基于有限状态机的面向天地一体化网络安全状态分析方法技术

本发明专利技术旨在提供一种基于有限状态机的面向天地一体化网络安全状态分析方法，其基于天地一体化网络的独特性、天地一体化网络安全处理模块的实际部署情况及管控系统的实际需求设计，通过采集的数据有效的分析出数据对应的当前攻击状态并提供处置建议，减少误报和错报，包括以下步骤：对天地一体化网络的数据进行采集；读取并处理采集的数据；根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。

Security State Analysis Method for Space-Earth Integration Network Based on Finite State Machine

The present invention aims to provide a finite state machine-based analysis method for the security state of the Space-earth integrated network. Based on the uniqueness of the Space-earth integrated network, the actual deployment of the Space-earth integrated network security processing module and the actual requirement design of the management and control system, the current attack state corresponding to the data can be effectively analyzed by the collected data, and the disposal suggestions can be provided. Less false alarm and false alarm include the following steps: collecting the data of the Space-earth integrated network; reading and processing the collected data; distinguishing the data sources according to their eigenvalues; dividing the data into ground network data and satellite network data; calling different finite state machine modules according to the data sources to process the data, and matching the data features with the knowledge in the knowledge map in turn. The matching results are stored in the state machine, and the final analysis results are obtained by setting trigger conditions. The current attack status and related knowledge corresponding to the analysis results are exported to the management and control system.

【技术实现步骤摘要】
基于有限状态机的面向天地一体化网络安全状态分析方法
本专利技术涉及天地一体化网络安全
，具体为基于有限状态机的面向天地一体化网络安全状态分析方法。
技术介绍
网络空间(Cyberspace)被定义为“构建在信息通信技术基础设施之上的人造空间，用以支撑人们在该空间中开展各类与信息通信技术相关的活。目前，网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间，网络空间的安全问题也随时而来。天地一体化信息网络是国家面向2030的重大项目中首个启动的重大工程项目，天地一体化网络采用“天网地网”架构，突出天基组网、天地互联，由天基骨干网、天基接入网、地基节点网构成，并可与地面互联网和移动通信网开放互联。天地一体化网络中有特点的安全威胁包括：数据完整性安全，卫星网络的动态拓扑、地面手持终端的可移动性、星/地传输数据的方式不同，导致数据安全性和完整性容易遭到破坏；无线接入攻击，无线链路的开放性特点和通信链路具有传输距离远、传输时延大、误码率高、间歇性连接等特性，在缺乏物理保护的情况下，容易遭受干扰、截获、伪造等恶意电磁攻击；安全机制漏洞攻击，主要指身份认证、密钥管理和访问控制，星座网络拓扑具有无中心、自组织、周期性的特点，增大了身份认证、密钥管理、访问控制的难度；专用设备漏洞攻击，天地一体化网络有关口站、卫星等专有设备，安装了专用系统，存在漏洞，可对其进行利用、渗透、破坏；多域环境下的传输与接入威胁，跨域通信会面临着安全切换、安全传输等威胁，同时，在多域环境下，通信还会面临源地址伪造以及跨域切换时非法接入的威胁。天地一体化网络因其节点覆盖范围广、传输信道开放透明、拓扑连接动态变化而具备网络体系结构立体多维异构、星间/星地信道开放、网络拓扑变化频繁、数据传输时延高和上下行链路传输带宽不对称等特点。这些特点使得实时分析变得相当困难。
技术实现思路
本专利技术旨在提供一种基于有限状态机的面向天地一体化网络安全状态分析方法，其基于天地一体化网络的独特性、天地一体化网络安全处理模块的实际部署情况及管控系统的实际需求设计，通过采集的数据有效的分析出数据对应的当前攻击状态并提供处置建议，减少误报和错报。其技术方案是这样的：基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：包括以下步骤：S1：对天地一体化网络的数据进行采集；S2：读取并处理采集的数据；S3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，S4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。进一步的，调用satellite-module模块，用于处理卫星网数据，satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配，若匹配成功，则返回卫星编号、卫星攻击名称和时间给管控系统，否则，认为无卫星攻击。进一步的，调用ground-module模块，用于处理地面网数据，ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配，其中单步攻击的事件描述为攻击名称，APT攻击的事件描述为APT攻击对应的kill-chain模型的阶段，当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到的APT攻击的阶段不是第一阶段，则认为是单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到APT攻击的阶段是第一阶段，将匹配到的攻击的名称及对应的APT攻击的阶段存入状态机，根据触发条件继续匹配APT攻击的第二阶段且更新状态机的状态，若匹配到APT攻击的第二阶段则继续顺次匹配APT攻击的第三阶段，以此类推直到无法匹配到APT攻击的下一阶段或匹配结束，然后将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统；当数据的特征值中的事件特征匹配到APT攻击的第一阶段后，无法匹配到APT攻击的第二阶段却匹配到与APT攻击的第一阶段间隔为N的阶段，其中N为自然数，当N大于2时，则认为匹配到APT攻击的第一阶段和第N+1阶段分别为两个单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；当N小于等于2时，则仍然认为该阶段与APT攻击相匹配，根据触发条件继续与APT攻击的下一阶段进行匹配且更新状态机的状态，以此类推直到无法匹配到APT攻击的下一阶段或匹配结束，则将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统。进一步的，步骤S1中对天地一体化网络的数据进行采集具体如下：包括采集地面网的数据和卫星网的数据，地面网的数据包括探针采集的数据和链路采集的数据，探针采集设置的节点包括终端采集节点、网络节点和蜜罐采集节点，终端采集节点用于实时采集系统行为，包括windows注册表的进程、文件、网络模块；网络节点用于采集由网络节点产生的多种类型的日志；罐采集节用于点采集漏洞和攻击手段；链路采集的数据通过对宿主机中虚拟机网络流量的采集得到；卫星网的数据由卫星的第三方管控系统提供，数据内容为卫星经纬度、频段范围和转发带宽。进一步的，步骤S2中对采集的数据进行处理具体如下：读取采集的数据，对采集的数据进行清理、去除重复数据；然后通过z-score方法进行标准化处理；再将数据按照时间戳、源IP、目的IP、特征值的格式统一表示。进一步的，天地一体化网络的知识图谱通过如下方式构建：步骤1：构建网络安全领域的本体，本体的模型包括：攻击、事件、关口站、卫星、漏洞、操作系统、应用软件、进程、注册表和文件；步骤2：构建天地一体化网络的知识图谱，知识图谱的模型包括概念、实例、属性、关系、规则，实例为概念的具体例子，属性为实例的属性，关系为实例之间的关系，规则用于约束实例之间关系，将步骤1中构建的本体作为概念构建知识图谱，确定本体的实例、实例的属性、实例之间的关系、约束并存入知识图谱中。进一步的，本体中，攻击包括互联网攻击和卫星攻击，互联网攻击包括单步攻击和APT攻击，通过互联网获取；单步攻击和APT攻击对应的事件从安全日记获取，卫星攻击对应的事件由卫星的第三方管控系统通过提供卫星经纬度、频段范围和转发带宽信息获取；关口站、卫星以及关口站与卫星的动态拓扑关系是由天地一体化网络动态重构与安全保障系统提供；漏洞、操作系统、应用软件、进程、注册表、和文件的信息通过网络爬虫工具批量获得。本专利技术的基于有限状态机的面向天地一体化网络安全状态分析方法，采集数据进行分析，采集数据时，针对数据来源的不同设定不同的采集策略；依托于现有的天地一体化网络系统，从天地一体化网络系统的各个子系统之间通信的实际需求出发构建天地一体化网络的知识图谱，知识图谱构建时，特别调研了现有的卫星攻击，将卫星的相关安全知识补充进去，进一步扩充了安全知识图谱；在针对攻击的数据分析中，根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最本文档来自技高网...

【技术保护点】
1.基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：包括以下步骤：S1：对天地一体化网络的数据进行采集；S2：读取并处理采集的数据；S3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，S4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。

【技术特征摘要】
1.基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：包括以下步骤：S1：对天地一体化网络的数据进行采集；S2：读取并处理采集的数据；S3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，S4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。2.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：调用satellite-module模块，用于处理卫星网数据，satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配，若匹配成功，则返回卫星编号、卫星攻击名称和时间给管控系统，否则，认为无卫星攻击。3.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：调用ground-module模块，用于处理地面网数据，ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配，其中单步攻击的事件描述为攻击名称，APT攻击的事件描述为APT攻击对应的kill-chain模型的阶段，当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到的APT攻击的阶段不是第一阶段，则认为是单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到APT攻击的阶段是第一阶段，将匹配到的攻击的名称及对应的APT攻击的阶段存入状态机，根据触发条件继续匹配APT攻击的第二阶段且更新状态机的状态，若匹配到APT攻击的第二阶段则继续顺次匹配APT攻击的第三阶段，以此类推直到无法匹配到APT攻击的下一阶段或匹配结束，然后将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统；当数据的特征值中的事件特征匹配到APT攻击的第一阶段后，无法匹配到APT攻击的第二阶段却匹配到与APT攻击的第一阶段间隔为N的阶段，其中N为自然数，当N大于2时，则认为匹配到APT攻击的第一阶段和第N+1阶段分别为两个单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；当N小于等于2时，则任然认为该阶段与APT攻击相匹配，根据触发条件...

【专利技术属性】
技术研发人员：亓玉璐，江荣，贾焰，李爱平，周斌，韩伟红，钟金诚，朱争，刘海天，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南,43