[发明专利]一种基于总线的入侵检测方法

说明书

本发明公开了一种基于总线的入侵检测方法，包括：收集总线数据：监听并收集总线传输数据；提取总线特征：利用总线的工作原理，在收集的总线数据中提取子系统使用总线频率，子系统总线信誉等总线特征；总线异常检测：将提取的特征提交到预先建立的总线异常检测器检测，若消息合法，则让消息通过，否则生成入侵事件，将此入侵事件提交到入侵事件过滤器，如果入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输此消息，阻止此次入侵。本发明可检测出多个子系统之间的攻击，可以有效的抵御重放攻击、伪造子系统攻击、拒绝服务等多种攻击。

技术领域

本发明属于入侵检测的技术领域，特别涉及一种提取总线特征和总线异常检测的可抵御重放攻击、伪造子系统攻击和拒绝服务攻击的入侵检测方法。

背景技术

目前，工业控制领域安全问题日益严峻，由于基础设施设备都是由物理信息系统构成，为了确保国家基础设施的正常运行，应当不遗余力的保护物理信息系统的安全。

物理信息系统的设计日益复杂，单一的系统设计已经无法满足日益增长的需求。将功能相同的模块集成一个独立的子系统，可以独立完成相应的功能。使用1553B等总线高效的将各个子系统整合在一起，逐渐形成了数据控制中心与各个功能的子系统通过总线相互协同的综合电子系统。

共享式总线通信本质上属于一种广播式的通信，即总线上的所有子系统都是共享通信信道的，只不过子系统根据通信协议来判断消息是否传输给自己。因此，为了确保总线上各个子系统通信的安全性，防止消息重放和消息伪造是非常重要的安全行为。因为通常情况下，各个子系统都可以监听到总线上传输的消息，如果这个子系统在集成时就被黑客植入了后门程序，那么这个子系统便可以做到监听其它子系统间的通信数据，在必要时刻可以伪造通讯，从而造成子系统处理伪造的通讯，达到黑客攻击的目的。传统的入侵检测方法按照检测数据进行分类分为基于主机的入侵检测和基于网络的入侵检测，但两种入侵检测方法无法抵御新环境下的各个子系统通过总线来进行的通讯的入侵，由于基于主机的检测方法是检测主机的审计日志，在子系统协同工作中，各个子系统都相当于一台主机，且子系统与控制中心属于应答系统，所以即使给所有的子系统都使用基于主机的方法来解决入侵问题，那么如果子系统检测到了入侵情况，由于需要等待控制中心的命令，所以控制中心无法立即获取到子系统的入侵情况。基于网络的检测方法是检测各个通讯主机之间的网络数据包，在子系统协同工作中的环境下，各子系统之间涉及总线通讯，并不涉及网络通信，所以基于网络的入侵检测在这里并不适用。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种基于总线的入侵检测方法,采用总线特征验证及可抵御重放攻击、伪造子系统攻击和拒绝服务攻击的入侵检测，在继承了共享式总线协议的效率性和鲁棒性的同时，为总线消息传输提供了安全保护，可以抵御重放攻击、伪造子系统攻击和拒绝服务攻击。

本发明提出了一种基于总线的入侵检测方法，包括如下阶段：

收集总线数据阶段：监听并收集总线传输数据；

提取总线特征阶段：利用总线的工作原理，在收集的总线数据中提取总线特征；

总线异常检测阶段：将提取的特征提交到预先建立的总线异常检测器检测，若消息合法，则让消息通过，否则生成入侵事件，将此入侵事件提交到入侵事件过滤器，如果入侵检测过滤器能过滤此入侵事件，则让消息通过，否则停止总线传输消息，阻止此次入侵。

本发明提出的所述基于总线的入侵检测方法中，所述收集总线数据阶段包括下述步骤：

步骤A1：所述监听并收集总线传输数据，实时监听总线，记录子系统在总线上传输的数据和子系统使用总线的时间。

本发明提出的所述基于总线的入侵检测方法中，所述提取总线特征阶段包括下述步骤：

步骤B1：所述利用总线的工作原理，根据总线协议，提取消息时长，消息长度，方式代码，消息数据，消息时间间隔，消息频率；