公开(公告)号：CN118740436A

公开(公告)日：2024-10-01

申请号：CN202410762981.7

申请日：2024-06-13

Applicant: 中国科学院信息工程研究所 ,  国网智能电网研究院有限公司 ,  国网福建省电力有限公司

Inventor： 夏豪骏 ,  孙利民 ,  周诚 ,  管小娟 ,  涂碧波 ,  宋站威 ,  郭敬东 ,  罗富财 ,  林晨晗

IPC: H04L9/40 ,  H04L43/0817 ,  H04L43/0823 ,  H04L43/0876 ,  G06N3/0442 ,  G06N3/088

Abstract: 本发明提供一种基于网络性能的网络入侵异常检测方法、装置及设备，该基于网络性能的网络入侵异常检测方法，包括：选取目标网络性能的最小观测事件集；基于内核可观测性技术，获取目标网络性能的最小观测事件集的观测结果；将观测结果输入已经训练好的异常检测模型，得到目标网络性能对应的异常分数偏差值；若异常分数偏差值超过异常偏差的阈值，确定目标网络性能异常，提取网络性能异常特征；根据网络性能异常特征确定引起目标网络性能异常的类型(网络故障、网络入侵、负载过载或硬件故障)；若为网络入侵类型，基于观测事件的预测结果误差，确定异常检测结果的原因，从而实现基于网络性能的网络异常行为的检测，同时降低系统资源开销。

公开(公告)号：CN118673488A

公开(公告)日：2024-09-20

申请号：CN202410665598.X

申请日：2024-05-27

Applicant: 中国科学院信息工程研究所 ,  国网智能电网研究院有限公司 ,  国网福建省电力有限公司

Inventor： 夏豪骏 ,  孙利民 ,  张涛 ,  马媛媛 ,  涂碧波 ,  宋站威 ,  黄惠英 ,  郑仁广 ,  谢静怡

IPC: G06F21/55 ,  G06F18/24 ,  G06N3/088 ,  G06N3/0442 ,  G06N3/0455

Abstract: 本发明提供一种定向进程的异常检测方法、装置及电子设备，其中方法包括：选取目标进程最小观测事件集，基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；基于所述目标定向进程的异常分数偏差值，确定所述目标定向进程的异常检测结果；其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。从而可以精准且高效地实现定向进程的异常行为的检测，同时降低系统资源开销。

公开(公告)号：CN115550460B

公开(公告)日：2025-01-14

申请号：CN202210969237.5

申请日：2022-08-12

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  赵森 ,  王进法 ,  于楠 ,  李志 ,  孙利民

IPC: H04L69/06 ,  H04L69/22 ,  H04L47/2441 ,  H04L43/0876 ,  G06V30/19 ,  G06V30/148 ,  G06V10/82 ,  G06V10/80

Abstract: 本发明提供一种协议格式分割方法、设备及存储介质，包括：获取协议流量的待分割流量图片；将待分割流量图片输入至字段分割模型，以利用字段分割模型对待分割流量图片进行分割位置预测，输出字段分割位置；将字段分割位置对应的各协议分割比特序列输入至字段判定孪生模型，以利用字段判定孪生模型对各协议分割比特序列进行类别判定，输出协议格式分割结果。本发明通过采用字段分割模型对待分割流量图片进行一级分割，得到字段分割位置，通过字段判定孪生模型对字段分割位置左右的协议分割比特序列进行二级判定，以进一步判定分割位置是否预测准确的技术手段，解决了协议格式分割精度低的技术问题，从而提高了协议格式分割的精确度。

公开(公告)号：CN118337718A

公开(公告)日：2024-07-12

申请号：CN202410272757.X

申请日：2024-03-11

Applicant: 中国科学院信息工程研究所

Inventor： 李志 ,  周鑫 ,  徐顺超 ,  张祖成 ,  于楠 ,  孙利民

IPC: H04L47/2483 ,  H04L67/02

Abstract: 本发明涉及计算机技术领域，本发明提供一种web容器识别方法、装置、设备及可读存储介质，该方法包括：基于构建的异常探测请求，确定请求发送策略；根据所述请求发送策略，筛选所述异常探测请求中的目标请求；接收待识别的网络web容器基于所述目标请求发送的响应数据；基于所述响应数据，确定所述web容器的识别结果。本发明通过对异常探测请求的筛选减少网络开销，提高了web容器识别效率；又基于对待识别web容器生成的响应数据进行分析，得到识别结果，提高了web容器识别准确度。

公开(公告)号：CN118332560A

公开(公告)日：2024-07-12

申请号：CN202410449574.0

申请日：2024-04-15

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  张洋 ,  吕世超 ,  李志 ,  司帅宗 ,  陈新

IPC: G06F21/57 ,  G06F18/241 ,  G06F16/9035 ,  G06F11/36

Abstract: 本发明涉及系统测试领域，本发明提供一种模糊测试方法、装置、设备及可读存储介质，该方法包括：对获取的原始消息序列进行过滤，得到过滤消息序列；基于所述过滤消息序列中的每个消息的反馈信息，从所述过滤消息序列中抽取消息得到最小消息序列；基于所述最小消息序列和无关消息序列，对待测试系统进行模糊测试，所述无关消息序列包含所述过滤消息序列中未被抽取的消息。本发明通过过滤去除原始消息序列中的冗余消息，然后基于消息的反馈信息确定可以作为模糊测试种子的最小消息序列，以及与最小消息序列的测试方法不同的无关消息序列，通过对模糊测试所用的消息进行区分约束，提高了模糊测试的效率。

公开(公告)号：CN114371682B

公开(公告)日：2024-04-05

申请号：CN202111306385.0

申请日：2021-11-05

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  孙怡亭 ,  刘俊矫 ,  陈新

IPC: G05B23/02

Abstract: 本发明提供一种PLC控制逻辑攻击检测方法、装置及存储介质，其中方法包括：获取PLC基线程序；对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息；所述基线程序特征信息包括基线程序梯级信息；基于所述基线程序特征信息生成白名单规则；基于所述白名单规则进行PLC控制逻辑攻击检测。本发明通过提取PLC基线程序进行解析获取包括基线程序梯级在内的基线程序特征信息，生成细粒度的白名单规则，通过实时对PLC程序解析得到的程序特征信息与白名单规则进行比对，实现了PLC控制逻辑攻击的自动化检测，并将检测精度定位到具体的程序块和梯级号，提升了检测精度。

公开(公告)号：CN117714419A

公开(公告)日：2024-03-15

申请号：CN202311472391.2

申请日：2023-11-07

Applicant: 中国科学院信息工程研究所

Inventor： 李志 ,  宾浩宇 ,  朱红松 ,  于楠 ,  李红 ,  孙利民

IPC: H04L61/5007 ,  H04L67/1023 ,  G06F18/23

Abstract: 本发明提供一种设备指纹提取方法、装置、电子设备及存储介质，应用于互联网技术领域。该方法包括：获取设备协议数据；根据所述设备协议数据确定同一类群的协议数据序列，所述同一类群的协议数据序列满足第一条件，所述第一条件包括以下至少一项：数据长度差距小于第一预设阈值、数据重叠量大于第二预设阈值；依次对所述协议数据序列中的每一列数据进行可用性评估，以确定目标字符；基于所述目标字符确定设备指纹；其中，所述可用性评估包括同一设备变量值的长时稳定性评估和不同设备变量值的短时差异性评估。

公开(公告)号：CN117707924A

公开(公告)日：2024-03-15

申请号：CN202311424273.4

申请日：2023-10-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  辛明峰 ,  文辉 ,  邓立廷 ,  吕世超 ,  张卫东

IPC: G06F11/36

Abstract: 本申请实施例提供一种针对嵌入式固件的模糊测试方法、装置及存储介质，所述方法包括：获取嵌入式固件中全局变量的读取位置，所述全局变量为在中断处理函数与主逻辑之间传递数据的全局变量；获取所述中断处理函数中与数据接收相关的分支；在所述全局变量的读取位置之前插入所述分支，获取修改后的嵌入式固件；基于所述修改后的嵌入式固件，进行模糊测试。本申请实施例提供的针对嵌入式固件的模糊测试方法、装置及存储介质，通过将中断处理函数中与数据接收相关的分支插入到全局变量的读取位置之前，重新编译固件，对固件进行模糊测试，能够让固件在模糊测试过程中无需浪费CPU时间等待数据，能够提高固件模糊测试效率。

公开(公告)号：CN117375885A

公开(公告)日：2024-01-09

申请号：CN202311195952.9

申请日：2023-09-15

Applicant: 中国科学院信息工程研究所

Inventor： 于楠 ,  赵智慧 ,  朱红松 ,  李红 ,  孙利民

IPC: H04L9/40 ,  H04L67/10

Abstract: 本发明提供一种边缘节点可信评估方法及相关设备，涉及数据处理技术领域，所述方法包括：将第一计算数据和计算任务分别卸载到多个边缘节点，获取多个第一计算结果；一个边缘节点对应一个第一计算结果；基于多个第一计算结果，对多个边缘节点进行可信评估。本发明实现了对边缘节点的可信评估，提高了边缘系统的安全性。

公开(公告)号：CN117273066A

公开(公告)日：2023-12-22

申请号：CN202311147503.7

申请日：2023-09-06

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  陈晓惠 ,  文辉 ,  李志 ,  吕世超 ,  朱红松

IPC: G06N3/045 ,  G06N3/0475 ,  G06N3/094 ,  G06F21/56 ,  G06F18/241

Abstract: 本发明公开了一种基于API序列特征的恶意软件对抗样本生成方法，其步骤包括：1)获取一数据集和一良性序列集；训练该数据集中每一样本内各API的重要性得分；2)按照样本中API的重要性得分由高到低依次对该样本中的API进行干扰：首先从良性API字典中随机选择m个候选API分别插入当前待干扰的API位置，形成一候选API序列集；然后随机从该良性序列集中选择n个良性API序列；计算每一候选API序列与该n个良性API序列的平均距离，将平均距离最小的候选API序列作为候选对抗API序列；3)将该候选对抗API序列输入至目标恶意软件检测模型中进行识别，如果识别失败，则将该候选对抗API序列作为一对抗样本。