The present invention aims to provide a finite state machine-based analysis method for the security state of the Space-earth integrated network. Based on the uniqueness of the Space-earth integrated network, the actual deployment of the Space-earth integrated network security processing module and the actual requirement design of the management and control system, the current attack state corresponding to the data can be effectively analyzed by the collected data, and the disposal suggestions can be provided. Less false alarm and false alarm include the following steps: collecting the data of the Space-earth integrated network; reading and processing the collected data; distinguishing the data sources according to their eigenvalues; dividing the data into ground network data and satellite network data; calling different finite state machine modules according to the data sources to process the data, and matching the data features with the knowledge in the knowledge map in turn. The matching results are stored in the state machine, and the final analysis results are obtained by setting trigger conditions. The current attack status and related knowledge corresponding to the analysis results are exported to the management and control system.
【技术实现步骤摘要】
基于有限状态机的面向天地一体化网络安全状态分析方法
本专利技术涉及天地一体化网络安全
,具体为基于有限状态机的面向天地一体化网络安全状态分析方法。
技术介绍
网络空间(Cyberspace)被定义为“构建在信息通信技术基础设施之上的人造空间,用以支撑人们在该空间中开展各类与信息通信技术相关的活。目前,网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间,网络空间的安全问题也随时而来。天地一体化信息网络是国家面向2030的重大项目中首个启动的重大工程项目,天地一体化网络采用“天网地网”架构,突出天基组网、天地互联,由天基骨干网、天基接入网、地基节点网构成,并可与地面互联网和移动通信网开放互联。天地一体化网络中有特点的安全威胁包括:数据完整性安全,卫星网络的动态拓扑、地面手持终端的可移动性、星/地传输数据的方式不同,导致数据安全性和完整性容易遭到破坏;无线接入攻击,无线链路的开放性特点和通信链路具有传输距离远、传输时延大、误码率高、间歇性连接等特性,在缺乏物理保护的情况下,容易遭受干扰、截获、伪造等恶意电磁攻击;安全机制漏洞攻击,主要指身份认证、密钥管理和访问控制,星座网络拓扑具有无中心、自组织、周期性的特点,增大了身份认证、密钥管理、访问控制的难度;专用设备漏洞攻击,天地一体化网络有关口站、卫星等专有设备,安装了专用系统,存在漏洞,可对其进行利用、渗透、破坏;多域环境下的传输与接入威胁,跨域通信会面临着安全切换、安全传输等威胁,同时,在多域环境下,通信还会面临源地址伪造以及跨域切换时非法接入的威胁。天地一体化网络因其节点覆盖范围广、传输信道开放 ...
【技术保护点】
1.基于有限状态机的面向天地一体化网络安全状态分析方法,其特征在于:包括以下步骤:S1:对天地一体化网络的数据进行采集;S2:读取并处理采集的数据;S3:根据数据的特征值区分数据来源,将数据分成地面网数据和卫星网数据,S4:根据数据来源调用不同的有限状态机模块来处理数据,将数据特征依次与知识图谱中的知识进行匹配,将匹配返回的结果存入状态机,并通过设置触发条件获得最后的分析结果,将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。
【技术特征摘要】
1.基于有限状态机的面向天地一体化网络安全状态分析方法,其特征在于:包括以下步骤:S1:对天地一体化网络的数据进行采集;S2:读取并处理采集的数据;S3:根据数据的特征值区分数据来源,将数据分成地面网数据和卫星网数据,S4:根据数据来源调用不同的有限状态机模块来处理数据,将数据特征依次与知识图谱中的知识进行匹配,将匹配返回的结果存入状态机,并通过设置触发条件获得最后的分析结果,将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统。2.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法,其特征在于:调用satellite-module模块,用于处理卫星网数据,satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配,若匹配成功,则返回卫星编号、卫星攻击名称和时间给管控系统,否则,认为无卫星攻击。3.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法,其特征在于:调用ground-module模块,用于处理地面网数据,ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配,其中单步攻击的事件描述为攻击名称,APT攻击的事件描述为APT攻击对应的kill-chain模型的阶段,当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到的APT攻击的阶段不是第一阶段,则认为是单步攻击,返回单步攻击的名称、时间、目的IP给管控系统;当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到APT攻击的阶段是第一阶段,将匹配到的攻击的名称及对应的APT攻击的阶段存入状态机,根据触发条件继续匹配APT攻击的第二阶段且更新状态机的状态,若匹配到APT攻击的第二阶段则继续顺次匹配APT攻击的第三阶段,以此类推直到无法匹配到APT攻击的下一阶段或匹配结束,然后将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统;当数据的特征值中的事件特征匹配到APT攻击的第一阶段后,无法匹配到APT攻击的第二阶段却匹配到与APT攻击的第一阶段间隔为N的阶段,其中N为自然数,当N大于2时,则认为匹配到APT攻击的第一阶段和第N+1阶段分别为两个单步攻击,返回单步攻击的名称、时间、目的IP给管控系统;当N小于等于2时,则任然认为该阶段与APT攻击相匹配,根据触发条件...
【专利技术属性】
技术研发人员:亓玉璐,江荣,贾焰,李爱平,周斌,韩伟红,钟金诚,朱争,刘海天,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。