公开(公告)号：CN117714181A

公开(公告)日：2024-03-15

申请号：CN202311756936.2

申请日：2023-12-19

申请人： 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  聂鑫宇 ,  焦轩琦 ,  胡博 ,  刘福意 ,  宋为 ,  何淼 ,  李小龙 ,  杨道青 ,  刘莹 ,  单垚 ,  方宇珊 ,  周金磊

IPC分类号： H04L9/40

摘要： 本发明属于工控安全检测领域，提出一种工控APT检测方法、装置及计算机可读存储介质。从工控系统中采集正常的轮询流量和控制命令流量；建立设备状态修正算法，用于校正轮询流量并处理成系统状态日志；进行极端值检测与处理，得到处理后的系统状态日志；通过自相关函数进行工控基线的长短周期检测，获得工控基线的长短周期；并构建一个基于周期性检测的工控基线模型；基于构建的工控基线模型，对包含攻击的设备日志和工控流量数据进行工控APT攻击检测；相比于传统的工控APT攻击检测方法，本发明提高了APT攻击检测的准确率，降低了APT攻击检测的误报率，可以帮助网络安全人员发现隐蔽的APT攻击。

公开(公告)号：CN117459300A

公开(公告)日：2024-01-26

申请号：CN202311521257.7

申请日：2023-11-15

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  单垚 ,  周小明 ,  杨巍 ,  刘鹏杰 ,  胡博 ,  周金磊 ,  刘莹 ,  许超 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  王磊 ,  张文杰

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/084 ,  G06N3/0464

摘要： 本发明属于网络安全技术领域，提出了一种工业控制系统入侵检测方法及装置。步骤如下：对入侵检测数据集进行预处理操作，获得神经网络模型输入数据；将步骤一所得数据作为输入数据对神经网络分类器进行训练；在神经网络的训练阶段通过梯度下降算法来最小化损失函数使得神经网络分类器收敛，达到指定训练轮数后，保存神经网络分类器参数，获得分类结果。提出了一个新的动态Focal loss损失函数，能够在训练过程中自适应的调节分类器的优化目标，在训练的前期增加对多数类样本的关注，在训练中期提升对少数类样本的关注，增强了基础分类器的分类能力。所提出的方法能够适应各类不同入侵检测数据分布，增强了模型的鲁棒性。

公开(公告)号：CN115688097A

公开(公告)日：2023-02-03

申请号：CN202211396668.3

申请日：2022-11-09

申请人： 东北大学

发明人： 姚羽 ,  方宇珊 ,  翟浩 ,  杨巍 ,  刘莹 ,  刘思宇 ,  闫泓玮 ,  王嘉璇 ,  金玉多 ,  林小李

IPC分类号： G06F21/55 ,  G06F18/2431 ,  G06F18/214 ,  G06N3/045 ,  G06N3/08

摘要： 本发明属于工控系统、网络安全及人工智能领域，提出一种基于改进遗传算法特征选择的工控系统入侵检测方法。对待特征选择的流量数据进行预处理；基于预处理的流量数据生成种群；利用多维度染色体评估方法对每个个体染色体进行评估；利用特征排序融合方法对评估结果进行融合排名；采用改进的适应度评估函数计算个体适应度；利用生长树聚类算法进行交叉和变异操作，得到新种群；根据特征排序融合结果对个体进行进化和淘汰操作；输出最高适应度个体并利用神经网络模型建立分类模型。相比于传统的入侵检测方法，本发明具有更高的分类准确率、更低的算法复杂度、更适用于不均衡的工业控制数据、有效降低最终选择的特征数目。

公开(公告)号：CN113282759A

公开(公告)日：2021-08-20

申请号：CN202110439459.1

申请日：2021-04-23

申请人： 国网辽宁省电力有限公司电力科学研究院 ,  东北大学 ,  国网辽宁省电力有限公司

发明人： 李桐 ,  刘一涛 ,  刘刚 ,  王刚 ,  赵桐 ,  周小明 ,  宋进良 ,  姚羽 ,  刘扬 ,  王磊 ,  李广翱 ,  陈得丰 ,  刘莹 ,  杨智斌 ,  耿洪碧 ,  杨巍 ,  任帅 ,  陈剑 ,  李欢 ,  张彬 ,  王琛 ,  佟昊松 ,  孙茜 ,  孙赫阳 ,  何立帅 ,  赵玲玲 ,  李菁菁 ,  姜力行 ,  杨滢璇 ,  范维 ,  杨璐羽 ,  刘芮彤

IPC分类号： G06F16/36 ,  G06F16/28

摘要： 本发明属于工控网络安全技术领域，尤其涉及一种基于威胁情报的网络安全知识图谱生成方法。包括：高效率分布式威胁情报数据收集；通过分布式威胁情报爬取系统进行网络安全威胁情报数据集制作；将网络安全威胁情报数据质量进行提升；对制作的网络安全威胁情报数据集进行网络安全实体识别；对网络安全实体关系抽取；数据组织。本发明通过大量实验，验证了本方法中所提威胁情报数据质量提升算法、网络安全威胁情报，情报文本中实体识别与实体关系抽取及生成的知识图谱的质量均得到了显著的提高，并且具有良好的本地网络弱点可视化能力与攻击预判分析能力。

公开(公告)号：CN111641634A

公开(公告)日：2020-09-08

申请号：CN202010467371.6

申请日：2020-05-28

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  刘莹 ,  杨巍 ,  安红娜 ,  陈腾

IPC分类号： H04L29/06 ,  G06K9/62

摘要： 本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

公开(公告)号：CN107682323A

公开(公告)日：2018-02-09

申请号：CN201710853370.3

申请日：2017-09-20

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  周毅 ,  高畅 ,  王禹博 ,  周欣娜

IPC分类号： H04L29/06

摘要： 本发明提出一种工业控制系统网络访问安全性预警系统及方法，包括：生成工业控制系统网络访问白名单；获取工业控制系统网络访问恶意ip组库；对申请访问工业控制系统的ip进行拦截和白名单验证；对不在白名单中的访问ip进行恶意性分析，并对发现的恶意访问ip进行安全预警；对无法确定的访问ip，将其保存到可疑ip库，当白名单和恶意ip组库更新时进行重复验证；对所有的访问ip进行访问信息日志记录。根据访问ip的访问日志学习各类访问ip的访问模式；将可疑ip的访问模式与恶意ip和白名单ip的访问模式进行匹配，判断访问ip的类别；对判断为恶意ip的访问ip进行安全预警，将判断为白名单ip的访问ip进行白名单推荐；将新发现的白名单ip更新到已有白名单中。

公开(公告)号：CN107566390A

公开(公告)日：2018-01-09

申请号：CN201710849672.3

申请日：2017-09-20

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  刘昕蕊 ,  周毅 ,  高畅 ,  刘子铭

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明提出一种基于威胁情报的工业控制系统网络安全性分析系统及方法，包括：获取所有访问过工业控制系统的ip地址及相关绑定的域名；对已发现的ip地址和相关域名进行恶意性判断；基于访问ip和相关域名的绑定关系，对已有的访问ip进行分组；从时间特性，空间特性和恶意性等方面对已发现的ip组进行分析；根据已发现ip组及其相关特性，对ip组进行机器学习，建立判断ip组是否为恶意ip组的决策树模型，并对模型进行评估。根据访问ip找到工业控制系统相关的所有ip组，并通过可视化页面对工业控制系统的访问关系进行全方面分析。根据预设时间，周期性的执行上述步骤，不断提高准确率和覆盖率，更新威胁情报库和相关的恶意性和安全性分析结果。

公开(公告)号：CN118842782A

公开(公告)日：2024-10-25

申请号：CN202410805616.X

申请日：2024-06-21

申请人： 东北大学

发明人： 姚羽 ,  王乾亦 ,  章锐 ,  杨巍 ,  姜天淇

IPC分类号： H04L61/5007 ,  H04L61/5046 ,  H04L101/659

摘要： 本发明属于网络空间测绘技术领域，公开一种基于扩散模型的IPv6活跃地址探测方法。获取IPv6种子地址数据集，按照模式类别进行地址分类；地址分类完成后进行地址扩展，形成一批由32位无冒号的半字节形式组成的字符串；采用词嵌入的方式将字符串地址映射到连续词向量上；每一个字符分配一个固定长度的词向量进行表示；扩散过程求出加噪到时刻t的数据样本；逆扩散过程恢复得到未加噪数据；通过已知的别名前缀对候选目标地址集进行别名地址的识别，对别名地址进行剔除；输出生成的IPv6候选目标地址集。通过本方法的生成的目标地址集中拥有更多的活跃地址，命中率也有所提升。

公开(公告)号：CN118555119A

公开(公告)日：2024-08-27

申请号：CN202410773320.4

申请日：2024-06-17

申请人： 东北大学 ,  中国电子信息产业集团有限公司第六研究所

发明人： 姚羽 ,  何淼 ,  王锐 ,  吴云峰 ,  杨巍

IPC分类号： H04L9/40 ,  H04L67/12

摘要： 本发明属于工控网络安全领域，公开了一种工控网络入侵检测方法。通过TPFSM模型从宏观角度通过异常状态、异常状态跳转、异常状态持续时间、异常状态跳转间隔以及异常跳转概率五个维度进行异常检测，将TPFSM模型与CNN‑LSTM‑ATTENTION时序入侵检测模型结合，综合考虑工业控制系统的业务逻辑与时序性、周期性、稳定性特点，进行微观的关键传感器设备连续值预测，以此构建双重入侵检测机制，提高入侵检测算法的准确率，对WOA算法进行了改进，将其应用于对CNN‑LSTM‑ATTENTION网络的参数和结构进行训练以得到最优的网络模型，避免了主观经验设置的影响，有效提高了准确率与检测速度。

公开(公告)号：CN115580445B

公开(公告)日：2024-06-28

申请号：CN202211159011.5

申请日：2022-09-22

申请人： 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 单垚 ,  姚羽 ,  胡博 ,  杨巍 ,  罗天昱 ,  聂鑫宇 ,  周小明 ,  许超 ,  刘莹 ,  张文杰 ,  盛川 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  宋为

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/048 ,  G06N3/084

摘要： 本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。