公开(公告)号：CN111552968A

公开(公告)日：2020-08-18

申请号：CN202010318423.3

申请日：2020-04-21

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  张燕秒 ,  朱朝阳 ,  张天晨 ,  李霁远 ,  应欢 ,  王海翔 ,  冀晓宇 ,  缪思薇 ,  徐文渊 ,  孙歆 ,  韩丽芳 ,  朱亚运 ,  余文豪

IPC分类号： G06F21/56 ,  G06F21/57

摘要： 本发明提供了一种基于模型检查的嵌入式终端软件代码漏洞检测方法及装置，涉及智能电网安全的技术领域，包括：先获取目标嵌入式终端软件的待检测代码和用户配置文件；若待检测代码中存在汇编代码，则对汇编代码进行汇编处理，得到处理后的汇编代码；然后对处理后的汇编代码进行语法分析，得到抽象语法树；再基于用户配置文件，对抽象语法树中的底层输入/输出端口代码进行识别并处理，得到处理后的抽象语法树；处理包含数据流分析；最后对处理后的抽象语法树进行检查，得到检查结果；其中，检查结果用以生成待检测代码的漏洞检测分析报告。本发明解决了现有的漏洞检测方法只适用于普通软件，无法适用于嵌入式终端软件代码的技术问题。

公开(公告)号：CN110751570A

公开(公告)日：2020-02-04

申请号：CN201910871501.X

申请日：2019-09-16

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 周亮 ,  朱朝阳 ,  王海翔 ,  王宇 ,  张锐文 ,  李俊娥 ,  应欢 ,  韩丽芳 ,  朱亚运 ,  缪思薇 ,  李霁远

IPC分类号： G06Q50/06 ,  H04L29/06

摘要： 本发明公开了一种基于业务逻辑的电力业务报文攻击识别方法及系统，包括：确定电力业务的当前状态序列；根据当前状态序列的多点信号地址序列分别确定与所述当前状态序列对应的危险状态序列集和安全状态序列集；根据所述当前状态序列、危险状态序列集和安全状态序列集确定所述当前状态序列的威胁度；以及当当前状态序列的威胁度大于等于预设的安全风险阈值时，确定电网遭受到了电力业务报文攻击。本发明通过定义电力业务逻辑的危险状态序列集和安全状态序列集，将误用检测与异常检测方法相结合，对电力业务的威胁度进行评估，并根据威胁度确定电网是否遭受到电力业务报文攻击，实现了对电力业务报文攻击的有效识别，保障了电力工控系统的安全可靠运行。

公开(公告)号：CN109902916A

公开(公告)日：2019-06-18

申请号：CN201910035665.9

申请日：2019-01-15

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

发明人： 王继业 ,  周纯杰 ,  周亮 ,  韩丽芳 ,  应欢 ,  缪思薇 ,  杨军 ,  朱亚运 ,  卢新岱 ,  邱意民 ,  余文豪 ,  庞铖

IPC分类号： G06Q10/06 ,  G06Q50/06

摘要： 本发明公开了一种面向攻击的电力工控系统业务自恢复方法及系统，所述方法包括：根据备份的设备作业状态以及文件变更内容增量，在站点范围内接收所述设备发送的比对信息，生成恢复策略，并发送至相应设备，进行站点功能自恢复；将电力潮流数据与区域系统配置参数进行逐个匹配，确认匹配到所述区域系统的所有节点后，对所述区域系统失电进行分析并得到失电区域；根据所述失电区域确定区域系统内电力流的协调调度策略，生成全局恢复控制命令，并发送全局站点以及设备，进行区域系统业务功能自恢复；本方法能够在电力工控系统被攻击后，实现电力业务的实时、高效、全面自恢复，最大限度地减少攻击造成系统损失。

公开(公告)号：CN109241989B

公开(公告)日：2023-06-20

申请号：CN201810785588.4

申请日：2018-07-17

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  华中科技大学 ,  国网浙江省电力有限公司

发明人： 杨军 ,  周亮 ,  应欢 ,  韩丽芳 ,  周纯杰 ,  朱朝阳 ,  缪思薇 ,  王海翔 ,  李梦涛 ,  余文豪 ,  杨军 ,  邱意民 ,  庞铖

IPC分类号： G06F18/24 ,  G06F18/22 ,  G06Q10/0635 ,  G06Q50/06

摘要： 本发明公开了一种基于时空相似度匹配的智能变电站入侵场景还原的方法及系统，方法包括：获取智能变电站的各告警设备的告警信息；对告警信息进行分类；确定告警设备之间的告警关联关系，建立告警设备之间的告警相似度矩阵；建立告警设备之间的因果关系矩阵；计算任意两个告警设备之间的攻击传播概率，确定告警设备之间的最终的攻击传播路径；根据预先建立的已知的攻击类型的攻击特征库，获取已知的攻击类型的攻击特征；将告警设备之间的最终的攻击传播路径中还原得到的攻击场景中每个节点告警设备的告警信息分别与已知的攻击类型的攻击特征进行攻击支持度分析；将攻击场景中各个节点的告警设备出现最多的攻击类型确定为当前攻击场景的攻击类型。

公开(公告)号：CN109660550B

公开(公告)日：2022-09-20

申请号：CN201811641423.6

申请日：2018-12-29

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 王磊 ,  李俊娥 ,  周亮 ,  应欢 ,  朱朝阳 ,  王宇 ,  韩丽芳 ,  王婷 ,  余文豪 ,  王永 ,  缪思薇

IPC分类号： H04L9/40 ,  H04L41/0654

摘要： 本发明公开了一种用于嵌入式终端安全防御的系统及方法，属于智能电网安全技术领域。本发明系统包括：安全威胁检测单元，所述安全检测单元包括：分布式数据采集模块和安全威胁检测模块；安全威胁隔离单元，所述安全威胁隔离单元包括：隔离策略制定模块、终端隔离模块和网络隔离模块；自愈单元，接收网络隔离信息和终端隔离信息，所述自愈单元包括：自愈策略制定模块、攻击源追溯和消除模块、终端自愈模块和网络自愈模块。本发明能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态，进而保障电力工控系统安全可靠运行。

公开(公告)号：CN109525556B

公开(公告)日：2022-01-11

申请号：CN201811215517.7

申请日：2018-10-18

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 王继业 ,  孙利民 ,  周亮 ,  韩丽芳 ,  朱朝阳 ,  应欢 ,  孙玉砚 ,  卢新岱 ,  缪思薇 ,  邱意民 ,  余文豪 ,  庞铖

IPC分类号： H04L9/40 ,  G06K9/62 ,  G06F21/57

摘要： 本发明公开了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞，能够为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

公开(公告)号：CN109660550A

公开(公告)日：2019-04-19

申请号：CN201811641423.6

申请日：2018-12-29

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  武汉大学 ,  国网浙江省电力有限公司

发明人： 王磊 ,  李俊娥 ,  周亮 ,  应欢 ,  朱朝阳 ,  王宇 ,  韩丽芳 ,  王婷 ,  余文豪 ,  王永 ,  缪思薇

IPC分类号： H04L29/06 ,  H04L12/24

CPC分类号： H04L63/1416 ,  H04L41/0654 ,  H04L63/0227 ,  H04L63/0876 ,  H04L63/101 ,  H04L2463/146

摘要： 本发明公开了一种用于嵌入式终端安全防御的系统及方法，属于智能电网安全技术领域。本发明系统包括：安全威胁检测单元，所述安全检测单元包括：分布式数据采集模块和安全威胁检测模块；安全威胁隔离单元，所述安全威胁隔离单元包括：隔离策略制定模块、终端隔离模块和网络隔离模块；自愈单元，接收网络隔离信息和终端隔离信息，所述自愈单元包括：自愈策略制定模块、攻击源追溯和消除模块、终端自愈模块和网络自愈模块。本发明能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态，进而保障电力工控系统安全可靠运行。

公开(公告)号：CN109525556A

公开(公告)日：2019-03-26

申请号：CN201811215517.7

申请日：2018-10-18

申请人： 中国电力科学研究院有限公司 ,  国家电网有限公司 ,  国网浙江省电力有限公司

发明人： 王继业 ,  孙利民 ,  周亮 ,  韩丽芳 ,  朱朝阳 ,  应欢 ,  孙玉砚 ,  卢新岱 ,  缪思薇 ,  邱意民 ,  余文豪 ,  庞铖

IPC分类号： H04L29/06 ,  G06K9/62 ,  G06F21/57

CPC分类号： H04L63/1433 ,  G06F21/577 ,  G06F2221/034 ,  G06K9/6269

摘要： 本发明公开了一种用于确定嵌入式系统固件中协议漏洞的轻量级方法及系统，通过分析协议解析代码特征构造特征向量；利用构造的特征向量和所述训练集对支持向量机SVM进行训练，确定协议解析代码分类器模型用于识别协议解析模块；使用训练出的协议解析代码分类器模型识别目标系统的固件映像代码中的协议解析模块；针对识别的协议解析模块，利用危险代码特征库对协议解析模块进行可疑脆弱点快速扫描；构建控制流图、控制依赖图、数据依赖图，在此基础上提取出脆弱点的数据源路径；构建基于脆弱点的数据源路径的多类型漏洞模式，并通过模式匹配确定嵌入式系统固件中的协议漏洞，能够为网络协议安全、物联网/工业控制系统安全及安全测试提供了技术支撑。

公开(公告)号：CN109857713A

公开(公告)日：2019-06-07

申请号：CN201811582553.7

申请日：2018-12-24

申请人： 中国电力科学研究院有限公司 ,  国网浙江省电力有限公司

发明人： 周亮 ,  邱意民 ,  戴波 ,  应欢 ,  缪思薇 ,  朱亚运

IPC分类号： G06F16/18

摘要： 本发明公开了一种面向电力业务终端的分布式日志采集处理系统及方法，属于信息安全技术领域。本发明系统包括：日志采集代理模块，启动日志采集代理模块根据日志采集指令对电力业务终端日志进行采集；本地日志库，对日志采集代理模块采集的电力业务终端日志进行缓存；策略服务器，生成日志采集指令并下发给日志采集代理模块；日志服务器，调用本地日志库缓存的电力业务终端日志，并进行集中处理；中央日志库，接收日志服务器调用的电力业务终端日志、处理后的电力业务终端日志及处理过程中产生的中间数据。本发明解决了电力互联网应用业务终端分布式部署时，在终端数量庞大情况下，日志数据采集与上传受网络通信环境影响大、不能及时采集的问题。

公开(公告)号：CN111092862A

公开(公告)日：2020-05-01

申请号：CN201911202199.5

申请日：2019-11-29

申请人： 中国电力科学研究院有限公司 ,  国网浙江省电力有限公司

发明人： 朱亚运 ,  朱朝阳 ,  周亮 ,  应欢 ,  韩丽芳 ,  余文豪 ,  缪思薇 ,  邱意民 ,  范永

IPC分类号： H04L29/06 ,  G06Q10/06 ,  G06Q50/06

摘要： 本发明公开了一种用于对电网终端通信流量异常进行检测的方法及系统，获取多个终端与主站的网络通信拓扑，对多个终端的网络流量进行旁路提取，获取网络流量数据包；根据流量特征模型，结合每个终端的实时流量数据，计算每个终端的第一流量异常指数；当第一流量异常指数大于设定的第一阈值时，则判断终端的流量异常；或当第一流量异常指数小于设定的第一阈值时，对多个终端的网络流量数据包进行解析，根据数据包特征模型和多个终端的网络流量数据包的解析数据，计算每个终端的第二流量异常指数；根据确定的第一流量异常指数和第二流量异常指数的权重，计算流量异常综合指数；当流量异常综合指数大于设定的第二阈值时，则判断终端的流量异常。