公开(公告)号：CN105807631B

公开(公告)日：2019-02-12

申请号：CN201610131655.1

申请日：2016-03-08

Applicant: 北京工业大学 ,  工业和信息化部电子工业标准化研究院

Inventor： 高一为 ,  周睿康 ,  赖英旭 ,  范科峰 ,  宋站威 ,  王宇盛 ,  姚相振 ,  龚洁中

IPC: G05B17/02

Abstract: 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

公开(公告)号：CN105807631A

公开(公告)日：2016-07-27

申请号：CN201610131655.1

申请日：2016-03-08

Applicant: 北京工业大学 ,  工业和信息化部电子工业标准化研究院

Inventor： 高一为 ,  周睿康 ,  赖英旭 ,  范科峰 ,  宋站威 ,  王宇盛 ,  姚相振 ,  龚洁中

IPC: G05B17/02

CPC classification number: G05B17/02

Abstract: 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

公开(公告)号：CN106254316A

公开(公告)日：2016-12-21

申请号：CN201610575649.5

申请日：2016-07-20

Applicant: 北京工业大学 ,  工业和信息化部电子工业标准化研究院

Inventor： 宋站威 ,  姚相振 ,  赖英旭 ,  范科峰 ,  高林 ,  周睿康 ,  李琳 ,  王宇盛 ,  杨凯翔 ,  蔡晓田

IPC: H04L29/06

CPC classification number: H04L63/1416 ,  H04L63/1425

Abstract: 本发明公开一种基于数据依赖的工控行为异常检测系统，包括：数据采集模块，用于获取网络数据包；行为数据提取模块，用于提取网络数据包中的行为数据，建立用于规则学习的输入输出行为数据列表和用于规则检测的输入输出行为数据列表；规则学习模块，用于根据预存的学习配置文件和规则学习的输入输出行为数据列表，生成规则文件；规则检测模块，根据所述规则文件规则检测的输入输出行为数据列表，对所述行为数据进行异常检测。采用本发明的技术方案，能够有效的对控制器(PLC等)和被控对象(阀门等)的过程行为进行异常检测，具有检测准确率高、实时性强的特点。

公开(公告)号：CN106254316B

公开(公告)日：2019-07-05

申请号：CN201610575649.5

申请日：2016-07-20

Applicant: 北京工业大学 ,  工业和信息化部电子工业标准化研究院

Inventor： 宋站威 ,  姚相振 ,  赖英旭 ,  范科峰 ,  高林 ,  周睿康 ,  李琳 ,  王宇盛 ,  杨凯翔 ,  蔡晓田

IPC: H04L29/06

Abstract: 本发明公开一种基于数据依赖的工控行为异常检测系统，包括：数据采集模块，用于获取网络数据包；行为数据提取模块，用于提取网络数据包中的行为数据，建立用于规则学习的输入输出行为数据列表和用于规则检测的输入输出行为数据列表；规则学习模块，用于根据预存的学习配置文件和规则学习的输入输出行为数据列表，生成规则文件；规则检测模块，根据所述规则文件规则检测的输入输出行为数据列表，对所述行为数据进行异常检测。采用本发明的技术方案，能够有效的对控制器(PLC等)和被控对象(阀门等)的过程行为进行异常检测，具有检测准确率高、实时性强的特点。

公开(公告)号：CN113868642B

公开(公告)日：2025-03-28

申请号：CN202111059127.7

申请日：2021-09-10

Applicant: 北京工业大学

Inventor： 赖英旭 ,  王洁溪 ,  刘静 ,  孙墨童

IPC: G06F21/55 ,  G06F21/64 ,  G06N3/044 ,  G06N3/084

Abstract: 本发明公开了一种基于多特征长短期记忆网络的隐蔽数据攻击检测方法，包括：步骤1，由随机森林袋外数据及热点图组成特征关键度评估与特征联系性评估，为后续模型训练做好准备；步骤2，利用不同时刻的，关键度与联系性都表现优秀的特征数据作为输入，对多特征长短期记忆网络进行训练，同时在训练时筛去参数不达标的数据，使模型达到能够学习到不同特征数据间有助于数据预测的信息；步骤3，成功进行攻击检测后，本发明根据阈值超过残差的频率决定是否引发警报。本发明所提出的改进后的模型在多方面均优于改进前的长短期记忆网络模型，所加入同一传感器侧下特征数据间的关键度与联系性能够帮助模型检测到的异常攻击行为，并做出及时有效地应对。

公开(公告)号：CN113313156B

公开(公告)日：2025-02-21

申请号：CN202110557882.1

申请日：2021-05-21

Applicant: 北京工业大学

Inventor： 王一鹏 ,  贾文旭 ,  赖英旭 ,  杨震

IPC: G06F18/2413 ,  G06N3/045 ,  G06N3/084 ,  G06N5/04 ,  G16Y30/10 ,  G16Y40/20 ,  G06F18/214 ,  G06N3/09

Abstract: 本发明公开了一种基于时序负载流量指纹的物联网设备流量识别方法及系统，本方法的具体工作流程可以分为训练阶段和分类阶段。在训练阶段，根据已标记类别的物联网设备流量的报文长度序列信息和报文字节序列信息，训练神经网络中的可学习参数，从而实现自动化的物联网设备流量指纹提取和物联网设备识别。在分类阶段，基于已训练完成的神经网络模型，对待识别物联网设备流量进行物联网设备流量指纹构建，并完成不同物联网设备的流量识别。本发明从不同的特征维度对于任何物联网设备产生的网络流量进行准确刻画，从而形成更具表达能力的物联网设备流量指纹，在物联网设备流量识别过程中具有高准确率、高度泛化能力和鲁棒性。

公开(公告)号：CN113946832B

公开(公告)日：2025-01-07

申请号：CN202111244200.8

申请日：2021-10-26

Applicant: 北京工业大学

Inventor： 赖英旭 ,  叶腾飞

IPC: G06F21/57 ,  G06F18/24 ,  G06N3/0475 ,  G06N3/045 ,  G06N3/094 ,  G06N3/0464

Abstract: 本发明公开了一种基于改进的生成对抗网络框架的漏洞挖掘方法，提出一种改进的生成对抗网络模型框架，解决了测试用例生成过程中目标函数训练效果较差以及模型训练过程中的模式崩溃问题；接着，针对在训练过程中生成器网络从判别器网络中获得的反馈信息不足而造成收敛速度过慢，生成的测试用例质量不够高的问题，使得模型能够较快的完成收敛并且能够获得更高质量的测试用例；最后，设计并实现了基于Modbus‑TCP协议的漏洞挖掘系统，并在仿真环境以及真实工业环境中进行模糊测试试验；本发明提高测试用例的接收率以及能够触发被测目标的各种异常以及发现Modbus‑TCP协议的漏洞，从而解决了传统漏洞挖掘方法中存在的低接收率以及低漏洞挖掘能力的问题。

公开(公告)号：CN114330469B

公开(公告)日：2024-06-14

申请号：CN202110999637.6

申请日：2021-08-29

Applicant: 北京工业大学 ,  国家计算机网络与信息安全管理中心

Inventor： 王一鹏 ,  贺慧杰 ,  赖英旭 ,  云晓春

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/082

Abstract: 本发明公开了一种快速、准确的加密流量分类方法及系统，该方法包括模型构建阶段1、模型构建阶段2以及分类阶段。模型构建阶段1包括：对流序列进行短序列预处理；对短序列训练数据进行模型构建，生成早期快速检测模型。模型构建阶段2包括：对流序列进行长序列预处理；对长序列训练数据进行模型构建，生成细粒度分类模型。根据模型构建阶段2生成的细粒度分类模型对不能早期分类的流进行精细化分类，并输出其预测标签。本发明使用较多的数据报文将不能早期分类的流进行精细化分类，在网络流量分类过程既保证了高精度的同时又极大的减少了所有流等待数据报文所花费的时间，因此，能够同时满足高速与高精度的分类需求。

公开(公告)号：CN117914568A

公开(公告)日：2024-04-19

申请号：CN202410007791.4

申请日：2024-01-03

Applicant: 北京工业大学

Inventor： 秦华 ,  段仲浩 ,  赖英旭

IPC: H04L9/40 ,  H04L9/08 ,  H04L49/113 ,  H04L49/552

Abstract: 本发明公开了一种基于TrustZone的OpenFlow交换机安全转发方法，设计了一种在数据层保护交换机转发安全的架构，基于TrustZone对OpenFlow交换机中的数据包进行转发验证，该系统通过采样和可信机制来保证验证的效率和安全性。基于数据流的采样方案，使得本方案即使在涉及大量数据包的场景下也能实现快速验证。由于在控制器中存储流表会导致控制器存储大量的流表，因此我们在控制器中使用布隆过滤器存储流表，允许控制器压缩流表，从而显著降低流表存储开销。同时，将TEE中的检测模块移至REE中，避免检测模块频繁切换世界读取交换机数据，同时在TEE中设置相应的监控模块对检测模块进行度量，在降低开销的同时保证了安全性。

公开(公告)号：CN114358177B

公开(公告)日：2024-03-29

申请号：CN202111669208.9

申请日：2021-12-31

Applicant: 北京工业大学

Inventor： 王一鹏 ,  乐思琦 ,  赖英旭 ,  贺慧杰 ,  庄俊玺

IPC: G06F18/23213 ,  G06F18/21 ,  G06F18/241 ,  H04L9/40

Abstract: 本发明公开了一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统。包括模型构建阶段、分类阶段及更新阶段。其中模型构建阶段包含用于构建流特征提取模型的模型构建阶段1以及用于构建流分离模型的构建的模型构建阶段2。基于流分离模型，划分已知流量类与未知流量类边界。对于判定为已知类的流输出其对应的预测标签，并存储为已知类流量样本；对于判定为未知类的流，对其进行标记并存储为未知类流量样本。基于新类别样本数据与已知类样本数据组成新流量样本数据集，重复模型构建阶段操作进行模型更新。通过模型构建阶段、分类阶段和更新阶段，有效应对未知加密流量问题，在保证了分类精确度的同时使系统具有良好的可扩展性。