公开(公告)号：CN116633604A

公开(公告)日：2023-08-22

申请号：CN202310539179.7

申请日：2023-05-12

申请人： 清华大学

发明人： 赵曦滨 ,  周泽龙 ,  张轩诚 ,  李霄翔 ,  吴都 ,  万海

IPC分类号： H04L9/40

摘要： 本申请涉及一种高级可持续性威胁攻击检测方法、装置及电子设备，应用于网络安全技术领域，所述方法包括：获取主机日志信息，确定主机日志信息在行为特征指标集合中对应的目标行为特征指标；根据行为特征指标和实体状态位图、实体状态位图中的比特位的映射关系，确定目标行为特征指标在目标行为特征指标对应的实体状态位图中对应的目标比特位；根据目标行为特征指标，对目标比特位的值进行设置，得到目标实体状态位图；在目标实体状态位图发生变化的情况下，将目标实体状态位图输入预先训练的检测分类器，得到目标实体状态位图对应的类别；如果该类别属于恶意攻击，根据该类别进行对应的预警处理。本申请可有效地防御APT攻击。

公开(公告)号：CN118568067A

公开(公告)日：2024-08-30

申请号：CN202410633861.7

申请日：2024-05-21

申请人： 清华大学

发明人： 万海 ,  李霄翔 ,  蒋欣雨 ,  孙逸伦 ,  赵曦滨

IPC分类号： G06F16/174 ,  G06F16/18 ,  G06F11/34 ,  G06N5/01

摘要： 本申请涉及一种溯源图压缩方法、装置、电子设备及存储介质，应用于网络安全技术领域，所述方法包括：采集应用程序在运行过程中的审计日志数据；根据审计日志数据构建待压缩溯源图；其中，待压缩溯源图中的节点表示审计日志数据中的实体，待压缩就溯源图中的有向边表示各个实体之间的关联关系；根据预先构建的模板库中的多个模板子图，从待压缩溯源图中匹配与模板子图同构的部分作为待压缩区域；其中，模板子图用于描述应用程序的正常行为模式；对待压缩区域进行有损压缩，得到压缩后的溯源图。本申请可以在保留关键信息的前提下有效压缩数据。