公开(公告)号：CN111144470A

公开(公告)日：2020-05-12

申请号：CN201911321413.9

申请日：2019-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  赵树园 ,  桑亚飞 ,  常鹏

IPC: G06K9/62 ,  H04L12/851

Abstract: 本发明涉及一种基于深度自编码器的未知网络流量识别方法及系统，以原始网络数据流为输入，首先利用n-gram嵌入对网络数据包中负载的前m个字节进行向量化处理，得到不同维度的数据包向量；然后利用深度自编码器算法对不同维度的数据包向量进行训练并得到特征提取模型,利用该模型完成对网络数据包向量的特征提取，得到优化的网络数据包特征，并将不同维度的特征进行连接，得到网络数据包的最终特征向量；最后基于k-means聚类算法对未知网络流量进行聚类分析，得到未知流量聚类模型，实现对于实时网络中未知流量的识别。

公开(公告)号：CN115941555B

公开(公告)日：2024-05-28

申请号：CN202210501391.X

申请日：2022-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 窦禹 ,  桑亚飞 ,  常鹏 ,  李书豪 ,  杨昕雨 ,  张博文

IPC: H04L43/0876 ,  H04L67/025 ,  H04L67/06 ,  H04L67/56 ,  H04L69/22 ,  H04L9/40 ,  G06F40/216

Abstract: 本发明公开一种基于流量指纹的APP个人信息收集行为检测方法及系统，涉及网络安全被动监测领域，旨在能够从被动流量数据层面出发，提取APP流量指纹、第三方SDK流量指纹、个人信息流量指纹三种类型流量指纹形成指纹库。基于所构建指纹库，利用相似度匹配、字符串匹配和正则匹配算法对出入流量数据包进行规则匹配，可实现在网络关口环境下的APP个人信息收集行为检测，输出监测线索，为后续依据相关规定和标准开展APP违法违规收集个人信息提供重要支撑。

公开(公告)号：CN111144470B

公开(公告)日：2022-12-16

申请号：CN201911321413.9

申请日：2019-12-20

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  赵树园 ,  桑亚飞 ,  常鹏

IPC: G06K9/62 ,  H04L47/2483 ,  H04L47/2441

Abstract: 本发明涉及一种基于深度自编码器的未知网络流量识别方法及系统，以原始网络数据流为输入，首先利用n‑gram嵌入对网络数据包中负载的前m个字节进行向量化处理，得到不同维度的数据包向量；然后利用深度自编码器算法对不同维度的数据包向量进行训练并得到特征提取模型,利用该模型完成对网络数据包向量的特征提取，得到优化的网络数据包特征，并将不同维度的特征进行连接，得到网络数据包的最终特征向量；最后基于k‑means聚类算法对未知网络流量进行聚类分析，得到未知流量聚类模型，实现对于实时网络中未知流量的识别。

公开(公告)号：CN105938562B

公开(公告)日：2019-06-11

申请号：CN201610230313.5

申请日：2016-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  桑亚飞 ,  常鹏 ,  庹宇鹏

IPC: G06K9/62 ,  G06N3/04

Abstract: 本发明提供一种自动化网络应用指纹提取方法，步骤包括：1)接收网络应用数据包，通过语言模型学习输出字节向量；2)对上述网络应用数据包载荷的逐个字节值所对应的字节向量进行连接操作，得到数据包载荷向量；3)根据上述数据包载荷向量，将上述网络应用数据包载荷划分成多个不同的聚簇；4)对每一个聚簇中一系列频繁共现的字节序列串进行提取，获得应用指纹。本发明还提供一种自动化网络应用指纹提取系统，包括：数据预处理模块、字节向量学习模块、数据包载荷向量化表示模块、数据包载荷聚类模块和应用指纹提取模块。

公开(公告)号：CN105938562A

公开(公告)日：2016-09-14

申请号：CN201610230313.5

申请日：2016-04-13

Applicant: 中国科学院信息工程研究所

Inventor： 张永铮 ,  桑亚飞 ,  常鹏 ,  庹宇鹏

IPC: G06K9/62 ,  G06N3/04

CPC classification number: G06K9/6223 ,  G06N3/0481

Abstract: 本发明提供一种自动化网络应用指纹提取方法，步骤包括：1)接收网络应用数据包，通过语言模型学习输出字节向量；2)对上述网络应用数据包载荷的逐个字节值所对应的字节向量进行连接操作，得到数据包载荷向量；3)根据上述数据包载荷向量，将上述网络应用数据包载荷划分成多个不同的聚簇；4)对每一个聚簇中一系列频繁共现的字节序列串进行提取，获得应用指纹。本发明还提供一种自动化网络应用指纹提取系统，包括：数据预处理模块、字节向量学习模块、数据包载荷向量化表示模块、数据包载荷聚类模块和应用指纹提取模块。

公开(公告)号：CN115941555A

公开(公告)日：2023-04-07

申请号：CN202210501391.X

申请日：2022-05-09

Applicant: 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

Inventor： 窦禹 ,  桑亚飞 ,  常鹏 ,  李书豪 ,  杨昕雨 ,  张博文

IPC: H04L43/0876 ,  H04L67/025 ,  H04L67/06 ,  H04L67/56 ,  H04L69/22 ,  H04L9/40 ,  G06F40/216

Abstract: 本发明公开一种基于流量指纹的APP个人信息收集行为检测方法及系统，涉及网络安全被动监测领域，旨在能够从被动流量数据层面出发，提取APP流量指纹、第三方SDK流量指纹、个人信息流量指纹三种类型流量指纹形成指纹库。基于所构建指纹库，利用相似度匹配、字符串匹配和正则匹配算法对出入流量数据包进行规则匹配，可实现在网络关口环境下的APP个人信息收集行为检测，输出监测线索，为后续依据相关规定和标准开展APP违法违规收集个人信息提供重要支撑。

公开(公告)号：CN115913721A

公开(公告)日：2023-04-04

申请号：CN202211457073.4

申请日：2022-11-16

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  成振语 ,  谢江

IPC: H04L9/40

Abstract: 本发明涉及一种基于分层时空特征的HTTP恶意通联流量检测方法及系统，其方法包括：S1：对流量数据进行预处理，获取报文、请求流和响应流；构建报文灰度图、报文级和流级统计特征向量；S2：对灰度图进行归一化；将报文级和流级统计特征向量分别经编码器得到报文级和流级编码特征向量；S3：将归一化的灰度图经CNN网络得到报文级特征向量；将多个报文级特征向量按时序组成报文级特征向量序列，与报文级编码特征向量结合后输入LSTM，得到时序特征向量，将时序特征向量和流级编码特征向量进行拼接，得到输出特征向量，再对输出特征向量进行降维后计算分别属于恶意通联行为和良性的概率。本发明提供的方法可自动进行数据报文异常检测，具有较高检测防护率。

公开(公告)号：CN116614245A

公开(公告)日：2023-08-18

申请号：CN202310177705.X

申请日：2023-02-17

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  李想 ,  吕坤

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/0631 ,  H04L41/16 ,  H04L41/069

Abstract: 本发明涉及一种基于多源告警日志压缩的攻击路径建模方法及系统，其方法包括：步骤S1：收集多个网络安全引擎源产生的告警日志，进行预处理操作，得到预处理后告警日志；步骤S2：根据同源预处理后告警日志间的相似度，合并到同一个簇，形成网络攻击事件；步骤S3：对多源网络攻击事件，基于时间连续性及攻击连续性进行关联压缩，得到压缩后网络攻击事件并对其进行置信打分；步骤S4：对压缩打分后的网络攻击事件，使用时间Petri网络进行攻击图构建，得到所有可能的攻击路径；步骤S5：利用第三方威胁情报对攻击IP及单步攻击路径进行置信打分后对攻击路径进行推荐评估。本发明提供的方法通过分析多源网络安全引擎源产生的海量告警日志，构建高可信度的攻击路径。

公开(公告)号：CN116015788A

公开(公告)日：2023-04-25

申请号：CN202211606900.1

申请日：2022-12-13

Applicant: 中国科学院信息工程研究所

Inventor： 成振语 ,  桑亚飞 ,  孙裴帅

IPC: H04L9/40 ,  G06N3/0475 ,  G06N3/094

Abstract: 本发明涉及一种基于主动探测的恶意流量防护方法及系统，其方法包括：S1：攻击者输入原始流量样本到恶意流量防护模型，在黑盒攻击场景下攻击恶意流量防护模型，输出原始流量样本的标签；S2：构建替代模型，包括：生成器G和鉴别器D；提取原始流量样本的时间序列和长度序列构建具有时空特征流量样本，输入鉴别器D，输出原始流量样本的类别：恶意或良性；S3：对替代模型进行训练，使得生成器G生成对抗样本，鉴别器D识别对抗样本是恶意还是良性；S4：将对抗样本输入恶意流量防护模型，如果输出对抗样本的类别不正确，则重复执行步骤S2～S4，直到防护模型无法识别生成的对抗样本。本发明提供的方法可有效检测恶意行为，提高防护模型的鲁棒性。

公开(公告)号：CN115987599A

公开(公告)日：2023-04-18

申请号：CN202211624392.X

申请日：2022-12-16

Applicant: 中国科学院信息工程研究所

Inventor： 桑亚飞 ,  麻景润 ,  成振语 ,  赵树园

IPC: H04L9/40 ,  G06F18/2415 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/047

Abstract: 本发明涉及一种基于多层次注意力机制的恶意加密流量检测方法及系统，其方法包括：S1：对待检测的网络流量进行预处理，得到具有相同报文数量以及报文负载大小的流集合；S2：将报文负载以不同n值按照多个尺度对其进行字节级的n‑gram划分，得到L个n‑gram序列；计算n‑gram序列里每个gram元素的权重，加权求和得到Gram级注意力特征向量ui；计算每个ui的权重，加权求和后得到Scale级注意力特征向量si；S3：将si输入Bi‑LSTM提取特征，得到报文特征向量ti，计算每个ti的权重，加权求和后得到流级特征向量v；S4：将v经过全连接层以及Softmax计算后，得到流属于每一类别的概率。本发明提供的方法利用多层次注意力从多个尺度学习报文负载的特征，自动进行报文负载异常检测。