公开(公告)号：CN117714181A

公开(公告)日：2024-03-15

申请号：CN202311756936.2

申请日：2023-12-19

申请人： 东北大学 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  林小李 ,  周小明 ,  杨巍 ,  聂鑫宇 ,  焦轩琦 ,  胡博 ,  刘福意 ,  宋为 ,  何淼 ,  李小龙 ,  杨道青 ,  刘莹 ,  单垚 ,  方宇珊 ,  周金磊

IPC分类号： H04L9/40

摘要： 本发明属于工控安全检测领域，提出一种工控APT检测方法、装置及计算机可读存储介质。从工控系统中采集正常的轮询流量和控制命令流量；建立设备状态修正算法，用于校正轮询流量并处理成系统状态日志；进行极端值检测与处理，得到处理后的系统状态日志；通过自相关函数进行工控基线的长短周期检测，获得工控基线的长短周期；并构建一个基于周期性检测的工控基线模型；基于构建的工控基线模型，对包含攻击的设备日志和工控流量数据进行工控APT攻击检测；相比于传统的工控APT攻击检测方法，本发明提高了APT攻击检测的准确率，降低了APT攻击检测的误报率，可以帮助网络安全人员发现隐蔽的APT攻击。

公开(公告)号：CN115580445B

公开(公告)日：2024-06-28

申请号：CN202211159011.5

申请日：2022-09-22

申请人： 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 单垚 ,  姚羽 ,  胡博 ,  杨巍 ,  罗天昱 ,  聂鑫宇 ,  周小明 ,  许超 ,  刘莹 ,  张文杰 ,  盛川 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  宋为

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/0442 ,  G06N3/0464 ,  G06N3/047 ,  G06N3/048 ,  G06N3/084

摘要： 本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。

公开(公告)号：CN117478412A

公开(公告)日：2024-01-30

申请号：CN202311521253.9

申请日：2023-11-15

申请人： 东北大学 ,  国家电网有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 姚羽 ,  单垚 ,  胡博 ,  杨巍 ,  聂鑫宇 ,  周小明 ,  宋为 ,  刘莹 ,  唱友义 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  冉子用 ,  杨道青 ,  李广翱 ,  张文杰

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045

摘要： 本发明属于网络安全技术领域，提出一种工业物联网联邦入侵检测方法、装置及介质。针对工业物联网各边缘节点数据存在异质性的特点，提出该方法，在联邦学习中通过聚类的方式为具有相似数据分布的边缘节点共同训练一个有效的入侵检测模型。通过对边缘节点性能指标时间序列的聚类映射出各个边缘节点数据分布之间的关系，并促进具有相似数据分布边缘节点的知识共享，有效的解决了非独立同分布数据情况下联邦学习模型的建立问题。在每轮通讯中，通过肘关节曲线来自动确定边缘节点的最佳划分方式，能够保证模型的快速收敛。采用多个通信轮次的性能指标进行聚类，降低了边缘节点被错误划分的几率，提升了模型的准确率。

公开(公告)号：CN115580445A

公开(公告)日：2023-01-06

申请号：CN202211159011.5

申请日：2022-09-22

申请人： 东北大学 ,  国网辽宁省电力有限公司 ,  国网辽宁省电力有限公司信息通信分公司

发明人： 单垚 ,  姚羽 ,  胡博 ,  杨巍 ,  罗天昱 ,  聂鑫宇 ,  周小明 ,  许超 ,  刘莹 ,  张文杰 ,  盛川 ,  赵桐 ,  李文轩 ,  林小李 ,  方宇珊 ,  宋为

IPC分类号： H04L9/40 ,  G06N3/04 ,  G06N3/08

摘要： 本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。

公开(公告)号：CN114430344B

公开(公告)日：2022-09-30

申请号：CN202210079728.2

申请日：2022-01-24

申请人： 东北大学

发明人： 姚羽 ,  林小李 ,  魏鑫 ,  杨巍 ,  焦轩琦 ,  聂鑫宇 ,  刘莹 ,  盛川 ,  李凤来 ,  张晨 ,  周子业 ,  杨道青 ,  刘鹏杰

IPC分类号： H04L9/40

摘要： 本发明属于网络安全及机器学习技术领域，提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法，本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具；针对得到的攻击者的威胁情报特征和工控流量特征的数据特点，分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵，将原高维空间中的数据点映射到低维度空间；对得到的数据样本点进行聚类，得到工控攻击组织；该方法提高了攻击组织的识别精度，可扩展性强，可用于实时监控网络入侵者，主动及时防御攻击组织的分布式攻击。不需要指定聚类个数，且可以自适应计算带宽，可以更加准确、灵活地识别工控攻击组织。

公开(公告)号：CN114430344A

公开(公告)日：2022-05-03

申请号：CN202210079728.2

申请日：2022-01-24

申请人： 东北大学

发明人： 姚羽 ,  林小李 ,  魏鑫 ,  杨巍 ,  焦轩琦 ,  聂鑫宇 ,  刘莹 ,  盛川 ,  李凤来 ,  张晨 ,  周子业 ,  杨道青 ,  刘鹏杰

IPC分类号： H04L9/40

摘要： 本发明属于网络安全及机器学习技术领域，提出了一种基于工控流量和威胁情报关联分析的攻击组织识别方法，本发明通过获得工控攻击者的流量数据、威胁情报信息、针对性特征和扫描工具；针对得到的攻击者的威胁情报特征和工控流量特征的数据特点，分别采用不同的相似性度量方法构建相似性矩阵并融合构建复合加权相似性矩阵，将原高维空间中的数据点映射到低维度空间；对得到的数据样本点进行聚类，得到工控攻击组织；该方法提高了攻击组织的识别精度，可扩展性强，可用于实时监控网络入侵者，主动及时防御攻击组织的分布式攻击。不需要指定聚类个数，且可以自适应计算带宽，可以更加准确、灵活地识别工控攻击组织。

公开(公告)号：CN118348948A

公开(公告)日：2024-07-16

申请号：CN202410311721.8

申请日：2024-03-19

申请人： 东北大学

发明人： 姚羽 ,  罗天昱 ,  聂鑫宇 ,  赵桐 ,  杨巍 ,  单垚 ,  李桉雨 ,  刘莹

IPC分类号： G05B23/02

摘要： 本发明属于网络安全技术领域，公开了一种基于多元时间序列预测的工业控制网络异常检测方法。利用格兰杰因果检验方法得到多元时间序列各时间序列之间的统计因果关系，生成有向图；通过季节分解算法对每个时间序列进行分解，得到趋势分量，周期分量和残差分量，将多元时间序列分解成3倍的时间序列；图卷积算法对各传感器的时间序列进行图嵌入，得到图嵌入后的向量；将图嵌入向量输入到Transformer编码器与解码器，生成预测值；利用MSE损失函数对模型进行优化，最终得到基于多元时间序列预测的工业控制网络异常检测模型。本发明所提算法相比于现有算法，检测的精确率，召回率和F1值均有提升，并能发现异常的原因，定位到异常元件。