公开(公告)号：CN112784271A

公开(公告)日：2021-05-11

申请号：CN202110082926.X

申请日：2021-01-21

Applicant: 国网河南省电力公司电力科学研究院 ,  国家电网有限公司 ,  杭州优稳自动化系统有限公司

Inventor： 周劼英 ,  王丹 ,  车欣 ,  郭志民 ,  李斌 ,  吕卓 ,  张铮 ,  李鸣岩 ,  张伟 ,  杨文 ,  李暖暖 ,  蔡军飞 ,  陈岑 ,  毛伯星 ,  汪洲

IPC: G06F21/56 ,  G06F8/53

Abstract: 本发明公开了一种电力工控系统的控制软件逆向分析方法，其步骤为：S1:利用IDA Pro提取控制软件的机器码；S2:在提取到的机器码中搜索函数序言机器码序列，并存储函数序言偏移值；S3:判断每个函数序言偏移值是否对齐，并修复未对齐的函数序言机器码序列；S4:获取修复后的机器码序列，使用IDA Pro对修复后的机器码序列进行反汇编并建立函数；S5:在修复后的机器码序列中搜索逻辑程序函数机器码序列，并存储逻辑程序函数偏移值与参数值；S6:根据参数值计算出被调用子程序地址在内存数组中的序号，在调用函数偏移处添加注释，完成函数调用关系逆向分析。本发明能够自动化修复并逆向分析控制软件内部的函数调用逻辑，不需要获取工程文件的源代码。

公开(公告)号：CN112784271B

公开(公告)日：2022-07-22

申请号：CN202110082926.X

申请日：2021-01-21

Applicant: 国网河南省电力公司电力科学研究院 ,  国家电网有限公司 ,  杭州优稳自动化系统有限公司

Inventor： 周劼英 ,  王丹 ,  车欣 ,  郭志民 ,  李斌 ,  吕卓 ,  张铮 ,  李鸣岩 ,  张伟 ,  杨文 ,  李暖暖 ,  蔡军飞 ,  陈岑 ,  毛伯星 ,  汪洲

IPC: G06F21/56 ,  G06F8/53

Abstract: 本发明公开了一种电力工控系统的控制软件逆向分析方法，其步骤为：S1:利用IDA Pro提取控制软件的机器码；S2:在提取到的机器码中搜索函数序言机器码序列，并存储函数序言偏移值；S3:判断每个函数序言偏移值是否对齐，并修复未对齐的函数序言机器码序列；S4:获取修复后的机器码序列，使用IDA Pro对修复后的机器码序列进行反汇编并建立函数；S5:在修复后的机器码序列中搜索逻辑程序函数机器码序列，并存储逻辑程序函数偏移值与参数值；S6:根据参数值计算出被调用子程序地址在内存数组中的序号，在调用函数偏移处添加注释，完成函数调用关系逆向分析。本发明能够自动化修复并逆向分析控制软件内部的函数调用逻辑，不需要获取工程文件的源代码。

公开(公告)号：CN113886225B

公开(公告)日：2024-12-03

申请号：CN202111112940.6

申请日：2021-09-18

Applicant: 国网河南省电力公司电力科学研究院 ,  国网信息通信产业集团有限公司 ,  国家电网有限公司

Inventor： 郭志民 ,  周劼英 ,  王丹 ,  吕卓 ,  杨文 ,  许勇刚 ,  殷树刚 ,  陈岑 ,  李暖暖 ,  张铮 ,  蔡军飞 ,  李鸣岩 ,  刘锋 ,  刘欣 ,  刘潮 ,  陈旭 ,  胡宇宣

IPC: G06F11/36

Abstract: 本申请公开了一种面向未知工控协议的模糊测试系统和方法，包括：智能体利用基于分层强化学习的HRLFuzz模型，通过执行动作生成变异测试样例；接收回报、奖励，结合从测试样例导出的新状态选择下一动作，分层强化学习生成变异测试样例，直至奖励最大化；消息发送模块将测试样例发送给工控网络系统；工控网络系统对测试用例进行处理得到回报和消息响应；解释器将回报翻译后发送至智能体；工控网络监控模块得到奖励后发送至智能体，并对消息响应进行异常监控。本发明利用强化学习模型实现测试用例的变异生成，并提出工业控制协议模糊测试框架HRLFuzz，解决了已有的模糊测试方法并没有对被测对象进行全面、完整的漏洞检测的问题。

公开(公告)号：CN113009817B

公开(公告)日：2022-07-05

申请号：CN202110181198.8

申请日：2021-02-08

Applicant: 浙江大学 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 汪慕峰 ,  程鹏 ,  谢一松 ,  周劼英 ,  郭志民 ,  王丹 ,  张伟剑 ,  吕卓 ,  李斌 ,  张铮 ,  杨文 ,  李暖暖 ,  蔡军飞 ,  陈岑 ,  李鸣岩 ,  张伟

IPC: G05B9/02

Abstract: 本发明公开了一种基于控制器输出状态安全熵的工控系统入侵检测方法。该方法不需要额外采集工控系统设备信息，通过采集控制器输出状态并有效处理即可实现入侵检测。该方法基于获得的控制器输出状态集合，通过处理得到数字输出状态集合和模拟输出状态集合，然后建立状态关联度描述状态对的独立关系。在确定状态对之间的独立关系后，分别计算数字输出状态和模拟输出状态的安全熵，并计算得到用于衡量整个工控系统安全状态的联合安全熵。最后，在所设定的固定周期内迭代计算联合安全熵，通过实时联合安全熵与安全阈值的比较，快速可靠的判断工控系统是否遭到入侵。

公开(公告)号：CN113052490A

公开(公告)日：2021-06-29

申请号：CN202110409014.9

申请日：2021-04-15

Applicant: 全球能源互联网研究院有限公司 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 费稼轩 ,  周劼英 ,  郭志民 ,  王丹 ,  吕卓 ,  石聪聪 ,  张小建 ,  李斌 ,  杨文 ,  李暖暖 ,  姚启桂 ,  王向群 ,  张铮 ,  陈岑 ,  蔡军飞 ,  李鸣岩 ,  张伟

IPC: G06Q10/06 ,  G06Q50/06

Abstract: 本发明提供一种电力工控系统协同防御方法、装置及存储介质，其中，方法，应用于云端服务器，包括如下步骤：接收至少一个终端的第一目标数据；将所述第一目标数据输入至第一目标模型，得到终端状态数据；根据所述终端状态数据，确定并下发第一控制策略。通过实施本发明，将终端上传的第一目标数据输入至第一目标模型，得到终端状态数据，根据终端状态数据确定控制策略，相比于针对某种特定的工控系统协议格式开展防御方法，本方法的第一目标模型适用于多种工控系统的协议，能够识别多种终端状态，可扩展性更强，准确率更高，且将终端数据进行汇总，由云端服务器统一处理，提高了处理效率。

公开(公告)号：CN113886225A

公开(公告)日：2022-01-04

申请号：CN202111112940.6

申请日：2021-09-18

Applicant: 国网河南省电力公司电力科学研究院 ,  国网信息通信产业集团有限公司 ,  国家电网有限公司

Inventor： 郭志民 ,  周劼英 ,  王丹 ,  吕卓 ,  杨文 ,  许勇刚 ,  殷树刚 ,  陈岑 ,  李暖暖 ,  张铮 ,  蔡军飞 ,  李鸣岩 ,  刘锋 ,  刘欣 ,  刘潮 ,  陈旭 ,  胡宇宣

IPC: G06F11/36

Abstract: 本申请公开了一种面向未知工控协议的模糊测试系统和方法，包括：智能体利用基于分层强化学习的HRLFuzz模型，通过执行动作生成变异测试样例；接收回报、奖励，结合从测试样例导出的新状态选择下一动作，分层强化学习生成变异测试样例，直至奖励最大化；消息发送模块将测试样例发送给工控网络系统；工控网络系统对测试用例进行处理得到回报和消息响应；解释器将回报翻译后发送至智能体；工控网络监控模块得到奖励后发送至智能体，并对消息响应进行异常监控。本发明利用强化学习模型实现测试用例的变异生成，并提出工业控制协议模糊测试框架HRLFuzz，解决了已有的模糊测试方法并没有对被测对象进行全面、完整的漏洞检测的问题。

公开(公告)号：CN113009817A

公开(公告)日：2021-06-22

申请号：CN202110181198.8

申请日：2021-02-08

Applicant: 浙江大学 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 汪慕峰 ,  程鹏 ,  谢一松 ,  周劼英 ,  郭志民 ,  王丹 ,  张伟剑 ,  吕卓 ,  李斌 ,  张铮 ,  杨文 ,  李暖暖 ,  蔡军飞 ,  陈岑 ,  李鸣岩 ,  张伟

IPC: G05B9/02

Abstract: 本发明公开了一种基于控制器输出状态安全熵的工控系统入侵检测方法。该方法不需要额外采集工控系统设备信息，通过采集控制器输出状态并有效处理即可实现入侵检测。该方法基于获得的控制器输出状态集合，通过处理得到数字输出状态集合和模拟输出状态集合，然后建立状态关联度描述状态对的独立关系。在确定状态对之间的独立关系后，分别计算数字输出状态和模拟输出状态的安全熵，并计算得到用于衡量整个工控系统安全状态的联合安全熵。最后，在所设定的固定周期内迭代计算联合安全熵，通过实时联合安全熵与安全阈值的比较，快速可靠的判断工控系统是否遭到入侵。

公开(公告)号：CN112905184B

公开(公告)日：2024-03-26

申请号：CN202110024995.5

申请日：2021-01-08

Applicant: 浙江大学 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 程鹏 ,  谢一松 ,  汪慕峰 ,  刘可 ,  周劼英 ,  郭志民 ,  张伟剑 ,  吕卓

IPC: G06F8/41

Abstract: 本发明公开了一种基于插桩的基本块粒度下工控协议语法逆向分析方法，具体包括：对工控协议二进制可执行程序实现指令、基本块和函数粒度的动态插桩，在动态污点分析过程中记录指令粒度的污点传播信息以及基本块粒度、函数粒度、逻辑判断和跳转信息，生成程序运行时日志文件。日志文件通过重排序和相关分析算法，实现基本块粒度下的工控协议字段边界识别。本方法相较于函数粒度下的字段边界识别方法，可以获取更多基本块粒度下的程序上下文信息，从而识别出在同一函数下处理的不同字段，提升了字段边界识别精度。

公开(公告)号：CN112905184A

公开(公告)日：2021-06-04

申请号：CN202110024995.5

申请日：2021-01-08

Applicant: 浙江大学 ,  国网河南省电力公司电力科学研究院 ,  国家电网有限公司

Inventor： 程鹏 ,  谢一松 ,  汪慕峰 ,  刘可 ,  周劼英 ,  郭志民 ,  张伟剑 ,  吕卓

IPC: G06F8/41

Abstract: 本发明公开了一种基于插桩的基本块粒度下工控协议语法逆向分析方法，具体包括：对工控协议二进制可执行程序实现指令、基本块和函数粒度的动态插桩，在动态污点分析过程中记录指令粒度的污点传播信息以及基本块粒度、函数粒度、逻辑判断和跳转信息，生成程序运行时日志文件。日志文件通过重排序和相关分析算法，实现基本块粒度下的工控协议字段边界识别。本方法相较于函数粒度下的字段边界识别方法，可以获取更多基本块粒度下的程序上下文信息，从而识别出在同一函数下处理的不同字段，提升了字段边界识别精度。

公开(公告)号：CN112671726A

公开(公告)日：2021-04-16

申请号：CN202011457879.4

申请日：2020-12-10

Applicant: 国网思极网安科技(北京)有限公司 ,  国网信息通信产业集团有限公司 ,  国家电网有限公司 ,  国网河南省电力公司 ,  国网河南省电力公司电力科学研究院 ,  全球能源互联网研究院有限公司 ,  浙江大学

Inventor： 郭志民 ,  周劼英 ,  张伟剑 ,  王丹 ,  吕卓 ,  李斌 ,  杨文 ,  殷树刚 ,  刘锋 ,  许勇刚 ,  赵明明 ,  刘欣 ,  刘潮 ,  陈旭 ,  胡宇宣 ,  蔡昊 ,  范杰 ,  姚启桂 ,  费稼轩 ,  程鹏 ,  汪慕峰 ,  刘可

IPC: H04L29/06 ,  H04L29/08

Abstract: 本说明书一个或多个实施例提供一种工业控制协议解析方法，其特征在于，包括：接收未知工业控制协议数据；通过工业控制协议解析模型，从所述未知工业控制协议数据中识别出报文头、数据单元、报文尾，并结合所述报文头从所述数据单元中解析出每个值域的数据类型及工业控制系统中与该值域对应的标签变量，以得到对所述未知工业控制协议数据的解析结果；其中，所述工业控制协议解析模型是通过利用多种已知工业控制协议数据建立并训练决策树模型而得到的。