公开(公告)号：CN113472739B

公开(公告)日：2022-08-23

申请号：CN202110545409.1

申请日：2021-05-19

Applicant: 中国科学院信息工程研究所 ,  国网江苏省电力有限公司电力科学研究院

Inventor： 孙利民 ,  刘圃卓 ,  宋站威 ,  孙玉砚 ,  顾智敏 ,  黄伟 ,  刘伟 ,  郭雅娟 ,  姜海涛 ,  朱道华 ,  周超 ,  郭静 ,  王梓莹

IPC: H04L9/40 ,  H04L43/0805 ,  H04L43/50

Abstract: 本发明涉及一种针对控制设备私有协议的脆弱性发现方法、装置、电子设备及存储介质，其中针对控制设备私有协议的脆弱性发现方法包括：嗅探在通过工程软件与工业控制设备进行通信的过程中产生的通信流量；基于通信流量生成初始测试元组，其中初始测试元组的部分消息被标记为种子，基于种子生成测试用例；基于初始测试元组进行工业控制设备的状态的引导和网络连接合法性的验证；基于测试用例进行工业控制设备的测试，并通过监控工业控制设备的输出信号波形和网络状态，发现工业控制设备的异常。本发明提供的方法通过使用消息序列引导控制设备状态并生成测试用例，能够有效发现工业控制设备的安全漏洞。

公开(公告)号：CN113098837B

公开(公告)日：2022-08-23

申请号：CN202110192210.5

申请日：2021-02-19

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  陈新 ,  刘凯祥 ,  谢永芳 ,  吕世超

IPC: H04L9/40

Abstract: 本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质，属于工业控制系统安全技术领域，所述方法包括：根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，所述第一阶段的检测包括基于预设DTMC模型对消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测；基于所述第一阶段的检测，对所述消息数据进行第二阶段的检测，所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。本发明通过对获取工业控制系统的消息数据进行第一阶段的合法性检测和第二阶段的状态转移概率的检测，提高了对消息数据检测的精度，有效防止工业控制系统遭受网络攻击。

公开(公告)号：CN113141347B

公开(公告)日：2022-06-10

申请号：CN202110282172.2

申请日：2021-03-16

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  王作广 ,  彭佳谦 ,  李红 ,  孙利民

IPC: H04L9/40 ,  H04L9/08

Abstract: 本发明提供一种社工信息保护方法、装置、电子设备和存储介质，该方法包括：对目标社工信息进行预处理，得到社工信息空间的映射地址空间；获取目标用户的登录口令，根据所述目标用户的登录口令对所述目标社工信息的映射地址空间进行加密；接收访问请求，从所述访问请求中提取访问者的登录口令，根据所述访问者的登录口令反馈第一社工信息。本发明不依赖于验证码等缓解措施，不仅实现了对重要数据的加密，同时增加对攻击/非法用户实现了高度混淆社工的响应，有效地抵御了登录口令和重要信息的社工猜解、暴力破解、逆向分析等攻击。

公开(公告)号：CN111680286B

公开(公告)日：2022-06-10

申请号：CN202010124716.8

申请日：2020-02-27

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  王旭 ,  李红 ,  李志 ,  于楠 ,  徐顺超 ,  孙利民

IPC: G06F21/44 ,  G06F16/9532 ,  G06K9/62

Abstract: 本发明实施例提供一种物联网设备指纹库的精细化方法，该方法包括：验证由设备指纹库给网络数据包匹配的设备信息是否满足精准率要求，若否，则筛选其为非合格指纹，再判断非合格指纹的网络数据包的聚类结果是否达到可精细化的条件，若是则确定非合格设备指纹为待精细化指纹，然后对待精细化指纹的聚类结果进行指纹特征扩充，得到扩充后的指纹和扩充后的指纹对应的新的设备信息，再对扩充后的指纹对应的网络数据包匹配的设备信息进行是否满足精准率的判定，若满足，则将扩充后的指纹加入设备指纹库。本发明实施例提供的方法，实现了智能高效率的物联网设备指纹库的设备指纹的验证，降低了人工成本和对失效指纹的精细化处理。

公开(公告)号：CN113067798B

公开(公告)日：2022-04-12

申请号：CN202110199828.4

申请日：2021-02-22

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  陈新 ,  刘凯祥 ,  谢永芳 ,  吕世超

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/142 ,  G06N3/04

Abstract: 本发明实施例提供一种ICS入侵检测方法、装置、电子设备和存储介质，其中方法包括：确定待检测的工业控制系统的网络数据集；将待检测的工业控制系统的网络数据集输入至入侵检测模型中，得到工业控制系统的入侵检测结果；其中，入侵检测模型是基于特定工业场景网络数据集的样本数据及对应的标签向量训练得到的；入侵检测模型用于基于所述样本数据及对应的标签向量对双向长短周期记忆网络进行调参一级训练，并基于训练后的所述双向长短周期记忆网络提取出的正常样本特征对单类支持向量机进行二级训练后，对所述待检测的工业控制系统的网络数据集进行检测。本发明实现了工业控制系统网络攻击时异常检测的自动化、通用化和灵活化的提升。

公开(公告)号：CN113722717A

公开(公告)日：2021-11-30

申请号：CN202110825404.4

申请日：2021-07-21

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  白双朋 ,  宋站威 ,  孙玉砚 ,  李志 ,  朱红松

IPC: G06F21/57

Abstract: 本发明提供一种安全漏洞测试方法、装置、设备及可读存储介质，涉及安全测试技术领域，该方法包括以下步骤：该方法包括以下步骤：获取待测设备的发送回复报文对；对发送回复报文对进行处理，生成种子列表；对种子列表中的每个发送报文进行变异处理，生成发送报文对应的畸形数据包；将畸形数据包发送至待测设备，并判断待测设备是否崩溃，若待测设备崩溃，根据另待测设备崩溃的畸形数据包编写验证性测试脚本，并利用验证性测试脚本进行安全漏洞的测试，本发明能有效地发现物联网及工业控制系统设备中存在的安全漏洞，解决或绕过由于物联网设备及工业控制系统设备具有封闭性、难以调试、系统实时性高、难以仿真等特点导致安全漏洞挖掘效率低问题。

公开(公告)号：CN113705604A

公开(公告)日：2021-11-26

申请号：CN202110802823.6

申请日：2021-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  吴健 ,  文辉 ,  陈新 ,  石志强 ,  孙利民

IPC: G06K9/62 ,  G06F21/56 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供了一种僵尸网络流量分类检测方法、装置、电子设备及存储介质，包括：获取僵尸网络流量数据集；将所述僵尸网络流量数据集转化为单通道二维灰度图像矩阵；将所述单通道二维灰度图像矩阵输入至预设的可分离卷积神经网络模型进行检测，确定与所述单通道二维灰度图像矩阵对应的所述僵尸网络流量数据集是否属于恶意流量，以及，若所述僵尸网络流量数据集属于恶意流量，则确定恶意类别。本发明能够实现对恶意流量的检测与分类，在准确率和运算效率两方面均具有显著的提高。

公开(公告)号：CN111913877B

公开(公告)日：2021-09-28

申请号：CN202010636048.7

申请日：2020-07-03

Applicant: 中国科学院信息工程研究所

Inventor： 宋站威 ,  曾怡诚 ,  刘明东 ,  朱红松 ,  李志 ,  孙利民 ,  石志强

IPC: G06F11/36

Abstract: 本发明实施例提供一种面向文本配置文件的模糊测试方法及装置，所述方法包括：识别所述目标配置文件的文本文件格式类型，并确定所述目标配置文件的键值key‑value对；对以所述目标配置文件作为输入的程序进行预模糊测试以检测所述程序是否有格式上的漏洞，并提取所述程序中的所有可见字符串，对所述目标配置文件的key‑value对中的key进行变异，得到key组合种子文件；基于所述key组合种子文件中key的权重，对所述key组合种子文件中的key对应的value进行变异，得到新的组合种子文件，挖掘所述程序的漏洞。本发明实施例实现了全面地挖掘程序中较深层次的漏洞，提升面向文本配置文件的模糊测试效率。

公开(公告)号：CN113381981A

公开(公告)日：2021-09-10

申请号：CN202110524536.3

申请日：2021-05-13

Applicant: 中国科学院信息工程研究所

Inventor： 朱红松 ,  王作广 ,  边靖飞 ,  彭佳谦 ,  文辉 ,  闫兆腾 ,  孙利民

IPC: H04L29/06

Abstract: 本发明提供一种社工攻击应激变换防护方法、系统及装置。该社工攻击应激变换防护方法包括：构建社工攻击应激源；制定社工攻击应激源的部署模式，并对社工攻击应激源进行部署；监控社工攻击应激源的状态；基于社工攻击应激源的状态，感知识别并评估可能发生的社工攻击；对社工攻击进行预警，并反馈与社工攻击相关联的威胁信息；以及对社工攻击进行主动防御。本发明为基于信息收集利用的社工攻击，尤其是依赖于深度信息收集和利用的高级社工攻击提供了一个预先的、主动的防护技术方案。

公开(公告)号：CN113098837A

公开(公告)日：2021-07-09

申请号：CN202110192210.5

申请日：2021-02-19

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  陈新 ,  刘凯祥 ,  谢永芳 ,  吕世超

IPC: H04L29/06

Abstract: 本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质，属于工业控制系统安全技术领域，所述方法包括：根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，所述第一阶段的检测包括基于预设DTMC模型对消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测；基于所述第一阶段的检测，对所述消息数据进行第二阶段的检测，所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。本发明通过对获取工业控制系统的消息数据进行第一阶段的合法性检测和第二阶段的状态转移概率的检测，提高了对消息数据检测的精度，有效防止工业控制系统遭受网络攻击。