CN109784040A - 一种面向综合电子系统的误用检测方法 - Google Patents
一种面向综合电子系统的误用检测方法 Download PDFInfo
- Publication number
- CN109784040A CN109784040A CN201811501105.XA CN201811501105A CN109784040A CN 109784040 A CN109784040 A CN 109784040A CN 201811501105 A CN201811501105 A CN 201811501105A CN 109784040 A CN109784040 A CN 109784040A
- Authority
- CN
- China
- Prior art keywords
- data
- electronic system
- integrated electronic
- feature
- misuse detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向综合电子系统的误用检测方法,该方法包括:1)建立误用检测模型,形成集合分类器;2)获取综合电子系统实时通信数据并进行预处理;3)用特征分解法对数据进行特征分解,得到误用检测模型中选取的重要特征;4)集合分类器对所有含有重要特征的数据进行检测,若数据正常,则让消息通过,否则停止总线传输此数据,阻止此次入侵。本发明可置于综合电子系统内部,能够有效检测重放攻击、伪造攻击、拒绝服务攻击等多种攻击。使用N‑gram分解子特征和特征选择的方法比人工定义更为全面,更为科学,有效地提高了检测率。
Description
技术领域
本发明属于综合电子系统信息安全技术领域,特别涉及一种面向综合电子系统的轻量级误用检测方法。
背景技术
综合电子系统(integrated electronic system)广泛应用于通信卫星、装甲车辆、民航飞机等。综合电子系统采用计算机网络技术,用数据总线将设备的各个子系统相连,形成分布式数据总线网络。综合电子系统将多种不同的功能模块整合组成完整的系统。在统一的任务调度和管理下,完成整个设备的所有信息管理功能,实现信息指令资源共享。
以通信卫星为例。综合电子系统是通信卫星的核心部件,是军事信息的关键。在军事方面,对战争的双方来说,信息优势至关重要。通信卫星作为飞行在公共介质中的智能装置,具有较差的保密性。在信息技术方面的脆弱性表现为:信道的开放性、平台的标准化、技术的开放性、元器件的大众化,以及认识的局限性。
目前综合电子系统安全防护技术主要体现在两大方面,其一是加密认证技术,其二是入侵检测技术。加密技术可对综合电子系统内部数据加密,防止侦听,认证技术对系统内发起的通信双方合法身份进行认证,分级认证技术可实现系统内部的分级访问。认证技术不能防范系统内发生的所有攻击,如:拒绝服务攻击等。更重要的是,当攻击者可完全访问系统存储在RAM或FLASH的任何数据时,包括用于实现安全机制的数据(例如,共享密钥),那么加密认证等技术将不能保证系统的安全。入侵检测技术可弥补上述缺陷,全面检测系统内部发生的诸如篡改数据、伪造数据、重放攻击、拒绝服务等攻击,也可检测系统外部攻击对系统的影响和误操作,从而提高综合电子系统内部安全性。
但目前入侵检测安全技术在卫星的应用仅停留在网络级的入侵检测,针对内部系统级的面向综合电子系统的入侵检测技术较少,还没有人提出基于误用检测的方法。
发明内容
本发明的目的提供一种面向综合电子系统的误用检测方法,该方法对已知攻击检测准确率很高,对比现有异常检测方法,该方法可有效的减少误报率。
实现本发明目的的具体技术方案是:
一种面向综合电子系统的误用检测方法,该方法包括下述步骤:
步骤1:建立误用检测模型,形成集合分类器;具体包括:
步骤A1:获取综合电子系统原始通信数据并进行预处理;
步骤A2:使用特征分解法对获取的数据进行特征分解;
步骤A3:使用特征选择法选取重要特征;
步骤A4:将所有含有重要特征的数据分成训练集和测试集,形成集合分类器;其中,
所述步骤A1具体包括:
步骤B1:从综合电子系统的总线监控器上获取综合电子系统原始通信数据,获取的综合电子系统原始通信数据包括但不仅限于命令字、状态字、数据字、数据字长度和时间间隔;
步骤B2:对综合电子系统原始通信数据预处理包括:计算相同命令字的时间间隔,并对时间间隔和数据字长度进行离散化处理,对命令字、状态字进行独热编码操作;
所述步骤A3包括:
步骤C1:使用频率计数法计算子特征的数量,对正常数据类选取出现频率高的前数百个子特征,对攻击类,每个类选取前数百个最频繁的子特征;
步骤C2:使用随机森林选取重要特征;
步骤2:获取综合电子系统实时通信数据并进行预处理;
步骤3:使用特征分解法对数据特征进行分解,得到误用检测模型中选取的重要特征;其中,所述特征分解法包括且不仅限于N-gram语言模型;数据特征包括但不仅限于命令字序列、状态字序列、时间间隔和数据字长度;
步骤4:集合分类器对所有含有重要特征的数据进行检测,若数据正常,则让消息通过,否则停止总线传输此数据,阻止此次入侵。
本发明的有益效果在于:
提高了综合电子系统的安全性,保证了综合电子系统内部传输数据的完整性和可用性,能够有效抵御重放攻击、伪造攻击和拒绝服务攻击。
本发明使用N-gram分解子特征,并进行特征选择的方法相对于人工定义来说更为全面,更为科学。对每种类型的攻击找寻有效且唯一的攻击特征,形成每种攻击的唯一签名,通过这些特征判断综合电子系统攻击的发生。这样的检测方法对已知攻击检测准确率很高,对比异常检测,可有效减少误报率。
附图说明
图1为本发明的流程图;
图2为N-gram分解子特征举例示意图;
图3为Bagging集合框架图。
具体实施方式
结合以下具体实施例和附图,对本发明作进一步的详细说明。实施本发明的过程、条件、实验方法等,除以下专门提及的内容之外,均为本领域的普遍知识和公共常识,本发明没有特别限制内容。
本发明的综合电子系统包括但不限应用于通信卫星、民航飞机、坦克、装甲车辆。
实施例
以基于1553B总线的适用于通信卫星平台的综合电子系统为例,对面向综合电子系统的误用检测步骤作具体说明:
面向综合电子系统的误用检测方法,具体流程如图1所示。
第一阶段:预先建立误用检测模型
步骤A1:在自己搭建的仿真平台的总线监控器中获取综合电子系统原始通信数据,将这些通信数据分为四类,分别是正常数据,重放攻击数据、伪造攻击数据和拒绝服务攻击数据。本发明用到部分数据,有命令字、状态字、数据字、数据字长度、时间间隔等。需要对原始数据进行预处理:计算相同命令字所差的时间间隔,并对时间间隔和数据字长度进行离散化处理,对于命令字、状态字需要进行独热编码操作。
步骤A2:使用N-gram模型将数据分解为若干子特征。
在文本特征提取中,n-gram它是一种基于语言模型的算法,基本思想是将文本内容按照字节顺序进行大小为N的滑动窗口操作,最终形成长度为N的字节片段序列。一般在自然语言处理领域,N的常见取值范围是1-5,但在特征提取的研究方面N可取值到达10,且N值大的时候能带来好的效果,提供更加丰富的特征。N-gram模型在N=2时称为Bi-gram,N=3时称为Tri-gram。N-gram中的gram根据粒度不同,有不同的含义。它可以是字粒度,也可以是词粒度的。本实施例使用的是基于词粒度的。N-gram产生的特征只是作为特征的候选集,在下一步将筛选出重要特征。
这里以命令字序列为例展示N-gram分解过程,如图2所示,其中命令字序列<3 1581>是经过独热编码后的命令字,是四个命令字组成的序列,此时N取1,N-gram将其分解为(3),(3,15),(3,15,8),(3,15,8,1),(15),(15,8),(15,8,1)(8),(8,1),(1)共十个特征。
步骤A3:使用频率计数筛选特征。
用频率计数的方法,将每个类别的相同子特征数进行统计,选取频率较高的一些子特征,对正常数据类选取出现频率高的前280个子特征,对三个攻击类,每个类选取前150个最频繁的子特征。
步骤A4:使用随机森林方法选取重要特征。
构建随机森林方法如下:
a.使用BootStrap方法有放回的从原始数据集中抽取k个新的样本集每次未被抽到的样本组成k个袋外数据(Out Of Bag,OOB);
b.从所有特征中随机选择n个特征,构建k棵决策树;
c.重复以上两步m次,即生成m棵决策树,形成随机森林;
d.对于新数据,经过每棵树决策,最后投票确认分到哪一类。
在随机森林中某个特征X的重要性的计算方法如下:
a.对于随机森林中的每一颗决策树,使用相应的OOB(袋外数据)来计算它的袋外错误率,记为errOOB1;
b.随机地对袋外数据OOB所有样本的特征X加入噪声干扰(随机的改变样本在特征X处的值),再次计算它的袋外错误率,记为errOOB2;
c.假设随机森林中有k棵树,那么特征X的重要性=∑(errOOB2-errOOB1)/k
特征选择的步骤为:
a.对随机森林中的特征变量按照特征的重要性降序排序;
b.确定删除比例,从当前的特征变量中剔除相应比例不重要的指标,从而得到一个新的特征集;
c.用新的特征集建立新的随机森林,并计算特征集中每个特征的重要性,并排序;
d.重复以上步骤,直到剩下m个特征;
e.根据上述得到的每个特征集和它们建立起来的随机森林,计算对应的袋外错误率(OOB err),将袋外错误率最低的特征集作为最后选定的特征集。
其中袋外错误率解释如下:
假设袋外数据总数为Q,用这Q个袋外数据作为输入,带进之前已经生成的随机森林分类器,分类器会给出Q个数据相应的分类,因为这Q条数据的类型是已知的,则用正确的分类与随机森林分类器的结果进行比较,统计随机森林分类器分类错误的数目,设为X,则袋外错误率=X/Q。
步骤A5:将选取的包含重要特征的数据分为训练集和测试集,生成集合分类器。
第二阶段:误用检测
步骤B1:获取综合电子系统实时通信数据并进行预处理
在仿真平台获取综合电子系统实时通信数据,本实施例用到部分数据,主要有命令字、状态字、数据字、数据字长度、时间间隔等。需要对原始数据进行预处理:计算相同命令字所差的时间间隔,并对时间间隔和数据字长度进行离散化处理,对于命令字、状态字需要进行独热编码操作。
步骤B2:使用N-gram模型分解特征,得到误用检测模型中选取的重要特征;
步骤B3:使用Bagging框架的集合分类器进行误用检测。
根据误用检测模型中选取的重要特征将分解后的重要特征集提交到预先建立的误用检测器检测,若消息合法,则让消息通过,否则停止总线传输此消息,阻止此次入侵。集合分类器分类的准确率高于普通分类器,为减轻集合分类器所需的资源,保持方案的轻量性,集合分类器的基分类器采用逻辑回归和决策树。如图3所示,Bagging框架的集合分类器为有放回采样,对每个分类器,其特征集均不相同,图中Cm表示m个分类器,Pm表示m个分类器的预测值,最后采用简单多数投票法得到最终的预测值P。这里将综合电子系统多个攻击归为一类(异常类),将数据分为正常和异常两类。
Claims (5)
1.一种面向综合电子系统的误用检测方法,其特征在于,该方法包括以下具体步骤:
步骤1:建立误用检测模型,形成集合分类器;
步骤2:获取综合电子系统实时通信数据并进行预处理;
步骤3:使用特征分解法对数据特征进行分解,得到误用检测模型中选取的重要特征;
步骤4:集合分类器对所有含有重要特征的数据进行检测,若数据正常,则让消息通过,否则停止总线传输此数据,阻止此次入侵。
2.根据权利要求1所述的面向综合电子系统的误用检测方法,其特征在于,步骤1所述建立误用检测模型,具体包括:
步骤A1:获取综合电子系统原始通信数据并进行预处理;
步骤A2:使用特征分解法对获取的数据进行特征分解;
步骤A3:使用特征选择法选取重要特征;
步骤A4:将所有含有重要特征的数据分成训练集和测试集,形成集合分类器。
3.根据权利要求2所述的面向综合电子系统的误用检测方法,其特征在于,所述步骤A1具体包括:
步骤B1:从综合电子系统的总线监控器上获取综合电子系统原始通信数据,获取的综合电子系统原始通信数据包括但不仅限于命令字、状态字、数据字、数据字长度和时间间隔;
步骤B2:对综合电子系统原始通信数据预处理包括:计算相同命令字的时间间隔,并对时间间隔和数据字长度进行离散化处理,对命令字、状态字进行独热编码操作。
4.根据权利要求2所述的面向综合电子系统的误用检测方法,其特征在于,所述步骤A3包括:
步骤C1:使用频率计数法计算子特征的数量,对正常数据类选取出现频率高的前数百个子特征,对攻击类,每个类选取前数百个最频繁的子特征;
步骤C2:使用随机森林选取重要特征。
5.根据权利要求1所述的面向综合电子系统的误用检测方法,其特征在于,步骤3所述使用特征分解法对数据特征进行分解,其特征分解法包括且不仅限于N-gram语言模型;数据特征包括但不仅限于命令字序列、状态字序列、时间间隔和数据字长度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811501105.XA CN109784040B (zh) | 2018-12-10 | 2018-12-10 | 一种面向综合电子系统的误用检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811501105.XA CN109784040B (zh) | 2018-12-10 | 2018-12-10 | 一种面向综合电子系统的误用检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109784040A true CN109784040A (zh) | 2019-05-21 |
CN109784040B CN109784040B (zh) | 2023-05-12 |
Family
ID=66495775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811501105.XA Active CN109784040B (zh) | 2018-12-10 | 2018-12-10 | 一种面向综合电子系统的误用检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109784040B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110456765A (zh) * | 2019-07-29 | 2019-11-15 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108206826A (zh) * | 2017-11-29 | 2018-06-26 | 华东师范大学 | 一种面向综合电子系统的轻量级入侵检测方法 |
CN108733871A (zh) * | 2018-03-29 | 2018-11-02 | 华东师范大学 | 一种纯软件仿真总线通讯的方法 |
CN108764267A (zh) * | 2018-04-02 | 2018-11-06 | 上海大学 | 一种基于对抗式决策树集成的拒绝服务攻击检测方法 |
-
2018
- 2018-12-10 CN CN201811501105.XA patent/CN109784040B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108206826A (zh) * | 2017-11-29 | 2018-06-26 | 华东师范大学 | 一种面向综合电子系统的轻量级入侵检测方法 |
CN108733871A (zh) * | 2018-03-29 | 2018-11-02 | 华东师范大学 | 一种纯软件仿真总线通讯的方法 |
CN108764267A (zh) * | 2018-04-02 | 2018-11-06 | 上海大学 | 一种基于对抗式决策树集成的拒绝服务攻击检测方法 |
Non-Patent Citations (2)
Title |
---|
EHSAN AGHAEI等: ""Ensemble classifier for misuse detection using N-gram feature vectors through operating system call traces"", 《INTERNATIONAL JOURNAL OF HYBRID INTELLIGENT SYSTEMS》 * |
牛茜: ""基于FPGA的1553B总线监测系统的设计"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110456765A (zh) * | 2019-07-29 | 2019-11-15 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
CN110456765B (zh) * | 2019-07-29 | 2020-12-25 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109784040B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Min et al. | TR-IDS: Anomaly-based intrusion detection through text-convolutional neural network and random forest | |
Karatas et al. | Deep learning in intrusion detection systems | |
CN108566364B (zh) | 一种基于神经网络的入侵检测方法 | |
CN112182519B (zh) | 一种计算机存储系统安全访问方法及访问系统 | |
CN111881451B (zh) | 一种工业控制系统的漏洞关联挖掘方法 | |
CN106874951B (zh) | 一种旅客关注度评级方法及装置 | |
US11979425B2 (en) | Cybersecurity threat modeling and analysis | |
Makarova | Determining the choice of attack methods approach | |
Zheng et al. | Preprocessing method for encrypted traffic based on semisupervised clustering | |
CN109784040A (zh) | 一种面向综合电子系统的误用检测方法 | |
CN116506206A (zh) | 基于零信任网络用户的大数据行为分析方法及系统 | |
CN115840965A (zh) | 一种信息安全保障模型训练方法和系统 | |
CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 | |
Concepción-Sánchez et al. | Fuzzy logic system for identity theft detection in social networks | |
Veena et al. | Identification of Cyber Criminal by Analysing the Users Profile. | |
Shin et al. | Data discretization and decision boundary data point analysis for unknown attack detection | |
Nie et al. | The impact of joint responses of devices in an airport security system | |
Baldini | Multi scale histogram-based intrusion detection system for the MIL-STD-1553 protocol | |
Amaizu et al. | Two-Stage Classification Technique for Malicious DNS Identification | |
Hao et al. | Intelligent Awareness Method of Power 5G Network Security Situation Based on Neural Network and Fuzzy Theory | |
Andriishena et al. | Developing a methodological approach to assessing state information security | |
Vyas et al. | Extracting and Analyzing Factors to Identify the Malicious Conversational AI Bots on Twitter | |
Bing et al. | Application process of machine learning in cyberspace security | |
Sharma et al. | The Use of AI in Surveillance to Identify the Potential Threat of Terrorist Attacks | |
Senator | On the efficacy of data mining for security applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |