基于马尔科夫链和场景特征的通信系统异常检测方法及系统技术方案

本发明专利技术提出一种基于马尔科夫链和场景特征的通信系统异常检测方法和系统，包括：根据实时捕获的交互信令的特征，量化攻击代价系数、攻击复杂性系数、攻击不可检测性、攻击者动机和信令的脆弱性，计算交互信令的攻击成功概率；获取通信系统中用户端在注册态和去注册态间的状态转换，以构建用户端的马尔科夫链，根据用户端的场景特征和马尔科夫链，得到用户端的由注册态转移到去注册态的概率和由去注册态转移到注册态的概率，结合攻击成功概率，确定马尔科夫链的用户状态分布的稳态概率，若稳态概率升高且超过阈值，则判定当前信令为异常信令。所提出的实时异常检测算法能够有效地防止攻击，增强控制平面的安全性。增强控制平面的安全性。增强控制平面的安全性。

【技术实现步骤摘要】
基于马尔科夫链和场景特征的通信系统异常检测方法及系统


[0001]本专利技术涉及移动通信、异常检测，并特别涉及一种基于马尔科夫链和场景特征的通信系统异常检测方法及系统。

技术介绍

[0002]STL Partners预测，到2030年，八个主要行业的第五代移动通信技术(5th generation mobile communication technology,5G)应用场景将为全球GDP贡献1.4万亿美元，因此基于5G系统构建5G专网为垂直行业提供定制化的通信服务具有良好的前景。与此同时，垂直行业对5G专网的安全提出了更高的要求。例如5G专网应用于医疗行业，现有5G系统只涉及到通过高清视频进行虚拟问诊咨询的服务模式，其安全问题主要是用户的身份证号、健康信息、治疗方案等隐私性信息是否存在被泄漏、篡改的风险。而随着远程手术、联网救护车等新型行业场景的加入，只保护用户基本信息的隐私安全是远远不够的。远程手术和联网救护车中5G专网是一个安全关键系统，不仅要保证用户信息在采集、存储和传输过程中的安全，还要保证系统中操作指令的绝对完整性、可用性与时效性，如果有非法攻击者越权读取到了系统中的信令，并解析出信令中的用户永久标识符(subscription permanent identifier,SUPI)、常使用的终端标识、位置等用户在网络系统中的参数，而针对性的在被攻击用户入网和需要服务时对其所在的基站或核心网网元发起分布式拒绝服务攻击(distributed denial of service,DDOS)，则会造成用户网络系统的延迟甚致崩溃，会直接影响到人们的生命安全。或者非法攻击者仿冒篡改了网络中的信令操作，造成系统的误操作或得不到相应的服务，也会直接构成人生命财产的巨大损失。例如，在TMSI刷新机制中，攻击者可能会删除配置更新命令消息。因此，受害者拥有旧的TMSI，但网络将同时拥有旧的和新的TMSI。网络首先尝试用新TMSI分页一定次数，然后用旧TMSI分页。如果攻击者知道旧的TMSI，它可能会劫持分呼通道，并迫使网络继续为受害者长期使用相同的TMSI，这使得UE容易受到位置跟踪攻击。协议的脆弱性将使任何制造商都无法避免攻击。因此，保证控制平面(CP)的安全性是5G安全面临的重要挑战之一。
[0003]异常检测可以识别网络中的异常行为，以便在发生攻击时能够快速准确地做出响应，以减少网络的损失。目前，有很多关于异常检测的研究，包括统计学和机器学习。
[0004]在统计方面，它通过将当前网络/UE状态与正常网络/UE状况进行比较来识别当前网络中是否存在攻击。统计数据面临的问题是，在高并发情况下，单个异常导致多个UE/网络状态异常中的数据过多。为了解决这个问题，引入了聚类算法，如K
‑
means、流聚类、层次聚类等。聚类算法可以在有监督或无监督的方法中找到所有异常UE。监督聚类算法可以发现所有与标记数据相似的异常UE，聚类结果单调但精度高。无监督聚类算法可以发现多种类型的异常UE，但由于5G中的多个状态属性，结果的准确性较低。统计和聚类算法都通过识别UE的异常状态来检测攻击。这两种方法可以准确地检测已经发生的攻击，但对即将发生的攻击无能为力。为了防止攻击，提出了用于异常检测的决策树(DT)。首先，基于漏洞数据库，分析已知攻击的行为特征。然后使用DT来匹配当前的网络环境和攻击所需的条件。如果
满足条件，它将向网络发出警报。虽然这种方法可以防止攻击，但其效率取决于漏洞数据库，即DT无力处理零日漏洞。此外，同一过程在不同的业务场景中具有不同的被攻击概率，只是简单的规则匹配导致检测的准确性低下。
[0005]因此，现有的异常检测方法主要存在三个问题：(1)异常检测是由攻击后收集的数据驱动的。现有的异常检测算法关注的是被攻击后的系统状态，而不是防止攻击。(2)零日漏洞检测不足。现有的异常检测算法依赖于漏洞数据库，导致零日漏洞的异常检测能力不足。(3)缺乏对场景特征的考虑。程序将在更有攻击价值的场景中受到攻击，添加场景特征将提高异常检测算法的准确性。
[0006]经过多年的发展和积累，移动通信系统的安全体系日趋完善。但目前已有研究发现5G的新安全技术体系未能完全解决历史控制面协议安全问题，包括阻止TMSI更新、中断EEC连接等问题。同时新技术为5G带来了新的控制面安全漏洞，例如Bidding Down攻击。异常检测可以识别出系统中的异常行为，减少系统的损失。针对当前异常检测算法后驱动、零日漏洞检测不足以及缺乏场景特征考虑的问题。

技术实现思路

[0007]本专利技术考虑以增强5G控制面协议安全为目标，针对5G核心网控制平面中实时交互的信令，设计了基于马尔科夫链的异常检测模块，并提出其中异常检测算法，最后以仿真验证了检测模块以及所提出的异常检测算法对增强5G控制平面安全的有效性。
[0008]针对现有技术的不足，本专利技术提出一种基于马尔科夫链和场景特征的通信系统异常检测方法，其中包括：
[0009]步骤1、通过监测通信系统核心控制平面的总线，实时捕获系统中的交互信令；
[0010]步骤2、根据实时捕获的该交互信令的特征，量化攻击代价系数、攻击复杂性系数、攻击不可检测性、攻击者动机和信令的脆弱性，以计算该交互信令的攻击成功概率；
[0011]步骤3、获取通信系统中用户端在注册态和去注册态间的状态转换，以构建该用户端的马尔科夫链，根据该用户端的场景特征和该马尔科夫链，得到该用户端的由注册态转移到去注册态的概率p1和由去注册态转移到注册态的概率p2，根据p1、p2和该攻击成功概率，确定该马尔科夫链的用户状态分布的稳态概率，若该稳态概率升高且超过阈值，则判定当前信令为异常信令。
[0012]所述的基于马尔科夫链和场景特征的通信系统异常检测方法，其中
[0013]该步骤3包括：交互信令正常时，用户由注册态S
rs
转移到去注册态S
ds
的概率为p1，则用户一直保持注册态的概率为1
‑
p1；用户由去注册态转移到注册态的概率为p2，则用户一直保持注册态的概率为1
‑
p2，该马尔可夫链的状态转移概率矩阵为：
[0014][0015]该马尔可夫链的用户状态分布的稳态分布概率为π＝[π
1 π2]，则其状态方程为：
[0016][0017]该状态方程的解为：
[0018][0019]交互信异常时，用户由去注册态转移到注册态地概率为Δ为注册态转移到去注册态的概率增加值；该马尔可夫链，其状态转移概率矩阵为：
[0020][0021]该马尔可夫链的用户状态分布的稳态分布概率为π
′
＝[π
′
1 π
′2]，则其状态方程为：
[0022][0023]该状态方程的解为：
[0024][0025]通过对比通信系统中用户处于S
ds
的概率，得到攻击影响力ε：
[0026]ε＝π
′2‑
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于马尔科夫链和场景特征的通信系统异常检测方法，其特征在于，包括：步骤1、通过监测通信系统核心控制平面的总线，实时捕获系统中的交互信令；步骤2、根据实时捕获的该交互信令的特征，量化攻击代价系数、攻击复杂性系数、攻击不可检测性、攻击者动机和信令的脆弱性，以计算该交互信令的攻击成功概率；步骤3、获取通信系统中用户端在注册态和去注册态间的状态转换，以构建该用户端的马尔科夫链，根据该用户端的场景特征和该马尔科夫链，得到该用户端的由注册态转移到去注册态的概率p1和由去注册态转移到注册态的概率p2，根据p1、p2和该攻击成功概率，确定该马尔科夫链的用户状态分布的稳态概率，若该稳态概率升高且超过阈值，则判定当前信令为异常信令。2.如权利要求1所述的基于马尔科夫链和场景特征的通信系统异常检测方法，其特征在于，该步骤3包括：交互信令正常时，用户由注册态S
rs
转移到去注册态S
ds
的概率为p1，则用户一直保持注册态的概率为1
‑
p1；用户由去注册态转移到注册态的概率为p2，则用户一直保持注册态的概率为1
‑
p2，该马尔可夫链的状态转移概率矩阵为：该马尔可夫链的用户状态分布的稳态分布概率为π＝[π1π2]，则其状态方程为：该状态方程的解为：交互信异常时，用户由去注册态转移到注册态地概率为Δ为注册态转移到去注册态的概率增加值；该马尔可夫链，其状态转移概率矩阵为：该马尔可夫链的用户状态分布的稳态分布概率为π
′
＝[π
′1π
′2]，则其状态方程为：该状态方程的解为：
通过对比通信系统中用户处于S
ds
的概率，得到攻击影响力ε：ε＝π
′2‑
π2ꢀꢀ
(9)代入公式(3b)和(6b)，ε计算方式为：当ε>σ时，σ为该阈值，判定当前信令为异常信令；当ε<σ时，判定当前信令为正常信令。3.如权利要求1所述的基于马尔科夫链和场景特征的通信系统异常检测方法，其特征在于，该步骤2包括：攻击成功的概率P
succ
与攻击代价系数Cost
eff
、攻击复杂性系数Comp
eff
、攻击不可检测性Atkr
Undty
、攻击者动机Atkr
Motiv
和信令的脆弱性Sig
Vul
的关系为：该攻击代价系数Cost
eff
为攻击将花费的代价，用Cost
eff
∈[0,1]表示发起攻击需要花费的代价系数，值越高意味着花费越低；值越低意味着花费越高；攻击复杂性系数Comp
eff
为攻击所需的先验知识的复杂性，Comp
eff
∈[0,1]表示攻击的复杂性系数，值越高意味着攻击的复杂性越低；值越低意味着攻击的复杂性越高；攻击不可检测性Atkr
Undty
∈[0,1]表示攻击信令逃过检测软件的可能性，值越高意味着攻击被拦截的可能性越小；值越低意味着攻击被拦截的可能性越大；攻击者动机Atkr
Motiv
∈[0,1]表示信令的价值得分，值越高意味着信令的价值越高，值越低意味着信令的价值越低；信令脆弱性Sig
Vul
∈[0,1]表示信令的脆弱性得分，得分越高意味着信令脆弱性越高，更容易遭受攻击，反之则不容易遭受攻击。4.如权利要求2所述的基于马尔科夫链和场景特征的通信系统异常检测方法，其特征在于，该阈值在于，该阈值5.一种基于马尔科夫链和场景特征的通信系统异常检测系统，其特征在于，包括：模块1，用于通过监测通信系统核心控制平面的总线，实时捕获系统中的...

【专利技术属性】
技术研发人员：代璐璐，孙茜，田霖，
申请(专利权)人：中国科学院计算技术研究所，
类型：发明
国别省市：