公开(公告)号：CN114969733A

公开(公告)日：2022-08-30

申请号：CN202210489642.7

申请日：2022-05-06

Applicant: 清华大学 ,  珠海横琴跨境说网络科技有限公司

Inventor： 陆犇圆 ,  赵曦滨 ,  叶思迪 ,  蒋风浪 ,  周运贤 ,  吕燕 ,  易大勇

IPC: G06F21/56 ,  G06F8/53

Abstract: 本发明公开一种基于系统调用自动机的攻击溯源方法及装置，方法包括：通过对应用程序的二进制文件进行静态分析，生成应用程序函数的控制流图，根据控制流图构造系统调用的有向图，针对向图中节点集和有向边集采用不确定的有穷自动机作为应用程序系统调用的状态转移表示，构建应用程序系统调用自动机，使用应用程序系统调用自动机对预先生成的标准格式日志进行执行单元的划分，构造系统级溯源图，在系统溯源图中汇总依赖症状事件的节点分别形成攻击路径和攻击影响。可以实现基于系统调用自动机的攻击溯源，解决了现有技术基于程序插桩和收集应用程序日志得到的高级语义信息来划分的执行单元的方式很难应用到缓解依赖爆炸的实际生产环境的问题。

公开(公告)号：CN119150970A

公开(公告)日：2024-12-17

申请号：CN202411301295.6

申请日：2024-09-18

Applicant: 珠海横琴跨境说网络科技有限公司 ,  清华大学

Inventor： 周运贤 ,  方华 ,  吕燕 ,  周旭兴 ,  赵曦滨 ,  万海 ,  蔡泽斌

IPC: G06N5/022 ,  G06F40/295

Abstract: 本发明涉及一种网络安全情报知识图谱的构建方法、装置及电子设备。方法包括：获取网络安全情报数据；对网络安全情报数据进行知识抽取，并根据抽取结果进行知识融合得到融合后实体和融合后关系；将融合后实体和融合后关系整合至预先构建的网络安全情报知识图谱本体模型，得到知识图谱结构，并引入超节点优化知识图谱结构，得到网络安全情报知识图谱。由此，通过抽取并融合网络安全情报数据，引入超节点提高知识的表示效率，实现了对网络安全情报数据的归集利用，有效缩减了知识图片的规模，构建了一个结构化、统一表示的网络安全情报知识图谱。

公开(公告)号：CN113723550B

公开(公告)日：2023-12-05

申请号：CN202111039868.9

申请日：2021-09-06

Applicant: 珠海横琴跨境说网络科技有限公司 ,  清华大学

Inventor： 周运贤 ,  吕燕 ,  蒋风浪 ,  叶思迪 ,  胡重阳 ,  赵曦滨 ,  邱俣涵 ,  易大勇

IPC: G06F18/2433 ,  G06F18/214 ,  G06F17/14

Abstract: 一种基于超图的同时优化代价与误检率的异常检测方法及系统，该方法包括构建超图结构，和优化的超图结构并得到用于分类的映射向量；构建超图结构包括：获取数据样例，将数据样例分为标记数据和无标记数据；通过图G(V，E，w)表示标记数据和无标记数据中数据之间的关系，每次从顶点集合中选择一个顶点，将顶点作为中心点；获取中心点最近的K个顶点，通过一条超边将中心点与最近的K个顶点连接起来，并分别计算最近的K个顶点中的顶点与超边的关联概率，其中K为正整数；以及当图G中所有的顶点均得到与超边的关联概率，完成超图结构的构建，解决现有技术中的超图学习，同时优化代价与错误从而降低误检率的技术问题。

公开(公告)号：CN113723550A

公开(公告)日：2021-11-30

申请号：CN202111039868.9

申请日：2021-09-06

Applicant: 珠海横琴跨境说网络科技有限公司 ,  清华大学

Inventor： 周运贤 ,  吕燕 ,  蒋风浪 ,  叶思迪 ,  胡重阳 ,  赵曦滨 ,  邱俣涵 ,  易大勇

IPC: G06K9/62 ,  G06F17/14

Abstract: 一种基于超图的同时优化代价与误检率的异常检测方法及系统，该方法包括构建超图结构，和优化的超图结构并得到用于分类的映射向量；构建超图结构包括：获取数据样例，将数据样例分为标记数据和无标记数据；通过图G(V，E，w)表示标记数据和无标记数据中数据之间的关系，每次从顶点集合中选择一个顶点，将顶点作为中心点；获取中心点最近的K个顶点，通过一条超边将中心点与最近的K个顶点连接起来，并分别计算最近的K个顶点中的顶点与超边的关联概率，其中K为正整数；以及当图G中所有的顶点均得到与超边的关联概率，完成超图结构的构建，解决现有技术中的超图学习，同时优化代价与错误从而降低误检率的技术问题。

公开(公告)号：CN119168033A

公开(公告)日：2024-12-20

申请号：CN202411301293.7

申请日：2024-09-18

Applicant: 珠海横琴跨境说网络科技有限公司 ,  清华大学

Inventor： 周运贤 ,  方华 ,  吕燕 ,  周旭兴 ,  赵曦滨 ,  万海 ,  蔡泽斌

IPC: G06N5/022 ,  G06F40/30 ,  G06F40/289

Abstract: 本发明涉及一种基于高级语义嵌入与图嵌入的缺失信息补全方法及装置。方法包括：获取网络安全情报数据和对应的网络安全情报知识图谱；对数据预处理后利用预设的Word2Vec模型将数据中每个实体文本转化为满足预设维度的数值向量；计算网络安全情报知识图谱中每条边的权重，基于权重构建随机游走序列，得到网络安全情报知识图谱节点的向量化表示；根据数值向量得到语义嵌入补全结果，根据网络安全情报知识图谱节点的向量化表示得到图嵌入补全结果，根据两种补全结果得到最终缺失信息补全结果，对信息进行补全。由此，通过向量化情报数据和知识图谱中的信息，并综合语义嵌入和图嵌入模型补全结果来提高最终补全结果的可靠性。

公开(公告)号：CN118568067A

公开(公告)日：2024-08-30

申请号：CN202410633861.7

申请日：2024-05-21

Applicant: 清华大学

Inventor： 万海 ,  李霄翔 ,  蒋欣雨 ,  孙逸伦 ,  赵曦滨

IPC: G06F16/174 ,  G06F16/18 ,  G06F11/34 ,  G06N5/01

Abstract: 本申请涉及一种溯源图压缩方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括：采集应用程序在运行过程中的审计日志数据；根据审计日志数据构建待压缩溯源图；其中，待压缩溯源图中的节点表示审计日志数据中的实体，待压缩就溯源图中的有向边表示各个实体之间的关联关系；根据预先构建的模板库中的多个模板子图，从待压缩溯源图中匹配与模板子图同构的部分作为待压缩区域；其中，模板子图用于描述应用程序的正常行为模式；对待压缩区域进行有损压缩，得到压缩后的溯源图。本申请可以在保留关键信息的前提下有效压缩数据。

公开(公告)号：CN118449752A

公开(公告)日：2024-08-06

申请号：CN202410573993.5

申请日：2024-05-10

Applicant: 清华大学

Inventor： 赵曦滨 ,  席昊 ,  朱金宇 ,  袁沈阳 ,  王震 ,  谭仁轩 ,  万海

IPC: H04L9/40

Abstract: 本申请公开了一种基于请求的无服务器的攻击溯源方法及系统，包括：攻击溯源初始化设置；对当前溯源层执行攻击溯源搜索步骤，即将当前溯源层的所有顶点添加到溯源队列中，基于队列的预设顺序分别处理当前溯源层的每个顶点，根据攻击请求标识符判断与当前遍历顶点相关的所有关联邻边是否与异常顶点有关，有关时判断关联邻边是否存在于已访边集合中，若不存在，则将关联邻边以及关联邻边的另一个顶点添加到溯源子图中；当前溯源的层数加1，并判断加1操作后的当前溯源层的层数是否达到预设溯源层数，若未达到预设溯源层数，则重复执行攻击溯源搜索步骤，直至达到预设溯源层数，结束遍历，输出溯源子图，根据溯源子图的所有顶点和边构成攻击路径。

公开(公告)号：CN113391907B

公开(公告)日：2024-08-06

申请号：CN202110714071.8

申请日：2021-06-25

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 戴晓 ,  赵曦滨 ,  万海 ,  黄潇 ,  刘悦

IPC: G06F9/48 ,  G06F9/50 ,  G06N3/042 ,  G06N3/0464 ,  G06N3/0455 ,  G06N3/092 ,  G06N3/048

Abstract: 本发明实施例公开了一种任务的放置方法、装置、设备和介质。该方法包括：根据流处理作业中各算子的并行度以及各个算子之间的连接方式，生成流处理作业对应的任务图；基于预设任务放置模型中的图神经网络，确定任务图中各个任务节点对应的任务embedding向量，并确定资源图中各slot节点对应的资源embedding向量；该资源图为全连接的无向图。基于预设任务放置模型中的循环神经网络，根据任务embedding向量和资源embedding向量，确定每个任务节点对应的slot节点。本发明实施例提供的任务放置模型适用于异构资源，通过采用该模型，在实际流处理作业的过程中可使得吞吐量属性和延迟属性均达到预设要求。

公开(公告)号：CN113391793B

公开(公告)日：2024-08-02

申请号：CN202110714151.3

申请日：2021-06-25

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 范皓 ,  赵曦滨 ,  庞在余 ,  万海 ,  王一平

IPC: G06F8/30 ,  G06F8/41 ,  G06F16/22 ,  G06F16/242 ,  G06F16/2455 ,  G06Q40/04

Abstract: 本发明公开一种面向流处理的金融欺诈建模语言的处理方法及装置，包括：根据使用金融欺诈建模语言FFML编写的欺诈检测规则，生成FFML抽象语法树；判断结点的结点类型；若结点的结点类型为SingleEvent，则根据SingleEvent类型的结点的孩子结点的参数要求，从预设的数据流中筛选符合参数要求的事件生成第一转化数据；根据第一转化数据，生成欺诈检测规则对应的SQL代码。应用本发明能够将使用FFML编写的欺诈检测规则快速转化为流平台能够识别的SQL编程语言。

公开(公告)号：CN115277127B

公开(公告)日：2024-07-09

申请号：CN202210819896.0

申请日：2022-07-12

Applicant: 清华大学

Inventor： 万海 ,  吕永康 ,  张轩诚 ,  赵曦滨

IPC: H04L9/40

Abstract: 本发明提供的一种基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置，通过将每个攻击图不重叠的划分为不定数量的攻击子图；利用子图同构算法对每一个攻击子图与所述系统溯源图进行搜索，得到对应的候选子图；对该攻击图的候选子图进行拼接，得到完整候选图，进而根据相似度分数确定是否生成告警信息。本发明通过寻找符合已知攻击模式的行为的算法，可以帮助安全人员对APT攻击进行防护，使他们通过对抽象行为模式的查询来确定可疑行为，使得安全人员可以利用过去已经累积的对外部攻击的了解，不再需要花费时间和精力手工进行核验，而是可以自动化地定期核验系统是否遭遇了过去发生过的攻击。