公开(公告)号：CN118861712A

公开(公告)日：2024-10-29

申请号：CN202410970499.2

申请日：2024-07-19

申请人： 沈阳化工大学

发明人： 连莲 ,  马薇 ,  宗学军 ,  宁博伟 ,  何戡 ,  王国刚 ,  孙逸菲 ,  郑洪宇

IPC分类号： G06F18/23 ,  G06F18/213 ,  G06N3/088 ,  G06N3/045 ,  G06N3/0475 ,  G06N3/094 ,  G06N3/0464 ,  G06N3/084

摘要： 一种无监督域自适应的工业控制网络轻量级异常检测方法，涉及一种工业控制网络异常检测方法，本发明采集历史阶段与在线阶段的工控网络数据对模型进行训练。在领域对抗训练阶段，应用无监督时空特征提取器SCA‑SRCAE，结合轻量级跨纬度空间通道注意力(Spatial Channel Attention，SCA)机制，以提升模型检测性能。引入最大均值差异(MaximumMeanDiscrepancy，MMD)作为正则化方法，训练域共享时空特征提取器。同时使用源域和目标域数据训练域鉴别器，寻求域不变特征表示，提高模型泛化能力。使用改进的Denstream形成正常通信消息的轮廓基线，提高工业控制网络异常检测效率。

公开(公告)号：CN117596195A

公开(公告)日：2024-02-23

申请号：CN202311575652.3

申请日：2023-11-24

申请人： 沈阳化工大学

发明人： 连莲 ,  陈思杨 ,  宗学军 ,  宁博伟 ,  何戡 ,  王国刚 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L43/18 ,  H04L9/40 ,  G06N3/094 ,  G06F18/23213

摘要： 一种基于SAGAN的工业控制协议模糊测试的方法，涉及一种工业控制协议模糊测试的方法，本发明从仿真平台截获的工业控制协议流量数据，对获取的真实数据进行预处理，采用一种非监督学习方法，k‑means聚类对数据进行聚类，然后将经过处理的数据使用one‑hot编码进行特征转换。然后搭建加入自注意力机制(self‑attention)的自注意力生成对抗模型(SAGAN)并进行训练，模型训练结束后将采集到的真实的工控协议数据作为SAGAN模型的输入来生成与真实数据帧相似的可靠的测试用例，再将其发送到测试目标并记录任何可能的响应。本发明提高了针对未知协议模糊测试方法的效率以及自动化程度。

公开(公告)号：CN114884695A

公开(公告)日：2022-08-09

申请号：CN202210366791.4

申请日：2022-04-08

申请人： 沈阳化工大学

发明人： 李群峰 ,  郑洪宇 ,  宗学军 ,  何戡 ,  杨忠君 ,  连莲 ,  孙逸菲

IPC分类号： H04L9/40 ,  H04L67/125 ,  H04L41/16 ,  H04L43/18 ,  G06N3/04 ,  G06N3/08

摘要： 一种基于深度学习的工业控制流量协议识别方法，涉及一种提高工业控制模型运行方法，本发明将其划分为训练数据集和做测试数据集；通过数据加强将训练数据集调整数据的不平衡性，将处理过后的数据作为下一层的输入；使用最大似然估计计算最优标注序列，通过训练得到最高条件概率对输入数据进行标记；使用MLP作为协议识别的分类器，效果不理想可以优化权重参数，继续学习直到模型最优化，将此模块与真实工控环境结合达到实时监测的效果。本发明绕过了私有协议的预特征处理以及人工提取特征值，避免不必要的困难与损失；实现对工业控制系统协议的实时自动有效解析识别，达到流量监测与分类，避免恶意流量攻击工业系统，保障工业控制系统的安全，提高工业环境的工作效率。

公开(公告)号：CN118316647A

公开(公告)日：2024-07-09

申请号：CN202410276982.0

申请日：2024-03-12

申请人： 沈阳化工大学

发明人： 何戡 ,  程小伶 ,  宗学军 ,  宁博伟 ,  王国刚 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06N3/088 ,  G06N3/094 ,  G06N3/0464

摘要： 本发明公开了一种基于无监督多模态域对抗学习的工业控制网络入侵检测的方法，涉及工业控制安全领域。本发明首先对石油化工行业信息安全重点实验室中的火力发电网络安全攻防演练靶场进行攻击，分别获取攻击数据和未受到攻击的正常数据，处理后数据的少数攻击样本使用条件变分自编码器进行数据重构，其次将转换后的频域数据和原先的时域数据分割为源域数据和目标域数据。最后在预训练阶段使用源数据训练两个特征提取器和分类器，再将时域特征和频域特征融合并通过对抗学习进一步优化特征提取器和时频融合分类器用于目标数据中的分类任务，这进一步提高了工业控制入侵检测的准确率。

公开(公告)号：CN114760126A

公开(公告)日：2022-07-15

申请号：CN202210366787.8

申请日：2022-04-08

申请人： 沈阳化工大学

发明人： 连莲 ,  王文诚 ,  宗学军 ,  何戡 ,  杨忠君 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06K9/62

摘要： 本发明一种工控网络流量实时入侵检测方法，涉及一种互联网安全检测方法，本发明针对工业互联网实时流量的周期性特征，提供了一种入侵检测方法，该入侵检测方法对采集的正常流量进行滑动窗口分组构造正常流量特征，并设置正常流量哨兵；然后对采集的攻击流量进行滑动窗口分组构造攻击流量特征，并设置异常流量哨兵；接着通过这两个哨兵快速筛选实时流量中的绝对正常流量组和绝对异常流量组，对组中正常流量和异常流量掺杂的情况通过均值聚类将正常流量和异常流量分离，标记异常流量并反馈给可视化平台，以达到态势感知及入侵检测的目的。该方法有较高的检测成功率并且通过三个方面加快了入侵检测速度，进一步满足工业控制系统实时性的要求。

公开(公告)号：CN114491511A

公开(公告)日：2022-05-13

申请号：CN202111638957.5

申请日：2021-12-30

申请人： 沈阳化工大学

发明人： 曹春明 ,  宗学军 ,  何戡 ,  郑洪宇 ,  杨忠君 ,  连莲 ,  孙逸菲

IPC分类号： G06F21/55 ,  G06K9/62 ,  G06N3/04 ,  G06N3/08

摘要： 本发明公开了一种基于变分自编码器和深度回声状态网络的工业入侵检测方法，涉及一种工业控制网络入侵检测方法。该方法实现方式为：将捕获的数据集进行标准化处理，划分训练集与测试集，考虑到样本不平衡问题，利用变分自编码器的概率生成特性，生成少数类攻击样本，将处理好的数据送入待训练的深度回声状态网络模型，回声状态网络由于舍弃了反向传播机制，极大缩短了训练时间，并且通过堆叠储备池可以有效提取数据中的潜在特征。结果表明，本发明不仅取得了相对较短的训练耗时，其检测性能如准确率、精确率和检出率等也有了一定的提升，更适合工业环境，此外，当入侵检测数据集存在样本不平衡问题时，本发明依然可以取得良好的检测效果。

公开(公告)号：CN118860886A

公开(公告)日：2024-10-29

申请号：CN202410970390.9

申请日：2024-07-19

申请人： 沈阳化工大学

发明人： 宗学军 ,  韩冰 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： G06F11/36 ,  G06N3/045 ,  G06F18/214 ,  G06F18/23213 ,  G06N3/096 ,  G06N3/08

摘要： 本发明一种基于Transformer decoder的工控协议模糊测试用例生成方法，属于工业网络安全领域。该方法包括：1)获取测试用例训练集。2)训练集预处理。将训练集预处理为序列形式数据，并进行格式处理，以符合Transformer decoder模型的输入；3)学习模型训练。通过训练得到协议格式规范的学习模型；4)测试用例生成。5)变异算子替换。6)反馈调优。监控初始模糊测试响应，根据异常用例聚类构建手动训练集，进行再训练。本发明基于Transformer decoder模型高效学习工控协议格式，结合区间选择策略和关键字节权重算法实现生成有效、多样且具有针对性的测试用例，提高了模糊测试的效率。

公开(公告)号：CN118316644A

公开(公告)日：2024-07-09

申请号：CN202410276556.7

申请日：2024-03-12

申请人： 沈阳化工大学

发明人： 宗学军 ,  刘金洋 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L9/40

摘要： 一种基于Resnet‑EfficientVit的工业实时入侵检测方法，涉及一种网络工业入侵检测方法，该方法使用Suricata和Elasticsearch进行流量实时获取，结合Resnet‑EfficientViT组合的分类模型对图像进行分类，该模型相对在入侵检测的领域上分类效果高于用于传统图像分类模型，在石油化工行业信息安全重点实验室中的火力发电网络安全攻防演练靶场，对不同的攻击的检测准确率都高达96％以上，训练时间减少了36％，测试时间减少了33％，最重要的在于高效检测速度。证明了该模型在工业控制系统实时入侵检测应用中的性能的优越性。

公开(公告)号：CN117499143A

公开(公告)日：2024-02-02

申请号：CN202311573089.6

申请日：2023-11-23

申请人： 沈阳化工大学

发明人： 宗学军 ,  隋一凡 ,  宁博伟 ,  王国刚 ,  何戡 ,  连莲 ,  孙逸菲 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06N3/0475 ,  H04L69/00

摘要： 一种基于生成对抗网络的通用工业控制协议模糊测试方法，涉及一种网络安全对抗控制协议模糊测试方法。本发明所述方法包括生成步骤、校对步骤以及变异步骤，生成步骤是将工业控制协议报文输入WGAN‑GP算法中，通过训练学习到工业控制协议的规范，并生成用于模糊测试的测试用例，从而摆脱对协议规范和专家知识的依赖；校对步骤采用统计语言模型N‑gram对工业控制协议报文分析得到固定字段和可变字段，进一步修正生成对抗网络训练结果，提高测试用例的接收率；变异步骤将测试用例与专家经验结合，引导变异方向，增加触发异常结果的测试用例数量。

公开(公告)号：CN114760126B

公开(公告)日：2023-09-19

申请号：CN202210366787.8

申请日：2022-04-08

申请人： 沈阳化工大学

发明人： 连莲 ,  王文诚 ,  宗学军 ,  何戡 ,  杨忠君 ,  郑洪宇

IPC分类号： H04L9/40 ,  G06F18/23 ,  H04L47/2441

摘要： 本发明一种工控网络流量实时入侵检测方法，涉及一种互联网安全检测方法，本发明针对工业互联网实时流量的周期性特征，提供了一种入侵检测方法，该入侵检测方法对采集的正常流量进行滑动窗口分组构造正常流量特征，并设置正常流量哨兵；然后对采集的攻击流量进行滑动窗口分组构造攻击流量特征，并设置异常流量哨兵；接着通过这两个哨兵快速筛选实时流量中的绝对正常流量组和绝对异常流量组，对组中正常流量和异常流量掺杂的情况通过均值聚类将正常流量和异常流量分离，标记异常流量并反馈给可视化平台，以达到态势感知及入侵检测的目的。该方法有较高的检测成功率并且通过三个方面加快了入侵检测速度，进一步满足工业控制系统实时性的要求。