[发明专利]一种面向综合电子系统的轻量级入侵检测方法

权利要求书

1.一种面向综合电子系统的轻量级入侵检测方法，其特征在于，该方法包括下述步骤：

步骤A1：监听并捕获综合电子系统内的传输数据，提取综合电子系统内部行为特征信息；

步骤A2：根据综合电子系统特点及所支持的总线协议制定系统正常的行为规范，所述正常行为规范包括：面向中央管理单元行为规范、面向总线行为规范、面向子系统行为规范、面向时间行为规范、面向频率行为规范、面向数据包长度行为规范；

步骤A3：将所述正常行为规范转换成状态机的形式，用状态机实时判断所述提取的综合电子系统内部行为特征信息是否符合系统正常行为规范，若不符合，则说明综合电子系统当前行为是异常的；

步骤A4：在行为规范状态机检测到综合电子系统异常行为时，用距离度量方法和概率模型结合判定所述异常行为是否为一次入侵；

步骤A5：若为一次入侵行为，系统则进行入侵响应，发起警告，记录日志。

2.根据权利要求1所述的面向综合电子系统的轻量级入侵检测方法，其特征在于，所述步骤A1提取综合电子系统内部行为特征信息包括下述步骤：

步骤B1：对单个数据包特征提取，包括但不仅限于数据包的目的地址、数据包的有效长度、数据包有效字段；

步骤B2：对多个数据包之间特征提取，包括但不仅限于计算总线上数据包的传输频率和同类数据包之间的时间间隔，所述同类数据包为相同类别数据包，例如：控制指令类的数据包；

步骤B3：对子系统的特征提取包括但不仅限于计算子系统的信用值；

3.根据权利要求1所述的面向综合电子系统的轻量级入侵检测方法，其特征在于，所述步骤A2中面向中央管理单元行为规范具体为：

相同子地址：面向中央管理单元行为规范规定综合电子系统内部不存在相同的子系统地址，也称“子地址”，若有两个设备子地址相同，则发起警报，记录日志；

连续指令检测：面向中央管理单元行为规范规定中央管理单元作为总线控制器，不发出无字间间隔的指令，总线控制器发出指令字的最小时间间隔为4us，若中央管理单元发送指令时间间隔超出4us，则发出警报，记录日志；

发送格式检测：面向中央管理单元行为规范规定中央管理单元发送数据包的形式为指令字+数据字，或指令字不加数据字；指令字+数据字的方式以无字间间隔形式发送；若违反该规则，将发出警报，记录日志；

方式代码：面向中央管理单元行为规范规定中央管理单元发出的指令字中的方式代码字段具有特殊含义，必须使用1553B协议中已定义的方式代码，方式代码字段不在相应的白名单中则视为一次异常。

4.根据权利要求1所述的面向综合电子系统的轻量级入侵检测方法，其特征在于，所述步骤A2中面向总线行为规范具体为：

流量白名单：面向总线行为规范规定综合电子系统内仅允许系统支持的总线协议的流量，否则将为可疑流量，生成警报消息；

标签字段：面向总线行为规范规定综合电子系统内传输的数据字、指令字、状态字的所有字段符合1553B总线协议；

基于无响应数据包：根据综合电子系统所支持的总线协议规定，数据包发出被响应的时间超过一定阈值称为无响应数据包，面向总线行为规范规定若在一段时间内发出的无响应数据包数量超过定义的阈值，则发起警报，并记录日志；

基于传输格式：面向总线行为规范规定子系统通过一级总线传送的数据字格式是状态字+数据字+···+数据字或者状态字；状态字+数据字+···+数据字格式中，状态字和数据字按无字间间隔传输；若不符合传输格式，则发起警报，记录日志。

5.根据权利要求1所述的面向综合电子系统的轻量级入侵检测方法，其特征在于，所述步骤A2中面向子系统行为规范规定面向子系统行为规范规定子系统信用值不得低于满分的60％，包括下述步骤：

步骤C1：计算子系统的主观信用，包括子系统日常行为的评价值；

步骤C2：计算子系统的间接信用，包括子系统发生过通信行为的系统对该子系统的评价值；

步骤C3：结合子系统的主观信用和间接信用，计算子系统的信用值：

其中，S为信用值的满分，Crediti为第i个子系统的信用值，CS_i为主观信用；CC_i为通信的子系统对该子系统的评价值。