公开(公告)号：CN112182564A

公开(公告)日：2021-01-05

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN112182564B

公开(公告)日：2024-11-26

申请号：CN202010844667.5

申请日：2020-08-20

Applicant: 东北大学

Inventor： 姚羽 ,  单垚 ,  杨巍 ,  刘莹 ,  盛川 ,  李凤来

IPC: G06F21/55 ,  H04L9/40 ,  G06N3/0442 ,  G06N3/084

Abstract: 本发明属于网络安全技术领域，公开了一种基于时间序列预测的工控蜜罐交互系统。本发明是使用预测数据来进行预测，提高了数据的安全性。工控数据多是类周期性的，有一定规律，用预测数据预测，避免了再次输入真实数据，保证了蜜罐交互的实时性。本发明利用时间序列预测方法对工控场景中的真实设备状态变化情况进行长期预测，并结合蜜罐技术完成对工控设备的深度仿真，对攻击者做出符合工控场景的即时响应信息，提高蜜罐的欺骗性，引诱攻击者多次攻击的同时还可以收集攻击信息，有利于对攻击者进行画像，化被动为主动，更好的维护工控网络的安全。

公开(公告)号：CN118797262A

公开(公告)日：2024-10-18

申请号：CN202410773595.8

申请日：2024-06-17

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  汪柏乐 ,  杨巍 ,  吴云峰 ,  张尼

IPC: G06F18/20 ,  G06N3/0442 ,  G06N3/006 ,  G06N3/0985 ,  G06N3/045 ,  G06F18/15 ,  G06F123/02

Abstract: 本发明属于工控网络安全防御技术领域，公开一种基于NABC‑BiGRU和自注意力机制的时间序列预测方法。采集时间实例数据，通过权重添加层利用自注意力机制为数据添加权重；神经网络预测层使用双向GRU模型，采用改进的人工蜂群算法对双向GRU模型的超参数进行优化，添加权重后的数据经神经网络预测层进行预测。将所提出的方法应用于工控蜜网内设备间的通信仿真中，为各个设备预测生成仿真数据，能够有效提高工控蜜网的持续响应能力，并进一步提高对攻击者的诱捕能力。

公开(公告)号：CN118694574A

公开(公告)日：2024-09-24

申请号：CN202410745709.8

申请日：2024-06-11

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  方宇珊 ,  杨巍 ,  张尼 ,  吴云峰 ,  黄兵

IPC: H04L9/40 ,  G06N3/0442

Abstract: 本发明属于工控系统、网络安全机器学习技术领域，公开了一种基于注意力机制LSTM和多维度节点评估的工控跨域异常检测方法。采用具有注意力机制的LSTM网络进行重构和预测两个任务，既能强调时间序列的权重，捕捉工控数据中的周期性，又能通过多任务共同训练网络，以无监督的方式充分挖掘正常数据中包含的传感器/执行器的行为模式。并采用五种无监督多维度节点重要性评估方法评估不同传感器/执行器节点的重要性，根据节点的重构损失和节点重要性评分设定综合阈值，进行节点级的攻击检测，既能检测出样本是否被攻击，也可以判断该样本被攻击的节点位置以及攻击的起始时间。

公开(公告)号：CN117692204A

公开(公告)日：2024-03-12

申请号：CN202311696859.6

申请日：2023-12-12

Applicant: 东北大学

Inventor： 姚羽 ,  刘鹏杰 ,  刘福意 ,  单垚 ,  杨巍 ,  刘莹 ,  刘思宇

IPC: H04L9/40 ,  G06N3/098 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/0442 ,  G06F18/2415

Abstract: 本发明属于工控网络安全领域，提出一种用于工业控制系统入侵检测的隐蔽个性化联邦学习方法。在服务端和客户端之间增设隐蔽信道，用于服务端和客户端通信；所述服务端分发各客户端初始化的全局模型，各客户端根据所输入的数据进行训练，得到各个局部本地模型和本地个性化模型；各个局部本地模型传输至服务端，服务端根据各客户端参数的重要性，聚合获得更新后的全局模型；所述全局模型再次下发至客户端进行训练；所述服务端和客户端间通信达到设定次数后，最终更新的本地个性化模型用于各个工业控制系统的入侵检测。该方法增强相似客户端间的协作效果，降低通信压力和服务器压力，同时保证模型的准确度，为服务端和客户端建立隐蔽通信方式，降低攻击者对联邦设备的关注度。

公开(公告)号：CN117354207A

公开(公告)日：2024-01-05

申请号：CN202311243871.1

申请日：2023-09-26

Applicant: 东北大学 ,  中国电子信息产业集团有限公司第六研究所

Inventor： 姚羽 ,  杨道青 ,  张尼 ,  杨巍 ,  杨利成 ,  胡耀 ,  吴云峰 ,  林小李 ,  单垚 ,  冉子用 ,  韩庆敏 ,  王乾亦 ,  刘福意

IPC: H04L43/18 ,  G06N3/0464

Abstract: 本发明属于协议逆向工程技术领域，提出了一种未知工控协议逆向分析方法及装置。基于网络报文形成报文片段集合；报文和报文片段集合构成数据集，根据所述数据集构建异构报文图；异构报文图输入至构建报文图特征提取神经网络模型进行报文聚类并训练报文图特征提取神经网络模型；待聚类的数据集输入至训练完成的报文图特征提取神经网络模型，进行类簇划分，在同一报文类簇下采用Needleman‑Wunsch算法推断语法格式，并标注字段边界。本发明的方法降低报文聚类的时间复杂度；将特征提取与聚类进行联合优化；为模型提供更细粒度、更合理的分析单元。

公开(公告)号：CN113328992B

公开(公告)日：2023-03-24

申请号：CN202110437933.7

申请日：2021-04-23

Applicant: 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

Inventor： 李桐 ,  刘一涛 ,  刘刚 ,  单垚 ,  王刚 ,  周小明 ,  宋进良 ,  李凤来 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  杨巍 ,  刘莹 ,  陈得丰 ,  杨智斌 ,  耿洪碧 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC: H04L9/40

Abstract: 本发明属于工控网络安全技术领域，尤其涉及一种基于流量分析的动态蜜网系统，具体是一种使用Docker容器和基于流量分析蜜网动态调整方法的工控动态蜜网系统。本发明包括欺骗环境层、数据处理层及蜜网管理层三层结构。本发明能在蜜网交互深度较高时，以较少的迭代代价在各子网内提升蜜罐的活跃度；还能在低交互深度时，基于蜜罐状态的调整方法根据每个蜜罐的访问量进行排序，用具有最大活跃度和最小活跃度的蜜罐的年龄更新，每个蜜罐均反映了其所在区域的流量情况，能更快更全面的提高蜜网的诱骗能力。实现工控动态蜜网体系结构，提高蜜网的数据收集能力，捕获更多的恶意流量数据，为工业环境的网络安全分析提供数据支持。

公开(公告)号：CN114430344B

公开(公告)日：2022-09-30

申请号：CN202210079728.2

申请日：2022-01-24

Applicant: 东北大学

Inventor： 姚羽 ,  林小李 ,  魏鑫 ,  杨巍 ,  焦轩琦 ,  聂鑫宇 ,  刘莹 ,  盛川 ,  李凤来 ,  张晨 ,  周子业 ,  杨道青 ,  刘鹏杰

IPC: H04L9/40

Abstract: 本发明属于网络安全及机器学习技术领域，提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法，本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具；针对得到的攻击者的威胁情报特征和工控流量特征的数据特点，分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵，将原高维空间中的数据点映射到低维度空间；对得到的数据样本点进行聚类，得到工控攻击组织；该方法提高了攻击组织的识别精度，可扩展性强，可用于实时监控网络入侵者，主动及时防御攻击组织的分布式攻击。不需要指定聚类个数，且可以自适应计算带宽，可以更加准确、灵活地识别工控攻击组织。

公开(公告)号：CN114493246A

公开(公告)日：2022-05-13

申请号：CN202210080296.7

申请日：2022-01-24

Applicant: 东北大学 ,  国网辽宁省电力有限公司

Inventor： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  刘旭辉 ,  田元 ,  胡博 ,  赵桐 ,  刘莹 ,  单垚 ,  方宇珊 ,  李文轩 ,  刘超 ,  冉子用

IPC: G06Q10/06 ,  G06Q50/06

Abstract: 一种基于DW‑Degree度中心性的电力信息网络节点风险评估方法，包含以下步骤：选取影响电力信息网络节点安全的关键因素，表征节点的攻击状态；基于电力信息网络攻击日志，形成攻击状态数据；根据受害IP，生成具有风险的训练数据；通过节点风险评估方法计算节点的初始风险系数；基于攻击状态数据计算节点间的威胁系数，把电力信息网络抽象成有向加权网络；通过计算有向加网络中节点的重要性；融合节点的初始风险系数和重要指数，计算出节点的最终风险系数。本发明提出的电力信息网络节点风险评估方法具有更高的准确率，与电力信息网络的契合度更高。本发明综合考虑多个因素，计算节点的初始风险系数，使节点风险评估方法与电力信息网络的契合度更高。

公开(公告)号：CN112291239B

公开(公告)日：2021-09-07

申请号：CN202011178647.5

申请日：2020-10-29

Applicant: 东北大学

Inventor： 姚羽 ,  盛川 ,  苏文兴 ,  杨巍 ,  刘莹 ,  付强 ,  单垚 ,  赵桐 ,  方宇珊

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/55

Abstract: 本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。