公开(公告)号：CN115001739A

公开(公告)日：2022-09-02

申请号：CN202210409078.3

申请日：2022-04-19

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 杨瑞瑞 ,  徐砚 ,  李立

IPC: H04L9/40

Abstract: 本发明公开了一种基于随机森林的横向蠕虫攻击检测方法，包括以下步骤：S1、生成随机森林模型；S2、对随机森林模型进行测试；S3、保存训练好的随机森林模型，实时解析网络流量特征然后加载随机森林模型进行结果预测，如果预测结果属于横向蠕虫攻击则告警，若为正常流量则丢弃该条流量数据。可以实时预测工控网络中的横向蠕虫攻击流量信息，并能够根据告警结果提供对应的解决方案。

公开(公告)号：CN114189348A

公开(公告)日：2022-03-15

申请号：CN202111207375.1

申请日：2021-10-18

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 李立 ,  徐砚 ,  黄立 ,  彭仲佳

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种适用于工控网络环境的资产识别方法，包括步骤：解析工业私有协议和互联网协议生成相应格式化信息存入消息队列中；从消息队列中流式获取格式化数据并根据格式化数据进行资产识别与提取资产相关指纹，通过与资产指纹库比对进一步识别资产属性，深度识别资产指纹等；本发明能够解决主动扫描资产在工控网络环境中影响工业业务正常运行、扫描无法全覆盖的问题。同时，能够使得资产指纹丰富，资产识别率高，解决被动资产识别在工控网络环境中资产指纹识别的准确性差，得到的资产信息不足的问题。

公开(公告)号：CN115913703B

公开(公告)日：2024-06-18

申请号：CN202211417097.7

申请日：2022-11-14

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 许珑于 ,  徐砚 ,  李立

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142

Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质，其中方法包括：数据预处理：对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式；训练算法构建：基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练，生成基于LightGBM的可更新的检测模型；异常报文检测：利用Top‑K准则设置阈值，判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖，直接采用原始流量样本数据，充分利用字节报文的表征信息，通过lightgbm的并行训练，高效快速得到检测模型，可有效检测出异常报文，此方案适用于所有工控协议的异常报文检测。

公开(公告)号：CN115913703A

公开(公告)日：2023-04-04

申请号：CN202211417097.7

申请日：2022-11-14

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 许珑于 ,  徐砚 ,  李立

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142

Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质，其中方法包括：数据预处理：对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式；训练算法构建：基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练，生成基于LightGBM的可更新的检测模型；异常报文检测：利用Top‑K准则设置阈值，判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖，直接采用原始流量样本数据，充分利用字节报文的表征信息，通过lightgbm的并行训练，高效快速得到检测模型，可有效检测出异常报文，此方案适用于所有工控协议的异常报文检测。

公开(公告)号：CN115021954A

公开(公告)日：2022-09-06

申请号：CN202210410562.8

申请日：2022-04-19

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 杨瑞瑞 ,  徐砚 ,  李立

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于深度自编码器的工控业务数据虚假注入攻击检测方法，包括：S1、对工控设备历史数据进行数据预处理，进行模型训练得到虚假注入攻击检测模型；S2、对随机注入攻击数据进行数据预处理，输入训练好的虚假注入攻击检测模型设置模型阈值；S3、实时采集OPC服务器上的工控业务数据进行数据预处理，通过训练好的虚假注入攻击检测模型进行结果预测，判断预测值是否为虚假注入数据。本发明通过深度学习模型实时检测工控设备业务数据虚假数据注入攻击的异常数据，并能够根据异常数据关联相关设备进行告警，便于第一时间感知设备运行的异常情况，进行快速准确的判断，有效维护系统的安全运行。

公开(公告)号：CN115564289A

公开(公告)日：2023-01-03

申请号：CN202211316321.3

申请日：2022-10-26

Applicant: 中国电子科技网络信息安全有限公司

Inventor： 曾斌 ,  李立 ,  邹盛唐 ,  彭子平 ,  徐砚

IPC: G06Q10/06

Abstract: 本发明提供了一种计算工业资产风险等级的方法，包括：步骤1、统计区域内所有资产对应的不符合项和部分符合项；步骤2、计算每个资产的总的不符合项个数，形成包括所有资产对应总的不符合项个数的数组；步骤3、采用聚类算法对得到的数组进行聚类处理，确定K个中心点，由K个中心划分为K+1个聚类，即K+1个风险等级；步骤4、将数组中总的不符合项个数分别与K个中心点进行对比，根据大小关系，将总的不符合项个数对应的资产划分对应风险等级中。通过本发明提出的方法能够有效的根据已有的范围内企业的资产的各种检查项，计算出范围内资产的风险等级，为后续的企业和资产的按风险的聚合统计打下基础。