了对数据包修改过程中引入填充数据的操作，降低了额外的带宽开销，可以应用于在实际网络环境下混淆流量。

公开(公告)号：CN118410483B

公开(公告)日：2025-02-07

申请号：CN202410498504.4

申请日：2024-04-24

Applicant: 哈尔滨工业大学

Inventor： 刘立坤 ,  郭一澄 ,  余翔湛 ,  胡智超 ,  史建焘 ,  郭明昊 ,  葛蒙蒙 ,  苗钧重 ,  程明明 ,  张森 ,  陈东鑫 ,  王钲皓 ,  高展鹏 ,  周杰 ,  傅言晨 ,  李岱林 ,  张靖宇 ,  张垚

IPC: G06F21/56 ,  H04L41/14 ,  H04L67/56 ,  H04L9/40 ,  G06F18/10 ,  G06F18/213 ,  G06F18/24

Abstract: 本发明公开了一种基于启发式动态分析的移动应用网络信息提取方法，属于网络信息安全技术领域。解决了现有技术中传统的动态网络分析方法和静态网络分析方法难以实现全面地对APP提取有效网络特征信息的问题；本发明通过逆向待分析应用的apk文件获取程序源码，遍历所得逆向结果中同网络信息相关的关键位置，提取输出静态启发信息及静态网络特征数据；基于随机动作点击和控件坐标生成原始流量，并通过基于代理的方法实现常用协议流量实时解密，对明密文流量中相关协议特征参数进行提取获得动态网络特征数据，对静态网络字符串变量结果和动态网络分析结果进行清洗，输出最终结果。本发明有效提升了流量生成和分析的效率，可以应用于APP测试。

公开(公告)号：CN118523948A

公开(公告)日：2024-08-20

申请号：CN202410729180.0

申请日：2024-06-06

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  陈东鑫 ,  葛蒙蒙 ,  高展鹏 ,  刘立坤 ,  胡智超 ,  史建焘 ,  程明明 ,  郭一澄 ,  王钲皓 ,  张森 ,  傅言晨 ,  牟铎 ,  周杰 ,  张靖宇 ,  李岱林 ,  张垚

IPC: H04L9/40 ,  H04L47/2441 ,  G06F18/24 ,  G06F18/214 ,  G06N3/096

Abstract: 本发明提出一种基于大语言模型的加密网络流量分类方法，属于网络安全技术领域。本发明提出了基于BERT的开源大语言模型的基础上，通过双向流级别的网络流量测信道特征文本数据(数据包长度)作为预训练数据，训练能够利用开放域未标记流量数据学习具有较强泛化能力的表示的基座模型，并在下流任务中，通过较少数量的带标签的具体分类数据，完成快速迁移学习，增强了模型的适应能力。本发明比起使用不具有可读意义的数据包载荷作为训练样本，使用了数据包长度序列作为测信道特征，够学习到加密网络流量的行为模式；本发明比起使用专家提出的有限特征，通过数据包长度即可完美刻画加密网络流量行为模式。

公开(公告)号：CN117827512B

公开(公告)日：2024-07-26

申请号：CN202311814864.2

申请日：2023-12-27

Applicant: 哈尔滨工业大学

Inventor： 胡智超 ,  余翔湛 ,  刘立坤 ,  史建焘 ,  葛蒙蒙 ,  苗钧重 ,  郭明昊 ,  陈东鑫 ,  高展鹏 ,  郭一澄 ,  王钲皓 ,  程明明 ,  张森 ,  李岱林 ,  张垚 ,  张靖宇 ,  傅言晨 ,  周杰 ,  牟铎

IPC: G06F11/07

Abstract: 本发明公开了一种快速可溯源的多维异常事件根因分析算法，属于数据分析技术领域。解决了现有技术中传统的异常根因分析算法准确率低且兼容性差的问题；本发明通过异常检测筛选出与异常相关的事件，对与异常相关的事件进行初始化并整合为异常相关事件集合；对异常相关事件集合进行聚合约束，根据事件的聚合约束以及关联关系建立了完整的事件聚合图作为统一的事件描述框架；在完整的事件聚合图上搜索定位根因异常事件，通过异常传播与溯源、搜索根因候选节点和根因剪枝，得到最终的根因异常集合。本发明有效地提高了多维异常事件根因分析算法的准确率和兼容性，适用于基础指标和派生指标，可以应用于多维异常事件的快速可溯源根因分析。

公开(公告)号：CN116896469B

公开(公告)日：2023-12-08

申请号：CN202310879927.6

申请日：2023-07-18

Applicant: 哈尔滨工业大学

Inventor： 余翔湛 ,  葛蒙蒙 ,  宋赟祖 ,  刘立坤 ,  史建焘 ,  胡智超 ,  孔德文 ,  羿天阳 ,  龚家兴 ,  李竑杰 ,  刘奉哲 ,  程明明 ,  郭一澄 ,  张森 ,  高展鹏 ,  王钲皓

IPC: H04L9/40

Abstract: 本发明公开了一种基于Burst序列的加密代理应用识别的方法，属于加密代理应用识别技术领域。解决了现有技术中加密代理应用识别方法过于依赖未加密数据包头部字段的问题；本发明首先对加密代理隧道下的网络流进行分割划分获得应用流量片段，随后从应用流量片段中提取出Burst时序特征向量序列用于表征应用类型间的差异信息，最后将Burst时序特征向量序列输入双向LSTM网络进行学习，构建引入注意力机制的Burst‑ATT‑BiLST模型，得到加密代理应用的分类识别结果。本发明能够有效识别加密代理应用流量，且在加密代理应用流量识别中的鲁棒性更好，更适用于识别加密代理应用流量。

公开(公告)号：CN110866245B

公开(公告)日：2023-11-07

申请号：CN201911106259.3

申请日：2019-11-13

Applicant: 哈尔滨工业大学 ,  电子科技大学广东电子信息工程研究院

Inventor： 詹东阳 ,  叶麟 ,  余翔湛 ,  张宇 ,  刘立坤 ,  高阳 ,  方滨兴 ,  陈育梅 ,  尹怀东

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明属于计算机安全的技术领域，具体涉及一种维护虚拟机文件安全的检测方法，包括运行虚拟机的文件驱动，对虚拟机的磁盘进行记录，提取虚拟机中的新增文件或修改文件，对新增文件或修改文件进行安全检测。本发明对新增文件和修改文件检测的安全性强，有效地提高了文件轮询检测的效率。此外，本发明还提供了一种维护虚拟机文件安全的检测系统。