公开(公告)号：CN105429963B

公开(公告)日：2019-01-22

申请号：CN201510740526.8

申请日：2015-11-04

Applicant: 北京工业大学

Inventor： 赖英旭 ,  王宇盛 ,  宋站威 ,  刘静 ,  杨凯翔 ,  蔡晓田 ,  李亚娟

IPC: H04L29/06

Abstract: 基于Modbus/Tcp的入侵检测分析方法，该方法包括数据采集模块与网络接口相连，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连；在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶段，将数据包解析结果发送给规则匹配模块；规则生成模块接收解析后的数据包，生成规则集合；规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下，为用户提供了规则离线学习，在线实时检测的安全措施，根据企业策略需求阻断潜在威胁，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

公开(公告)号：CN106357622A

公开(公告)日：2017-01-25

申请号：CN201610757834.6

申请日：2016-08-29

Applicant: 北京工业大学

Inventor： 刘静 ,  张世轩 ,  赖英旭 ,  何运 ,  杨盼 ,  付天怡 ,  宋站威

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1458 ,  H04L63/1466

Abstract: 基于软件定义网络的网络异常流量检测防御系统，软件定义网络与传统网络对异常流量的检测方法大有不同，使得传统的检测方法不再适用，通过运用网络控制平面和数据平面分离的思想,软件定义网络为研发网络新应用和处理网络安全问题提供了新的解决方案。本发明利用软件定义网络架构的集中控制等特点，在攻击的源头实现流量实时监控，使用源IP防伪，接入层异常检测，链路流量异常检测形成多重防御体系，逐渐过滤异常流量，实现网络层DDoS攻击在源端的检测和防御。

公开(公告)号：CN103929422B

公开(公告)日：2017-01-25

申请号：CN201410138045.5

申请日：2014-04-08

Applicant: 北京工业大学

Inventor： 赖英旭 ,  周睿康 ,  刘静 ,  秦华 ,  李健

IPC: H04L29/06 ,  H04L29/08

Abstract: 基于SDN的可信域间安全认证协议属于信息安全领域。本发明将可信网络思想融入SDN概念下的OpenFlow网络架构，实现未来网络架构可信、可控的安全目标。在建立可信域的基础上，提出一种无可信第三方的可信域间安全认证协议，协议采用挑战应答方式，首先，接入可信网络的认证请求者进入初始状态，并向被请求者发送身份信息，被请求者做出应答，返回自身身份信息，互相进行身份注册。其次，认证请求者与被请求者继续采用挑战应答方式协商可信敏感信息，通过比对敏感信息PCR值与随机数的哈希结果，进行互信认证。最后，如果请求者与被请求者各自比对哈希结果符合可信要求，认证成功。否则，互信认证失败。

公开(公告)号：CN106131027A

公开(公告)日：2016-11-16

申请号：CN201610567063.4

申请日：2016-07-19

Applicant: 北京工业大学

Inventor： 刘静 ,  张世轩 ,  庄俊玺 ,  赖英旭

IPC: H04L29/06

Abstract: 本发明公开一种基于软件定义网络的网络异常流量检测防御系统，包括：IP地址防伪模块，位于软件定义网络中OpenFlow控制器中，用于对通过DHCP与静态配置IP两种类型的用户实现IP地址的动态绑定，实现源IP防伪；攻击检测模块，位于客户端，利用sFlow‑rt提取网络信息，建立正常流量模型，利用TCPReplay重放数据集建立正常与异常网络特征信息模型，基于客户端的SVM分类算法检测异常，将网络状态的改变信息发送给服务端；攻击阻断模块，位于服务端，用于根据所述网络状态的改变信息与阈值信息，对特定IP相关流表项进行提取计算访问速度，且与预设阈值进行比较，下发阻断流表项，实现异常流量的防御。采用本发明的技术方案，可以实现DDoS攻击的检测与防御。

公开(公告)号：CN105978916A

公开(公告)日：2016-09-28

申请号：CN201610567165.6

申请日：2016-07-19

Applicant: 北京工业大学

Inventor： 刘静 ,  何运 ,  庄俊玺 ,  赖英旭

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1425 ,  H04L63/1458

Abstract: 本发明公开一种SDN网络的安全审计系统，包括：所述事件生成模块，用于将网络中与安全有关状态信息转换为预设格式的安全审计事件，事件存储模块，用于安全审计事件存储到数据库中；事件分析模块，用于从数据库中对安全审计事件进行DDoS攻击回溯分析，能够分析出DDoS攻击中的攻击者和僵尸主机集合，同时提取出用户的网络访问行为模式以供后续的进行判断用户的行为是否属于异常行为。采用本发明的技术方案，可对SDN网络中与安全有关的活动进行记录，建立网络中的安全审计事件数据库，根据安全审计数据能分析出网络中的安全事件过程，为网络管理员分析和识别攻击行为提供有力的证据。

公开(公告)号：CN105807631A

公开(公告)日：2016-07-27

申请号：CN201610131655.1

申请日：2016-03-08

Applicant: 北京工业大学 ,  工业和信息化部电子工业标准化研究院

Inventor： 高一为 ,  周睿康 ,  赖英旭 ,  范科峰 ,  宋站威 ,  王宇盛 ,  姚相振 ,  龚洁中

IPC: G05B17/02

CPC classification number: G05B17/02

Abstract: 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

公开(公告)号：CN105471844A

公开(公告)日：2016-04-06

申请号：CN201510781489.5

申请日：2015-11-15

Applicant: 北京工业大学

Inventor： 杨甜甜 ,  杨震 ,  范科峰 ,  赖英旭

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/10 ,  H04L63/0892 ,  H04L67/10

Abstract: 一种基于信任合成的云服务动态组合方法，属于可信云计算安全领域。该方法通过定义云服务的信任属性，将其分解为基础信任和经验信任的集合：1)基础信任，将信任的本质视为对象的客观属性，基础信任的评价问题建模为对云服务主体分解属性的判断问题；2)经验信任，将信任定义为对象交互产生信任的主观测量，经验信任的评价问题建模为对云服务主体之间交互行为的判断问题。定义云服务信任属性；建立云服务基础信任的评价机制；建立云服务经验信任的评价机制；建立云服务组合信任传播模型；计算云服务组合信任值；仿真实验结果表明，所提出的方法可以在持续变化的云环境下有效的组织和提供可信的云服务。

公开(公告)号：CN103023911B

公开(公告)日：2015-10-14

申请号：CN201210573116.5

申请日：2012-12-25

Applicant: 北京工业大学

Inventor： 赖英旭 ,  邹起辰 ,  潘秋月 ,  徐壮壮 ,  秦华 ,  李健 ,  刘静

IPC: H04L29/06

Abstract: 可信网络设备接入可信网络认证方法属于计算机安全领域。它利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证，然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信。首先，可信设备接入可信网络时在端口启用过滤器只允许本方法认证的帧通过，可信设备有对认证帧的寻址机制。然后，对平台进行认证，完毕后再通过绑定身份和平台做第二次认证。最后，通过两阶段认证保证网络设备平台与身份认证，从而达到网络设备可信接入网络。现有协议往往分别针对平台认证和身份认证，容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络，本发明解决该问题。

公开(公告)号：CN104751059A

公开(公告)日：2015-07-01

申请号：CN201510191154.8

申请日：2015-04-22

Applicant: 北京工业大学

Inventor： 赖英旭 ,  赵轶文 ,  刘静 ,  高一为

IPC: G06F21/56

Abstract: 基于函数模板的软件行为分析方法，属于信息安全领域。包括三个步骤，分别为预处理、建模和检测，其中预处理通过插入自定义的分割函数，实现对软件源代码标记，从而获得已标记软件源代码和已标记软件；建模包括根据已标记源代码中函数调用关系建立软件源代码函数转移图，并通过运行已标记软件，监控其调用的API，从而获得软件API最小功能块转移图；检测包括通过对待测软件源代码进行预处理、建模，获得待测软件源代码函数转移图和待测软件API最小功能块转移图，并通过将其与建模生成的软件源代码函数转移图和软件API最小功能块转移图进行比对，判断待测软件行为是否异常。本发明方法简单易行，可有效地实现软件行为的监测。

公开(公告)号：CN103023725B

公开(公告)日：2015-03-04

申请号：CN201210560973.1

申请日：2012-12-20

Applicant: 北京工业大学

Inventor： 赖英旭 ,  李秀龙 ,  杨震 ,  刘静 ,  李健

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明是一种基于网络流量分析的异常检测方法。本发明通过对IP数据包的深入分析提出了一个比较完备的网络流量初始特征集，有利于从根本上提高异常检测系统的性能。并根据不同类型的网络异常动态选择用于异常检测的特征子集，最后利用贝叶斯分类器根据特征子集对未知样本进行类别预测，如果预测结果为异常，则进行异常提示。软件三个模块：数据预处理模块负责前期数据的处理；特征选择模块根据异常的类型选择用于检测异常的合适的特征子集；异常检测模块在发现异常后进行异常提示。本发明提出的动态特征选择算法可以针对不同类型的异常动态的选择出用于检测该异常的最优特征子集，有助于降低用于检测异常的流量特征维数，提高异常检测的准确率。