[发明专利]一种面向综合电子系统的异常检测方法

权利要求书

1.一种面向综合电子系统的异常检测方法，其特征在于，该方法包括以下具体步骤：

步骤1：监听综合电子系统总线1553B，收集大量总线日志消息作为后续生成用于周期性检测的周期性命令字序列和非周期性检测器所需数据集；

步骤2：根据总线日志消息，使用自生成算法生成周期性命令字序列规范；

步骤3：根据总线日志消息，基于时间序列方法生成非周期性消息检测器；其中，所述时间序列方法包括马尔科夫模型；

步骤4：实时监听总线1553B，将每一个消息中的命令字传入命令字序列规范检测器中，进行命令字序列规范检测；其中，所述命令字序列规范检测器包括周期性命令字序列和非周期性消息检测器；其中：

步骤2所述使用自生成算法生成周期性命令字序列规范，具体包括：

步骤A1：提取消息日志中所有的周期性消息，提取特征，生成周期性命令字集合；

步骤A2：根据消息日志中的消息序列重新将周期性命令字集合生成为周期性命令字序列规范；

步骤A3：根据周期性命令字序列规范的列表生成基于Hash算法检索的序列规范。

2.根据权利要求1所述的面向综合电子系统的异常检测方法，其特征在于，步骤A1中所述提取特征，具体包括：根据总线协议，周期性消息特征定义由6元组表示即终端地址，子地址/终端地址，发送/接收，数据字个数，通道A/B和最小时间间隔。

3.根据权利要求1所述的面向综合电子系统的异常检测方法，其特征在于，步骤A3中所述基于Hash算法检索的序列规范使用单向循环链表进行维护。

4.根据权利要求1所述的面向综合电子系统的异常检测方法，其特征在于，步骤3中所述基于时间序列方法生成非周期性消息检测器，具体包括：

步骤B1：将总线日志中的合法消息组成训练集，根据提取周期性命令字算法提取出周期性消息，然后从训练集中提取出周期性消息的差集，得到非周期性消息；同时提取出非周期性消息发生时的前一个周期性消息，从而组成新的训练集，并提取训练集中所有消息的特征，得到训练集TS；

步骤B2：在得出训练非周期性消息的训练集TS后，通过迭代该训练集，计算状态转移概率，训练马尔科夫参数。

5.根据权利要求4所述的面向综合电子系统的异常检测方法，其特征在于，步骤B1中所述提取训练集中所有消息的特征，具体包括：根据总线协议，消息特征由5元组表示即终端地址，子地址/终端地址，发送/接收，数据字个数和通道A/B。

6.根据权利要求4所述的面向综合电子系统的异常检测方法，其特征在于，步骤B1中所述训练集TS中的每种消息为马尔科夫模型的一个状态state_j。

7.根据权利要求1所述的面向综合电子系统的异常检测方法，其特征在于，步骤4中所述进行命令字序列规范检测，具体包括：

步骤C1：按照单向链表的顺序用前一条命令字来获取预测的命令字，使用该预测的命令字与当前获得的命令字进行比对，从而检测待检测消息是否遵循序列规范，若预测的命令字与当前获得的命令字相符，即符合序列规范，则识别为周期性消息，继而检测该命令字的时间周期是否正常，执行步骤C2；若不符合序列规范，则识别为非周期性消息，执行步骤C3；

步骤C2：比较消息的时间周期是否正确，如果时间周期大于或等于最小时间间隔则将其识别为合法周期性消息，让流量正常通过；如果时间周期小于最小时间间隔，则为异常，进行异常处理；

步骤C3：将前一条命令字和待检测的命令字作为输入，根据马尔科夫模型得出两个消息的状态转移概率；将该概率与异常阈值进行比较，若该概率比异常阈值低，则为异常，进行异常处理。

8.根据权利要求7所述的面向综合电子系统的异常检测方法，其特征在于，所述步骤C3中异常阈值定义为训练集中观察到的周期性消息到非周期性消息的最小概率；计算周期性消息到非周期性消息的状态转移概率为：stateProb_j*transProb_j→l；其中stateProb_j是state_j发生的概率，transProb_j→l是state_j到state_l状态转移的概率。