公开(公告)号：CN116846612A

公开(公告)日：2023-10-03

申请号：CN202310737889.0

申请日：2023-06-20

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 高浩浩 ,  蔡挺 ,  马奇辰 ,  焦伟 ,  张凯强 ,  王景丽 ,  赵佳祥 ,  赵曦滨 ,  孙逸伦 ,  万海

IPC: H04L9/40 ,  G06F16/36 ,  G06F16/35

Abstract: 本申请涉及一种攻击链补全方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括：获取安全知识图谱和异常边；确定安全知识图谱中的多个依赖路径，对多个依赖路径进行聚类，得到多个类簇和对应的主机行为类别；从每个异常边所属的依赖路径中选取目标依赖路径，将所有异常边对应的目标依赖路径中具有相同实体和主机行为类别的目标依赖路径进行合并，得到多个局部攻击链；根据每个类簇内局部攻击链中的实体与该类簇内其他局部攻击链中的实体之间的连接概率，建立类簇内局部攻击链之间的连接；根据每个类簇中的实体与其他类簇中的实体之间的连接概率，建立类簇间局部攻击链之间的连接。本申请可以提高攻击链的完整性。

公开(公告)号：CN114615063A

公开(公告)日：2022-06-10

申请号：CN202210248730.8

申请日：2022-03-14

Applicant: 清华大学 ,  中债金科信息技术有限公司

Inventor： 王瑞华 ,  周博雅 ,  万海 ,  焦伟 ,  严人宁 ,  孙逸伦 ,  赵曦滨

IPC: H04L9/40 ,  G06F16/2458

Abstract: 本发明公开一种基于日志关联分析的攻击溯源方法及装置，方法包括：收集系统内各个层次的日志，根据各个层次的日志之间的关联关系，构建日志连接图，并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，进而在融合溯源图中执行攻击溯源算法，并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径，使用搜索路径包含所述连通路径作为路径评估因素之一，计算攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。通过上述方法可以实现日志文件的攻击溯源，解决了现有技术在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果的问题。

公开(公告)号：CN115396137A

公开(公告)日：2022-11-25

申请号：CN202210621858.4

申请日：2022-06-01

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 王瑞华 ,  周博雅 ,  万海 ,  焦伟 ,  严人宁 ,  孙逸伦 ,  赵曦滨

IPC: H04L9/40

Abstract: 本发明公开一种基于日志关联分析的攻击溯源方法及装置，方法包括：收集系统内各个层次的日志，根据各个层次的日志之间的关联关系，构建日志连接图，并利用日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，进而在融合溯源图中执行攻击溯源算法，并基于短路机制挖掘融合溯源图中围绕依赖爆炸节点周围形成的连通路径，使用搜索路径包含所述连通路径作为路径评估因素之一，计算攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。通过上述方法可以实现日志文件的攻击溯源，解决了现有技术在攻击溯源中使用依赖分析缓解依赖爆炸问题的方式很难达到的预期效果的问题。

公开(公告)号：CN118568067A

公开(公告)日：2024-08-30

申请号：CN202410633861.7

申请日：2024-05-21

Applicant: 清华大学

Inventor： 万海 ,  李霄翔 ,  蒋欣雨 ,  孙逸伦 ,  赵曦滨

IPC: G06F16/174 ,  G06F16/18 ,  G06F11/34 ,  G06N5/01

Abstract: 本申请涉及一种溯源图压缩方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括：采集应用程序在运行过程中的审计日志数据；根据审计日志数据构建待压缩溯源图；其中，待压缩溯源图中的节点表示审计日志数据中的实体，待压缩就溯源图中的有向边表示各个实体之间的关联关系；根据预先构建的模板库中的多个模板子图，从待压缩溯源图中匹配与模板子图同构的部分作为待压缩区域；其中，模板子图用于描述应用程序的正常行为模式；对待压缩区域进行有损压缩，得到压缩后的溯源图。本申请可以在保留关键信息的前提下有效压缩数据。

公开(公告)号：CN115396138B

公开(公告)日：2025-04-25

申请号：CN202210623444.5

申请日：2022-06-01

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 周博雅 ,  万海 ,  焦伟 ,  孙逸伦 ,  严人宁 ,  王兆阳 ,  王瑞华 ,  赵曦滨

IPC: H04L9/40 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明公开一种溯源图的缩减方法及装置，方法包括：通过对主机的历史运行数据进行共现分析，获取系统与外界交互的应用程序日志，并按照预设的字段格式将应用程序日志解析并转换为规范化日志，并利用预先定义的规则集从规范化日志中提取实体，针对每一条规范化日志，使用公共字段建立实体与溯源图中结点之间的映射关系，以获取所述溯源图中与实体关联的目标结点，进而以目标结点作为触发点，采用基于随机游走的算法来捕获目标结点的上下文，针对每个目标结点提取出从目标结点出发的溯源子图，并将所有溯源子图组合后形成缩减后的溯源图。通过上述方法可以实现溯源图的缩减，解决了现有技术中溯源图数据量巨大，影响攻击溯源检测精度的问题。

公开(公告)号：CN115396138A

公开(公告)日：2022-11-25

申请号：CN202210623444.5

申请日：2022-06-01

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 万海 ,  周博雅 ,  孙逸伦 ,  焦伟 ,  严人宁 ,  王瑞华 ,  赵曦滨

IPC: H04L9/40 ,  G06F21/55 ,  G06F21/56

Abstract: 本发明公开一种溯源图的缩减方法及装置，方法包括：通过对主机的历史运行数据进行共现分析，获取系统与外界交互的应用程序日志，并按照预设的字段格式将应用程序日志解析并转换为规范化日志，并利用预先定义的规则集从规范化日志中提取实体，针对每一条规范化日志，使用公共字段建立实体与溯源图中结点之间的映射关系，以获取所述溯源图中与实体关联的目标结点，进而以目标结点作为触发点，采用基于随机游走的算法来捕获目标结点的上下文，针对每个目标结点提取出从目标结点出发的溯源子图，并将所有溯源子图组合后形成缩减后的溯源图。通过上述方法可以实现溯源图的缩减，解决了现有技术中溯源图数据量巨大，影响攻击溯源检测精度的问题。