[发明专利]基于深度包解析的面向综合电子系统的异常检测方法

说明书

本发明公开了一种基于深度包解析的面向综合电子系统的异常检测方法，该方法包括：收集总线数据：监听并收集总线传输数据包；提取周期性数据包特征：在收集的周期性数据包中提取内容变化的特征值；生成多个决策树：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；行为规范检测异常数据包：根据周期性数据包提供信息选择对应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理。本发明可检测出总线控制器和子系统之间的攻击，可以有效的抵御重放攻击、伪造攻击、拒绝服务等多种攻击。

技术领域

本发明属于入侵检测的技术领域，特别涉及一种深度包解析和行为规范检测异常数据包的可抵御重放攻击、伪造子系统攻击和拒绝服务攻击的轻量级入侵检测方法。

背景技术

综合电子系统通常处于物理隔离网络，其安全问题一直不受重视，自从震网病毒问世后，人们逐渐对物理隔离的网络进行安全研究。在此之前，人们重点关注综合电子系统的功能实现，基本不对综合电子系统进行安全测试。目前安全事件又频繁发生，APT攻击日益猖獗，后门程序的威胁日益严峻，因此需要对综合电子系统进行安全测试。对于在地面工作的综合电子系统，例如车辆综合电子系统，可以通过物理攻击方式将攻击源接入车辆综合电子系统。车辆综合电子系统可分为民用轿车和装甲车综合电子系统，民用轿车使用Controller Area Network(CAN)总线作为车内通讯总线，随着自动驾驶的推广，民用轿车的安全研究及检测技术已有很多研究，装甲车综合电子系统使用MIL-STD-1553(1553B)总线作为车内通讯总线，关于1553B的研究较少。对于在太空工作的综合电子系统，例如航天器综合电子系统，由于航天器综合电子系统在太空中运行，所以通常无法通过物理攻击方式对综合电子系统实施攻击。但可以通过Advanced Persistent Threat(APT)攻击控制地面站，从而控制航天器综合电子系统。

综合电子系统受硬件、功耗、尺寸的限制，其内存和CPU主频都很小，大多数综合电子系统会充分利用有限的硬件资源，使其满足系统可靠性需求设计，而较少考虑安全性设计。尤其是综合电子系统的入侵检测研究更加稀少。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种基于深度包解析的面向综合电子系统的异常检测方法,采用深度包解析以及行为规范检测异常数据包方法，即可抵御重放攻击、伪造子系统攻击和拒绝服务攻击。在继承了基于命令字规范和时间序列相结合的异常检测方法的高效性的同时，本发明可识别出符合马尔可夫模型的攻击数据，降低漏报率，为总线控制器和子系统之间消息传输提供了安全保护。

本发明提出了基于深度包解析的面向综合电子系统的异常检测方法，包括如下阶段：

收集总线数据阶段：监听并收集总线传输数据包；

提取周期性数据包特征阶段：在收集的周期性数据包中提取内容变化的特征值；

训练生成决策树阶段：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；

行为规范检测异常数据包阶段：根据周期性数据包提供目标子系统和应用信息选择相应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。

本发明提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，所述收集总线数据阶段包括下述步骤：

步骤A1：实时监听总线，记录总线控制器和子系统之间在总线上传输的数据包。

本发明提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，所述提取周期性数据包特征阶段包括下述步骤：