校内登录

个人信息 更多+
  • 教师姓名: 刘烃
  • 所在单位: 网络空间安全学院
  • 办公地点: 兴庆校区彭康楼226
  • 性别: 男
  • 联系方式:
  • 职称: 教授

电力系统网络安全态势感知:告警降噪、攻击检测与溯源取证

随着大语言模型和智能体技术快速发展,网络攻防正在从人工驱动向AI自动化演进。攻击者可利用MythosGPT-5.5-Cyber等以更低成本、更高效率地组织自动化、规模化和隐蔽化攻击。与此同时,防御侧面临海量安全日志难以理解、告警噪声严重、攻击证据分散、跨源语义割裂和攻击过程难以还原等挑战。

针对上述问题,团队在构建动态自动网络攻防场景和高质量安全数据集基础上,综合利用多源安全数据,重点研究告警降噪、攻击检测、溯源取证三个方向,并结合大语言模型与智能体技术提升日志语义理解、威胁研判、攻击链推理和处置建议生成能力,服务于安全运营中心告警处置、入侵检测、威胁狩猎、攻击溯源、智能取证和自动化安全运营等场景。

态势感知.png

在告警降噪方面,团队面向安全运营中心告警数量庞大、误报率高、语义割裂和人工研判成本高等问题,研究流量告警和网络告警的自动化降噪、关联分析与事件级处置方法。提出基于安全事件模式的告警簇处置推荐方法DeepDRAC,通过挖掘告警之间的时间关联、空间关联、资产关联、攻击阶段关联和事件模式关联,将海量分散告警归并为可解释的安全事件或告警簇,并进一步结合历史处置经验生成风险研判和处置建议,推动安全运营从逐条告警处理事件级批量处置转变[1]

在攻击检测方面,团队面向网络与主机系统中攻击行为隐蔽、入侵证据分散、异常模式复杂和传统规则检测泛化能力不足等问题,研究基于多源安全日志、网络告警、主机审计日志和溯源图的攻击检测方法。针对主机侧入侵检测与攻击归因问题,团队参与研究基于系统溯源图的高质量攻击归因方法 ORTHRUS,通过建模进程、文件、网络连接和系统调用之间的依赖关系,从海量系统事件中识别与攻击相关的关键证据[2]。针对大规模安全告警分类问题,团队提出基于超图的告警分类方法 HyperLAC,通过引入时空上下文增强机制,刻画告警之间的高阶关联关系,提升复杂网络环境下告警分类和攻击检测能力[3]

在溯源取证方面,团队面向单一日志源难以完整刻画攻击全过程、多源日志之间语义不一致、攻击步骤分散和攻击链条重建困难等问题,研究多源日志语义融合、事件关联与攻击过程恢复方法。团队提出轻量级多源日志驱动的多阶段攻击重建方法 MuSAR,通过对主机日志、网络流量、网络告警、审计日志和溯源日志进行实体对齐、时间对齐、行为对齐和意图对齐,构建统一的事件级语义表示,并进一步发现攻击步骤之间的时序关系、语义关系和因果关系,实现从离散安全事件到完整攻击链的自动恢复,为攻击溯源、威胁狩猎、应急响应和智能取证提供可解释证据[4]

基于该系列相关成果开发的系统已部署于国网、南网、三峡等重要单位,参与了第十四届全国运动会期间的电网安保,协助发现和阻断开幕式期间针对国家能源局西北监管局的攻击,国家能源局评价:极大地提升了对短时间内发生大量网络攻击事件的处理能力

代表性论文:

[1] Yang Liu, Gaofei Ruan, Zian Luo, Shilong Zhang, Donghao Liu, Xin Fan, Yadong Zhou and Ting Liu*. DeepDRAC: Disposition Recommendation for Alert Clusters Based on Security Event Patterns. IEEE Transactions on Information Forensics & Security (ITFS), 20: 6443-6458, 2025. [Github Code]

[2] B. Jiang, T. Bilot, N. El Madhoun, K. Al Agha, A. Zouaoui, S. Iqbal, X. Han, and T. Pasquier. ORTHRUS: Achieving High Quality of Attribution in Provenance-based Intrusion Detection Systems. USENIX Security, 2025.  [Github Code]

[3] Shilong Zhang, Zian Luo, Zehua Ren, Yumeng Zhu, Haichuan Zhang, Yang Liu*. HyperLAC: Hypergraph-based Large-scale Alert Classification with Spatial-temporal Context Enhancement. Knowledge-Based Systems, 330: 1-15, 2025.

[4] Yang Liu, Zisen Xu, Zian Luo*, Jin'ao Shang, Shilong Zhang, Haichuan Zhang and Ting Liu*. MuSAR: Multi-Step Attack Reconstruction from Lightweight Multi-source Logs via Event-Level Semantic Association. RAID, 2025. [Github Code]