公开(公告)号：CN112861364B

公开(公告)日：2022-08-26

申请号：CN202110201190.3

申请日：2021-02-23

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  赵大伟 ,  孙云霄 ,  张磊

IPC: G06F30/20 ,  G06K9/62 ,  G06F119/02

Abstract: 本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模方法及装置，包括：(1)状态数据预处理；对状态数据执行离散变量二元化和连续变量二元化操作，生成多组二元状态集合；(2)状态时延转换图构建；对每个二元状态集合构建与之相对应的状态时延转换图；(3)基于环发现的初级标注；采用状态转换边和环的标注流程，进行初级标注；(4)基于时延特征聚类的二次标注；输出为行为模型中的各参数。本发明实现设备状态转换及相应持续时间的描述，本发明将实时水分配系统中过程设备实时产生的状态数据输入行为模型中，可以有效发现过程设备当前状态是否符合行为模型中描述的数据关系及转换关系，实现异常检测。

公开(公告)号：CN110376957A

公开(公告)日：2019-10-25

申请号：CN201910598862.1

申请日：2019-07-04

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  王连海 ,  王巍 ,  魏玉良 ,  孙功亮

IPC: G05B19/05

Abstract: 本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。该包括：状态变量的自动获取及安全规约的构建步骤；按照时间窗口从PLC状态运行信息中挖掘状态冲突规则与时序规则的步骤；将所述的状态冲突规则与时序规则与所述的安全规约进行对比，发现与安全规约不一致的规则的步骤；将PLC网络通信记录数据与PLC运行状态数据进行关联分析的步骤；根据所述的关联分析，推理出引发PLC冲突规则或时序规则发生变化的相关PLC操作的步骤。本发明的基于安全规约自动构建的PLC安全事件取证方法。通过对PLC控制逻辑程序AWL文件的分析，自动构建安全规约，并将其与PLC运行状态数据中挖掘的安全规则进行一致性匹配，进一步重构PLC安全事件，完成取证。

公开(公告)号：CN112861364A

公开(公告)日：2021-05-28

申请号：CN202110201190.3

申请日：2021-02-23

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  赵大伟 ,  孙云霄 ,  张磊

IPC: G06F30/20 ,  G06K9/62 ,  G06F119/02

Abstract: 本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模方法及装置，包括：(1)状态数据预处理；对状态数据执行离散变量二元化和连续变量二元化操作，生成多组二元状态集合；(2)状态时延转换图构建；对每个二元状态集合构建与之相对应的状态时延转换图；(3)基于环发现的初级标注；采用状态转换边和环的标注流程，进行初级标注；(4)基于时延特征聚类的二次标注；输出为行为模型中的各参数。本发明实现设备状态转换及相应持续时间的描述，本发明将实时水分配系统中过程设备实时产生的状态数据输入行为模型中，可以有效发现过程设备当前状态是否符合行为模型中描述的数据关系及转换关系，实现异常检测。

公开(公告)号：CN110376957B

公开(公告)日：2020-09-25

申请号：CN201910598862.1

申请日：2019-07-04

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  王连海 ,  王巍 ,  魏玉良 ,  孙功亮

IPC: G05B19/05

Abstract: 本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。该包括：状态变量的自动获取及安全规约的构建步骤；按照时间窗口从PLC状态运行信息中挖掘状态冲突规则与时序规则的步骤；将所述的状态冲突规则与时序规则与所述的安全规约进行对比，发现与安全规约不一致的规则的步骤；将PLC网络通信记录数据与PLC运行状态数据进行关联分析的步骤；根据所述的关联分析，推理出引发PLC冲突规则或时序规则发生变化的相关PLC操作的步骤。本发明的基于安全规约自动构建的PLC安全事件取证方法。通过对PLC控制逻辑程序AWL文件的分析，自动构建安全规约，并将其与PLC运行状态数据中挖掘的安全规则进行一致性匹配，进一步重构PLC安全事件，完成取证。

公开(公告)号：CN118646568A

公开(公告)日：2024-09-13

申请号：CN202410714697.2

申请日：2024-06-04

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王佰玲 ,  李军 ,  孙云霄 ,  魏玉良 ,  刘红日

IPC: H04L9/40

Abstract: 本发明提供了一种IKE协议隐私泄漏检测方法及系统，涉及网络安全技术领域。本发明提供的方法包括：对通过数据预处理从IPSec加密流量中提取的与目标用户相关的IKE数据进行隐私泄露检测；隐私泄露检测包括用户操作系统信息泄露检测、用户内网地址信息泄露检测和认证用户名长度信息泄漏检测。本发明提出的IKE协议隐私泄漏检测方法及系统，通过检测用户操作系统信息、用户内网地址信息和认证用户名长度信息等潜在的隐私泄露风险点，能够有效地检测出IKE协议中存在的隐私泄露隐患，保护用户隐私安全，防止因隐私泄露而引发严重的安全事故。通过对网络环境的监测，以及对IKE协议安全配置的审查，能够及时发现潜在的安全风险，并采取相应的应对措施。

公开(公告)号：CN118473809A

公开(公告)日：2024-08-09

申请号：CN202410714691.5

申请日：2024-06-04

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 李军 ,  王佰玲 ,  孙云霄 ,  刘扬 ,  刘红日

IPC: H04L9/40

Abstract: 本发明公开了一种IKE协议激进模式抗重放攻击方法及装置，其属于网络安全技术领域，解决了现有技术中应对抗重放攻击的措施存在局限性的问题。本发明通过在IPSec服务端与外网连接处设置一个抗重放攻击网关，抗重放攻击网关包括处理模块、检查模块、存储模块，该网关接管所有进出服务端的流量，并对其进行抗重放攻击检测和防护，抗重放攻击网关能够检测和防范来自外部网络的重放攻击，确保整个通信链路的安全可靠，并且抗重放攻击网关通过FQDN注册机制、状态检查机制等手段，对进出服务端的IKE流量进行检查和分析，一旦检测到可能的重放攻击行为，立即进行攻击预警和采取防护措施，可以及时有效地应对安全威胁，保证连接安全。

公开(公告)号：CN115442107B

公开(公告)日：2024-07-09

申请号：CN202211054379.5

申请日：2022-08-31

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 刘杨 ,  朱静宇 ,  孙云霄 ,  魏玉良 ,  王孝朋 ,  王佰玲

IPC: H04L9/40 ,  G06F18/214

Abstract: 本申请提供了一种基于高斯混合模型的通信数据异常检测方法，解决了现有的基于统计方法的异常检测预测效果不理想、计算复杂度高的技术问题。其包括以下步骤：输入数据集：输入网络通信行为数据集，数据集为若干条通信在各个阶段的时间成本集合；确定隐变量：每个阶段的数据均来自高斯混合模型，设定隐变量为链路编号Z，且取值范围为[1,K]；构成每个高斯混合模型的高斯分布的数量等于链路条数K；参数求解：通过EM算法，进行迭代求解，对该隐变量确定的高斯混合模型进行参数求解；异常检测：新通信行为出现时，通过计算该通信行为的数据点来自高斯混合模型的概率，来预测是否存在异常攻击。本申请广泛应用于通信数据异常检测技术领域。

公开(公告)号：CN118133155A

公开(公告)日：2024-06-04

申请号：CN202410318704.7

申请日：2024-03-20

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 吕思才 ,  王佰玲 ,  辛国栋 ,  王巍 ,  刘扬

IPC: G06F18/2415 ,  G06F18/214 ,  G06N3/0455 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/0475 ,  G06N3/0495 ,  G06N3/096 ,  G06N3/084 ,  G06N3/0985 ,  H04L9/40 ,  H04L43/026 ,  H04L43/028 ,  H04L43/0876

Abstract: 本申请属于互联网应用流量检测技术领域，具体为一种面向开放场景的增量流量识别模型包括增量学习模型和开集识别模型；所述增量学习模型包括分类器和生成器。本申请还提供一种面向开放场景的增量流量识别方法。本申请还提供一种面向开放场景的增量流量识别模型的流量检测与模型更新方法。本申请能够提取目标类型的流量的关键信息，在面对新型应用流量检测需求时，可以通过增量学习模型进行训练，减少数据存储和模型训练的资源消耗；训练好的分类器作为预训练模型参与开集识别训练，使其具备识别未知流量的能力；通过开集识别训练后的分类器完成检测工作，能够有效识别目标类型的流量和未知流量，为复杂网络环境下的应用流量检测提供保障。

公开(公告)号：CN117896106A

公开(公告)日：2024-04-16

申请号：CN202311765112.1

申请日：2023-12-21

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 刘红日 ,  赵若涵 ,  吴贤生 ,  王凯 ,  王佰玲

IPC: H04L9/40 ,  G06N3/092

Abstract: 本申请提供了一种基于强化学习价值计算的工控漏洞修复方法及系统，其中方法包括以下步骤：获取系统信息，生成马尔可夫决策过程状态转移图；以马尔可夫决策过程状态转移图建立模型并进行强化学习训练，计算状态‑动作值；根据计算结果读取状态‑动作值表，按顺序修复漏洞，直至将漏洞全部修复完成。本申请提供的基于强化学习价值计算的工控系统漏洞修复方法，解决了现有技术中存在的缺少对漏洞全局影响的评估，不考虑攻击者行为的影响以及对漏洞的修复顺序过于片面的技术问题。

公开(公告)号：CN116824270A

公开(公告)日：2023-09-29

申请号：CN202310925490.5

申请日：2023-07-26

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王瑶 ,  王佰玲 ,  辛国栋 ,  王巍 ,  刘扬

IPC: G06V10/764 ,  G06V10/774 ,  G06V10/82 ,  G06N3/0464

Abstract: 本申请提供了一种基于注意力机制改进的小样本车型识别方法，解决了现有车型识别方法在少量样本的情况下识别精度低的技术问题，包括：步骤一，提取车辆图像样本的特征图；步骤二，将特征图输入第一注意力模块，采用全局平均池化，生成注意力权重图_1；步骤三，使用注意力权重图_1，对特征图#imgabs0#加权、卷积，得到新特征图；步骤四，将新特征图输入第二注意力模块，采用全局最大池化，生成注意力权重图_2；步骤五，使用注意力权重图_2，对新特征图加权，得到细化特征图；步骤六，将细化特征图输入全卷积网络分类模块，计算属于每个车型类别的概率。本发明广泛应用于车型识别技术领域。