公开(公告)号：CN116684144A

公开(公告)日：2023-09-01

申请号：CN202310665605.1

申请日：2023-06-06

Applicant: 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

Inventor： 姚羽 ,  焦轩琦 ,  周小明 ,  张维 ,  杨巍 ,  于海 ,  周金磊 ,  赵桐 ,  吕军 ,  李文轩 ,  孟勐 ,  杨道青 ,  李冲 ,  李桉雨 ,  李雪莹 ,  刘莹 ,  马智学 ,  刘思宇 ,  宋为

IPC: H04L9/40 ,  H04L61/4511 ,  G06N3/048 ,  G06N3/0442 ,  G06N3/094

Abstract: 本发明属于网络安全领域，提出了一种恶意域名检测方法及装置。首先利用原始域名数据集对检测模型进行训练；通过基于序列对抗网络和用雅克比的显著性图的对抗样本生成算法生成DGA恶意域名数据集，将生成的DGA恶意域名数据集输入至分类模型进行交替训练，生成新的对抗样本；生成的对抗样本加入原始域名数据集对检测模型进行再训练。本发明所提出的方法相比于现有技术，检测模型的对抗样本检测能力更强、鲁棒性更好、精确率以及召回率均优于其它模型。增加对抗训练后，检测模型的检测能力也有所提高。

公开(公告)号：CN113328992B

公开(公告)日：2023-03-24

申请号：CN202110437933.7

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  单垚 ,  王刚 ,  周小明 ,  宋进良 ,  李凤来 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  杨巍 ,  刘莹 ,  陈得丰 ,  杨智斌 ,  耿洪碧 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: H04L9/40

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于流量分析的动态蜜网系统，具体是一种使用Docker容器和基于流量分析蜜网动态调整方法的工控动态蜜网系统。本发明包括欺骗环境层、数据处理层及蜜网管理层三层结构。本发明能在蜜网交互深度较高时，以较少的迭代代价在各子网内提升蜜罐的活跃度；还能在低交互深度时，基于蜜罐状态的调整方法根据每个蜜罐的访问量进行排序，用具有最大活跃度和最小活跃度的蜜罐的年龄更新，每个蜜罐均反映了其所在区域的流量情况，能更快更全面的提高蜜网的诱骗能力。实现工控动态蜜网体系结构，提高蜜网的数据收集能力，捕获更多的恶意流量数据，为工业环境的网络安全分析提供数据支持。

公开(公告)号：CN114430344B

公开(公告)日：2022-09-30

申请号：CN202210079728.2

申请日：2022-01-24

Applicant: 东北大学

Inventor： 姚羽 ,  林小李 ,  魏鑫 ,  杨巍 ,  焦轩琦 ,  聂鑫宇 ,  刘莹 ,  盛川 ,  李凤来 ,  张晨 ,  周子业 ,  杨道青 ,  刘鹏杰

IPC: H04L9/40

Abstract: 本发明属于网络安全及机器学习技术领域，提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法，本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具；针对得到的攻击者的威胁情报特征和工控流量特征的数据特点，分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵，将原高维空间中的数据点映射到低维度空间；对得到的数据样本点进行聚类，得到工控攻击组织；该方法提高了攻击组织的识别精度，可扩展性强，可用于实时监控网络入侵者，主动及时防御攻击组织的分布式攻击。不需要指定聚类个数，且可以自适应计算带宽，可以更加准确、灵活地识别工控攻击组织。

公开(公告)号：CN114493246A

公开(公告)日：2022-05-13

申请号：CN202210080296.7

申请日：2022-01-24

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  刘旭辉 ,  田元 ,  胡博 ,  赵桐 ,  刘莹 ,  单垚 ,  方宇珊 ,  李文轩 ,  刘超 ,  冉子用

IPC: G06Q10/06 ,  G06Q50/06

Abstract: 一种基于DW‑Degree度中心性的电力信息网络节点风险评估方法，包含以下步骤：选取影响电力信息网络节点安全的关键因素，表征节点的攻击状态；基于电力信息网络攻击日志，形成攻击状态数据；根据受害IP，生成具有风险的训练数据；通过节点风险评估方法计算节点的初始风险系数；基于攻击状态数据计算节点间的威胁系数，把电力信息网络抽象成有向加权网络；通过计算有向加网络中节点的重要性；融合节点的初始风险系数和重要指数，计算出节点的最终风险系数。本发明提出的电力信息网络节点风险评估方法具有更高的准确率，与电力信息网络的契合度更高。本发明综合考虑多个因素，计算节点的初始风险系数，使节点风险评估方法与电力信息网络的契合度更高。

公开(公告)号：CN112291239B

公开(公告)日：2021-09-07

申请号：CN202011178647.5

申请日：2020-10-29

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

公开(公告)号：CN111641634B

公开(公告)日：2021-06-15

申请号：CN202010467371.6

申请日：2020-05-28

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  刘莹 ,  杨巍 ,  安红娜 ,  陈腾

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

公开(公告)号：CN112215356A

公开(公告)日：2021-01-12

申请号：CN202010843510.0

申请日：2020-08-20

Applicant: 东北大学

Inventor： 林小李 ,  姚羽 ,  宋博学 ,  杨巍 ,  刘莹 ,  赵桐 ,  林和平

IPC: G06N3/12 ,  G06F7/58

Abstract: 一种基于位运算的优化进化编码方法，应用于多个技术领域。本发明包括适应度函数定义、设置算法参数、通过新的编码方法(产生初始种群)、计算个体适应度、判断是否满足优化准则；若不满足优化准则，则通过轮盘选择法随机选择参与交叉的个体；然后基于自定义的交叉算子，进行交叉操作；替换后的种群进入下一次进化，进化过程一直进行到搜索到全局最优解。本发明既确保最优解的计算精度，又提高了程序运行速度。算法利用位运算存储数据，使空间利用率达到了100％。通过随机选择、交叉—选择、变异—选择，多重随机选择加快搜索到最优解的速度。

公开(公告)号：CN107395427A

公开(公告)日：2017-11-24

申请号：CN201710668637.1

申请日：2017-08-08

Applicant: 东北大学

Inventor： 姚羽 ,  付强 ,  杨巍 ,  盛川 ,  高强 ,  黄子昱

IPC: H04L12/24 ,  H04L29/06 ,  G05B19/05

CPC classification number: H04L63/145 ,  G05B19/058 ,  H04L41/145 ,  H04L63/1433

Abstract: 本发明属于网络安全技术领域，提出了一种基于良性蠕虫对抗PLC恶意蠕虫的方法。本发明主要建立了复合型混合良性蠕虫的传播模型，能为主机打补丁，对抗感染主机并且拥有被动良性蠕虫的特点。主机在易感染状态、良性感染状态、感染状态、时延状态、隔离状态和恢复状态六种状态中切换。t时刻主机的总数为N，N＝S(t)+U(t)+I(t)+D(t)+Q(t)+R(t)，得到本发明的模型。该模型有一个唯一的正平衡点。利用复合型混合良性蠕虫，既能有效防御PLC系统，又能主动攻击恶性蠕虫，同时具有了给有漏洞的主机打补丁和清除被感染的主机上的恶意蠕虫两种功能。

公开(公告)号：CN119739984A

公开(公告)日：2025-04-01

申请号：CN202411804753.8

申请日：2024-12-10

Applicant: 东北大学

Inventor： 姚羽 ,  杨鹤晨 ,  杨巍 ,  李文轩 ,  冉子用 ,  杨利成

IPC: G06F18/20 ,  H04L9/40 ,  G06F18/214 ,  G06F18/2433 ,  G06N3/0455 ,  G06N3/0475 ,  G06N3/0464 ,  G06N3/094 ,  G06F123/02

Abstract: 本发明属于工控网络安全领域，公开了一种面向不完备SCADA场景多元传感器数据的攻击检测方法。基于神经受控微分方程的插补网络以修复不同缺失程度下的原始样本；窗口自适应机制解决在没有先验知识的情况下，预处理过程中样本窗口设置不合理的问题。提出了自适应掩码机制，旨在从输入侧指导检测模型，增强对时间与传感器节点之间依赖关系的理解，从机制定义角度为模型提供一定程度的可解释性。结合对抗训练，优化原生扩散在SCADA异常检测领域的应用缺陷。与其他填补方法相比，扩散步长得到极大压缩，显著提高训练和检测效率。充分考虑到实际生产中的应用需求，无需先验知识便能够支持异构SCADA场景下的多元传感器数据异常检测。

公开(公告)号：CN119720192A

公开(公告)日：2025-03-28

申请号：CN202411624845.8

申请日：2024-11-14

Applicant: 东北大学

Inventor： 姚羽 ,  冉子用 ,  张俊 ,  杨巍 ,  杨鹤晨 ,  李桉雨

IPC: G06F21/56 ,  G06N3/084 ,  G06N3/0464

Abstract: 本发明属于工业机器学习安全技术领域，公开了一种面向工业深度学习模型的后门攻击检测方法。构建故障模型，并对多个分类生成后门攻击触发器，训练受损模型，模拟工业场景中深度学习被攻击的情景。在训练得到受损模型后，通过遍历寻求模型的每一个分类标签中可能存在的最优触发器，通过逆向计算得到与样本匹配的可替代触发器，通过中值计算判断模型是否被攻击。本发明在满足后门检测精度的同时，拟合工业数据分布密集的特点。本方法与现有NC方法比较，得到的触发器更加精确。