一种面向综合电子系统的轻量级入侵检测方法技术方案
A lightweight intrusion detection method for integrated electronic system
This invention discloses a lightweight intrusion detection method for integrated electronic system, including feature information extraction: monitoring and collecting data packets in the integrated electronic system, extracting message features and subsystem features; intrusion detection: first, according to the integrated electronic system special points and the supported communication protocols to formulate behavior rules. In the form of a state machine, it monitors whether the behavior of the system deviates from the defined norm, and combines the distance measurement method with the probability model to determine whether the abnormal behavior detected by the behavior standard state machine is an intrusion; the intrusion response: the intrusion warning, response and record of intrusion events are sent. Piece. Considering the limited resources of the integrated electronic system, the invention realizes lightweight intrusion detection, which can effectively resist denial of service attack and destroy integrity attack, such as tampering packet attack, forgery packet attack, counter subsystem attack, forgery subsystem attack and so on.
【技术实现步骤摘要】
一种面向综合电子系统的轻量级入侵检测方法
本专利技术属于综合电子系统信息安全
,特别涉及一种面向综合电子系统的轻量级入侵检测方法。
技术介绍
综合电子系统(integratedelectronicsystem)广泛应用于通信卫星、装甲车辆、民航飞机等。综合电子系统采用计算机网络技术,用数据总线将设备的各个子系统相连,形成分布式数据总线网络。综合电子系统将多种不同的功能模块整合组成完整的系统。在统一的任务调度和管理下,完成整个设备的所有信息管理功能,实现信息指令资源共享。以通信卫星为例。综合电子系统是通信卫星的核心部件,是军事信息站的关键。在军事方面,对战争的双方来说,信息优势至关重要。通信卫星作为飞行在公共介质中的智能装置,具有较差的保密性。在信息技术方面的脆弱性表现为:信道的开放性、平台的标准化、技术的开放性、元器件的大众化,以及认识的局限性。目前国内外针对通信卫星的防御技术表现为信道的抗干扰技术,包括空域处理、时域处理、频域处理、调制域处理、编码域处理等、指令传输的信息隐藏技术以及网络系统的访问控制、数据加密、防火墙等技术。针对卫星计算机配备密码机、密码卡、电子密钥注入设备、防火墙、高度安全防护装置、在线高速网络加密机等高级安全装置。但这些防御技术不足以满足综合电子系统的安全需求。入侵检测作为一种动态的安全技术,可全面检测综合电子系统内的内部攻击、外部攻击及误操作。但目前入侵检测安全技术在卫星的应用仅停留在网络级的入侵检测,针对内部系统级的面向综合电子系统的入侵检测技术还无人提出。综合电子系统安全关系着通信卫星的安全、民航飞机的安全、装甲车辆的安...
【技术保护点】
1.一种面向综合电子系统的轻量级入侵检测方法,其特征在于,该方法包括下述步骤:步骤A1:监听并捕获综合电子系统内的传输数据,提取综合电子系统内部行为特征信息;步骤A2:根据综合电子系统特点及所支持的总线协议制定系统正常的行为规范,所述正常行为规范包括:面向中央管理单元行为规范、面向总线行为规范、面向子系统行为规范、面向时间行为规范、面向频率行为规范、面向数据包长度行为规范;步骤A3:将所述正常行为规范转换成状态机的形式,用状态机实时判断所述提取的综合电子系统内部行为特征信息是否符合系统正常行为规范,若不符合,则说明综合电子系统当前行为是异常的;步骤A4:在行为规范状态机检测到综合电子系统异常行为时,用距离度量方法和概率模型结合判定所述异常行为是否为一次入侵;步骤A5:若为一次入侵行为,系统则进行入侵响应,发起警告,记录日志。
【技术特征摘要】
1.一种面向综合电子系统的轻量级入侵检测方法,其特征在于,该方法包括下述步骤:步骤A1:监听并捕获综合电子系统内的传输数据,提取综合电子系统内部行为特征信息;步骤A2:根据综合电子系统特点及所支持的总线协议制定系统正常的行为规范,所述正常行为规范包括:面向中央管理单元行为规范、面向总线行为规范、面向子系统行为规范、面向时间行为规范、面向频率行为规范、面向数据包长度行为规范;步骤A3:将所述正常行为规范转换成状态机的形式,用状态机实时判断所述提取的综合电子系统内部行为特征信息是否符合系统正常行为规范,若不符合,则说明综合电子系统当前行为是异常的;步骤A4:在行为规范状态机检测到综合电子系统异常行为时,用距离度量方法和概率模型结合判定所述异常行为是否为一次入侵;步骤A5:若为一次入侵行为,系统则进行入侵响应,发起警告,记录日志。2.根据权利要求1所述的面向综合电子系统的轻量级入侵检测方法,其特征在于,所述步骤A1提取综合电子系统内部行为特征信息包括下述步骤:步骤B1:对单个数据包特征提取,包括但不仅限于数据包的目的地址、数据包的有效长度、数据包有效字段;步骤B2:对多个数据包之间特征提取,包括但不仅限于计算总线上数据包的传输频率和同类数据包之间的时间间隔,所述同类数据包为相同类别数据包,例如:控制指令类的数据包等;步骤B3:对子系统的特征提取包括但不仅限于计算子系统的信用值。3.根据权利要求1所述的面向综合电子系统的轻量级入侵检测,其特征在于,所述步骤A2中面向中央管理单元行为规范具体为:相同子地址:面向中央管理单元行为规范规定综合电子系统内部不存在相同的子系统地址,也称“子地址”,若有两个设备子地址相同,则发起警报,记录日志;连续指令检测:面向中央管理单元行为规范规定中央管理单元作为总线控制器,不发出无字间间隔的指令,总线控制器发出指令字的最小时间间隔为4us,若中央管理单元发送指令时间间隔超出4us,则发出警报,记录日志;发送格式检测:面向中央管理单元行为规范规定中央管理单元发送数据包的形式为指令字+数据字,或指令字不加数据字;指令字+数据字的方式以无字间间隔形式发送;若违反该规则,将发出警报,记录日志;方式代码:面向中央管理单元行为规范规定中央管理单元发出的指令字中的方式代码字段具有特殊含义,必须使用1553B协议中已定义的方式代码,方式代码字段不在相应的白名单中则视为一次异常。4.根据权利要求1所述的面向综合电子系统的轻量级入侵检测,其特征在于,所述步骤A2中面向总线行为规范具体为:流量白名单:面向总线行为规范规定综合电子系统内仅允许系统支持的总线协议的流量,否则将为可疑流量,生成警报消息;标签字段:面向总线行为规范规定综合电子系统内传输的数据字、指...
【专利技术属性】
技术研发人员:何道敬,郑佳佳,高甲豪,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。