基于深度包解析的面向综合电子系统的异常检测方法技术方案

本发明专利技术公开了一种基于深度包解析的面向综合电子系统的异常检测方法，该方法包括：收集总线数据：监听并收集总线传输数据包；提取周期性数据包特征：在收集的周期性数据包中提取内容变化的特征值；生成多个决策树：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；行为规范检测异常数据包：根据周期性数据包提供信息选择对应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理。本发明专利技术可检测出总线控制器和子系统之间的攻击，可以有效的抵御重放攻击、伪造攻击、拒绝服务等多种攻击。

Anomaly Detection Method for Integrated Electronic System Based on Deep Packet Analysis

The invention discloses an anomaly detection method for integrated electronic system based on deep packet analysis. The method includes: collecting bus data: monitoring and collecting bus transmission data packets; extracting characteristics of periodic data packets: extracting feature values of content changes from collected periodic data packets; generating multiple decision trees: according to the set of extracted feature values, different sub-systems are selected. Different application training under the system generates corresponding decision tree; Behavior specification detects abnormal data packets: select the corresponding decision tree according to the information provided by periodic data packets and use the decision tree to predict the legitimate operation of current periodic data packets. If the instructions in the content of the non-periodic data packets to be tested conform to the prediction results of the decision tree, the message will pass, otherwise the data packets will be abnormal. Do exception handling. The invention can detect attacks between bus controllers and subsystems, and can effectively resist replay attacks, forgery attacks, denial of service and other attacks.

【技术实现步骤摘要】
基于深度包解析的面向综合电子系统的异常检测方法
本专利技术属于入侵检测的
，特别涉及一种深度包解析和行为规范检测异常数据包的可抵御重放攻击、伪造子系统攻击和拒绝服务攻击的轻量级入侵检测方法。
技术介绍
综合电子系统通常处于物理隔离网络，其安全问题一直不受重视，自从震网病毒问世后，人们逐渐对物理隔离的网络进行安全研究。在此之前，人们重点关注综合电子系统的功能实现，基本不对综合电子系统进行安全测试。目前安全事件又频繁发生，APT攻击日益猖獗，后门程序的威胁日益严峻，因此需要对综合电子系统进行安全测试。对于在地面工作的综合电子系统，例如车辆综合电子系统，可以通过物理攻击方式将攻击源接入车辆综合电子系统。车辆综合电子系统可分为民用轿车和装甲车综合电子系统，民用轿车使用ControllerAreaNetwork(CAN)总线作为车内通讯总线，随着自动驾驶的推广，民用轿车的安全研究及检测技术已有很多研究，装甲车综合电子系统使用MIL-STD-1553(1553B)总线作为车内通讯总线，关于1553B的研究较少。对于在太空工作的综合电子系统，例如航天器综合电子系统，由于航天器综合电子系统在太空中运行，所以通常无法通过物理攻击方式对综合电子系统实施攻击。但可以通过AdvancedPersistentThreat(APT)攻击控制地面站，从而控制航天器综合电子系统。综合电子系统受硬件、功耗、尺寸的限制，其内存和CPU主频都很小，大多数综合电子系统会充分利用有限的硬件资源，使其满足系统可靠性需求设计，而较少考虑安全性设计。尤其是综合电子系统的入侵检测研究更加稀少。专利技术内容本专利技术的目的在于克服现有技术的缺点与不足，提供一种基于深度包解析的面向综合电子系统的异常检测方法,采用深度包解析以及行为规范检测异常数据包方法，即可抵御重放攻击、伪造子系统攻击和拒绝服务攻击。在继承了基于命令字规范和时间序列相结合的异常检测方法的高效性的同时，本专利技术可识别出符合马尔可夫模型的攻击数据，降低漏报率，为总线控制器和子系统之间消息传输提供了安全保护。本专利技术提出了基于深度包解析的面向综合电子系统的异常检测方法，包括如下阶段：收集总线数据阶段：监听并收集总线传输数据包；提取周期性数据包特征阶段：在收集的周期性数据包中提取内容变化的特征值；训练生成决策树阶段：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；行为规范检测异常数据包阶段：根据周期性数据包提供目标子系统和应用信息选择相应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，所述收集总线数据阶段包括下述步骤：步骤A1：实时监听总线，记录总线控制器和子系统之间在总线上传输的数据包。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，所述提取周期性数据包特征阶段包括下述步骤：步骤B1：根据总线协议，从多个周期性轮询结果中提取各个子系统的周期性数据包；步骤B2：提取各个周期性消息特征并按周期排列；步骤B3：将各个子系统相邻周期周期性数据包内容变化量提取并作为特征值。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，步骤B3所述数据包内容变化量特征是相邻周期数据包中变化的字节，变化字节为连续值或离散值。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，步骤3中所述训练生成决策树算法，其使用的特征选择方法包括但不限于分类回归树(ClassificationAndRegressionTreeCART)方法。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，所述行为规范检测异常阶段包括以下步骤：步骤C1：根据周期性数据包中的子系统ID和应用ID组成唯一应用标识UID；步骤C2：从训练的决策树集合TM中取出当前UID的决策树；步骤C3：使用所选决策树预测当前周期性数据包对应的指令，将所得的预测指令和监听获得的实际指令相比较，若实际指令与预测指令相符，则不存在入侵，让消息成功传输；若实际指令与预测指令不相符，则判定该指令为入侵事件，执行步骤C4；步骤C4：数据包异常，进行异常处理。本专利技术提出的所述基于深度包解析的面向综合电子系统的异常检测方法中，步骤C4中所述异常数据包处理具体包括：步骤D1：停止总线传输此消息，阻止此次入侵；步骤D2：记录该入侵事件。本专利技术的有益专利技术在于：提出基于深度包解析的面向综合电子系统的异常检测方法，通过收集并分析周期性数据包的特征变化，训练生成针对不同子系统下不同应用的决策树，从而实现预测非周期性数据包合理的指令。若实际监听所得的指令与决策树计算所得的预测指令不相符，则判定为入侵事件，阻止该非周期性数据包的传输，并记录该入侵事件详情；若实际监听所得的指令与决策树计算所得的预测指令相吻合，则可认为是合理的指令，不作拦截操作。本专利技术的有益效果在于：1)能够抵御伪造总线控制器攻击：当发生伪造总线控制器攻击时，伪造总线控制器使用总线向子系统传递非法控制消息，即使使用基于命令字规范和时间序列相结合的异常检测方法也无法识别符合命令字规范和时间序列的攻击消息。使用本专利技术，可以检测出伪造总线控制器向子系统发送的异常非周期性数据包，当检测出异常情况时，阻断该消息的传输，避免因错误的遥控操作对综合电子系统造成影响。2)低漏报率：基于命令字规范和时间序列相结合的异常检测方法可以实现轻量级的异常检测，但有较高的漏报率，对于符合命令字规范和时间序列的攻击消息，该检测方案会判定为合法消息。本专利技术进一步深究非周期性数据包中指令的合法性，进而大大降低漏报率。附图说明图1是本专利技术流程图；图2是本专利技术提取各个周期性消息特征并按周期排列示意图；图3是本专利技术行为规范检测异常数据包流程图。具体实施方式以下结合附图及具体实施例，对本专利技术作进一步的详细说明。实施本专利技术的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本专利技术没有特别限制内容。本专利技术中有关的技术术语代表的含义如下：M表示总线通讯中的一次完整的通信(消息)；mki表示第k周期的消息的第i个字；如图1所示，本专利技术基于深度包解析的面向综合电子系统的异常检测方法包括如下四个阶段：第一阶段：收集总线数据阶段：监听并收集总线传输数据包；第二阶段：提取周期性数据包特征阶段：在收集的周期性数据包中提取内容变化的特征值；第三阶段：训练生成决策树阶段：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成相应决策树；第四阶段：行为规范检测异常数据包阶段：根据周期性数据包提供目标子系统和应用信息选择相应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。所述第一阶段包括下述步骤：步骤A1：实时监听总线，记录总线传输周期性数据(消息M)和非周期性数据，消息M由m11,m12,m13,...,m1n组成。所述第二阶段包括下本文档来自技高网...

【技术保护点】
1.一种基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，该方法包括以下具体步骤：步骤1：监听并收集总线传输数据包；步骤2：在收集的周期性数据包中提取内容变化的特征值；步骤3：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；步骤4：根据周期性数据包提供目标子系统和应用信息选择对应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。

【技术特征摘要】
1.一种基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，该方法包括以下具体步骤：步骤1：监听并收集总线传输数据包；步骤2：在收集的周期性数据包中提取内容变化的特征值；步骤3：根据提取所得的特征值集合，对不同子系统下的不同应用训练生成对应决策树；步骤4：根据周期性数据包提供目标子系统和应用信息选择对应的决策树并利用该决策树预测当前周期性数据包的合法操作，若待检验的非周期性数据包内容中的指令符合决策树预测结果，则让消息通过，否则数据包异常，进行异常处理，停止总线传输此消息，阻止此次入侵。2.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，所述步骤1具体包括：步骤A1：实时监听总线，记录总线控制器和子系统之间在总线上传输的数据包。3.根据权利要求1所述的基于深度包解析的面向综合电子系统的异常检测方法，其特征在于，所述步骤2具体包括：步骤B1：根据总线协议，从多个周期性轮询结果中提取各个子系统的周期性数据包；步骤B2：提取各个周期性消息特征并按周期排列；步骤B3：将各个子系统相邻周期周期性数据包内容变化量提取并作为特征值。4.根据权利要求3所述的...

【专利技术属性】
技术研发人员：何道敬，高甲豪，高昀，齐维孔，王灏宇，李明，
申请(专利权)人：华东师范大学，中国空间技术研究院，
类型：发明
国别省市：上海,31