-
公开(公告)号:CN118264530A
公开(公告)日:2024-06-28
申请号:CN202410320611.8
申请日:2024-03-20
Applicant: 清华大学
IPC: H04L41/0604 , H04L9/40 , H04L41/16 , G06N3/042 , G06N3/088 , G06F18/2433 , G06F18/243 , G06N5/01
Abstract: 本申请提出了一种自动化判定网络安全警报威胁等级的方法,涉及网络安全技术领域,其中,该方法包括:获取多源安全警报数据,对多源安全警报数据中的每个警报构建对应的告警子图,并基于所有告警子图构建告警知识图;基于告警知识图,使用基于图属性的子图学习方法对每个告警子图生成对应的告警子图向量;基于告警子图向量,采用半自动化和全自动化双模式协同分类的方法判断每个警报的威胁等级。采用上述方案的本发明能对多类型安全检测设备进行集中的警报过滤,提升警报分类准确度,降低网络安全运维人员的负担。
-
公开(公告)号:CN113014575A
公开(公告)日:2021-06-22
申请号:CN202110203327.9
申请日:2021-02-23
Applicant: 清华大学
Abstract: 本申请提出一种基于时间序列追踪的挖矿流量检测方法和装置,涉及计算机网络分析技术领域,其中,方法包括:采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。
-
公开(公告)号:CN112968968A
公开(公告)日:2021-06-15
申请号:CN202110220844.7
申请日:2021-02-26
Applicant: 清华大学
IPC: H04L29/08 , H04L29/06 , H04L12/851 , G06K9/62 , G06N3/08
Abstract: 本发明提出一种基于无监督聚类的物联网设备流量指纹识别方法和装置,其中,方法包括:提取原始流量的原始特征向量;通过VAE算法对原始特征向量计算,获取降维后的三维特征向量;通过K‑means算法对三维特征向量聚类计算,确定不同物联网设备的聚类边界,以便于根据聚类边界进行流量指纹识别处理。由此,实现了无监督物联网设备流量指纹识别方法,用于在没有标签数据的情况下,实现物联网设备指纹的精准识别。
-
公开(公告)号:CN104539488B
公开(公告)日:2017-12-29
申请号:CN201510031006.X
申请日:2015-01-21
Applicant: 清华大学
IPC: H04L12/26
Abstract: 本发明公开一种基于可调节分段Tsallis熵的网络流量异常检测方法,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。
-
-
公开(公告)号:CN104579846A
公开(公告)日:2015-04-29
申请号:CN201510030470.7
申请日:2015-01-21
Applicant: 清华大学
IPC: H04L12/26
Abstract: 本发明公开一种基于可调节分段熵的网络流量异常检测方法,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于预定的高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于预定的低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。
-
公开(公告)号:CN104539489A
公开(公告)日:2015-04-22
申请号:CN201510031010.6
申请日:2015-01-21
Applicant: 清华大学
IPC: H04L12/26
Abstract: 本发明公开一种基于可调节分段Shannon熵的网络流量异常检测方法,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于预定的高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于预定的低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。
-
公开(公告)号:CN104539488A
公开(公告)日:2015-04-22
申请号:CN201510031006.X
申请日:2015-01-21
Applicant: 清华大学
IPC: H04L12/26
Abstract: 本发明公开一种基于可调节分段Tsallis熵的网络流量异常检测方法,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。
-
-
公开(公告)号:CN101964736B
公开(公告)日:2012-12-26
申请号:CN201010520023.7
申请日:2010-10-20
Applicant: 清华大学
Abstract: 本发明公开了一种局域网出口网络框架系统,其特征在于,包括:管理控制模块和至少两个出口区域路由器,其中至少一个出口区域路由器与运营商网络连接,其它出口区域路由器与局域网中路由器连接,且都与管理控制模块连接,所述管理控制模块用于控制局域网出口网络流量。本发明降低了网络出口调整的复杂度和工作量,提高了出口区域的可扩展性和稳定性。
-
-
-
-
-
-
-
-
-