公开(公告)号：CN109063055B

公开(公告)日：2021-02-02

申请号：CN201810798277.1

申请日：2018-07-19

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  马原 ,  陈昱 ,  李红 ,  孙利民

IPC: G06F16/14 ,  G06N3/08

Abstract: 本发明提供一种同源二进制文件检索方法和装置，该方法包括：将待检测二进制文件的字符串序列输入至预先训练的神经网络模型，输出编码向量；对编码向量进行局部敏感哈希运算，生成待检测二进制文件的哈希签名；计算待检测二进制文件的哈希签名与数据库中的各哈希签名的相似度哈希；其中，数据库中记录样本二进制文件和哈希签名；将满足同源性阈值的相似度哈希对应的样本二进制文件作为待检测二进制文件的同源二进制文件；其中，神经网络模型根据样本二进制文件的字符串序列以及样本二进制文件的编码向量训练而成。本发明提供一种同源二进制文件检索方法和装置，能得到满足条件的同源二进制文件，对于快速修补嵌入式设备固件的漏洞有较好的效果。

公开(公告)号：CN111913877A

公开(公告)日：2020-11-10

申请号：CN202010636048.7

申请日：2020-07-03

Applicant: 中国科学院信息工程研究所

Inventor： 宋站威 ,  曾怡诚 ,  刘明东 ,  朱红松 ,  李志 ,  孙利民 ,  石志强

IPC: G06F11/36

Abstract: 本发明实施例提供一种面向文本配置文件的模糊测试方法及装置，所述方法包括：识别所述目标配置文件的文本文件格式类型，并确定所述目标配置文件的键值key-value对；对以所述目标配置文件作为输入的程序进行预模糊测试以检测所述程序是否有格式上的漏洞，并提取所述程序中的所有可见字符串，对所述目标配置文件的key-value对中的key进行变异，得到key组合种子文件；基于所述key组合种子文件中key的权重，对所述key组合种子文件中的key对应的value进行变异，得到新的组合种子文件，挖掘所述程序的漏洞。本发明实施例实现了全面地挖掘程序中较深层次的漏洞，提升面向文本配置文件的模糊测试效率。

公开(公告)号：CN110365636B

公开(公告)日：2020-09-11

申请号：CN201910436006.6

申请日：2019-05-23

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  牛梦瑶 ,  吕世超 ,  游建舟 ,  李红 ,  石志强

IPC: H04L29/06

Abstract: 本发明实施例提供一种工控蜜罐攻击数据来源的判别方法及装置，所述方法包括：基于工控蜜罐捕获的数据，提取所述未知攻击来源的IP地址的原始特征；对所述原始特征进行降维、归一化和重构处理，获得所述未知攻击来源的IP地址的IP特征；利用KNN分类算法计算所述IP特征与预先构建的训练数据集中每个训练样本的距离，并选定距离最近的三个训练样本作为最邻近样本，根据所述最邻近样本对应的主要攻击来源来得到所述未知攻击来源的IP地址所对应的攻击来源。本发明实施例通过提取未知攻击来源的IP地址对应的IP特征，并根据所述IP特征采用KNN分类算法获得未知攻击来源的IP地址的攻击来源，能够有效地判别攻击IP的攻击来源。

公开(公告)号：CN107229563B

公开(公告)日：2020-07-10

申请号：CN201610178368.6

申请日：2016-03-25

Applicant: 中国科学院信息工程研究所

Inventor： 石志强 ,  常青 ,  陈昱 ,  王猛涛 ,  孙利民 ,  朱红松

IPC: G06F11/36 ,  G06K9/62

Abstract: 本发明公开了一种跨架构的二进制程序漏洞函数关联方法。本方法为：1)对待二进制程序的二进制文件进行逆向分析，得到一待测函数库；然后根据该待测函数库，获取函数调用图、函数控制流图、函数基本属性；2)根据函数调用图、函数控制流图、函数基本属性提取每一待测函数的特征；然后根据提取的特征和漏洞函数的特征，计算每一待测函数与漏洞函数的数值相似度；3)对于每一待测函数，分别构造该待测函数与漏洞函数的赋权二部图，采用二部图算法计算该待测函数与漏洞函数的整体相似度；4)如果待测函数与漏洞函数的整体相似度大于设定判定阈值，则判定该待测函数为疑似漏洞函数，反之判定为正常函数。本方法实现简单，易于推广。

公开(公告)号：CN109361648B

公开(公告)日：2020-05-29

申请号：CN201811014574.9

申请日：2018-08-31

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  杨安 ,  王小山 ,  孙玉砚 ,  石志强 ,  李红

IPC: H04L29/06

Abstract: 本发明提供工控系统的隐蔽攻击的检测方法及装置，包括：采集工控系统当前时段的三维信息，构成三维信息序列；对所述三维信息序列进行标准化和窗口划分处理，获得测试序列；若判断测试序列中三维信息向量的格式符合预设规定且所述三维信息向量符合预设的模糊化数据库中的内容，则获知所述测试序列的内容正常；根据所述测试序列内容正常，将所述测试序列输入预先训练的LSTM模型，输出当前时刻的三维信息向量的预测值；识别当前时刻的三维信息向量的预测值和真实值的差异，根据时序上的级联检测方法，生成入侵检测结果。本发明实施例能够精确识别现有检测技术无法识别的隐蔽攻击。

公开(公告)号：CN111104674A

公开(公告)日：2020-05-05

申请号：CN201911076973.2

申请日：2019-11-06

Applicant: 中国电力科学研究院有限公司 ,  中国科学院信息工程研究所 ,  国家电网有限公司 ,  国网浙江省电力有限公司

Inventor： 朱朝阳 ,  马原 ,  周亮 ,  石志强 ,  缪思薇 ,  孙利民 ,  应欢 ,  韩丽芳 ,  王海翔

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明公开了一种电力固件同源二进制文件关联方法及系统；所述方法包括：提取待查询二进制文件的字符串信息；过滤所述字符串信息的代码段字符串及库符号表字符串得到字符串序列；将所述字符串序列进行编码，得到编码向量；将所述编码向量生成相似度哈希签名，将所述相似度哈希签名在预设的哈希签名数据库中进行检索，得到所述哈希签名数据库中所有满足阈值条件的同源二进制文件；所述方法及系统通过深度学习网络编码二进制文件中的可读字符串生成编码向量，然后对编码向量生成相似度哈希签名从而实现快速高效关联，兼顾匹配的精度和速度，具有广阔的应用前景。

公开(公告)号：CN107277121B

公开(公告)日：2019-11-29

申请号：CN201710415343.8

申请日：2017-06-05

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  王志豪 ,  朱红松 ,  文辉

IPC: H04L29/08

Abstract: 本发明实施例提供一种网络设备定位方法及装置。所述方法包括：获取预设区域内的探测主机与网络地标之间的路径，其中待定位设备在预设区域中；利用预设规则获得路径中的共同路由器；根据距离预测模型、网络地标与共同路由器之间的网络时延和网络跳数，计算获得共同路由器的位置信息，将共同路由器作为辅助地标；根据辅助地标的位置信息对待定位设备进行定位。所述装置用于执行所述方法。本发明实施例通过利用预设规则从路径中获得共同路由器，并根据距离预测模型、网络地标与共同路由器之间的网络时延和网络跳数，计算获得共同路由器的位置信息，将共同路由器作为辅助地标，利用辅助地标对待定位设备进行定位，提高了定位的精确度。

公开(公告)号：CN106533955B

公开(公告)日：2019-11-29

申请号：CN201610948173.5

申请日：2016-10-26

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  杨安 ,  石志强 ,  其他发明人请求不公开姓名

IPC: H04L12/801 ,  H04L12/833 ,  H04L29/06

Abstract: 本发明公开了一种基于网络报文的序列号识别方法，通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象，对多个集合合并后的数据进行周期划分与判断，避免多报文格式共用序列号以及数值漂移、丢失的影响；能够高精确性地实现序列号的快速识别，并针对识别出的序列号进行验证，防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响，为后续报文分类、状态机推断提供了保障。

公开(公告)号：CN110380925A

公开(公告)日：2019-10-25

申请号：CN201910573928.1

申请日：2019-06-28

Applicant: 中国科学院信息工程研究所

Inventor： 李志 ,  邹宇驰 ,  朱红松 ,  于楠 ,  徐顺超 ,  闫兆腾 ,  李红 ,  孙利民

IPC: H04L12/26 ,  H04W8/00 ,  H04W24/00

Abstract: 本发明实施例提供一种网络设备探测中端口选择方法及系统，包括：采集网络空间中所有网络设备在给定端口集合中每一个端口的回复包，获取所述回复包的类型；根据所述回复包的类型，获取所述所有网络设备在给定端口集合中每一个端口的端口开放状态信息，根据所述端口开放信息，构建所述网络设备端口的开放状态向量矩阵；基于所述网络设备端口的开放状态向量矩阵，根据所述给定端口集合中所有端口的使用率由高到低对端口进行排序，获取网络设备端口探测顺序；根据所述网络设备端口探测顺序，依次对所述网络设备进行探测，直至探测识别到所有网络设备。本发明实施例提供的方法及系统，可以以更快的速度和更少的资源更新设备信息。

公开(公告)号：CN109361648A

公开(公告)日：2019-02-19

申请号：CN201811014574.9

申请日：2018-08-31

Applicant: 中国科学院信息工程研究所

Inventor： 孙利民 ,  杨安 ,  王小山 ,  孙玉砚 ,  石志强 ,  李红

IPC: H04L29/06

Abstract: 本发明提供工控系统的隐蔽攻击的检测方法及装置，包括：采集工控系统当前时段的三维信息，构成三维信息序列；对所述三维信息序列进行标准化和窗口划分处理，获得测试序列；若判断测试序列中三维信息向量的格式符合预设规定且所述三维信息向量符合预设的模糊化数据库中的内容，则获知所述测试序列的内容正常；根据所述测试序列内容正常，将所述测试序列输入预先训练的LSTM模型，输出当前时刻的三维信息向量的预测值；识别当前时刻的三维信息向量的预测值和真实值的差异，根据时序上的级联检测方法，生成入侵检测结果。本发明实施例能够精确识别现有检测技术无法识别的隐蔽攻击。