公开(公告)号：CN117095243B

公开(公告)日：2024-05-07

申请号：CN202311345466.0

申请日：2023-10-18

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  杜磊 ,  张明瑞 ,  段晨芸 ,  李嘉瑞 ,  李鉴明 ,  张志强 ,  廖清 ,  夏文 ,  李诗逸

IPC: G06V10/764 ,  H04L9/40 ,  G06V10/774 ,  G06V10/80 ,  G06V10/82 ,  G06V10/70 ,  G06V10/74 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/24 ,  G06F18/25 ,  G06F18/20 ,  G06N3/045 ,  G06N3/0895 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  G06F123/02

Abstract: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法，包括：步骤一：将采集到的网络流量样本进行拆分处理，处理后的网络流量样本被转化为灰度图像表示；步骤二：将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力；步骤三：初始化基础会话分支分类器的投影层参数，用于训练初始的检测分类模型；步骤四：学习每个新会话分支分类器模块，进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是：本发明方法在不会遗忘已学习攻击类别的情况下，允许以增量、小样本、灵活的方式持续学习新攻击类别，实现保护目标网络系统免受恶意攻击。

公开(公告)号：CN119052006A

公开(公告)日：2024-11-29

申请号：CN202411554523.0

申请日：2024-11-04

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  李嘉瑞 ,  杜磊 ,  段晨芸 ,  闫昊 ,  陈翊璐 ,  张明瑞 ,  李鉴明

IPC: H04L9/40 ,  G06N5/025

Abstract: 本发明公开了一种基于大语言模型提示学习的网络攻击流量检测规则生成方法、系统及介质，所述方法包括以下步骤：对原始包数据完成流量明文的重组与解码，将原始的流量会话数据转化为可阅读可理解的HTTP请求报文数据；基于大语言模型提示学习完成网络攻击流量检测规则的生成、细化与优化；完成攻击流量样本、检测规则信息与安全知识库的映射过程。相对于现有技术，本发明能更有效的生成针对攻击流量的检测规则以及获取对应的安全知识。

公开(公告)号：CN117955745B

公开(公告)日：2024-07-02

申请号：CN202410347079.9

申请日：2024-03-26

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  李嘉瑞 ,  李鉴明 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/213 ,  G06F18/2132 ,  G06F18/2135 ,  G06F18/23213 ,  G06F18/25

Abstract: 本发明涉及网络安全领域及计算机深度学习领域，特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤：S1.构建网络流量特征；S2.构建威胁情报特征；S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击，采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析，相比现有方法，本发明使用的特征较为全面，更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征，更能全面的表示一个网络攻击，有利于后续的同源性分析。

公开(公告)号：CN119249142A

公开(公告)日：2025-01-03

申请号：CN202411129997.0

申请日：2024-08-16

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) ,  中国电子科技集团公司第五十四研究所

Inventor： 杜磊 ,  顾钊铨 ,  宋志群 ,  刘丽哲 ,  李皓 ,  李嘉瑞 ,  王梦娇 ,  张欢 ,  段晨芸 ,  张明瑞

IPC: G06F18/214 ,  H04L9/40 ,  G06F18/23213

Abstract: 本发明提供了一种基于有限审查预算的网络入侵样本高效标注方法、系统及存储介质，该网络入侵样本高效标注方法包括执行以下步骤：人工标注步骤：从新样本中选取设定数量的样本用于人工的审查、标记和统计类别数；标注分配步骤：利用已标记样本和统计类别数来聚类和标注剩余样本。本发明的有益效果是：1.本发明的网络入侵样本高效标注方法不对特征空间进行限制，可在原始特征空间执行，也可在特征表示空间执行；2.本发明的网络入侵样本高效标注方法能够在有限标注预算的前提下提高新样本的标注准确性和效率。

公开(公告)号：CN118101357B

公开(公告)日：2024-08-06

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN117955745A

公开(公告)日：2024-04-30

申请号：CN202410347079.9

申请日：2024-03-26

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  李嘉瑞 ,  李鉴明 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/213 ,  G06F18/2132 ,  G06F18/2135 ,  G06F18/23213 ,  G06F18/25

Abstract: 本发明涉及网络安全领域及计算机深度学习领域，特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤：S1.构建网络流量特征；S2.构建威胁情报特征；S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击，采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析，相比现有方法，本发明使用的特征较为全面，更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征，更能全面的表示一个网络攻击，有利于后续的同源性分析。

公开(公告)号：CN119299129A

公开(公告)日：2025-01-10

申请号：CN202411255263.7

申请日：2024-09-09

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) ,  中国电子科技集团公司第五十四研究所

Inventor： 杜磊 ,  顾钊铨 ,  宋志群 ,  刘丽哲 ,  李皓 ,  段晨芸 ,  谭昊 ,  曹钰 ,  李嘉瑞 ,  张明瑞

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/21 ,  G06F18/2433 ,  G06F18/2431 ,  G06F18/2415

Abstract: 本发明提供了一种用于细粒度多分类的网络入侵开放识别方法、系统及存储介质，网络入侵开放识别方法包括：特征表示步骤：学习一个泛化性的特征表示网络来表征训练和测试样本，从而为后续的分类步骤和拒绝步骤提供支撑；分类步骤：构建分类器，在封闭世界假设中将测试样本分类为已知类别中的某一个类别；拒绝步骤：从训练数据分布中估计可能的簇数，以在开放特征空间学习准确的识别器，从而最小化已知类别样本被错误识别为未知的风险。本发明的有益效果是：1.该网络入侵开放识别方法提高了网络入侵检测在开放世界中的检测准确性；2.该网络入侵开放识别方法具有很好的特征表示能力，能够在分类已知类别样本的同时拒绝那些未知类别的样本。

公开(公告)号：CN118101357A

公开(公告)日：2024-05-28

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN119172160A

公开(公告)日：2024-12-20

申请号：CN202411426471.9

申请日：2024-10-14

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  陈翊璐 ,  肖雨佳 ,  贾焰 ,  谭昊 ,  李嘉瑞 ,  曹钰

IPC: H04L9/40 ,  G10L25/24 ,  G10L25/48

Abstract: 本发明公开了一种基于音频特征的加密流量攻击检测方法、系统及介质，该方法包括：通过五元组划分网络会话流，根据流量字节和音频信号的二进制关系，将网络会话流从流量pcap格式转为音频wav格式；将wav格式文件输入至音频特征提取算法中，计算分帧参数，提取MFCC音频特征；利用MFCC音频特征训练神经网络模型，实现加密流量攻击分类。本发明能避免对网络流量中的关键攻击特征提取不充分或者关键攻击信息缺失的问题，能降低专家知识依赖，支持后续特征提取和攻击检测。

公开(公告)号：CN117095243A

公开(公告)日：2023-11-21

申请号：CN202311345466.0

申请日：2023-10-18

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  杜磊 ,  张明瑞 ,  段晨芸 ,  李嘉瑞 ,  李鉴明 ,  张志强 ,  廖清 ,  夏文 ,  李诗逸

IPC: G06V10/764 ,  H04L9/40 ,  G06V10/774 ,  G06V10/80 ,  G06V10/82 ,  G06V10/70 ,  G06V10/74 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/24 ,  G06F18/25 ,  G06F18/20 ,  G06N3/045 ,  G06N3/0895 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  G06F123/02

Abstract: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法，包括：步骤一：将采集到的网络流量样本进行拆分处理，处理后的网络流量样本被转化为灰度图像表示；步骤二：将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力；步骤三：初始化基础会话分支分类器的投影层参数，用于训练初始的检测分类模型；步骤四：学习每个新会话分支分类器模块，进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是：本发明方法在不会遗忘已学习攻击类别的情况下，允许以增量、小样本、灵活的方式持续学习新攻击类别，实现保护目标网络系统免受恶意攻击。