公开(公告)号：CN116015914B

公开(公告)日：2024-11-26

申请号：CN202211713574.4

申请日：2022-12-29

Applicant: 西安交通大学

Inventor： 刘杨 ,  阮高飞 ,  徐子森 ,  张世龙 ,  姜宝翔 ,  任泽华 ,  刘慧翔 ,  刘烃 ,  王云

IPC: H04L9/40 ,  G06F18/2323 ,  G06F18/214 ,  G06F18/2415 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明提供的一种基于深度学习框架的告警日志真实攻击检测方法及系统，包括以下步骤：步骤1，对获取得到的告警日志数据依次进行解析融合和关联聚类，生成告警事件簇；步骤2，对告警事件簇进行解析和过采样处理，生成训练数据集；步骤3，利用训练数据集对预设的二分类图神经网络模型进行训练，得到训练好的二分类图神经网络模型；步骤4，根据训练好的二分类图神经网络模型对待处理数据进行判定，得到检测结果；本发明能够快速有效挖掘网络告警中的常见真实攻击，并通过与人工研判相结合的方法不断学习优化模型，提高网络告警分析处理效率，增强网络安全防护能力。

公开(公告)号：CN114817983B

公开(公告)日：2024-10-15

申请号：CN202210406983.3

申请日：2022-04-18

Applicant: 西安交通大学

Inventor： 刘烃 ,  张少荣 ,  姜宝翔

IPC: G06F21/62 ,  G06Q50/06 ,  G06N5/048

Abstract: 本发明提供的一种面向电力业务场景的数据敏感度标定方法及系统，通过收集数据，建立敏感数据节点集合，然后对敏感数据节点采用基于模糊推理的数据敏感度一次标定，给每个数据对象赋予一个初始化的数据敏感度。然后构建数据关联关系图，并提出基于数据关联关系更新数据敏感度的方法，最终实现了对电力业务数据考虑数据关联关系下的敏感度标定。本发明不但考虑了先验知识和由数据间关联关系导致的安全风险，分级结果更加合理有效，还具有很好的拓展性，当先验知识、数据类型或数据间关联关系发生变化时，该方法可以很方便的修改分级结果。

公开(公告)号：CN114817983A

公开(公告)日：2022-07-29

申请号：CN202210406983.3

申请日：2022-04-18

Applicant: 西安交通大学

Inventor： 刘烃 ,  张少荣 ,  姜宝翔

IPC: G06F21/62 ,  G06Q50/06 ,  G06N5/04

Abstract: 本发明提供的一种面向电力业务场景的数据敏感度标定方法及系统，通过收集数据，建立敏感数据节点集合，然后对敏感数据节点采用基于模糊推理的数据敏感度一次标定，给每个数据对象赋予一个初始化的数据敏感度。然后构建数据关联关系图，并提出基于数据关联关系更新数据敏感度的方法，最终实现了对电力业务数据考虑数据关联关系下的敏感度标定。本发明不但考虑了先验知识和由数据间关联关系导致的安全风险，分级结果更加合理有效，还具有很好的拓展性，当先验知识、数据类型或数据间关联关系发生变化时，该方法可以很方便的修改分级结果。

公开(公告)号：CN117764606A

公开(公告)日：2024-03-26

申请号：CN202311786483.8

申请日：2023-12-22

Applicant: 西安交通大学

Inventor： 刘杨 ,  刘烃 ,  姜宝翔 ,  罗子安 ,  贺彤 ,  杨欣雨 ,  王海军 ,  王云

IPC: G06Q30/018 ,  G06F18/22 ,  G06F18/213 ,  G06F16/901 ,  G06Q50/06 ,  G06Q50/26 ,  H04L9/00

Abstract: 本发明提供的一种基于图方法的电碳区块链交易行为关联分析方法、系统及设备，包括以下步骤：步骤1，获取待测电碳区块链中每个区块及其对应的交易记录数据，并将得到的交易记录数据进行解析，得到交易记录数据中第一条交易记录对应的特征量；步骤2，根据得到的每个区块对应的特征量创建区块交易图；步骤3，将得到的每个区块交易图划分为多个交易簇；步骤4，提取每个交易簇的统计特征和拓扑结构特征；步骤5，根据得到的统计特征和拓扑结构特征对交易簇进行识别，得到待测电碳区块链交易行为关联分析结果；本发明能够将电碳区块链网络中的单条交易记录关联为交易簇，从而有效检测通过交易协同进行的区块链攻击事件。

公开(公告)号：CN114301712B

公开(公告)日：2023-04-07

申请号：CN202111678291.6

申请日：2021-12-31

Applicant: 西安交通大学

Inventor： 刘杨 ,  刘烃 ,  王云 ,  姜宝翔 ,  任泽华 ,  刘慧翔

IPC: H04L9/40 ,  H04L67/12 ,  G06F16/22 ,  G06F16/28 ,  G06F18/22 ,  G06F18/2431

Abstract: 本发明提供的一种基于图方法的工业互联网告警日志关联分析方法及系统，包括以下步骤：步骤1，获取网络攻击告警日志；步骤2，对获取的网络攻击告警日志进行解析，得到每一条网络攻击告警对应的特征量；步骤3，根据得到的特征量创建网络安全事件图，并将网络安全事件图划分为多个告警簇；步骤4，提取每个告警簇对应的统计特征和拓扑结构特征；步骤5，根据得到的统计特征和拓扑结构特征对每条告警簇进行分析识别；本发明避免了告警日志数据多源、异构特点的影响，能够有效提高常见安全事件告警的处理效率和高危事件的识别能力，并且能够提供对工业互联网整体安全态势的感知能力。

公开(公告)号：CN115695147B

公开(公告)日：2024-11-26

申请号：CN202211337758.5

申请日：2022-10-28

Applicant: 西安交通大学

Inventor： 刘杨 ,  徐子森 ,  张世龙 ,  阮高飞 ,  姜宝翔 ,  任泽华 ,  刘慧翔 ,  刘烃 ,  王云

IPC: H04L41/0631 ,  H04L41/069

Abstract: 本发明提供了一种基于扩散节点的空间域告警社群划分方法，包括以下步骤：步骤1：从获取得到的待处理告警日志数据进行信息提取，得到告警数据集；步骤2：根据告警数据集构建告警日志关联图；步骤3：结合告警日志关联图中节点的业务属性特征和拓扑结构特征，选取扩散节点；步骤4，利用选取得到的扩散节点对空间域告警社群进行划分，得到多个社群结构。本发明有效地解决了现有社群划分方法在处理社群之间关联关系上所面临的难题，允许相同节点归属于多个告警社群，提升了重叠社群划分算法结果的确定性与准确性，更加符合实际工业互联网的真实业务场景。

公开(公告)号：CN117540308A

公开(公告)日：2024-02-09

申请号：CN202311272865.9

申请日：2023-09-28

Applicant: 国网陕西省电力有限公司信息通信公司 ,  西安交通大学

Inventor： 刘东昊 ,  刘颖 ,  樊鑫 ,  杨启龙 ,  朱铭 ,  胡斌 ,  李亚林 ,  姜宝翔 ,  刘杨

IPC: G06F18/2433 ,  G06N3/0442 ,  G06N3/0455 ,  G06N3/042 ,  G06N3/082 ,  G06F11/34 ,  G06F18/23213

Abstract: 本发明提供的一种基于因果路径嵌入聚类的主机审计日志异常检测方法及系统，包括以下步骤：步骤1，获取主机审计日志并进行解析和特征提取；步骤2，使用获取的主机审计日志特征构建起源图；步骤3，提取起源图中的因果路径并生成输入特征序列；步骤4，基于良性主机审计日志生成的良性输入特征序列训练BERT模型；步骤5，使用训练后的BERT模型将良性输入特征序列嵌入为向量表示并进行聚类，得到每个良性类的聚类中心和边界；步骤6，检测时，将被检测的主机审计日志构建起源图、提取因果路径并进行嵌入，根据嵌入后的向量表示判断其属于某一良性类或者属于异常主机审计日志。本发明能够有效从主机审计日志中识别异常因果序列，从而检测异常主机行为，够提供可靠的主机异常行为检测能力。

公开(公告)号：CN118944938A

公开(公告)日：2024-11-12

申请号：CN202411033846.5

申请日：2024-07-30

Applicant: 西安交通大学

Inventor： 刘杨 ,  罗子安 ,  徐子森 ,  尚锦奥 ,  张世龙 ,  贺彤 ,  阮高飞 ,  杨欣雨 ,  姜宝翔 ,  鲍远义 ,  刘烃 ,  王云

IPC: H04L9/40

Abstract: 本发明提供了一种基于Bash命令的用户行为划分及告警关联补全方法、系统、设备及介质，包括以下步骤：步骤1，将获取得到的目标Bash命令数据中的每条Bash命令进行解析得到结构化数据；步骤2，根据解析后的结构化数据，构建Bash命令间的关联关系；步骤3，基于Bash命令间的关联关系，构建Bash命令关联图；骤4，根据得到的Bash命令关联图生成用户行为；步骤5，将生成的用户行为与安全设备产生的告警相关联；本发明能够在保证信息完整性的同时，提供一种对Bash历史命令日志进行批量可解释性分析的尺度，补全告警数据中的缺失信息，极大降低了工作人员进行用户行为分析及告警分析处置的难度。

公开(公告)号：CN117319035A

公开(公告)日：2023-12-29

申请号：CN202311268722.0

申请日：2023-09-28

Applicant: 西安交通大学

Inventor： 刘杨 ,  罗子安 ,  任泽华 ,  阮高飞 ,  张世龙 ,  徐子森 ,  姜宝翔 ,  刘慧翔 ,  杨欣雨 ,  鲍远义 ,  贺彤 ,  刘烃 ,  王云

IPC: H04L9/40 ,  G06F18/22 ,  G06F18/2323 ,  G06F18/26

Abstract: 本发明提供的一种基于复杂子图拆分的告警社群划分方法、系统及设备，包括以下步骤：将输入的多源异构网络告警日志进行预处理，得到告警数据集；根据得到的告警数据集构建告警日志关联图；将得到的告警日志关联图进行聚类划分，得到简单告警子图和复杂告警子图；利用简单告警子图对复杂告警子图进行初步拆分，得到拆分后的复杂告警子图；利用简单告警子图的定义对拆分后的复杂告警子图进行二次拆分，得到多个拆分后的简单告警子图；将得到的多个拆分后的简单告警子图进行合并；本发明能够将错误划分在同一个社群的多个业务告警进行有效拆分，同时将错误划分为多个社群的同一业务告警进行正确合并，最大限度地保证告警社群划分的业务完整性。

公开(公告)号：CN116796312A

公开(公告)日：2023-09-22

申请号：CN202310745296.9

申请日：2023-06-21

Applicant: 西安交通大学

Inventor： 刘杨 ,  刘慧翔 ,  任泽华 ,  姜宝翔 ,  阮高飞 ,  徐子森 ,  张世龙 ,  罗子安 ,  鲍远义 ,  杨欣雨 ,  刘烃 ,  王云

IPC: G06F21/55 ,  G06F18/26 ,  G06F18/2415 ,  H04L9/40

Abstract: 本发明提供一种基于时间序列周期性的告警重视度推荐方法及系统，包括以下步骤：步骤1，从多源异构的网络安全告警数据中提取生成多个告警时间序列；步骤2，统计每个告警时间序列对应的频度特征；步骤3，判断每个告警时间序列是否具有周期性；步骤4，根据步骤2和步骤3的结果，对每个告警时间序列中每个元素对应的告警进行分类和重视度推荐；步骤5，将当前告警时间序列的特征与对应的历史时间序列进行对比，判断告警的重视度；本发明利用误报警的时序周期性特征进行快速挖掘，从而高效批量识别工业互联网中周期性误报，有效降低需要处理的数据规模，提高告警的分析处理效率。