公开(公告)号：CN109902916A

公开(公告)日：2019-06-18

申请号：CN201910035665.9

申请日：2019-01-15

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  周纯杰 ,  周亮 ,  韩丽芳 ,  应欢 ,  缪思薇 ,  杨军 ,  朱亚运 ,  卢新岱 ,  邱意民 ,  余文豪 ,  庞铖

IPC: G06Q10/06 ,  G06Q50/06

Abstract: 本发明公开了一种面向攻击的电力工控系统业务自恢复方法及系统，所述方法包括：根据备份的设备作业状态以及文件变更内容增量，在站点范围内接收所述设备发送的比对信息，生成恢复策略，并发送至相应设备，进行站点功能自恢复；将电力潮流数据与区域系统配置参数进行逐个匹配，确认匹配到所述区域系统的所有节点后，对所述区域系统失电进行分析并得到失电区域；根据所述失电区域确定区域系统内电力流的协调调度策略，生成全局恢复控制命令，并发送全局站点以及设备，进行区域系统业务功能自恢复；本方法能够在电力工控系统被攻击后，实现电力业务的实时、高效、全面自恢复，最大限度地减少攻击造成系统损失。

公开(公告)号：CN109547409B

公开(公告)日：2022-05-17

申请号：CN201811220382.3

申请日：2018-10-19

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司电力科学研究院 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  朱朝阳 ,  戴桦 ,  韩丽芳 ,  卢新岱 ,  应欢 ,  李霁远 ,  缪思薇 ,  韩嘉佳 ,  周亮 ,  邱意民 ,  余文豪

IPC: H04L9/40 ,  H04L69/22

Abstract: 本发明公开了一种用于对工业网络传输协议进行解析的方法及系统，其中方法包括：抽取工业网络传输协议的统计特征；基于所述统计特征，通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类；将所述工业网络传输协议中的不同字段进行分割，并将所述不同字段映射到所述控制命令报文，对所述不同字段进行识别；建立工业网络协议状态机，对异常的所述控制命令报文进行检测。本申请对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义，同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。

公开(公告)号：CN109547409A

公开(公告)日：2019-03-29

申请号：CN201811220382.3

申请日：2018-10-19

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司电力科学研究院 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  朱朝阳 ,  戴桦 ,  韩丽芳 ,  卢新岱 ,  应欢 ,  李霁远 ,  缪思薇 ,  韩嘉佳 ,  周亮 ,  邱意民 ,  余文豪

IPC: H04L29/06

Abstract: 本发明公开了一种用于对工业网络传输协议进行解析的方法及系统，其中方法包括：抽取工业网络传输协议的统计特征；基于所述统计特征，通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类；将所述工业网络传输协议中的不同字段进行分割，并将所述不同字段映射到所述控制命令报文，对所述不同字段进行识别；建立工业网络协议状态机，对异常的所述控制命令报文进行检测。本申请对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义，同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。

公开(公告)号：CN111552969A

公开(公告)日：2020-08-18

申请号：CN202010319183.9

申请日：2020-04-21

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 朱朝阳 ,  颜秉晶 ,  周亮 ,  王海翔 ,  冀晓宇 ,  徐文渊 ,  应欢 ,  张燕秒 ,  卢新岱 ,  韩丽芳 ,  缪思薇 ,  朱亚运 ,  李霁远

IPC: G06F21/56 ,  G06F21/57 ,  G06N3/08

Abstract: 本发明提供了一种基于神经网络的嵌入式终端软件代码漏洞检测方法及装置，包括：先获取目标嵌入式终端软件的源代码，并对源代码进行预处理，得到二进制代码；然后将二进制代码的特征函数输入至预先训练好的神经网络，得到二进制代码的属性控制流图；再将二进制代码的属性控制流图和漏洞代码的属性控制流图输入至暹罗网络进行相似性比对，得到比对结果；其中，漏洞代码为预设漏洞库中的已知漏洞；最后基于比对结果确定嵌入式终端软件的源代码是否存在已知漏洞。本发明通过将源代码经过预处理转换为二进制代码的方式增加了检测的普适性，同时通过基于神经网络生成属性控制流图的方式克服了图匹配算法的限制，提高了检测效率。

公开(公告)号：CN111383128A

公开(公告)日：2020-07-07

申请号：CN202010157020.5

申请日：2020-03-09

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 周亮 ,  李霁远 ,  张天晨 ,  应欢 ,  冀晓宇 ,  王海翔 ,  卢新岱 ,  朱亚运 ,  徐文渊 ,  缪思薇 ,  韩丽芳 ,  戴桦

IPC: G06Q50/06 ,  G06N3/08 ,  G06N3/04

Abstract: 本发明公开了一种用于监测电网嵌入式终端设备运行状态的方法及系统，属于智能电网安全技术领域。本发明方法，包括：采集电网嵌入式终端设备在不同安全状态下的历史运行数据；根据采集的历史运行数据，确定表征预设时间内电网嵌入式终端设备历史运行数据的运行特征；根据运行特征构建GRU神经网络架构，并将历史运行数据分为训练集和测试集，将训练集和测试集输入至GRU神经网络架构进行训练，获取训练模型；采集待监测电网嵌入式终端设备的运行数据，使用训练模型对运行数据进行测试，确定待监测电网嵌入式终端设备的运行状态。本发明对于识别电网嵌入式终端设备的运行状态的准确率更高，鲁棒性更强。

公开(公告)号：CN109525556B

公开(公告)日：2022-01-11

申请号：CN201811215517.7

申请日：2018-10-18

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  孙利民 ,  周亮 ,  韩丽芳 ,  朱朝阳 ,  应欢 ,  孙玉砚 ,  卢新岱 ,  缪思薇 ,  邱意民 ,  余文豪 ,  庞铖

IPC: H04L9/40 ,  G06K9/62 ,  G06F21/57

Abstract: 本发明公开了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞，能够为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

公开(公告)号：CN109525556A

公开(公告)日：2019-03-26

申请号：CN201811215517.7

申请日：2018-10-18

Applicant: 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 王继业 ,  孙利民 ,  周亮 ,  韩丽芳 ,  朱朝阳 ,  应欢 ,  孙玉砚 ,  卢新岱 ,  缪思薇 ,  邱意民 ,  余文豪 ,  庞铖

IPC: H04L29/06 ,  G06K9/62 ,  G06F21/57

CPC classification number: H04L63/1433 ,  G06F21/577 ,  G06F2221/034 ,  G06K9/6269

Abstract: 本发明公开了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞，能够为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

公开(公告)号：CN108920963A

公开(公告)日：2018-11-30

申请号：CN201810810794.6

申请日：2018-07-23

Applicant: 国网浙江省电力有限公司电力科学研究院 ,  国家电网有限公司

Inventor： 孙歆 ,  戴桦 ,  汪自翔 ,  卢新岱 ,  姚影 ,  李霁远 ,  吕磅 ,  李沁园 ,  李景 ,  韩嘉佳 ,  王刘旺 ,  孙昌华 ,  周辉

IPC: G06F21/57

Abstract: 本发明公开了一种工业控制系统自动化漏洞检测插件生成方法及系统。目前的工业控制系统漏洞挖掘技术Fuzzing可以找到漏洞，但是不能对漏洞插件进一步处理。本发明包括Fuzzing测试环节、漏洞回放环节和漏洞收藏环节；Fuzzing测试环节的步骤依次为：构造数据源并进行数据存储；获取数据源，开始进行Fuzzing扫描，挖掘漏洞；监控挖掘过程；若所有数据源轮询完，无问题触发，则结束挖掘过程；若有问题触发，则获取数据源节点ID，并进入漏洞回放环节；漏洞回放环节的步骤依次为：生成数据源并获取节点信息；获取数据源，开始进行Fuzzing扫描；验证无问题，则结束，若有问题，则进入漏洞收藏环节。本发明可自动生成漏洞检测插件，将未知漏洞转换为已知漏洞，提高漏洞挖掘效率。

公开(公告)号：CN106453417B

公开(公告)日：2019-01-22

申请号：CN201611103522.X

申请日：2016-12-05

Applicant: 国网浙江省电力有限公司电力科学研究院 ,  国家电网有限公司

Inventor： 卢新岱 ,  戴桦 ,  孙歆 ,  李沁园 ,  韩嘉佳 ,  李景 ,  周辉 ,  姚影

IPC: H04L29/06

Abstract: 本发明公开了一种基于近邻相似性的网络攻击目标预测方法。目前的威胁预测方法都是针对攻击行为进行预测和分析，没有对进一步的攻击目标进行预测。本发明采用的技术方案为：首先，进行安全事件预处理，进行归一化处理，去除冗余及误报；然后，将预处理后的安全事件，通过与事先定义好的规则库匹配，进行关联分析，重构攻击场景；最后，通过对攻击目标的主机地址、开放端口以及操作系统与近邻主机的这些属性相似性进行计算，实现对下一步网络攻击目标的预测。本发明为管理员准备应对策略提供根据，实现对网络攻击的预测功能，提升了网络整体安全性。

公开(公告)号：CN106789967B

公开(公告)日：2019-01-11

申请号：CN201611105093.X

申请日：2016-12-05

Applicant: 国网浙江省电力有限公司电力科学研究院 ,  国家电网有限公司

Inventor： 李景 ,  戴桦 ,  韩嘉佳 ,  卢新岱 ,  孙歆 ,  周辉 ,  李沁园 ,  姚影

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种多源网络安全事件的采集与同步方法。目前多源网络安全事件采集过程中，存在各设备本地时间不同步的问题。本发明的步骤包括：1)多源网络安全事件采集，事件采集端实时采集网络安全设备产生的事件并存储至ehcache缓存框架中；2)事件源时间同步校对，每个事件源均以服务端的时间为基准进行同步；3)ehcache缓存框架中的节点采用远程方法调用RMI机制与ehcache缓存框架的其他节点进行事件同步；4)服务端从ehcache缓存框架中实时读取事件信息，并进行处理。本发明采用发送同步数据包、计算网络延迟和本地时间差的方式，实时、准确得出各设备与服务端的时间差值，来对事件源进行同步，具有易于实现、精确同步的优点。