[发明专利]一种面向综合电子系统的轻量级入侵检测方法

说明书

本发明公开了一种面向综合电子系统的轻量级入侵检测方法，包括：特征信息提取：监听并收集综合电子系统内通信的数据包，提取消息特征、子系统特征；入侵检测：首先根据综合电子系统特点及支持的通信协议制定行为规范，并将行为规范转换成状态机的形式，实时监视系统行为是否偏离所定义的正常规范，并用距离度量方法与概率模型相结合判定行为规范状态机检测的异常行为是否为一次入侵；入侵响应：发起入侵警告，响应并记录入侵事件。本发明在考虑综合电子系统资源受限的情况下，实现轻量级的入侵检测，可有效抵抗拒绝服务攻击和破坏完整性攻击，如篡改数据包攻击、伪造数据包攻击、策反子系统攻击、伪造子系统攻击等。

技术领域

本发明属于综合电子系统信息安全技术领域，特别涉及一种面向综合电子系统的轻量级入侵检测方法。

背景技术

综合电子系统(integrated electronic system)广泛应用于通信卫星、装甲车辆、民航飞机等。综合电子系统采用计算机网络技术，用数据总线将设备的各个子系统相连，形成分布式数据总线网络。综合电子系统将多种不同的功能模块整合组成完整的系统。在统一的任务调度和管理下，完成整个设备的所有信息管理功能，实现信息指令资源共享。

以通信卫星为例。综合电子系统是通信卫星的核心部件，是军事信息站的关键。在军事方面，对战争的双方来说，信息优势至关重要。通信卫星作为飞行在公共介质中的智能装置，具有较差的保密性。在信息技术方面的脆弱性表现为：信道的开放性、平台的标准化、技术的开放性、元器件的大众化，以及认识的局限性。

目前国内外针对通信卫星的防御技术表现为信道的抗干扰技术，包括空域处理、时域处理、频域处理、调制域处理、编码域处理等、指令传输的信息隐藏技术以及网络系统的访问控制、数据加密、防火墙等技术。针对卫星计算机配备密码机、密码卡、电子密钥注入设备、防火墙、高度安全防护装置、在线高速网络加密机等高级安全装置。但这些防御技术不足以满足综合电子系统的安全需求。

入侵检测作为一种动态的安全技术，可全面检测综合电子系统内的内部攻击、外部攻击及误操作。但目前入侵检测安全技术在卫星的应用仅停留在网络级的入侵检测，针对内部系统级的面向综合电子系统的入侵检测技术还无人提出。

综合电子系统安全关系着通信卫星的安全、民航飞机的安全、装甲车辆的安全等等，是国家网络空间安全的关键。这些领域的入侵检测技术仅停留在网络级，不能从根本提高综合电子系统的安全性。

发明内容

本发明提出一种面向综合电子系统的轻量级入侵检测方法，该方法包括下述步骤：

步骤A1：监听并捕获综合电子系统内的传输数据，提取综合电子系统内部行为特征信息；

步骤A2：根据综合电子系统特点及所支持的总线协议制定系统正常的行为规范，所述正常行为规范包括：面向中央管理单元行为规范、面向总线行为规范、面向子系统行为规范、面向时间行为规范、面向频率行为规范、面向数据包长度行为规范；

步骤A3：将所述正常行为规范转换成状态机的形式，用状态机实时判断所述提取的综合电子系统内部行为特征信息是否符合系统正常行为规范，若不符合，则说明综合电子系统当前行为是异常的；

步骤A4：在行为规范状态机检测到综合电子系统异常行为时，用距离度量方法和概率模型结合判定所述异常行为是否为一次入侵；

步骤A5：若为一次入侵行为，系统则进行入侵响应，发起警告，记录日志。

本发明提出的面向综合电子系统的轻量级入侵检测方法，所述步骤A1提取综合电子系统内部行为特征信息包括下述步骤：

步骤B1：对单个数据包特征提取，包括但不仅限于数据包的目的地址、数据包的有效长度、数据包有效字段；