公开(公告)号：CN110825040A

公开(公告)日：2020-02-21

申请号：CN201911007297.3

申请日：2019-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘俊矫 ,  陈新 ,  文辉 ,  辛明峰 ,  孙越

IPC: G05B19/418

Abstract: 本发明实施例提供一种工业控制系统的过程控制攻击检测方法及装置，该方法包括：获取PLC控制逻辑网络流量信息，并根据所述PLC控制逻辑网络流量信息获取机器码；将所述机器码通过预设映射数据库进行反编译处理，得到步进指令代码信息；对所述步进指令代码信息进行程序流分析得到检测白名单信息；根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息，然后进行程序流分析，提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据，并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为，有效实现对于工业控制系统的过程控制攻击检测。

公开(公告)号：CN115102714B

公开(公告)日：2024-11-05

申请号：CN202210538664.8

申请日：2022-05-17

Applicant: 中国科学院信息工程研究所

Inventor： 孙嘉伟 ,  印君男 ,  刘俊矫 ,  吴广君

IPC: H04L9/40 ,  H04L61/103 ,  H04L61/4511

Abstract: 本发明公开了一种基于动态演进图的恶意域名检测方法及装置，所述方法包括：将DNS流量分割到不同的时间快照窗口t中，以构建T个域名请求图，其中，使用节点的k跳邻域作为图卷积网络的接收场；从每个节点的高阶局部邻域中提取特征，以计算各域名请求图中节点的中间表示，并基于所述接收场，计算每一节点在时间快照窗口t的时间跨度特征；基于所述中间表示与时间跨度特征，在所有域名请求图中进行节点传播演变特征提取，获取各请求域名的最终表示；分类最终表示，得到恶意域名检测结果。本发明能够建立刚被注册或关联稀疏的恶意域名的关联关系，捕捉到恶意域名随时间的传播演进过程，从而对新产生的恶意域名进行快速地检测，具有更好的鲁棒性。

公开(公告)号：CN110825040B

公开(公告)日：2021-02-19

申请号：CN201911007297.3

申请日：2019-10-22

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  刘俊矫 ,  陈新 ,  文辉 ,  辛明峰 ,  孙越

IPC: G05B19/418

Abstract: 本发明实施例提供一种工业控制系统的过程控制攻击检测方法及装置，该方法包括：获取PLC控制逻辑网络流量信息，并根据所述PLC控制逻辑网络流量信息获取机器码；将所述机器码通过预设映射数据库进行反编译处理，得到步进指令代码信息；对所述步进指令代码信息进行程序流分析得到检测白名单信息；根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息，然后进行程序流分析，提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据，并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为，有效实现对于工业控制系统的过程控制攻击检测。

公开(公告)号：CN114371682B

公开(公告)日：2024-04-05

申请号：CN202111306385.0

申请日：2021-11-05

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  孙怡亭 ,  刘俊矫 ,  陈新

IPC: G05B23/02

Abstract: 本发明提供一种PLC控制逻辑攻击检测方法、装置及存储介质，其中方法包括：获取PLC基线程序；对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息；所述基线程序特征信息包括基线程序梯级信息；基于所述基线程序特征信息生成白名单规则；基于所述白名单规则进行PLC控制逻辑攻击检测。本发明通过提取PLC基线程序进行解析获取包括基线程序梯级在内的基线程序特征信息，生成细粒度的白名单规则，通过实时对PLC程序解析得到的程序特征信息与白名单规则进行比对，实现了PLC控制逻辑攻击的自动化检测，并将检测精度定位到具体的程序块和梯级号，提升了检测精度。

公开(公告)号：CN115102714A

公开(公告)日：2022-09-23

申请号：CN202210538664.8

申请日：2022-05-17

Applicant: 中国科学院信息工程研究所

Inventor： 孙嘉伟 ,  印君男 ,  刘俊矫 ,  吴广君

IPC: H04L9/40 ,  H04L61/103 ,  H04L61/4511

Abstract: 本发明公开了一种基于动态演进图的恶意域名检测方法及装置，所述方法包括：将DNS流量分割到不同的时间快照窗口t中，以构建T个域名请求图，其中，使用节点的k跳邻域作为图卷积网络的接收场；从每个节点的高阶局部邻域中提取特征，以计算各域名请求图中节点的中间表示，并基于所述接收场，计算每一节点在时间快照窗口t的时间跨度特征；基于所述中间表示与时间跨度特征，在所有域名请求图中进行节点传播演变特征提取，获取各请求域名的最终表示；分类最终表示，得到恶意域名检测结果。本发明能够建立刚被注册或关联稀疏的恶意域名的关联关系，捕捉到恶意域名随时间的传播演进过程，从而对新产生的恶意域名进行快速地检测，具有更好的鲁棒性。

公开(公告)号：CN114371682A

公开(公告)日：2022-04-19

申请号：CN202111306385.0

申请日：2021-11-05

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  孙怡亭 ,  刘俊矫 ,  陈新

IPC: G05B23/02

Abstract: 本发明提供一种PLC控制逻辑攻击检测方法、装置及存储介质，其中方法包括：获取PLC基线程序；对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息；所述基线程序特征信息包括基线程序梯级信息；基于所述基线程序特征信息生成白名单规则；基于所述白名单规则进行PLC控制逻辑攻击检测。本发明通过提取PLC基线程序进行解析获取包括基线程序梯级在内的基线程序特征信息，生成细粒度的白名单规则，通过实时对PLC程序解析得到的程序特征信息与白名单规则进行比对，实现了PLC控制逻辑攻击的自动化检测，并将检测精度定位到具体的程序块和梯级号，提升了检测精度。