公开(公告)号：CN118013046B

公开(公告)日：2024-07-16

申请号：CN202410389726.2

申请日：2024-04-02

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  高鹏飞 ,  贾焰 ,  张欢 ,  景晓 ,  刘浩 ,  王梦娇

IPC: G06F16/35 ,  G06F40/295 ,  G06N5/025 ,  G06N3/0442 ,  G06N3/0455 ,  G06F18/241

Abstract: 本发明提供了一种基于大语言模型的非结构化网络威胁情报抽取方法、系统及介质，该方法包括：利用爬虫技术从开源情报平台实时获取非结构化威胁情报数据；利用数据清洗技术剔除非结构化威胁情报数据中非主要文本内容，得到非结构化的文本情报数据，完成数据初步清洗；利用大语言模型结合Prompt设计实现对非结构化的文本情报数据进行二次处理以及知识提取；利用深度学习模型对经由大语言模型处理的结果进行二次知识抽取；结合两次知识抽取内容进一步删选，得到最终抽取结果。本发明提高了网络威胁情报的准确性和及时性，提高了对复杂多变的网络威胁的识别和分析能力，能够更好地适应特定领域的需求。

公开(公告)号：CN117932233B

公开(公告)日：2024-07-02

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

公开(公告)号：CN117909912B

公开(公告)日：2024-07-02

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN117792803B

公开(公告)日：2024-06-25

申请号：CN202410218653.0

申请日：2024-02-28

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  刘浩 ,  杜磊 ,  张明瑞 ,  高鹏飞 ,  张欢

IPC: H04L9/40 ,  G06F18/2415 ,  G06F18/2433 ,  G06F18/214 ,  G06F16/35 ,  G06F40/284 ,  G06N3/0455 ,  G06N3/088 ,  G06N3/09

Abstract: 本发明提供了一种基于数据包有效载荷预训练模型的网络攻击检测方法、系统及介质，该方法包括：对数据集中的网络流量包进行切分，获得网络会话流粒度的网络数据包有效载荷序列；对数据集的正常流量和网络攻击流量进行均衡采样，使用滑动窗口对有效载荷进行切分；将有效载荷切分后获得的字节对序列经分词器处理后输入Bert模型进行预训练，在预训练Bert模型时将网络会话流类比于文档，将网络数据包有效载荷类比于句子：加载已预训练的Bert模型，结合分类器在新的数据上进行微调，采用微调后的网络攻击检测模型检测网络攻击。本发明能更好地捕获网络数据包有效载荷的信息，以便于通过网络数据包有效载荷预训练模型检测网络攻击。

公开(公告)号：CN118101357A

公开(公告)日：2024-05-28

申请号：CN202410525137.2

申请日：2024-04-29

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  王昊 ,  闫昊 ,  曹钰 ,  陈翊璐 ,  李嘉瑞 ,  段晨芸

IPC: H04L9/40 ,  H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  G06N3/042 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明提供了一种结合数据包语义的网络流量分类方法，将数据包输入到网络流量处理工具，分别处理网络流量数据包的数据包头和有效载荷，分别得到二者的特征向量；将数据包头的特征向量与有效载荷的特征向量进行融合，得到整个数据包的特征向量；将特征向量中具有相同五元组的网络流量数据包归于同一通信过程，由同一通信过程中的网络流量数据包构成图，并进行分类。本发明根据不同传输层协议的特点，采用不同的方法来构图，充分表示不同的通信过程，以此利用数据包之间的上下文信息，弥补了现有方法没有利用上下文信息的缺陷。

公开(公告)号：CN117909912A

公开(公告)日：2024-04-19

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN116738443B

公开(公告)日：2023-12-26

申请号：CN202311003502.5

申请日：2023-08-10

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 徐国爱 ,  高翠芸 ,  刘川意 ,  廖清 ,  顾钊铨 ,  文昕成

IPC: G06F21/57 ,  G06F18/214

Abstract: 本发明公开了一种基于多示例感知的软件漏洞检测方法及相关设备，所述方法包括：获取包级代码片段，使用预训练模型对所述包级代码片段进行训练，得到表征向量；将表征向量分别映射到不同的线性空间中，得到包级代码片段的注意力表征向量；将第一标志向量与表征向量结合，得到包级代码片段中的每个函数代码片段的第二表征向量，将每个函数代码片段的第二表征向量拼接，再进行卷积和拆分操作，得到函数级第二标志向量和目标表征向量，并通过最大池化层计算得到文件级标志向量，根据函数级第二标志向量和文件级标志向量检测漏洞。本发明捕捉示例本身的局部信息和不同示例之间的全局信息，同时检测判断文件级代码和函数级代码是否包含漏洞。

公开(公告)号：CN116738443A

公开(公告)日：2023-09-12

申请号：CN202311003502.5

申请日：2023-08-10

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 徐国爱 ,  高翠芸 ,  刘川意 ,  廖清 ,  顾钊铨 ,  文昕成

IPC: G06F21/57 ,  G06F18/214

Abstract: 本发明公开了一种基于多示例感知的软件漏洞检测方法及相关设备，所述方法包括：获取包级代码片段，使用预训练模型对所述包级代码片段进行训练，得到表征向量；将表征向量分别映射到不同的线性空间中，得到包级代码片段的注意力表征向量；将第一标志向量与表征向量结合，得到包级代码片段中的每个函数代码片段的第二表征向量，将每个函数代码片段的第二表征向量拼接，再进行卷积和拆分操作，得到函数级第二标志向量和目标表征向量，并通过最大池化层计算得到文件级标志向量，根据函数级第二标志向量和文件级标志向量检测漏洞。本发明捕捉示例本身的局部信息和不同示例之间的全局信息，同时检测判断文件级代码和函数级代码是否包含漏洞。

公开(公告)号：CN115913791B

公开(公告)日：2023-06-13

申请号：CN202310213291.1

申请日：2023-03-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  闫昊 ,  杜磊 ,  张欢 ,  张志强

IPC: H04L9/40 ,  G06F16/31 ,  G06F16/33 ,  G06F16/36 ,  G06F16/901 ,  G06F16/903

Abstract: 本发明公开了一种基于增量式查询索引树的MDATA动态子图匹配方法、系统及存储介质，基于MDATA在网络安全领域对安全态势表示的时空特征优势，通过MDATA实体与关系的属性特征，将攻击行为刻画为子图匹配问题中的查询图，整个网络环境刻画为数据图，当新的网络进行变化的时候动态更新数据图并设计相应的辅助数据结构，应用动态子图匹配方法实时快速准确检测出网络中出现的攻击行为，保护网络安全。本发明设计的增量式查询索引树的MDATA子图匹配方法，可以事实检测出攻击行为并且减少误报和漏报的机率，降低时间复杂度的同时提升检测速度。

公开(公告)号：CN116069953B

公开(公告)日：2023-06-02

申请号：CN202310200711.2

申请日：2023-03-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  谢禹舜 ,  高翠芸 ,  廖清 ,  张欢 ,  闫昊 ,  杜磊

IPC: G06F16/36 ,  G06F16/35 ,  G06F16/387 ,  G06F40/279 ,  G06F40/30 ,  G06N5/022

Abstract: 公开了一种基于知识图谱叠加时空属性的MDATA知识表示方法，其将所有实体划分为主要实体和次要实体，将无实际含义的次要实体不参与表示计算，降低模型的计算开销；同时将时空属性融入关系和实体属性中，实现时空属性动态知识的有效表示；最后通过多级图架构隔离子图，实现子图间独立更新互不影响，满足动态知识的快速更新，也实现根据搜索目标选定不同层次的子图进行搜索，提高搜索速度，保证模型的可计算性和可实现性。