公开(公告)号：CN119182576B

公开(公告)日：2025-05-09

申请号：CN202411244042.X

申请日：2024-09-05

Applicant: 华中科技大学

Inventor： 龙翔 ,  黄炎 ,  徐定坤 ,  孙海丽 ,  黄云洁 ,  韩兰胜

IPC: H04L9/40

Abstract: 本发明提出了一种基于多时段平衡属性子图及异质图注意力的异常检测方法及装置，涉及网络安全技术领域，该方法包括：获取待检测网络数据，并将所述待检测网络数据输入至训练好的网络异常检测模型中，得到由所述网络异常检测模型输出的异常数据以及所述异常数据的类别；所述网络异常检测模型包括扩散增强异构图注意力网络层以及分类网络层，且，所述网络异常检测模型是基于样本数据、所述样本数据的相似度特征以及事件嵌入训练得到的。本发明提高了模型的准确性和鲁棒性，使得训练好的网络异常检测模型能够更有效地识别和防御网络攻击，为网络安全提供更加强大的保护措施，该网络异常检测模型在网络安全领域具有重要的应用价值。

公开(公告)号：CN117709301A

公开(公告)日：2024-03-15

申请号：CN202311556155.9

申请日：2023-11-17

Applicant: 华中科技大学

Inventor： 马铭芮 ,  韩兰胜 ,  戴子城 ,  秦泽青 ,  刘泓玏

IPC: G06F40/151 ,  G06F40/205 ,  G06F40/284 ,  G06F16/22 ,  G06F16/903

Abstract: 本发明公开了一种基于熵增原理的规范化日志生成方法，属于数据库日志审计技术领域，所述方法包括：基于熵增原理确定当前日志中各个字段的熵值；利用字段对应的熵值与设定阈值之间的大小关系判定其为重要字段或非重要字段；设定当前日志对应的关联主键，关联主键能够表征所述当前日志中所有所述重要字段与所有所述非重要字段之间唯一的映射关系；将当前日志转化为包括重要字段、关联主键和非重要字段的日志规范化结构。本方案采用熵增原理规范化方法能够有效处理多来源不同结构的原始日志，泛化能力强；此外，最终得到的包含重要字段与非重要字段及关联主键的日志规范化结构格式严密统一、规则定义简明，能够随着日志结构的变动快速迭代升级。

公开(公告)号：CN117435184A

公开(公告)日：2024-01-23

申请号：CN202311283810.8

申请日：2023-10-07

Applicant: 华中科技大学

Inventor： 付才 ,  朱正禹 ,  邹德清 ,  刘铭 ,  韩兰胜

IPC: G06F8/35 ,  G06F8/74 ,  G06F9/448

Abstract: 本发明公开了一种linux模块功能识别模型的构建方法及应用，属于计算机系统安全管理技术领域；通过对模块间的调用关系进行分析，确定了依赖于其他模块的模块，得到上层模块；对上层模块，综合其内部的调用次数较多的多个外部函数的定义模块的功能信息，构建其功能值矩阵；通过训练上层模块的功能值矩阵与其功能值向量之间的映射关系，来学习待识别模块的功能与其所依赖的其他模块功能之间的对应关系，进而构建得到linux模块功能识别模型，使得对于未知来源的模块，可以通过逆向分析获取其所依赖的模块信息，进而根据所依赖的模块的功能与其实际功能的映射关系，进行准确有效的模块功能识别。

公开(公告)号：CN117319315A

公开(公告)日：2023-12-29

申请号：CN202311190711.5

申请日：2023-09-15

Applicant: 华中科技大学

Inventor： 白无瑕 ,  陈凯 ,  韩兰胜 ,  李升辉 ,  高鹏毅 ,  李冰倩 ,  张宁 ,  朱凯迪 ,  白康男 ,  单成顶

IPC: H04L47/2441 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/084 ,  G06F18/24

Abstract: 本发明公开了一种基于生成对抗网络过采样的网络流量分类方法及系统，属于网络入侵检测领域。方法包括：首先，对原始数据集进行预处理，得到带标签的两个标准训练数据集训练改进的生成对抗网络模型；然后，进行混合采样平衡训练集各类别数据分布：使用训练后的生成对抗网络中的生成器生成若干条少数类流量数据加入到原始训练数据集中，同时对原始训练集中的多数类流量数据进行随机欠采样，得到一份新的平衡数据集；最后，使用平衡数据集训练多分类器，实现对未知类型流量进行分类。本发明解决了流量分类模型训练过程中各类别流量数据分布不平衡导致基于深度学习的分类方法性能下降的问题，实现了一种高精度的流量分类方法。

公开(公告)号：CN115905889A

公开(公告)日：2023-04-04

申请号：CN202211336371.8

申请日：2022-10-28

Applicant: 华中科技大学

Inventor： 朱东君 ,  贺杰彦 ,  韩兰胜 ,  付才 ,  季启

IPC: G06F18/23 ,  G06F21/57 ,  H04L9/40 ,  H04L43/12

Abstract: 本发明属于网络空间测绘领域，具体涉及基于聚类的网络实体指纹识别及网络漏洞态势感知方法，包括，首先提出一种基于聚类的新型网络应用指纹识别方法，构建已知网络节应用类型点信息库，通过聚类算法高效实现对采集的网络资产的分类和标签化处理，在此基础上通过自动化更新聚类特征的方法，实现了网络新实体、新应用的发现；最后，提出基于知识图谱的网络漏洞验证方法，构建基于网络实体信息库、漏洞信息库和漏洞验证知识原子单元，设计并实现漏洞验证路径生成算法，对采集的网络资产进行漏洞验证，实现基于知识图谱的漏洞自动化验证，最后，形成了一款可以高并发、多协议、快速、易于维护的网络空间资产探测系统。

公开(公告)号：CN112702334B

公开(公告)日：2022-11-29

申请号：CN202011521370.1

申请日：2020-12-21

Applicant: 中国人民解放军陆军炮兵防空兵学院 ,  华中科技大学

Inventor： 钱叶魁 ,  付才 ,  韩兰胜 ,  杨瑞朋 ,  黄浩 ,  雒朝峰 ,  杜江 ,  时晨航

IPC: H04L9/40 ,  H04L67/02 ,  G06F21/46

Abstract: 本发明涉及一种静态特征与动态页面特征结合的WEB弱口令检测方法，属于信息安全领域。本发明发送至少两次错误的密码判断是否产生动态返回值并获取EL；当返回页面中存在黑名单列表的关键字时，则说明口令错误；若不存在则进入下一步判断；判断用户名和密码的键名是否存在于跳转后的页面中，若存在说明本组口令错误，继续进行下一次判断；若不存在，则进行下一步判断；将返回页面的总长度与EL相比较，若相等，则认为本组口令为错误口令，否则将进入下一步判断；依次发送一个错误的密码e1，和从上一步得到的待检测口令s，若返回页面长度相等则认为本组密码错误，若不相等则本组密码正确。本发明可用于WEB系统的弱口令以及万能密码检测，准确率高。

公开(公告)号：CN112702235A

公开(公告)日：2021-04-23

申请号：CN202011533011.8

申请日：2020-12-21

Applicant: 中国人民解放军陆军炮兵防空兵学院 ,  华中科技大学

Inventor： 钱叶魁 ,  付才 ,  韩兰胜 ,  杨瑞朋 ,  黄浩 ,  雒朝峰 ,  杜江 ,  时晨航

IPC: H04L12/26 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种对未知协议自动化逆向分析的方法，属于网络安全领域。本发明包括以下步骤：截获网络数据报文，并过滤得到已知网络协议字段；通过分析协议字段的变化特征，提取针对字段变化特征的向量编码；使用字段序列编码作为输入，使用LSTM‑FCN网络实现对针对未知协议的分类模型；使用训练好模型作为字段序列分类器，并且根据分类结果来实现未知协议字段的边界和类型的识别。本发明的字段分类模型在不同的协议上都具有很好准确率和召回率，表明该模型具有根据字段变化特征识别字段类型的能力；所提出的协议逆向方案也比较准确和快速的识别出了协议的字段和类别，充分的证明了本发明对未知二进制协议的识别能力。

公开(公告)号：CN112487368A

公开(公告)日：2021-03-12

申请号：CN202011521368.4

申请日：2020-12-21

Applicant: 中国人民解放军陆军炮兵防空兵学院 ,  华中科技大学

Inventor： 钱叶魁 ,  付才 ,  韩兰胜 ,  杨瑞朋 ,  黄浩 ,  雒朝峰 ,  杜江 ,  时晨航

IPC: G06F21/14 ,  G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明涉及一种基于图卷积网络的函数级混淆检测方法，属于网络安全领域。本发明包括如下步骤：使用不同的混淆技术生成混淆后的函数；函数的控制流图特征提取；混淆检测模型的构建；在函数级混淆检测的基础上进行apk级别的混淆检测。本发明针对x86汇编代码与Android应用，从开源平台获取原始未混淆程序，选择合适的混淆器生成混淆后的程序；获得未混淆的函数与使用不同混淆技术生成的混淆函数，提取每个函数邻接矩阵与基本块特征矩阵；构建GCN‑LSTM的混合神经网络模型作为混淆检测模型并对模型训练；使用训练好的混淆检测模型以及设定阈值来进行apk级别的混淆检测。本发明的方法在函数级别的检测和apk级别的检测方面都优于基线方法。

公开(公告)号：CN109542508A

公开(公告)日：2019-03-29

申请号：CN201811212440.8

申请日：2018-10-18

Applicant: 华中科技大学

Inventor： 付才 ,  张哲畅 ,  胡启宬 ,  韩兰胜 ,  刘铭 ,  崔永泉 ,  骆婷 ,  汤学明

IPC: G06F8/74

Abstract: 本发明公开了一种基于函数调用关系图的代码同源性分析方法，包括以：基于代码的函数调用关系图生成母图；计算函数调用关系图与母图之间的相对编辑距离、函数调用关系图对应矩阵的半方差值、函数调用关系图的度分布有序值；基于相对编辑距离、半方差值、度分布有序值三者的中至少一个，分析代码同源性。相对编辑距离从程序组织的角度进行代码同源性分析，判断程序整体的有序性和无序性；半方差值从代码逻辑的角度进行代码同源性分析，判断程序编写者的深度优先或广度优先编写习惯；度分布有序值从统计学的角度进行代码同源性分析，判断程序的调用次数分布。通过综合三种指标，区分功能函数的设计和调用特征，在代码溯源领域有较优的表现。

公开(公告)号：CN104954451B

公开(公告)日：2018-09-25

申请号：CN201510293562.4

申请日：2015-06-02

Applicant: 华中科技大学

Inventor： 付才 ,  徐行波 ,  韩兰胜 ,  刘铭 ,  崔永泉 ,  汤学明 ,  骆婷

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明公开了一种虚拟化环境下的USB设备访问控制方法，该方法可以将客户端中插入的USB设备映射到虚拟机中，并且能对映射到虚拟机中的USB设备进行读写访问控制。该方法的实现步骤如下：首先，配置客户端和虚拟机的网络，使得客户端和虚拟机之间可以相互PING通；其次，在客户端和虚拟机中分别安装USB映射程序，确保USB设备能够从客户端映射到虚拟机中；再次，在虚拟机所在的服务器中将USB设备的唯一标识符、映射客户端IP和读写控制信息存储在管理域中；然后，在客户端中启动认证程序，将存储在服务器管理域中的信息下载到本地；最后，在客户端中插入登记过的USB设备，该USB设备将调用映射程序映射到对应的虚拟机中并按照登记在管理域中的信息进行读写控制。