公开(公告)号：CN118250258A

公开(公告)日：2024-06-25

申请号：CN202410259423.9

申请日：2024-03-07

Applicant: 清华大学 ,  北京中关村实验室

Inventor： 杨家海 ,  张文健 ,  宋光磊 ,  林金磊 ,  张辉

IPC: H04L61/5046 ,  H04L61/5007 ,  H04L45/02 ,  H04L45/748 ,  H04L101/35 ,  H04L101/668

Abstract: 本申请提出了一种无种子区域地址探测方法，涉及计算机应用技术领域，其中，上述探测方法通过无种子地址探测模型实现，上述方法具体包括：通过特征提取模块从BGP前缀的Whois信息中提取BGP前缀特征；通过相似度学习模块挖掘有种子地址的BGP前缀特征和种子地址配置模式之间的关系，并确定无种子地址的BGP前缀与有种子地址的BGP前缀的相似度，并基于相似度筛选出候选有种子地址的BGP前缀；通过目标地址生成模块基于候选有种子地址的BGP前缀进行种子地址迁移，生成候选地址作为目标地址；通过预探测机制模块对生成的目标地址分配资源进行预探测，并确定预探测结果。采用上述方案的本申请能够实现无种子区域IPV6活跃地址的快速探测，命中概率高，且覆盖范围广。

公开(公告)号：CN117914824A

公开(公告)日：2024-04-19

申请号：CN202311866603.5

申请日：2023-12-29

Applicant: 北京中关村实验室

Inventor： 宋光磊 ,  杨家海 ,  王之梁

IPC: H04L61/5007 ,  H04L101/659

Abstract: 本申请提出了一种基于多级关联策略的活跃IPv6地址探测方法及装置，该方法包括：获取IPv6种子地址，并确定种子地址的高密度区域，其中，每个高密度区域包含不同的地址模式；采用基于贪心的游离地址去除机制提取高密度区域中的通用地址模式，并构建通用地址模式库；对无种子地址区域进行活跃IPv6地址探测，获取无种子地址区域的多级属性信息，基于多级属性信息通过多级关联策略从通用地址模式库中选取候选模式；根据候选模式的优先级顺序进行目标地址生成和活跃性验证，并根据反馈结果调整候选模式的选择与目标地址生成的方向，将发现的活跃IPv6地址加入到活跃IPv6地址库中。基于本申请提出的方案，能够提升无种子地址区域探测的效率和活跃IPv6地址的覆盖度。

公开(公告)号：CN117714316A

公开(公告)日：2024-03-15

申请号：CN202410042644.0

申请日：2024-01-11

Applicant: 北京中关村实验室

Inventor： 董聪 ,  李城龙 ,  杨家海 ,  焦浩然 ,  董恩焕 ,  尹霞

IPC: H04L43/028 ,  H04L43/08 ,  H04L43/12 ,  H04L43/50 ,  H04L61/4511

Abstract: 本发明公开了一种基于多维度优化的快速DoH服务测量方法及工具。本方法为：1)对目标网络进行扫描，获取探测目标；2)申请公开域名作为基域名，并基于基域名选定一子域名作为探测子域名；然后基于探测子域名为每一所述探测目标分配唯一性子域名；3)选取或部署一DNS权威服务器作为自有权威服务器；将基域名部署到自有权威服务器上，基于各唯一性子域名为每一探测目标配置一通配符子域名；4)在另一DNS服务器上部署探测工具，向每一探测目标发送为其分配的唯一性子域名，并收集返回结果；5)根据所收集的返回结果以及自有权威服务器上的日志，识别每一探测目标的DoH服务质量。通过本发明可一次主动探测过程即可完成测量。

公开(公告)号：CN119397537A

公开(公告)日：2025-02-07

申请号：CN202411212246.5

申请日：2024-08-30

Applicant: 清华大学

Inventor： 李海威 ,  杨家海 ,  黄恩焕

IPC: G06F21/57

Abstract: 本发明公开了一种基于样本分析识别内存中缓解Spectre漏洞攻击的retpoline代码的方法，该方法包括：对预设的retpoline内存代码片段进行代码数据分析以从头到尾扫描二进制代码特征得到预设的第一指令的扫描结果；基于扫描结果判断第一指令后的指令是否为预设的第二指令；若是，根据CPU指令系统定义的规则分别取出第一指令mov的第一函数地址和第二指令jmp或call的第二函数地址，比较第一函数地址和第二函数地址是否相等；若相等，识别内存代码片段中有retpoline代码，并输出内存代码片段的retpoline代码识别结果。本发明可以判断对应内存代码是否具有CPU Spectre漏洞缓解机制，标示该样本程序具有抵御Spectre漏洞攻击的能力。

公开(公告)号：CN115913616B

公开(公告)日：2024-12-24

申请号：CN202211163410.9

申请日：2022-09-23

Applicant: 清华大学

Inventor： 杨家海 ,  孙晓晴 ,  李城龙

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2431 ,  G06F18/2451 ,  G06F18/25 ,  G06N3/0455 ,  G06N3/0895

Abstract: 本申请提出了一种基于异构图异常链路发现的横向移动攻击检测方法及装置，涉及网络安全技术领域，包括：获取日志信息，根据日志信息确定网络实体，构建异构用户认证图，其中，异构用户认证图包括网络实体以及网络实体之间的关系；根据基于元路径的随机游走邻居节点采样策略处理异构用户认证图，确定邻居节点集合；根据元路径注意力机制对邻居节点集合进行特征聚合，获取登入链路的表征向量；计算表征向量的相对重构误差，根据相对重构误差识别登入链路。本发明基于元路径的随机游走邻居节点采样策略与注意力机制处理节点与节点间关联，根据相对重构误差自动完成横向移动识别，无需人工设置异常检测阈值，易在实际网络场景中部署实现，提高效率。

公开(公告)号：CN116032557B

公开(公告)日：2024-07-02

申请号：CN202211606695.9

申请日：2022-12-13

Applicant: 清华大学 ,  国网上海市电力公司

Inventor： 王之梁 ,  韩东岐 ,  金明辉 ,  陈闻起 ,  王凯 ,  蔚睿 ,  王苏 ,  张晗 ,  杨家海 ,  施新刚 ,  尹霞 ,  肖飞 ,  王治华 ,  高峰

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/082 ,  G06N20/00

Abstract: 本发明公开了一种网络安全异常检测中深度学习模型的更新方法与装置，该方法包括：对不同网络安全场景的样本数据进行特征提取得到高维特征向量；输入至异常检测模型得到模型输入样本异常度值的原始输出值，对校正后的原始输出值进行漂移检测得到基于置信度的漂移检测结果；通过计算优化目标函数得到引起网络安全数据分布发生变化的漂移样本；利用漂移样本对异常检测模型进行模型重训练，通过计算模型重训练时的损失函数以优化模型参数权重，并基于优化后的模型参数权重以得到训练好的异常检测模型。本发明能准确的检测出分布的漂移，降低标注样本带来的人力开销，在拟合新环境的代表性样本的同时保证不会遗忘原有模型中的有效知识。

公开(公告)号：CN118264530A

公开(公告)日：2024-06-28

申请号：CN202410320611.8

申请日：2024-03-20

Applicant: 清华大学

Inventor： 杨家海 ,  吴松云 ,  董恩焕 ,  王之梁 ,  张辉 ,  胡海娜 ,  李子木

IPC: H04L41/0604 ,  H04L9/40 ,  H04L41/16 ,  G06N3/042 ,  G06N3/088 ,  G06F18/2433 ,  G06F18/243 ,  G06N5/01

Abstract: 本申请提出了一种自动化判定网络安全警报威胁等级的方法，涉及网络安全技术领域，其中，该方法包括：获取多源安全警报数据，对多源安全警报数据中的每个警报构建对应的告警子图，并基于所有告警子图构建告警知识图；基于告警知识图，使用基于图属性的子图学习方法对每个告警子图生成对应的告警子图向量；基于告警子图向量，采用半自动化和全自动化双模式协同分类的方法判断每个警报的威胁等级。采用上述方案的本发明能对多类型安全检测设备进行集中的警报过滤，提升警报分类准确度，降低网络安全运维人员的负担。

公开(公告)号：CN112270346B

公开(公告)日：2023-09-01

申请号：CN202011127566.2

申请日：2020-10-20

Applicant: 清华大学

Inventor： 杨家海 ,  樊琳娜 ,  张世泽 ,  王之梁 ,  段晨鑫

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/0895

Abstract: 本发明公开了一种基于半监督学习的物联网设备识别方法及装置，该方法包括：获取待识别设备的流量信息，通过特征抽取得到所述待识别设备的原始特征；将所述原始特征输入卷积神经网络得到嵌入特征，将所述嵌入特征输入两个全连接层，根据所述两个全连接层的输出结果识别所述待识别设备类型。该方法解决了有监督机器学习方法需要大量标签的问题，设计了一种半监督学习的物联网设备识别方法，能够利用少量有标签数据在被动流量中达到较高的设备识别精度且能发现新的设备类型。

公开(公告)号：CN115086204B

公开(公告)日：2023-06-13

申请号：CN202210432294.X

申请日：2022-04-22

Applicant: 清华大学 ,  阿里云计算有限公司

Inventor： 董恩焕 ,  范仲逸 ,  杨家海 ,  祝顺民 ,  王之梁 ,  张世泽 ,  文荣 ,  许经纬

IPC: H04L43/12 ,  H04L43/0864 ,  H04L43/0829

Abstract: 本发明公开了一种Overlay网络高可靠多因子网络质量评估方法和装置，其中，该方法包括：探测阶段将目标Overlay网络链路的源节点记为A，目的节点记为B，分别做正向探测和反向探测得到往返时延和丢包率；聚合阶段将通过正向和反向探测的往返时延和丢包率进行聚合作为探测阶段链路质量；评价阶段通过链路质量计算公式对链路质量进行计算，根据计算结果进行链路质量评价，并根据提供链路的运营商因子修正链路质量评价的计算结果，以完成多因子网络质量测量与评价。本发明包含节点之间的正向探测和反向探测，考虑了设备故障的情况，探测结果会更加可靠。在评价链路质量过程中除了往返时延和丢包率外还结合了运营商因子，评价结果更符合真实链路质量。

公开(公告)号：CN115277464B

公开(公告)日：2023-06-02

申请号：CN202210520263.X

申请日：2022-05-13

Applicant: 清华大学 ,  阿里云计算有限公司

Inventor： 杨家海 ,  祝顺民 ,  贺鑫 ,  张世泽 ,  吕彪 ,  王之梁 ,  董恩焕 ,  杨帅

IPC: H04L43/04 ,  H04L41/0631 ,  H04L41/16

Abstract: 本申请提出了一种基于多维时间序列分析的云网络变更流量异常检测方法，涉及数据分析技术领域，其中，该方法包括：将云网络变更流量处理为多维时间序列，并检测所述多维时间序列的每个时间维度中包含的突刺点；根据序列的每个时间维度中包含的突刺点对多维时间序列进行突刺平滑处理，得到目标时间序列；对目标时间序列的每个维度的数据进行异常检测，得到异常检测结果；对多维时间序列中的所有时间维度进行分类，根据分类结果对异常检测结果进行汇总，得到变更异常判别结果。采用上述方案的本申请能够提高异常检测准确率，进而更好地保证大规模云网络的稳定运行、提高云网络的服务质量。