[发明专利]基于网控的卫星通信网异常检测方法

说明书

技术领域

本发明属于卫星通信网异常检测技术，特别是一种基于网控的卫星通信网异常检测方法。

背景技术

随着计算机和通信技术的不断发展，使用未知的新方法对计算机和网络进行入侵越来越严重，这就使得异常检测的地位越发的重要。异常检测是入侵检测的一个分支，入侵是指任何试图危害资源完整性、保密性和可用性的活动集合。异常检测的前提假设是入侵者的活动与正常主体的活动是不一样的，能够相互区别开，然后将这种“不一样”、“相互区别”作为判断是否是入侵行为的依据。一般方法是建立一个对应“正常活动”的系统或用户的正常缩影，检测入侵活动时，异常检测程序产生当前的活动缩影并同正常缩影比较，如果比较结果发生偏离程度超过某个阈值即认为是入侵，从而触发相应机制。异常检测与系统的相关性较小，因此其通用性好，最大的优点就是能够检测出当前还未知的入侵行为。

异常检测技术主要可以分为四大类：

(1)基于统计的异常检测技术

该技术是根据异常检测器观察主体的活动，然后产生刻画这些活动的行为的轮廓。每一个轮廓保存记录主体当前行为，并定时地将当前的轮廓与存储的轮廓合并。通过比较当前的轮廓与已存储的轮廓来判断异常行为。该技术发展最早，也是最成熟和已经实用的异常检测技术。但是该技术也存在一些缺点：阈值难以确定，太低或太高容易出现虚警或者漏警；对利用事件顺序关系的攻击难以检测。

(2)基于预测模式异常检测技术

该方法的假设条件是事件序列不是随机的而是遵循可辨别的模式，这种检测方法的特点是考虑了事件的序列及相互联系。Teng和Chen给出基于时间的归纳方法TIM(the Time-based Inductive Machine)，利用时间规则来识别用户行为正常模式的特征。通过归纳学习产生这些规则集，并能动态地修改系统中这些规则，使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地运用预测所观察到的数据，那么规则就具有高可信度。此方法的缺点是计算量比较大，也容易导致高的虚警率。

(3)基于系统调用的异常检测技术

Forrest等人认为一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征，与这些模式的偏离可认为是异常。方法基于程序执行时的两个特点：一个程序正常执行时其执行迹具有局部一致性和异常发生时产生有别于正常时的局部模式。采用这种技术的典型方法是由Forrest等人提出的时延嵌入序列方法，就是预先给定长度为K的连续序列来构造程序正常行为轮廓，检测时将待检测程序执行迹与正常轮廓的序列比较，当不匹配的执行迹序列个数超过阈值时，就认为是异常。该方法分析建模比较简单，但是主要缺点是不能检测出合作攻击与盗用者。

(4)基于人工智能的异常检测技术

将人工智能技术运用到异常检测中，能够提高异常检测的性能。主要包括人工神经网络技术、数据挖掘技术和人工免疫技术。

基于人工神经网络技术：人工神经网络中每个神经元的结构和功能是相对简单和有限的，但正是这些众多结构简单、功能有限的神经元的“微观”活动，构成了复杂的“宏观效应”——能完成各种复杂的信息识别和任务处理。目前，神经网络已有多种模型在IDS中应用。只要提供系统的审计迹(Audit traces)数据，神经网络就可以通过自学习从中提取正常的用户或系统活动的特征模式，而不需要获取描述用户行为特征集以及用户行为特征测度的统计分布。但是，计算量比较大。

基于数据挖掘技术：Wenke Lee和Salvatore.J.Stolfo将数据挖掘技术应用到入侵检测研究领域中。其研究的目标是尽可能地减少在建立一个入侵检测系统中的手工和经验成分。这里采用以数据为中心的观点，把入侵检测问题看做是一个数据分析的过程。但是，对于实时入侵检测则还存在问题，需要开发出有效的数据挖掘算法和相适应的分布式体系。

基于人工免疫技术：对于基于人工免疫系统的入侵检测系统模型的研究，有两个方向。一是针对主机系统关键调用执行序列监测的免疫模型；另一个是针对网络数据的免疫模型。由于免疫系统具有分布式、多样性、记忆性、可扩充性等特点，可以利用这些特点建立分布式、高效和自组织的入侵检测模型。其缺点是目前还没有一套完善的人工免疫的理论体系，也没有较有效的抗原识别算法。