公开(公告)号：CN118842615A

公开(公告)日：2024-10-25

申请号：CN202410805500.6

申请日：2024-06-21

申请人： 东北大学

发明人： 姚羽 ,  李小龙 ,  刘福意 ,  杨巍

IPC分类号： H04L9/40

摘要： 本发明属于网络安全技术领域，公开了一种基于博弈论与贝叶斯攻击图的工控网络风险评估方法。本发明首先改进通用的漏洞评分系统；结合改进的漏洞评分系统、贝叶斯网络和攻击图技术，并在资产价值量化阶段考虑节点安全属性价值和结构价值的重要性，提出一种改进的贝叶斯攻击图动态风险评估方法。提出了基于博弈论与贝叶斯攻击图的工控网络安全风险评估方法。而针对已有相关研究中存在的效用函数量化主观性过强和考虑不够全面的问题，本发明利用改进的工控网络漏洞评估方法量化攻防矩阵，减少人为主观性。并通过求解混合策略纳什均衡得到漏洞被利用的概率，再将其带入改进的贝叶斯攻击图工控网络风险方法中进行动态推理，得到网络安全风险。

公开(公告)号：CN117714181A

公开(公告)日：2024-03-15

申请号：CN202311756936.2

申请日：2023-12-19

申请人： 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  聂鑫宇 ,  焦轩琦 ,  胡博 ,  刘福意 ,  宋为 ,  何淼 ,  李小龙 ,  杨道青 ,  刘莹 ,  单垚 ,  方宇珊 ,  周金磊

IPC分类号： H04L9/40

摘要： 本发明属于工控安全检测领域，提出一种工控APT检测方法、装置及计算机可读存储介质。从工控系统中采集正常的轮询流量和控制命令流量；建立设备状态修正算法，用于校正轮询流量并处理成系统状态日志；进行极端值检测与处理，得到处理后的系统状态日志；通过自相关函数进行工控基线的长短周期检测，获得工控基线的长短周期；并构建一个基于周期性检测的工控基线模型；基于构建的工控基线模型，对包含攻击的设备日志和工控流量数据进行工控APT攻击检测；相比于传统的工控APT攻击检测方法，本发明提高了APT攻击检测的准确率，降低了APT攻击检测的误报率，可以帮助网络安全人员发现隐蔽的APT攻击。

公开(公告)号：CN117692204A

公开(公告)日：2024-03-12

申请号：CN202311696859.6

申请日：2023-12-12

申请人： 东北大学

发明人： 姚羽 ,  刘鹏杰 ,  刘福意 ,  单垚 ,  杨巍 ,  刘莹 ,  刘思宇

IPC分类号： H04L9/40 ,  G06N3/098 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/0442 ,  G06F18/2415

摘要： 本发明属于工控网络安全领域，提出一种用于工业控制系统入侵检测的隐蔽个性化联邦学习方法。在服务端和客户端之间增设隐蔽信道，用于服务端和客户端通信；所述服务端分发各客户端初始化的全局模型，各客户端根据所输入的数据进行训练，得到各个局部本地模型和本地个性化模型；各个局部本地模型传输至服务端，服务端根据各客户端参数的重要性，聚合获得更新后的全局模型；所述全局模型再次下发至客户端进行训练；所述服务端和客户端间通信达到设定次数后，最终更新的本地个性化模型用于各个工业控制系统的入侵检测。该方法增强相似客户端间的协作效果，降低通信压力和服务器压力，同时保证模型的准确度，为服务端和客户端建立隐蔽通信方式，降低攻击者对联邦设备的关注度。

公开(公告)号：CN117354207A

公开(公告)日：2024-01-05

申请号：CN202311243871.1

申请日：2023-09-26

申请人： 东北大学 ,  中国电子信息产业集团有限公司第六研究所

发明人： 姚羽 ,  杨道青 ,  张尼 ,  杨巍 ,  杨利成 ,  胡耀 ,  吴云峰 ,  林小李 ,  单垚 ,  冉子用 ,  韩庆敏 ,  王乾亦 ,  刘福意

IPC分类号： H04L43/18 ,  G06N3/0464

摘要： 本发明属于协议逆向工程技术领域，提出了一种未知工控协议逆向分析方法及装置。基于网络报文形成报文片段集合；报文和报文片段集合构成数据集，根据所述数据集构建异构报文图；异构报文图输入至构建报文图特征提取神经网络模型进行报文聚类并训练报文图特征提取神经网络模型；待聚类的数据集输入至训练完成的报文图特征提取神经网络模型，进行类簇划分，在同一报文类簇下采用Needleman‑Wunsch算法推断语法格式，并标注字段边界。本发明的方法降低报文聚类的时间复杂度；将特征提取与聚类进行联合优化；为模型提供更细粒度、更合理的分析单元。