公开(公告)号：CN115529162A

公开(公告)日：2022-12-27

申请号：CN202211035802.7

申请日：2022-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 吕飞 ,  孙利民 ,  吕世超 ,  潘志文 ,  薛娜

IPC: H04L9/40

Abstract: 本发明提供一种工控流量异常行为防护方法及系统，包括：将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层，确定工控流量中的异常行为；其中，粗粒度五元组白名单访问控制策略层，用于确定未知来源地址流量以及已知地址未知端口流量的异常行为；细粒度协议白名单流量监测策略层，用于确定已知协议未知功能码以及已知协议未知参数的异常行为；协议黑名单流量审计策略层，用于确定已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。本发明用以解决现有的防护技术防护效果不够高效的缺陷，实现一种由浅入深的多层级防护功能，提升了防护效果。

公开(公告)号：CN115481396A

公开(公告)日：2022-12-16

申请号：CN202211047591.9

申请日：2022-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 吕飞 ,  孙利民 ,  李泽东 ,  吕世超 ,  潘志文 ,  薛娜 ,  孙玉砚

IPC: G06F21/56 ,  G06F8/75 ,  G06F40/253 ,  G06F40/30

Abstract: 本发明涉及文本处理技术领域，提供一种NC代码异常检测方法、装置、设备及存储介质。所述方法包括：获取待检测的NC代码文件，对所述NC代码文件中的NC代码进行词法分析，检测所述NC代码中的异常词法；基于所述NC代码构建单向链表；基于所述单向链表对所述NC代码进行语法语义分析，检测所述NC代码中的异常语法和异常语义；根据所述异常词法、所述异常语法和所述异常语义，确定所述NC代码的异常信息。本发明提供的NC代码异常检测方法通过对NC代码进行词法分析、语法分析和语义分析，基于对NC代码内容的分析检测代码异常，可以检测异常的具体代码，提高了对NC代码异常的检测精度。

公开(公告)号：CN120010915A

公开(公告)日：2025-05-16

申请号：CN202411869698.0

申请日：2024-12-18

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  黄晋涛 ,  潘志文 ,  吕世超 ,  孙利民

IPC: G06F9/30

Abstract: 本发明提供一种二进制文件的指令段识别方法、装置、电子设备及介质，涉及计算机技术领域，根据控制流转移指令的字节序列模式从目标二进制文件中获取目标控制流转移指令；根据目标控制流转移指令的自身地址和目标地址确定指令点；基于矩形区域的边界线、分布散点图的地址范围、分布散点图的宽度和分布散点图的高度，获取指令段在地址空间中的起始位置和结束位置，以识别指令段。本发明在对数据段与指令段的区分时，主要依赖控制流转移指令的集中分布特性。相对于控制流转移指令的字节特征，集中分布特性能够在多种编译优化设定所构建的二进制代码中保持稳定。本发明提高了识别二进制文件中的指令段的精度。

公开(公告)号：CN119781421A

公开(公告)日：2025-04-08

申请号：CN202411662871.X

申请日：2024-11-20

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘凯祥 ,  方栋梁 ,  潘志文 ,  张卫东 ,  司帅宗 ,  吕世超 ,  谢永芳

IPC: G05B23/02

Abstract: 本发明提供一种安全仪表系统的功能安全攻击检测方法及装置，其中，该方法包括：基于安全仪表系统SIS控制器代码，生成候选规则；对所述候选规则进行验证，确定所述候选规则中的有效规则；基于基本过程控制系统BPCS的传感器值和所述有效规则，对SIS进行功能安全攻击检测。本发明提供的安全仪表系统的功能安全攻击检测方法及装置，可以有效实现对于安全仪表系统的功能安全攻击检测，提高攻击检测准确率，并增强数据注入攻击的检测效率。

公开(公告)号：CN119449357A

公开(公告)日：2025-02-14

申请号：CN202411341194.1

申请日：2024-09-25

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  王航宇 ,  吕飞 ,  潘志文 ,  司帅总 ,  李志

IPC: H04L9/40

Abstract: 本发明提供一种访问权限授权方法、装置、电子设备及存储介质，该方法包括：获取与访问请求相关的目标信息，所述目标信息包括以下至少一项：第一主体属性、第一客体属性、操作和所述操作对应的客体；所述第一主体属性包括客户端属性和/或环境属性，所述客户端属性包括用户和/或所述用户的角色；基于所述目标信息，对所述访问请求的权限进行授权。通过与访问请求相关的多维属性的选取，在不同的工业控制系统环境下能够实现对用户访问权限的精确授权，提升PLC的安全性，进而提升工业控制系统的安全性。

公开(公告)号：CN115529162B

公开(公告)日：2024-12-31

申请号：CN202211035802.7

申请日：2022-08-26

Applicant: 中国科学院信息工程研究所

Inventor： 吕飞 ,  孙利民 ,  吕世超 ,  潘志文 ,  薛娜

IPC: H04L9/40

Abstract: 本发明提供一种工控流量异常行为防护方法及系统，包括：将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层，确定工控流量中的异常行为；其中，粗粒度五元组白名单访问控制策略层，用于确定未知来源地址流量以及已知地址未知端口流量的异常行为；细粒度协议白名单流量监测策略层，用于确定已知协议未知功能码以及已知协议未知参数的异常行为；协议黑名单流量审计策略层，用于确定已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。本发明用以解决现有的防护技术防护效果不够高效的缺陷，实现一种由浅入深的多层级防护功能，提升了防护效果。

公开(公告)号：CN118509216A

公开(公告)日：2024-08-16

申请号：CN202410638795.2

申请日：2024-05-22

Applicant: 中国科学院信息工程研究所

Inventor： 吕飞 ,  司帅宗 ,  张卫东 ,  潘志文 ,  孙利民

IPC: H04L9/40

Abstract: 本发明提供一种入侵检测方法、装置、电子设备、存储介质及产品，涉及人工智能技术领域，包括：获取物联网流量数据；将物联网流量数据输入至入侵检测模型，获得入侵检测模型输出的入侵识别结果；其中，入侵检测模型包括依次连接的双层卷积特征提取网络和标签分类网络，入侵检测模型是基于样本物联网流量数据和样本物联网流量数据对应的样本入侵识别结果标签训练得到的。通过上述方式，由于入侵检测模型包括依次连接的双层卷积特征提取网络和标签分类网络，而双层卷积特征提取网络具有高泛化能力，可准确提取数据中的特征信息，从而使得标签分类网络可根据双层卷积特征提取网络提取的特征信息进行精确识别，可有效提高入侵检测模型的检测准确率。