公开(公告)号：CN116383716A

公开(公告)日：2023-07-04

申请号：CN202310269511.2

申请日：2023-03-20

申请人： 国家计算机网络与信息安全管理中心 ,  中国科学院信息工程研究所

发明人： 鲁睿 ,  宋嘉莹 ,  时磊 ,  李镇 ,  孙旷怡 ,  徐安林 ,  王东安 ,  夏耀华 ,  王红兵 ,  李鹏霄 ,  项菲 ,  吕东

IPC分类号： G06F18/241 ,  G06F18/213 ,  H04L9/40 ,  G06N3/0464 ,  G06N3/08

摘要： 本发明涉及一种增加自注意力机制和加性角度最大化间隔层的加密流量网络行为识别方法和系统。该方法包括：对加密应用网络行为产生的流量进行预处理和嵌入表示；利用自注意力机制增强流量的嵌入表示的语义；构建加密应用行为流量识别模型，基于自注意力机制得到的结果，利用该模型提取流量的深度特征；在加密应用行为流量识别模型中设置加性角度最大化间隔层，用以最大化不同类别流量特征之间的间隔，增加不同类别向量之间的区分性；通过加密应用行为流量识别模型进行加密流量网络行为的识别。本发明能够解决现有技术在识别加密流量网络行为时未能有效表示流量特征并最大化不同网络行为产生流量特征向量之间的距离，从而导致误分率高的问题。

公开(公告)号：CN110602038B

公开(公告)日：2020-12-04

申请号：CN201910706278.3

申请日：2019-08-01

申请人： 中国科学院信息工程研究所

发明人： 苟高鹏 ,  熊刚 ,  陈洁 ,  李镇 ,  徐安林

IPC分类号： H04L29/06 ,  G06F16/903 ,  G06F16/906

摘要： 本发明提供一种基于规则的异常UA检测和分析的方法及系统，基于Spark网络流量捕获平台对网络流量进行捕获，根据HTTP格式将HTTP流量从所有网络流量中过滤出来，通过对HTTP流量进行UA字段的提取，可以有效针对网络流量中的异常UA进行检测和分析，从而便于网络管理和恶意软件检测。

公开(公告)号：CN114036356A

公开(公告)日：2022-02-11

申请号：CN202111192487.4

申请日：2021-10-13

申请人： 中国科学院信息工程研究所

发明人： 熊刚 ,  李镇 ,  郭煜 ,  崔明鑫 ,  徐安林 ,  管洋洋

IPC分类号： G06F16/906 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

摘要： 本发明涉及一种基于对抗生成网络流量增强的不均衡流量分类方法和系统。该方法在原始的不平衡流量数据集上预训练一个经验最优的网络作为分类器的初始状态；然后对生成器、判别器和分类器进行同步训练；生成器对少数类流量进行过采样以生成流量样本，并输入判别器和分类器；判别器判断输入的流量样本是真实数据还是生成器生成的数据，并反馈给生成器以帮助其进行优化学习；分类器对网络流量进行分类并将分类结果反馈至生成器，使生成器生成更符合对应类别样本分布的流量样本；训练完成后分类器的输出结果即为不均衡流量分类结果。本发明避免了使用通用过采样算法造成的不适用于流量数据的弊端，可以在真实网络环境中实现对不均衡流量的有效分类。

公开(公告)号：CN110602038A

公开(公告)日：2019-12-20

申请号：CN201910706278.3

申请日：2019-08-01

申请人： 中国科学院信息工程研究所

发明人： 苟高鹏 ,  熊刚 ,  陈洁 ,  李镇 ,  徐安林

IPC分类号： H04L29/06 ,  G06F16/903 ,  G06F16/906

摘要： 本发明提供一种基于规则的异常UA检测和分析的方法及系统，基于Spark网络流量捕获平台对网络流量进行捕获，根据HTTP格式将HTTP流量从所有网络流量中过滤出来，通过对HTTP流量进行UA字段的提取，可以有效针对网络流量中的异常UA进行检测和分析，从而便于网络管理和恶意软件检测。

公开(公告)号：CN106911531A

公开(公告)日：2017-06-30

申请号：CN201710018083.0

申请日：2017-01-10

申请人： 中国科学院信息工程研究所

发明人： 扶佩佩 ,  李镇 ,  徐安林 ,  彭军瑞 ,  郭莉

IPC分类号： H04L12/26 ,  H04L29/06

CPC分类号： H04L43/0829 ,  H04L43/045 ,  H04L69/22

摘要： 本发明涉及一种多分发场景的数据丢包率统计方法。该方法主要使用在数据分发的场景下，大数据负载均衡的分发到不同的目的地，首先对发送的数据预留一个字段用于标记数据的序列号，然后在数据发送过程中按照目的地对数据进行序列标记，最后对接收数据的序列号进行分析统计，得到丢包率，进而能够计算出丢失数据的序列以及进行网络状态的推测。该方法不仅能够准确统计出丢包率，还能够明确推算出丢失数据的序列以及网络状态，并能够采用可视化的方式展示网络运行状态。

公开(公告)号：CN111224940A

公开(公告)日：2020-06-02

申请号：CN201911119871.4

申请日：2019-11-15

申请人： 中国科学院信息工程研究所

发明人： 夏葳 ,  扶佩佩 ,  管中 ,  徐安林 ,  宋嘉莹 ,  丁嘉宁

IPC分类号： H04L29/06

摘要： 本发明提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，属于网络测量与行为分析领域，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

公开(公告)号：CN111224940B

公开(公告)日：2021-03-09

申请号：CN201911119871.4

申请日：2019-11-15

申请人： 中国科学院信息工程研究所

发明人： 夏葳 ,  扶佩佩 ,  管中 ,  徐安林 ,  宋嘉莹 ,  丁嘉宁

IPC分类号： H04L29/06

摘要： 本发明提出一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统，属于网络测量与行为分析领域，选择从报文负载和报文形态两方面刻画网络数据流的概率特征，结合机器学习算法，识别和关联加密隧道内匿名混淆流量，解决现有技术在识别、关联加密隧道内匿名混淆流量时特征提取困难，导致识别精度低、进而关联效果较差的问题。

公开(公告)号：CN107094147A

公开(公告)日：2017-08-25

申请号：CN201710313749.5

申请日：2017-05-05

申请人： 中国科学院信息工程研究所

发明人： 徐安林 ,  熊刚 ,  苟高鹏 ,  石俊峥

IPC分类号： H04L29/06 ,  H04L29/12

CPC分类号： H04L63/1408 ,  H04L61/2571

摘要： 本发明公开了一种大规模流量中基于cookieID的NAT识别方法。本方法为：1)解析网络数据包，从网络数据包中提取完整源信息、UserAgent、cookieID并入库；2)计算该库中相同源IP、目的IP的cookieID数量，以及计算该库中相同源IP、目的IP的UserAgent数量；3)根据步骤2)的计算结果识别出NAT网关及NAT网关的用户规模。本发明不仅能更快的对NAT属性进行识别，而且能够对NAT规模进行判定。