公开(公告)号：CN112291239B

公开(公告)日：2021-09-07

申请号：CN202011178647.5

申请日：2020-10-29

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

公开(公告)号：CN111641634B

公开(公告)日：2021-06-15

申请号：CN202010467371.6

申请日：2020-05-28

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  刘莹 ,  杨巍 ,  安红娜 ,  陈腾

IPC: H04L29/06 ,  G06K9/62

Abstract: 本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

公开(公告)号：CN112215356A

公开(公告)日：2021-01-12

申请号：CN202010843510.0

申请日：2020-08-20

Applicant: 东北大学

Inventor： 林小李 ,  姚羽 ,  宋博学 ,  杨巍 ,  刘莹 ,  赵桐 ,  林和平

IPC: G06N3/12 ,  G06F7/58

Abstract: 一种基于位运算的优化进化编码方法，应用于多个技术领域。本发明包括适应度函数定义、设置算法参数、通过新的编码方法(产生初始种群)、计算个体适应度、判断是否满足优化准则；若不满足优化准则，则通过轮盘选择法随机选择参与交叉的个体；然后基于自定义的交叉算子，进行交叉操作；替换后的种群进入下一次进化，进化过程一直进行到搜索到全局最优解。本发明既确保最优解的计算精度，又提高了程序运行速度。算法利用位运算存储数据，使空间利用率达到了100％。通过随机选择、交叉—选择、变异—选择，多重随机选择加快搜索到最优解的速度。

公开(公告)号：CN107395427A

公开(公告)日：2017-11-24

申请号：CN201710668637.1

申请日：2017-08-08

Applicant: 东北大学

Inventor： 姚羽 ,  付强 ,  杨巍 ,  盛川 ,  高强 ,  黄子昱

IPC: H04L12/24 ,  H04L29/06 ,  G05B19/05

CPC classification number: H04L63/145 ,  G05B19/058 ,  H04L41/145 ,  H04L63/1433

Abstract: 本发明属于网络安全技术领域，提出了一种基于良性蠕虫对抗PLC恶意蠕虫的方法。本发明主要建立了复合型混合良性蠕虫的传播模型，能为主机打补丁，对抗感染主机并且拥有被动良性蠕虫的特点。主机在易感染状态、良性感染状态、感染状态、时延状态、隔离状态和恢复状态六种状态中切换。t时刻主机的总数为N，N＝S(t)+U(t)+I(t)+D(t)+Q(t)+R(t)，得到本发明的模型。该模型有一个唯一的正平衡点。利用复合型混合良性蠕虫，既能有效防御PLC系统，又能主动攻击恶性蠕虫，同时具有了给有漏洞的主机打补丁和清除被感染的主机上的恶意蠕虫两种功能。

公开(公告)号：CN119739984A

公开(公告)日：2025-04-01

申请号：CN202411804753.8

申请日：2024-12-10

Applicant: 东北大学

Inventor： 姚羽 ,  杨鹤晨 ,  杨巍 ,  李文轩 ,  冉子用 ,  杨利成

IPC: G06F18/20 ,  H04L9/40 ,  G06F18/214 ,  G06F18/2433 ,  G06N3/0455 ,  G06N3/0475 ,  G06N3/0464 ,  G06N3/094 ,  G06F123/02

Abstract: 本发明属于工控网络安全领域，公开了一种面向不完备SCADA场景多元传感器数据的攻击检测方法。基于神经受控微分方程的插补网络以修复不同缺失程度下的原始样本；窗口自适应机制解决在没有先验知识的情况下，预处理过程中样本窗口设置不合理的问题。提出了自适应掩码机制，旨在从输入侧指导检测模型，增强对时间与传感器节点之间依赖关系的理解，从机制定义角度为模型提供一定程度的可解释性。结合对抗训练，优化原生扩散在SCADA异常检测领域的应用缺陷。与其他填补方法相比，扩散步长得到极大压缩，显著提高训练和检测效率。充分考虑到实际生产中的应用需求，无需先验知识便能够支持异构SCADA场景下的多元传感器数据异常检测。

公开(公告)号：CN119720192A

公开(公告)日：2025-03-28

申请号：CN202411624845.8

申请日：2024-11-14

Applicant: 东北大学

Inventor： 姚羽 ,  冉子用 ,  张俊 ,  杨巍 ,  杨鹤晨 ,  李桉雨

IPC: G06F21/56 ,  G06N3/084 ,  G06N3/0464

Abstract: 本发明属于工业机器学习安全技术领域，公开了一种面向工业深度学习模型的后门攻击检测方法。构建故障模型，并对多个分类生成后门攻击触发器，训练受损模型，模拟工业场景中深度学习被攻击的情景。在训练得到受损模型后，通过遍历寻求模型的每一个分类标签中可能存在的最优触发器，通过逆向计算得到与样本匹配的可替代触发器，通过中值计算判断模型是否被攻击。本发明在满足后门检测精度的同时，拟合工业数据分布密集的特点。本方法与现有NC方法比较，得到的触发器更加精确。

公开(公告)号：CN118842615A

公开(公告)日：2024-10-25

申请号：CN202410805500.6

申请日：2024-06-21

Applicant: 东北大学

Inventor： 姚羽 ,  李小龙 ,  刘福意 ,  杨巍

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，公开了一种基于博弈论与贝叶斯攻击图的工控网络风险评估方法。本发明首先改进通用的漏洞评分系统；结合改进的漏洞评分系统、贝叶斯网络和攻击图技术，并在资产价值量化阶段考虑节点安全属性价值和结构价值的重要性，提出一种改进的贝叶斯攻击图动态风险评估方法。提出了基于博弈论与贝叶斯攻击图的工控网络安全风险评估方法。而针对已有相关研究中存在的效用函数量化主观性过强和考虑不够全面的问题，本发明利用改进的工控网络漏洞评估方法量化攻防矩阵，减少人为主观性。并通过求解混合策略纳什均衡得到漏洞被利用的概率，再将其带入改进的贝叶斯攻击图工控网络风险方法中进行动态推理，得到网络安全风险。

公开(公告)号：CN118798209A

公开(公告)日：2024-10-18

申请号：CN202410773795.3

申请日：2024-06-17

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  胡耀 ,  李桉雨 ,  张尼 ,  杨巍 ,  杨道青

IPC: G06F40/30 ,  G06N3/0464 ,  G06F18/2415

Abstract: 本发明属于工业互联网领域，公开了一种基于模式序列的未知工控协议语义推断方法。生成数据报文数量符合数量区间要求的流，进行字段提取，对提取的目标字段的值按照数据报文的时间顺序进行排序，组成字段模式序列；搭建分类模型，字段模式序列输入至分类模型进行字段语义类型识别；根据分类模型的分类结果，调整字段边界的划分；通过判断得出最优字段模式序列。在三类标准工业控制协议及其混合协议上评估了本发明的方法，实验结果表明，本发明极大地提高了字段语义分析的准确率。

公开(公告)号：CN115580472B

公开(公告)日：2024-04-19

申请号：CN202211240203.9

申请日：2022-10-11

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 盛川 ,  姚羽 ,  胡博 ,  申益嘉 ,  杨巍 ,  周小明 ,  刘莹 ,  杨道青 ,  李文轩 ,  林小李 ,  单垚 ,  周金磊

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2321

Abstract: 本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。

公开(公告)号：CN113282759B

公开(公告)日：2024-02-20

申请号：CN202110439459.1

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  王刚 ,  赵桐 ,  周小明 ,  宋进良 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  陈得丰 ,  刘莹 ,  杨智斌 ,  耿洪碧 ,  杨巍 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: G06F16/36 ,  G06F16/28

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于威胁情报的网络安全知识图谱生成方法。包括：高效率分布式威胁情报数据收集；通过分布式威胁情报爬取系统进行网络安全威胁情报数据集制作；将网络安全威胁情报数据质量进行提升；对制作的网络安全威胁情报数据集进行网络安全实体识别；对网络安全实体关系抽取；数据组织。本发明通过大量实验，验证了本方法中所提威胁情报数据质量提升算法、网络安全威胁情报，情报文本中实体识别与实体关系抽取及生成的知识图谱的质量均得到了显著的提高，并且具有良好的本地网络弱点可视化能力与攻击预判分析能力。