公开(公告)号：CN114679334A

公开(公告)日：2022-06-28

申请号：CN202210417783.8

申请日：2022-04-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  张立钊 ,  刘华赞 ,  黎凯凯 ,  李冲 ,  贾东升 ,  孔胜嵩 ,  和树繁

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明提供了一种基于多模式人工智能的工控安全检测和防御方法，利用工控模拟环境和攻防双方的协同进化关系来逐步构建整个系统。该系统包括模型搭配模块，工控及其数据分析模块，工控模拟系统，蜜罐及其数据分析模块，攻防对抗模块。模型搭配模块提供人工智能模型。工控及其数据分析模块提取数据模式，将数据模式和模拟数据的异常情况反馈给工控模拟系统。工控模拟系统改进以缩小与真实工控系统的差距；在攻防博弈达到纳什均衡后，扩容或改变配置。蜜罐复刻模拟环境并实际部署，其数据分析模块提取启发式策略。攻防对抗模块综合模型搭配模块提供的模型和蜜罐数据分析模块的启发式策略，进行对抗演练以达到纳什均衡。

公开(公告)号：CN114692170A

公开(公告)日：2022-07-01

申请号：CN202210412933.6

申请日：2022-04-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  黎凯凯 ,  刘华赞 ,  张立钊 ,  贾东升 ,  李冲 ,  孔胜嵩 ,  和树繁

IPC: G06F21/57 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种基于多段式树突网络的工控异常设备定位方法和系统，该方法收集处于工控系统异常时间段的物理层设备数据，然后利用前段树突网络进行训练得到工控系统整体异常模型，从工控系统整体异常模型中提取工控系统整体异常特征，利用工控系统整体异常特征对物理层设备数据进行数据降维，再将降维后的数据放入中、后段树突网络进行学习，得到工控系统风险区域模型及工控系统异常区域模型并提取特征，再进行特征解析得到工控系统异常区域物理层设备关系谱，最后利用工控系统异常区域物理层设备关系谱得到异常设备。该系统包括模型训练模块、特征提取模块、特征解析模块、数据降维模块和设备定位模块。

公开(公告)号：CN116599726A

公开(公告)日：2023-08-15

申请号：CN202310571388.X

申请日：2023-05-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  王鹤儒 ,  谢玮勋 ,  马瑞琳 ,  黎凯凯 ,  刘华赞 ,  张立钊 ,  王开宇 ,  孔胜嵩 ,  和树繁

IPC: H04L9/40 ,  H04L41/16

Abstract: 本发明提供了一种基于漏洞利用网的工控安全事件识别响应方法及系统，该系统包括知识图谱构建部分和安全事件识别响应部分，分为以下步骤：将知识库数据提取并转化为知识图谱中的节点；使用基于预训练机器学习模型的方式建立节点间的连接；使用设备和攻击方式节点的关键识别特征匹配工控系统的状态并映射至漏洞节点；将所匹配漏洞节点进行连接，形成漏洞利用网；根据漏洞利用网的不同形态，给出对应的响应信息。相比于传统的工控安全检测及响应方法，本发明将漏洞的识别问题转变为有更明显特征的设备和攻击方式的识别问题，减少了识别难度；同时，通过漏洞利用网模型，本发明能够生成更为有效的事件响应信息。

公开(公告)号：CN114679334B

公开(公告)日：2023-08-25

申请号：CN202210417783.8

申请日：2022-04-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  张立钊 ,  刘华赞 ,  黎凯凯 ,  李冲 ,  贾东升 ,  孔胜嵩 ,  和树繁

IPC: H04L9/40 ,  H04L67/12

Abstract: 本发明提供了一种基于多模式人工智能的工控安全检测和防御系统。该系统包括模型搭配模块，工控及其数据分析模块，工控模拟系统，蜜罐及其数据分析模块，攻防对抗模块。模型搭配模块提供人工智能模型。工控及其数据分析模块提取数据模式，将数据模式和模拟数据的异常情况反馈给工控模拟系统。工控模拟系统改进以缩小与真实工控系统的差距；在攻防博弈达到纳什均衡后，扩容或改变配置。蜜罐复刻模拟环境并实际部署，其数据分析模块提取启发式策略。攻防对抗模块综合模型搭配模块提供的模型和蜜罐数据分析模块的启发式策略，进行对抗演练以达到纳什均衡。

公开(公告)号：CN116582349A

公开(公告)日：2023-08-11

申请号：CN202310683222.7

申请日：2023-06-09

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  马瑞琳 ,  王鹤儒 ,  谢玮勋 ,  张立钊 ,  王开宇 ,  孔胜嵩 ,  刘华赞 ,  黎凯凯

IPC: H04L9/40 ,  H04L41/16 ,  H04L41/147 ,  H04L41/14

Abstract: 本申请公开了一种基于网络攻击图的攻击路径预测模型生成方法及装置，涉及工控安全技术领域，通过获取工控网络数据和国家漏洞数据库的漏洞数据生成整个工控网络的网络漏洞信息，根据网络漏洞信息生成工控网络各个区域的网络攻击图，从网络攻击图中提取攻防方博弈对抗训练所需要的信息并进行对抗训练，得到攻击路径选择概率，根据攻击路径选择概率量化网络攻击图有向边的权值，根据网络攻击图和网络漏洞信息计算漏洞可利用率，根据漏洞可利用率量化网络攻击图节点的权值，根据量化后的网络攻击图，使用DDQN算法和联邦学习算法训练得到整个工控网络的攻击路径预测模型，解决了规模较大的网络结构下的攻击路径预测问题。

公开(公告)号：CN116501022A

公开(公告)日：2023-07-28

申请号：CN202310571353.6

申请日：2023-05-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  谢玮勋 ,  刘华赞 ,  王鹤儒 ,  马瑞琳

IPC: G05B23/02

Abstract: 本发明提供了一种基于分布式环境的工控异常检测方法，该方法获取网络数据包；对获取的数据进行解析、预处理，将数据转化为邻接矩阵的形式，并构建一个有向图；将该图划分为多个子图后，输入到多台服务器上进行训练；模型训练完成，将实际工控网络数据输入到模型中，判断其是否异常。本发明采用分布式架构，极大地减少了主机在训练时所需的性能和时间开销。本发明还提供了一种基于分布式环境的工控异常检测系统。

公开(公告)号：CN115021956A

公开(公告)日：2022-09-06

申请号：CN202210416032.4

申请日：2022-04-20

Applicant: 哈尔滨工业大学(威海)

Inventor： 季振洲 ,  刘华赞 ,  张立钊 ,  黎凯凯 ,  李冲 ,  贾东升 ,  孔胜嵩 ,  和树繁

IPC: H04L9/40

Abstract: 本发明涉及智能网联工控系统安全协同防护领域，尤其涉及一种基于云边协同的多维时间序列异常检测方法及系统。该系统包括：采集传感器和执行器数据的工控数据采集防护层；进行模型部署、进行ICS实时数据的异常检测并将结果和策略下发至工控系统的边缘计算层；对多维时间序列异常检测模型进行训练更新并将模型下发至边端的云计算层；去除时序信号规律性的谱残差数据处理方法；提取状态特征、控制特征、时间特征的s‑net、u‑net、t‑net网络；对t时刻预测和解码的p‑net和d‑net网络；实现异常判断和定位的马氏距离计算方法。本发明提出的云边协同工控异常检测方法相较于传统模型，可以有效解决边端计算资源有限等问题，同时具有更高的鲁棒性和异常检测精度。