公开(公告)号：CN113037553A

公开(公告)日：2021-06-25

申请号：CN202110265232.X

申请日：2021-03-11

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李耀 ,  刘楚波 ,  肖国庆 ,  段明星 ,  唐卓 ,  窦勇 ,  廖清

IPC: H04L12/24 ,  G06N3/00 ,  G06K9/62

Abstract: 本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法，包括：从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列，将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

公开(公告)号：CN112765660B

公开(公告)日：2025-01-28

申请号：CN202110092700.8

申请日：2021-01-25

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李金娜 ,  杨志邦 ,  于思洋 ,  刘楚波 ,  唐卓 ,  肖国庆 ,  段明星 ,  阳王东 ,  李克勤

IPC: G06F21/62 ,  G06F21/57 ,  G06F40/216 ,  G06F40/289 ,  G06F18/23

Abstract: 本发明公开了一种基于MapReduce并行聚类技术的终端安全性分析方法，包括：从终端获取其日志数据，并使用自然语言处理库对日志数据进行处理，以得到多个分词；对得到的多个分词进行过滤处理，以得到过滤后的多个分词；使用TF‑IDF算法提取过滤后的每个分词的特征，所有特征构成该日志数据对应的日志向量X；计算得到的日志数据对应的日志向量与预先设置的K个聚类中心中每个聚类中心的欧氏距离，并获取所有欧氏距离的最小值所对应的聚类中心，根据该聚类中心确定终端的最终安全等级。本发明能够降低噪声日志干扰带来的影响，并且能解决现有终端安全性判断的人力成本高、速度慢，分类结果受不同技术人员自身经验影响，以及传统终端安全分类方法的不准确的问题。

公开(公告)号：CN112988666A

公开(公告)日：2021-06-18

申请号：CN202110300026.8

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  夏禹 ,  余思洋 ,  周旭 ,  刘楚波 ,  肖国庆 ,  段明星 ,  张家豪 ,  巢婉琼

IPC: G06F16/13 ,  G06F16/14 ,  G06F16/172 ,  G06F16/18

Abstract: 本发明公开了一种基于布谷鸟过滤器的分布式日志条件查询方法，包括：获取客户端发送的条件查询请求，根据该条件查询请求在预先构建好的热数据库中进行数据查询，并判断查询到的数据总量是否低于条件查询请求对应的数据量，如果是则对该条件查询请求进行处理，以得到标识字符串，将标识字符串作为键(Key)，在冷门条件缓存层进行数据查询，以判断冷门条件缓存层中是否存在该键对应的值(Value)，若不是则根据条件查询请求在预先构建好的冷数据库数据分表中执行查询操作，以得到条件查询结果，将条件查询数据结果处理生成JSON字符串，将标识字符串作为键、将JSON字符串作为值形成键值对，并将该键值对存储于冷门条件缓存层中。

公开(公告)号：CN112968906A

公开(公告)日：2021-06-15

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

公开(公告)号：CN112910688A

公开(公告)日：2021-06-04

申请号：CN202110059616.6

申请日：2021-01-18

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  付鹏磊 ,  杨志邦 ,  余思洋 ,  吕婷 ,  胡庆丰 ,  唐卓 ,  刘楚波 ,  阳王东

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/08 ,  G16Y30/10

Abstract: 本发明公开了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法和系统，具体包括：(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接，对每个HJ212协议通讯数据包进行解析，以获取其对应的命令编码，按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序，将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序，从而构成该连接对应的命令编码序列；(2)将该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中，以得到该连接的检测结果。本发明能解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。

公开(公告)号：CN112711607A

公开(公告)日：2021-04-27

申请号：CN202011605240.6

申请日：2020-12-30

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 唐卓 ,  宋莹洁 ,  李肯立 ,  罗文明 ,  郭耀莲 ,  刘园春 ,  阳王东 ,  曹嵘晖 ,  肖国庆 ,  刘楚波 ,  周旭

IPC: G06F16/2453 ,  G06F16/2455 ,  G06F16/2458

Abstract: 本发明公开了一种基于Flink框架的实时增量式频繁项集挖掘方法，包括：(1)对实时增量数据集db进行频繁项集挖掘，得到频繁项集集合f；(2)获取原始数据集DB的频繁项集集合F；(3)获取频繁项集集合F和频繁项集集合f二者之间的频繁项集交集F∩f、以及频繁项集差集f‑F和F‑f，以及每个集合中各个项集的出现次数；(4)获取频繁项集差集f‑F和F‑f中出现次数大于等于全局数据集中最小出现次数的项集，将其和频繁项集交集F∩f中的所有项集进行合并，以得到全局频繁项集集合。本发明能解决现有技术中需要多次扫描全局数据集而导致的挖掘方法效率低下的技术问题。

公开(公告)号：CN112104639A

公开(公告)日：2020-12-18

申请号：CN202010950472.9

申请日：2020-09-11

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  胡由钻 ,  余思洋 ,  杨志邦 ,  廖清 ,  刘楚波 ,  唐卓 ,  段明星 ,  李克勤

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种面向电力系统网络的攻击路径并行预测方法，采用并行模式根据反向DFS算法生成多个网络子攻击图，并且采用并行模式根据DFS算法计算所有子攻击图中各条攻击路径攻击成功的概率，从所有概率中选择最大值对应的攻击路径作为整个电力系统网络中最可能的攻击路径。本发明解决了无法针对风险大的0day漏洞进行攻击路径预测的问题，提升了攻击图生成效率，并解决整体攻击图容易出现状态爆炸的问题，同时减少了攻击路径预测的计算复杂度，提高攻击路径预测的计算效率。

公开(公告)号：CN113055374B

公开(公告)日：2022-07-08

申请号：CN202110258404.0

申请日：2021-03-10

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴繁宇 ,  阳王东 ,  余思洋 ,  周旭 ,  刘楚波 ,  陈建国 ,  刘俊 ,  吕婷

IPC: H04L9/40 ,  H04L43/18 ,  H04L69/06 ,  H04L67/01

Abstract: 本发明公开了一种用于IEC104电力协议安全性测试的检测方法，其首先获取待检测设备的IP地址，通过基于Peach平台设计的检测程序与待检测设备进行报文交互，并且根据待检测设备回复的信息内容，结合预先定义的规则有针对性地构造异常数据报文并将其向待检测设备发送，在检测系统与待检测设备的通信过程中，监测程序也会同步地监测待检测设备的状态变化，如果检测程序或监测程序发现待检测设备出现异常情况，检测程序就会停止构造异常数据报文，转而核实该异常，若核实无误，则作为待检测设备存在的一个安全隐患进行记录。本发明提供的IEC104电力协议安全性测试方法以使用IEC104电力协议进行数据传输的站端设备为检测对象，能够有效地发现站端设备存在的安全隐患。

公开(公告)号：CN113055374A

公开(公告)日：2021-06-29

申请号：CN202110258404.0

申请日：2021-03-10

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴繁宇 ,  阳王东 ,  余思洋 ,  周旭 ,  刘楚波 ,  陈建国 ,  刘俊 ,  吕婷

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种用于IEC104电力协议安全性测试的检测方法，其首先获取待检测设备的IP地址，通过基于Peach平台设计的检测程序与待检测设备进行报文交互，并且根据待检测设备回复的信息内容，结合预先定义的规则有针对性地构造异常数据报文并将其向待检测设备发送，在检测系统与待检测设备的通信过程中，监测程序也会同步地监测待检测设备的状态变化，如果检测程序或监测程序发现待检测设备出现异常情况，检测程序就会停止构造异常数据报文，转而核实该异常，若核实无误，则作为待检测设备存在的一个安全隐患进行记录。本发明提供的IEC104电力协议安全性测试方法以使用IEC104电力协议进行数据传输的站端设备为检测对象，能够有效地发现站端设备存在的安全隐患。

公开(公告)号：CN112988630A

公开(公告)日：2021-06-18

申请号：CN202110300018.3

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  邓洪奇 ,  余思洋 ,  周旭 ,  刘楚波 ,  唐伟 ,  刘俊 ,  李克勤

IPC: G06F13/16 ,  G06F21/56 ,  G06F21/79

Abstract: 本发明公开了一种基于微过滤器的移动存储设备的读写控制方法及系统，属于信息安全技术领域。包括：在文件系统的I/O管理器中注册微过滤器，将微过滤器设置成自动绑定终端设备上所有卷设备；获取微过滤器的句柄，并根据句柄，注册文件的IRP操作所对应的回调函数；其中，微过滤器用于监控IRP操作，在对文件进行读写操作之前，文件系统优先调用回调函数；在回调函数中，根据移动存储设备的设备标识及权限标签，对移动存储设备进行读写访问控制。由于是从文件层面上考虑，并基于该层面对移动存储设备的读写控制进行改进，从而相对于硬件层面的改进，能够有效降低成本。