公开(公告)号：CN108259478B

公开(公告)日：2021-10-01

申请号：CN201711487186.8

申请日：2017-12-29

Applicant: 中国电力科学研究院有限公司

Inventor： 余文豪 ,  朱朝阳 ,  李梦涛 ,  韩丽芳 ,  周亮 ,  邱意民 ,  应欢 ,  缪思薇 ,  庞铖

IPC: H04L29/06 ,  G06F21/56

Abstract: 本发明涉及一种基于工控终端设备接口HOOK的安全防护方法,包括将工控设备以HOOK的方式与工控终端设备相连；对需要连接的外接设备进行注册、登记和认证，验证其身份的合法性和证书的有效性，对接入认证通过的外接设备允许外接设备与所述工控终端进行数据传输和控制指令交互，对接入认证失败的外接设备则断开连接；依次对接入认证通过的外接设备的流量进行审计、对漏洞攻击流量、病毒木马流量、工控协议接入以及固件更新请求合法性进行检测，对检测合格的外接设备的所有操作请求和操作行为进行记录，对检测不合格的外接设备的所有操作请求和操作行为进行拦截和阻断。本发明有效保证了工控终端设备在有外设接入时的安全性。

公开(公告)号：CN109660558A

公开(公告)日：2019-04-19

申请号：CN201910046332.6

申请日：2019-01-18

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 王磊 ,  孙利民 ,  朱朝阳 ,  周亮 ,  韩丽芳 ,  孙玉砚 ,  应欢 ,  缪思薇 ,  余文豪 ,  邱意民 ,  庞铖

IPC: H04L29/06

CPC classification number: H04L63/1433 ,  H04L69/26

Abstract: 本发明提供一种基于协议状态图遍历的IEC104协议漏洞挖掘方法，包括：将获取的目标设备的网络数据包处理为去重后的协议基础块；根据所述去重后的协议基础块构造协议状态图；对所述协议状态图按照预先设定的规则进行遍历，生成至少一个畸形数据包；对所述至少一个畸形数据包进行漏洞测试，并确定通过漏洞测试的畸形数据包对应的脚本为所述目标设备的一个漏洞。本发明提供的漏洞挖掘方法以站端RTU设备为对象进行漏洞挖掘测试，能够有效地发现电力系统及工业控制系统设备中存在的安全漏洞；在生成测试用例时，遍历的路径更有效，生成的有效测试用例占比更高，减少了执行时间。

公开(公告)号：CN109446635A

公开(公告)日：2019-03-08

申请号：CN201811237515.8

申请日：2018-10-23

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

Inventor： 韩丽芳 ,  朱朝阳 ,  徐文渊 ,  应欢 ,  周亮 ,  缪思薇 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC: G06F17/50 ,  H04L29/06

Abstract: 本发明提供一种基于机器学习的电力工控攻击分类方法和系统。所述方法和系统利用电力工控的历史报文数据，通过对所述数据进行缺省值补全、特征变量提取后，输入随机森林模型进行多折交叉验证，并根据随机森林模型是否发生过拟合和/或欠拟合现象对模型参数进行调整发确定最优随机森林模型来对电力工控攻击进行分类。所述方法和系统与现有技术相比，通过采集电力工控历史报文数据进行机器学习，搭建随机森林模型，通过将电力工控系统生成的报文导入所述随机森林模型中来实现对电力工控攻击的分类，改善了工控系统防御被动的现状，使系统在遭受攻击之前即能检测、截获攻击，提高了电力工控系统的安全性能。

公开(公告)号：CN109241989B

公开(公告)日：2023-06-20

申请号：CN201810785588.4

申请日：2018-07-17

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

Inventor： 杨军 ,  周亮 ,  应欢 ,  韩丽芳 ,  周纯杰 ,  朱朝阳 ,  缪思薇 ,  王海翔 ,  李梦涛 ,  余文豪 ,  杨军 ,  邱意民 ,  庞铖

IPC: G06F18/24 ,  G06F18/22 ,  G06Q10/0635 ,  G06Q50/06

Abstract: 本发明公开了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统，方法包括：获取智能变电站的各告警设备的告警信息；对告警信息进行分类；确定告警设备之间的告警关联关系，建立告警设备之间的告警相似度矩阵；建立告警设备之间的因果关系矩阵；计算任意两个告警设备之间的攻击传播概率，确定告警设备之间的最终的攻击传播路径；根据预先建立的已知的攻击类型的攻击特征库，获取已知的攻击类型的攻击特征；将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析；将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

公开(公告)号：CN109547409B

公开(公告)日：2022-05-17

申请号：CN201811220382.3

申请日：2018-10-19

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司电力科学研究院 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  朱朝阳 ,  戴桦 ,  韩丽芳 ,  卢新岱 ,  应欢 ,  李霁远 ,  缪思薇 ,  韩嘉佳 ,  周亮 ,  邱意民 ,  余文豪

IPC: H04L9/40 ,  H04L69/22

Abstract: 本发明公开了一种用于对工业网络传输协议进行解析的方法及系统，其中方法包括：抽取工业网络传输协议的统计特征；基于所述统计特征，通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类；将所述工业网络传输协议中的不同字段进行分割，并将所述不同字段映射到所述控制命令报文，对所述不同字段进行识别；建立工业网络协议状态机，对异常的所述控制命令报文进行检测。本申请对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义，同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。

公开(公告)号：CN107733933B

公开(公告)日：2021-08-17

申请号：CN201711241853.4

申请日：2017-11-30

Applicant: 中国电力科学研究院有限公司 ,  国网浙江省电力公司

Inventor： 邱意民 ,  应欢 ,  戴波 ,  周亮 ,  缪思薇

IPC: H04L29/06 ,  H04L9/08

Abstract: 本发明公开基于生物识别技术的双因子身份认证的方法：用户通过浏览器向服务器提交账号注册请求；通过服务器生成第一随机数，将第一随机数和服务器的公钥发送至浏览器；用户在浏览器上设置用户账号和密码；采集用户的生物特征信息，将用户的生物特征信息发送至浏览器；通过浏览器对用户设置的密码、生物特征信息进行组合，生成用户的主密钥；通过浏览器使用服务器的公钥对第一随机数、用户的主密钥进行加密，并将用户账号和经过加密的第一随机数、用户的主密钥发送至服务器；服务器根据接收到的用户账号查找为用户账号生成的第一随机数，利用服务器的私钥对经过加密的第一随机数、用户的主密钥进行解密，获取经过解密的用户的主密钥和第二随机数。

公开(公告)号：CN108196963A

公开(公告)日：2018-06-22

申请号：CN201711487307.9

申请日：2017-12-29

Applicant: 中国电力科学研究院有限公司 ,  国家电网公司

Inventor： 应欢 ,  王磊 ,  朱朝阳 ,  韩丽芳 ,  周亮 ,  梅文明 ,  缪思薇 ,  邱意民 ,  余文豪 ,  李梦涛 ,  范永 ,  王海翔

IPC: G06F9/54

CPC classification number: G06F9/544

Abstract: 本发明公开了一种基于自适应释放的确定性重放方法，基于库函数重载确定线程执行同步操作的顺序，并在线程请求获得共享页面的访问权限失败时调用自适应释放模块，自适应释放模块将引起各线程阻塞的所有共享页面暂存于候选集合，并从候选集合中选出合适的释放线程和被释放共享页面移入待释放集合；所有线程遍历待释放集合判断自身是否为释放线程，若判断结果为是，则当前线程释放相应的共享页面，若判断结果为否，则当前线程替释放线程释放相应的共享页面，释放线程在后续执行过程中取消被释放共享页面的访问权限。本发明能够让最合适的线程在合适的时机释放最合适的共享页面，降低并行程序在记录阶段处理页保护异常的开销，提高记录性能。

公开(公告)号：CN107733933A

公开(公告)日：2018-02-23

申请号：CN201711241853.4

申请日：2017-11-30

Applicant: 中国电力科学研究院有限公司 ,  国网浙江省电力公司

Inventor： 邱意民 ,  应欢 ,  戴波 ,  周亮 ,  缪思薇

IPC: H04L29/06 ,  H04L9/08

CPC classification number: H04L63/0861 ,  H04L9/0863 ,  H04L9/0869 ,  H04L63/0442 ,  H04L63/083

Abstract: 本发明公开一种基于生物识别技术的双因子身份认证的方法：用户通过浏览器向服务器提交账号注册请求；通过服务器生成第一随机数，将第一随机数和服务器的公钥发送至浏览器；用户在浏览器上设置用户账号和密码；采集用户的生物特征信息，将用户的生物特征信息发送至浏览器；通过浏览器对用户设置的密码、生物特征信息进行组合，生成用户的主密钥；通过浏览器使用服务器的公钥对第一随机数、用户的主密钥进行加密，并将用户账号和经过加密的第一随机数、用户的主密钥发送至服务器；服务器根据接收到的用户账号查找用户账号对应的用户的私钥，利用用户的私钥对经过加密的第一随机数、用户的主密钥进行解密，获取经过解密的用户的主密钥和第二随机数。

公开(公告)号：CN109858763A

公开(公告)日：2019-06-07

申请号：CN201811641432.5

申请日：2018-12-29

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

Inventor： 缪思薇 ,  徐文渊 ,  韩丽芳 ,  应欢 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC: G06Q10/06 ,  G06Q50/06 ,  H04L29/06

Abstract: 本发明公开了一种基于GAN的电力工控数据报文的构造方法，包括：获取电力工控数据报文，对所述电力工控报文进行预处理；构建所述电力工控数据报文的生成器和判别器；使用所述报文数据噪声生成新的电力工控数据报文；通过所述判别器对新生成的电力工控数据报文进行判别，判断新生成的电力工控数据报文是否属于生成器生成的报文；不断的更新生成器的判别器，当判别器无法判断新生成的电力工控数据报文是否来自生成器，GAN训练完成；使用所述生成器生成新的电力工控数据报文，解决了对大量的电力工控攻击报文样本的需求问题。

公开(公告)号：CN109857713A

公开(公告)日：2019-06-07

申请号：CN201811582553.7

申请日：2018-12-24

Applicant: 中国电力科学研究院有限公司 ,  国网浙江省电力有限公司

Inventor： 周亮 ,  邱意民 ,  戴波 ,  应欢 ,  缪思薇 ,  朱亚运

IPC: G06F16/18

Abstract: 本发明公开了一种面向电力业务终端的分布式日志采集处理系统及方法，属于信息安全技术领域。本发明系统包括：日志采集代理模块，启动日志采集代理模块根据日志采集指令对电力业务终端日志进行采集；本地日志库，对日志采集代理模块采集的电力业务终端日志进行缓存；策略服务器，生成日志采集指令并下发给日志采集代理模块；日志服务器，调用本地日志库缓存的电力业务终端日志，并进行集中处理；中央日志库，接收日志服务器调用的电力业务终端日志、处理后的电力业务终端日志及处理过程中产生的中间数据。本发明解决了电力互联网应用业务终端分布式部署时，在终端数量庞大情况下，日志数据采集与上传受网络通信环境影响大、不能及时采集的问题。