公开(公告)号：CN115514614B

公开(公告)日：2023-02-24

申请号：CN202211427195.9

申请日：2022-11-15

Applicant: 阿里云计算有限公司 ,  清华大学

Inventor： 杨家海 ,  贺鑫 ,  张世泽 ,  董恩焕 ,  王之梁 ,  卢建元 ,  吕彪 ,  祝顺民

IPC: H04L41/0604 ,  H04L41/069 ,  G06N20/00

Abstract: 本说明书实施例提供基于强化学习的云网络异常检测模型训练方法及存储介质，其中所述方法包括：将与待检测设备相关的历史时间序列数据，输入异常检测模型的第一检测网络进行处理，生成所述待检测设备在至少一个历史时刻对应的第一异常检测结果，确定所述第一异常检测结果对应的检测误差，并将所述检测误差以及所述待检测设备的至少一个历史报警信息，输入所述异常检测模型中第二检测网络的智能体进行处理，生成所述待检测设备在目标时刻的第二异常检测结果，根据所述第二异常检测结果及所述待检测设备在所述目标时刻的目标异常检测结果，确定所述第二检测网络的奖励信息，基于所述奖励信息对所述智能体的网络参数进行调整，生成目标异常检测模型。

公开(公告)号：CN115546496A

公开(公告)日：2022-12-30

申请号：CN202211028070.9

申请日：2022-08-25

Applicant: 清华大学 ,  国家电网有限公司信息通信分公司 ,  国网河南省电力公司信息通信公司

Inventor： 李城龙 ,  吴毅超 ,  胡威 ,  杨家海 ,  王之梁 ,  程杰 ,  夏昂 ,  卢腾 ,  魏家辉 ,  林冰洁 ,  党芳芳 ,  闫丽景

IPC: G06V10/40 ,  G06V10/764 ,  G06V10/82 ,  G06F16/35 ,  G06F40/216 ,  H04L67/02 ,  H04L67/12

Abstract: 本发明公开了一种主动探测场景下的物联网设备识别方法及装置，该方法包括：获取第一网络文本数据，其中，第一网络文本数据包括基于网络设备的网络文本数据；提取第一网络文本数据的网络图像特征输出第一图像特征向量，并提取第一网络文本数据的第一统计特征向量；将第一图像特征向量和第一统计特征向量进行融合拼接，得到网络设备特征向量；将网络设备特征向量输入预训练的神经网络分类模型得到概率向量，以利用概率向量识别物联网设备。本发明通过将HTML文本转化为图像，不仅保持了HTML文本的特征，还能利用先进的图像特征提取模型提取出更有效的特征，大幅提高了设备识别的准确度；并且利用图像特征规避了此类问题，扩大了设备识别的范围。

公开(公告)号：CN115314419A

公开(公告)日：2022-11-08

申请号：CN202210707411.9

申请日：2022-06-21

Applicant: 清华大学

Inventor： 祝顺民 ,  杨家海 ,  王之梁 ,  董恩焕

IPC: H04L43/0811 ,  H04L41/069

Abstract: 本发明公开了一种自适应连通性分析方法、系统、设备及存储介质，该方法包括：从预设数据库中提取网络实例的连通性数据，根据连通性数据得到分布式缓存的连通性分析结果；获取网络控制器日志中心的日志数据，根据日志数据得到变配事件数据；根据变配事件数据和连通性分析结果确定连通性分析结果的变化量，并根据变化量更新连通性分析结果；根据更新后的连通性分析结果生成云网络的自适应分析结果。大幅提升产品中连通性分析的性能，基于预计算且实时更新的连通性分析结果给出连通性结论，不需要实时的对端到端的连通性进行逐跳分析。可以支撑云网络租户级主动探测系统此类业务方，帮助其实现对云网络连通性变化的实时感知和自适应。

公开(公告)号：CN115225313A

公开(公告)日：2022-10-21

申请号：CN202210621700.7

申请日：2022-06-02

Applicant: 清华大学 ,  阿里云计算有限公司

Inventor： 董恩焕 ,  苏昆林 ,  杨家海 ,  祝顺民 ,  王之梁 ,  张世泽 ,  文荣 ,  任伟

IPC: H04L9/40 ,  H04L12/46

Abstract: 本发明公开了一种高可靠的云网络虚拟专用网络通信方法和装置，该方法包括：基于VPN客户端向第一VPN网关发送预设格式的IP包，并根据预设的配置信息进行VPN客户端和第一VPN网关的第一身份认证，建立VPN客户端与第一VPN网关之间的第一传输，当VPN客户端从第一VPN网关切换到第二VPN网关建立第二传输时，基于第一传输发送的认证请求包进行VPN客户端和第二VPN网关的第二身份认证；基于第一传输、第二传输，通过VPN客户端向传输关联的VPN网关发送探测请求包，以完成VPN客户端和传输关联的VPN网关之间的探测。本发明可以构建VPN客户端和VPN网关之间数据传输的隧道，构建传输隧道的IP包与互联网中广泛使用的TCP包结构相似，有助于VPN客户端和VPN网关之间数据传输可靠性的提升。

公开(公告)号：CN113037586B

公开(公告)日：2022-08-19

申请号：CN202110220363.6

申请日：2021-02-26

Applicant: 清华大学

Inventor： 杨家海 ,  段晨鑫 ,  王之梁 ,  张辉

IPC: H04L43/0876 ,  H04L43/06

Abstract: 本发明提出一种通用且鲁棒的智能家居设备事件指纹提取方法和装置，其中，方法包括：从具有事件标注的网络流量数据集中提取出作为预设的指纹信息的标准参考概率分布；根据预设的时间窗口和预设的步幅检测智能家居设备的流量，获取与每个时间窗口内对应的报文长度与方向的二元组；计算每个时间窗口对应的报文二元组的参考概率分布；若参考概率分布与预设的指纹信息的标准参考概率分布一致，则生成包含目标标准参考概率分布对应的指纹信息的触发事件的发生报告。由此，能够直接应用于配备了智能家居设备的网络的管理，根据提取出的指纹信息实时感知网络中各种智能家居设备的工作状态变化情况，并进行异常检测。

公开(公告)号：CN112633353B

公开(公告)日：2022-06-24

申请号：CN202011506245.3

申请日：2020-12-18

Applicant: 清华大学

Inventor： 杨家海 ,  段晨鑫 ,  王之梁

IPC: G06K9/62 ,  G16Y30/00

Abstract: 本发明属于计算机网络管理技术领域，尤其涉及一种基于包长概率分布与k近邻算法的物联网设备识别方法。本方法在充分挖掘不同物联网设备流量特征的基础上，以一定时间内通信设备产生的网络数据包的长度概率分布作为单一特征，并进一步设计了一种基于k近邻算法的分类器，利用k近邻算法对产生流量的源设备的类型，尤其是特定的物联网设备类型，进行分类和识别的系统。本方法能有效区分产生流量的源设备是否是物联网设备以及是哪种已知的具体设备类型。与已有的用于同类任务的方法相比，本发明不仅实现了更高的识别准确率，同时在运行效率、鲁棒性、可扩展性与对特殊场景的适应能力等性能指标上都取得了提升。

公开(公告)号：CN114499906A

公开(公告)日：2022-05-13

申请号：CN202011265430.8

申请日：2020-11-12

Applicant: 清华大学

Inventor： 杨家海 ,  方欣 ,  孙晓晴

IPC: H04L9/40 ,  H04L61/10 ,  H04L61/4511 ,  G06F16/33 ,  G06F16/35 ,  G06F16/36 ,  G06N20/00

Abstract: 本发明提供一种DGA域名检测方法及系统，包括：获取源IP地址在预设时间窗口内的域名查询序列；将所述域名查询序列输入至预先训练好的域名检测模型中，得到所述域名查询序列中每个域名的检测结果；其中，所述域名检测模型是基于自适应增量学习算法和端到端域名序列标注算法，对Transformer特征提取器进行训练所得到的。本发明通过基于域名文本分析和基于行为的两类检测方法，以域名序列而不是单个域名作为处理单元，引入自然语言处理领域的特征提取器Transformer，并将其改造成适合于DGA域名检测的动态的、可增量式训练的、端到端的检测器，实现了增量式的迭代模型，具有流程简单、周期短和易于部署的优点。

公开(公告)号：CN113810226B

公开(公告)日：2022-05-03

申请号：CN202111045786.5

申请日：2021-09-07

Applicant: 清华大学

Inventor： 王之梁 ,  刘智峰 ,  赵鋆峰 ,  尹霞 ,  张世泽 ,  施新刚 ,  杨家海

IPC: H04L41/147 ,  H04L43/0876 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请提出一种结合离散特征编码和聚类修正的广域网单点流量预测方法，包括：获取训练集、验证集和测试集，其中，所有数据集均包含流量时间序列和对应的小时信息、日期信息；使用K‑Means算法对训练集和验证集进行聚类得到聚类结果；对流量时间序列进行特征提取获得对应的流量时间序列关联特征；对小时信息、日期信息进行编码得到编码结果；将流量时间关联特征和编码结果进行拼接，拼接后的向量转换得到初步预测结果；根据聚类结果获取测试集包含的最后一个流量时间序列所属的聚类中心，将聚类中心与初步预测结果进行平均，得到最终预测结果。本申请利用广域网流量的周期性和潮汐性特征，提升了广域网单点流量预测的准确度。

公开(公告)号：CN113890841A

公开(公告)日：2022-01-04

申请号：CN202111087578.1

申请日：2021-09-16

Applicant: 清华大学

Inventor： 杨家海 ,  刘耀忠 ,  何林 ,  王之梁 ,  潘龙

IPC: H04L43/0852 ,  H04J3/06

Abstract: 本申请提出一种高效的大规模单向延迟测量方法和装置，其中，方法包括：利用NTP服务器对网络中所有待测节点进行粗粒度时间同步；使用开源工具对所有待测节点两两之间进行单向延迟测量，得到单向延迟测量结果；使用特定算法对单向延迟测量结果进行时钟同步误差消除，获得精准测量结果。本发明为大规模单向延迟测量提供了新的选择，并大大提高了大规模单向延迟测量的可部署性，能够推进学术界在网络性能领域的研究，也能够推动网络异常诊断、网络性能优化、网络攻击检测等研究领域的发展。

公开(公告)号：CN112437037B

公开(公告)日：2021-12-07

申请号：CN202010988472.8

申请日：2020-09-18

Applicant: 清华大学

Inventor： 王之梁 ,  杨家海 ,  程鑫 ,  张世泽 ,  李子木

IPC: H04L29/06

Abstract: 本申请公开了一种基于sketch的DDoS洪泛攻击检测方法及装置，其中，方法包括：在系统开始运行时，控制系统进入第一预设状态，并学习系统参数；当第一预设状态结束，控制系统进入第二预设状态，其中，在每一检测周期，生成相应的Sketch，以统计该检测周期的网络流量，Scur代表当前检测周期的Sketch，而Slast代表上一个处于第二预设状态下的Sketch，根据滑动操作和Hellinger距离计算Scur和Slast的差异度，同时生成动态阈值，以在差异度大于动态阈值时，则控制系统进入第三预设状态；当系统处于第三预设状态时，生成相应的异常Sketch。该方法可以在有限的空间消耗下快速有效地检测DDoS洪泛攻击，并且通过滑动操作以获取异常bucket，可以有效识别攻击者。