公开(公告)号：CN119397296B

公开(公告)日：2025-04-22

申请号：CN202510001564.5

申请日：2025-01-02

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  谢琦彬 ,  曾丽仪 ,  张欢 ,  胡玮琪 ,  贾焰

IPC: G06F18/22 ,  G06N7/01

Abstract: 本发明公开了一种威胁情报平台排序方法、系统及介质，该方法包括：利用真实恶意IP数据对威胁情报平台数据库进行一段时间的持续采集；对收集到的威胁情报进行基于威胁情报源的分析和基于威胁情报内容的分析，得到相应的评估分数；对时间窗口内威胁情报平台的情报判定结果时间序列进行相似性分析，得出各平台的引用情况；构建威胁情报平台的相关图并计算加权概率转移矩阵；将加权概率转移矩阵以及阻尼因子代入PR公式进行马尔可夫迭代，得到基于源和引用情况的排序分数；将基于源的排序分数与基于威胁情报内容的评估分数进行加权计算，得到最终评估排序结果。本发明能帮助安全从业人员选择高质量威胁情报来源，提升情报获取的能力和准确度。

公开(公告)号：CN119249142A

公开(公告)日：2025-01-03

申请号：CN202411129997.0

申请日：2024-08-16

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) ,  中国电子科技集团公司第五十四研究所

Inventor： 杜磊 ,  顾钊铨 ,  宋志群 ,  刘丽哲 ,  李皓 ,  李嘉瑞 ,  王梦娇 ,  张欢 ,  段晨芸 ,  张明瑞

IPC: G06F18/214 ,  H04L9/40 ,  G06F18/23213

Abstract: 本发明提供了一种基于有限审查预算的网络入侵样本高效标注方法、系统及存储介质，该网络入侵样本高效标注方法包括执行以下步骤：人工标注步骤：从新样本中选取设定数量的样本用于人工的审查、标记和统计类别数；标注分配步骤：利用已标记样本和统计类别数来聚类和标注剩余样本。本发明的有益效果是：1.本发明的网络入侵样本高效标注方法不对特征空间进行限制，可在原始特征空间执行，也可在特征表示空间执行；2.本发明的网络入侵样本高效标注方法能够在有限标注预算的前提下提高新样本的标注准确性和效率。

公开(公告)号：CN117955745A

公开(公告)日：2024-04-30

申请号：CN202410347079.9

申请日：2024-03-26

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  李嘉瑞 ,  李鉴明 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/213 ,  G06F18/2132 ,  G06F18/2135 ,  G06F18/23213 ,  G06F18/25

Abstract: 本发明涉及网络安全领域及计算机深度学习领域，特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤：S1.构建网络流量特征；S2.构建威胁情报特征；S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击，采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析，相比现有方法，本发明使用的特征较为全面，更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征，更能全面的表示一个网络攻击，有利于后续的同源性分析。

公开(公告)号：CN116069955A

公开(公告)日：2023-05-05

申请号：CN202310205496.5

申请日：2023-03-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  方滨兴 ,  顾钊铨 ,  张欢 ,  杜磊 ,  张志强 ,  闫昊 ,  谭昊 ,  廖清 ,  高翠芸

IPC: G06F16/36 ,  G06F16/387 ,  G06F16/383 ,  G06F40/284 ,  G06F40/295 ,  G06F40/247

Abstract: 本发明提供了一种基于MDATA模型的时空知识抽取方法，包括以下步骤：步骤1，识别时间和空间知识；通过时间触发词表、空间触发词识别输入序列中的时空知识，并将序列中的时空知识替换为概念代号；步骤2，时空知识的实体关系依赖识别，得到知识五元组；步骤3，时间、空间知识规范化处理。本发明的有益效果是：1.时空信息在文本中有很强的语言特征，本发明方法通过触发词匹配，能高效获取时空信息；2.时空信息是时间表达的关键要素，在知识图谱中，时空信息是同实体、关系紧密联系的，本发明方法通过结合时空信息来进行知识抽取任务，能有效提升知识多元组的质量；3.本发明方法通过规范化处理，能统一时空信息的表达。

公开(公告)号：CN116955539A

公开(公告)日：2023-10-27

申请号：CN202311192177.1

申请日：2023-09-15

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  梁栩健 ,  肖洪涛 ,  谭昊 ,  张欢 ,  李鉴明 ,  廖清 ,  高翠芸 ,  徐国爱

IPC: G06F16/33 ,  G06F40/30 ,  G06N5/04 ,  G06N5/02

Abstract: 本发明提供一种基于思维链推理隐式生成内容合规性判定方法，包括：步骤一：将安全性未知文本X输入大规模语言模型M；步骤二：询问大规模语言模型M安全性未知文本X中的主客体成份，获取主体文本S以及客体文本T；步骤三：询问大规模语言模型M潜在观点，获得潜在观点文本O；步骤四：根据步骤三获得的潜在观点文本O，询问大规模语言模型M安全性未知文本X表达的意图是否符合规范，如果符合规范，输出：安全，否则输出：不安全。本发明的有益效果是：本发明很好的利用大规模语言模型的常识推断能力以及特定领域的专家知识，合理的提示大规模语言模型进行链式推理，逐步地揭示出深层的文本隐藏语义，大幅度提升了系统文本安全检测系统的性能。

公开(公告)号：CN116318929A

公开(公告)日：2023-06-23

申请号：CN202310206593.6

申请日：2023-03-07

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  魏松漩 ,  张欢 ,  杜磊 ,  张志强 ,  廖清 ,  高翠芸 ,  罗文坚

IPC: H04L9/40 ,  H04L41/0631 ,  H04L41/16

Abstract: 本发明涉及网络安全技术领域，特别涉及一种基于安全告警数据的攻击策略抽取方法。其方法包括以下步骤：S1.从告警文本中获取攻击者的单步攻击信息；S2.构建攻击活动序列集；S3.构建候选攻击策略；S4.构建攻击策略数据集；S5.预训练；S6.模型训练；S7.攻击策略抽取；S8.人工验证。本方法通过训练模型来判断攻击者的一个候选攻击策略是否为全部的有效攻击步骤，并且这些攻击步骤的组合能完成攻击者的攻击目的；通过这个模型，能够使用枚举候选攻击策略的方式关联出攻击者的全部有效攻击步骤，组成攻击者的攻击策略，而无需定义大量的关联规则；而且在过去的关联经验中未被关联的两个告警也可能被本方法所关联。

公开(公告)号：CN115842684B

公开(公告)日：2023-05-12

申请号：CN202310138994.2

申请日：2023-02-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  方滨兴 ,  顾钊铨 ,  闫昊 ,  杜磊 ,  廖清 ,  张志强 ,  张欢 ,  谭昊 ,  李鉴明

IPC: H04L9/40

Abstract: 本申请涉及一种基于MDATA子图匹配的多步攻击检测方法，本申请方法包括：构建预设多步攻击事件的MDATA知识图谱查询图；利用数据查询优化器将MDATA知识图谱查询图分解成若干个子查询图；将若干个子查询图储存至SQM‑Tree辅助的数据结构中，SQM‑Tree辅助的数据结构用于跟踪与合并数据；将若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；输出子查询图与MDATA知识图谱数据图的匹配结果，将匹配结果与SQM‑Tree辅助的数据结构进行对比得到预设多步攻击事件的检测结果，有效提高检测效率。

公开(公告)号：CN115842684A

公开(公告)日：2023-03-24

申请号：CN202310138994.2

申请日：2023-02-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  方滨兴 ,  顾钊铨 ,  闫昊 ,  杜磊 ,  廖清 ,  张志强 ,  张欢 ,  谭昊 ,  李鉴明

IPC: H04L9/40

Abstract: 本申请涉及一种基于MDATA子图匹配的多步攻击检测方法，本申请方法包括：构建预设多步攻击事件的MDATA知识图谱查询图；利用数据查询优化器将MDATA知识图谱查询图分解成若干个子查询图；将若干个子查询图储存至SQM‑Tree辅助的数据结构中，SQM‑Tree辅助的数据结构用于跟踪与合并数据；将若干个子查询图匹配MDATA知识图谱数据图中的多步攻击数据，MDATA知识图谱数据图根据历史告警日志数据和正常系统日志数据创建；输出子查询图与MDATA知识图谱数据图的匹配结果，将匹配结果与SQM‑Tree辅助的数据结构进行对比得到预设多步攻击事件的检测结果，有效提高检测效率。

公开(公告)号：CN119484150A

公开(公告)日：2025-02-18

申请号：CN202510031095.1

申请日：2025-01-09

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  谢琦彬 ,  曾丽仪 ,  张欢 ,  胡玮琪 ,  贾焰

IPC: H04L9/40 ,  G06F16/906 ,  G06F16/909

Abstract: 本发明公开了一种威胁情报平台纵向评估方法、系统及介质，该方法包括：从实时告警中采集威胁信息，反向查询各威胁情报平台威胁情报内容；对威胁情报分别进行基于威胁情报源和威胁情报内容的评估，得出相应的指标分数，所述相应的指标分数包括基于威胁情报源的综合评分和基于威胁情报内容的综合评分；利用基于威胁情报源的综合评分和基于威胁情报内容的综合评分得出平台最终得分排序情况。本发明弥补了过往方法中没有使用真实数据集和没有对威胁情报数据库内容进行分析的缺陷。

公开(公告)号：CN117792803A

公开(公告)日：2024-03-29

申请号：CN202410218653.0

申请日：2024-02-28

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/2415 ,  G06F18/2433 ,  G06F18/214 ,  G06F16/35 ,  G06F40/284 ,  G06N3/0455 ,  G06N3/088 ,  G06N3/09

Abstract: 本发明提供了一种基于数据包有效载荷预训练模型的网络攻击检测方法、系统及介质，该方法包括：对数据集中的网络流量包进行切分，获得网络会话流粒度的网络数据包有效载荷序列；对数据集的正常流量和网络攻击流量进行均衡采样，使用滑动窗口对有效载荷进行切分；将有效载荷切分后获得的字节对序列经分词器处理后输入Bert模型进行预训练，在预训练Bert模型时将网络会话流类比于文档，将网络数据包有效载荷类比于句子：加载已预训练的Bert模型，结合分类器在新的数据上进行微调，采用微调后的网络攻击检测模型检测网络攻击。本发明能更好地捕获网络数据包有效载荷的信息，以便于通过网络数据包有效载荷预训练模型检测网络攻击。