公开(公告)号：CN118070282A

公开(公告)日：2024-05-24

申请号：CN202410190878.X

申请日：2024-02-20

Applicant: 北京邮电大学

Inventor： 李灵慧 ,  孔维玉 ,  李小勇 ,  李曦明 ,  袁开国

IPC: G06F21/56 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/0495 ,  G06N3/084 ,  G06F17/16

Abstract: 本发明公开了一种基于异构知识蒸馏的内部威胁异常检测方法，包括如下步骤：(1)构建以加权图神经网络为基础的结构化信息教师模型和以双向长短时记忆网络为基础的时序信息学生模型；(2)构建知识蒸馏机制，温度放缩改造教师模型输出soft logits，增加权重改造交叉熵损失函数，网格搜索完成超参数优化；(3)异构知识蒸馏输入数据异构同步为图数据格式和三维张量数据格式，保证知识蒸馏过程中数据一致性；(4)部署学生模型用于实时检测，教师模型非实时蒸馏更新学生模型。本发明在传统的基于深度学习的内部威胁检测基础上加入异构知识蒸馏，且同时考虑到了结构信息和序列信息，在保证轻量型模型体积不变化的前提下提升模型的准确率和泛化能力。

公开(公告)号：CN114329474B

公开(公告)日：2024-12-20

申请号：CN202210006038.4

申请日：2022-01-05

Applicant: 北京邮电大学

Inventor： 李小勇 ,  霍达 ,  高雅丽 ,  栗仕超 ,  李曦明 ,  蒋哲

IPC: G06F21/56 ,  G06F18/214 ,  G06F18/211 ,  G06F40/30 ,  G06N3/04 ,  G06N3/08 ,  G06N5/01

Abstract: 本发明公开了一种融合机器学习和深度学习的恶意软件检测方法，采用机器学习(LightGBM)与深度学习(1D‑CNN)相结合的方法作为恶意软件检测模型的基础，该模型可以发掘语义的深度特征，发掘语义上下文关系的时空序列数据特征，同时该模型的特征提取以及模型检测相配合能够更好地进行误差传播，使训练速度更快、效果更好。同时对模型接收到检测样本进行计算，从而判别是否存在恶意软件，比传统地直接进入检测模型具有更高地准确率。此外，本发明的方法简单，检测模型更加轻量化，该模型不仅适用于Microsoft端的恶意软件检测，在移动端也有较好的效果。

公开(公告)号：CN116047901A

公开(公告)日：2023-05-02

申请号：CN202211606055.8

申请日：2022-12-14

Applicant: 北京邮电大学

Inventor： 李小勇 ,  贾佳 ,  高雅丽 ,  李灵慧 ,  苑洁 ,  李曦明 ,  旺洪苗 ,  唐嘉璐 ,  邱朋飞

IPC: G05B13/04

Abstract: 本发明提出了一种基于自动门控循环单元的鲁棒时空轨迹建模方法，构建一个基于自编码器门控循环单元的通用协作学习框架，该框架由基于自动编码器(autoencoder，AE)的自表示网络(self‑representation network，SRN)用于鲁棒的轨迹特征学习和基于门控递归单元(gated recurrent unit，GRU)的分类网络组成，该网络与SRN共享信息用于协作学习和严格防御对抗性样本攻击。此外，由于GRU可以利用门控单元有效处理时序信息，并保留信息的长期依赖性，因此整体建模方法在防御白盒和黑盒攻击方面表现良好，尤其是在黑盒攻击中，其性能优于广泛使用的方法。此外，在Geolife和北京出租车轨迹数据集上的大量实验表明，所提出的方法可以提高模型在对抗性样本环境中的鲁棒性，而不会对干净的样本造成显著的性能损失。

公开(公告)号：CN116484363A

公开(公告)日：2023-07-25

申请号：CN202211391970.X

申请日：2022-11-08

Applicant: 北京邮电大学

Inventor： 李小勇 ,  李曦明 ,  李灵慧 ,  高雅丽 ,  苑洁 ,  蔡斌思 ,  贾佳 ,  邓以豪

IPC: G06F21/55 ,  G06F18/241 ,  G06N3/042

Abstract: 本发明公开了一种基于双域图卷积神经网络的内部威胁异常检测方法，包括如下步骤：S1、基于用户之间的交互信息构建始邻接矩阵，根据原始特征矩阵和结构信息，通过加权特征相似度函数构建特征域的邻接矩阵和特征矩阵；S2、分别通过拓扑域卷积和特征域卷操作，在拓扑域和特征域上传播节点特征，以学习相应的图嵌入；S3、根据从拓扑域和特征域中提取的图嵌入，对用户行为和操作进行矢量化，利用注意力机制来学习这两个图嵌入中每个节点的重要性权重，并自适应地传播，生成最终的节点嵌入。本发明在传统的图卷积神经网络的基础上，提出双域图卷积神经网络模型，同时考虑到了节点的结构信息和特征信息，提高内部威胁检测的准确率，降低误报率。

公开(公告)号：CN114329474A

公开(公告)日：2022-04-12

申请号：CN202210006038.4

申请日：2022-01-05

Applicant: 北京邮电大学

Inventor： 李小勇 ,  霍达 ,  高雅丽 ,  栗仕超 ,  李曦明 ,  蒋哲

IPC: G06F21/56 ,  G06K9/62 ,  G06F40/30 ,  G06N3/04 ,  G06N3/08 ,  G06N5/00

Abstract: 本发明公开了一种融合机器学习和深度学习的恶意软件检测方法，采用机器学习(LightGBM)与深度学习(1D‑CNN)相结合的方法作为恶意软件检测模型的基础，该模型可以发掘语义的深度特征，发掘语义上下文关系的时空序列数据特征，同时该模型的特征提取以及模型检测相配合能够更好地进行误差传播，使训练速度更快、效果更好。同时对模型接收到检测样本进行计算，从而判别是否存在恶意软件，比传统地直接进入检测模型具有更高地准确率。此外，本发明的方法简单，检测模型更加轻量化，该模型不仅适用于Microsoft端的恶意软件检测，在移动端也有较好的效果。