公开(公告)号：CN112491797A

公开(公告)日：2021-03-12

申请号：CN202011169483.X

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 王一鹏 ,  谷浩然 ,  赖英旭 ,  刘静 ,  孙墨童 ,  毛北逢

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于非平衡工控数据集的入侵检测方法，以待检测的工控网络流量为输入进行数据格式的结构性转化，将网络上数据格式转化为灰度图像格式，制作出流量灰度图像；以转化的流量灰度图像作为输入，判断待分类的数据中是否存在少数类样本的；以分类特征向量集作为输入，利用数据填充补齐方法进行分类特征向量的填充和流量灰度图像的格式补齐，得到经过制作和填充后的扩充流量灰度图像；以扩充流量灰度图像作为输入，采用深度学习入侵检测方法进行入侵检测的训练和分类检测。本发明能够有效的提升入侵检测精度和提升模型检测的鲁棒性，从而解决由于工控数据的负面特点而带来的不利于入侵检测工作进行的影响。

公开(公告)号：CN112738014B

公开(公告)日：2023-05-16

申请号：CN202011168042.8

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 毛北逢 ,  刘静 ,  赖英旭

IPC: H04L9/40 ,  H04L41/142 ,  G06N3/0464 ,  G06N3/0499 ,  G06N3/084

Abstract: 本发明公开了一种基于卷积时序网络的工控流量异常检测方法及系统，包括以工控协议流量作为输入，将其按读写功能拆分并将拆分后的数据包按照单位时间窗口合并、规整、分组用于预测模型进行学习；以流量数据为输入，形成数据集，利用编码‑解码架构并带有ConvLSTM层的神经网络模型获得能够利用当前窗口数据预测下一窗口数据的流量数据预测模型；利用得到的预测模型，对待检测流量数据包进行预测，得到预测数据与真实数据的距离差距。对组内差距信息计算归一化得分，得到窗口与得分的分布。利用加权方式融合读写模型的得分分布，利用分布信息检测异常数据流量。本发明采用解码‑编码结构的预测用深度学习模型，引入ConvLSTM模块，对工控流量时间和空间上的特征进行有效地学习。

公开(公告)号：CN113806735A

公开(公告)日：2021-12-17

申请号：CN202110958600.9

申请日：2021-08-20

Applicant: 北京工业大学

Inventor： 刘静 ,  黄仙婷 ,  赖英旭 ,  毛北逢 ,  王一鹏

IPC: G06F21/55 ,  G06F21/57 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种执行与评价双网络个性化联邦学习入侵检测方法及系统，在执行网络中，训练本地模型然后聚合全局模型，计算环境相似度；利用全局模型在评价网络中执行参数替换优化回溯策略，评价当前模型；参与者在执行网络中个性化更新本地模型；执行网络选择是否继续通信，评价网络测试获得的本地模型，并根据测试结果执行参数替换优化回溯策略。本发明对于本地未知攻击的检测对比单一本地模型有显著的提升，验证了联邦学习对于未知知识学习的适用性。本发明的方法的协作训练的全局模型能够使得少数据量甚至没有样本的协作者直接获益，个性化的本地模型能够稳步提升性能。

公开(公告)号：CN112738015B

公开(公告)日：2023-05-02

申请号：CN202011168087.5

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 毛北逢 ,  刘静 ,  赖英旭

IPC: H04L9/40 ,  G06N3/09 ,  G06N3/0464

Abstract: 本发明公开了一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统，将网络通信流量进行捕捉，建立通信状态图。将捕获的网络通信流量对其进行分流，将分流后得到的数据进行规整。将得到的数据作为输入，形成规整后的训练数据集，利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型。并利用类激活图提取细节与决策树结合建立代理模型得到可解释的卷积神经网络。利用得到的可解释的卷积神经网络模型对待检测的流量进行检测，对建立的通信状态图进行更新。从建立的通信状态图中提取带权重的异常攻击子图，得到攻击场景，利用带权重的深度优先遍历算法提取攻击链。本发明可以提高精度的同时降低误报的出现。还能够输出对应的权重信息，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN112491797B

公开(公告)日：2022-11-22

申请号：CN202011169483.X

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 王一鹏 ,  谷浩然 ,  赖英旭 ,  刘静 ,  孙墨童 ,  毛北逢

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于非平衡工控数据集的入侵检测方法，以待检测的工控网络流量为输入进行数据格式的结构性转化，将网络上数据格式转化为灰度图像格式，制作出流量灰度图像；以转化的流量灰度图像作为输入，判断待分类的数据中是否存在少数类样本的；以分类特征向量集作为输入，利用数据填充补齐方法进行分类特征向量的填充和流量灰度图像的格式补齐，得到经过制作和填充后的扩充流量灰度图像；以扩充流量灰度图像作为输入，采用深度学习入侵检测方法进行入侵检测的训练和分类检测。本发明能够有效的提升入侵检测精度和提升模型检测的鲁棒性，从而解决由于工控数据的负面特点而带来的不利于入侵检测工作进行的影响。

公开(公告)号：CN112491796B

公开(公告)日：2022-11-04

申请号：CN202011169481.0

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  孙墨童 ,  王一鹏 ,  刘静 ,  谷浩然 ,  毛北逢 ,  王昊辰 ,  朱星宇

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08 ,  G06K9/62

Abstract: 本发明公开了一种基于卷积神经网络的入侵检测及语义决策树量化解释方法，将流量数据转换成流量灰度图像作为输入，对增加了可解释性的卷积神经网络进行训练，并用检测集对训练后的模型进行检测；利用类激活图构建攻击细节图像并输入训练后的卷积神经网络模型提取聚类特征进行聚类，计算检测到的异常样本与各类攻击聚类中心的距离，利用该距离建立决策树；计算语义匹配率为建立的代理决策树赋予语义意义，并利用该匹配率对语义决策树的解释效果进行量化评价。本发明对比多个模型及其改进后模型的检测性能与可解释性能，建立语义决策树对效果最优的模型进行解释，并设计语义匹配率对解释效果进行量化评价。

公开(公告)号：CN112738015A

公开(公告)日：2021-04-30

申请号：CN202011168087.5

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 毛北逢 ,  刘静 ,  赖英旭

IPC: H04L29/06 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统，将网络通信流量进行捕捉，建立通信状态图。将捕获的网络通信流量对其进行分流，将分流后得到的数据进行规整。将得到的数据作为输入，形成规整后的训练数据集，利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型。并利用类激活图提取细节与决策树结合建立代理模型得到可解释的卷积神经网络。利用得到的可解释的卷积神经网络模型对待检测的流量进行检测，对建立的通信状态图进行更新。从建立的通信状态图中提取带权重的异常攻击子图，得到攻击场景，利用带权重的深度优先遍历算法提取攻击链。本发明可以提高精度的同时降低误报的出现。还能够输出对应的权重信息，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN113821793B

公开(公告)日：2023-12-19

申请号：CN202110992620.8

申请日：2021-08-27

Applicant: 北京工业大学

Inventor： 刘静 ,  吕宏硕 ,  赖英旭 ,  毛北逢 ,  王一鹏

IPC: G06F21/55 ,  G06F18/214 ,  G06F18/241 ,  G06N3/0464

Abstract: 本发明公开了基于图卷积神经网络的多阶段攻击场景构建方法及系统，从网络流量中匹配IDS警报对应的可疑攻击流。利用匹配到的可疑攻击流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图。利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同攻击阶段。并对每个攻击阶段建立带权重的阶段通信图，并从阶段通信图中提取高质量场景子图，得到完整攻击场景。本发明对比多个模型的检测效果。实验结果证明，本发明可以提高精度的同时降低误报的出现。还可以准确划分攻击阶段效果并可以构建完整多步攻击场景，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN113821793A

公开(公告)日：2021-12-21

申请号：CN202110992620.8

申请日：2021-08-27

Applicant: 北京工业大学

Inventor： 刘静 ,  吕宏硕 ,  赖英旭 ,  毛北逢 ,  王一鹏

IPC: G06F21/55 ,  G06K9/62 ,  G06N3/04

Abstract: 本发明公开了一种基于图卷积神经网络的多步攻击检测和场景构建方法，从网络流量中匹配IDS警报对应的可疑攻击流。利用匹配到的可疑攻击流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图。利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同攻击阶段。并对每个攻击阶段建立带权重的阶段通信图，并从阶段通信图中提取高质量场景子图，得到完整攻击场景。本发明对比多个模型的检测效果。实验结果证明，本发明可以提高精度的同时降低误报的出现。还可以准确划分攻击阶段效果并可以构建完整多步攻击场景，方便安全管理员对于检测信息的直接利用。

公开(公告)号：CN112738014A

公开(公告)日：2021-04-30

申请号：CN202011168042.8

申请日：2020-10-28

Applicant: 北京工业大学

Inventor： 毛北逢 ,  刘静 ,  赖英旭

IPC: H04L29/06 ,  H04L12/24 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于卷积时序网络的工控流量异常检测方法及系统，包括以工控协议流量作为输入，将其按读写功能拆分并将拆分后的数据包按照单位时间窗口合并、规整、分组用于预测模型进行学习；以流量数据为输入，形成数据集，利用编码‑解码架构并带有ConvLSTM层的神经网络模型获得能够利用当前窗口数据预测下一窗口数据的流量数据预测模型；利用得到的预测模型，对待检测流量数据包进行预测，得到预测数据与真实数据的距离差距。对组内差距信息计算归一化得分，得到窗口与得分的分布。利用加权方式融合读写模型的得分分布，利用分布信息检测异常数据流量。本发明采用解码‑编码结构的预测用深度学习模型，引入ConvLSTM模块，对工控流量时间和空间上的特征进行有效地学习。