公开(公告)号：CN112988630A

公开(公告)日：2021-06-18

申请号：CN202110300018.3

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  邓洪奇 ,  余思洋 ,  周旭 ,  刘楚波 ,  唐伟 ,  刘俊 ,  李克勤

IPC: G06F13/16 ,  G06F21/56 ,  G06F21/79

Abstract: 本发明公开了一种基于微过滤器的移动存储设备的读写控制方法及系统，属于信息安全技术领域。包括：在文件系统的I/O管理器中注册微过滤器，将微过滤器设置成自动绑定终端设备上所有卷设备；获取微过滤器的句柄，并根据句柄，注册文件的IRP操作所对应的回调函数；其中，微过滤器用于监控IRP操作，在对文件进行读写操作之前，文件系统优先调用回调函数；在回调函数中，根据移动存储设备的设备标识及权限标签，对移动存储设备进行读写访问控制。由于是从文件层面上考虑，并基于该层面对移动存储设备的读写控制进行改进，从而相对于硬件层面的改进，能够有效降低成本。

公开(公告)号：CN112968906A

公开(公告)日：2021-06-15

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

公开(公告)号：CN113014602B

公开(公告)日：2022-02-18

申请号：CN202110325762.9

申请日：2021-03-26

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李斌 ,  谭光华 ,  杨志邦 ,  唐卓 ,  刘楚波 ,  肖国庆 ,  段明星 ,  黄国平 ,  唐伟

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

公开(公告)号：CN113014602A

公开(公告)日：2021-06-22

申请号：CN202110325762.9

申请日：2021-03-26

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李斌 ,  谭光华 ,  杨志邦 ,  唐卓 ,  刘楚波 ,  肖国庆 ,  段明星 ,  黄国平 ,  唐伟

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

公开(公告)号：CN112968906B

公开(公告)日：2022-02-18

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/14

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

公开(公告)号：CN119172103A

公开(公告)日：2024-12-20

申请号：CN202411085195.4

申请日：2024-08-08

Applicant: 湖南匡安网络技术有限公司

Inventor： 杨志邦 ,  周彬 ,  蔡宇辉 ,  余思洋 ,  杨圣洪 ,  李肯立 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/0442

Abstract: 本发明公开了一种基于CNN‑BiGRU的DDOS攻击检测方法及系统，所述方法包括根据Spearman秩相关系数绝对值大小确定与DDOS攻击相关性显著的特征，基于格拉姆角差场将时间序列特征转换为2D纹理图像，将每个单变量时间序列转换后的二维图像输入CNN‑BiGRU网络模型，训练模型直至收敛，将样本输入到训练好的GAF‑CNN‑BiGRU网络模型中，将模型输出的概率分布进行平均概率融合，然后从融合后的输出中获取预测概率最高的结果并输出。本发明实现了识别出更复杂的攻击特征，丰富了数据的表达能力，同时融合可以帮助模型更全面、更深入地理解和分析数据，提高检测的精确度和泛化能力。

公开(公告)号：CN116668068A

公开(公告)日：2023-08-29

申请号：CN202310423533.X

申请日：2023-04-20

Applicant: 湖南匡安网络技术有限公司

Inventor： 余思洋 ,  李政 ,  李肯立 ,  段明星 ,  蔡宇辉 ,  杨志邦 ,  杨圣洪 ,  唐伟 ,  吕婷

IPC: H04L9/40 ,  G06N20/20

Abstract: 本发明公开了基于联合联邦学习的工控异常流量检测方法，包括：生成本地训练数据集；客户端使用本地数据集在初始模型上训练得到本地模型参数，并发送到服务器S1完成参数聚合；S1将全局参数分发到客户端，客户端开始下一轮本地训练；得到全局模型M1；客户端将本地的异常样本发送到服务器S2，S2整合所有异常样本，进行模型训练，得到模型M2；将模型M1和M2组合，并采集工控设备传感器和执行器数据，将数据送入组合模型，进行实时异常检测。本发明避免了工控环境下本地客户端采用不均衡数据集训练导致模型对正常样本过拟合，检测精度不高的问题；有更强的泛化能力。

公开(公告)号：CN116260617A

公开(公告)日：2023-06-13

申请号：CN202211658520.2

申请日：2022-12-22

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  焦凯伦 ,  蔡宇辉 ,  杨志邦 ,  余思洋 ,  杨圣洪 ,  唐伟 ,  段明星 ,  吕婷

IPC: H04L9/40 ,  H04L43/0876 ,  H04L43/04 ,  G06N20/20

Abstract: 本发明公开了基于联邦学习的电网工控协议入侵检测方法与系统，方法包括以下步骤：收集电网变电站的流量信息；构建流量信息数据集，在GAN神经网络上进行学习；基于变电站训练好的模型权重，上传到中心服务器进行聚合训练，并下发变电站；变电站基于训练好的模型生成大量网络流量数据，提取正常动作信息，设计行为规则；将实时传输的报文解码后进行与正常动作信息进行匹配，从而判定当前数据包的行为动作是否属于正常动作，如果出现异常动作，进行告警。本发明基于联邦学习利用生成对抗网络进行数据扩充，利用大量数据提取出更合理的行为动作进行规则匹配，解决了因为数据隐私性和安全性导致数据量少的问题。

公开(公告)号：CN114845303A

公开(公告)日：2022-08-02

申请号：CN202210413580.1

申请日：2022-04-14

Applicant: 湖南匡安网络技术有限公司

Inventor： 李肯立 ,  杨圣洪 ,  刘双昱 ,  罗汸 ,  杨志邦 ,  余思洋 ,  蔡宇辉 ,  唐伟

IPC: H04W12/088 ,  H04W12/37

Abstract: 本发明公开了一种基于应用程序接口的工控网络外联设备检测方法，其通过调用bluetoothapi接口获取客户端中的蓝牙通信设备信息，调用iphlpapi接口获取客户端网络的相关参数，来判断客户端是否正和违规外联进行连接通信；设计一种新的程序保护机制——探测到扫描程序被从进程管理器处关闭后，修改程序的过程终止权限，防止程序被从外部关闭，保证对客户端进行持续性扫描。其目的在于，通过对客户端网卡和蓝牙的持续扫描，解决工业控制安全中存在的信息安全问题。本发明还公开了一种基于应用程序接口的工控网络外联设备检测系统。

公开(公告)号：CN114626098A

公开(公告)日：2022-06-14

申请号：CN202210296937.2

申请日：2022-03-24

Applicant: 湖南匡安网络技术有限公司

Inventor： 罗汸 ,  李斌 ,  余思洋 ,  杨志邦 ,  唐伟 ,  吕婷 ,  钟凯

IPC: G06F21/62 ,  G06F16/901

Abstract: 本发明公开了一种基于双HASH验证的主机防御方法，包括：(1)获取主机中的可执行文件，对该可执行文件进行第一HASH计算，并判断哈希计算的结果是否存在于预先存储的第一白名单数据库中，如果是则加载该可执行文件，然后转入步骤(2)，否则阻止加载该可执行文件，然后过程结束；(2)从主机的磁盘内读取该可执行文件的分片，对该分片所属的可执行文件进行第二HASH计算，并判断哈希计算的结果是否存在于预先存储的第二白名单数据库中，如果是则读取该分片上的数据，过程结束，否则阻止对该分片上数据的读取。本发明解决了可执行文件实时检测的效率低和进程运行速度变慢的问题，保证更安全、准确的校验，保障主机提供服务的效率和抵御外界的防御能力。