本發明公開了一種面向綜合電子系統的輕量級入侵檢測方法，包括：特征信息提取：監聽并收集綜合電子系統內通信的數據包，提取消息特征、子系統特征；入侵檢測：首先根據綜合電子系統特點及支持的通信協議制定行為規范，并將行為規范轉換成狀態機的形式，實時監視系統行為是否偏離所定義的正常規范，并用距離度量方法與概率模型相結合判定行為規范狀態機檢測的異常行為是否為一次入侵；入侵響應：發起入侵警告，響應并記錄入侵事件。本發明在考慮綜合電子系統資源受限的情況下，實現輕量級的入侵檢測，可有效抵抗拒絕服務攻擊和破壞完整性攻擊，如篡改數據包攻擊、偽造數據包攻擊、策反子系統攻擊、偽造子系統攻擊等。

技術領域

本發明屬于綜合電子系統信息安全技術領域，特別涉及一種面向綜合電子系統的輕量級入侵檢測方法。

背景技術

綜合電子系統(integrated electronic system)廣泛應用于通信衛星、裝甲車輛、民航飛機等。綜合電子系統采用計算機網絡技術，用數據總線將設備的各個子系統相連，形成分布式數據總線網絡。綜合電子系統將多種不同的功能模塊整合組成完整的系統。在統一的任務調度和管理下，完成整個設備的所有信息管理功能，實現信息指令資源共享。

以通信衛星為例。綜合電子系統是通信衛星的核心部件，是軍事信息站的關鍵。在軍事方面，對戰爭的雙方來說，信息優勢至關重要。通信衛星作為飛行在公共介質中的智能裝置，具有較差的保密性。在信息技術方面的脆弱性表現為：信道的開放性、平臺的標準化、技術的開放性、元器件的大眾化，以及認識的局限性。

目前國內外針對通信衛星的防御技術表現為信道的抗干擾技術，包括空域處理、時域處理、頻域處理、調制域處理、編碼域處理等、指令傳輸的信息隱藏技術以及網絡系統的訪問控制、數據加密、防火墻等技術。針對衛星計算機配備密碼機、密碼卡、電子密鑰注入設備、防火墻、高度安全防護裝置、在線高速網絡加密機等高級安全裝置。但這些防御技術不足以滿足綜合電子系統的安全需求。

入侵檢測作為一種動態的安全技術，可全面檢測綜合電子系統內的內部攻擊、外部攻擊及誤操作。但目前入侵檢測安全技術在衛星的應用僅停留在網絡級的入侵檢測，針對內部系統級的面向綜合電子系統的入侵檢測技術還無人提出。

綜合電子系統安全關系著通信衛星的安全、民航飛機的安全、裝甲車輛的安全等等，是國家網絡空間安全的關鍵。這些領域的入侵檢測技術僅停留在網絡級，不能從根本提高綜合電子系統的安全性。

發明內容

本發明提出一種面向綜合電子系統的輕量級入侵檢測方法，該方法包括下述步驟：

步驟A1：監聽并捕獲綜合電子系統內的傳輸數據，提取綜合電子系統內部行為特征信息；

步驟A2：根據綜合電子系統特點及所支持的總線協議制定系統正常的行為規范，所述正常行為規范包括：面向中央管理單元行為規范、面向總線行為規范、面向子系統行為規范、面向時間行為規范、面向頻率行為規范、面向數據包長度行為規范；

步驟A3：將所述正常行為規范轉換成狀態機的形式，用狀態機實時判斷所述提取的綜合電子系統內部行為特征信息是否符合系統正常行為規范，若不符合，則說明綜合電子系統當前行為是異常的；

步驟A4：在行為規范狀態機檢測到綜合電子系統異常行為時，用距離度量方法和概率模型結合判定所述異常行為是否為一次入侵；

步驟A5：若為一次入侵行為，系統則進行入侵響應，發起警告，記錄日志。

本發明提出的面向綜合電子系統的輕量級入侵檢測方法，所述步驟A1提取綜合電子系統內部行為特征信息包括下述步驟：

步驟B1：對單個數據包特征提取，包括但不僅限于數據包的目的地址、數據包的有效長度、數據包有效字段；