[发明专利]基于网控的卫星通信网异常检测方法

权利要求书

1.一种基于网控的卫星通信网异常检测方法，其特征在于设置于卫星通信网安全防护的总体框架中，实现审计数据异常和信令序列异常的检测，包括数据获取预处理模块、审计检测模块、基于通信信令建模模块、HMM模型检测模块、模式匹配知识库建模模块、模式匹配知识库检测模块和图形用户界面模块，其中数据获取预处理模块从数据采集接口获取检测数据，并进行预处理，输出给其他各模块使用；审计检测模块运用典型聚类算法FCM对大量审计数据进行聚类分析，实现事后分析；基于通信信令建模对信令抽取、编码，通过隐马尔科夫算法学习，建立基于正常信令序列的HMM检测模型；HMM模型检测模块在建立了基于正常信令序列的模型基础上，通过网络接口，实时获取某个地球站在一段工作时间内的通信信令序列，经过数据预处理，得到经过简易编码的信令短序列，用分类器对短序列进行检测，得到检测结果，输入图形用户界面模块处理，实现实时检测；模式匹配知识库建模根据地球站用户行为的规律性和确定性，统计出地球站用户行为简单模式，存储为知识库，在模式匹配知识库检测模块检测时通过实时获取通信数据，与地球站用户行为进行匹配比较，发现不同于知识库中的行为模式，则认为是异常，将结果输入到图形用户界面模块处理。

2.根据权利要求1所述的基于网控的卫星通信网异常检测方法，其特征在于基于审计数据的异常检测，从网控数据库中抽取描述地球站行为的审计记录，经过数据预处理后，得到用于聚类分析的数值化数据，利用数据挖掘技术中模糊C均值聚类算法，对卫星通信网正常的审计数据进行学习，通过计算历史审计数据偏离各个正常样本聚类模式的程度，得到对历史审计数据的检测结果，建立了异常检测机制。

3.根据权利要求1所述的基于网控的卫星通信网异常检测方法，其特征在于基于通信信令的异常检测采用典型的单类分类器检测方法-支持向量数据描述，用正常的信令训练序列对选择好的模型进行训练，得到训练好的分类器模型，用测试信令序列对训练好的分类器模型进行测试，如果分类器精度达到要求，则训练结束；否则对分类器进行参数调整，重新进行测试。

4.根据权利要求1所述的基于网控的卫星通信网异常检测方法，其特征在于基于通信信令的异常检测采用隐马尔科夫模型，通过对地球站正常用户行为所产生信令，经过简化编码处理，得到符号化的信令序列，然后Baum-Welch算法估计得到模型的参数，完成对隐马尔科夫模型的建模，模型建立后，再从网控中心读取正常通信信令和异常通信信令，编码符号化之后，用长度为K的滑动窗口对信令序列进行分割，滑动窗口步进向后移动一位，假设测试序列长为T，则短序列集包含(T-K+1)个长为K的短序列，用隐马尔科夫模型求得每个测试短序列的输出概率，如果测试短序列的输出概率小于给定阈值θ，则将该短序列标定为“不匹配”，计数器加1，测试的数据中不匹配的短序列数与总短序列数的比值定义为异常度，当异常度超过另一给定阈值ε时，则认为通信信令异常，给出报警信息。