-
公开(公告)号:CN117896095A
公开(公告)日:2024-04-16
申请号:CN202311658897.2
申请日:2023-12-05
申请人: 东北大学 , 国家电网有限公司 , 国网辽宁省电力有限公司信息通信分公司
IPC分类号: H04L9/40 , G06N3/049 , G06N3/0455
摘要: 本发明属于工业网络安全领域,提出一种轻量化通用异常检测方法与装置。获取工业网络流量会话的频域特征表示并进行变换获得模型输入序列;结合深度卷积自编码器CAE和对抗网络GAN,构建轻量化异常检测模型并通过输入模型输入序列进行训练,通过梯度下降算法最小化损失函数,使得模型达到收敛状态;轻量化异常检测模型作为基线评估模型,将待检序列样本输入至基线评估模型计算异常分数和异常阈值,根据异常分数与异常阈值的对比情况,完成对未知攻击行为的有效判别。本发明避免以往依赖专家知识忽略重要判别特征的问题,有效降低正常样本在潜在分布空间的重构损失,实现对未知攻击的有效检测。
-
公开(公告)号:CN117459299A
公开(公告)日:2024-01-26
申请号:CN202311521246.9
申请日:2023-11-15
申请人: 东北大学 , 国家电网有限公司 , 国网辽宁省电力有限公司信息通信分公司
摘要: 本发明属于网络安全领域,提出一种工业物联网入侵检测的联邦学习方法及装置。针对工业物联网各客户端数据存在异质性的特点,通过联邦学习为众多客户端训练适用于自身数据的个性化入侵检测模型。通过提出新的用于工业物联网网络流量的特征提取方式,能够从不同粒度反映网络流量特征,该方法比其他网络流量特征提取方法获得了更高的准确率。通过对客户端模型相似度的计算来促进具有相似数据分布客户端的协同合作,为客户端生成性能更好的个性化入侵检测模型。本发明既能够保证模型的快速收敛,又防止低质量模型对联邦学习的干扰,有效的抑制中毒攻击的影响。
-
公开(公告)号:CN117459300A
公开(公告)日:2024-01-26
申请号:CN202311521257.7
申请日:2023-11-15
申请人: 东北大学 , 国家电网有限公司 , 国网辽宁省电力有限公司信息通信分公司
IPC分类号: H04L9/40 , H04L67/12 , G06N3/045 , G06N3/0442 , G06N3/084 , G06N3/0464
摘要: 本发明属于网络安全技术领域,提出了一种工业控制系统入侵检测方法及装置。步骤如下:对入侵检测数据集进行预处理操作,获得神经网络模型输入数据;将步骤一所得数据作为输入数据对神经网络分类器进行训练;在神经网络的训练阶段通过梯度下降算法来最小化损失函数使得神经网络分类器收敛,达到指定训练轮数后,保存神经网络分类器参数,获得分类结果。提出了一个新的动态Focal loss损失函数,能够在训练过程中自适应的调节分类器的优化目标,在训练的前期增加对多数类样本的关注,在训练中期提升对少数类样本的关注,增强了基础分类器的分类能力。所提出的方法能够适应各类不同入侵检测数据分布,增强了模型的鲁棒性。
-
公开(公告)号:CN117478412A
公开(公告)日:2024-01-30
申请号:CN202311521253.9
申请日:2023-11-15
申请人: 东北大学 , 国家电网有限公司 , 国网辽宁省电力有限公司信息通信分公司
IPC分类号: H04L9/40 , H04L67/12 , G06N3/0464 , G06N3/0442 , G06N3/045
摘要: 本发明属于网络安全技术领域,提出一种工业物联网联邦入侵检测方法、装置及介质。针对工业物联网各边缘节点数据存在异质性的特点,提出该方法,在联邦学习中通过聚类的方式为具有相似数据分布的边缘节点共同训练一个有效的入侵检测模型。通过对边缘节点性能指标时间序列的聚类映射出各个边缘节点数据分布之间的关系,并促进具有相似数据分布边缘节点的知识共享,有效的解决了非独立同分布数据情况下联邦学习模型的建立问题。在每轮通讯中,通过肘关节曲线来自动确定边缘节点的最佳划分方式,能够保证模型的快速收敛。采用多个通信轮次的性能指标进行聚类,降低了边缘节点被错误划分的几率,提升了模型的准确率。
-
公开(公告)号:CN117714181A
公开(公告)日:2024-03-15
申请号:CN202311756936.2
申请日:2023-12-19
申请人: 东北大学 , 国网辽宁省电力有限公司信息通信分公司
IPC分类号: H04L9/40
摘要: 本发明属于工控安全检测领域,提出一种工控APT检测方法、装置及计算机可读存储介质。从工控系统中采集正常的轮询流量和控制命令流量;建立设备状态修正算法,用于校正轮询流量并处理成系统状态日志;进行极端值检测与处理,得到处理后的系统状态日志;通过自相关函数进行工控基线的长短周期检测,获得工控基线的长短周期;并构建一个基于周期性检测的工控基线模型;基于构建的工控基线模型,对包含攻击的设备日志和工控流量数据进行工控APT攻击检测;相比于传统的工控APT攻击检测方法,本发明提高了APT攻击检测的准确率,降低了APT攻击检测的误报率,可以帮助网络安全人员发现隐蔽的APT攻击。
-
公开(公告)号:CN116684144A
公开(公告)日:2023-09-01
申请号:CN202310665605.1
申请日:2023-06-06
申请人: 东北大学 , 国网辽宁省电力有限公司信息通信分公司
发明人: 姚羽 , 焦轩琦 , 周小明 , 张维 , 杨巍 , 于海 , 周金磊 , 赵桐 , 吕军 , 李文轩 , 孟勐 , 杨道青 , 李冲 , 李桉雨 , 李雪莹 , 刘莹 , 马智学 , 刘思宇 , 宋为
IPC分类号: H04L9/40 , H04L61/4511 , G06N3/048 , G06N3/0442 , G06N3/094
摘要: 本发明属于网络安全领域,提出了一种恶意域名检测方法及装置。首先利用原始域名数据集对检测模型进行训练;通过基于序列对抗网络和用雅克比的显著性图的对抗样本生成算法生成DGA恶意域名数据集,将生成的DGA恶意域名数据集输入至分类模型进行交替训练,生成新的对抗样本;生成的对抗样本加入原始域名数据集对检测模型进行再训练。本发明所提出的方法相比于现有技术,检测模型的对抗样本检测能力更强、鲁棒性更好、精确率以及召回率均优于其它模型。增加对抗训练后,检测模型的检测能力也有所提高。
-
公开(公告)号:CN116566697A
公开(公告)日:2023-08-08
申请号:CN202310575950.6
申请日:2023-05-22
申请人: 东北大学 , 国网辽宁省电力有限公司信息通信分公司
IPC分类号: H04L9/40 , H04L41/16 , H04L41/149 , G06N3/0442 , G06N3/08
摘要: 本发明属于网络安全技术领域,提出一种对抗样本生成方法、装置及计算机可读存储介质。根据工业时序数据获得搭建时序异常检测模型训练数据;使用训练数据和真实训练预测值作为输入时序数据对时序异常检测模型进行训练;通过训练后的时序异常检测模型,根据测试数据计算模型训练预测值,并计算与真实测试预测值之间的异常分数,根据异常分数的数据分布,通过高斯分布异常检测算法确定概率阈值;基于时序异常检测模型对测试数据进行变量化扰动计算,将扰动添加至测试数据上,生成相应的时序对抗样本。该方法使用扰动变量化的攻击方法对模型进行攻击,生成相应的时序对抗样本,在保证攻击性的前提下,使扰动幅度小、时序数据平滑。
-
公开(公告)号:CN117354207A
公开(公告)日:2024-01-05
申请号:CN202311243871.1
申请日:2023-09-26
申请人: 东北大学 , 中国电子信息产业集团有限公司第六研究所
IPC分类号: H04L43/18 , G06N3/0464
摘要: 本发明属于协议逆向工程技术领域,提出了一种未知工控协议逆向分析方法及装置。基于网络报文形成报文片段集合;报文和报文片段集合构成数据集,根据所述数据集构建异构报文图;异构报文图输入至构建报文图特征提取神经网络模型进行报文聚类并训练报文图特征提取神经网络模型;待聚类的数据集输入至训练完成的报文图特征提取神经网络模型,进行类簇划分,在同一报文类簇下采用Needleman‑Wunsch算法推断语法格式,并标注字段边界。本发明的方法降低报文聚类的时间复杂度;将特征提取与聚类进行联合优化;为模型提供更细粒度、更合理的分析单元。
-
公开(公告)号:CN114430344B
公开(公告)日:2022-09-30
申请号:CN202210079728.2
申请日:2022-01-24
申请人: 东北大学
IPC分类号: H04L9/40
摘要: 本发明属于网络安全及机器学习技术领域,提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法,本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具;针对得到的攻击者的威胁情报特征和工控流量特征的数据特点,分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵,将原高维空间中的数据点映射到低维度空间;对得到的数据样本点进行聚类,得到工控攻击组织;该方法提高了攻击组织的识别精度,可扩展性强,可用于实时监控网络入侵者,主动及时防御攻击组织的分布式攻击。不需要指定聚类个数,且可以自适应计算带宽,可以更加准确、灵活地识别工控攻击组织。
-
公开(公告)号:CN118798209A
公开(公告)日:2024-10-18
申请号:CN202410773795.3
申请日:2024-06-17
申请人: 东北大学 , 中国电子信息产业集团有限公司第六研究所
IPC分类号: G06F40/30 , G06N3/0464 , G06F18/2415
摘要: 本发明属于工业互联网领域,公开了一种基于模式序列的未知工控协议语义推断方法。生成数据报文数量符合数量区间要求的流,进行字段提取,对提取的目标字段的值按照数据报文的时间顺序进行排序,组成字段模式序列;搭建分类模型,字段模式序列输入至分类模型进行字段语义类型识别;根据分类模型的分类结果,调整字段边界的划分;通过判断得出最优字段模式序列。在三类标准工业控制协议及其混合协议上评估了本发明的方法,实验结果表明,本发明极大地提高了字段语义分析的准确率。
-
-
-
-
-
-
-
-
-