公开(公告)号：CN116260617A

公开(公告)日：2023-06-13

申请号：CN202211658520.2

申请日：2022-12-22

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  焦凯伦 ,  蔡宇辉 ,  杨志邦 ,  余思洋 ,  杨圣洪 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  H04L43/0876 ,  H04L43/04 ,  G06N20/20

Abstract: 本发明公开了基于联邦学习的电网工控协议入侵检测方法与系统，方法包括以下步骤：收集电网变电站的流量信息；构建流量信息数据集，在GAN神经网络上进行学习；基于变电站训练好的模型权重，上传到中心服务器进行聚合训练，并下发变电站；变电站基于训练好的模型生成大量网络流量数据，提取正常动作信息，设计行为规则；将实时传输的报文解码后进行与正常动作信息进行匹配，从而判定当前数据包的行为动作是否属于正常动作，如果出现异常动作，进行告警。本发明基于联邦学习利用生成对抗网络进行数据扩充，利用大量数据提取出更合理的行为动作进行规则匹配，解决了因为数据隐私性和安全性导致数据量少的问题。

公开(公告)号：CN114845303A

公开(公告)日：2022-08-02

申请号：CN202210413580.1

申请日：2022-04-14

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  杨圣洪 ,  刘双昱 ,  罗汸 ,  杨志邦 ,  余思洋 ,  蔡宇辉 ,  唐伟

IPC: H04W12/088 ,  H04W12/37

Abstract: 本发明公开了一种基于应用程序接口的工控网络外联设备检测方法，其通过调用bluetoothapi接口获取客户端中的蓝牙通信设备信息，调用iphlpapi接口获取客户端网络的相关参数，来判断客户端是否正和违规外联进行连接通信；设计一种新的程序保护机制——探测到扫描程序被从进程管理器处关闭后，修改程序的过程终止权限，防止程序被从外部关闭，保证对客户端进行持续性扫描。其目的在于，通过对客户端网卡和蓝牙的持续扫描，解决工业控制安全中存在的信息安全问题。本发明还公开了一种基于应用程序接口的工控网络外联设备检测系统。

公开(公告)号：CN114722240A

公开(公告)日：2022-07-08

申请号：CN202210330582.4

申请日：2022-03-30

Applicant: 湖南匡安网络技术有限公司

Inventor： 蔡宇辉 ,  李肯立 ,  王棵枝 ,  杨圣洪 ,  杨志邦 ,  余思洋

IPC: G06F16/75 ,  G06K9/62 ,  G06N3/04 ,  G06V10/774 ,  G06V10/82

Abstract: 本发明公开了一种用于堡垒机录屏审计的视频分类方法，包括：客户端使用屏幕抓取工具对其屏幕进行实时录制，对录制的视频进行处理，将处理得到的视频进行编码压缩以得到视频流，并将该视频流发送到服务端，服务端依次将来自客户端的视频流解码得到视频，并将解码后的视频输入训练好的时间片段网络TSN中，以得到该视频对应的特征向量，服务端依次将得到的视频流中所有视频对应的所有特征向量输入训练好的长短时记忆网络LSTM中，以得到视频分类结果。本发明能够解决现有审计方法产生大量的人力物力消耗，对返回的审计信息也无法有效识别和审计，因此无法满足轻量级、自动化与实时性需求的技术问题。

公开(公告)号：CN113055374B

公开(公告)日：2022-07-08

申请号：CN202110258404.0

申请日：2021-03-10

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴繁宇 ,  阳王东 ,  余思洋 ,  周旭 ,  刘楚波 ,  陈建国 ,  刘俊 ,  吕婷

IPC: H04L9/40 ,  H04L43/18 ,  H04L69/06 ,  H04L67/01

Abstract: 本发明公开了一种用于IEC104电力协议安全性测试的检测方法，其首先获取待检测设备的IP地址，通过基于Peach平台设计的检测程序与待检测设备进行报文交互，并且根据待检测设备回复的信息内容，结合预先定义的规则有针对性地构造异常数据报文并将其向待检测设备发送，在检测系统与待检测设备的通信过程中，监测程序也会同步地监测待检测设备的状态变化，如果检测程序或监测程序发现待检测设备出现异常情况，检测程序就会停止构造异常数据报文，转而核实该异常，若核实无误，则作为待检测设备存在的一个安全隐患进行记录。本发明提供的IEC104电力协议安全性测试方法以使用IEC104电力协议进行数据传输的站端设备为检测对象，能够有效地发现站端设备存在的安全隐患。

公开(公告)号：CN114626098A

公开(公告)日：2022-06-14

申请号：CN202210296937.2

申请日：2022-03-24

Applicant: 湖南匡安网络技术有限公司

Inventor： 罗汸 ,  李斌 ,  余思洋 ,  杨志邦 ,  唐伟 ,  吕婷 ,  钟凯

IPC: G06F21/62 ,  G06F16/901

Abstract: 本发明公开了一种基于双HASH验证的主机防御方法，包括：(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束；(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取。本发明解决了可执行文件实时检测的效率低和进程运行速度变慢的问题，保证更安全、准确的校验，保障主机提供服务的效率和抵御外界的防御能力。

公开(公告)号：CN113055374A

公开(公告)日：2021-06-29

申请号：CN202110258404.0

申请日：2021-03-10

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴繁宇 ,  阳王东 ,  余思洋 ,  周旭 ,  刘楚波 ,  陈建国 ,  刘俊 ,  吕婷

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种用于IEC104电力协议安全性测试的检测方法，其首先获取待检测设备的IP地址，通过基于Peach平台设计的检测程序与待检测设备进行报文交互，并且根据待检测设备回复的信息内容，结合预先定义的规则有针对性地构造异常数据报文并将其向待检测设备发送，在检测系统与待检测设备的通信过程中，监测程序也会同步地监测待检测设备的状态变化，如果检测程序或监测程序发现待检测设备出现异常情况，检测程序就会停止构造异常数据报文，转而核实该异常，若核实无误，则作为待检测设备存在的一个安全隐患进行记录。本发明提供的IEC104电力协议安全性测试方法以使用IEC104电力协议进行数据传输的站端设备为检测对象，能够有效地发现站端设备存在的安全隐患。

公开(公告)号：CN112988630A

公开(公告)日：2021-06-18

申请号：CN202110300018.3

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  邓洪奇 ,  余思洋 ,  周旭 ,  刘楚波 ,  唐伟 ,  刘俊 ,  李克勤

IPC: G06F13/16 ,  G06F21/56 ,  G06F21/79

Abstract: 本发明公开了一种基于微过滤器的移动存储设备的读写控制方法及系统，属于信息安全技术领域。包括：在文件系统的I/O管理器中注册微过滤器，将微过滤器设置成自动绑定终端设备上所有卷设备；获取微过滤器的句柄，并根据句柄，注册文件的IRP操作所对应的回调函数；其中，微过滤器用于监控IRP操作，在对文件进行读写操作之前，文件系统优先调用回调函数；在回调函数中，根据移动存储设备的设备标识及权限标签，对移动存储设备进行读写访问控制。由于是从文件层面上考虑，并基于该层面对移动存储设备的读写控制进行改进，从而相对于硬件层面的改进，能够有效降低成本。

公开(公告)号：CN112965970A

公开(公告)日：2021-06-15

申请号：CN202110305980.6

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴璐 ,  杨志邦 ,  余思洋 ,  唐卓 ,  肖国庆 ,  段明星 ,  刘楚波 ,  黎东

IPC: G06F16/215 ,  G06F16/22 ,  G06F16/2455 ,  H04L29/06

Abstract: 本发明公开了一种基于哈希算法的异常流量并行检测方法，包括：设备源向目标服务器发起请求；中央管理核拦截、清洗数据包，并向各检测内核派发需检测的数据包信息；各检测内核对总规则库进行均分，得到负责匹配的子规则库；检测内核根据哈希算法分散得到每次检测的数据包编号，其中哈希函数的键值由本内核编号、检测内核总数、数据包总数、该核已检测数据包数及冲突次数计算得到。本发明能提高规则库并行情况下的模式匹配效率，通过多核协作增加单位时间内检测的流量包数量，解决规则库过大带来的检测速率底下的问题，在降低漏报率的同时提高检测速率，更快进行异常报警，从而采取相应措施。

公开(公告)号：CN115242473B

公开(公告)日：2024-10-11

申请号：CN202210811101.1

申请日：2022-07-11

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  杨圣洪 ,  张显 ,  蔡宇辉 ,  杨志邦 ,  余思洋 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  H04L41/069 ,  H04L43/04 ,  H04L67/14 ,  H04L67/141 ,  G06F16/25

Abstract: 本发明公开了一种用于堡垒机的数据库高危指令审核方法，包括：客户端配置用于运维数据库服务器的高危指令集，并向堡垒机发送连接请求，堡垒机在接收到来自客户端的连接请求后为客户端分配监听端口号，把端口号发给客户端，并开启MySQLAgent程序，以监听来自客户端的连接请求，客户端向堡垒机发送高危指令集，堡垒机在接收到来自客户端的高危指令集后建立对应的配置文件并进行保存，客户端在接收到用户输入的MySQL登录指令后发起与堡垒机的连接请求，堡垒机在监听到来自客户端的连接请求后与数据库服务器建立连接。本发明能够解决现有数据库高危指令审批操作由于在远程服务器安装对应的控制端，导致操作不安全，并会造成整个服务器被破坏的技术问题。

公开(公告)号：CN112965970B

公开(公告)日：2024-06-25

申请号：CN202110305980.6

申请日：2021-03-22

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴璐 ,  杨志邦 ,  余思洋 ,  唐卓 ,  肖国庆 ,  段明星 ,  刘楚波 ,  黎东

IPC: G06F16/215 ,  G06F16/22 ,  G06F16/2455 ,  H04L9/40

Abstract: 本发明公开了一种基于哈希算法的异常流量并行检测方法，包括：设备源向目标服务器发起请求；中央管理核拦截、清洗数据包，并向各检测内核派发需检测的数据包信息；各检测内核对总规则库进行均分，得到负责匹配的子规则库；检测内核根据哈希算法分散得到每次检测的数据包编号，其中哈希函数的键值由本内核编号、检测内核总数、数据包总数、该核已检测数据包数及冲突次数计算得到。本发明能提高规则库并行情况下的模式匹配效率，通过多核协作增加单位时间内检测的流量包数量，解决规则库过大带来的检测速率底下的问题，在降低漏报率的同时提高检测速率，更快进行异常报警，从而采取相应措施。