公开(公告)号：CN119397296A

公开(公告)日：2025-02-07

申请号：CN202510001564.5

申请日：2025-01-02

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  谢琦彬 ,  曾丽仪 ,  张欢 ,  胡玮琪 ,  贾焰

IPC: G06F18/22 ,  G06N7/01

Abstract: 本发明公开了一种威胁情报平台排序方法、系统及介质，该方法包括：利用真实恶意IP数据对威胁情报平台数据库进行一段时间的持续采集；对收集到的威胁情报进行基于威胁情报源的分析和基于威胁情报内容的分析，得到相应的评估分数；对时间窗口内威胁情报平台的情报判定结果时间序列进行相似性分析，得出各平台的引用情况；构建威胁情报平台的相关图并计算加权概率转移矩阵；将加权概率转移矩阵以及阻尼因子代入PR公式进行马尔可夫迭代，得到基于源和引用情况的排序分数；将基于源的排序分数与基于威胁情报内容的评估分数进行加权计算，得到最终评估排序结果。本发明能帮助安全从业人员选择高质量威胁情报来源，提升情报获取的能力和准确度。

公开(公告)号：CN118013046B

公开(公告)日：2024-07-16

申请号：CN202410389726.2

申请日：2024-04-02

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  高鹏飞 ,  贾焰 ,  张欢 ,  景晓 ,  刘浩 ,  王梦娇

IPC: G06F16/35 ,  G06F40/295 ,  G06N5/025 ,  G06N3/0442 ,  G06N3/0455 ,  G06F18/241

Abstract: 本发明提供了一种基于大语言模型的非结构化网络威胁情报抽取方法、系统及介质，该方法包括：利用爬虫技术从开源情报平台实时获取非结构化威胁情报数据；利用数据清洗技术剔除非结构化威胁情报数据中非主要文本内容，得到非结构化的文本情报数据，完成数据初步清洗；利用大语言模型结合Prompt设计实现对非结构化的文本情报数据进行二次处理以及知识提取；利用深度学习模型对经由大语言模型处理的结果进行二次知识抽取；结合两次知识抽取内容进一步删选，得到最终抽取结果。本发明提高了网络威胁情报的准确性和及时性，提高了对复杂多变的网络威胁的识别和分析能力，能够更好地适应特定领域的需求。

公开(公告)号：CN117932233B

公开(公告)日：2024-07-02

申请号：CN202410324849.8

申请日：2024-03-21

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  王梦娇 ,  王昊 ,  杜磊 ,  张明瑞 ,  段晨芸

IPC: G06F18/10 ,  G06F18/213 ,  G06F18/214 ,  G06F18/22 ,  G06F18/23

Abstract: 本发明提供了一种基于相似异常行为的用户行为模型微调方法、系统及介质，该方法包括：对每个用户的行为数据预处理及统计特征提取；按正常行为统计特征，对所有用户进行聚类；对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；对微调后的用户级行为模型进行测试。本发明能让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

公开(公告)号：CN117909912B

公开(公告)日：2024-07-02

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN117909912A

公开(公告)日：2024-04-19

申请号：CN202410312729.6

申请日：2024-03-19

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 顾钊铨 ,  曹钰 ,  陈翊璐 ,  贾焰 ,  廖清 ,  王昊 ,  杜磊 ,  张明瑞

IPC: G06F18/2433 ,  G06F18/213 ,  G06F18/243 ,  G06F18/214

Abstract: 本发明涉及计算机与人工智能技术领域，特别涉及一种两阶段异常用户行为分析的检测方法及系统。其方法包括步骤：S1.数据特征处理：在获取用户行为信息及用户身份信息后将数据进行特征处理；S2.建立基准模型：分析用户行为的时间分布情况，选取部分特征数据建立基准模型，利用基准模型进行粗粒度的用户行为检测，找出存在异常用户；S3.细粒度检测：对基准模型找出的存在异常用户进行细粒度的第二阶段检测。本发明在第一阶段的基准模型实现行为级异常的检测，并能按时间顺序依次检测每周用户的行为情况，在第二阶段进行细粒度的用户级异常的检测，找出异常行为与用户的对应关系，更准确、更高比例地找出异常行为和用户并减少误报。

公开(公告)号：CN115913791B

公开(公告)日：2023-06-13

申请号：CN202310213291.1

申请日：2023-03-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  闫昊 ,  杜磊 ,  张欢 ,  张志强

IPC: H04L9/40 ,  G06F16/31 ,  G06F16/33 ,  G06F16/36 ,  G06F16/901 ,  G06F16/903

Abstract: 本发明公开了一种基于增量式查询索引树的MDATA动态子图匹配方法、系统及存储介质，基于MDATA在网络安全领域对安全态势表示的时空特征优势，通过MDATA实体与关系的属性特征，将攻击行为刻画为子图匹配问题中的查询图，整个网络环境刻画为数据图，当新的网络进行变化的时候动态更新数据图并设计相应的辅助数据结构，应用动态子图匹配方法实时快速准确检测出网络中出现的攻击行为，保护网络安全。本发明设计的增量式查询索引树的MDATA子图匹配方法，可以事实检测出攻击行为并且减少误报和漏报的机率，降低时间复杂度的同时提升检测速度。

公开(公告)号：CN115473836B

公开(公告)日：2023-06-06

申请号：CN202210976811.X

申请日：2022-08-15

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  任思远 ,  逄博 ,  王晔 ,  廖清

IPC: H04L43/0876 ,  H04L43/04 ,  H04L47/10 ,  H04L47/125 ,  H04L47/30

Abstract: 本发明公开了一种基于流图模型的网络流量测量方法和装置。该方法包括步骤：将每次从网卡或网络流量文件接收到的数据包流插入到一个高速缓冲队列中，并从所述数据包中提取数据包信息；根据流图模型和提取的所述数据包信息构建用于更新和存储网络流特征的布谷矩阵，所述流图模型的节点、边和边上的权重向量，分别对应I P地址、I P之间的网络流和网络流的统计特征向量；通过基础查询接口对所述布谷矩阵进行查询获取网络流特征数据。本发明降低了网络流量测量的时空开销和提高了网络流量测量的效率。

公开(公告)号：CN116069953B

公开(公告)日：2023-06-02

申请号：CN202310200711.2

申请日：2023-03-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  谢禹舜 ,  高翠芸 ,  廖清 ,  张欢 ,  闫昊 ,  杜磊

IPC: G06F16/36 ,  G06F16/35 ,  G06F16/387 ,  G06F40/279 ,  G06F40/30 ,  G06N5/022

Abstract: 公开了一种基于知识图谱叠加时空属性的MDATA知识表示方法，其将所有实体划分为主要实体和次要实体，将无实际含义的次要实体不参与表示计算，降低模型的计算开销；同时将时空属性融入关系和实体属性中，实现时空属性动态知识的有效表示；最后通过多级图架构隔离子图，实现子图间独立更新互不影响，满足动态知识的快速更新，也实现根据搜索目标选定不同层次的子图进行搜索，提高搜索速度，保证模型的可计算性和可实现性。

公开(公告)号：CN116069953A

公开(公告)日：2023-05-05

申请号：CN202310200711.2

申请日：2023-03-06

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  谢禹舜 ,  高翠芸 ,  廖清 ,  张欢 ,  闫昊 ,  杜磊

IPC: G06F16/36 ,  G06F16/35 ,  G06F16/387 ,  G06F40/279 ,  G06F40/30 ,  G06N5/022

Abstract: 公开了一种基于知识图谱叠加时空属性的MDATA知识表示方法，其将所有实体划分为主要实体和次要实体，将无实际含义的次要实体不参与表示计算，降低模型的计算开销；同时将时空属性融入关系和实体属性中，实现时空属性动态知识的有效表示；最后通过多级图架构隔离子图，实现子图间独立更新互不影响，满足动态知识的快速更新，也实现根据搜索目标选定不同层次的子图进行搜索，提高搜索速度，保证模型的可计算性和可实现性。

公开(公告)号：CN115913791A

公开(公告)日：2023-04-04

申请号：CN202310213291.1

申请日：2023-03-08

Applicant: 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院)

Inventor： 贾焰 ,  顾钊铨 ,  方滨兴 ,  闫昊 ,  杜磊 ,  张欢 ,  张志强

IPC: H04L9/40 ,  G06F16/31 ,  G06F16/33 ,  G06F16/36 ,  G06F16/901 ,  G06F16/903

Abstract: 本发明公开了一种基于增量式查询索引树的MDATA动态子图匹配方法、系统及存储介质，基于MDATA在网络安全领域对安全态势表示的时空特征优势，通过MDATA实体与关系的属性特征，将攻击行为刻画为子图匹配问题中的查询图，整个网络环境刻画为数据图，当新的网络进行变化的时候动态更新数据图并设计相应的辅助数据结构，应用动态子图匹配方法实时快速准确检测出网络中出现的攻击行为，保护网络安全。本发明设计的增量式查询索引树的MDATA子图匹配方法，可以事实检测出攻击行为并且减少误报和漏报的机率，降低时间复杂度的同时提升检测速度。