公开(公告)号：CN118842782A

公开(公告)日：2024-10-25

申请号：CN202410805616.X

申请日：2024-06-21

申请人： 东北大学

发明人： 姚羽 ,  王乾亦 ,  章锐 ,  杨巍 ,  姜天淇

IPC分类号： H04L61/5007 ,  H04L61/5046 ,  H04L101/659

摘要： 本发明属于网络空间测绘技术领域，公开一种基于扩散模型的IPv6活跃地址探测方法。获取IPv6种子地址数据集，按照模式类别进行地址分类；地址分类完成后进行地址扩展，形成一批由32位无冒号的半字节形式组成的字符串；采用词嵌入的方式将字符串地址映射到连续词向量上；每一个字符分配一个固定长度的词向量进行表示；扩散过程求出加噪到时刻t的数据样本；逆扩散过程恢复得到未加噪数据；通过已知的别名前缀对候选目标地址集进行别名地址的识别，对别名地址进行剔除；输出生成的IPv6候选目标地址集。通过本方法的生成的目标地址集中拥有更多的活跃地址，命中率也有所提升。

公开(公告)号：CN118555119A

公开(公告)日：2024-08-27

申请号：CN202410773320.4

申请日：2024-06-17

申请人： 东北大学 ,  中国电子信息产业集团有限公司第六研究所

发明人： 姚羽 ,  何淼 ,  王锐 ,  吴云峰 ,  杨巍

IPC分类号： H04L9/40 ,  H04L67/12

摘要： 本发明属于工控网络安全领域，公开了一种工控网络入侵检测方法。通过TPFSM模型从宏观角度通过异常状态、异常状态跳转、异常状态持续时间、异常状态跳转间隔以及异常跳转概率五个维度进行异常检测，将TPFSM模型与CNN‑LSTM‑ATTENTION时序入侵检测模型结合，综合考虑工业控制系统的业务逻辑与时序性、周期性、稳定性特点，进行微观的关键传感器设备连续值预测，以此构建双重入侵检测机制，提高入侵检测算法的准确率，对WOA算法进行了改进，将其应用于对CNN‑LSTM‑ATTENTION网络的参数和结构进行训练以得到最优的网络模型，避免了主观经验设置的影响，有效提高了准确率与检测速度。

公开(公告)号：CN115580445B

公开(公告)日：2024-06-28

申请号：CN202211159011.5

申请日：2022-09-22

申请人： 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 单垚 ,  姚羽 ,  胡博 ,  杨巍 ,  罗天昱 ,  聂鑫宇 ,  周小明 ,  许超 ,  刘莹 ,  张文杰 ,  盛川 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  宋为

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/048 ,  G06N3/084

摘要： 本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。

公开(公告)号：CN117896095A

公开(公告)日：2024-04-16

申请号：CN202311658897.2

申请日：2023-12-05

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  李文轩 ,  周小明 ,  杨巍 ,  许超 ,  胡博 ,  刘莹 ,  张文杰 ,  单垚 ,  赵桐 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  何淼 ,  王磊

IPC分类号： H04L9/40 ,  G06N3/049 ,  G06N3/0455

摘要： 本发明属于工业网络安全领域，提出一种轻量化通用异常检测方法与装置。获取工业网络流量会话的频域特征表示并进行变换获得模型输入序列；结合深度卷积自编码器CAE和对抗网络GAN，构建轻量化异常检测模型并通过输入模型输入序列进行训练，通过梯度下降算法最小化损失函数，使得模型达到收敛状态；轻量化异常检测模型作为基线评估模型，将待检序列样本输入至基线评估模型计算异常分数和异常阈值，根据异常分数与异常阈值的对比情况，完成对未知攻击行为的有效判别。本发明避免以往依赖专家知识忽略重要判别特征的问题，有效降低正常样本在潜在分布空间的重构损失，实现对未知攻击的有效检测。

公开(公告)号：CN117459299A

公开(公告)日：2024-01-26

申请号：CN202311521246.9

申请日：2023-11-15

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  单垚 ,  胡博 ,  杨巍 ,  罗天昱 ,  周小明 ,  张文杰 ,  刘莹 ,  唱一鸣 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  李学斌

IPC分类号： H04L9/40 ,  H04L67/12

摘要： 本发明属于网络安全领域，提出一种工业物联网入侵检测的联邦学习方法及装置。针对工业物联网各客户端数据存在异质性的特点，通过联邦学习为众多客户端训练适用于自身数据的个性化入侵检测模型。通过提出新的用于工业物联网网络流量的特征提取方式，能够从不同粒度反映网络流量特征，该方法比其他网络流量特征提取方法获得了更高的准确率。通过对客户端模型相似度的计算来促进具有相似数据分布客户端的协同合作，为客户端生成性能更好的个性化入侵检测模型。本发明既能够保证模型的快速收敛，又防止低质量模型对联邦学习的干扰，有效的抑制中毒攻击的影响。

公开(公告)号：CN116938771A

公开(公告)日：2023-10-24

申请号：CN202310688574.1

申请日：2023-06-12

申请人： 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  王嘉璇 ,  许超 ,  王博 ,  杨巍 ,  刘颖 ,  王磊 ,  单垚 ,  王丹妮 ,  冉子用 ,  吕阳 ,  方宇珊 ,  滕子贻 ,  杨利成 ,  刘倩 ,  翟浩 ,  胡非 ,  刘莹 ,  周毅 ,  刘思宇

IPC分类号： H04L43/0894 ,  G06F18/2415 ,  G06N3/0442 ,  G06N3/084 ,  G06N3/006

摘要： 本发明属于网络安全检测领域，提出了一种网络异常流量检测方法及装置。该方法通过改进的灰狼算法IGWO对GRU网络的隐层神经元个数和学习率进行自动学习，针对网络流量周期性、时序性的特点，采用门控循环单元与本发明提出的自适应灰狼优化算法相结合的异常检测模型来对异常流量进行分类。使用改进后的灰狼优化算法对神经网络的参数以及网络的结构进行优化，不仅能提高检测的速度还能提高检测的准确率；将原本参数a的线性衰减修改为了非线性衰减，以提高全局搜索次数的占比。全局搜索次数越多，算法的全局搜索能力越强，越不容易陷入局部最优解。

公开(公告)号：CN112565186A

公开(公告)日：2021-03-26

申请号：CN202011204956.5

申请日：2020-11-02

申请人： 东北大学

发明人： 姚羽 ,  盛川 ,  安红娜 ,  李东彪 ,  苏文兴 ,  杨巍 ,  刘莹 ,  黄仓健 ,  林小李 ,  韩玮石 ,  李文轩

IPC分类号： H04L29/06

摘要： 本发明属于网络安全技术领域，基于缓冲池的分布式工业控制蜜网流量采集系统及方法。在所述的系统中包含：输入缓冲池、转换缓冲池、输出缓冲池、输入组件、解析组件、转换组件和输出组件。该系统为不同的应用场景和目的提供不同的运行模式，不仅可以收集和保存网络流量，还可以将其解析为可读数据，并将其转换为所需的格式。不仅可以以不同的输入输出模式组合运行，还可以将捕获的网络流量解析和转换为各种格式，满足网络管理员和安全防御方法的要求。

公开(公告)号：CN117714181A

公开(公告)日：2024-03-15

申请号：CN202311756936.2

申请日：2023-12-19

申请人： 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  聂鑫宇 ,  焦轩琦 ,  胡博 ,  刘福意 ,  宋为 ,  何淼 ,  李小龙 ,  杨道青 ,  刘莹 ,  单垚 ,  方宇珊 ,  周金磊

IPC分类号： H04L9/40

摘要： 本发明属于工控安全检测领域，提出一种工控APT检测方法、装置及计算机可读存储介质。从工控系统中采集正常的轮询流量和控制命令流量；建立设备状态修正算法，用于校正轮询流量并处理成系统状态日志；进行极端值检测与处理，得到处理后的系统状态日志；通过自相关函数进行工控基线的长短周期检测，获得工控基线的长短周期；并构建一个基于周期性检测的工控基线模型；基于构建的工控基线模型，对包含攻击的设备日志和工控流量数据进行工控APT攻击检测；相比于传统的工控APT攻击检测方法，本发明提高了APT攻击检测的准确率，降低了APT攻击检测的误报率，可以帮助网络安全人员发现隐蔽的APT攻击。

公开(公告)号：CN117459300A

公开(公告)日：2024-01-26

申请号：CN202311521257.7

申请日：2023-11-15

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  单垚 ,  周小明 ,  杨巍 ,  刘鹏杰 ,  胡博 ,  周金磊 ,  刘莹 ,  许超 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  王磊 ,  张文杰

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/084 ,  G06N3/0464

摘要： 本发明属于网络安全技术领域，提出了一种工业控制系统入侵检测方法及装置。步骤如下：对入侵检测数据集进行预处理操作，获得神经网络模型输入数据；将步骤一所得数据作为输入数据对神经网络分类器进行训练；在神经网络的训练阶段通过梯度下降算法来最小化损失函数使得神经网络分类器收敛，达到指定训练轮数后，保存神经网络分类器参数，获得分类结果。提出了一个新的动态Focal loss损失函数，能够在训练过程中自适应的调节分类器的优化目标，在训练的前期增加对多数类样本的关注，在训练中期提升对少数类样本的关注，增强了基础分类器的分类能力。所提出的方法能够适应各类不同入侵检测数据分布，增强了模型的鲁棒性。

公开(公告)号：CN115688097A

公开(公告)日：2023-02-03

申请号：CN202211396668.3

申请日：2022-11-09

申请人： 东北大学

发明人： 姚羽 ,  方宇珊 ,  翟浩 ,  杨巍 ,  刘莹 ,  刘思宇 ,  闫泓玮 ,  王嘉璇 ,  金玉多 ,  林小李

IPC分类号： G06F21/55 ,  G06F18/2431 ,  G06F18/214 ,  G06N3/045 ,  G06N3/08

摘要： 本发明属于工控系统、网络安全及人工智能领域，提出一种基于改进遗传算法特征选择的工控系统入侵检测方法。对待特征选择的流量数据进行预处理；基于预处理的流量数据生成种群；利用多维度染色体评估方法对每个个体染色体进行评估；利用特征排序融合方法对评估结果进行融合排名；采用改进的适应度评估函数计算个体适应度；利用生长树聚类算法进行交叉和变异操作，得到新种群；根据特征排序融合结果对个体进行进化和淘汰操作；输出最高适应度个体并利用神经网络模型建立分类模型。相比于传统的入侵检测方法，本发明具有更高的分类准确率、更低的算法复杂度、更适用于不均衡的工业控制数据、有效降低最终选择的特征数目。