公开(公告)号：CN115277437B

公开(公告)日：2023-12-01

申请号：CN202210912326.6

申请日：2022-07-29

Applicant: 湖南大学

Inventor： 蔡宇辉 ,  李肯立 ,  刘双昱 ,  杨圣洪 ,  段明星 ,  余思洋 ,  吴帆

IPC: H04L41/12

Abstract: 本申请涉及一种网络拓扑构建方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：对不同网段进行探测，得到可连接的网络设备，并探测可连接的网络设备中主网络设备之间的路径关系，确定可连接网络设备的层级，进而根据网络设备层级以及连接关系构建拓扑图。整个过程中，基于不同网段主网络设备之间的路径关系，明确整个网络中可连接网络设备的层级关系，以便确定在构建网络拓扑图时不同层级网络设备的构建顺序，从而有序基于可连接网络设备之间的连接关系构建网络拓扑图，可以实现简单高效的网络拓扑构建。

公开(公告)号：CN116015932A

公开(公告)日：2023-04-25

申请号：CN202211726131.9

申请日：2022-12-30

Applicant: 湖南大学

Inventor： 李肯立 ,  袁理想 ,  蔡宇辉 ,  杨圣洪 ,  周旭 ,  余思洋 ,  段明星 ,  吴帆 ,  秦云川

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/049 ,  G06N3/092

Abstract: 本申请涉及一种数据流量入侵检测网络模型生成方法、装置、计算机设备和存储介质。方法包括：获取历史训练集以及初代入侵检测网络模型；对历史训练集进行一次数据增强，生成一次增强后的数据集；基于一次增强后的数据集以及历史训练集，得到一次训练后的入侵检测网络模型，并获取实时流量样本；根据一次训练后的入侵检测网络模型对实时流量样本进行入侵检测，得到正常数据集、已知异常数据集与未知异常数据集；生成二次增强的流量样本；基于二次增强的流量样本以及实时流量样本，得到目标入侵检测网络模型。采用本方法能够对数据流量进行准确的入侵检测。另外，本申请还提供了一种数据流量入侵检测方法、装置、计算机设备和存储介质。

公开(公告)号：CN113159181B

公开(公告)日：2022-06-10

申请号：CN202110438900.4

申请日：2021-04-23

Applicant: 湖南大学

Inventor： 李肯立 ,  陈伟杰 ,  余思洋 ,  肖国庆 ,  段明星

IPC: G06K9/62 ,  H04L9/40

Abstract: 本发明公开了一种工业控制网络下基于改进的环形多粒度扫描深度森林的异常检测方法，具体包括：采用Z‑score方法对构建的训练集样本进行归一化处理，将特征数据映射到[‑1，1]区间；采用主成分分析法对样本特征集合进行特征降维，生成特征两两不相关的新特征向量集；将降维后的特征向量集经过环形多粒度扫描结构，生成每个样本的特征子向量；将特征子向量集分别输入到半随机森林和完全随机森林中，生成对应的类特征向量，并组合成新的类特征向量作为级联森林的特征输入；将生成的类特征向量集合输入至多元化级联森林结构中，迭代至收敛，并生成最终的类特征向量。本发明能解决现有方法对工业控制系统网络异常行为检测率低、泛化性弱等问题。

公开(公告)号：CN112988666A

公开(公告)日：2021-06-18

申请号：CN202110300026.8

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  夏禹 ,  余思洋 ,  周旭 ,  刘楚波 ,  肖国庆 ,  段明星 ,  张家豪 ,  巢婉琼

IPC: G06F16/13 ,  G06F16/14 ,  G06F16/172 ,  G06F16/18

Abstract: 本发明公开了一种基于布谷鸟过滤器的分布式日志条件查询方法，包括：获取客户端发送的条件查询请求，根据该条件查询请求在预先构建好的热数据库中进行数据查询，并判断查询到的数据总量是否低于条件查询请求对应的数据量，如果是则对该条件查询请求进行处理，以得到标识字符串，将标识字符串作为键(Key)，在冷门条件缓存层进行数据查询，以判断冷门条件缓存层中是否存在该键对应的值(Value)，若不是则根据条件查询请求在预先构建好的冷数据库数据分表中执行查询操作，以得到条件查询结果，将条件查询数据结果处理生成JSON字符串，将标识字符串作为键、将JSON字符串作为值形成键值对，并将该键值对存储于冷门条件缓存层中。

公开(公告)号：CN112968906A

公开(公告)日：2021-06-15

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

公开(公告)号：CN112910688A

公开(公告)日：2021-06-04

申请号：CN202110059616.6

申请日：2021-01-18

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  付鹏磊 ,  杨志邦 ,  余思洋 ,  吕婷 ,  胡庆丰 ,  唐卓 ,  刘楚波 ,  阳王东

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/08 ,  G16Y30/10

Abstract: 本发明公开了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法和系统，具体包括：(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接，对每个HJ212协议通讯数据包进行解析，以获取其对应的命令编码，按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序，将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序，从而构成该连接对应的命令编码序列；(2)将该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中，以得到该连接的检测结果。本发明能解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。

公开(公告)号：CN112104639A

公开(公告)日：2020-12-18

申请号：CN202010950472.9

申请日：2020-09-11

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  胡由钻 ,  余思洋 ,  杨志邦 ,  廖清 ,  刘楚波 ,  唐卓 ,  段明星 ,  李克勤

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种面向电力系统网络的攻击路径并行预测方法，采用并行模式根据反向DFS算法生成多个网络子攻击图，并且采用并行模式根据DFS算法计算所有子攻击图中各条攻击路径攻击成功的概率，从所有概率中选择最大值对应的攻击路径作为整个电力系统网络中最可能的攻击路径。本发明解决了无法针对风险大的0day漏洞进行攻击路径预测的问题，提升了攻击图生成效率，并解决整体攻击图容易出现状态爆炸的问题，同时减少了攻击路径预测的计算复杂度，提高攻击路径预测的计算效率。

公开(公告)号：CN119888350A

公开(公告)日：2025-04-25

申请号：CN202510042044.9

申请日：2025-01-10

Applicant: 湖南大学

Inventor： 李肯立 ,  刘诗语 ,  蔡宇辉 ,  周旭 ,  杨圣洪 ,  余思洋 ,  段明星 ,  吴帆 ,  秦云川

IPC: G06V10/764 ,  G06V10/774 ,  G06V10/82 ,  G06N3/042 ,  G06N3/047 ,  G06N3/0464 ,  G06N3/045 ,  G06N3/084

Abstract: 本申请实施例提供了一种多模型不平衡节点分类方法和装置。该方法包括：获取图数据集，所述图数据集包括训练集和测试集；基于所述训练集中的各节点信息，生成合成节点，以使得所述训练集中每个类别的节点数达到均衡分布；将生成的所有合成节点加入到所述训练集中形成新的训练集，并将所述新的训练集分成多个训练子集分别输入到图神经网络模型中的多个子模型中进行训练，直到所述图神经网络模型的性能收敛；将所述测试集输入至所述性能收敛的图神经网络模型中进行节点分类。本申请实施例的方法和装置，能够提高节点分类的性能。

公开(公告)号：CN119172152A

公开(公告)日：2024-12-20

申请号：CN202411354306.7

申请日：2024-09-26

Applicant: 湖南大学

Inventor： 李肯立 ,  周彬 ,  蔡宇辉 ,  周旭 ,  杨圣洪 ,  余思洋 ,  段明星 ,  吴帆 ,  秦云川

IPC: H04L9/40

Abstract: 本申请涉及一种网络流量分类方法，通过获取训练集，所述训练集包括新类别样本和代表性记忆中存储的旧类别示例；将所述训练集输入增量学习模型进行训练；更新所述代表性记忆；输入待分类网络流量至训练后的增量学习模型，得到分类结果。解决了现有技术中通过增量学习进行网络流量分类性能不足，有效模型更新能力较低的问题；达到了在动态变化的网络环境中有效地识别新型威胁，同时保持对已知威胁的高识别率，从而提升网络安全防护能力的技术效果。

公开(公告)号：CN116932507A

公开(公告)日：2023-10-24

申请号：CN202310553443.2

申请日：2023-05-16

Applicant: 湖南大学

Inventor： 蔡宇辉 ,  张显 ,  李肯立 ,  杨圣洪 ,  周旭 ,  余思洋 ,  段明星 ,  吴帆 ,  秦云川

IPC: G06F16/21 ,  G06F9/445

Abstract: 本申请涉及一种基于堡垒机的运维处理方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：在接收到代理程序启动请求时，基于命令行启动参数启动堡垒机中的堡垒机JDBC代理程序；基于数据库配置信息，调用堡垒机JDBC代理程序，加载运维数据库服务器对应的数据库JDBC驱动；在数据库客户端调用代理驱动向堡垒机JDBC代理程序发送运维连接请求时，基于堡垒机JDBC代理程序，建立数据库客户端和运维数据库服务器之间的通信连接；基于代理驱动接收到来自数据库客户端的操作指令；当基于堡垒机JDBC代理程序确定操作指令为第一预设指令，且堡垒机JDBC代理程序基于数据库JDBC驱动从运维数据库服务器获得操作指令的操作结果时，将操作结果转发至数据库客户端。