公开(公告)号：CN119995938A

公开(公告)日：2025-05-13

申请号：CN202411995678.8

申请日：2024-12-31

Applicant: 清华大学

Inventor： 赵曦滨 ,  彭贻豪 ,  张童鑫 ,  张郁璇 ,  万海

IPC: H04L9/40

Abstract: 本申请涉及一种自动化细粒度日志标注方法，包括：运行预设的攻击场景，并基于运行结果收集包括未标注的日志、对齐信息日志、分隔符日志、攻击标志和攻击日志的日志信息；根据对齐信息日志中的审计日志构建初始溯源图，利用对齐信息日志将应用程序日志和流量日志与审计日志关联，并基于关联结果利用攻击标志和攻击日志识别初始溯源图中的锚点；利用分隔符日志将初始溯源图中满足预设分割条件的节点划分为多个执行单元得到精细化溯源图，基于精细化溯源图连接所有锚点，形成攻击子图，以基于攻击子图得到标注后的日志。由此，减少手动标注工作量，能够同时标注流量、审计和应用日志，实现对个别日志条目的精确标注，确保标注的准确性和完整性。

公开(公告)号：CN119168033A

公开(公告)日：2024-12-20

申请号：CN202411301293.7

申请日：2024-09-18

Applicant: 珠海横琴跨境说网络科技有限公司 ,  清华大学

Inventor： 周运贤 ,  方华 ,  吕燕 ,  周旭兴 ,  赵曦滨 ,  万海 ,  蔡泽斌

IPC: G06N5/022 ,  G06F40/30 ,  G06F40/289

Abstract: 本发明涉及一种基于高级语义嵌入与图嵌入的缺失信息补全方法及装置。方法包括：获取网络安全情报数据和对应的网络安全情报知识图谱；对数据预处理后利用预设的Word2Vec模型将数据中每个实体文本转化为满足预设维度的数值向量；计算网络安全情报知识图谱中每条边的权重，基于权重构建随机游走序列，得到网络安全情报知识图谱节点的向量化表示；根据数值向量得到语义嵌入补全结果，根据网络安全情报知识图谱节点的向量化表示得到图嵌入补全结果，根据两种补全结果得到最终缺失信息补全结果，对信息进行补全。由此，通过向量化情报数据和知识图谱中的信息，并综合语义嵌入和图嵌入模型补全结果来提高最终补全结果的可靠性。

公开(公告)号：CN118504677A

公开(公告)日：2024-08-16

申请号：CN202410429804.7

申请日：2024-04-10

Applicant: 清华大学

Inventor： 万海 ,  席昊 ,  谭仁轩 ,  朱金宇 ,  袁沈阳 ,  王震 ,  赵曦滨

IPC: G06N5/025 ,  G06N5/02

Abstract: 本申请公开了一种基于主机的无服务器溯源图构建方法及系统，包括：基于主机进行主机侧日志采集获取审计日志，利用执行划分引擎对同一请求触发的所有函数及相应的系统调用进行标签标记，将每一条审计日志映射到一个或多个请求上，并利用溯源图边填充器监视容器挂载行为以获得路径挂载表，捕获gRPC通信流量信息；根据映射后的审计日志，创建表示系统内活动实体的顶点以及表示顶点之间关系的边，生成初始无服务器全局溯源图，并根据路径挂载表和gRPC通信流量信息，构建初始无服务器全局溯源图的新边，生成无服务器全局溯源图；根据当前处理请求并基于函数请求匹配算法进行分隔日志解析，更新无服务器全局溯源图中相应边所标记的请求标识符。

公开(公告)号：CN115277124B

公开(公告)日：2024-07-12

申请号：CN202210818526.5

申请日：2022-07-12

Applicant: 清华大学

Inventor： 赵曦滨 ,  王瑞华 ,  彭贻豪 ,  万海

IPC: H04L9/40 ,  G06F16/901 ,  G06F16/9035 ,  G06F16/2457 ,  G06F18/22 ,  G06F18/24

Abstract: 本发明提供的一种基于系统溯源图搜索匹配攻击模式的在线系统及服务器，包括输入层，用于输入攻击图以及系统溯源图；攻击模式匹配运算层，用于利用攻击图拆分算法对攻击图进行划分，获得攻击子图；根据系统溯源图与攻击图对应拓扑关系，使用候选图匹配算法搜索在系统溯源图中查找与攻击子图匹配的候选子图；对候选子图进行拼接得到完整候选图；利用相似度排序方法对每个完整候选图与系统溯源图的相似度进行排序；根据排序第一的完整候选图，确定是否需要输出威胁告警；输出层，用于输出威胁告警。本发明的攻击模式匹配层具备良好的检测能力，能够有效帮助安全人员检测系统内是否存在与给定攻击模式类似的行为。

公开(公告)号：CN116846612A

公开(公告)日：2023-10-03

申请号：CN202310737889.0

申请日：2023-06-20

Applicant: 中债金科信息技术有限公司 ,  清华大学

Inventor： 高浩浩 ,  蔡挺 ,  马奇辰 ,  焦伟 ,  张凯强 ,  王景丽 ,  赵佳祥 ,  赵曦滨 ,  孙逸伦 ,  万海

IPC: H04L9/40 ,  G06F16/36 ,  G06F16/35

Abstract: 本申请涉及一种攻击链补全方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括：获取安全知识图谱和异常边；确定安全知识图谱中的多个依赖路径，对多个依赖路径进行聚类，得到多个类簇和对应的主机行为类别；从每个异常边所属的依赖路径中选取目标依赖路径，将所有异常边对应的目标依赖路径中具有相同实体和主机行为类别的目标依赖路径进行合并，得到多个局部攻击链；根据每个类簇内局部攻击链中的实体与该类簇内其他局部攻击链中的实体之间的连接概率，建立类簇内局部攻击链之间的连接；根据每个类簇中的实体与其他类簇中的实体之间的连接概率，建立类簇间局部攻击链之间的连接。本申请可以提高攻击链的完整性。

公开(公告)号：CN112433835B

公开(公告)日：2023-01-13

申请号：CN202011318921.4

申请日：2020-11-23

Applicant: 国家电网有限公司(CN) ,  国网江西省电力有限公司(CN) ,  国网信息通信产业集团有限公司(CN) ,  清华大学(CN)

Inventor： 万海 ,  赵曦滨 ,  李德建 ,  王慧

IPC: G06F9/48

Abstract: 本发明公开一种基于Linux系统的中断处理方法及装置，包括：判断是否将中断注册申请发送给函数request_mvb_irq；若为是，则设置中断号对应的中断处理程序的关键属性，关键属性包括非线程化属性和非共享属性；设置中断号对应的非线程化标识符和非共享标识符；判断中断号对应的标识符是否包括非线程化标识符和非共享标识符；若为是，则取消针对中断处理程序的线程化处理，以及取消对中断描述符数组irq_desc中的中断处理程序描述符irqaction的遍历处理，在中断上下文中，执行所述中断处理程序。本发明能够保证实时硬件设备发起的中断处理程序被立即执行，避免由于这类中断处理程序被延迟执行而造成系统损害。

公开(公告)号：CN115526250A

公开(公告)日：2022-12-27

申请号：CN202211168182.4

申请日：2022-09-23

Applicant: 清华大学

Inventor： 高跃 ,  张欣炜 ,  万海

IPC: G06K9/62 ,  G06V10/762 ,  G06V10/764 ,  G06V10/774

Abstract: 本申请涉及一种面向连续学习场景的样本分类方法与装置，方法包括：基于预设的初始知识库，在识别连续学习场景中的无标签数据为未知类样本时，分裂预设的初始分类模型得到动态分支，并对其应用预设的无监督学习算法学习未知类样本上的聚类，得到动态分支的聚类能力，并基于动态分支的聚类能力，为未知类样本标记伪标签，进而更新初始知识库，计算未知类样本与更新后的初始知识库中样本的第一距离，从而预测未知类样本的类别。由此，解决了相关技术中的算法易忽视已知类别的分类功能，无法从无标签数据流中学习，限制了分类能力的应用等问题，通过融合连续学习与新类挖掘，实现了对未知类别的挖掘和对已知类别的分类能力的保持。

公开(公告)号：CN115277127A

公开(公告)日：2022-11-01

申请号：CN202210819896.0

申请日：2022-07-12

Applicant: 清华大学

Inventor： 万海 ,  吕永康 ,  张轩诚 ,  赵曦滨

IPC: H04L9/40

Abstract: 本发明提供的一种基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置，通过将每个攻击图不重叠的划分为不定数量的攻击子图；利用子图同构算法对每一个攻击子图与所述系统溯源图进行搜索，得到对应的候选子图；对该攻击图的候选子图进行拼接，得到完整候选图，进而根据相似度分数确定是否生成告警信息。本发明通过寻找符合已知攻击模式的行为的算法，可以帮助安全人员对APT攻击进行防护，使他们通过对抽象行为模式的查询来确定可疑行为，使得安全人员可以利用过去已经累积的对外部攻击的了解，不再需要花费时间和精力手工进行核验，而是可以自动化地定期核验系统是否遭遇了过去发生过的攻击。

公开(公告)号：CN112866052B

公开(公告)日：2022-08-05

申请号：CN202011639076.0

申请日：2020-12-31

Applicant: 清华大学

Inventor： 万海 ,  张苏坤 ,  赵曦

IPC: H04L43/0811 ,  H04L43/0823 ,  H04L43/50 ,  G06F17/18

Abstract: 本发明实施例公开一种网络链路状态的检测方法、检验矩阵的训练方法和装置，该方法包括：接收从网络链路的末端节点发送的故障检测包，其中，故障检测包按照预设检测路径集中的各预设检测路径进行传输；根据故障检测包的当前到达状态，确定各预设检测路径的路径状态；根据路径状态，以及预设检测路径集对应的检测矩阵，确定网络链路的链路状态；其中，检测矩阵中的各行表示各个预设检测路径的路径，列号对应所述网络链路中的各个链路，各列的值均为二进制编码，用于表示预设检测路径是否经过该链路；检测矩阵建立了网络链路中各链路的链路状态与预设检测路径的路径状态之间的映射关系。通过采用上述技术方案，提高了网络链路故障检验的准确性。

公开(公告)号：CN110990630B

公开(公告)日：2022-06-24

申请号：CN201911201018.7

申请日：2019-11-29

Applicant: 清华大学

Inventor： 高跃 ,  陈自强 ,  赵曦滨 ,  万海

IPC: G06F16/783 ,  G06F16/75 ,  G06F16/787 ,  G06F16/738 ,  G06V10/774 ,  G06V10/764 ,  G06V10/82 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请公开了一种基于图建模视觉信息的利用问题指导的视频问答方法，包括：步骤1，获取训练视频的视觉特征和训练问题的问题特征，利用逐项积算法，计算时序注意力特征；步骤2，利用物体检测框架，计算训练视频的物体特征，并确定显式图建模特征；步骤3，利用时序注意力特征和显式图建模特征，进行第0维点乘运算，生成全局视频特征向量；步骤4，根据问题特征和全局视频特征向量，确定全局特征值，并根据全局特征值和训练问题对应的问题答案，更新显式图模型；步骤5，根据更新后的显式图模型，确定视频问题的问题答案。通过本申请中的技术方案，在时间和空间两个维度更加有效地挖掘视频信息，以提高视频问答任务的性能。