公开(公告)号：CN115580472A

公开(公告)日：2023-01-06

申请号：CN202211240203.9

申请日：2022-10-11

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 盛川 ,  姚羽 ,  胡博 ,  申益嘉 ,  杨巍 ,  周小明 ,  刘莹 ,  杨道青 ,  李文轩 ,  林小李 ,  单垚 ,  周金磊

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2321

Abstract: 本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。

公开(公告)号：CN114493246B

公开(公告)日：2024-11-26

申请号：CN202210080296.7

申请日：2022-01-24

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  刘旭辉 ,  田元 ,  胡博 ,  赵桐 ,  刘莹 ,  单垚 ,  方宇珊 ,  李文轩 ,  刘超 ,  冉子用

IPC: G06Q10/0635 ,  G06Q50/06 ,  G06Q10/0631

Abstract: 一种基于DW‑Degree度中心性的电力信息网络节点风险评估方法，包含以下步骤：选取影响电力信息网络节点安全的关键因素，表征节点的攻击状态；基于电力信息网络攻击日志，形成攻击状态数据；根据受害IP，生成具有风险的训练数据；通过节点风险评估方法计算节点的初始风险系数；基于攻击状态数据计算节点间的威胁系数，把电力信息网络抽象成有向加权网络；通过计算有向加网络中节点的重要性；融合节点的初始风险系数和重要指数，计算出节点的最终风险系数。本发明提出的电力信息网络节点风险评估方法具有更高的准确率，与电力信息网络的契合度更高。本发明综合考虑多个因素，计算节点的初始风险系数，使节点风险评估方法与电力信息网络的契合度更高。

公开(公告)号：CN118348948A

公开(公告)日：2024-07-16

申请号：CN202410311721.8

申请日：2024-03-19

Applicant: 东北大学

Inventor： 姚羽 ,  罗天昱 ,  聂鑫宇 ,  赵桐 ,  杨巍 ,  单垚 ,  李桉雨 ,  刘莹

IPC: G05B23/02

Abstract: 本发明属于网络安全技术领域，公开了一种基于多元时间序列预测的工业控制网络异常检测方法。利用格兰杰因果检验方法得到多元时间序列各时间序列之间的统计因果关系，生成有向图；通过季节分解算法对每个时间序列进行分解，得到趋势分量，周期分量和残差分量，将多元时间序列分解成3倍的时间序列；图卷积算法对各传感器的时间序列进行图嵌入，得到图嵌入后的向量；将图嵌入向量输入到Transformer编码器与解码器，生成预测值；利用MSE损失函数对模型进行优化，最终得到基于多元时间序列预测的工业控制网络异常检测模型。本发明所提算法相比于现有算法，检测的精确率，召回率和F1值均有提升，并能发现异常的原因，定位到异常元件。

公开(公告)号：CN115580445A

公开(公告)日：2023-01-06

申请号：CN202211159011.5

申请日：2022-09-22

Applicant: 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

Inventor： 单垚 ,  姚羽 ,  胡博 ,  杨巍 ,  罗天昱 ,  聂鑫宇 ,  周小明 ,  许超 ,  刘莹 ,  张文杰 ,  盛川 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  宋为

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。

公开(公告)号：CN113328992A

公开(公告)日：2021-08-31

申请号：CN202110437933.7

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  单垚 ,  王刚 ,  周小明 ,  宋进良 ,  李凤来 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  杨巍 ,  刘莹 ,  陈得丰 ,  杨智斌 ,  耿洪碧 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: H04L29/06

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于流量分析的动态蜜网系统，具体是一种使用Docker容器和基于流量分析蜜网动态调整方法的工控动态蜜网系统。本发明包括欺骗环境层、数据处理层及蜜网管理层三层结构。本发明能在蜜网交互深度较高时，以较少的迭代代价在各子网内提升蜜罐的活跃度；还能在低交互深度时，基于蜜罐状态的调整方法根据每个蜜罐的访问量进行排序，用具有最大活跃度和最小活跃度的蜜罐的年龄更新，每个蜜罐均反映了其所在区域的流量情况，能更快更全面的提高蜜网的诱骗能力。实现工控动态蜜网体系结构，提高蜜网的数据收集能力，捕获更多的恶意流量数据，为工业环境的网络安全分析提供数据支持。

公开(公告)号：CN112291239A

公开(公告)日：2021-01-29

申请号：CN202011178647.5

申请日：2020-10-29

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

公开(公告)号：CN112182564A

公开(公告)日：2021-01-05

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN112182564B

公开(公告)日：2024-11-26

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L9/40 ,  G06N3/0442 ,  G06N3/084

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN117692204A

公开(公告)日：2024-03-12

申请号：CN202311696859.6

申请日：2023-12-12

Applicant: 东北大学

Inventor： 姚羽 ,  刘鹏杰 ,  刘福意 ,  单垚 ,  杨巍 ,  刘莹 ,  刘思宇

IPC: H04L9/40 ,  G06N3/098 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/0442 ,  G06F18/2415

Abstract: 本发明属于工控网络安全领域，提出一种用于工业控制系统入侵检测的隐蔽个性化联邦学习方法。在服务端和客户端之间增设隐蔽信道，用于服务端和客户端通信；所述服务端分发各客户端初始化的全局模型，各客户端根据所输入的数据进行训练，得到各个局部本地模型和本地个性化模型；各个局部本地模型传输至服务端，服务端根据各客户端参数的重要性，聚合获得更新后的全局模型；所述全局模型再次下发至客户端进行训练；所述服务端和客户端间通信达到设定次数后，最终更新的本地个性化模型用于各个工业控制系统的入侵检测。该方法增强相似客户端间的协作效果，降低通信压力和服务器压力，同时保证模型的准确度，为服务端和客户端建立隐蔽通信方式，降低攻击者对联邦设备的关注度。

公开(公告)号：CN117354207A

公开(公告)日：2024-01-05

申请号：CN202311243871.1

申请日：2023-09-26

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  杨道青 ,  张尼 ,  杨巍 ,  杨利成 ,  胡耀 ,  吴云峰 ,  林小李 ,  单垚 ,  冉子用 ,  韩庆敏 ,  王乾亦 ,  刘福意

IPC: H04L43/18 ,  G06N3/0464

Abstract: 本发明属于协议逆向工程技术领域，提出了一种未知工控协议逆向分析方法及装置。基于网络报文形成报文片段集合；报文和报文片段集合构成数据集，根据所述数据集构建异构报文图；异构报文图输入至构建报文图特征提取神经网络模型进行报文聚类并训练报文图特征提取神经网络模型；待聚类的数据集输入至训练完成的报文图特征提取神经网络模型，进行类簇划分，在同一报文类簇下采用Needleman‑Wunsch算法推断语法格式，并标注字段边界。本发明的方法降低报文聚类的时间复杂度；将特征提取与聚类进行联合优化；为模型提供更细粒度、更合理的分析单元。