公开(公告)号：CN109858763A

公开(公告)日：2019-06-07

申请号：CN201811641432.5

申请日：2018-12-29

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

发明人： 缪思薇 ,  徐文渊 ,  韩丽芳 ,  应欢 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC分类号： G06Q10/06 ,  G06Q50/06 ,  H04L29/06

摘要： 本发明公开了一种基于GAN的电力工控数据报文的构造方法，包括：获取电力工控数据报文，对所述电力工控报文进行预处理；构建所述电力工控数据报文的生成器和判别器；使用所述报文数据噪声生成新的电力工控数据报文；通过所述判别器对新生成的电力工控数据报文进行判别，判断新生成的电力工控数据报文是否属于生成器生成的报文；不断的更新生成器的判别器，当判别器无法判断新生成的电力工控数据报文是否来自生成器，GAN训练完成；使用所述生成器生成新的电力工控数据报文，解决了对大量的电力工控攻击报文样本的需求问题。

公开(公告)号：CN109241989A

公开(公告)日：2019-01-18

申请号：CN201810785588.4

申请日：2018-07-17

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

发明人： 杨军 ,  周亮 ,  应欢 ,  韩丽芳 ,  周纯杰 ,  朱朝阳 ,  缪思薇 ,  王海翔 ,  李梦涛 ,  余文豪 ,  杨军 ,  邱意民 ,  庞铖

IPC分类号： G06K9/62 ,  G06Q10/06 ,  G06Q50/06

CPC分类号： G06K9/6215 ,  G06K9/6267 ,  G06Q10/0635 ,  G06Q50/06

摘要： 本发明公开了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统，方法包括：获取智能变电站的各告警设备的告警信息；对告警信息进行分类；确定告警设备之间的告警关联关系，建立告警设备之间的告警相似度矩阵；建立告警设备之间的因果关系矩阵；计算任意两个告警设备之间的攻击传播概率，确定告警设备之间的最终的攻击传播路径；根据预先建立的已知的攻击类型的攻击特征库，获取已知的攻击类型的攻击特征；将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析；将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

公开(公告)号：CN110751570B

公开(公告)日：2024-09-17

申请号：CN201910871501.X

申请日：2019-09-16

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 周亮 ,  朱朝阳 ,  王海翔 ,  王宇 ,  张锐文 ,  李俊娥 ,  应欢 ,  韩丽芳 ,  朱亚运 ,  缪思薇 ,  李霁远

IPC分类号： G06Q50/06 ,  H04L9/40

摘要： 本发明公开了一种基于业务逻辑的电力业务报文攻击识别方法及系统，包括：确定电力业务的当前状态序列；根据当前状态序列的多点信号地址序列分别确定与所述当前状态序列对应的危险状态序列集和安全状态序列集；根据所述当前状态序列、危险状态序列集和安全状态序列集确定所述当前状态序列的威胁度；以及当当前状态序列的威胁度大于等于预设的安全风险阈值时，确定电网遭受到了电力业务报文攻击。本发明通过定义电力业务逻辑的危险状态序列集和安全状态序列集，将误用检测与异常检测方法相结合，对电力业务的威胁度进行评估，并根据威胁度确定电网是否遭受到电力业务报文攻击，实现了对电力业务报文攻击的有效识别，保障了电力工控系统的安全可靠运行。

公开(公告)号：CN111698238A

公开(公告)日：2020-09-22

申请号：CN202010507238.9

申请日：2020-06-05

申请人： 中国电力科学研究院有限公司 ,  国网浙江省电力有限公司电力科学研究院 ,  国家电网有限公司

发明人： 王海翔 ,  朱朝阳 ,  孙歆 ,  缪思薇 ,  应欢 ,  曹靖怡 ,  朱亚运 ,  周亮 ,  韩丽芳 ,  李霁远

IPC分类号： H04L29/06 ,  H04L9/08 ,  H04L9/30

摘要： 本发明一种电力物联网终端层设备密钥的管理方法、系统及存储介质；所述方法包括：密钥初始化；将终端层设备作为节点进行初始化，完成区域密钥初始化；密钥池生成；对区域内所有节点进行随机编号，并采用汉密尔顿算法对编号进行随机排序；根据区域内节点编号的随机排序，选取对应节点的子密钥构建完整的区域密钥，集合所有的区域密钥得到密钥池；密钥协商；当两个节点进行加密的数据通信前，从密钥池中随机选择对应节点的子密钥，对通信双方子密钥进行相互验证，子密钥中身份信息验证正确后，通过密钥参数计算会话密钥；基于所述会话密钥进行会话密钥协商，协商成功，双方发送通信标识符，开启会话，开始以会话密钥加密的数据通信。

公开(公告)号：CN111383128A

公开(公告)日：2020-07-07

申请号：CN202010157020.5

申请日：2020-03-09

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  李霁远 ,  张天晨 ,  应欢 ,  冀晓宇 ,  王海翔 ,  卢新岱 ,  朱亚运 ,  徐文渊 ,  缪思薇 ,  韩丽芳 ,  戴桦

IPC分类号： G06Q50/06 ,  G06N3/08 ,  G06N3/04

摘要： 本发明公开了一种用于监测电网嵌入式终端设备运行状态的方法及系统，属于智能电网安全技术领域。本发明方法，包括：采集电网嵌入式终端设备在不同安全状态下的历史运行数据；根据采集的历史运行数据，确定表征预设时间内电网嵌入式终端设备历史运行数据的运行特征；根据运行特征构建GRU神经网络架构，并将历史运行数据分为训练集和测试集，将训练集和测试集输入至GRU神经网络架构进行训练，获取训练模型；采集待监测电网嵌入式终端设备的运行数据，使用训练模型对运行数据进行测试，确定待监测电网嵌入式终端设备的运行状态。本发明对于识别电网嵌入式终端设备的运行状态的准确率更高，鲁棒性更强。

公开(公告)号：CN109660558A

公开(公告)日：2019-04-19

申请号：CN201910046332.6

申请日：2019-01-18

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 王磊 ,  孙利民 ,  朱朝阳 ,  周亮 ,  韩丽芳 ,  孙玉砚 ,  应欢 ,  缪思薇 ,  余文豪 ,  邱意民 ,  庞铖

IPC分类号： H04L29/06

CPC分类号： H04L63/1433 ,  H04L69/26

摘要： 本发明提供一种基于协议状态图遍历的IEC104协议漏洞挖掘方法，包括：将获取的目标设备的网络数据包处理为去重后的协议基础块；根据所述去重后的协议基础块构造协议状态图；对所述协议状态图按照预先设定的规则进行遍历，生成至少一个畸形数据包；对所述至少一个畸形数据包进行漏洞测试，并确定通过漏洞测试的畸形数据包对应的脚本为所述目标设备的一个漏洞。本发明提供的漏洞挖掘方法以站端RTU设备为对象进行漏洞挖掘测试，能够有效地发现电力系统及工业控制系统设备中存在的安全漏洞；在生成测试用例时，遍历的路径更有效，生成的有效测试用例占比更高，减少了执行时间。

公开(公告)号：CN109446635A

公开(公告)日：2019-03-08

申请号：CN201811237515.8

申请日：2018-10-23

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

发明人： 韩丽芳 ,  朱朝阳 ,  徐文渊 ,  应欢 ,  周亮 ,  缪思薇 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC分类号： G06F17/50 ,  H04L29/06

摘要： 本发明提供一种基于机器学习的电力工控攻击分类方法和系统。所述方法和系统利用电力工控的历史报文数据，通过对所述数据进行缺省值补全、特征变量提取后，输入随机森林模型进行多折交叉验证，并根据随机森林模型是否发生过拟合和/或欠拟合现象对模型参数进行调整发确定最优随机森林模型来对电力工控攻击进行分类。所述方法和系统与现有技术相比，通过采集电力工控历史报文数据进行机器学习，搭建随机森林模型，通过将电力工控系统生成的报文导入所述随机森林模型中来实现对电力工控攻击的分类，改善了工控系统防御被动的现状，使系统在遭受攻击之前即能检测、截获攻击，提高了电力工控系统的安全性能。

公开(公告)号：CN111552968B

公开(公告)日：2023-06-13

申请号：CN202010318423.3

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  张燕秒 ,  朱朝阳 ,  张天晨 ,  李霁远 ,  应欢 ,  王海翔 ,  冀晓宇 ,  缪思薇 ,  徐文渊 ,  孙歆 ,  韩丽芳 ,  朱亚运 ,  余文豪

IPC分类号： G06F21/56 ,  G06F21/57

摘要： 本发明提供了一种基于模型检查的嵌入式终端软件代码漏洞检测方法及装置，涉及智能电网安全的技术领域，包括：先获取目标嵌入式终端软件的待检测代码和用户配置文件；若待检测代码中存在汇编代码，则对汇编代码进行汇编处理，得到处理后的汇编代码；然后对处理后的汇编代码进行语法分析，得到抽象语法树；再基于用户配置文件，对抽象语法树中的底层输入/输出端口代码进行识别并处理，得到处理后的抽象语法树；处理包含数据流分析；最后对处理后的抽象语法树进行检查，得到检查结果；其中，检查结果用以生成待检测代码的漏洞检测分析报告。本发明解决了现有的漏洞检测方法只适用于普通软件，无法适用于嵌入式终端软件代码的技术问题。

公开(公告)号：CN109446635B

公开(公告)日：2023-05-05

申请号：CN201811237515.8

申请日：2018-10-23

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  浙江大学 ,  国网浙江省电力有限公司

发明人： 韩丽芳 ,  朱朝阳 ,  徐文渊 ,  应欢 ,  周亮 ,  缪思薇 ,  欧阳轩 ,  邱意民 ,  余文豪 ,  冀晓宇 ,  庞铖 ,  程斌

IPC分类号： G06F18/2431 ,  G06F18/214 ,  H04L9/40

摘要： 本发明提供一种基于机器学习的电力工控攻击分类方法和系统。所述方法和系统利用电力工控的历史报文数据，通过对所述数据进行缺省值补全、特征变量提取后，输入随机森林模型进行多折交叉验证，并根据随机森林模型是否发生过拟合和/或欠拟合现象对模型参数进行调整发确定最优随机森林模型来对电力工控攻击进行分类。所述方法和系统与现有技术相比，通过采集电力工控历史报文数据进行机器学习，搭建随机森林模型，通过将电力工控系统生成的报文导入所述随机森林模型中来实现对电力工控攻击的分类，改善了工控系统防御被动的现状，使系统在遭受攻击之前即能检测、截获攻击，提高了电力工控系统的安全性能。

公开(公告)号：CN111552969A

公开(公告)日：2020-08-18

申请号：CN202010319183.9

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 朱朝阳 ,  颜秉晶 ,  周亮 ,  王海翔 ,  冀晓宇 ,  徐文渊 ,  应欢 ,  张燕秒 ,  卢新岱 ,  韩丽芳 ,  缪思薇 ,  朱亚运 ,  李霁远

IPC分类号： G06F21/56 ,  G06F21/57 ,  G06N3/08

摘要： 本发明提供了一种基于神经网络的嵌入式终端软件代码漏洞检测方法及装置，包括：先获取目标嵌入式终端软件的源代码，并对源代码进行预处理，得到二进制代码；然后将二进制代码的特征函数输入至预先训练好的神经网络，得到二进制代码的属性控制流图；再将二进制代码的属性控制流图和漏洞代码的属性控制流图输入至暹罗网络进行相似性比对，得到比对结果；其中，漏洞代码为预设漏洞库中的已知漏洞；最后基于比对结果确定嵌入式终端软件的源代码是否存在已知漏洞。本发明通过将源代码经过预处理转换为二进制代码的方式增加了检测的普适性，同时通过基于神经网络生成属性控制流图的方式克服了图匹配算法的限制，提高了检测效率。