公开(公告)号：CN117955745A

公开(公告)日：2024-04-30

申请号：CN202410347079.9

申请日：2024-03-26

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  李嘉瑞 ,  李鉴明 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/213 ,  G06F18/2132 ,  G06F18/2135 ,  G06F18/23213 ,  G06F18/25

Abstract: 本发明涉及网络安全领域及计算机深度学习领域，特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤：S1.构建网络流量特征；S2.构建威胁情报特征；S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击，采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析，相比现有方法，本发明使用的特征较为全面，更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征，更能全面的表示一个网络攻击，有利于后续的同源性分析。

公开(公告)号：CN117095243A

公开(公告)日：2023-11-21

申请号：CN202311345466.0

申请日：2023-10-18

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  杜磊 ,  张明瑞 ,  段晨芸 ,  李嘉瑞 ,  李鉴明 ,  张志强 ,  廖清 ,  夏文 ,  李诗逸

IPC: G06V10/764 ,  H04L9/40 ,  G06V10/774 ,  G06V10/80 ,  G06V10/82 ,  G06V10/70 ,  G06V10/74 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/24 ,  G06F18/25 ,  G06F18/20 ,  G06N3/045 ,  G06N3/0895 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  G06F123/02

Abstract: 本发明提供一种基于分支融合策略的小样本类增量网络入侵检测方法，包括：步骤一：将采集到的网络流量样本进行拆分处理，处理后的网络流量样本被转化为灰度图像表示；步骤二：将网络流量样本的灰度图像输入到骨干网络ViT中用于自监督模式的预训练以提高特征嵌入的表示能力；步骤三：初始化基础会话分支分类器的投影层参数，用于训练初始的检测分类模型；步骤四：学习每个新会话分支分类器模块，进而使用分支融合策略关联基础会话和新会话分支分类器从而帮助分类器模型完成训练和推理。本发明的有益效果是：本发明方法在不会遗忘已学习攻击类别的情况下，允许以增量、小样本、灵活的方式持续学习新攻击类别，实现保护目标网络系统免受恶意攻击。

公开(公告)号：CN115983379A

公开(公告)日：2023-04-18

申请号：CN202310265601.4

申请日：2023-03-20

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  张志强 ,  高翠芸 ,  闫昊 ,  李鉴明 ,  谭昊

IPC: G06N5/01 ,  G06N5/02 ,  G06N3/0464 ,  G06N3/084

Abstract: 公开了一种MDATA知识图谱的可达路径查询方法及其系统，其首先基于大型网络中的IP关联性构建通信图和实际场景下网络中节点之间的通信关系构建MDATA知识图谱，接着计算MDATA知识图谱的强连通子图和所述强连通子图中心顶点，并以中心顶点为核心构建节点的两跳标签索引，继而基于两条标签索引查询节点间的可达路径以实现快速查询来自不同强连通子图的两个节点的可达性与路径关系。同时，依据存储的事件时间对可达路径进行筛选以过滤掉不符合事件发展顺序的无效路径，从而保存攻击者实际采用的攻击路径和采用的操作，最终能够结合模式匹配的方法依据操作的时序关系和路径分析出攻击者选用的攻击方式从而采取防御措施。

公开(公告)号：CN119094245A

公开(公告)日：2024-12-06

申请号：CN202411570443.4

申请日：2024-11-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  张志强 ,  谭灏南 ,  曾丽仪 ,  朱东 ,  李鉴明 ,  王乐 ,  方滨兴

IPC: H04L9/40 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明公开了一种基于解释性分析与经验知识优化的多层级网络入侵检测方法、系统及介质，本发明基于解释性分析与经验知识优化的多层级网络入侵检测方法通过一种多层次、结构化的入侵检测框架实现对网络流量中时序依赖性与固有特征的全面感知和非线性映射处理，并结合SHapley加法解释（SHAP）方法与经验知识形成迭代反馈纠错机制优化框架的决策范式，能提升模型的表达能力和泛化性及稳定性，强化入侵检测模型的检测效果。

公开(公告)号：CN119052006A

公开(公告)日：2024-11-29

申请号：CN202411554523.0

申请日：2024-11-04

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  李嘉瑞 ,  杜磊 ,  段晨芸 ,  闫昊 ,  陈翊璐 ,  张明瑞 ,  李鉴明

IPC: H04L9/40 ,  G06N5/025

Abstract: 本发明公开了一种基于大语言模型提示学习的网络攻击流量检测规则生成方法、系统及介质，所述方法包括以下步骤：对原始包数据完成流量明文的重组与解码，将原始的流量会话数据转化为可阅读可理解的HTTP请求报文数据；基于大语言模型提示学习完成网络攻击流量检测规则的生成、细化与优化；完成攻击流量样本、检测规则信息与安全知识库的映射过程。相对于现有技术，本发明能更有效的生成针对攻击流量的检测规则以及获取对应的安全知识。

公开(公告)号：CN117955745B

公开(公告)日：2024-07-02

申请号：CN202410347079.9

申请日：2024-03-26

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  李嘉瑞 ,  李鉴明 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/214 ,  G06F18/213 ,  G06F18/2132 ,  G06F18/2135 ,  G06F18/23213 ,  G06F18/25

Abstract: 本发明涉及网络安全领域及计算机深度学习领域，特别涉及一种融合网络流量特征和威胁情报的网络攻击同源性分析方法。其包括步骤：S1.构建网络流量特征；S2.构建威胁情报特征；S3.使用聚类进行网络攻击同源性分析。本方法分析的网络攻击是单步攻击，采用设备捕获的网络流量数据和开源威胁情报进行网络攻击同源性分析，相比现有方法，本发明使用的特征较为全面，更能表征网络攻击的特点。结合网络攻击的有效载荷特征、网络攻击的通信行为特征以及威胁情报特征，更能全面的表示一个网络攻击，有利于后续的同源性分析。

公开(公告)号：CN116955539B

公开(公告)日：2023-12-12

申请号：CN202311192177.1

申请日：2023-09-15

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  梁栩健 ,  肖洪涛 ,  谭昊 ,  张欢 ,  李鉴明 ,  廖清 ,  高翠芸 ,  徐国爱

IPC: G06F16/33 ,  G06F40/30 ,  G06N5/04 ,  G06N5/02

Abstract: 本发明提供一种基于思维链推理隐式生成内容合规性判定方法，包括：步骤一：将安全性未知文本X输入大规模语言模型M；步骤二：询问大规模语言模型M安全性未知文本X中的主客体成份，获取主体文本S以及客体文本T；步骤三：询问大规模语言模型M潜在观点，获得潜在观点文本O；步骤四：根据步骤三获得的潜在观点文本O，询问大规模语言模型M安全性未知文本X表达的意图是否符合规范，如果符合规范，输出：安全，否则输出：不安全。本发明的有益效果是：本发明很好的利用大规模语言模型的常识推断能力以及特定领域的专家知识，合理的提示大规模语言模型进行链式推理，逐步地揭示出深层的文本隐藏语义，大幅度提升了系统文本安全检测系统的性能。

公开(公告)号：CN115983379B

公开(公告)日：2023-10-10

申请号：CN202310265601.4

申请日：2023-03-20

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  张志强 ,  高翠芸 ,  闫昊 ,  李鉴明 ,  谭昊

IPC: G06N5/01 ,  G06N5/02 ,  G06N3/0464 ,  G06N3/084

Abstract: 公开了一种MDATA知识图谱的可达路径查询方法及其系统，其首先基于大型网络中的IP关联性构建通信图和实际场景下网络中节点之间的通信关系构建MDATA知识图谱，接着计算MDATA知识图谱的强连通子图和所述强连通子图中心顶点，并以中心顶点为核心构建节点的两跳标签索引，继而基于两条标签索引查询节点间的可达路径以实现快速查询来自不同强连通子图的两个节点的可达性与路径关系。同时，依据存储的事件时间对可达路径进行筛选以过滤掉不符合事件发展顺序的无效路径，从而保存攻击者实际采用的攻击路径和采用的操作，最终能够结合模式匹配的方法依据操作的时序关系和路径分析出攻击者选用的攻击方式从而采取防御措施。

公开(公告)号：CN119094245B

公开(公告)日：2025-02-18

申请号：CN202411570443.4

申请日：2024-11-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  张志强 ,  谭灏南 ,  曾丽仪 ,  朱东 ,  李鉴明 ,  王乐 ,  方滨兴

IPC: H04L9/40 ,  G06N3/0442 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明公开了一种基于解释性分析与经验知识优化的多层级网络入侵检测方法、系统及介质，本发明基于解释性分析与经验知识优化的多层级网络入侵检测方法通过一种多层次、结构化的入侵检测框架实现对网络流量中时序依赖性与固有特征的全面感知和非线性映射处理，并结合SHapley加法解释（SHAP）方法与经验知识形成迭代反馈纠错机制优化框架的决策范式，能提升模型的表达能力和泛化性及稳定性，强化入侵检测模型的检测效果。

公开(公告)号：CN118972160B

公开(公告)日：2024-12-31

申请号：CN202411393075.0

申请日：2024-10-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  张明瑞 ,  杜磊 ,  王昊 ,  段晨芸 ,  石雨佳 ,  李鉴明

IPC: H04L9/40 ,  G06F18/2431 ,  G06F18/2137

Abstract: 本发明公开一种基于图像的分布级概念漂移检测与适应方法及系统，包括对捕获的网络流量提取流级别特征并进行独热编码，使用对比自编码器对特征进行降维得到嵌入特征向量并分别计算训练集中正常类和异常类的质心，并采用中位数绝对偏差方法将测试集样本分为正常类、漂移类和异常类；使用tsne将样本对应的嵌入特征向量降维到二维可视化特征并进行归一化处理，用于将样本数据投影在黑白图上；采用黑白图差异化的方法筛选出待检测像素点集合，基于待检测像素点集合生成人工标记样本，并使用正则化进行增量学习，提高模型的检测效果。本发明以图像对比、增量、灵活的方式持续学习网络流量的分布特点，保护目标网络系统免受恶意攻击。