公开(公告)号：CN108429762B

公开(公告)日：2020-09-01

申请号：CN201810329274.3

申请日：2018-04-13

Applicant: 中国石油大学(华东)

Inventor： 李阳 ,  石乐义 ,  崔玉文 ,  马猛飞 ,  李剑蓝 ,  单宝颖 ,  郭宏彬 ,  吕献勇

IPC: H04L29/06

Abstract: 本发明提供了一种基于服务角色变换的动态蜜罐防御方法，该方法通过竞选机制使蜜罐服务器机群的变换控制伪随机化，生成多种服务角色数量与位置的随机变换信息，形成一种亦真亦假的动态蜜罐陷阱，迷惑攻击者。内部变换种类数量随主机数增加而呈现类似指数函数的趋势，该数量空间保证了攻击者无法获取具体的变换信息，服务器将通过加密的方式传输真实服务信息至合法客户端，从而使其建立与真实服务端口的有效连接，同时，利用sniffer监听端口访问流量，任何对蜜罐服务端口的访问都将被标记为非法访问，实现攻击流量迅速识别，保护防御方资源，达到主动防御的目的。

公开(公告)号：CN108429762A

公开(公告)日：2018-08-21

申请号：CN201810329274.3

申请日：2018-04-13

Applicant: 中国石油大学(华东)

Inventor： 李阳 ,  石乐义 ,  崔玉文 ,  马猛飞 ,  李剑蓝 ,  单宝颖 ,  郭宏彬 ,  吕献勇

IPC: H04L29/06

CPC classification number: H04L63/1491 ,  H04L63/1416

Abstract: 本发明提供了一种基于服务角色变换的动态蜜罐防御方法，该方法通过竞选机制使蜜罐服务器机群的变换控制伪随机化，生成多种服务角色数量与位置的随机变换信息，形成一种亦真亦假的动态蜜罐陷阱，迷惑攻击者。内部变换种类数量随主机数增加而呈现类似指数函数的趋势，该数量空间保证了攻击者无法获取具体的变换信息，服务器将通过加密的方式传输真实服务信息至合法客户端，从而使其建立与真实服务端口的有效连接，同时，利用sniffer监听端口访问流量，任何对蜜罐服务端口的访问都将被标记为非法访问，实现攻击流量迅速识别，保护防御方资源，达到主动防御的目的。

公开(公告)号：CN110166484A

公开(公告)日：2019-08-23

申请号：CN201910489223.1

申请日：2019-06-06

Applicant: 中国石油大学(华东)

Inventor： 朱红强 ,  石乐义 ,  刘佳 ,  刘祎豪 ,  马猛飞 ,  李晓雨 ,  刘娜 ,  崔雯迪

IPC: H04L29/06 ,  H04L29/08 ,  G06N3/04

Abstract: 本发明提供了一种基于LSTM-Attention的工业控制系统入侵检测方法，该方法采用LSTM神经网络与Attention机制相结合的网络结构，从整体时序性变化和聚焦关键信息点两个方面把握数据特征。针对工业控制系统入侵检测领域存在的效率较低和精度不高问题，本方法将监听捕获到的工业控制系统数据流解析相关属性形成原始数据集，进行相应的预处理并划分为训练集和测试集。接着利用LSTM神经网络对工控系统的训练集进行训练处理，从训练数据的时间前后变化入手提取相关数据特征，然后引入Attention机制，进一步在数据特征中聚焦关键信息点，最终通过激活函数为softmax的全连接层得出检测结果。采用本方法进行工业控制系统入侵检测，有效减少了计算量和检测时间，极大提高了检测效率和准确度。

公开(公告)号：CN111767538A

公开(公告)日：2020-10-13

申请号：CN202010630564.9

申请日：2020-07-03

Applicant: 中国石油大学(华东)

Inventor： 石乐义 ,  朱红强 ,  徐兴华 ,  赵东东 ,  王夕冉 ,  兰茹 ,  杜杉杉 ,  马猛飞

IPC: G06F21/55 ,  G06N20/00

Abstract: 本发明提供了一种基于相关信息熵的工控入侵检测系统特征选择方法，该方法采用相关信息熵的原理，从工控系统通信流量中数据特征与攻击类别之间的关联入手，把握其中的内在联系。针对工控入侵检测系统当中存在的噪声信息和冗余特征现象，以及由此导致的检测精度较低问题，本方法将工控系统数据流解析形成原始数据集，进行相应的标准化处理。接着利用相关信息熵原理对数据集的数据特征和攻击类别进行重要性排序，依据为数据特征之间、数据特征与攻击类别之间的相关性强弱。然后采用SVM方法实验统计前1个元素、前2个元素、前i个元素组成的特征子集对应的衡量值measure，直至所有元素。最终选择measure最大值对应的特征子集作为特征选择的结果。采用本方法进行工控入侵检测系统特征选择，有效缩减了计算规模和检测时间，大幅提高了检测效率和精确度。

公开(公告)号：CN107835168A

公开(公告)日：2018-03-23

申请号：CN201711054897.6

申请日：2017-11-01

Applicant: 中国石油大学(华东)

Inventor： 马猛飞 ,  魏东平 ,  石乐义 ,  朱红强 ,  刘佳 ,  李晓雨 ,  刘娜 ,  崔雯迪

IPC: H04L29/06

CPC classification number: H04L63/30 ,  H04L63/08

Abstract: 本发明提供了一种基于端信息扩展序列矩阵转置相乘的认证方法，该方法采用端信息扩展序列进行认证，端信息扩展序列是由多个端信息组成的特殊序列。针对扩展序列认证问题进行研究，对监听到的数据包进行解析，并将其进行组合成为端信息扩展序列。本方法中将端信息扩展序列的二进制表示形式转化为1×n的一维矩阵D＝(d1,d2...dn),dn∈(0,1)。利用一维矩阵与其转置矩阵相乘为单一数字的特性，即D×DT＝(d1,d2...dn)×(d1,d2...dn)T＝(d12+d22...+dn2)＝(d)，通过对数字d大小的以及在一定容错值τ的情况下判断本次端信息扩展序列认证的当前序列与目标序列是否一致。采用本方法将端信息扩展序列的认证转化为数字的对比，避免了每次接收到扩展认证数据包时循环认证整个扩展序列是否符合目标序列，极大的提高认证效率。

公开(公告)号：CN110113365A

公开(公告)日：2019-08-09

申请号：CN201910486226.X

申请日：2019-06-05

Applicant: 中国石油大学(华东)

Inventor： 石乐义 ,  马猛飞 ,  魏东平 ,  朱红强 ,  刘娜 ,  刘佳 ,  李晓雨 ,  崔雯迪

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供了一种用于Web服务的移动目标防御系统协同控制方法，该方法采用伪随机竞选机制使Web服务器集的状态变换控制动态伪随机化，避免单点故障的威胁。为了隐藏服务器真实的地址以及软件的脆弱性，增加攻击者的攻击成本，内部采用端址跳变以及软件多样化的方法，通过在地址池以及端口地址池内随机生成端址跳变图案，动态伪随机的改变目的地址以及端口号来防御窃听攻击和拒绝服务攻击，通过增加软件的多样化变换避免攻击者通过软件固有漏洞发动攻击。同时竞选出的服务器将通过非对称加密的方式将服务器集的具体状态信息发送给可信客户端，保证可信客户端能够合理的访问，提高系统的安全性，实现主动防御。