公开(公告)号：CN110768946A

公开(公告)日：2020-02-07

申请号：CN201910744088.0

申请日：2019-08-13

申请人： 中国电力科学研究院有限公司 ,  国网河北省电力有限公司 ,  国家电网有限公司 ,  国家电网有限公司信息通信分公司

发明人： 郭永和 ,  缪思薇 ,  周亮 ,  朱朝阳 ,  魏明磊 ,  唐亮 ,  余文豪 ,  朱亚运 ,  韩丽芳 ,  应欢

IPC分类号： H04L29/06 ,  H04L29/08

摘要： 本发明公开了一种基于布隆过滤器的工控网络入侵检测系统及方法，属于信息技术领域。本发明包括：训练模块，所述训练模块部署在无恶意流量的测试网络中，基于布隆过滤器记录合法流量包含的合法n元模型集合，针对合法n元模型进行训练，生成训练模型；检测模块，记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H，确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合，记录不属于合法n元模型集合的n元模型的数量h，获取异常值s，确定工控网络报文为入侵异常报文并生成报警信息。本发明充分考虑了工控系统环境下的通信报文规律性强，正常情况下极少出现异常报文的特点，因此对未知威胁的检测准确率高。

公开(公告)号：CN111552968B

公开(公告)日：2023-06-13

申请号：CN202010318423.3

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  张燕秒 ,  朱朝阳 ,  张天晨 ,  李霁远 ,  应欢 ,  王海翔 ,  冀晓宇 ,  缪思薇 ,  徐文渊 ,  孙歆 ,  韩丽芳 ,  朱亚运 ,  余文豪

IPC分类号： G06F21/56 ,  G06F21/57

摘要： 本发明提供了一种基于模型检查的嵌入式终端软件代码漏洞检测方法及装置，涉及智能电网安全的技术领域，包括：先获取目标嵌入式终端软件的待检测代码和用户配置文件；若待检测代码中存在汇编代码，则对汇编代码进行汇编处理，得到处理后的汇编代码；然后对处理后的汇编代码进行语法分析，得到抽象语法树；再基于用户配置文件，对抽象语法树中的底层输入/输出端口代码进行识别并处理，得到处理后的抽象语法树；处理包含数据流分析；最后对处理后的抽象语法树进行检查，得到检查结果；其中，检查结果用以生成待检测代码的漏洞检测分析报告。本发明解决了现有的漏洞检测方法只适用于普通软件，无法适用于嵌入式终端软件代码的技术问题。

公开(公告)号：CN109446635B

公开(公告)日：2023-05-05

申请号：CN201811237515.8

申请日：2018-10-23

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

发明人： 韩丽芳 ,  朱朝阳 ,  徐文渊 ,  应欢 ,  周亮 ,  缪思薇 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC分类号： G06F18/2431 ,  G06F18/214 ,  H04L9/40

摘要： 本发明提供一种基于机器学习的电力工控攻击分类方法和系统。所述方法和系统利用电力工控的历史报文数据，通过对所述数据进行缺省值补全、特征变量提取后，输入随机森林模型进行多折交叉验证，并根据随机森林模型是否发生过拟合和/或欠拟合现象对模型参数进行调整发确定最优随机森林模型来对电力工控攻击进行分类。所述方法和系统与现有技术相比，通过采集电力工控历史报文数据进行机器学习，搭建随机森林模型，通过将电力工控系统生成的报文导入所述随机森林模型中来实现对电力工控攻击的分类，改善了工控系统防御被动的现状，使系统在遭受攻击之前即能检测、截获攻击，提高了电力工控系统的安全性能。

公开(公告)号：CN115277077A

公开(公告)日：2022-11-01

申请号：CN202210714825.4

申请日：2022-06-22

申请人： 中国电力科学研究院有限公司 ,  广州大学 ,  国网上海市电力公司 ,  国家电网有限公司

发明人： 周亮 ,  朱亚运 ,  蔺子卿 ,  罗熙 ,  缪思薇 ,  殷丽华 ,  张晓娟 ,  曹靖怡 ,  姜琳 ,  王彬彬 ,  张蕾

IPC分类号： H04L9/40 ,  H04L61/4511

摘要： 本发明公开了一种确定处于通信频繁模式的受控设备的方法及系统，包括：获取被测设备的域名解析日志；基于所述时间戳对所述域名解析日志进行聚合，以构建源I P‑域名集；基于所述源I P‑域名集进行频繁模式挖掘，获取源I P列表汇总集，并基于所述源I P列表汇总集确定第一设备集；对所述第一设备集进行聚类，以获取第二设备集，并基于所述第二设备集，确定处于通信频繁模式的受控设备。本发明将受控设备通信的频繁模式作为基本特征，采用频繁模式挖掘算法，并利用前缀树作为索引进行处于通信频繁模式的受控设备的检测，可以显著降低受控设备检测的时间复杂度，可采用并行框架实现，进一步提高其在大规模物联网环境下的可扩展性。

公开(公告)号：CN111552969A

公开(公告)日：2020-08-18

申请号：CN202010319183.9

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 朱朝阳 ,  颜秉晶 ,  周亮 ,  王海翔 ,  冀晓宇 ,  徐文渊 ,  应欢 ,  张燕秒 ,  卢新岱 ,  韩丽芳 ,  缪思薇 ,  朱亚运 ,  李霁远

IPC分类号： G06F21/56 ,  G06F21/57 ,  G06N3/08

摘要： 本发明提供了一种基于神经网络的嵌入式终端软件代码漏洞检测方法及装置，包括：先获取目标嵌入式终端软件的源代码，并对源代码进行预处理，得到二进制代码；然后将二进制代码的特征函数输入至预先训练好的神经网络，得到二进制代码的属性控制流图；再将二进制代码的属性控制流图和漏洞代码的属性控制流图输入至暹罗网络进行相似性比对，得到比对结果；其中，漏洞代码为预设漏洞库中的已知漏洞；最后基于比对结果确定嵌入式终端软件的源代码是否存在已知漏洞。本发明通过将源代码经过预处理转换为二进制代码的方式增加了检测的普适性，同时通过基于神经网络生成属性控制流图的方式克服了图匹配算法的限制，提高了检测效率。

公开(公告)号：CN111552968A

公开(公告)日：2020-08-18

申请号：CN202010318423.3

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  张燕秒 ,  朱朝阳 ,  张天晨 ,  李霁远 ,  应欢 ,  王海翔 ,  冀晓宇 ,  缪思薇 ,  徐文渊 ,  孙歆 ,  韩丽芳 ,  朱亚运 ,  余文豪

IPC分类号： G06F21/56 ,  G06F21/57

摘要： 本发明提供了一种基于模型检查的嵌入式终端软件代码漏洞检测方法及装置，涉及智能电网安全的技术领域，包括：先获取目标嵌入式终端软件的待检测代码和用户配置文件；若待检测代码中存在汇编代码，则对汇编代码进行汇编处理，得到处理后的汇编代码；然后对处理后的汇编代码进行语法分析，得到抽象语法树；再基于用户配置文件，对抽象语法树中的底层输入/输出端口代码进行识别并处理，得到处理后的抽象语法树；处理包含数据流分析；最后对处理后的抽象语法树进行检查，得到检查结果；其中，检查结果用以生成待检测代码的漏洞检测分析报告。本发明解决了现有的漏洞检测方法只适用于普通软件，无法适用于嵌入式终端软件代码的技术问题。

公开(公告)号：CN110751570A

公开(公告)日：2020-02-04

申请号：CN201910871501.X

申请日：2019-09-16

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 周亮 ,  朱朝阳 ,  王海翔 ,  王宇 ,  张锐文 ,  李俊娥 ,  应欢 ,  韩丽芳 ,  朱亚运 ,  缪思薇 ,  李霁远

IPC分类号： G06Q50/06 ,  H04L29/06

摘要： 本发明公开了一种基于业务逻辑的电力业务报文攻击识别方法及系统，包括：确定电力业务的当前状态序列；根据当前状态序列的多点信号地址序列分别确定与所述当前状态序列对应的危险状态序列集和安全状态序列集；根据所述当前状态序列、危险状态序列集和安全状态序列集确定所述当前状态序列的威胁度；以及当当前状态序列的威胁度大于等于预设的安全风险阈值时，确定电网遭受到了电力业务报文攻击。本发明通过定义电力业务逻辑的危险状态序列集和安全状态序列集，将误用检测与异常检测方法相结合，对电力业务的威胁度进行评估，并根据威胁度确定电网是否遭受到电力业务报文攻击，实现了对电力业务报文攻击的有效识别，保障了电力工控系统的安全可靠运行。

公开(公告)号：CN109902916A

公开(公告)日：2019-06-18

申请号：CN201910035665.9

申请日：2019-01-15

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

发明人： 王继业 ,  周纯杰 ,  周亮 ,  韩丽芳 ,  应欢 ,  缪思薇 ,  杨军 ,  朱亚运 ,  卢新岱 ,  邱意民 ,  余文豪 ,  庞铖

IPC分类号： G06Q10/06 ,  G06Q50/06

摘要： 本发明公开了一种面向攻击的电力工控系统业务自恢复方法及系统，所述方法包括：根据备份的设备作业状态以及文件变更内容增量，在站点范围内接收所述设备发送的比对信息，生成恢复策略，并发送至相应设备，进行站点功能自恢复；将电力潮流数据与区域系统配置参数进行逐个匹配，确认匹配到所述区域系统的所有节点后，对所述区域系统失电进行分析并得到失电区域；根据所述失电区域确定区域系统内电力流的协调调度策略，生成全局恢复控制命令，并发送全局站点以及设备，进行区域系统业务功能自恢复；本方法能够在电力工控系统被攻击后，实现电力业务的实时、高效、全面自恢复，最大限度地减少攻击造成系统损失。

公开(公告)号：CN110751570B

公开(公告)日：2024-09-17

申请号：CN201910871501.X

申请日：2019-09-16

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 周亮 ,  朱朝阳 ,  王海翔 ,  王宇 ,  张锐文 ,  李俊娥 ,  应欢 ,  韩丽芳 ,  朱亚运 ,  缪思薇 ,  李霁远

IPC分类号： G06Q50/06 ,  H04L9/40

摘要： 本发明公开了一种基于业务逻辑的电力业务报文攻击识别方法及系统，包括：确定电力业务的当前状态序列；根据当前状态序列的多点信号地址序列分别确定与所述当前状态序列对应的危险状态序列集和安全状态序列集；根据所述当前状态序列、危险状态序列集和安全状态序列集确定所述当前状态序列的威胁度；以及当当前状态序列的威胁度大于等于预设的安全风险阈值时，确定电网遭受到了电力业务报文攻击。本发明通过定义电力业务逻辑的危险状态序列集和安全状态序列集，将误用检测与异常检测方法相结合，对电力业务的威胁度进行评估，并根据威胁度确定电网是否遭受到电力业务报文攻击，实现了对电力业务报文攻击的有效识别，保障了电力工控系统的安全可靠运行。

公开(公告)号：CN116248602A

公开(公告)日：2023-06-09

申请号：CN202310213033.3

申请日：2023-03-06

申请人： 中国电力科学研究院有限公司 ,  国网湖北省电力有限公司电力科学研究院 ,  国家电网有限公司

发明人： 吴艳平 ,  赵国庆 ,  洪悦 ,  姚志强 ,  王晋 ,  刘畅 ,  任辉 ,  张海东 ,  徐江珮 ,  窦仁晖 ,  姜玉磊 ,  杨青 ,  徐歆 ,  周亮 ,  任浩

IPC分类号： H04L47/22 ,  H04L47/24 ,  H04L43/0852 ,  H04L67/12

摘要： 本发明公开了一种报文映射到确定性网络服务的方法、系统、设备及介质，包括：从报告控制块中提取数据集信息，根据报告控制块的名称中的关键字段及所述数据集信息计算所述数据集对应的报文长度；获取报告控制块的属性参数，根据所述报告控制块的属性参数以及所述报文长度，计算报文在网络内端对端之间传递的最大传输转发延时Td，根据所述最大传输转发延时Td将报文传输映射至CQF服务，该方法、系统、设备及介质能够将自动、高效将变电自动化业务报文映射至确定性网络。