[发明专利]一种面向综合电子系统的异常检测方法

说明书

本发明公开了一种面向综合电子系统的异常检测方法，提出了一种基于命令字序列规范和时间序列相结合的方法。其中，命令字序列规范方法用于检测周期性消息是否异常，时间序列方法选用马尔科夫模型，用于预测非周期性消息是否异常。方法包括如下步骤：1)收集数据：收集总线传输数据；2)生成检测器：根据日志信息，自生成周期性命令字序列规范，并训练马尔可夫模型；3)入侵检测：将待检测的消息按照命令字序列规范检测，当消息的命令字不符合序列规范时，将其识别为非周期性消息，进行非周期性消息检测，若仍检测不通过，则告警。本发明可检测出总线控制器和子系统之间的攻击，可以有效的抵御重放攻击、伪造攻击、拒绝服务等多种攻击。

技术领域

本发明属于综合电子系统信息安全技术领域，特别涉及一种面向综合电子系统的轻量级误用检测方法。

背景技术

综合电子系统广泛应用于民航飞机、战机、装甲车、火箭以及航天器等领域，由于综合电子系统处于物理隔离网络，其安全问题一直不受重视。近年来 ，人们逐渐对物理隔离网络进行安全研究。典型的物理隔离网络有工业控制系统，近几年，工业控制系统安全研究较多，通常采用白名单机制、工业协议深度解析和漏洞扫描等手段来保障工业控制系统的安全运行。

相对于工业控制系统来说，综合电子系统的安全研究比较少。综合电子系统受硬件、功耗、尺寸的限制，其内存和CPU主频都很小，而且由于使用场景特殊，不同的综合电子系统会采用不同的非通用型CPU。硬件设备的复杂性、多样性会导致系统频繁出错，大多数综合电子系统会充分利用有限的硬件资源，使其满足系统可靠性需求设计，而较少考虑安全性设计。

面对综合电子系统的安全威胁，目前入侵检测安全技术在卫星的应用上仅停留在网络级的入侵检测，由于综合电子系统应用范围的特殊性和硬件内存等资源上的限制等，针对内部系统级的面向综合电子系统的入侵检测技术较少，不能从根本提高综合电子系统的安全性。目前仅发现Stan等人在2017年提出基于马尔可夫模型的异常检测方法。 Stan等人提出的特征所需存储空间为137bit，当数据量庞大的情形下，占用的空间不容小觑；同时该异常检测方法仍存缺陷，由于Markov模型无法解决存在ABA序列的异常检测，即如果训练集中存在ABA序列，则在命令字A后插入伪造命令字B，则无法识别该命令字，虽然Stan等人提出的Markov模型带有时间周期，但是若插入的伪造命令字B遵循AB序列的周期，则该伪造的命令字会被识别为正常的命令字。

发明内容

本发明的目的是提供一种面向综合电子系统的异常检测方法，该方法可有效抵御综合电子系统内部攻击，保证综合电子系统内部传输数据的完整性和可用性。

实现本发明目的的具体技术方案是：

一种面向综合电子系统的异常检测方法，该方法包括以下具体步骤：

步骤1：监听综合电子系统总线，收集大量总线日志消息作为后续生成用于周期性检测的周期性命令字序列和非周期性检测器所需数据集；

步骤2：根据总线日志消息，使用自生成算法生成周期性命令字序列；

步骤3：根据总线日志消息，基于时间序列方法生成非周期性消息检测器；其中，所述时间序列方法包括但不限于马尔科夫(Markov)模型；

步骤4：实时监听总线，将每一个消息中的命令字传入命令字序列规范检测器中，进行命令字序列规范检测；其中，所述命令字序列规范检测器包括周期性命令字序列和非周期性消息检测器。

步骤2所述使用自生成算法生成周期性命令字序列，具体包括：

步骤A1：提取消息日志中所有的周期性消息，提取特征，生成周期性命令字集合；

步骤A2：根据消息日志中的消息序列重新将周期性命令字集合生成为周期性命令字序列规范；

步骤A3：根据周期性命令字序列规范的列表生成基于Hash算法检索的序列规范。