公开(公告)号：CN112565186B

公开(公告)日：2022-03-08

申请号：CN202011204956.5

申请日：2020-11-02

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  安红娜 ,  李东彪 ,  苏文兴 ,  杨巍 ,  刘莹 ,  黄仓健 ,  林小李 ,  韩玮石 ,  李文轩

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，基于缓冲池的分布式工业控制蜜网流量采集系统及方法。在所述的系统中包含：输入缓冲池、转换缓冲池、输出缓冲池、输入组件、解析组件、转换组件和输出组件。该系统为不同的应用场景和目的提供不同的运行模式，不仅可以收集和保存网络流量，还可以将其解析为可读数据，并将其转换为所需的格式。不仅可以以不同的输入输出模式组合运行，还可以将捕获的网络流量解析和转换为各种格式，满足网络管理员和安全防御方法的要求。

公开(公告)号：CN113328992A

公开(公告)日：2021-08-31

申请号：CN202110437933.7

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  单垚 ,  王刚 ,  周小明 ,  宋进良 ,  李凤来 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  杨巍 ,  刘莹 ,  陈得丰 ,  杨智斌 ,  耿洪碧 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: H04L29/06

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于流量分析的动态蜜网系统，具体是一种使用Docker容器和基于流量分析蜜网动态调整方法的工控动态蜜网系统。本发明包括欺骗环境层、数据处理层及蜜网管理层三层结构。本发明能在蜜网交互深度较高时，以较少的迭代代价在各子网内提升蜜罐的活跃度；还能在低交互深度时，基于蜜罐状态的调整方法根据每个蜜罐的访问量进行排序，用具有最大活跃度和最小活跃度的蜜罐的年龄更新，每个蜜罐均反映了其所在区域的流量情况，能更快更全面的提高蜜网的诱骗能力。实现工控动态蜜网体系结构，提高蜜网的数据收集能力，捕获更多的恶意流量数据，为工业环境的网络安全分析提供数据支持。

公开(公告)号：CN112291239A

公开(公告)日：2021-01-29

申请号：CN202011178647.5

申请日：2020-10-29

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

公开(公告)号：CN112182564A

公开(公告)日：2021-01-05

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN109067778A

公开(公告)日：2018-12-21

申请号：CN201811083267.6

申请日：2018-09-18

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  刘昕蕊 ,  李东彪 ,  李桢梓 ,  王禹博 ,  金白澈

IPC: H04L29/06 ,  G06N3/00

Abstract: 本发明提出一种基于蜜网数据的工控扫描器指纹识别方法，包括：对工业控制网络中通过蜜罐网络系统捕获的扫描数据和已有的工控扫描器进行分析，获得指纹信息并构建基于CART决策树的扫描数据多分类分类器模型。多分类分类器模型能够有效识别发起扫描流量的特定扫描工具，并输出各类扫描器标签的判断概率。之后，多分类分类器模型的输出结果将作为聚类算法的输入数据，聚类算法可以发现不同扫描实体间更深层次的关联关系，形成聚簇。同时，聚类算法还可以有效提取不同聚簇的扫描特征，形成新的扫描器标签，并更新到之前的多分类决策树中，提高了本发明对于新型扫描器数据的判断能力。

公开(公告)号：CN112182564B

公开(公告)日：2024-11-26

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L9/40 ,  G06N3/0442 ,  G06N3/084

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN118797262A

公开(公告)日：2024-10-18

申请号：CN202410773595.8

申请日：2024-06-17

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  汪柏乐 ,  杨巍 ,  吴云峰 ,  张尼

IPC: G06F18/20 ,  G06N3/0442 ,  G06N3/006 ,  G06N3/0985 ,  G06N3/045 ,  G06F18/15 ,  G06F123/02

Abstract: 本发明属于工控网络安全防御技术领域，公开一种基于NABC‑BiGRU和自注意力机制的时间序列预测方法。采集时间实例数据，通过权重添加层利用自注意力机制为数据添加权重；神经网络预测层使用双向GRU模型，采用改进的人工蜂群算法对双向GRU模型的超参数进行优化，添加权重后的数据经神经网络预测层进行预测。将所提出的方法应用于工控蜜网内设备间的通信仿真中，为各个设备预测生成仿真数据，能够有效提高工控蜜网的持续响应能力，并进一步提高对攻击者的诱捕能力。

公开(公告)号：CN118694574A

公开(公告)日：2024-09-24

申请号：CN202410745709.8

申请日：2024-06-11

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  方宇珊 ,  杨巍 ,  张尼 ,  吴云峰 ,  黄兵

IPC: H04L9/40 ,  G06N3/0442

Abstract: 本发明属于工控系统、网络安全机器学习技术领域，公开了一种基于注意力机制LSTM和多维度节点评估的工控跨域异常检测方法。采用具有注意力机制的LSTM网络进行重构和预测两个任务，既能强调时间序列的权重，捕捉工控数据中的周期性，又能通过多任务共同训练网络，以无监督的方式充分挖掘正常数据中包含的传感器/执行器的行为模式。并采用五种无监督多维度节点重要性评估方法评估不同传感器/执行器节点的重要性，根据节点的重构损失和节点重要性评分设定综合阈值，进行节点级的攻击检测，既能检测出样本是否被攻击，也可以判断该样本被攻击的节点位置以及攻击的起始时间。

公开(公告)号：CN117692204A

公开(公告)日：2024-03-12

申请号：CN202311696859.6

申请日：2023-12-12

Applicant: 东北大学

Inventor： 姚羽 ,  刘鹏杰 ,  刘福意 ,  单垚 ,  杨巍 ,  刘莹 ,  刘思宇

IPC: H04L9/40 ,  G06N3/098 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/0442 ,  G06F18/2415

Abstract: 本发明属于工控网络安全领域，提出一种用于工业控制系统入侵检测的隐蔽个性化联邦学习方法。在服务端和客户端之间增设隐蔽信道，用于服务端和客户端通信；所述服务端分发各客户端初始化的全局模型，各客户端根据所输入的数据进行训练，得到各个局部本地模型和本地个性化模型；各个局部本地模型传输至服务端，服务端根据各客户端参数的重要性，聚合获得更新后的全局模型；所述全局模型再次下发至客户端进行训练；所述服务端和客户端间通信达到设定次数后，最终更新的本地个性化模型用于各个工业控制系统的入侵检测。该方法增强相似客户端间的协作效果，降低通信压力和服务器压力，同时保证模型的准确度，为服务端和客户端建立隐蔽通信方式，降低攻击者对联邦设备的关注度。

公开(公告)号：CN117354207A

公开(公告)日：2024-01-05

申请号：CN202311243871.1

申请日：2023-09-26

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  杨道青 ,  张尼 ,  杨巍 ,  杨利成 ,  胡耀 ,  吴云峰 ,  林小李 ,  单垚 ,  冉子用 ,  韩庆敏 ,  王乾亦 ,  刘福意

IPC: H04L43/18 ,  G06N3/0464

Abstract: 本发明属于协议逆向工程技术领域，提出了一种未知工控协议逆向分析方法及装置。基于网络报文形成报文片段集合；报文和报文片段集合构成数据集，根据所述数据集构建异构报文图；异构报文图输入至构建报文图特征提取神经网络模型进行报文聚类并训练报文图特征提取神经网络模型；待聚类的数据集输入至训练完成的报文图特征提取神经网络模型，进行类簇划分，在同一报文类簇下采用Needleman‑Wunsch算法推断语法格式，并标注字段边界。本发明的方法降低报文聚类的时间复杂度；将特征提取与聚类进行联合优化；为模型提供更细粒度、更合理的分析单元。