公开(公告)号：CN119598450A

公开(公告)日：2025-03-11

申请号：CN202411639094.7

申请日：2024-11-18

Applicant: 大连理工大学

Inventor： 王成汗 ,  曾维鑫 ,  辛佳宁 ,  富佳伟 ,  王言伟 ,  隋天举

IPC: G06F21/55 ,  G06F21/56 ,  G06F18/10 ,  G06F18/213 ,  G06F18/2433

Abstract: 本发明属于工业互联网信息安全领域，提供了一种基于网络流量分析针对多重勒索的动静态融合检测方法。针对多重勒索的大量网络请求，并且传统方法适应性不佳，提出一种更加准确全面的方法。通过网络抓包工具和流量监控系统实时捕获和监控网络流量数据，对数据进行清洗和特征提取，分析流量模式以识别异常行为，然后，系统结合静态规则和动态检测的机器学习模型支持向量机对流量进行综合判断，检测到异常行为时，自动触发响应机制，阻断恶意流量并发送警报，最后，通过持续优化规则集和模型，提高检测的准确性和效率，确保系统能够更好地应对入侵攻击。

公开(公告)号：CN119363562A

公开(公告)日：2025-01-24

申请号：CN202411487336.5

申请日：2024-10-24

Applicant: 大连理工大学

Inventor： 隋天举 ,  叶小楠 ,  富佳伟 ,  刘海宁 ,  孙希明

IPC: H04L41/0631 ,  H04L41/16 ,  H04L41/14 ,  H04L41/142 ,  H04W84/18

Abstract: 本发明属于故障检测领域，公开了一种基于贝叶斯推断的分布式传感器网络故障检测方法。首先每个传感器节点根据先验知识计算自身的初始后验故障概率，然后各传感器节点根据其当前故障状态、节点间的耦合关系以及上一时刻从邻居节点接收的消息，计算并发送消息至其邻居节点，完成消息传递过程。各传感器节点使用从邻居节点接收的消息更新自身的后验故障概率。将更新后的后验故障概率与预设的阈值进行比较，如果后验故障概率大于预设阈值，则判定该传感器节点发生故障，启动自动化故障响应程序并通知专家诊断平台以进行深入分析和故障排除。本发明能够在有效降低对中心节点的依赖的情况下保持较高的故障检测效率，缓解集中式控制系统的通信瓶颈问题。

公开(公告)号：CN119728183A

公开(公告)日：2025-03-28

申请号：CN202411788726.6

申请日：2024-12-06

Applicant: 大连理工大学

Inventor： 隋天举 ,  苗勇 ,  王言伟 ,  富佳伟 ,  孙希明

IPC: H04L9/40 ,  G06F18/24 ,  G06F18/10

Abstract: 本发明属于信息物理系统安全状态估计与故障诊断领域，公开了一种基于递归最小二乘与渐消卡尔曼滤波的分布式信息物理系统安全状态估计方法，包括：建立执行器被攻击的分布式线性信息物理系统离散模型、建立子系统攻击信号递归最小二乘迭代模型、建立子系统渐消卡尔曼滤波数学模型、设计渐消因子、设计子系统加权系数及数据加权融合。本发明的方法能够及时、实时地对系统状态向量以及攻击信号进行安全状态估计，具有适应性强、准确度高、稳定性好等优点。

公开(公告)号：CN119996044A

公开(公告)日：2025-05-13

申请号：CN202510274416.0

申请日：2025-03-10

Applicant: 大连理工大学

Inventor： 隋天举 ,  莫小磊 ,  林思达 ,  富佳伟 ,  辛佳宁 ,  孙希明

IPC: H04L9/40

Abstract: 本发明属于工业互联网信息安全领域，公开了一种基于告警序列概率的工控系统攻击路径识别方法。在攻击图技术基础上综合漏洞生命周期和告警关联分析从而可实现高效而准确的攻击路径识别。利用工控系统各主机间拓扑关系，搜集其中存在的可达信息、漏洞信息，对拓扑中节点状态转移进行了基于漏洞层面的量化。引入入侵检测系统得到的告警信息，将其映射匹配至相应节点，从而更好拟合现实攻击，最终在所得到的概率攻击图上进行动态攻击意图后验估计推断以及攻击路径反向搜索，实现了对于工控系统的潜在攻击路径的动态风险评估。这种启发式路径识别方法通过对攻击图进行重构提高了识别可靠性及准确性，有利于防护者集中有限资源进行关键节点防护。

公开(公告)号：CN118740440A

公开(公告)日：2024-10-01

申请号：CN202410767677.1

申请日：2024-06-14

Applicant: 大连理工大学

Inventor： 隋天举 ,  马明礼 ,  富佳伟 ,  王言伟 ,  孙希明

IPC: H04L9/40 ,  H04L41/142

Abstract: 一种基于图理论和统计方法的APT攻击检测方法。首先通过分析网络流量和系统日志，构建了一个图结构，用以展示系统实体和它们之间的交互。节点和边的特征被提取出来，包括连接次数、访问频率和数据传输量等。利用图理论，分析了图结构的特性，比如节点度、聚类系数、连通分量和节点中心性。通过统计分析，建立正常行为的基线，并计算新行为与基线的距离。如果距离超过设定的阈值，那么该行为被视为异常。同时通过实时监控网络流量和系统日志，不断更新图结构，并进行异常检测。一旦检测到异常，会触发安全响应措施，包括隔离受感染设备、阻断可疑连接和发出警报。这种方法能够高效地识别复杂的网络关系和行为模式，有效检测并应对高级持续性威胁。

公开(公告)号：CN118278005A

公开(公告)日：2024-07-02

申请号：CN202410374168.2

申请日：2024-03-29

Applicant: 大连理工大学

Inventor： 隋天举 ,  冯爽 ,  杨涛 ,  刘海宁 ,  富佳伟 ,  王言伟 ,  孙希明

IPC: G06F21/56

Abstract: 本发明属于工业互联网信息安全领域，公开了一种基于多元文件特征监测与程序行为分析的工业控制系统勒索病毒检测方法。针对当前勒索病毒检测方法存在误报率高、冗余特征多等问题，提出了一种更准确全面的检测方法。通过在目标系统中插入诱饵文件吸引潜在入侵者操作，监测文件特征变化并设计变化函数，利用内存取证工具和规则匹配工具分析程序行为，设计匹配程度函数。最后综合文件特征变化、可疑程序行为匹配情况、目标系统设备显示屏幕变化，设计评分体系，判断可疑程序是否为工业勒索病毒。这种综合性检测方法能及时响应勒索病毒入侵，降低误报率，提高精准度，增强了系统安全性和效率，为工业互联网信息安全领域提供了新的检测手段。