专利名称:基于网控的卫星通信网异常检测方法
技术领域:
本发明属于卫星通信网异常检测技术,特别是一种基于网控的卫星通信网异常检测方法。
背景技术:
随着计算机和通信技术的不断发展,使用未知的新方法对计算机和网络进行入侵越来越严重,这就使得异常检测的地位越发的重要。异常检测是入侵检测的一个分支,入侵是指任何试图危害资源完整性、保密性和可用性的活动集合。异常检测的前提假设是入侵者的活动与正常主体的活动是不一样的,能够相互区别开,然后将这种“不一样”、“相互区别”作为判断是否是入侵行为的依据。一般方法是建立一个对应“正常活动”的系统或用户的正常缩影,检测入侵活动时,异常检测程序产生当前的活动缩影并同正常缩影比较,如果比较结果发生偏离程度超过某个阈值即认为是入侵,从而触发相应机制。异常检测与系统的相关性较小,因此其通用性好,最大的优点就是能够检测出当前还未知的入侵行为。异常检测技术主要可以分为四大类(1)基于统计的异常检测技术该技术是根据异常检测器观察主体的活动,然后产生刻画这些活动的行为的轮廓。每一个轮廓保存记录主体当前行为,并定时地将当前的轮廓与存储的轮廓合并。通过比较当前的轮廓与已存储的轮廓来判断异常行为。该技术发展最早,也是最成熟和已经实用的异常检测技术。但是该技术也存在一些缺点阈值难以确定,太低或太高容易出现虚警或者漏警;对利用事件顺序关系的攻击难以检测。(2)基于预测模式异常检测技术该方法的假设条件是事件序列不是随机的而是遵循可辨别的模式,这种检测方法的特点是考虑了事件的序列及相互联系。Teng和Chen给出基于时间的归纳方法TIM (the Time-based Inductive Machine),利用时间规则来识别用户行为正常模式的特征。通过归纳学习产生这些规则集,并能动态地修改系统中这些规则,使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的,并能够成功地运用预测所观察到的数据,那么规则就具有高可信度。此方法的缺点是计算量比较大,也容易导致高的虚警率。(3)基于系统调用的异常检测技术Forrest等人认为一个程序的正常行为可以由其执行轨迹的局部模式(短序列) 来表征,与这些模式的偏离可认为是异常。方法基于程序执行时的两个特点一个程序正常执行时其执行迹具有局部一致性和异常发生时产生有别于正常时的局部模式。采用这种技术的典型方法是由Forrest等人提出的时延嵌入序列方法,就是预先给定长度为K的连续序列来构造程序正常行为轮廓,检测时将待检测程序执行迹与正常轮廓的序列比较,当不匹配的执行迹序列个数超过阈值时,就认为是异常。该方法分析建模比较简单,但是主要缺点是不能检测出合作攻击与盗用者。(4)基于人工智能的异常检测技术
将人工智能技术运用到异常检测中,能够提高异常检测的性能。主要包括人工神经网络技术、数据挖掘技术和人工免疫技术。基于人工神经网络技术人工神经网络中每个神经元的结构和功能是相对简单和有限的,但正是这些众多结构简单、功能有限的神经元的“微观”活动,构成了复杂的“宏观效应”——能完成各种复杂的信息识别和任务处理。目前,神经网络已有多种模型在IDS 中应用。只要提供系统的审计迹(Audit traces)数据,神经网络就可以通过自学习从中提取正常的用户或系统活动的特征模式,而不需要获取描述用户行为特征集以及用户行为特征测度的统计分布。但是,计算量比较大。基于数据挖掘技术=Wenke Lee和Mlvatore. J. Stolfo将数据挖掘技术应用到入侵检测研究领域中。其研究的目标是尽可能地减少在建立一个入侵检测系统中的手工和经验成分。这里采用以数据为中心的观点,把入侵检测问题看做是一个数据分析的过程。但是,对于实时入侵检测则还存在问题,需要开发出有效的数据挖掘算法和相适应的分布式体系。基于人工免疫技术对于基于人工免疫系统的入侵检测系统模型的研究,有两个方向。一是针对主机系统关键调用执行序列监测的免疫模型;另一个是针对网络数据的免疫模型。由于免疫系统具有分布式、多样性、记忆性、可扩充性等特点,可以利用这些特点建立分布式、高效和自组织的入侵检测模型。其缺点是目前还没有一套完善的人工免疫的理论体系,也没有较有效的抗原识别算法。卫星通信网络是一个复杂的综合系统。作为卫星通信网络中的节点,地球站的正常运行直接关系到整个网络的质量高低和安全性能。地球站异常包括诸多方面,除了地球站的故障之外,还包括地球站被仿冒、丢失、被非法用户使用或者战时被敌方缴获等等。由于地球站的各种数据和发送的信令是用户行为的直接体现,对卫星通信网的异常检测主要是对地球站的检测。对异常行为的攻击用传统的检测方式是难以检测的。目前,卫星网管还没有针对这一问题提出有效的异常检测机制和解决方案。
发明内容
本发明的目的在于提供一种能从事后分析和实时两个方面检测卫星通信网中地球站的行为异常并向用户发出异常告警的方法,从而实现基于网控的卫星通信网的异常检测。实现本发明目的的技术解决方案为一种基于网控的卫星通信网异常检测方法, 设置于卫星通信网安全防护的总体框架中,实现审计数据异常和信令序列异常的检测,包括数据获取预处理模块、审计检测模块、基于通信信令建模、HMM模型检测、模式匹配知识库建模、模式匹配知识库检测模块和图形用户界面模块,数据获取预处理模块从数据采集接口获取检测数据,并进行数据预处理,输出给其他各模块使用;审计检测模块运用典型聚类算法FCM对大量审计数据进行聚类分析,实现事后分析;基于通信信令建模对信令抽取编码,通过隐马尔科夫算法学习,建立基于正常信令序列的HMM检测模型;HMM模型检测模块在建立了基于正常信令序列的模型基础上,通过网络接口,实时获取某个地球站在一段工作时间内的通信信令序列,经过数据预处理,得到经过简易编码的信令短序列,用分类器对短序列进行检测,得到检测结果,输入图形用户界面模块处理,实现实时检测;模式匹配知识库建模根据地球站用户行为的规律性和确定性,统计出地球站用户行为简单模式,存储为知识库,在模式匹配知识库检测模块检测时通过实时获取通信数据,与地球站用户行为进行匹配比较,发现不同于知识库中的行为模式,则认为是异常,将结果输入到图形用户界面模块处理。本发明与现有技术相比,其显著优点(1)能够有效地保护卫星通信网免受从地球站发起的各种“信令攻击”;(2)结合领域先验知识和运用机器学习技术,利用审计数据进行地球站异常行为的检测方法高效、准确,能适应大规模数据,漏报和误报率低;(3)将机器学习方法用于卫星通信信令的分析上有创新,提出了基于短时间序列的HMM异常检测方法,该方法不仅具有优良的检测性能,并且检测信令时间很短,反应速度很快,能够实现在线检测的目标,增强信令系统的安全;(4)提高执勤人员执勤效率,减轻执勤人员工作压力。下面结合附图对本发明作进一步详细描述。
图1是卫星通信网安全防护的整体框架图。图2是基于网控的卫星通信网异常检测核心模块图。图3是基于网控的卫星通信网异常检测工作流程图。图4是分类器选择与训练过程图。图5是基于隐马尔科夫的异常检测模型图。
具体实施例方式1、本发明是在卫星通信网安全防护的整体框架中进行异常检测的,用于各类卫星网控系统,及时发现卫星通信系统中异常行为。图1给出了卫星通信网安全防护的整体框架图。该防护框架包括网控中心服务器安全防护系统、地球站异常行为检测、卫星通信控制信道安全、通用信令系统设计四个方面。(a)网控中心服务器的安全防护系统包括了访问控制机制、身份认证、加密系统和入侵检测系统。利用通用的各种网络安全防护技术保护网控中心服务器的安全,特别是对远程用户到本地的非授权访问R2L和非授权获得超级用户权限攻击U2R这两大类攻击的防范。(b)地球站异常行为检测子系统实现了基于网控的卫星通信网异常检测方法,主要包括审计数据的异常检测和各个地球站发出的信令序列的异常检测。该子系统主要针对仿冒合法地球站对网控中心发起的各种攻击。攻击者在攻击了网控中心后,系统的审计记录中留下攻击者的攻击痕迹,通过聚类分析方法从海量的审计数据中发现异常行为,这种方法属于“事后分析”;信令序列异常检测模型学习正常地球站的行为,任何偏离正常地球站“轮廓”的信令序列将被认为是异常,实现基于地球站信令序列的异常检测。由于模型是监控所有地球站发出的信令序列,并进行检测,属于“实时监控”。(c)卫星通信控制信道安全包含了两个部分,即信道加密和信道抗干扰。(d)卫星通信网通用信令系统设计突出了信令的安全性设计,对卫星通信网遭遇的安全威胁和现有的安全措施进行分析,结合卫星通信网自身的特点,设计了安全通用的
5信令系统,并用协议验证的方法对安全性进行形式化分析。2、本发明基于网控的卫星通信网异常检测方法能够从事后分析和实时两个方面检测卫星通信网中地球站的行为异常并向用户发出异常告警。系统包括两个接口 数据获取接口和用户图形界面接口。数据获取接口包括数据库接口和UDP帧接口,负责从ORACLE 数据库和UDP帧获取供训练和检测数据;用户图形接口是系统提供给用户的一个可视化人机接口,用户可以通过这个接口对系统进行实时监控,同时可以更改系统参数配置。本发明基于网控的卫星通信网异常检测方法由以下七个核心模块实施,如图2所示(a)数据获取预处理模块,从数据采集接口获取检测数据,并对其进行标准化、归一化的数据预处理,形成标准的、能够被聚类分析和实时训练检测处理的数据,然后根据用户选择,可以将产生的标准数据保存于文件或数据库中;(b)模式匹配知识库建模,根据地球站用户行为的规律性和确定性,统计出地球站用户行为一些简单模式,存储为知识库;(c)模式匹配知识库检测,实时获取通信数据,与地球站用户行为进行匹配比较, 发现不同于模式匹配知识库中的行为模式,则认为是异常,将结果输入到图形用户界面模块处理;(d)审计检测模块,运用典型聚类算法FCM对网控中心数据库中记录的大量审计数据进行聚类分析,发现异常行为;(e)HMM建模,通过与卫星通信系统的接口,实时获取地球站与网控中心通信的信令,通过隐马尔科夫算法学习,得到状态转移矩阵和可见符合转移矩阵,建立基于正常信令序列的HMM检测模型。(f)HMM模型检测,在建立了基于正常信令序列的模型基础上,通过网络接口,实时获取某个地球站在一段工作时间内的通信信令序列,经过数据预处理,得到经过简易编码的信令短序列,用分类器对短序列进行检测,得到检测结果,输入图形用户界面模块处理。(g)图形用户界面,接收模式匹配、审计检测和HMM实时检测模块的检测结果,然后通过图表等直观易懂的图形化表示方式将各个检测结果显示出来,提供用户设置系统参数的接口,以及提供接受人工干预并将干预结果反馈到系统中的接口。本发明基于网控的卫星通信网异常检测方法从审计记录和实时信令序列两个方面,并辅助模式匹配对系统进行检测,其工作流程如图3所示。系统一方面从网控中心数据库中抽取审计记录,经过数据预处理后得到用于聚类分析的数值化数据,经过聚类分析,得到对历史审计数据的检测结果;经过对数据库中数据的采集,通过模式匹配算法的学习,建立模式库,然后通过系统与网络管理系统的接口,获取数据帧,将数据帧中相应的数据字段与模式库进行匹配,如果不匹配,表明有异常发生,如果出现误判,操作员可以干预系统,让该误判记录增加到模式库中;另一方面,异常检测系统通过与网管系统接口,获取地球站与网控通信的信令,经过数据预处理后得到用于训练分类器的正常信令序列和被检测的信令短序列,采用隐马尔科夫算法,对正常信令序列进行学习,得到基于正常信令序列的单类分类器,得到分类器后,将实时获取的信令短序列进行检测,如果操作员发现检测结果有误, 可以将新出现的序列增加入训练序列中对分类器进行重新训练,得到更新后的训练器。3、本发明基于网控的卫星通信网异常检测方法中的基于审计数据的异常检测从网控数据库中抽取描述地球站行为的审计记录,经过数据预处理后,得到用于
聚类分析的数值化数据,利用数据挖掘技术中模糊C均值(FCM)聚类算法,对卫星通信网正常的审计数据进行学习,通过计算历史审计数据偏离各个正常样本聚类模式的程度,得到对历史审计数据的检测结果,建立了异常检测机制。通过聚类分析等机器学习方法从海量的审计数据中发现异常行为属于“事后分析”。模糊c均值聚类(FCM)假定每个样本都是“模糊”隶属于某一类的,既可以属于
一类,也可以属于另一类。令Z = ^5XyyiJcF (其中Rs为数据集),且U= IuiJ
cXn e Mfm(其中 Mfm 为划分矩阵),聚类中心 ν = {Vl,V2,…,v。},vieRs;l<m< + -, 2彡c < n,则FCM的全局目标函数定义如下
权利要求
1.一种基于网控的卫星通信网异常检测方法,其特征在于设置于卫星通信网安全防护的总体框架中,实现审计数据异常和信令序列异常的检测,包括数据获取预处理模块、审计检测模块、基于通信信令建模模块、HMM模型检测模块、模式匹配知识库建模模块、模式匹配知识库检测模块和图形用户界面模块,其中数据获取预处理模块从数据采集接口获取检测数据,并进行预处理,输出给其他各模块使用;审计检测模块运用典型聚类算法FCM对大量审计数据进行聚类分析,实现事后分析;基于通信信令建模对信令抽取、编码,通过隐马尔科夫算法学习,建立基于正常信令序列的HMM检测模型;HMM模型检测模块在建立了基于正常信令序列的模型基础上,通过网络接口,实时获取某个地球站在一段工作时间内的通信信令序列,经过数据预处理,得到经过简易编码的信令短序列,用分类器对短序列进行检测,得到检测结果,输入图形用户界面模块处理,实现实时检测;模式匹配知识库建模根据地球站用户行为的规律性和确定性,统计出地球站用户行为简单模式,存储为知识库,在模式匹配知识库检测模块检测时通过实时获取通信数据,与地球站用户行为进行匹配比较, 发现不同于知识库中的行为模式,则认为是异常,将结果输入到图形用户界面模块处理。
2.根据权利要求1所述的基于网控的卫星通信网异常检测方法,其特征在于基于审计数据的异常检测,从网控数据库中抽取描述地球站行为的审计记录,经过数据预处理后,得到用于聚类分析的数值化数据,利用数据挖掘技术中模糊C均值聚类算法,对卫星通信网正常的审计数据进行学习,通过计算历史审计数据偏离各个正常样本聚类模式的程度,得到对历史审计数据的检测结果,建立了异常检测机制。
3.根据权利要求1所述的基于网控的卫星通信网异常检测方法,其特征在于基于通信信令的异常检测采用典型的单类分类器检测方法-支持向量数据描述,用正常的信令训练序列对选择好的模型进行训练,得到训练好的分类器模型,用测试信令序列对训练好的分类器模型进行测试,如果分类器精度达到要求,则训练结束;否则对分类器进行参数调整, 重新进行测试。
4.根据权利要求1所述的基于网控的卫星通信网异常检测方法,其特征在于基于通信信令的异常检测采用隐马尔科夫模型,通过对地球站正常用户行为所产生信令,经过简化编码处理,得到符号化的信令序列,然后Baum-Welch算法估计得到模型的参数,完成对隐马尔科夫模型的建模,模型建立后,再从网控中心读取正常通信信令和异常通信信令,编码符号化之后,用长度为K的滑动窗口对信令序列进行分割,滑动窗口步进向后移动一位,假设测试序列长为T,则短序列集包含(T-K+1)个长为K的短序列,用隐马尔科夫模型求得每个测试短序列的输出概率,如果测试短序列的输出概率小于给定阈值θ,则将该短序列标定为“不匹配”,计数器加1,测试的数据中不匹配的短序列数与总短序列数的比值定义为异常度,当异常度超过另一给定阈值ε时,则认为通信信令异常,给出报警信息。
全文摘要
本发明公开了一种基于网控的卫星通信网异常检测方法,利用模糊C均值聚类算法对正常审计数据进行学习,建立异常检测机制,实现了异常事件的事后分析;运用支持向量数据描述单分类器,总结出正常和异常短序列,并用隐马尔科夫模型对整个时间段的全部地球站通信信令进行异常检测,实现了基于通信信令的实时检测;利用上述两个方法,实现了基于网控的卫星通信网异常检测原型系统。本发明事后分析方法能适应大规模数据,漏报和误报率低,实时检测方法具有优良的检测性能,并且检测信令时间很短,反应速度很快,能够实现在线检测的目标,增强信令系统的安全。
文档编号H04B7/185GK102487293SQ20101057405
公开日2012年6月6日 申请日期2010年12月6日 优先权日2010年12月6日
发明者倪桂强, 潘志松, 王琼, 端义锋, 胡谷雨, 袁伟伟, 谢钧 申请人:中国人民解放军理工大学