校内登录
个人信息 更多+

刘杨

副教授 博士生导师 硕士生导师

  • 所在单位: 网络空间安全学院
  • 学历: 博士研究生毕业
  • 学位: 博士

方向介绍

当前位置: 中文主页 - 方向介绍
网络安全智慧运营

随着大语言模型和智能体技术快速发展,网络攻防正在从人工驱动向AI自动化演进。攻击者可利用MythosGPT-5.5-Cyber以更低成本、更高效率地组织自动化、规模化和隐蔽化攻击与此同时,防御侧面临海量安全日志难以理解、告警噪声严重、攻击证据分散、跨源语义割裂和攻击过程难以还原等挑战。

针对上述问题,团队在构建动态自动网络攻防场景和高质量安全数据集基础,综合利用多源安全数据,重点研究告警降噪、攻击检测、溯源取证三个方向,并结合大语言模型与智能体技术提升日志语义理解、威胁研判、攻击链推理和处置建议生成能力,服务于安全运营中心告警处置、入侵检测、威胁狩猎、攻击溯源、智能取证和自动化安全运营等场景

图片1.png

 

在告警降噪方面,团队面向安全运营中心告警数量庞大、误报率高、语义割裂和人工研判成本高等问题,研究流量告警和网络告警的自动化降噪、关联分析与事件级处置方法。提出基于安全事件模式的告警簇处置推荐方法DeepDRAC,通过挖掘告警之间的时间关联、空间关联、资产关联、攻击阶段关联和事件模式关联,将海量分散告警归并为可解释的安全事件或告警簇,并进一步结合历史处置经验生成风险研判和处置建议,推动安全运营从“逐条告警处理”向“事件级批量处置”转变[1]。

在攻击检测方面,团队面向网络与主机系统中攻击行为隐蔽、入侵证据分散、异常模式复杂和传统规则检测泛化能力不足等问题,研究基于多源安全日志、网络告警、主机审计日志和溯源图的攻击检测方法。针对主机侧入侵检测与攻击归因问题,团队参与研究基于系统溯源图的高质量攻击归因方法 ORTHRUS,通过建模进程、文件、网络连接和系统调用之间的依赖关系,从海量系统事件中识别与攻击相关的关键证据[2]。针对大规模安全告警分类问题,团队提出基于超图的告警分类方法 HyperLAC,通过引入时空上下文增强机制,刻画告警之间的高阶关联关系,提升复杂网络环境下告警分类和攻击检测能力[3]。

在溯源取证方面,团队面向单一日志源难以完整刻画攻击全过程、多源日志之间语义不一致、攻击步骤分散和攻击链条重建困难等问题,研究多源日志语义融合、事件关联与攻击过程恢复方法。团队提出轻量级多源日志驱动的多阶段攻击重建方法 MuSAR,通过对主机日志、网络流量、网络告警、审计日志和溯源日志进行实体对齐、时间对齐、行为对齐和意图对齐,构建统一的事件级语义表示,并进一步发现攻击步骤之间的时序关系、语义关系和因果关系,实现从离散安全事件到完整攻击链的自动恢复,为攻击溯源、威胁狩猎、应急响应和智能取证提供可解释证据[4]。

基于该系列相关成果开发的系统已部署于国网、南网、三峡等重要单位,参与了第十四届全国运动会期间的电网安保,协助发现和阻断开幕式期间针对国家能源局西北监管局的攻击,国家能源局评价:“极大地提升了对短时间内发生大量网络攻击事件的处理能力”。

 

代表性论文:

[1] Yang Liu, Gaofei Ruan, Zian Luo, Shilong Zhang, Donghao Liu, Xin Fan, Yadong Zhou and Ting Liu*. DeepDRAC: Disposition Recommendation for Alert Clusters Based on Security Event Patterns. IEEE Transactions on Information Forensics & Security (ITFS), 20: 6443-6458, 2025. (CCF A)  [Github Code]

[2] B. Jiang, T. Bilot, N. El Madhoun, K. Al Agha, A. Zouaoui, S. Iqbal, X. Han, and T. Pasquier. ORTHRUS: Achieving High Quality of Attribution in Provenance-based Intrusion Detection Systems. USENIX Security, 2025. (CCF A) [Github Code]

[3] Shilong Zhang, Zian Luo, Zehua Ren, Yumeng Zhu, Haichuan Zhang, Yang Liu*. HyperLAC: Hypergraph-based Large-scale Alert Classification with Spatial-temporal Context Enhancement. Knowledge-Based Systems, 330: 1-15, 2025.

[4] Yang Liu, Zisen Xu, Zian Luo*, Jin'ao Shang, Shilong Zhang, Haichuan Zhang and Ting Liu*. MuSAR: Multi-Step Attack Reconstruction from Lightweight Multi-source Logs via Event-Level Semantic Association. RAID, 2025. (CCF B)  [Github Code]


电力数据隐性泄露威胁

电力数据开放共享是支撑电力市场透明运行和能源数字化治理的重要基础,但公开渠道中大量低敏感数据经过多源汇聚与关联分析后,可能间接推断出部分线路参数、潮流信息、拓扑结构等非公开的电力敏感信息,引发电力数据隐性泄露风险。针对上述问题,团队围绕电力数据隐性泄露威胁,形成了覆盖威胁定义威胁评估威胁防护的研究体系。

图片2.png 

在威胁定义方面,团队首次提出推断型数据泄露威胁范式,指出数据泄露不再仅表现为攻击者直接入侵系统、窃取敏感数据,也可能表现为攻击者利用公开数据、业务逻辑和专业知识间接推断敏感数据。相比窃取型泄露,推断型泄露不需要直接接触高安全等级数据,过程更隐蔽,也更容易绕过访问控制、加密传输和边界防护等传统安全机制[1]。进一步,团队从人工智能时代的数据安全变化出发,指出大模型、多模态学习等技术正在削弱传统数据保护所依赖的数据安全壁垒,使低敏感数据组合推断高敏感信息的风险显著上升[2]

在威胁评估方面,团队分别针对线路参数、线路潮流和拓扑结构三类典型敏感电力数据,研究其在公开数据关联条件下的隐性泄露风险。针对线路参数,团队分析公开节点边际电价、阻塞分量、影子价格和电网拓扑之间的物理约束关系,建立以线路导纳为未知量的线性反推模型,揭示公开电价数据与线路参数之间存在可计算的反向映射关系,并推导不同拓扑条件下达到最大推断威胁所需的最少电价数据量,在IEEE系统上,对线路导纳的推断准确率达到92%以上[3]。针对线路潮流,团队提出数据-机理双驱动的潮流推断方法,将电力系统运行约束嵌入深度图学习模型,验证了多源低敏感数据协同使用对潮流推断精度和泄露风险的放大作用[4]。针对拓扑结构问题,团队构建公开数据-拓扑关联路径,利用电价、线路阻塞和有限节点位置等信息推断完整电网拓扑,说明公开数据关联分析可能导致高敏感拓扑结构泄露。

在威胁防护方面,团队形成了先评估、再防护的技术路线。首先,面向推断泄露导致的风险传播问题,提出基于推断图神经网络的敏感度评估方法IGNN,将电力数据字段建模为节点,将物理规律和统计相关性建模为推断边,定量识别最容易引发敏感信息泄露的高风险数据,其识别出的高敏感数据可导致最高91.45%的推断准确率[5]。进一步针对识别出的高风险公开数据,提出基于生成式噪声的跨域推断防护方法DE-VAE,通过对电价等关键公开数据进行加噪扰动,削弱攻击者对负荷和拓扑等敏感信息的推断能力,该方法使敏感负荷数据保护覆盖率达到85.52%,较已有最优方法提升超过45%,同时保持加噪前后数据高度相似,尽量保持数据可用性[6]

该系列成果形成的专刊报告与政策建议,已被中央办公厅、中央网信办、国家能源局等部门采纳并刊发,获陕西省委和国网公司主要领导批示。国家已发布《能源行业数据安全管理办法(试行)》,明确要求强化对公开渠道数据汇聚、关联后可能引发能源行业数据安全风险的监测能力。上述应用和监管要求表明,电力数据隐性泄露风险已引发国家关注,成为能源行业数据安全领域亟待解决的重要问题。

代表性论文:

[1] 刘烃, 王子骏, 刘杨, 周亚东, 吴江, 鲍远义, 吴桐, 管晓宏. 数据推断: 信息物理融合系统数据泄露威胁范式和防御方法[J]. 中国科学: 信息科学, 2023, 53(11): 2152-2179.

[2] Z Wang, T Liu, Y Liu, E Zio, X Guan. Data Inference: Data Security Threats in the AI Era[J]. Engineering, 2025, 52: 29-33.

[3] Z Wang, Y Liu, N Yu, Q Wu, J Wu, Y Zhou, T Liu. Data Inference From Publicly Available Data: Threats and Defense Methods in Power Systems[J]. IEEE Transactions on Power Systems, 2024, 40(1): 1049-1059.

[4] 吴桐, 冯江琳, 杨雨洁, 王子骏, 刘杨, 刘烃, 管晓宏. 基于数据-机理双驱动的电网潮流信息推断与防御方法[J/OL]. 中国电机工程学报, 1-13[2026-06-30].

[5] B Hu, R Nie, Y Zhou, S He, Y Yang, Y Liu, T Liu, X Guan. IGNN: An Inference Graph Neural Network for Data Sensitivity Assessment Considering Data Inference Leakage in Cyber-Physical Power Grid[J]. IEEE Transactions on Smart Grid, 2026.

[6] B Hu, Y Zhou, Y Zhou, J Wu, T Liu, X Guan. Data Protection Method Against Cross-Domain Inference Threat in Cyber–Physical Power Grid[J]. IEEE Transactions on Smart Grid, 2024, 15(4): 4170-4181.


信息物理综合安全

新型电力系统面临新能源高比例接入、电力电子化与智能化带来的高波动、高不确定及信息物理深度耦合挑战。运行状态剧变使传统潮流计算难以满足近实时感知与大规模评估需求;同时,信息域攻击、物理域故障与设备风险相互耦合,可能引发跨域连锁故障与系统性安全事故,对传统分离式防护体系构成新威胁。针对上述问题,团队聚焦快速状态感知、信息物理综合安全威胁机理、信息物理协同安全防护三大方向,融合电力系统物理模型、运行数据、网络信息与人工智能,支撑新型电力系统安全、可靠、韧性运行。

 

图片3.png


在快速状态感知方面,团队面向新能源高渗透下运行状态快速变化与海量场景评估需求,研究快速潮流计算与可信物理仿真方法。提出基于KKT条件约束的神经网络潮流计算方法PhysiKKT-Net,将基尔霍夫定律等物理约束嵌入神经网络结构,在提升计算效率的同时保证预测结果满足物理一致性,为实时状态感知、攻击后果验证和连锁故障分析提供可信计算支撑。该方法获电网物理仿真机器学习国际挑战赛全球第二名[1]

在信息物理综合安全威胁机理方面,团队系统性研究信息物理融合系统(Cyber-Physical System, CPS中信息安全威胁与工程安全问题相互影响形成的综合安全威胁[2],并从系统与设备两个层面开展建模与风险分析。系统层面,提出面向新能源不确定性的Markov Tree连锁故障风险评估方法,以及异步攻击/控制指令篡改下的脆弱序列识别技术,用于发现可能导致大规模故障的关键故障传播路径[3-5];设备层面,提出发电装备信息物理综合安全威胁范式,揭示网络攻击、能量流异常与设备应力损伤之间的耦合机理,为发电装备综合安全防护提供理论基础[6-7]

在信息物理协同安全防护方面,团队针对电网状态估计、控制指令和关键测量数据易受虚假数据注入攻击的问题,研究检测、防御与状态恢复方法。提出移动目标防御方法,通过主动改变系统参数或运行配置破坏攻击者对电网模型的先验知识[8];进一步提出隐藏移动目标防御和多阶段隐藏移动目标防御方法,兼顾防御隐蔽性与检测有效性,提高对警觉攻击者的防护能力[9-10]。针对攻击后的状态恢复,提出动态电抗扰动与静态测量保护相结合的方法,在较低防护成本下识别攻击并恢复真实电网状态[11]。该方向与快速潮流计算、连锁故障分析共同构成信息域检测防御与物理域风险防护相结合的系统级安全体系。

该系列成果可服务于新型电力系统威胁预警与故障恢复等场景,提升高比例新能源接入条件下电网运行状态分析的实时性、物理一致性和安全可信性,增强对信息域攻击、物理域故障和设备损伤风险的协同感知与综合防护能力,为构建安全、可靠、韧性的新型电力系统提供技术支撑。相关成果获2018年教育部自然科学二等奖。

代表性论文:

[1] Milad Leyli-Abadi, Jérôme Picault, Antoine Marot, et al.. Machine Learning for Physical Simulation Challenge Results and Retrospective Analysis: Power Grid Use Case. arXiv preprint arXiv:2505.01156, 2025.

[2] 刘烃, 田决, 王稼舟, 吴宏宇, 孙利民, 周亚东, 沈超, 管晓宏. 信息物理融合系统综合安全威胁与防御研究. 自动化学报, 2019, 45(1): 5–24.

[3] Sizhe He, Yadong Zhou, Yujie Yang, Ting Liu, Yuxun Zhou, Jie Li, Tong Wu, Xiaohong Guan. Cascading Failure in Cyber–Physical Systems: A Review on Failure Modeling and Vulnerability Analysis. IEEE Transactions on Cybernetics, 2024, 54(12): 7936–7954.

[4] Yujie Yang, Yadong Zhou, Sizhe He, Bowen Hu, Yu Qu, Ting Liu, Xiaohong Guan. A Markov Tree Model for Cascading Failure Risk Assessment in Power Grid With Uncertain Renewable Energy Generation. IEEE Transactions on Circuits and Systems I: Regular Papers, 2026, 73(2): 1460–1473.

[5] Sizhe He, Yadong Zhou, Yujie Yang, Xinlu Li, Yang Liu, Ting Liu. Vulnerable Sequence Identification for Sequential Cascading Failure Analysis in Power Grid. IEEE Transactions on Industrial Informatics, 2025, 21(6): 4830–4840.

[6] 周罕琦, 刘烃, 李明佳, 刘杨, 杨雨洁, 尚锦奥, 王文奇, 贾紫越, 管晓宏. 发电装备信息物理综合安全威胁机理与防御方法. 中国科学: 信息科学, 2026.

[7] Hanqi Zhou, Yaling He, Ting Liu, Yang Liu, Jinao Shang, Xiangming Wang. NEST: Network-Energy-Stress Threat Against Thermal Energy Equipment. IEEE Transactions on Automation Science and Engineering, 2025, 22: 9622–9635.

[8] Jue Tian, Rui Tan, Xiaohong Guan, Zhanbo Xu, Ting Liu. Moving Target Defense Approach to Detecting Stuxnet-Like Attacks. IEEE Transactions on Smart Grid, 2020, 11(1): 291–300.

[9] Jue Tian, Rui Tan, Xiaohong Guan, and Ting Liu. Hidden Moving Target Defense in Smart Grids. In Proceedings of the 2nd Workshop on Cyber-Physical Security and Resilience in Smart Grids (CPSR-SG'17), Pittsburgh, PA, USA, pp. 21–26, 2017.(Best Paper)

[10] Jiazhou Wang, Jue Tian, Gaoxi Xiao, Yang Liu, Hao Huang, Yadong Zhou, Ting Liu. On Stealthiness and Effectiveness of Moving Target Defense in Smart Grids. IEEE Transactions on Industrial Informatics, 2025, 21(4): 2987–2996.

[11] Jiazhou Wang, Jue Tian, Nanpeng Yu, Yang Liu, Haichuan Zhang, Yadong Zhou, Ting Liu. A Dynamic and Static Combined State Recovery Method Against FDI Attacks in Power Grids. IEEE Transactions on Smart Grid, 2024, 15(6): 6018–6030.