CN108600258A - 一种面向综合电子系统自生成白名单的安全审计方法 - Google Patents
一种面向综合电子系统自生成白名单的安全审计方法 Download PDFInfo
- Publication number
- CN108600258A CN108600258A CN201810434900.5A CN201810434900A CN108600258A CN 108600258 A CN108600258 A CN 108600258A CN 201810434900 A CN201810434900 A CN 201810434900A CN 108600258 A CN108600258 A CN 108600258A
- Authority
- CN
- China
- Prior art keywords
- electronic system
- white list
- integrated electronic
- self
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种面向综合电子系统自生成白名单的安全审计方法,完成对综合电子系统内部数据的流量审计,实现对数据的重点管控,共有三个步骤:步骤1:自生成白名单,利用系统正常流量,使用Gini指数和综合电子系统属性泛化相结合的方法自生成白名单,存储至白名单库;步骤2:流量审计,获取实时综合电子系统流量,进行流量分析,并将提取的综合电子系统属性信息匹配白名单库,若匹配成功,则数据正常,若匹配不成功,则数据异常,发出警告;步骤3:将审计结果记录到日志,用于更新白名单库。本发明仅使用白名单的安全审计方法满足综合电子系统资源有限的状况,十分有效检测综合电子系统内部子系统被策反、子系统被破坏等情况。
Description
技术领域
本发明属于综合电子系统安全流量审计技术领域,特别涉及一种面向综合电子系统自生成白名单的安全审计方法。
背景技术
综合电子系统广泛应用于通信卫星、民航飞机、装甲车辆等领域。就通信卫星而言,国内外通信卫星使用综合电子信息系统不仅实现传统的遥测、遥控、电源等功能,并且将姿态与轨道控制分系统、热控分系统、能源分系统、结构分系统等整合,完成姿态和轨道控制、热控管理、火工品管理、天线控制等功能,并为平台和有效载荷提供全面、综合的服务与管理,由此可见,综合电子系统是通信卫星的核心部件,其安全性至关重要。
综合电子系统内部无加密机制、设计简单、使用元器件大众化等特点使其存在很多安全威胁。国内外对综合电子系统的安全防护技术停留在综合电子系统的可靠性。目前,国内外对综合电子系统的安全防护方法是通过提高应用综合电子系统的系统安全性达到间接提升综合电子系统安全性的目的。例如:通信卫星的防护技术表现为卫星网络信道抗干扰技术、指令传输的隐藏技术、网络系统的访问控制、防火墙等技术。
但目前这些技术不能直接满足综合电子系统总线数据安全。针对综合电子系统总线数据安全,自生成白名单的安全审计方法可全面检测综合电子系统的内部攻击及外部攻击,提高综合电子系统的安全性。
自生成白名单的安全审计方法已应用于很多领域,例如:web服务器前后台关联审计、网络流量审计、工控流量审计等。但由于星载综合电子系统具有计算资源、内存资源有限、CPU型号多样等特点,传统自生成白名单的安全审计方法无法满足综合电子系统的安全需求。面向综合电子系统针对总线的自生成白名单的安全审计方法,可从根本提高综合电子系统安全性。
发明内容
本发明的面向综合电子系统自生成白名单的安全审计方法,包括下述步骤:
步骤1:获取综合电子系统正常流量,使用Gini指数和综合电子系统属性泛化相结合的方法自生成白名单,存储至白名单库;
步骤2:获取综合电子系统流量,进行流量分析,提取综合电子系统属性信息,使用提取的属性信息和白名单库进行匹配,得到审计结果;
步骤3:将审计结果记录日志,用于更新白名单库。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述步骤1中的综合电子系统属性具体指总线上通讯数据特征,包括但不仅限于数据包访问的目的子地址、方式代码、总线流量大小、数据包传输的频率。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述步骤1中的Gini指数为衡量综合电子系统属性出现的频率,具体计算方式为:
Gini(D,A)=|D1|/|D|*Gini(D1)+|D2|/|D|*Gini(D2) (2)
D为样本集合,K表示综合电子系统的属性个数,Ck是集合D中属于第k个属性的样本子集,Gini(D,A)表示在特征A的条件下集合D的Gini指数,D1表示特征A的条件下属于正常类别的数据集,D2表示在特征A的条件下属于异常类的数据集。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述步骤1中Gini指数和综合电子系统属性泛化相结合的方法具体步骤为:
步骤A1:定义综合电子系统属性,包括但不仅限于目的子地址、方式代码、数据包传输频率、总线流量;
步骤A2:对每个属性定义Gini指数的阈值θ,并获取综合电子系统正常数据流量;
步骤A3:在正常的数据流量中,对每一个属性值求解该属性值的Gini指数,当该属性值的Gini指数小于阈值θ时,将该属性值泛化至正常白名单。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述白名单库需要定期更新,具体步骤为:
步骤B1:获取日志记录的数据,使用深度学习方法进行自学习;
步骤B2:利用自学习生成的新白名单更新白名单库。
本发明的面向综合电子系统自生成白名单的安全审计方法,步骤B1所述深度学习方法包括但不仅限于神经网络、自编码器。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述步骤2中的匹配白名单库的方法包含但不仅限于模式匹配法。
本发明的面向综合电子系统自生成白名单的安全审计方法,所述综合电子系统结构包括但不仅限于中央管理单元(Central Management Unit,CMU)(也称主控终端、卫星管理单元)、一级总线(包括但不仅限于1553B总线、Space Wire总线)、综合业务单元(也称一级总线的子系统)、二级总线(包括但不仅限于UART总线、CAN总线)、感知单元。
本发明的有益效果在于:
全面提高综合电子系统数据安全性,有效防止内部攻击、外部攻击及误操作的情况。
自生成白名单和自学习更新白名单相比传统安全审计方法,减化人工定义白名单的工作。
仅使用白名单的安全审计方法满足综合电子系统资源有限的状况,十分有效检测综合电子系统内部子系统被策反、子系统被破坏等情况。
附图说明:
图1为本发明流程图;
图2为本发明关于子地址属性的白名单生成流程图;
图3为本发明更新白名单示意图。
具体实施方式:
结合以下具体实施例和附图,对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公知常识,本发明没有特别限制内容。
实施例
以通信数据基于1553B总线的综合电子系统为例,对面向综合电子系统自生成白名单的安全审计方法步骤作具体说明:
面向综合电子系统自生成白名单的安全审计方法具体流程如图1所示,首先,获取综合电子系统正常流量,使用Gini指数和综合电子系统属性泛化相结合的方法自生成白名单,存储至白名单库;其次,获取综合电子系统流量,进行流量分析,提取综合电子系统属性信息,使用提取的属性信息和白名单库进行匹配,得到审计结果;最后,将审计结果记录日志;
第一阶段:自生成白名单
定义综合电子系统属性,包括:子地址、方式代码、总线流量大小、数据包传输的频率等,定义每个属性值的Gini指数阈值θ,获取综合电子系统中总线正常流量数据,进行白名单的生成。
Gini指数的计算方法为:
Gini(D,A)=|D1|/|D|*Gini(D1)+|D2|/|D|*Gini(D2) (2)
D为样本集合,K表示综合电子系统的属性个数,Ck是集合D中属于第k个属性的样本子集,Gini(D,A)表示在特征A的条件下集合D的Gini指数,D1表示特征A的条件下属于正常类别的数据集,D2表示在特征A的条件下属于异常类的数据集。
就子地址属性举例来说,首先获取正常1553B总线通讯数据,接着提取每一个数据包的子地址属性,对于每一个目的子地址,根据阈值泛化目的子地址,然后,将泛化后的结果转化为白名单规则,最后将白名单存储至白名单数据库中,流程图如图2所示。
第二阶段:流量审计
流量分析:包括协议解析模块
协议分析首先将输入数据包视为具有严格定义格式的数据流,通过预处理模块解析,解析的主要工作是将数据包去头,将一个消息的一组数据包的有效数据拼接成有效的消息数据,利用有效的消息数据进行检测。
模式匹配:白名单库预先定义的若干协议字段,通过流量分析之后,总线上的数据包被彻底解码,通过白名单库检查当前数据包中协议字段值是否符合1553B协议定义的期望值或处于合理范围之内。如果当前所检查的某个协议字段里,包含了非期望的不合理赋值,则系统认为当前数据包为非法流量,则进行预警。
模式匹配采用BM(Boyer-Moore)算法,BM算法是在匹配的过程中采用了从后向前对模式串后缀进行比较的策略。在完成一次尝试包括匹配失败或成功后,利用预处理好的坏字符移动表与好后缀移动表来确定模式串的后移距离,即应用两种启发式规则,坏字符规则和好后缀规则,两种规则决定向后跳跃的距离。
BM算法实际上包含两个并行的算法,坏字符算法和好后缀算法。这两种算法的目的就是让模式串每次向右移动尽可能大的距离(j+=x,x尽可能的大)。
BM算法的两个基本定义为坏字符规则和好后缀规则。坏字符规则为:当出现一个坏字符时,BM算法向右移动模式串,让模式串中最靠右的对应字符与坏字符相对,然后继续匹配。坏字符算法有两种情况。模式串中不存在坏字符,则直接向后移动模式串的长度。模式串中有对应的坏字符时,坏字符p在模式串中,则从模式串最右侧开始,找到第一个对应字符p,然后让主串中的这个p字符和模式串右侧开始第一个字符串b对齐。
算法分别根据好后缀移动方式与坏字符移动方式计算所得到的移动值创建好后缀移动表和坏字符移动表。在算法运行时,通过查找这两个移动表,并对所得结果进行比较,用移动距离的较大值来向后移动模式的尝试位置。
第三阶段:日志记录
将审计结果记录日志。
白名单库需要定期更新,白名单库的更新步骤为:首先获取日志记录的数据,使用深度学习方法进行自学习;然后,利用自学习生成的新白名单更新白名单库;
本实施例中采用神经网络自动学习特征,构建白名单,如图3所示。激活函数采用Relu函数,噪声是符合[0,1)的均匀分布采样的随机数。
Claims (9)
1.一种面向综合电子系统自生成白名单的安全审计方法,其特征在于,包括下述步骤:
步骤1:获取综合电子系统正常流量,使用Gini指数和综合电子系统属性泛化相结合的方法自生成白名单,存储至白名单库;
步骤2:获取综合电子系统流量,进行流量分析,提取综合电子系统属性信息,使用提取的属性信息和白名单库进行匹配,得到审计结果;
步骤3:将审计结果记录日志,用于更新白名单库。
2.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述步骤1中的综合电子系统属性包括但不仅限于数据包访问的目的子地址、方式代码、总线流量大小、数据包传输的频率。
3.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述步骤1中的Gini指数为衡量综合电子系统属性出现的频率,具体计算方式为:
Gini(D,A)=|D1|/|D|*Gini(D1)+|D2|/|D|*Gini(D2) (2)
D为样本集合,K表示综合电子系统的属性个数,是集合D中属于第k个属性的样本子集,Gini(D,A)表示在特征A的条件下集合D的Gini指数,D1表示特征A的条件下属于正常类别的数据集,D2表示在特征A的条件下属于异常类的数据集。
4.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述步骤1中Gini指数和综合电子系统属性泛化相结合的方法具体步骤为:
步骤A1:定义综合电子系统属性,包括但不仅限于目的子地址、方式代码、数据包传输频率、总线流量;
步骤A2:对每个属性定义Gini指数的阈值θ,并获取综合电子系统正常数据流量;
步骤A3:在正常的数据流量中,对每一个属性值求解该属性值的Gini指数,当该属性值的Gini指数小于阈值θ时,将该属性值泛化至正常白名单。
5.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述白名单库需要定期更新,具体步骤为:
步骤B1:获取日志记录的数据,使用深度学习方法进行自学习;
步骤B2:利用自学习生成的新白名单更新白名单库。
6.根据权利要求5所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,步骤B1所述深度学习方法包括但不仅限于神经网络、自编码器。
7.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述步骤2中的属性信息和白名单库进行匹配,包括但不仅限于模式匹配法。
8.根据权利要求1所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述综合电子系统结构包括但不仅限于中央管理单元即主控终端或卫星管理单元、一级总线综合业务单元即一级总线的子系统、二级总线、感知单元。
9.根据权利要求8所述的面向综合电子系统自生成白名单的安全审计方法,其特征在于,所述一级总线包括但不仅限于1553B总线、Space Wire总线;二级总线包括但不仅限于UART总线、CAN总线。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810434900.5A CN108600258A (zh) | 2018-05-09 | 2018-05-09 | 一种面向综合电子系统自生成白名单的安全审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810434900.5A CN108600258A (zh) | 2018-05-09 | 2018-05-09 | 一种面向综合电子系统自生成白名单的安全审计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108600258A true CN108600258A (zh) | 2018-09-28 |
Family
ID=63635925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810434900.5A Pending CN108600258A (zh) | 2018-05-09 | 2018-05-09 | 一种面向综合电子系统自生成白名单的安全审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600258A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111159715A (zh) * | 2019-12-24 | 2020-05-15 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN115314244A (zh) * | 2022-06-27 | 2022-11-08 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649312A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于序列模式挖掘的程序级入侵检测系统和方法 |
| CN101344941A (zh) * | 2008-08-21 | 2009-01-14 | 河北全通通信有限公司 | 4a管理平台中的智能审计决策树生成方法 |
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| ES2393501A1 (es) * | 2010-09-03 | 2012-12-21 | Telefónica, S.A. | Método y sistema para clasificación de tráfico. |
| CN103530540A (zh) * | 2013-09-27 | 2014-01-22 | 西安交通大学 | 基于人机交互行为特征的用户身份属性检测方法 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
| CN107508831A (zh) * | 2017-09-21 | 2017-12-22 | 华东师范大学 | 一种基于总线的入侵检测方法 |
-
2018
- 2018-05-09 CN CN201810434900.5A patent/CN108600258A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649312A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于序列模式挖掘的程序级入侵检测系统和方法 |
| CN101344941A (zh) * | 2008-08-21 | 2009-01-14 | 河北全通通信有限公司 | 4a管理平台中的智能审计决策树生成方法 |
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| ES2393501A1 (es) * | 2010-09-03 | 2012-12-21 | Telefónica, S.A. | Método y sistema para clasificación de tráfico. |
| CN103530540A (zh) * | 2013-09-27 | 2014-01-22 | 西安交通大学 | 基于人机交互行为特征的用户身份属性检测方法 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
| CN107508831A (zh) * | 2017-09-21 | 2017-12-22 | 华东师范大学 | 一种基于总线的入侵检测方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111159715A (zh) * | 2019-12-24 | 2020-05-15 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN111159715B (zh) * | 2019-12-24 | 2023-11-14 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN115314244A (zh) * | 2022-06-27 | 2022-11-08 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
| CN115314244B (zh) * | 2022-06-27 | 2023-10-10 | 深圳开源互联网安全技术有限公司 | 一种白名单安全防护方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297435B (zh) | 一种基于web日志的异常访问行为检测方法与系统 | |
| CN107481019A (zh) | 订单欺诈识别方法、系统、存储介质和电子设备 | |
| CN112035841B (zh) | 一种基于专家规则与序列化建模的智能合约漏洞检测方法 | |
| CN109672674A (zh) | 一种网络威胁情报可信度识别方法 | |
| CN109522342A (zh) | 公安警务管理方法、装置、设备和存储介质 | |
| CN110457404A (zh) | 基于复杂异质网络的社交媒体账户分类方法 | |
| CN110427754A (zh) | 网络应用攻击检测方法、装置、设备及存储介质 | |
| CN112199677A (zh) | 一种数据处理方法和装置 | |
| CN108600258A (zh) | 一种面向综合电子系统自生成白名单的安全审计方法 | |
| CN109241068A (zh) | 前后台数据比对的方法、装置及终端设备 | |
| CN104123503B (zh) | Sat问题求解外包过程中的cnf公式数据保护方法 | |
| CN110532480B (zh) | 一种用于人读威胁情报推荐的知识图谱构建方法及威胁情报推荐方法 | |
| CN107526968A (zh) | 一种基于语法分析的sql防注入方法和装置 | |
| CN108111526A (zh) | 一种基于异常whois信息的非法网站挖掘方法 | |
| CN109492219A (zh) | 一种基于特征分类和情感语义分析的诈骗网站识别方法 | |
| CN108881316B (zh) | 一种天地一体化信息网络下攻击回溯的方法 | |
| CN110022293A (zh) | 一种电网信息物理融合系统风险评估方法 | |
| CN105024987A (zh) | 一种web业务日志的监测方法和装置 | |
| CN105376223A (zh) | 网络身份关系的可靠度计算方法 | |
| CN107943882A (zh) | 基于边扩散性K‑truss分解方法的网络重要节点识别方法 | |
| CN117240575A (zh) | 网络攻击数据处理方法、装置、设备及介质 | |
| CN101526947A (zh) | 应用正则表达式防sql注入技术 | |
| CN109408671A (zh) | 特定目标的搜索方法及其系统 | |
| CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
| CN107562720A (zh) | 一种电力信息网络安全联动防御的告警数据匹配方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180928 |
|
| WD01 | Invention patent application deemed withdrawn after publication |