公开(公告)号：CN118972299A

公开(公告)日：2024-11-15

申请号：CN202410970515.8

申请日：2024-07-19

申请人： 沈阳化工大学

发明人： 宁博伟 ,  宗学军 ,  韩冰 ,  何戡 ,  王国刚 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L43/50 ,  H04L43/08 ,  H04L9/40

摘要： 本发明一种工控协议模糊测试基准平台，涉及一种工控网络平台，包括虚拟化的通信模块、模型加载模块、模糊测试模块、数据库模块、性能评估模块、监控日志模块和实体工控网络及设备；其中通信模块负责扫描并连接工控设备；模型加载模块通过发布API接口加载模糊测试模型；模糊测试模块与通信模块连接，根据扫描到的工控设备发送相应测试用例；数据库模块调用待测模糊工具，并储存测试用例和管理异常流量；本发明兼容多种模型，提供更全面、统一的指标评价，解决工控安全领域中模糊工具评估尺度不统一的问题，模块化设计保障平台的灵活性和高扩展性，助力高效高性能工控协议模糊工具的开发和测试工作。

公开(公告)号：CN117544377A

公开(公告)日：2024-02-09

申请号：CN202311563502.0

申请日：2023-11-22

申请人： 沈阳化工大学

发明人： 宗学军 ,  梁海文 ,  宁博伟 ,  何戡 ,  连莲 ,  孙逸菲 ,  王国刚 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06F18/213 ,  G06F18/23213 ,  G06F18/2433 ,  G06N3/044 ,  G06N3/08

摘要： 本发明一种深度回声网络的溯源图APT攻击实时入侵检测方法，涉及一种网络安全入侵检测方法，该方法用Camflow工具将系统日志转换为具有偏序关系的DAG溯源图，将Camflow转换的溯源图输入到Camflow解析器，解析出特定格式的边缘列表；然后使用Weisfeiler‑Lehman子树图核算法构建流式直方图，借助HistoSketch算法将构建长度变化的流式直方图转换为固定长度的特征向量序列再输入到深度回声状态网络模型，利用多层储备池有效提取数据的潜在特征；最后使用K‑mediods算法对特征向量进行聚类，超过阈值的向量则判定为入侵行为。本发明在保持实时性的前提下能够对序列的长期依赖进行提取，以此提高模型检测的准确性。

公开(公告)号：CN114553983B

公开(公告)日：2023-10-24

申请号：CN202210201202.7

申请日：2022-03-03

申请人： 沈阳化工大学

发明人： 宁博伟 ,  宗学军 ,  何戡 ,  郑洪宇 ,  杨忠君 ,  连莲 ,  孙逸菲

IPC分类号： H04L69/22 ,  G06N3/088 ,  G06N3/0442 ,  G06N3/045 ,  G06F18/241

摘要： 一种基于深度学习高效工业控制协议解析方法，涉及一种工业控制协议解析方法，该方法从仿真平台和开源平台截获得工业控制系统流量数据报文，通过分析协议字段变化特征，采用无监督学习方法，投票专家算法（VE）对协议字段进行序列分割和格式特征推断。将经过处理字段序列特征作为输入，搭建加入注意力机制的双向长短期记忆神经网络模型（BiLSTM‑AM）并进行训练，使用softmax作为协议字段分类器，并且根据分类结果来实现工业协议字段分类结果预测。本发明基于加入注意力机制的双向长短期记忆神经网络模型，在未知工业协议预测和分类上达到了良好检测结果；解决了目前市面上多数网络协议逆向工具无法高效准确解析工业协议的问题。

公开(公告)号：CN116167002A

公开(公告)日：2023-05-26

申请号：CN202310045012.5

申请日：2023-01-30

申请人： 沈阳化工大学

发明人： 宗学军 ,  王润鹏 ,  何戡 ,  杨忠君 ,  连莲 ,  郑洪宇 ,  孙逸菲 ,  宁博伟

IPC分类号： G06F18/2431 ,  G06F18/214 ,  G06N3/006 ,  H04L9/40

摘要： 本发明公开了一种基于优化随机森林的工控网络异常检测方法，涉及一种工控网络安全检测方法。该方法对数据集进行特征提取并利用主成分分析降维，划分训练集与测试集，考虑异常检测效率和准确率低的问题，利用改进鲸鱼算法优化随机森林模型。将柯西变异和自适应动态惯性权重相结合，一方面利用柯西变异算子增加种群多样性，避免算法陷入局部最优；另一方面引用自适应动态惯性权重因子提高种群全局搜索能力，加快算法收敛速度。结本发明有着更高的准确率和较强的适应性，更适合工业环境。此外，在国内石油化工行业信息安全重点实验室的油气集输全流程工业场景攻防靶场上进行验证实验，证明了本发明在实际应用中有较高的检测精度。

公开(公告)号：CN118860886A

公开(公告)日：2024-10-29

申请号：CN202410970390.9

申请日：2024-07-19

申请人： 沈阳化工大学

发明人： 宗学军 ,  韩冰 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： G06F11/36 ,  G06N3/045 ,  G06F18/214 ,  G06F18/23213 ,  G06N3/096 ,  G06N3/08

摘要： 本发明一种基于Transformer decoder的工控协议模糊测试用例生成方法，属于工业网络安全领域。该方法包括：1)获取测试用例训练集。2)训练集预处理。将训练集预处理为序列形式数据，并进行格式处理，以符合Transformer decoder模型的输入；3)学习模型训练。通过训练得到协议格式规范的学习模型；4)测试用例生成。5)变异算子替换。6)反馈调优。监控初始模糊测试响应，根据异常用例聚类构建手动训练集，进行再训练。本发明基于Transformer decoder模型高效学习工控协议格式，结合区间选择策略和关键字节权重算法实现生成有效、多样且具有针对性的测试用例，提高了模糊测试的效率。

公开(公告)号：CN118316644A

公开(公告)日：2024-07-09

申请号：CN202410276556.7

申请日：2024-03-12

申请人： 沈阳化工大学

发明人： 宗学军 ,  刘金洋 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L9/40

摘要： 一种基于Resnet‑EfficientVit的工业实时入侵检测方法，涉及一种网络工业入侵检测方法，该方法使用Suricata和Elasticsearch进行流量实时获取，结合Resnet‑EfficientViT组合的分类模型对图像进行分类，该模型相对在入侵检测的领域上分类效果高于用于传统图像分类模型，在石油化工行业信息安全重点实验室中的火力发电网络安全攻防演练靶场，对不同的攻击的检测准确率都高达96％以上，训练时间减少了36％，测试时间减少了33％，最重要的在于高效检测速度。证明了该模型在工业控制系统实时入侵检测应用中的性能的优越性。

公开(公告)号：CN117499143A

公开(公告)日：2024-02-02

申请号：CN202311573089.6

申请日：2023-11-23

申请人： 沈阳化工大学

发明人： 宗学军 ,  隋一凡 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06N3/0475 ,  H04L69/00

摘要： 一种基于生成对抗网络的通用工业控制协议模糊测试方法，涉及一种网络安全对抗控制协议模糊测试方法。本发明所述方法包括生成步骤、校对步骤以及变异步骤，生成步骤是将工业控制协议报文输入WGAN‑GP算法中，通过训练学习到工业控制协议的规范，并生成用于模糊测试的测试用例，从而摆脱对协议规范和专家知识的依赖；校对步骤采用统计语言模型N‑gram对工业控制协议报文分析得到固定字段和可变字段，进一步修正生成对抗网络训练结果，提高测试用例的接收率；变异步骤将测试用例与专家经验结合，引导变异方向，增加触发异常结果的测试用例数量。

公开(公告)号：CN114760126B

公开(公告)日：2023-09-19

申请号：CN202210366787.8

申请日：2022-04-08

申请人： 沈阳化工大学

发明人： 连莲 ,  王文诚 ,  宗学军 ,  何戡 ,  杨忠君 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06F18/23 ,  H04L47/2441

摘要： 本发明一种工控网络流量实时入侵检测方法，涉及一种互联网安全检测方法，本发明针对工业互联网实时流量的周期性特征，提供了一种入侵检测方法，该入侵检测方法对采集的正常流量进行滑动窗口分组构造正常流量特征，并设置正常流量哨兵；然后对采集的攻击流量进行滑动窗口分组构造攻击流量特征，并设置异常流量哨兵；接着通过这两个哨兵快速筛选实时流量中的绝对正常流量组和绝对异常流量组，对组中正常流量和异常流量掺杂的情况通过均值聚类将正常流量和异常流量分离，标记异常流量并反馈给可视化平台，以达到态势感知及入侵检测的目的。该方法有较高的检测成功率并且通过三个方面加快了入侵检测速度，进一步满足工业控制系统实时性的要求。

公开(公告)号：CN115603948A

公开(公告)日：2023-01-13

申请号：CN202211136250.9

申请日：2022-09-19

申请人： 沈阳化工大学(CN)

发明人： 宗学军 ,  袁野 ,  何戡 ,  王国刚 ,  郑洪宇 ,  杨忠君 ,  连莲 ,  孙逸菲

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/048 ,  G06N3/08 ,  G06F18/24

摘要： 本发明公开一种针对西门子工控网络的过程控制攻击检测方法，涉及一种工控系统过程控制攻击检测方法。其实现方式为：将工控网络中的流量数据进行预处理，将原始网络流量转化为图像数据，尽可能的保留了攻击流量的全部特征，解决了人工特征设计过程中的特征损失问题；将处理好的数据送入改进胶囊网络中进行分类，通过改进后的卷积层和引入残差连接，增强胶囊网络对复杂输入数据的特征提取能力。结果表明，本发明对工控网络中的各项过程控制攻击检出率均在90%以上，可以有效预防针对西门子系列PLC的过程控制攻击。

公开(公告)号：CN114553983A

公开(公告)日：2022-05-27

申请号：CN202210201202.7

申请日：2022-03-03

申请人： 沈阳化工大学

发明人： 宁博伟 ,  宗学军 ,  何戡 ,  郑洪宇 ,  杨忠君 ,  连莲 ,  孙逸菲

IPC分类号： H04L69/22 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

摘要： 一种基于深度学习高效工业控制协议解析方法，涉及一种工业控制协议解析方法，该方法从仿真平台和开源平台截获得工业控制系统流量数据报文，通过分析协议字段变化特征，采用无监督学习方法，投票专家算法（VE）对协议字段进行序列分割和格式特征推断。将经过处理字段序列特征作为输入，搭建加入注意力机制的双向长短期记忆神经网络模型（BiLSTM‑AM）并进行训练，使用softmax作为协议字段分类器，并且根据分类结果来实现工业协议字段分类结果预测。本发明基于加入注意力机制的双向长短期记忆神经网络模型，在未知工业协议预测和分类上达到了良好检测结果；解决了目前市面上多数网络协议逆向工具无法高效准确解析工业协议的问题。