公开(公告)号：CN115412295A

公开(公告)日：2022-11-29

申请号：CN202210871377.9

申请日：2022-07-22

Applicant: 中国科学院信息工程研究所

Inventor： 于静 ,  李镇 ,  林鑫杰 ,  熊刚 ,  苟高鹏 ,  刘畅 ,  崔明鑫

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/0876 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于大规模预训练的多场景低资源加密流量识别方法和系统。本发明通过自监督学习掩码任务、BURST同源任务以挖掘有效通用加密流量知识，并结合低资源下多场景的微调学习表征每个场景下对应不同类别的加密流量，可以实现高效地在多场景加密流量识别任务中迁移应用，而不依赖明文信息和大量标注样本；同时作为一种端到端方法，无需手动提取特征集。本发明能够解决现有多场景低资源加密流量识别方法存在的特征工程繁杂、受标注样本数量影响大、无法直接迁移到多场景进而导致识别效果受限的问题。

公开(公告)号：CN114615007A

公开(公告)日：2022-06-10

申请号：CN202210037410.8

申请日：2022-01-13

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  管洋洋 ,  赵盼盼 ,  崔明鑫 ,  苟高鹏 ,  李镇

IPC: H04L9/40 ,  G06K9/62

Abstract: 本发明公开一种基于随机森林的隧道混合流量分类方法及系统，属于计算机软件技术领域，利用数据包长度对隧道混合流量进行首次分裂，再利用数据包长度和包方向的统计特征进行再次分裂，判断再次分裂结果是否为混合流量；如果不是，则对当中的单个网络行为流量提取包长度和包方向的统计特征，利用随机森林分类器对流量进行分类，输出分类结果；如果是，则对混合流量按照数据包方向划分突发流量Burst并分裂，再对分裂的Burst进行聚合；对聚合的Burst提取统计特征，利用随机森林分类器对隧道流量进行分类，然后通过多数表决，识别隧道内混合流量。

公开(公告)号：CN114510615A

公开(公告)日：2022-05-17

申请号：CN202111191717.5

申请日：2021-10-13

Applicant: 中国科学院信息工程研究所

Inventor： 管洋洋 ,  苟高鹏 ,  陆杰 ,  刘畅 ,  李镇

IPC: G06F16/906 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于图注意力池化网络的细粒度加密网站指纹分类方法和装置。该方法建立用于描述网络流量模式的流量踪迹图，流量踪迹图中的节点表示网络流，边表示网络流的上下文关系；利用图神经网络模型自动学习流量踪迹图中的流内特征和流间特征，得到流量踪迹图的有效嵌入表示；利用流量踪迹图的有效嵌入表示进行网站指纹分类。本发明提出可以合理描述网络流量模式的流量踪迹图，该方法基于图神经网络算法，无需复杂的人工特征选择，可以同时有效学习网络流量的全局特征和局部特征，可以自动学习并更加关注重要流节点，并减少类间相似流节点和噪声流节点的负面影响。本发明适合多种粒度网站指纹场景，性能更优，且所需训练样本数量更少。

公开(公告)号：CN114036357A

公开(公告)日：2022-02-11

申请号：CN202111192489.3

申请日：2021-10-13

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  熊刚 ,  郭煜 ,  苟高鹏 ,  石俊峥 ,  夏葳

IPC: G06F16/906 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于类敏感特征提取的不均衡网络流量分类方法和系统。该方法的步骤包括：对原始不均衡流量数据中的每一条流进行向量化表示，得到向量化的流量数据集；采用神经网络进行类敏感特征学习，从通道层面学习得到对不同类别具有不同敏感度的特征表示；采用非局部机制将不同位置上的特征表示进行融合，得到重构后的流量特征表示；将重构后的流量特征表示输入分类器以进行网络流量分类。本发明无需任何数据预处理操作，也不需要对特征进行选择，避免了引入噪声或丢失流量信息；本发明可以针对每个类别学习最适合的特征表示，能够有针对性地提高少数类的表现，对不同任务场景所需要的不同初始特征具有鲁棒性。

公开(公告)号：CN114021637A

公开(公告)日：2022-02-08

申请号：CN202111282170.X

申请日：2021-11-01

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  石俊峥 ,  王宇 ,  苟高鹏 ,  管洋洋 ,  扶佩佩 ,  熊刚

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08 ,  H04L9/40

Abstract: 本发明公开了一种基于度量空间下去中心化应用加密流量分类方法及装置，包括收集去中心化应用的加密流量，对各加密流量标记应用；利用各加密流量的特征向量，进行聚类，以划分简单样本和困难样本；将聚类结果中任一困难样本作为正样本F，该正样本F所属类别的簇中心点作为正样本簇中心CF，其他类别中的任一困难样本作为负样本F′i，该负样本F′i所属类别的簇中心点作为以构建若干四元组利用四元组S对四重网络进行训练，得到分类模型；将测试集中的样本输入分类模型，在度量空间下计算相似度，获取目标加密流量的分类结果。本发明提供包含更多信息的优质样本，有效的筛选简单数据集，通过网络自动学习有效特征，使DApps分类更加高效、更加准确。

公开(公告)号：CN112381119A

公开(公告)日：2021-02-19

申请号：CN202011159375.4

申请日：2020-10-27

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  李真真 ,  王宇 ,  熊刚 ,  扶佩佩 ,  杨青娅 ,  崔明鑫

IPC: G06K9/62 ,  H04L29/06

Abstract: 本发明公开了一种基于去中心化应用加密流量特征的多场景分类方法及系统，包括：收集去中心化应用的加密流量，并对各加密流量标记应用、用户行为和通用用户行为的分类标签；根据分类目标和分类标签，将提取的加密流量的应用特征、用户行为特征和通用用户行为特征，分别输入应用分类模型、用户行为分类模型和通用用户行为分类模型，得到相应的分类。本发明通过对多个场景下机器学习分类器的调参，确保模型的准确性和鲁棒性，使得应用类型分类具有高准确率和高效率，用户行为分类易于识别可疑用户行为从而保护用户安全与隐私，且通过通用用户行为分类可获得吞吐量、延迟等有用信息，从而帮助改善去中心化应用使其运行更加有效率、提升用户体验。

公开(公告)号：CN112272147A

公开(公告)日：2021-01-26

申请号：CN202011148604.2

申请日：2020-10-23

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  李镇 ,  郭煜 ,  石俊峥 ,  苟高鹏

IPC: H04L12/851 ,  H04L12/803

Abstract: 本发明涉及一种基于代价敏感和梯度提升算法的不均衡网络流量分类方法和装置。该方法包括：采集当前任务场景下的网络流量，对其进行特征提取和标注，并划分训练集和验证集；设置参数池和目标指标；将训练集和验证集作为输入，根据设置的目标指标，采用梯度提升算法并通过交叉验证，对参数池中的参数进行自动化调优；将最佳参数组合代入分类器的相应位置，将训练集作为输入训练分类器，每一轮迭代产生的分类器采用验证集进行效果验证；采集不均衡网络流量数据，利用训练完成的不均衡网络流量分类器得到分类结果。本发明可以自适应调节参数，找到适合该场景的最佳参数，并训练能达到最佳目标指标的分类器，而无需了解数据分布的先验知识。

公开(公告)号：CN111885213A

公开(公告)日：2020-11-03

申请号：CN202010518000.6

申请日：2020-06-09

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  李镇 ,  崔天宇 ,  石俊峥 ,  苟高鹏

IPC: H04L29/12 ,  G06F40/126 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明涉及一种基于门控卷积变分自编码器的IPv6地址发现方法和装置。该方法利用门控卷积层构建变分自编码器，得到门控卷积变分自编码器；对门控卷积变分自编码器进行训练，训练过程中通过编码器学习输入地址的分布，然后采样潜向量并通过解码器重构新的地址表示；将训练完成的解码器用作生成器，用以批量生成预测的活跃IPv6地址。本发明使用门控卷积网络来构建变分自编码器，在关注地址重要性标志的同时能够发现地址位之间的潜在关系；本发明提出了两种地址分类方法，即手工分类方法和无监督聚类方法，能够有效提升模型效果；相比于现有技术，本发明能够在有限数据集下生成更多的活跃目标。

公开(公告)号：CN108768986B

公开(公告)日：2020-09-08

申请号：CN201810475126.2

申请日：2018-05-17

Applicant: 中国科学院信息工程研究所

Inventor： 李镇 ,  曹自刚 ,  熊刚 ,  刘畅

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种加密流量分类方法及服务器、计算机可读存储介质。本方法包括训练阶段和分类阶段，其中训练阶段：获取加密应用的加密流量并标注，得到一训练集合；从该训练集合中分别提取每一加密应用的message type序列并统一转化为对应的编码序列，并根据应用的包长度序列计算该应用的代表长度序列；利用每一应用的编码序列构建Message type马尔科夫转移矩阵，根据代表长度序列构建长度马尔科夫转移矩阵；将编码序列、代表长度序列分别输入对应转移矩阵，生成对应应用的加密流量的指纹；将各指纹输入分类模型中训练，得到分类模型；分类阶段：对于将要分类的数据流，将该数据流的指纹输入训练后的分类模型中进行分类。

公开(公告)号：CN111382780A

公开(公告)日：2020-07-07

申请号：CN202010090768.8

申请日：2020-02-13

Applicant: 中国科学院信息工程研究所

Inventor： 熊刚 ,  苟高鹏 ,  张子青 ,  李镇 ,  管洋洋 ,  王炳旭

IPC: G06K9/62 ,  G06N3/00 ,  G06N3/04 ,  H04L29/08

Abstract: 本发明涉及一种基于HTTP不同版本的加密网站细粒度分类方法和装置。该方法包括以下步骤：对待分类的加密网站建立本地请求和响应序列特征；将待分类的加密网站的本地请求和响应序列特征输入深度森林模型；所述深度森林模型是利用由训练数据建立的网页的本地请求和响应序列特征进行训练而得到的深度森林模型；通过深度森林模型得到加密网站细粒度分类结果本发明可以对使用不同版本的HTTP协议的加密网站进行分类，既适用于粗粒度网站指纹，即对不同网站的主页分类，也适用于细粒度网站指纹，即对同一个网站下不同网页分类；不仅可以在双向流场景中使用，也可以在单向流场景中使用。