公开(公告)号：CN110022308A

公开(公告)日：2019-07-16

申请号：CN201910178952.5

申请日：2019-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 于楠 ,  王旭 ,  闫兆腾 ,  朱红松 ,  孙利民 ,  丰轩 ,  李红

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明实施例提供一种物联网设备识别方法及系统，向待识别设备的多个预设端口依次发送每个预设端口对应的探测数据包，根据待识别设备返回的响应数据包确定待识别设备所采用的传输协议；若传输协议属于半结构化数据协议，则提取响应数据包中的结构特征和样式特征，根据结构特征和样式特征获得待识别设备的三元组属性；若传输协议属于无结构化数据协议，则提取响应数据包中的内容特征，根据内容特征获得待识别设备的三元组属性。该方法及系统通过将传输协议划分为半结构化数据协议和无结构化数据协议，并针对这两种协议采用不同的方式进行物联网设备识别，能够对目前所有物联网设备进行有效识别，进而能够有效确保网络空间的安全性。

公开(公告)号：CN109344610A

公开(公告)日：2019-02-15

申请号：CN201811011452.4

申请日：2018-08-31

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  杨安 ,  石志强 ,  李红

IPC: G06F21/55

Abstract: 本发明提供一种序列攻击的检测方及装置，其中方法包括：实时获取工控系统中的数据；对于在获取第一个操作指令后获取的观测量，根据操作间隔的观测量变化信息判断观测量是否异常；对于在获取第一个操作指令后获取的操作指令，获取一定长度的历史操作指令序列，根据检测模型计算从历史操作指令序列跳转到当前操作指令的跳转概率，根据所述跳转概率判断所述操作指令是否异常，并检测该操作指令执行时的观测量变化信息是否异常。本发明实施例有效地解决操作时序无法检测以及因虚假控制流数据导致检测失效的问题，提高了序列攻击检测的精确性，实现全操作流程的入侵检测。

公开(公告)号：CN109063055A

公开(公告)日：2018-12-21

申请号：CN201810798277.1

申请日：2018-07-19

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  马原 ,  陈昱 ,  李红 ,  孙利民

IPC: G06F17/30

Abstract: 本发明提供一种同源二进制文件检索方法和装置，该方法包括：将待检测二进制文件的字符串序列输入至预先训练的神经网络模型，输出编码向量；对编码向量进行局部敏感哈希运算，生成待检测二进制文件的哈希签名；计算待检测二进制文件的哈希签名与数据库中的各哈希签名的相似度哈希；其中，数据库中记录样本二进制文件和哈希签名；将满足同源性阈值的相似度哈希对应的样本二进制文件作为待检测二进制文件的同源二进制文件；其中，神经网络模型根据样本二进制文件的字符串序列以及样本二进制文件的编码向量训练而成。本发明提供一种同源二进制文件检索方法和装置，能得到满足条件的同源二进制文件，对于快速修补嵌入式设备固件的漏洞有较好的效果。

公开(公告)号：CN112445862B

公开(公告)日：2024-01-26

申请号：CN202011359712.4

申请日：2020-11-27

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  刘培培 ,  于楠 ,  文辉 ,  闫兆腾 ,  朱红松 ,  孙利民

IPC: G06F16/27 ,  G06F16/215 ,  G06F16/951 ,  G06F40/295

Abstract: 本发明实施例提供了一种物联网设备数据集构建方法、装置、电子设备和存储介质，从网络抓取到物联网设备信息后，当设备品牌存在缺失或冗余时，通过命名实体识别模型、预先设置的正则表达式以及网页内容关键词抽取等方式对物联网设备信息进行修正，基于修正之后的物联网设备信息构建联网设备数据集。通过修正之后符合规范的物联网设备信息构建物联网设备数据集，使得物联网设备数据集中的每一条数据均是符合规范的数据项，从而能够基于规范的数据项对物联网数据集进行查询，提高了物联网数据集的可用性。

公开(公告)号：CN116956286A

公开(公告)日：2023-10-27

申请号：CN202310805014.X

申请日：2023-06-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  文辉 ,  邓立廷 ,  辛明峰 ,  李红 ,  吕世超 ,  李志

IPC: G06F21/56 ,  G06N3/042 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明提供一种跨架构的物联网恶意软件分析方法及装置，该方法包括：定位软件的目标架构信息；根据所述目标架构信息，采用相应架构的动态分析环境记录软件所运行的系统调用序列；将所述系统调用序列转换为系统调用图；对所述系统调用图上每个节点分别添加语义信息和结构信息；将所述添加语义信息和结构信息的系统调用图分别馈送到两个独立的图神经网络进行编码，得到语义信息编码结果和结构信息编码结果；通过集成学习模型整合所述语义信息编码结果和结构信息编码结果，根据整合结果得到软件的物联网恶意软件家族预测。用以解决现有技术中物联网恶意软件分析效果不足的缺陷，实现跨架构物联网恶意软件检测和分类中的性能提升。

公开(公告)号：CN116339720A

公开(公告)日：2023-06-27

申请号：CN202310176884.5

申请日：2023-02-28

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  王志宇 ,  王卓 ,  朱红松 ,  孙利民

IPC: G06F8/36 ,  G06F18/22 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请提供一种二进制文件相似度匹配方法、装置及存储介质。该方法包括：基于二进制文件中的函数的属性生成带属性函数调用图；基于图神经网络GraphSAGE和注意力机制确定所述带属性函数调用图的图嵌入表示；基于所述图嵌入表示确定二进制文件的相似度匹配结果。本申请实施例提供的二进制文件相似度匹配方法、装置及存储介质，通过带属性函数调用图将二进制文件相似度判断转换为图结构的相似度判断，并基于GraphSAGE和注意力机制生成图嵌入表示，使权重更高的节点作为相似度匹配的主要依据，提高了相似度判断的准确性。

公开(公告)号：CN116150763A

公开(公告)日：2023-05-23

申请号：CN202310069034.5

申请日：2023-01-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  李思远 ,  王勇攀 ,  朱红松 ,  孙利民

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及数据处理技术领域，提供一种第三方库重用检测方法、装置、电子设备和存储介质，该方法包括：对待检测二进制文件和侯选库进行锚点检测，得到多个锚点；对每个锚点进行锚点增强，得到每个锚点的候选重用区域；调整候选重用区域，基于调整结果确定重用分值最高的候选重用区域，并将重用分值最高的候选重用区域作为第三方库的重用区域。本发明将第三方库重用检测任务转化为第三方库重用区域探测任务，在常量特征和函数特征的基础上，进一步进行函数调用图粒度的区域探索，以减少不同编译选项和体系结构的影响，同时探索真正的重用范围，解决传统特征单一和粒度不匹配问题，减少漏报和误报，提高第三方库重用检测的准确性。

公开(公告)号：CN111400719B

公开(公告)日：2023-03-14

申请号：CN202010169063.5

申请日：2020-03-12

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  张国栋 ,  杨寿国 ,  黄晋涛 ,  李志 ,  李红 ,  孙利民

IPC: G06F21/57 ,  G06F16/903

Abstract: 本发明实施例提供一种基于开源组件版本识别的固件脆弱性判别方法及系统，该方法包括：对固件解码包库进行扫描，获取待分析组件的第一路径列表；对待分析组件的第一路径列表进行遍历，将待分析组件与开源组件字符串数据库进行关联和验证，获取待分析组件的第二路径列表；对待分析组件进行版本识别，得到待分析组件对应的固件开源组件版本号；遍历开源组件版本漏洞字典，若开源组件版本漏洞字典中存在固件开源组件版本号，则判断获知待分析组件为可疑漏洞组件；对可疑漏洞组件进行漏洞验证，将漏洞验证通过的待分析组件存入固件漏洞组件库。本发明实施例能高效地搜索可疑漏洞，对固件安全评估可靠性高，提升漏洞发现的效率和准确性。

公开(公告)号：CN109063055B

公开(公告)日：2021-02-02

申请号：CN201810798277.1

申请日：2018-07-19

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  马原 ,  陈昱 ,  李红 ,  孙利民

IPC: G06F16/14 ,  G06N3/08

Abstract: 本发明提供一种同源二进制文件检索方法和装置，该方法包括：将待检测二进制文件的字符串序列输入至预先训练的神经网络模型，输出编码向量；对编码向量进行局部敏感哈希运算，生成待检测二进制文件的哈希签名；计算待检测二进制文件的哈希签名与数据库中的各哈希签名的相似度哈希；其中，数据库中记录样本二进制文件和哈希签名；将满足同源性阈值的相似度哈希对应的样本二进制文件作为待检测二进制文件的同源二进制文件；其中，神经网络模型根据样本二进制文件的字符串序列以及样本二进制文件的编码向量训练而成。本发明提供一种同源二进制文件检索方法和装置，能得到满足条件的同源二进制文件，对于快速修补嵌入式设备固件的漏洞有较好的效果。

公开(公告)号：CN110365636B

公开(公告)日：2020-09-11

申请号：CN201910436006.6

申请日：2019-05-23

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  牛梦瑶 ,  吕世超 ,  游建舟 ,  李红 ,  石志强

IPC: H04L29/06

Abstract: 本发明实施例提供一种工控蜜罐攻击数据来源的判别方法及装置，所述方法包括：基于工控蜜罐捕获的数据，提取所述未知攻击来源的IP地址的原始特征；对所述原始特征进行降维、归一化和重构处理，获得所述未知攻击来源的IP地址的IP特征；利用KNN分类算法计算所述IP特征与预先构建的训练数据集中每个训练样本的距离，并选定距离最近的三个训练样本作为最邻近样本，根据所述最邻近样本对应的主要攻击来源来得到所述未知攻击来源的IP地址所对应的攻击来源。本发明实施例通过提取未知攻击来源的IP地址对应的IP特征，并根据所述IP特征采用KNN分类算法获得未知攻击来源的IP地址的攻击来源，能够有效地判别攻击IP的攻击来源。