公开(公告)号：CN114493246A

公开(公告)日：2022-05-13

申请号：CN202210080296.7

申请日：2022-01-24

申请人： 东北大学 ,  国网辽宁省电力有限公司

发明人： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  刘旭辉 ,  田元 ,  胡博 ,  赵桐 ,  刘莹 ,  单垚 ,  方宇珊 ,  李文轩 ,  刘超 ,  冉子用

IPC分类号： G06Q10/06 ,  G06Q50/06

摘要： 一种基于DW‑Degree度中心性的电力信息网络节点风险评估方法，包含以下步骤：选取影响电力信息网络节点安全的关键因素，表征节点的攻击状态；基于电力信息网络攻击日志，形成攻击状态数据；根据受害IP，生成具有风险的训练数据；通过节点风险评估方法计算节点的初始风险系数；基于攻击状态数据计算节点间的威胁系数，把电力信息网络抽象成有向加权网络；通过计算有向加网络中节点的重要性；融合节点的初始风险系数和重要指数，计算出节点的最终风险系数。本发明提出的电力信息网络节点风险评估方法具有更高的准确率，与电力信息网络的契合度更高。本发明综合考虑多个因素，计算节点的初始风险系数，使节点风险评估方法与电力信息网络的契合度更高。

公开(公告)号：CN112291239B

公开(公告)日：2021-09-07

申请号：CN202011178647.5

申请日：2020-10-29

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC分类号： H04L29/06 ,  H04L12/24 ,  G06F21/55

摘要： 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

公开(公告)号：CN111641634B

公开(公告)日：2021-06-15

申请号：CN202010467371.6

申请日：2020-05-28

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  刘莹 ,  杨巍 ,  安红娜 ,  陈腾

IPC分类号： H04L29/06 ,  G06K9/62

摘要： 本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

公开(公告)号：CN112215356A

公开(公告)日：2021-01-12

申请号：CN202010843510.0

申请日：2020-08-20

申请人： 东北大学

发明人： 林小李 ,  姚羽 ,  宋博学 ,  杨巍 ,  刘莹 ,  赵桐 ,  林和平

IPC分类号： G06N3/12 ,  G06F7/58

摘要： 一种基于位运算的优化进化编码方法，应用于多个技术领域。本发明包括适应度函数定义、设置算法参数、通过新的编码方法(产生初始种群)、计算个体适应度、判断是否满足优化准则；若不满足优化准则，则通过轮盘选择法随机选择参与交叉的个体；然后基于自定义的交叉算子，进行交叉操作；替换后的种群进入下一次进化，进化过程一直进行到搜索到全局最优解。本发明既确保最优解的计算精度，又提高了程序运行速度。算法利用位运算存储数据，使空间利用率达到了100％。通过随机选择、交叉—选择、变异—选择，多重随机选择加快搜索到最优解的速度。

公开(公告)号：CN107395427A

公开(公告)日：2017-11-24

申请号：CN201710668637.1

申请日：2017-08-08

申请人： 东北大学

发明人： 姚羽 ,  付强 ,  杨巍 ,  盛川 ,  高强 ,  黄子昱

IPC分类号： H04L12/24 ,  H04L29/06 ,  G05B19/05

CPC分类号： H04L63/145 ,  G05B19/058 ,  H04L41/145 ,  H04L63/1433

摘要： 本发明属于网络安全技术领域，提出了一种基于良性蠕虫对抗PLC恶意蠕虫的方法。本发明主要建立了复合型混合良性蠕虫的传播模型，能为主机打补丁，对抗感染主机并且拥有被动良性蠕虫的特点。主机在易感染状态、良性感染状态、感染状态、时延状态、隔离状态和恢复状态六种状态中切换。t时刻主机的总数为N，N＝S(t)+U(t)+I(t)+D(t)+Q(t)+R(t)，得到本发明的模型。该模型有一个唯一的正平衡点。利用复合型混合良性蠕虫，既能有效防御PLC系统，又能主动攻击恶性蠕虫，同时具有了给有漏洞的主机打补丁和清除被感染的主机上的恶意蠕虫两种功能。

公开(公告)号：CN118842615A

公开(公告)日：2024-10-25

申请号：CN202410805500.6

申请日：2024-06-21

申请人： 东北大学

发明人： 姚羽 ,  李小龙 ,  刘福意 ,  杨巍

IPC分类号： H04L9/40

摘要： 本发明属于网络安全技术领域，公开了一种基于博弈论与贝叶斯攻击图的工控网络风险评估方法。本发明首先改进通用的漏洞评分系统；结合改进的漏洞评分系统、贝叶斯网络和攻击图技术，并在资产价值量化阶段考虑节点安全属性价值和结构价值的重要性，提出一种改进的贝叶斯攻击图动态风险评估方法。提出了基于博弈论与贝叶斯攻击图的工控网络安全风险评估方法。而针对已有相关研究中存在的效用函数量化主观性过强和考虑不够全面的问题，本发明利用改进的工控网络漏洞评估方法量化攻防矩阵，减少人为主观性。并通过求解混合策略纳什均衡得到漏洞被利用的概率，再将其带入改进的贝叶斯攻击图工控网络风险方法中进行动态推理，得到网络安全风险。

公开(公告)号：CN118798209A

公开(公告)日：2024-10-18

申请号：CN202410773795.3

申请日：2024-06-17

申请人： 东北大学 ,  中国电子信息产业集团有限公司第六研究所

发明人： 姚羽 ,  胡耀 ,  李桉雨 ,  张尼 ,  杨巍 ,  杨道青

IPC分类号： G06F40/30 ,  G06N3/0464 ,  G06F18/2415

摘要： 本发明属于工业互联网领域，公开了一种基于模式序列的未知工控协议语义推断方法。生成数据报文数量符合数量区间要求的流，进行字段提取，对提取的目标字段的值按照数据报文的时间顺序进行排序，组成字段模式序列；搭建分类模型，字段模式序列输入至分类模型进行字段语义类型识别；根据分类模型的分类结果，调整字段边界的划分；通过判断得出最优字段模式序列。在三类标准工业控制协议及其混合协议上评估了本发明的方法，实验结果表明，本发明极大地提高了字段语义分析的准确率。

公开(公告)号：CN115580472B

公开(公告)日：2024-04-19

申请号：CN202211240203.9

申请日：2022-10-11

申请人： 东北大学 ,  国网辽宁省电力有限公司

发明人： 盛川 ,  姚羽 ,  胡博 ,  申益嘉 ,  杨巍 ,  周小明 ,  刘莹 ,  杨道青 ,  李文轩 ,  林小李 ,  单垚 ,  周金磊

IPC分类号： H04L9/40 ,  G06F18/241 ,  G06F18/2321

摘要： 本发明属于网络安全领域，提出了一种基于启发式聚类算法的工业控制网络攻击流量分类方法。该方法通过对工控网络攻击流量提取特征并格式化处理，输入至深度自编码器后进行降维处理，获得低维流量特征表示，基于密度的启发式聚类算法从中获取基础攻击流量分类器，并基于基础攻击流量分类器，采用测试数据构造自增长攻击流量分类器，持续检测和分类未知的攻击流量。本发明的主要目的在于解决仅基于正常工控网络流量对未知攻击流量进行实时分类的难题。针对缺乏足够的训练攻击样本、缺乏工业控制网络流量分布相关知识以及攻击流量的种类是不确定的，且是逐渐出现的特点，本方法实现对攻击流量进行持续性的、实时的检测和分类。

公开(公告)号：CN113282759B

公开(公告)日：2024-02-20

申请号：CN202110439459.1

申请日：2021-04-23

申请人： 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

发明人： 李桐 ,  刘一涛 ,  刘刚 ,  王刚 ,  赵桐 ,  周小明 ,  宋进良 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  陈得丰 ,  刘莹 ,  杨智斌 ,  耿洪碧 ,  杨巍 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC分类号： G06F16/36 ,  G06F16/28

摘要： 本发明属于工控网络安全技术领域，尤其涉及一种基于威胁情报的网络安全知识图谱生成方法。包括：高效率分布式威胁情报数据收集；通过分布式威胁情报爬取系统进行网络安全威胁情报数据集制作；将网络安全威胁情报数据质量进行提升；对制作的网络安全威胁情报数据集进行网络安全实体识别；对网络安全实体关系抽取；数据组织。本发明通过大量实验，验证了本方法中所提威胁情报数据质量提升算法、网络安全威胁情报，情报文本中实体识别与实体关系抽取及生成的知识图谱的质量均得到了显著的提高，(56)对比文件曹玉琳 等.基于状态空间模型和概率矩阵分解的推荐算法《.计算机应用研究》.2019,第37卷(第11期),1001-3695.邵昊阳 等. 基于多域先验的乳腺超声图像协同分割《.自动化学报》.2015,第42卷(第4期),580-592.O. Yousif 等.Improving SAR-BasedUrban Change Detection by Combining MAP-MRF Classifier and Nonlocal MeansSimilarity Weights《.in IEEE Journal ofSelected Topics in Applied EarthObservations and Remote Sensing》.2014,第7卷(第10期),4288-4300.

公开(公告)号：CN117478412A

公开(公告)日：2024-01-30

申请号：CN202311521253.9

申请日：2023-11-15

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  单垚 ,  胡博 ,  杨巍 ,  聂鑫宇 ,  周小明 ,  宋为 ,  刘莹 ,  唱友义 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  李广翱 ,  张文杰

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045

摘要： 本发明属于网络安全技术领域，提出一种工业物联网联邦入侵检测方法、装置及介质。针对工业物联网各边缘节点数据存在异质性的特点，提出该方法，在联邦学习中通过聚类的方式为具有相似数据分布的边缘节点共同训练一个有效的入侵检测模型。通过对边缘节点性能指标时间序列的聚类映射出各个边缘节点数据分布之间的关系，并促进具有相似数据分布边缘节点的知识共享，有效的解决了非独立同分布数据情况下联邦学习模型的建立问题。在每轮通讯中，通过肘关节曲线来自动确定边缘节点的最佳划分方式，能够保证模型的快速收敛。采用多个通信轮次的性能指标进行聚类，降低了边缘节点被错误划分的几率，提升了模型的准确率。