公开(公告)号：CN116956286A

公开(公告)日：2023-10-27

申请号：CN202310805014.X

申请日：2023-06-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  文辉 ,  邓立廷 ,  辛明峰 ,  李红 ,  吕世超 ,  李志

IPC: G06F21/56 ,  G06N3/042 ,  G06N3/045 ,  G06N3/08

Abstract: 本发明提供一种跨架构的物联网恶意软件分析方法及装置，该方法包括：定位软件的目标架构信息；根据所述目标架构信息，采用相应架构的动态分析环境记录软件所运行的系统调用序列；将所述系统调用序列转换为系统调用图；对所述系统调用图上每个节点分别添加语义信息和结构信息；将所述添加语义信息和结构信息的系统调用图分别馈送到两个独立的图神经网络进行编码，得到语义信息编码结果和结构信息编码结果；通过集成学习模型整合所述语义信息编码结果和结构信息编码结果，根据整合结果得到软件的物联网恶意软件家族预测。用以解决现有技术中物联网恶意软件分析效果不足的缺陷，实现跨架构物联网恶意软件检测和分类中的性能提升。

公开(公告)号：CN116954707A

公开(公告)日：2023-10-27

申请号：CN202310797374.X

申请日：2023-06-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  孙越 ,  李志 ,  吕世超 ,  张卫东 ,  司帅宗

IPC: G06F8/74 ,  G06N5/04

Abstract: 本申请提供一种基于字段符号表达式的工控协议逆向分析方法，包括：提取PLC固件的入口函数和间接调用函数，配置给符号执行引擎；在每条执行路径上收集符号化的字段访问信息，并基于字段访问信息引导执行路径的搜索；在符号执行期间，提取每条执行路径的字段信息，字段信息包含字段表达式，字段表达式为包含字段的符号表达式；基于符号表达式进行字段合并，从完成合并的字段的符号表达式中提取消息协议格式。本申请在每条执行路径上收集符号化的字段访问信息，并基于字段访问信息引导执行路径搜索，缓解了符号执行的路径爆炸问题，同时沿每条执行路径提取字段信息，从字段表达式中逆向推断消息协议格式，实现了基于符号执行的工控协议逆向分析。

公开(公告)号：CN116880343A

公开(公告)日：2023-10-13

申请号：CN202310797698.3

申请日：2023-06-30

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  陈新 ,  付家乐 ,  路晓 ,  吕世超 ,  李志

IPC: G05B19/05

Abstract: 本发明提供一种工业控制系统的PLC运行时攻击检测方法及系统，属于工业控制领域，该方法包括：获取PLC初始的控制逻辑，并对初始的控制逻辑进行二进制静态插桩，得到重写后的控制逻辑；根据控制逻辑构建控制流图，控制逻辑包括初始的控制逻辑或者重写后的控制逻辑；运行重写后的控制逻辑，并获取运行过程中第一控制流指令的执行路径；重写后的控制逻辑包括第一控制流指令，第一控制流指令包括第一间接函数调用指令和第一函数返回指令；当控制流图的有效路径中包括第一控制流指令的执行路径时，确定PLC未受到攻击。本发明能够有效检测PLC程序运行时是否受到控制流劫持攻击，提升PLC的安全防护水平，保障工业控制系统的安全。

公开(公告)号：CN116339720A

公开(公告)日：2023-06-27

申请号：CN202310176884.5

申请日：2023-02-28

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  王志宇 ,  王卓 ,  朱红松 ,  孙利民

IPC: G06F8/36 ,  G06F18/22 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请提供一种二进制文件相似度匹配方法、装置及存储介质。该方法包括：基于二进制文件中的函数的属性生成带属性函数调用图；基于图神经网络GraphSAGE和注意力机制确定所述带属性函数调用图的图嵌入表示；基于所述图嵌入表示确定二进制文件的相似度匹配结果。本申请实施例提供的二进制文件相似度匹配方法、装置及存储介质，通过带属性函数调用图将二进制文件相似度判断转换为图结构的相似度判断，并基于GraphSAGE和注意力机制生成图嵌入表示，使权重更高的节点作为相似度匹配的主要依据，提高了相似度判断的准确性。

公开(公告)号：CN113901459B

公开(公告)日：2023-05-26

申请号：CN202110989563.8

申请日：2021-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘圃卓 ,  吕世超 ,  孙玉砚 ,  朱红松 ,  宋站威

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明提供了一种固件内部二进制程序脆弱性发现方法、装置、电子设备及存储介质，包括：收集漏洞报告，并确定关键字和存在漏洞的二进制程序名称；确定分析目标，并基于所述关键字和所述分析目标，确定关键字在二进制程序中直接使用位置和间接使用位置；建立二进制程序的程序控制流图，并确定二进制程序关系依赖图；提取潜在关键字，并根据潜在关键字确定满足条件的潜在关键字作为关键字；建立完备的二进制程序关系依赖图，基于所有二进制程序关系依赖图和所有所述关键字完成固件中二进制程序脆弱性发现。本发明能够有效和自动化地发现嵌入式设备固件中间接与用户交互的内部二进制程序实现过程中存在的漏洞。

公开(公告)号：CN116150763A

公开(公告)日：2023-05-23

申请号：CN202310069034.5

申请日：2023-01-13

Applicant: 中国科学院信息工程研究所

Inventor： 李红 ,  李思远 ,  王勇攀 ,  朱红松 ,  孙利民

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及数据处理技术领域，提供一种第三方库重用检测方法、装置、电子设备和存储介质，该方法包括：对待检测二进制文件和侯选库进行锚点检测，得到多个锚点；对每个锚点进行锚点增强，得到每个锚点的候选重用区域；调整候选重用区域，基于调整结果确定重用分值最高的候选重用区域，并将重用分值最高的候选重用区域作为第三方库的重用区域。本发明将第三方库重用检测任务转化为第三方库重用区域探测任务，在常量特征和函数特征的基础上，进一步进行函数调用图粒度的区域探索，以减少不同编译选项和体系结构的影响，同时探索真正的重用范围，解决传统特征单一和粒度不匹配问题，减少漏报和误报，提高第三方库重用检测的准确性。

公开(公告)号：CN111400719B

公开(公告)日：2023-03-14

申请号：CN202010169063.5

申请日：2020-03-12

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  张国栋 ,  杨寿国 ,  黄晋涛 ,  李志 ,  李红 ,  孙利民

IPC: G06F21/57 ,  G06F16/903

Abstract: 本发明实施例提供一种基于开源组件版本识别的固件脆弱性判别方法及系统，该方法包括：对固件解码包库进行扫描，获取待分析组件的第一路径列表；对待分析组件的第一路径列表进行遍历，将待分析组件与开源组件字符串数据库进行关联和验证，获取待分析组件的第二路径列表；对待分析组件进行版本识别，得到待分析组件对应的固件开源组件版本号；遍历开源组件版本漏洞字典，若开源组件版本漏洞字典中存在固件开源组件版本号，则判断获知待分析组件为可疑漏洞组件；对可疑漏洞组件进行漏洞验证，将漏洞验证通过的待分析组件存入固件漏洞组件库。本发明实施例能高效地搜索可疑漏洞，对固件安全评估可靠性高，提升漏洞发现的效率和准确性。

公开(公告)号：CN112910872B

公开(公告)日：2022-04-08

申请号：CN202110097803.3

申请日：2021-01-25

Applicant: 中国科学院信息工程研究所

Inventor： 于楠 ,  王作广 ,  黄文军 ,  朱红松 ,  孙利民

IPC: H04L9/40 ,  G06Q50/26 ,  G06Q50/00 ,  G06F16/36

Abstract: 本发明提供了一种社工攻击威胁、事件、场景分析方法、装置及系统，包括：构建社工领域本体；基于所述社工领域本体构建社工知识图谱；基于所述社工知识图谱进行社工攻击威胁、事件、场景分析。本发明为不同种类的社工攻击提供了一个通用性的分析框架，为社工领域提供了一个形式化的即机器可读的、明确的、可共享的知识图式；可以进行社工攻击威胁元素的综合、关联分析，为已知和未知的社工攻击、威胁、事件、场景等的理解、分析、感知、发现、防御等提供了一种新途径。如能够实现对社工攻击的细粒度不少于11个组成部分的解析，分析识别高风险的攻击威胁要素和薄弱环节，寻找潜在的攻击者、攻击目标、攻击路径，分析寻找同源社工攻击等。

公开(公告)号：CN112650077A

公开(公告)日：2021-04-13

申请号：CN202011460770.6

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  董浩阳 ,  游建舟 ,  吕世超 ,  文辉 ,  袁天伟

IPC: G05B17/02

Abstract: 本发明提供一种基于工控业务仿真的PLC蜜罐系统、实现方法及仿真设备，属于工业控制系统安全技术领域，所述系统包括信息服务仿真模块、过程控制仿真模块以及数据转存模块，信息服务仿真模块用于通过部署蜜罐系统来仿真预设设备，并使用蜜罐内置的预设协议服务器与客户端进行交互；过程控制仿真模块用于提供实时更新的动态生产数据，并在蜜罐系统内构建模拟真实生产现场PLC的工作过程；数据转存模块为所述信息服务仿真模块和所述过程控制仿真模块的交互中转站。本发明通过对工控设备业务逻辑进行仿真，实现了信息服务仿真和控制过程仿真的有效协同，增强了蜜罐系统的业务真实度和可靠性，并且有效提升了PLC蜜罐系统的仿真度和欺骗性。

公开(公告)号：CN110825040B

公开(公告)日：2021-02-19

申请号：CN201911007297.3

申请日：2019-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘俊矫 ,  陈新 ,  文辉 ,  辛明峰 ,  孙越

IPC: G05B19/418

Abstract: 本发明实施例提供一种工业控制系统的过程控制攻击检测方法及装置，该方法包括：获取PLC控制逻辑网络流量信息，并根据所述PLC控制逻辑网络流量信息获取机器码；将所述机器码通过预设映射数据库进行反编译处理，得到步进指令代码信息；对所述步进指令代码信息进行程序流分析得到检测白名单信息；根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息，然后进行程序流分析，提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据，并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为，有效实现对于工业控制系统的过程控制攻击检测。