公开(公告)号：CN119172103A

公开(公告)日：2024-12-20

申请号：CN202411085195.4

申请日：2024-08-08

Applicant: 湖南匡安网络技术有限公司

Inventor： 杨志邦 ,  周彬 ,  蔡宇辉 ,  余思洋 ,  杨圣洪 ,  李肯立 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/0442

Abstract: 本发明公开了一种基于CNN‑BiGRU的DDOS攻击检测方法及系统，所述方法包括根据Spearman秩相关系数绝对值大小确定与DDOS攻击相关性显著的特征，基于格拉姆角差场将时间序列特征转换为2D纹理图像，将每个单变量时间序列转换后的二维图像输入CNN‑BiGRU网络模型，训练模型直至收敛，将样本输入到训练好的GAF‑CNN‑BiGRU网络模型中，将模型输出的概率分布进行平均概率融合，然后从融合后的输出中获取预测概率最高的结果并输出。本发明实现了识别出更复杂的攻击特征，丰富了数据的表达能力，同时融合可以帮助模型更全面、更深入地理解和分析数据，提高检测的精确度和泛化能力。

公开(公告)号：CN116668068A

公开(公告)日：2023-08-29

申请号：CN202310423533.X

申请日：2023-04-20

Applicant: 湖南匡安网络技术有限公司

Inventor： 余思洋 ,  李政 ,  李肯立 ,  段明星 ,  蔡宇辉 ,  杨志邦 ,  杨圣洪 ,  唐伟 ,  吕婷

IPC: H04L9/40 ,  G06N20/20

Abstract: 本发明公开了基于联合联邦学习的工控异常流量检测方法，包括：生成本地训练数据集；客户端使用本地数据集在初始模型上训练得到本地模型参数，并发送到服务器S1完成参数聚合；S1将全局参数分发到客户端，客户端开始下一轮本地训练；得到全局模型M1；客户端将本地的异常样本发送到服务器S2，S2整合所有异常样本，进行模型训练，得到模型M2；将模型M1和M2组合，并采集工控设备传感器和执行器数据，将数据送入组合模型，进行实时异常检测。本发明避免了工控环境下本地客户端采用不均衡数据集训练导致模型对正常样本过拟合，检测精度不高的问题；有更强的泛化能力。

公开(公告)号：CN116260617A

公开(公告)日：2023-06-13

申请号：CN202211658520.2

申请日：2022-12-22

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  焦凯伦 ,  蔡宇辉 ,  杨志邦 ,  余思洋 ,  杨圣洪 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  H04L43/0876 ,  H04L43/04 ,  G06N20/20

Abstract: 本发明公开了基于联邦学习的电网工控协议入侵检测方法与系统，方法包括以下步骤：收集电网变电站的流量信息；构建流量信息数据集，在GAN神经网络上进行学习；基于变电站训练好的模型权重，上传到中心服务器进行聚合训练，并下发变电站；变电站基于训练好的模型生成大量网络流量数据，提取正常动作信息，设计行为规则；将实时传输的报文解码后进行与正常动作信息进行匹配，从而判定当前数据包的行为动作是否属于正常动作，如果出现异常动作，进行告警。本发明基于联邦学习利用生成对抗网络进行数据扩充，利用大量数据提取出更合理的行为动作进行规则匹配，解决了因为数据隐私性和安全性导致数据量少的问题。

公开(公告)号：CN114845303A

公开(公告)日：2022-08-02

申请号：CN202210413580.1

申请日：2022-04-14

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  杨圣洪 ,  刘双昱 ,  罗汸 ,  杨志邦 ,  余思洋 ,  蔡宇辉 ,  唐伟

IPC: H04W12/088 ,  H04W12/37

Abstract: 本发明公开了一种基于应用程序接口的工控网络外联设备检测方法，其通过调用bluetoothapi接口获取客户端中的蓝牙通信设备信息，调用iphlpapi接口获取客户端网络的相关参数，来判断客户端是否正和违规外联进行连接通信；设计一种新的程序保护机制——探测到扫描程序被从进程管理器处关闭后，修改程序的过程终止权限，防止程序被从外部关闭，保证对客户端进行持续性扫描。其目的在于，通过对客户端网卡和蓝牙的持续扫描，解决工业控制安全中存在的信息安全问题。本发明还公开了一种基于应用程序接口的工控网络外联设备检测系统。

公开(公告)号：CN114626098A

公开(公告)日：2022-06-14

申请号：CN202210296937.2

申请日：2022-03-24

Applicant: 湖南匡安网络技术有限公司

Inventor： 罗汸 ,  李斌 ,  余思洋 ,  杨志邦 ,  唐伟 ,  吕婷 ,  钟凯

IPC: G06F21/62 ,  G06F16/901

Abstract: 本发明公开了一种基于双HASH验证的主机防御方法，包括：(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束；(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取。本发明解决了可执行文件实时检测的效率低和进程运行速度变慢的问题，保证更安全、准确的校验，保障主机提供服务的效率和抵御外界的防御能力。

公开(公告)号：CN112988630A

公开(公告)日：2021-06-18

申请号：CN202110300018.3

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  邓洪奇 ,  余思洋 ,  周旭 ,  刘楚波 ,  唐伟 ,  刘俊 ,  李克勤

IPC: G06F13/16 ,  G06F21/56 ,  G06F21/79

Abstract: 本发明公开了一种基于微过滤器的移动存储设备的读写控制方法及系统，属于信息安全技术领域。包括：在文件系统的I/O管理器中注册微过滤器，将微过滤器设置成自动绑定终端设备上所有卷设备；获取微过滤器的句柄，并根据句柄，注册文件的IRP操作所对应的回调函数；其中，微过滤器用于监控IRP操作，在对文件进行读写操作之前，文件系统优先调用回调函数；在回调函数中，根据移动存储设备的设备标识及权限标签，对移动存储设备进行读写访问控制。由于是从文件层面上考虑，并基于该层面对移动存储设备的读写控制进行改进，从而相对于硬件层面的改进，能够有效降低成本。

公开(公告)号：CN116563410A

公开(公告)日：2023-08-08

申请号：CN202310575158.0

申请日：2023-05-22

Applicant: 湖南匡安网络技术有限公司

Inventor： 杨圣洪 ,  徐方明 ,  李肯立 ,  蔡宇辉 ,  杨志邦 ,  余思洋 ,  唐伟 ,  段明星 ,  吕婷

IPC: G06T11/00 ,  G06N3/045 ,  G06N3/0475 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了基于两级生成对抗网络的电气设备电火花图像生成方法，包括：包括以下步骤：采集真实图像数据集并收集文本描述；构建电火花图像背景剥离模块，并制作无背景的低分辨率电火花图像集；构建特征提取模块；构建用于训练的两级生成对抗网络模型，其中第一级nbgGAN模型用于生成无背景的低分辨率图像，第二级bgGAN模型用于生成有背景的高分辨率图像；对生成的两级对抗网络模型进行训练，得到训练好的模型；利用训练好的电气设备电火花图像生成模型生成各种故障类型的电火花图像。本发明增强电火花的特征表示，提高图像中电火花特征的辨识度，帮助模型获得准确的电火花特征，提高生成图像的稳定性。

公开(公告)号：CN114845303B

公开(公告)日：2024-10-11

申请号：CN202210413580.1

申请日：2022-04-14

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  杨圣洪 ,  刘双昱 ,  罗汸 ,  杨志邦 ,  余思洋 ,  蔡宇辉 ,  唐伟

IPC: H04W12/088 ,  H04W12/37

Abstract: 本发明公开了一种基于应用程序接口的工控网络外联设备检测方法，其通过调用bluetoothapi接口获取客户端中的蓝牙通信设备信息，调用iphlpapi接口获取客户端网络的相关参数，来判断客户端是否正和违规外联进行连接通信；设计一种新的程序保护机制——探测到扫描程序被从进程管理器处关闭后，修改程序的过程终止权限，防止程序被从外部关闭，保证对客户端进行持续性扫描。其目的在于，通过对客户端网卡和蓝牙的持续扫描，解决工业控制安全中存在的信息安全问题。本发明还公开了一种基于应用程序接口的工控网络外联设备检测系统。

公开(公告)号：CN117829270A

公开(公告)日：2024-04-05

申请号：CN202311771042.0

申请日：2023-12-21

Applicant: 湖南匡安网络技术有限公司

Inventor： 蔡宇辉 ,  袁理想 ,  李肯立 ,  段明星 ,  余思洋 ,  杨志邦 ,  杨圣洪 ,  唐伟 ,  吕婷

IPC: G06N3/098 ,  G06N3/0475 ,  G06N3/045 ,  G06F18/24 ,  G06F18/214

Abstract: 本发明公开了一种针对非独立同分布且不平衡数据集的联邦学习方法，包括：S1中间信任服务器使用信任客户端的数据集预训练本地模型；S2初始化区域客户端的初始权重；S3得到训练样本集；S4训练本地模型；S5基于上一轮权重下的本地模型，更新各区域客户端的权重；S6本地模型训练次数是否达到预设权重更新次数；S7将本轮训练好的本地模型上传至中心服务器，完成模型聚合，将更新的全局模型下发到中间信任服务器；S8重复步骤S3‑S7，直到完成全局模型的训练。本发明通过综合利用生成对抗网络和智能客户端权重调整等策略，改进联邦学习效果，提高了联邦模型的学习效率，使模型更能适应不同本地设备上的数据，提升了整体模型的性能。

公开(公告)号：CN112968906A

公开(公告)日：2021-06-15

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。