公开(公告)号：CN110515365A

公开(公告)日：2019-11-29

申请号：CN201910686726.8

申请日：2019-07-29

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  谢盈 ,  张小松 ,  杜解 ,  游新童 ,  王筱翔

IPC: G05B23/02

Abstract: 本发明提供了一种基于过程挖掘的工控系统异常行为分析方法，该方法包括：首先设置工控系统的工控设备生成适用于预处理的工控系统日志；然后将工控系统日志通过预处理转换成适合在过程挖掘中使用的事件日志；随后对工控系统正常运行下的正常业务流程建立一个预期行为模型；最后把得到的所述事件日志与预期行为模型进行比较，识别出所述工控系统异常行为。本发明的异常行为分析方法解决了冗余数据和事件与流程相关联等问题，操作方便快捷、适用范围广，并且准确度高，大大提高了工控系统的防护能力。

公开(公告)号：CN111130758B

公开(公告)日：2021-07-06

申请号：CN202010078328.0

申请日：2020-02-03

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  谢盈 ,  王筱翔 ,  王骞 ,  王志波 ,  张小松

IPC: H04L9/06 ,  H04L9/08 ,  H04L9/32 ,  H04L29/06

Abstract: 本发明提供了一种适用于资源受限设备的轻量级匿名认证方法，该方法采用信息系统模型实现，所述信息系统模型包括网络管理中心、受限设备和信息中心三个实体，具体包括步骤：设定系统参数、注册、签名、验证和密钥确认。本发明可适用于计算资源受限的设备。本发明的匿名认证方法，在认证端只需要执行一次椭圆曲线点乘运算，与以往的基于椭圆曲线的匿名认证方法相比，在保证安全性的同时进一步减少了计算资源与通信资源的开销，从而更适用于资源受限设备，降低了设备对计算能力的要求。

公开(公告)号：CN110505215B

公开(公告)日：2021-03-30

申请号：CN201910686702.2

申请日：2019-07-29

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  游新童 ,  谢盈 ,  张小松 ,  杜解 ,  王筱翔

IPC: H04L29/06

Abstract: 本发明提供了基于虚拟运行和状态转换的工控系统网络攻击应对方法，该方法在工控系统异常状态下，提出了一种基于状态转换的恢复机制，用于工控系统遭受攻击后及时恢复现场设备的正常运转；同时提出了一种基于虚拟运行的隔离机制，用于工控系统遭受攻击后隔离现场设备，避免遭受进一步恶意控制，这两种机制通过工控系统的内部数据交换中心和外部数据交换中心完成配合与触发。所述恢复机制保证了工控系统不会在发生异常后失去运行能力或是造成严重后果；所述隔离机制保证了工控系统的外部控制中心遭到网络入侵并被控制后，现场设备不会受到持续下达的错误指令的进一步影响，提高了工控系统的网络攻击应对能力。

公开(公告)号：CN110515365B

公开(公告)日：2021-07-06

申请号：CN201910686726.8

申请日：2019-07-29

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  谢盈 ,  张小松 ,  杜解 ,  游新童 ,  王筱翔

IPC: G05B23/02

Abstract: 本发明提供了一种基于过程挖掘的工控系统异常行为分析方法，该方法包括：首先设置工控系统的工控设备生成适用于预处理的工控系统日志；然后将工控系统日志通过预处理转换成适合在过程挖掘中使用的事件日志；随后对工控系统正常运行下的正常业务流程建立一个预期行为模型；最后把得到的所述事件日志与预期行为模型进行比较，识别出所述工控系统异常行为。本发明的异常行为分析方法解决了冗余数据和事件与流程相关联等问题，操作方便快捷、适用范围广，并且准确度高，大大提高了工控系统的防护能力。

公开(公告)号：CN111130758A

公开(公告)日：2020-05-08

申请号：CN202010078328.0

申请日：2020-02-03

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  谢盈 ,  王筱翔 ,  王骞 ,  王志波 ,  张小松

IPC: H04L9/06 ,  H04L9/08 ,  H04L9/32 ,  H04L29/06

Abstract: 本发明提供了一种适用于资源受限设备的轻量级匿名认证方法，该方法采用信息系统模型实现，所述信息系统模型包括网络管理中心、受限设备和信息中心三个实体，具体包括步骤：设定系统参数、注册、签名、验证和密钥确认。本发明可适用于计算资源受限的设备。本发明的匿名认证方法，在认证端只需要执行一次椭圆曲线点乘运算，与以往的基于椭圆曲线的匿名认证方法相比，在保证安全性的同时进一步减少了计算资源与通信资源的开销，从而更适用于资源受限设备，降低了设备对计算能力的要求。

公开(公告)号：CN110505215A

公开(公告)日：2019-11-26

申请号：CN201910686702.2

申请日：2019-07-29

Applicant: 电子科技大学

Inventor： 丁旭阳 ,  游新童 ,  谢盈 ,  张小松 ,  杜解 ,  王筱翔

IPC: H04L29/06

Abstract: 本发明提供了基于虚拟运行和状态转换的工控系统网络攻击应对方法，该方法在工控系统异常状态下，提出了一种基于状态转换的恢复机制，用于工控系统遭受攻击后及时恢复现场设备的正常运转；同时提出了一种基于虚拟运行的隔离机制，用于工控系统遭受攻击后隔离现场设备，避免遭受进一步恶意控制，这两种机制通过工控系统的内部数据交换中心和外部数据交换中心完成配合与触发。所述恢复机制保证了工控系统不会在发生异常后失去运行能力或是造成严重后果；所述隔离机制保证了工控系统的外部控制中心遭到网络入侵并被控制后，现场设备不会受到持续下达的错误指令的进一步影响，提高了工控系统的网络攻击应对能力。