公开(公告)号：CN113037553A

公开(公告)日：2021-06-25

申请号：CN202110265232.X

申请日：2021-03-11

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李耀 ,  刘楚波 ,  肖国庆 ,  段明星 ,  唐卓 ,  窦勇 ,  廖清

IPC: H04L12/24 ,  G06N3/00 ,  G06K9/62

Abstract: 本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法，包括：从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列，将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

公开(公告)号：CN112989360A

公开(公告)日：2021-06-18

申请号：CN202110325793.4

申请日：2021-03-26

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李婷婷 ,  杨志邦 ,  唐卓 ,  陈建国 ,  肖国庆 ,  李克勤 ,  刘俊 ,  汤姣林

IPC: G06F21/57 ,  G06F21/46 ,  G06F16/901 ,  G06F16/951

Abstract: 本发明公开了一种基于并行二叉树的弱口令漏洞自动检测方法，包括：获取待测目标对象的ip地址和端口号，根据待测对象的ip地址和端口号，并利用python脚本从数据库中爬取用户名密码数据，并根据数据库中每个用户名密码数据的重复项次数、按照从低到高的顺序将所有用户名密码数据进行排序，以得到弱口令对字典文件，根据得到的弱口令对字典文件构造完全二叉树，利用随机存取并行机器PRAM对生成的二叉树进行弱口令扫描，以得到连接检测结果。本发明能解决现有弱口令漏洞检测方法由于需要检测员手动去网上收集用户名字典文件和密码字典文件，导致增加检测员的工作时间的技术问题，以及由于扫描速率过低，导致该方法的效率较低的技术问题。

公开(公告)号：CN112965970A

公开(公告)日：2021-06-15

申请号：CN202110305980.6

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  吴璐 ,  杨志邦 ,  余思洋 ,  唐卓 ,  肖国庆 ,  段明星 ,  刘楚波 ,  黎东

IPC: G06F16/215 ,  G06F16/22 ,  G06F16/2455 ,  H04L29/06

Abstract: 本发明公开了一种基于哈希算法的异常流量并行检测方法，包括：设备源向目标服务器发起请求；中央管理核拦截、清洗数据包，并向各检测内核派发需检测的数据包信息；各检测内核对总规则库进行均分，得到负责匹配的子规则库；检测内核根据哈希算法分散得到每次检测的数据包编号，其中哈希函数的键值由本内核编号、检测内核总数、数据包总数、该核已检测数据包数及冲突次数计算得到。本发明能提高规则库并行情况下的模式匹配效率，通过多核协作增加单位时间内检测的流量包数量，解决规则库过大带来的检测速率底下的问题，在降低漏报率的同时提高检测速率，更快进行异常报警，从而采取相应措施。

公开(公告)号：CN112988666A

公开(公告)日：2021-06-18

申请号：CN202110300026.8

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  夏禹 ,  余思洋 ,  周旭 ,  刘楚波 ,  肖国庆 ,  段明星 ,  张家豪 ,  巢婉琼

IPC: G06F16/13 ,  G06F16/14 ,  G06F16/172 ,  G06F16/18

Abstract: 本发明公开了一种基于布谷鸟过滤器的分布式日志条件查询方法，包括：获取客户端发送的条件查询请求，根据该条件查询请求在预先构建好的热数据库中进行数据查询，并判断查询到的数据总量是否低于条件查询请求对应的数据量，如果是则对该条件查询请求进行处理，以得到标识字符串，将标识字符串作为键(Key)，在冷门条件缓存层进行数据查询，以判断冷门条件缓存层中是否存在该键对应的值(Value)，若不是则根据条件查询请求在预先构建好的冷数据库数据分表中执行查询操作，以得到条件查询结果，将条件查询数据结果处理生成JSON字符串，将标识字符串作为键、将JSON字符串作为值形成键值对，并将该键值对存储于冷门条件缓存层中。

公开(公告)号：CN112711607A

公开(公告)日：2021-04-27

申请号：CN202011605240.6

申请日：2020-12-30

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 唐卓 ,  宋莹洁 ,  李肯立 ,  罗文明 ,  郭耀莲 ,  刘园春 ,  阳王东 ,  曹嵘晖 ,  肖国庆 ,  刘楚波 ,  周旭

IPC: G06F16/2453 ,  G06F16/2455 ,  G06F16/2458

Abstract: 本发明公开了一种基于Flink框架的实时增量式频繁项集挖掘方法，包括：(1)对实时增量数据集db进行频繁项集挖掘，得到频繁项集集合f；(2)获取原始数据集DB的频繁项集集合F；(3)获取频繁项集集合F和频繁项集集合f二者之间的频繁项集交集F∩f、以及频繁项集差集f‑F和F‑f，以及每个集合中各个项集的出现次数；(4)获取频繁项集差集f‑F和F‑f中出现次数大于等于全局数据集中最小出现次数的项集，将其和频繁项集交集F∩f中的所有项集进行合并，以得到全局频繁项集集合。本发明能解决现有技术中需要多次扫描全局数据集而导致的挖掘方法效率低下的技术问题。

公开(公告)号：CN113014602B

公开(公告)日：2022-02-18

申请号：CN202110325762.9

申请日：2021-03-26

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李斌 ,  谭光华 ,  杨志邦 ,  唐卓 ,  刘楚波 ,  肖国庆 ,  段明星 ,  黄国平 ,  唐伟

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

公开(公告)号：CN113037553B

公开(公告)日：2021-12-14

申请号：CN202110265232.X

申请日：2021-03-11

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李耀 ,  刘楚波 ,  肖国庆 ,  段明星 ,  唐卓 ,  窦勇 ,  廖清

IPC: H04L12/24 ,  G06N3/00 ,  G06K9/62

Abstract: 本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法，包括：从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列，将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

公开(公告)号：CN113014602A

公开(公告)日：2021-06-22

申请号：CN202110325762.9

申请日：2021-03-26

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李斌 ,  谭光华 ,  杨志邦 ,  唐卓 ,  刘楚波 ,  肖国庆 ,  段明星 ,  黄国平 ,  唐伟

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

公开(公告)号：CN112988666B

公开(公告)日：2022-04-22

申请号：CN202110300026.8

申请日：2021-03-22

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  夏禹 ,  余思洋 ,  周旭 ,  刘楚波 ,  肖国庆 ,  段明星 ,  张家豪 ,  巢婉琼

IPC: G06F16/13 ,  G06F16/14 ,  G06F16/172 ,  G06F16/18

Abstract: 本发明公开了一种基于布谷鸟过滤器的分布式日志条件查询方法，包括：获取客户端发送的条件查询请求，根据该条件查询请求在预先构建好的热数据库中进行数据查询，并判断查询到的数据总量是否低于条件查询请求对应的数据量，如果是则对该条件查询请求进行处理，以得到标识字符串，将标识字符串作为键(Key)，在冷门条件缓存层进行数据查询，以判断冷门条件缓存层中是否存在该键对应的值(Value)，若不是则根据条件查询请求在预先构建好的冷数据库数据分表中执行查询操作，以得到条件查询结果，将条件查询数据结果处理生成JSON字符串，将标识字符串作为键、将JSON字符串作为值形成键值对，并将该键值对存储于冷门条件缓存层中。

公开(公告)号：CN112765660A

公开(公告)日：2021-05-07

申请号：CN202110092700.8

申请日：2021-01-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李金娜 ,  杨志邦 ,  于思洋 ,  刘楚波 ,  唐卓 ,  肖国庆 ,  段明星 ,  阳王东 ,  李克勤

IPC: G06F21/62 ,  G06F21/57 ,  G06F40/216 ,  G06F40/289 ,  G06K9/62

Abstract: 本发明公开了一种基于MapReduce并行聚类技术的终端安全性分析方法，包括：从终端获取其日志数据，并使用自然语言处理库对日志数据进行处理，以得到多个分词；对得到的多个分词进行过滤处理，以得到过滤后的多个分词；使用TF‑IDF算法提取过滤后的每个分词的特征，所有特征构成该日志数据对应的日志向量X；计算得到的日志数据对应的日志向量与预先设置的K个聚类中心中每个聚类中心的欧氏距离，并获取所有欧氏距离的最小值所对应的聚类中心，根据该聚类中心确定终端的最终安全等级。本发明能够降低噪声日志干扰带来的影响，并且能解决现有终端安全性判断的人力成本高、速度慢，分类结果受不同技术人员自身经验影响，以及传统终端安全分类方法的不准确的问题。