公开(公告)号：CN110351251B

公开(公告)日：2020-09-01

申请号：CN201910534090.5

申请日：2019-06-20

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王佰玲 ,  樊佳讯 ,  柏军 ,  黄俊恒 ,  孙公亮 ,  徐丽娟

IPC: H04L29/06 ,  G06F16/9035

Abstract: 本发明属于电通讯技术领域，涉及一种工控设备资产探测方法。一种基于过滤技术的工控设备资产探测方法，包括：首先使用Shodan过滤出目标网段中未被识别为工控设备的IP；对所述IP使用主动探测进行扫描，将主动探测的结果存入数据库，此时数据库中就是所需要的探测结果。本发明提出的基于过滤技术的工控资产设备探测方法，能够对目标网段中的工控设备进行较为全面的探测，为资产探测过程提供了新思路。

公开(公告)号：CN110351251A

公开(公告)日：2019-10-18

申请号：CN201910534090.5

申请日：2019-06-20

Applicant: 哈尔滨工业大学(威海) ,  威海天之卫网络空间安全科技有限公司

Inventor： 王佰玲 ,  樊佳讯 ,  柏军 ,  黄俊恒 ,  孙公亮 ,  徐丽娟

IPC: H04L29/06 ,  G06F16/9035

Abstract: 本发明属于电通讯技术领域，涉及一种工控设备资产探测方法。一种基于过滤技术的工控设备资产探测方法，包括：首先使用Shodan过滤出目标网段中未被识别为工控设备的IP；对所述IP使用主动探测进行扫描，将主动探测的结果存入数据库，此时数据库中就是所需要的探测结果。本发明提出的基于过滤技术的工控资产设备探测方法，能够对目标网段中的工控设备进行较为全面的探测，为资产探测过程提供了新思路。

公开(公告)号：CN110378111B

公开(公告)日：2023-05-09

申请号：CN201910481846.4

申请日：2019-06-04

Applicant: 哈尔滨工业大学(威海) ,  哈工大(威海)创新创业园有限责任公司

Inventor： 王佰玲 ,  冯艳丽 ,  刘红日 ,  孙公亮 ,  徐丽娟 ,  刘扬

IPC: G06F21/55

Abstract: 本发明公开了针对工业控制系统隐蔽攻击的入侵检测方法及检测系统，首先获取工业控制系统的传感器测量值的原始时间序列作为训练集，利用欧几里得空间投影技术得到传感器原始测量值的簇；利用降噪技术和欧几里得空间投影技术得到信号子空间，获取信号子空间中簇的质心，并将训练集中距离质心最远的测量值作为阈值；获取带有隐蔽攻击的传感器时间序列作为测试集，计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值；比较偏离值和阈值的大小；其次，将隐蔽攻击与上下文信息相结合，针对不同类型的上下文构造不同的过滤函数进一步判断隐蔽攻击是否存在，降低误报率。

公开(公告)号：CN112861364A

公开(公告)日：2021-05-28

申请号：CN202110201190.3

申请日：2021-02-23

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  赵大伟 ,  孙云霄 ,  张磊

IPC: G06F30/20 ,  G06K9/62 ,  G06F119/02

Abstract: 本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模方法及装置，包括：(1)状态数据预处理；对状态数据执行离散变量二元化和连续变量二元化操作，生成多组二元状态集合；(2)状态时延转换图构建；对每个二元状态集合构建与之相对应的状态时延转换图；(3)基于环发现的初级标注；采用状态转换边和环的标注流程，进行初级标注；(4)基于时延特征聚类的二次标注；输出为行为模型中的各参数。本发明实现设备状态转换及相应持续时间的描述，本发明将实时水分配系统中过程设备实时产生的状态数据输入行为模型中，可以有效发现过程设备当前状态是否符合行为模型中描述的数据关系及转换关系，实现异常检测。

公开(公告)号：CN110376957B

公开(公告)日：2020-09-25

申请号：CN201910598862.1

申请日：2019-07-04

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  王连海 ,  王巍 ,  魏玉良 ,  孙功亮

IPC: G05B19/05

Abstract: 本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。该包括：状态变量的自动获取及安全规约的构建步骤；按照时间窗口从PLC状态运行信息中挖掘状态冲突规则与时序规则的步骤；将所述的状态冲突规则与时序规则与所述的安全规约进行对比，发现与安全规约不一致的规则的步骤；将PLC网络通信记录数据与PLC运行状态数据进行关联分析的步骤；根据所述的关联分析，推理出引发PLC冲突规则或时序规则发生变化的相关PLC操作的步骤。本发明的基于安全规约自动构建的PLC安全事件取证方法。通过对PLC控制逻辑程序AWL文件的分析，自动构建安全规约，并将其与PLC运行状态数据中挖掘的安全规则进行一致性匹配，进一步重构PLC安全事件，完成取证。

公开(公告)号：CN112861364B

公开(公告)日：2022-08-26

申请号：CN202110201190.3

申请日：2021-02-23

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  赵大伟 ,  孙云霄 ,  张磊

IPC: G06F30/20 ,  G06K9/62 ,  G06F119/02

Abstract: 本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模方法及装置，包括：(1)状态数据预处理；对状态数据执行离散变量二元化和连续变量二元化操作，生成多组二元状态集合；(2)状态时延转换图构建；对每个二元状态集合构建与之相对应的状态时延转换图；(3)基于环发现的初级标注；采用状态转换边和环的标注流程，进行初级标注；(4)基于时延特征聚类的二次标注；输出为行为模型中的各参数。本发明实现设备状态转换及相应持续时间的描述，本发明将实时水分配系统中过程设备实时产生的状态数据输入行为模型中，可以有效发现过程设备当前状态是否符合行为模型中描述的数据关系及转换关系，实现异常检测。

公开(公告)号：CN110378111A

公开(公告)日：2019-10-25

申请号：CN201910481846.4

申请日：2019-06-04

Applicant: 哈尔滨工业大学(威海) ,  哈工大(威海)创新创业园有限责任公司

Inventor： 王佰玲 ,  冯艳丽 ,  刘红日 ,  孙公亮 ,  徐丽娟 ,  刘扬

IPC: G06F21/55

Abstract: 本发明公开了针对工业控制系统隐蔽攻击的入侵检测方法及检测系统，首先获取工业控制系统的传感器测量值的原始时间序列作为训练集，利用欧几里得空间投影技术得到传感器原始测量值的簇；利用降噪技术和欧几里得空间投影技术得到信号子空间，获取信号子空间中簇的质心，并将训练集中距离质心最远的测量值作为阈值；获取带有隐蔽攻击的传感器时间序列作为测试集，计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值；比较偏离值和阈值的大小；其次，将隐蔽攻击与上下文信息相结合，针对不同类型的上下文构造不同的过滤函数进一步判断隐蔽攻击是否存在，降低误报率。

公开(公告)号：CN116032775B

公开(公告)日：2025-01-14

申请号：CN202310025793.1

申请日：2023-01-09

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院) ,  哈尔滨工业大学(威海)

Inventor： 徐丽娟 ,  丁潇 ,  赵大伟 ,  王凯 ,  仝丰华 ,  李鑫 ,  高鑫

IPC: H04L41/14 ,  G06N20/10 ,  G06N3/08 ,  G06N3/0455 ,  G06N3/0442 ,  H04L41/142

Abstract: 本发明涉及一种面向概念漂移的工业控制网络异常检测方法，该方法以实时多维数据流作为目标数据。该方法在初始数据流上训练教师模型和单类支持向量机模型；对于每批次数据流，都基于教师模型训练一个新的学生模型；利用学生模型对当前批次数据流进行异常检测，并利用单类支持向量机模型清洗正常数据中的异常值以获得更新模型所需要的训练数据；利用旧的学生模型获得当前批次数据流和前一批次数据流的异常分数集，然后根据Hoeffding不等式计算模型的可靠性，从而计算模型的参数系数，利用参数系数更新模型以适应概念漂移。本发明可以有效解决异常检测模型在概念发生漂移时的效率衰减问题。

公开(公告)号：CN116032775A

公开(公告)日：2023-04-28

申请号：CN202310025793.1

申请日：2023-01-09

Applicant: 山东省计算中心(国家超级计算济南中心) ,  齐鲁工业大学(山东省科学院) ,  哈尔滨工业大学(威海)

Inventor： 徐丽娟 ,  丁潇 ,  赵大伟 ,  王凯 ,  仝丰华 ,  李鑫 ,  高鑫

IPC: H04L41/14 ,  G06N20/10 ,  G06N3/08 ,  G06N3/0455 ,  G06N3/0442 ,  H04L41/142

Abstract: 本发明涉及一种面向概念漂移的工业控制网络异常检测方法，该方法以实时多维数据流作为目标数据。该方法在初始数据流上训练教师模型和单类支持向量机模型；对于每批次数据流，都基于教师模型训练一个新的学生模型；利用学生模型对当前批次数据流进行异常检测，并利用单类支持向量机模型清洗正常数据中的异常值以获得更新模型所需要的训练数据；利用旧的学生模型获得当前批次数据流和前一批次数据流的异常分数集，然后根据Hoeffding不等式计算模型的可靠性，从而计算模型的参数系数，利用参数系数更新模型以适应概念漂移。本发明可以有效解决异常检测模型在概念发生漂移时的效率衰减问题。

公开(公告)号：CN110376957A

公开(公告)日：2019-10-25

申请号：CN201910598862.1

申请日：2019-07-04

Applicant: 哈尔滨工业大学(威海) ,  山东省计算中心(国家超级计算济南中心)

Inventor： 徐丽娟 ,  王佰玲 ,  王连海 ,  王巍 ,  魏玉良 ,  孙功亮

IPC: G05B19/05

Abstract: 本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。该包括：状态变量的自动获取及安全规约的构建步骤；按照时间窗口从PLC状态运行信息中挖掘状态冲突规则与时序规则的步骤；将所述的状态冲突规则与时序规则与所述的安全规约进行对比，发现与安全规约不一致的规则的步骤；将PLC网络通信记录数据与PLC运行状态数据进行关联分析的步骤；根据所述的关联分析，推理出引发PLC冲突规则或时序规则发生变化的相关PLC操作的步骤。本发明的基于安全规约自动构建的PLC安全事件取证方法。通过对PLC控制逻辑程序AWL文件的分析，自动构建安全规约，并将其与PLC运行状态数据中挖掘的安全规则进行一致性匹配，进一步重构PLC安全事件，完成取证。