公开(公告)号：CN117574204A

公开(公告)日：2024-02-20

申请号：CN202311492847.1

申请日：2023-11-09

Applicant: 清华大学 ,  国家电网有限公司信息通信分公司 ,  国网河南省电力公司信息通信公司 ,  国网信息通信产业集团有限公司

Inventor： 李城龙 ,  胡威 ,  杨家海 ,  李祉岐 ,  尹琴 ,  程杰 ,  夏昂 ,  党芳芳 ,  闫丽景

IPC: G06F18/24 ,  G06N5/02

Abstract: 本申请提出了一种网络地理空间图谱的分层模型构建方法，涉及网络空间技术领域，其中，该方法包括：获取网络空间所依附的现实地理环境信息，并生成地理空间环境层；获取实体网络设备信息和虚拟网络资源信息，并生成网络空间环境层；获取参与网络的人员信息及其社会属性信息，并生成行为主体环境层；获取网络安全信息，并生成安全业务环境层；基于地理空间环境层、网络空间环境层、行为主体环境层、所述安全业务环境层构建网络地理空间图谱的分层模型。采用上述方案的本发明主体完整、层次清晰，为挖掘网络空间各分层要素间关系及层级间关系提供基础依据。

公开(公告)号：CN115546496A

公开(公告)日：2022-12-30

申请号：CN202211028070.9

申请日：2022-08-25

Applicant: 清华大学 ,  国家电网有限公司信息通信分公司 ,  国网河南省电力公司信息通信公司

Inventor： 李城龙 ,  吴毅超 ,  胡威 ,  杨家海 ,  王之梁 ,  程杰 ,  夏昂 ,  卢腾 ,  魏家辉 ,  林冰洁 ,  党芳芳 ,  闫丽景

IPC: G06V10/40 ,  G06V10/764 ,  G06V10/82 ,  G06F16/35 ,  G06F40/216 ,  H04L67/02 ,  H04L67/12

Abstract: 本发明公开了一种主动探测场景下的物联网设备识别方法及装置，该方法包括：获取第一网络文本数据，其中，第一网络文本数据包括基于网络设备的网络文本数据；提取第一网络文本数据的网络图像特征输出第一图像特征向量，并提取第一网络文本数据的第一统计特征向量；将第一图像特征向量和第一统计特征向量进行融合拼接，得到网络设备特征向量；将网络设备特征向量输入预训练的神经网络分类模型得到概率向量，以利用概率向量识别物联网设备。本发明通过将HTML文本转化为图像，不仅保持了HTML文本的特征，还能利用先进的图像特征提取模型提取出更有效的特征，大幅提高了设备识别的准确度；并且利用图像特征规避了此类问题，扩大了设备识别的范围。

公开(公告)号：CN116257336A

公开(公告)日：2023-06-13

申请号：CN202211665540.2

申请日：2022-12-23

Applicant: 清华大学 ,  国家电网有限公司信息通信分公司 ,  国网河南省电力公司信息通信公司 ,  国网信息通信产业集团有限公司

Inventor： 李维 ,  胡威 ,  杨家海 ,  李城龙 ,  李祉岐 ,  尹琴 ,  程杰 ,  夏昂 ,  党芳芳 ,  闫丽景

IPC: G06F9/48

Abstract: 本发明公开了波动数据流场景下的算子智能并行化流处理方法及装置，该方法包括：获取物联网资产管理系统中的流量算子资源和拓扑信息；将算子资源数据输入至并行度瓶颈识别模型中，判断当算子资源数据满足预设条件时输出拓扑信息的瓶颈级别；将瓶颈级别和算子资源数据输入至参数计划生成模型中得到拓扑信息的参数计划，将参数计划输入至参数迁移转换模型得到迁移计划，并将迁移计划存入路由表中；响应接收到的分配指令，调用路由表中的迁移计划以调度完成流量算子资源的再分配。本发明可以随着环境的变化实时监控并收集信息，完成资源分配的智能优化，从而保证DSPS的流畅运行。

公开(公告)号：CN117614854A

公开(公告)日：2024-02-27

申请号：CN202311319463.X

申请日：2023-10-12

Applicant: 国网思极网安科技(北京)有限公司 ,  国网信息通信产业集团有限公司 ,  国家电网有限公司信息通信分公司 ,  国网河南省电力公司信息通信分公司 ,  清华大学

Inventor： 杨家海 ,  李祉岐 ,  王子萌 ,  胡威 ,  程杰 ,  党芳芳 ,  尹琴 ,  郭晨萌 ,  李城龙 ,  夏昂 ,  张哲宁 ,  刘孟奇 ,  闫丽景 ,  李帅

IPC: H04L43/028 ,  H04L43/04 ,  H04L43/0876 ,  H04L43/50 ,  G06F18/214 ,  G06F18/2411 ,  G06N3/02

Abstract: 本公开提供一种服务类型的确定方法、装置、电子设备及存储介质，包括：获取目标设备的流量数据，并对所述流量数据的特征进行提取得到流量特征；基于所述流量特征生成所述目标设备的识别网络；基于所述识别网络确定所述目标设备的网络服务类型。本公开中，首先对目标设备的流量数据进行了收集，然后对流量数据的特征进行了提取并得到流量特征，之后基于流量特征生成了目标设备的识别网络，最后识别网络确定了目标设备的网络服务的类型。

公开(公告)号：CN119397537A

公开(公告)日：2025-02-07

申请号：CN202411212246.5

申请日：2024-08-30

Applicant: 清华大学

Inventor： 李海威 ,  杨家海 ,  黄恩焕

IPC: G06F21/57

Abstract: 本发明公开了一种基于样本分析识别内存中缓解Spectre漏洞攻击的retpoline代码的方法，该方法包括：对预设的retpoline内存代码片段进行代码数据分析以从头到尾扫描二进制代码特征得到预设的第一指令的扫描结果；基于扫描结果判断第一指令后的指令是否为预设的第二指令；若是，根据CPU指令系统定义的规则分别取出第一指令mov的第一函数地址和第二指令jmp或call的第二函数地址，比较第一函数地址和第二函数地址是否相等；若相等，识别内存代码片段中有retpoline代码，并输出内存代码片段的retpoline代码识别结果。本发明可以判断对应内存代码是否具有CPU Spectre漏洞缓解机制，标示该样本程序具有抵御Spectre漏洞攻击的能力。

公开(公告)号：CN115913616B

公开(公告)日：2024-12-24

申请号：CN202211163410.9

申请日：2022-09-23

Applicant: 清华大学

Inventor： 杨家海 ,  孙晓晴 ,  李城龙

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2431 ,  G06F18/2451 ,  G06F18/25 ,  G06N3/0455 ,  G06N3/0895

Abstract: 本申请提出了一种基于异构图异常链路发现的横向移动攻击检测方法及装置，涉及网络安全技术领域，包括：获取日志信息，根据日志信息确定网络实体，构建异构用户认证图，其中，异构用户认证图包括网络实体以及网络实体之间的关系；根据基于元路径的随机游走邻居节点采样策略处理异构用户认证图，确定邻居节点集合；根据元路径注意力机制对邻居节点集合进行特征聚合，获取登入链路的表征向量；计算表征向量的相对重构误差，根据相对重构误差识别登入链路。本发明基于元路径的随机游走邻居节点采样策略与注意力机制处理节点与节点间关联，根据相对重构误差自动完成横向移动识别，无需人工设置异常检测阈值，易在实际网络场景中部署实现，提高效率。

公开(公告)号：CN116032557B

公开(公告)日：2024-07-02

申请号：CN202211606695.9

申请日：2022-12-13

Applicant: 清华大学 ,  国网上海市电力公司

Inventor： 王之梁 ,  韩东岐 ,  金明辉 ,  陈闻起 ,  王凯 ,  蔚睿 ,  王苏 ,  张晗 ,  杨家海 ,  施新刚 ,  尹霞 ,  肖飞 ,  王治华 ,  高峰

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/082 ,  G06N20/00

Abstract: 本发明公开了一种网络安全异常检测中深度学习模型的更新方法与装置，该方法包括：对不同网络安全场景的样本数据进行特征提取得到高维特征向量；输入至异常检测模型得到模型输入样本异常度值的原始输出值，对校正后的原始输出值进行漂移检测得到基于置信度的漂移检测结果；通过计算优化目标函数得到引起网络安全数据分布发生变化的漂移样本；利用漂移样本对异常检测模型进行模型重训练，通过计算模型重训练时的损失函数以优化模型参数权重，并基于优化后的模型参数权重以得到训练好的异常检测模型。本发明能准确的检测出分布的漂移，降低标注样本带来的人力开销，在拟合新环境的代表性样本的同时保证不会遗忘原有模型中的有效知识。

公开(公告)号：CN118264530A

公开(公告)日：2024-06-28

申请号：CN202410320611.8

申请日：2024-03-20

Applicant: 清华大学

Inventor： 杨家海 ,  吴松云 ,  董恩焕 ,  王之梁 ,  张辉 ,  胡海娜 ,  李子木

IPC: H04L41/0604 ,  H04L9/40 ,  H04L41/16 ,  G06N3/042 ,  G06N3/088 ,  G06F18/2433 ,  G06F18/243 ,  G06N5/01

Abstract: 本申请提出了一种自动化判定网络安全警报威胁等级的方法，涉及网络安全技术领域，其中，该方法包括：获取多源安全警报数据，对多源安全警报数据中的每个警报构建对应的告警子图，并基于所有告警子图构建告警知识图；基于告警知识图，使用基于图属性的子图学习方法对每个告警子图生成对应的告警子图向量；基于告警子图向量，采用半自动化和全自动化双模式协同分类的方法判断每个警报的威胁等级。采用上述方案的本发明能对多类型安全检测设备进行集中的警报过滤，提升警报分类准确度，降低网络安全运维人员的负担。

公开(公告)号：CN112270346B

公开(公告)日：2023-09-01

申请号：CN202011127566.2

申请日：2020-10-20

Applicant: 清华大学

Inventor： 杨家海 ,  樊琳娜 ,  张世泽 ,  王之梁 ,  段晨鑫

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/0895

Abstract: 本发明公开了一种基于半监督学习的物联网设备识别方法及装置，该方法包括：获取待识别设备的流量信息，通过特征抽取得到所述待识别设备的原始特征；将所述原始特征输入卷积神经网络得到嵌入特征，将所述嵌入特征输入两个全连接层，根据所述两个全连接层的输出结果识别所述待识别设备类型。该方法解决了有监督机器学习方法需要大量标签的问题，设计了一种半监督学习的物联网设备识别方法，能够利用少量有标签数据在被动流量中达到较高的设备识别精度且能发现新的设备类型。

公开(公告)号：CN115086204B

公开(公告)日：2023-06-13

申请号：CN202210432294.X

申请日：2022-04-22

Applicant: 清华大学 ,  阿里云计算有限公司

Inventor： 董恩焕 ,  范仲逸 ,  杨家海 ,  祝顺民 ,  王之梁 ,  张世泽 ,  文荣 ,  许经纬

IPC: H04L43/12 ,  H04L43/0864 ,  H04L43/0829

Abstract: 本发明公开了一种Overlay网络高可靠多因子网络质量评估方法和装置，其中，该方法包括：探测阶段将目标Overlay网络链路的源节点记为A，目的节点记为B，分别做正向探测和反向探测得到往返时延和丢包率；聚合阶段将通过正向和反向探测的往返时延和丢包率进行聚合作为探测阶段链路质量；评价阶段通过链路质量计算公式对链路质量进行计算，根据计算结果进行链路质量评价，并根据提供链路的运营商因子修正链路质量评价的计算结果，以完成多因子网络质量测量与评价。本发明包含节点之间的正向探测和反向探测，考虑了设备故障的情况，探测结果会更加可靠。在评价链路质量过程中除了往返时延和丢包率外还结合了运营商因子，评价结果更符合真实链路质量。