公开(公告)号：CN115567264B

公开(公告)日：2024-09-13

申请号：CN202211144500.3

申请日：2022-09-20

Applicant: 西安交通大学

Inventor： 刘烃 ,  刘杨 ,  焦可欣 ,  王相茗 ,  刘鹏飞

IPC: H04L9/40 ,  G06F21/55

Abstract: 本发明公开了一种工控系统非法入侵设备检测定位方法及系统，通过设置检测时间窗口宽度、信号划分间隔、累积最小偏差，将信号等分为信号子序列，对信号子序列提取特征并利用累积和控制图累积特征偏差，重复特征提取和偏差累积至遍历所有子序列，存储特征累积偏差值至时间‑偏差数据库。在实际物理入侵检测过程中，可以利用入侵偏差值与设置好的阈值进行比较，并滑动时间窗口进行检测，进而判断是否有入侵。解决了利用现有物理入侵检测方法无法在连续温度变化下进行有效检测的技术问题。

公开(公告)号：CN118646560A

公开(公告)日：2024-09-13

申请号：CN202410673304.8

申请日：2024-05-28

Applicant: 西安交通大学

Inventor： 刘杨 ,  王相茗 ,  孟龙 ,  焦可欣 ,  刘烃 ,  周亚东

IPC: H04L9/40 ,  H04L12/40

Abstract: 本发明公开了一种基于RS485总线故障安全偏置电压的入侵设备检测方法及系统，外部入侵设备在RS485总线中的非授权接入导致总线空闲时刻的故障安全偏置电压和网关设备的通信信号在幅值上产生变化；对总线空闲时刻偏置电压和通信时刻网关通信信号进行采样，分别提取电压幅值特征并协同构建信道指纹，通过信道指纹产生的差异识别检测外部入侵设备；总线空闲时刻故障安全偏置电压和通信时刻网关通信信号两种总线通信资源的协同利用能够显著降低检测方法对采样频率和检测时间的需求；基于侧信道监控，不占用总线资源，同时基于恒虚警率约束动态生成检测阈值，实时适应检测环境，降低检测开销，实现以低成本方式在RS485总线网络中对各类外部入侵设备的精准检测。

公开(公告)号：CN118612666A

公开(公告)日：2024-09-06

申请号：CN202410673297.1

申请日：2024-05-28

Applicant: 西安交通大学

Inventor： 刘杨 ,  孟龙 ,  王相茗 ,  焦可欣 ,  刘烃 ,  周亚东

IPC: H04W4/029 ,  H04W4/02

Abstract: 本发明公开了一种工控系统非法终端接入定位方法及系统，将一阻抗并联至通信总线一端；在通信总线另一端采样信号生成电压信号子序列；根据电压信号子序列，提取峰值谷值点位置并进行平均化处理，构成终端反射特征；基于多个终端反射特征构建多终端位置指纹；协同比较多终端位置指纹判断非法终端接入位置。由于并联阻抗放大了反射信号，并通过协同比较多终端的峰值谷值位置，达到了对非法接入终端被动定位的目的，解决了相关技术中定位非法接入终端定位所面临的操作和性能上的问题。

公开(公告)号：CN118075003A

公开(公告)日：2024-05-24

申请号：CN202410287223.4

申请日：2024-03-13

Applicant: 西安交通大学

Inventor： 刘杨 ,  孟龙 ,  王相茗 ,  焦可欣 ,  刘烃

IPC: H04L9/40

Abstract: 本发明公开了一种基于反射信号的工控系统非法终端接入检测方法及系统，涉及工业控制系统攻击检测控制领域，首先并联一阻抗至通信总线一端；获取任意终端采样信息；根据采样信号生成电压信号子序列；根据电压信号子序列生成由多个时域特征和频域特征构成的特征序列；基于前向特征选择算法根据特征序列构建物理指纹模型；利用异常检测方法根据物理指纹模型得到对应的检测结果；由于物理指纹模型的构建包含了时域和频域上多个特征，达到了提高异常检测方法对终端非法接入检测准确性的目的，解决了相关技术中存在的终端非法接入动态检测准确性较低的问题。

公开(公告)号：CN117375976A

公开(公告)日：2024-01-09

申请号：CN202311450929.X

申请日：2023-11-02

Applicant: 西安交通大学

Inventor： 刘杨 ,  王相茗 ,  焦可欣 ,  孟龙 ,  刘烃

IPC: H04L9/40 ,  H04L12/40

Abstract: 本发明公开了一种现场总线网络静默型入侵设备检测方法及其相关设备，通过利用监测设备对现场总线网络中所有良性终端设备的正常通信信号进行采样，提取幅值特征并协同构建能够反映终端设备挂接情况的信道状态特征，与监测设备中存储好的信道状态组指纹进行差分对比，利用假设检验原理以低计算成本地形式生成检测阈值，从而在差异信号中进行入侵信号的快速检测，有效地判断现场总线网络中是否存在外部静默型入侵设备；检测方案同时支持信道状态组指纹的快速更新，适应检测环境的变化，解决了在现场总线网络中无法被动且自适应环境变化地检测外部静默型入侵设备的安全性技术问题。

公开(公告)号：CN115567264A

公开(公告)日：2023-01-03

申请号：CN202211144500.3

申请日：2022-09-20

Applicant: 西安交通大学

Inventor： 刘烃 ,  刘杨 ,  焦可欣 ,  王相茗 ,  刘鹏飞

IPC: H04L9/40 ,  G06F21/55

Abstract: 本发明公开了一种工控系统非法入侵设备检测定位方法及系统，通过设置检测时间窗口宽度、信号划分间隔、累积最小偏差，将信号等分为信号子序列，对信号子序列提取特征并利用累积和控制图累积特征偏差，重复特征提取和偏差累积至遍历所有子序列，存储特征累积偏差值至时间‑偏差数据库。在实际物理入侵检测过程中，可以利用入侵偏差值与设置好的阈值进行比较，并滑动时间窗口进行检测，进而判断是否有入侵。解决了利用现有物理入侵检测方法无法在连续温度变化下进行有效检测的技术问题。