公开(公告)号：CN118842615A

公开(公告)日：2024-10-25

申请号：CN202410805500.6

申请日：2024-06-21

Applicant: 东北大学

Inventor： 姚羽 ,  李小龙 ,  刘福意 ,  杨巍

IPC: H04L9/40

Abstract: 本发明属于网络安全技术领域，公开了一种基于博弈论与贝叶斯攻击图的工控网络风险评估方法。本发明首先改进通用的漏洞评分系统；结合改进的漏洞评分系统、贝叶斯网络和攻击图技术，并在资产价值量化阶段考虑节点安全属性价值和结构价值的重要性，提出一种改进的贝叶斯攻击图动态风险评估方法。提出了基于博弈论与贝叶斯攻击图的工控网络安全风险评估方法。而针对已有相关研究中存在的效用函数量化主观性过强和考虑不够全面的问题，本发明利用改进的工控网络漏洞评估方法量化攻防矩阵，减少人为主观性。并通过求解混合策略纳什均衡得到漏洞被利用的概率，再将其带入改进的贝叶斯攻击图工控网络风险方法中进行动态推理，得到网络安全风险。

公开(公告)号：CN118798209A

公开(公告)日：2024-10-18

申请号：CN202410773795.3

申请日：2024-06-17

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  胡耀 ,  李桉雨 ,  张尼 ,  杨巍 ,  杨道青

IPC: G06F40/30 ,  G06N3/0464 ,  G06F18/2415

Abstract: 本发明属于工业互联网领域，公开了一种基于模式序列的未知工控协议语义推断方法。生成数据报文数量符合数量区间要求的流，进行字段提取，对提取的目标字段的值按照数据报文的时间顺序进行排序，组成字段模式序列；搭建分类模型，字段模式序列输入至分类模型进行字段语义类型识别；根据分类模型的分类结果，调整字段边界的划分；通过判断得出最优字段模式序列。在三类标准工业控制协议及其混合协议上评估了本发明的方法，实验结果表明，本发明极大地提高了字段语义分析的准确率。

公开(公告)号：CN115580472B

公开(公告)日：2024-04-19

申请号：CN202211240203.9

申请日：2022-10-11

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 盛川 ,  姚羽 ,  胡博 ,  申益嘉 ,  杨巍 ,  周小明 ,  刘莹 ,  杨道青 ,  李文轩 ,  林小李 ,  单垚 ,  周金磊

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2321

Abstract: 本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。

公开(公告)号：CN113282759B

公开(公告)日：2024-02-20

申请号：CN202110439459.1

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  王刚 ,  赵桐 ,  周小明 ,  宋进良 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  陈得丰 ,  刘莹 ,  杨智斌 ,  耿洪碧 ,  杨巍 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: G06F16/36 ,  G06F16/28

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于威胁情报的网络安全知识图谱生成方法。包括：高效率分布式威胁情报数据收集；通过分布式威胁情报爬取系统进行网络安全威胁情报数据集制作；将网络安全威胁情报数据质量进行提升；对制作的网络安全威胁情报数据集进行网络安全实体识别；对网络安全实体关系抽取；数据组织。本发明通过大量实验，验证了本方法中所提威胁情报数据质量提升算法、网络安全威胁情报，情报文本中实体识别与实体关系抽取及生成的知识图谱的质量均得到了显著的提高，并且具有良好的本地网络弱点可视化能力与攻击预判分析能力。

公开(公告)号：CN117478412A

公开(公告)日：2024-01-30

申请号：CN202311521253.9

申请日：2023-11-15

Applicant: 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

Inventor： 姚羽 ,  单垚 ,  胡博 ,  杨巍 ,  聂鑫宇 ,  周小明 ,  宋为 ,  刘莹 ,  唱友义 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  李广翱 ,  张文杰

IPC: H04L9/40 ,  H04L67/12 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045

Abstract: 本发明属于网络安全技术领域，提出一种工业物联网联邦入侵检测方法、装置及介质。针对工业物联网各边缘节点数据存在异质性的特点，提出该方法，在联邦学习中通过聚类的方式为具有相似数据分布的边缘节点共同训练一个有效的入侵检测模型。通过对边缘节点性能指标时间序列的聚类映射出各个边缘节点数据分布之间的关系，并促进具有相似数据分布边缘节点的知识共享，有效的解决了非独立同分布数据情况下联邦学习模型的建立问题。在每轮通讯中，通过肘关节曲线来自动确定边缘节点的最佳划分方式，能够保证模型的快速收敛。采用多个通信轮次的性能指标进行聚类，降低了边缘节点被错误划分的几率，提升了模型的准确率。

公开(公告)号：CN116566697A

公开(公告)日：2023-08-08

申请号：CN202310575950.6

申请日：2023-05-22

Applicant: 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

Inventor： 姚羽 ,  冉子用 ,  胡博 ,  杨巍 ,  单垚 ,  杨道青 ,  周小明 ,  焦轩琦 ,  李文轩 ,  张文杰 ,  刘莹 ,  刘思宇

IPC: H04L9/40 ,  H04L41/16 ,  H04L41/149 ,  G06N3/0442 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，提出一种对抗样本生成方法、装置及计算机可读存储介质。根据工业时序数据获得搭建时序异常检测模型训练数据；使用训练数据和真实训练预测值作为输入时序数据对时序异常检测模型进行训练；通过训练后的时序异常检测模型，根据测试数据计算模型训练预测值，并计算与真实测试预测值之间的异常分数，根据异常分数的数据分布，通过高斯分布异常检测算法确定概率阈值；基于时序异常检测模型对测试数据进行变量化扰动计算，将扰动添加至测试数据上，生成相应的时序对抗样本。该方法使用扰动变量化的攻击方法对模型进行攻击，生成相应的时序对抗样本，在保证攻击性的前提下，使扰动幅度小、时序数据平滑。

公开(公告)号：CN116318936A

公开(公告)日：2023-06-23

申请号：CN202310212754.2

申请日：2023-03-07

Applicant: 东北大学

Inventor： 姚羽 ,  申益嘉 ,  闫泓玮 ,  韩玮石 ,  杨巍 ,  方宇珊 ,  刘莹 ,  刘思宇 ,  单垚 ,  赵桐 ,  林小李 ,  李文轩 ,  冉子用 ,  杨道青

IPC: H04L9/40 ,  H04L41/16 ,  G06F18/214 ,  G06N5/01 ,  H04L67/12

Abstract: 本发明属于网络安全领域，提出了一种基于改进决策树的联网工业控制资产识别方法。该方法使用联网工控资产探测模型进行数据探测，形成工控设备流量数据集；提出指纹特征组合，其与工控设备流量数据集结合预处理形成数据集；根据数据标签将数据集分为联网工控设备操作系统资产数据集和联网工控设备型号资产数据集；计算特征权重；构建基于特征权重修正的决策树模型，根据构建的决策树模型建立基于Adaboost的决策树方法，提升精度降低耦合性。本发明提升了识别方法的准确率和泛化能力，无论是针对操作系统还是设备型号，都具有更高的准确率、精确度和更好的覆盖率。

公开(公告)号：CN115580472A

公开(公告)日：2023-01-06

申请号：CN202211240203.9

申请日：2022-10-11

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 盛川 ,  姚羽 ,  胡博 ,  申益嘉 ,  杨巍 ,  周小明 ,  刘莹 ,  杨道青 ,  李文轩 ,  林小李 ,  单垚 ,  周金磊

IPC: H04L9/40 ,  G06F18/241 ,  G06F18/2321

Abstract: 本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。

公开(公告)号：CN115551075A

公开(公告)日：2022-12-30

申请号：CN202210964855.0

申请日：2022-08-12

Applicant: 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

Inventor： 姚羽 ,  金玉多 ,  周小明 ,  杨巍 ,  刘莹 ,  胡博 ,  李钊 ,  许超 ,  李广翱 ,  李广野 ,  滕子贻 ,  张文杰 ,  杨壮观 ,  胡畔

IPC: H04W64/00 ,  H04W4/02 ,  H04W4/029 ,  H04W4/33 ,  H04W4/021 ,  H04W12/63

Abstract: 本发明属于工业场景下的室内无线定位领域，提出了一种面向工业企业无线网安全与威胁的室内AP定位方法。该方法首先通过搭建室内无线仿真环境并部署待定位AP节点和测量点以采集接收RSS信号强度；然后通过部署两个辅助的AP节点和测量点对对数距离路径损耗模型参数进行估计，将估计后的对数距离路径损耗模型参数用于信号与节点间距的转换；然后进入AP定位，待定位AP节点较小边界范围锁定阶段和AP节点位置预测阶段。本发明提升了数据质量和室内AP定位准确率；当实验环境在面积较大的工厂车间环境时，该发明通过初步锁定定位区域将极大提升数据质量，减轻后期数据采集成本，提高定位精度。

公开(公告)号：CN114430344A

公开(公告)日：2022-05-03

申请号：CN202210079728.2

申请日：2022-01-24

Applicant: 东北大学

Inventor： 姚羽 ,  林小李 ,  魏鑫 ,  杨巍 ,  焦轩琦 ,  聂鑫宇 ,  刘莹 ,  盛川 ,  李凤来 ,  张晨 ,  周子业 ,  杨道青 ,  刘鹏杰

IPC: H04L9/40

Abstract: 本发明属于网络安全及机器学习技术领域，提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法，本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具；针对得到的攻击者的威胁情报特征和工控流量特征的数据特点，分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵，将原高维空间中的数据点映射到低维度空间；对得到的数据样本点进行聚类，得到工控攻击组织；该方法提高了攻击组织的识别精度，可扩展性强，可用于实时监控网络入侵者，主动及时防御攻击组织的分布式攻击。不需要指定聚类个数，且可以自适应计算带宽，可以更加准确、灵活地识别工控攻击组织。