衛(wèi)星通信網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)研究

劉丹丹，張洋洋

（河北科技大學(xué)信息科學(xué)與工程學(xué)院，河北石家莊050000）

0 引 言

隨著社會(huì)的進(jìn)步以及科學(xué)技術(shù)的發(fā)展，各行各業(yè)越來越依賴于通信技術(shù)。衛(wèi)星通信因其覆蓋區(qū)域廣、頻帶寬、適用于各種業(yè)務(wù)、組網(wǎng)靈活、成本與通信距離無關(guān)等優(yōu)點(diǎn)，被廣泛應(yīng)用于航空航天、金融、救災(zāi)搶險(xiǎn)、廣播等軍事和民用領(lǐng)域。同時(shí)，因?yàn)榫W(wǎng)絡(luò)的規(guī)模日趨擴(kuò)大，設(shè)備越來越趨于小型化、便攜化，衛(wèi)星通信受到的安全威脅日益增大，發(fā)現(xiàn)和檢測(cè)異常狀況的難度也不斷增加。如何有效地對(duì)衛(wèi)星網(wǎng)絡(luò)實(shí)施控制，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常情況，保證網(wǎng)絡(luò)的正常、高效運(yùn)行，已成為目前研究的熱點(diǎn)。

1 衛(wèi)星通信網(wǎng)及地球站的工作原理

1.1 衛(wèi)星通信網(wǎng)的網(wǎng)絡(luò)管理

衛(wèi)星通信網(wǎng)絡(luò)是一個(gè)復(fù)雜的綜合系統(tǒng)，如圖1所示。

一般來說，每個(gè)衛(wèi)星通信網(wǎng)都配有一個(gè)管理和控制網(wǎng)絡(luò)運(yùn)行的中心，簡稱網(wǎng)控中心，它是衛(wèi)星通信網(wǎng)運(yùn)行的中樞神經(jīng)系統(tǒng)，由硬件模塊和軟件模塊組成，其中的網(wǎng)絡(luò)管理控制軟件是網(wǎng)控中心的核心，是異常檢測(cè)系統(tǒng)依托的平臺(tái)和服務(wù)的對(duì)象。

衛(wèi)星通信系統(tǒng)由空間段和地面段兩部分組成，地面段包括：信關(guān)站（Gateway Station，GS）、網(wǎng)絡(luò)控制中心（Net work Control Center，NCC）和操作控制中心（Operation Control Center，OCC）。根據(jù)ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，網(wǎng)絡(luò)管理系統(tǒng)基本組成包括管理器（Manager）、代理（Agent）、網(wǎng)絡(luò)管理協(xié)議（Net work Management Protocol）和管理信息庫（Management Infor mation Base，MIB）。

圖1 衛(wèi)星通信系統(tǒng)

1.2 地球站

（1）地球站的安全問題

地球站作為衛(wèi)星通信網(wǎng)絡(luò)地面應(yīng)用系統(tǒng)的重要組成部分，是負(fù)責(zé)發(fā)送和接收通信信息的地面終端，地球站的數(shù)據(jù)和發(fā)送的信令是用戶行為的直接體現(xiàn)。作為衛(wèi)星通信網(wǎng)絡(luò)中的節(jié)點(diǎn)，地球站的正常運(yùn)行直接關(guān)系到整個(gè)衛(wèi)星通信網(wǎng)絡(luò)通信的質(zhì)量高低和安全性。

地球站異常包括很多方面，除了地球站本身的故障之外，還包括地球站被仿冒、丟失，被非法用戶使用或者被敵方繳獲等。在非安全的環(huán)境下，敵方可以通過監(jiān)聽網(wǎng)絡(luò)、控制信道，分析網(wǎng)絡(luò)管理信息的模式、格式和內(nèi)容，獲得通信網(wǎng)的大量信息，這些信息包括網(wǎng)內(nèi)地球站成員及其入退網(wǎng)事件，通信流量和多個(gè)地球站之間的通信頻率。同時(shí)，也可以直接偽造、篡改網(wǎng)控中心信息、對(duì)地球站設(shè)置非法參數(shù)、干擾地球站的通信流程、使地球站之間的通信失敗、使合法用戶異常退網(wǎng)。敵方還可以侵入地球站，干擾網(wǎng)管主機(jī)、竊取網(wǎng)絡(luò)配置信息、篡改網(wǎng)絡(luò)運(yùn)行參數(shù)等。造成地球站異常的這些原因中，由于用戶的非法操作和非法用戶的入侵行為引起的異常，對(duì)衛(wèi)星網(wǎng)的安全威脅更大，造成的損失更嚴(yán)重。因此，通過衛(wèi)星網(wǎng)絡(luò)檢測(cè)到地球站的行為異常，對(duì)整個(gè)衛(wèi)星通信網(wǎng)的安全運(yùn)行具有重要的意義。

（2）地球站的工作

網(wǎng)管中心相當(dāng)于管理器，主要完成網(wǎng)絡(luò)管理與控制功能，是全網(wǎng)的核心控制單元（Control Unit，CU），其信令在衛(wèi)星網(wǎng)中擔(dān)負(fù)網(wǎng)絡(luò)管理協(xié)議的作用。網(wǎng)絡(luò)管理與控制功能可以是集中式或分散式，對(duì)于星上透明轉(zhuǎn)發(fā)衛(wèi)星通信系統(tǒng)，衛(wèi)星不具有星上處理能力，只完成放大、轉(zhuǎn)發(fā)的功能，由地面的主站集中進(jìn)行網(wǎng)絡(luò)管理與控制。

衛(wèi)星網(wǎng)管作為一個(gè)資源管理控制系統(tǒng)，它對(duì)全網(wǎng)的信道資源、地球站配置資源、用戶號(hào)碼資源進(jìn)行控制；同時(shí)它作為操作員對(duì)全網(wǎng)的通信進(jìn)行控制、檢測(cè)和干預(yù)，向用戶提供配置資源管理查看的接口以及資源狀態(tài)顯示和統(tǒng)計(jì)接口，并將當(dāng)前通信系統(tǒng)中的異常情況向用戶進(jìn)行報(bào)告；它還具備用戶設(shè)備操作權(quán)限管理、網(wǎng)控中心其它設(shè)備管理等功能。

2 衛(wèi)星通信網(wǎng)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

2.1 入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

入侵檢測(cè)是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。如圖2所示，作為入侵檢測(cè)系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，即入侵檢測(cè)系統(tǒng)可以分為4個(gè)組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫。

圖2 入侵檢測(cè)系統(tǒng)的通用模型

2.2 入侵檢測(cè)系統(tǒng)的功能

衛(wèi)星通信網(wǎng)絡(luò)采用的是分布式的入侵檢測(cè)系統(tǒng)，其主要功能模塊包括：

（1）數(shù)據(jù)采集模塊。收集衛(wèi)星發(fā)送來的各種數(shù)據(jù)信息以及地面站提供的一些數(shù)據(jù)，分為日志采集模塊、數(shù)據(jù)報(bào)采集模塊和其他信息源采集模塊。

（2）數(shù)據(jù)分析模塊。對(duì)應(yīng)于數(shù)據(jù)采集模塊，也有三種類型的數(shù)據(jù)分析模塊：日志分析模塊、數(shù)據(jù)報(bào)分析模塊和其他信息源分析模塊。

（3）告警統(tǒng)計(jì)及管理模塊。該模塊負(fù)責(zé)對(duì)數(shù)據(jù)分析模塊產(chǎn)生的告警進(jìn)行匯總，這樣能更好地檢測(cè)分布式入侵。

（4）決策模塊。決策模塊對(duì)告警統(tǒng)計(jì)上報(bào)的告警做出決策，根據(jù)入侵的不同情況選擇不同的響應(yīng)策略，并判斷是否需要向上級(jí)節(jié)點(diǎn)發(fā)出警告。

（5）響應(yīng)模塊。響應(yīng)模塊根據(jù)決策模塊送出的策略，采取相應(yīng)的響應(yīng)措施。其主要措施有：忽略、向管理員報(bào)警、終止連接等響應(yīng)。

（6）數(shù)據(jù)存儲(chǔ)模塊。數(shù)據(jù)存儲(chǔ)模塊用于存儲(chǔ)入侵特征、入侵事件等數(shù)據(jù)，留待進(jìn)一步分析。

（7）管理平臺(tái)。管理平臺(tái)是管理員與入侵檢測(cè)系統(tǒng)交互的管理界面。管理員通過這個(gè)平臺(tái)可以手動(dòng)處理響應(yīng)，做出最終的決策，完成對(duì)系統(tǒng)的配置、權(quán)限管理，對(duì)入侵特征庫的手動(dòng)維護(hù)工作。

2.3 數(shù)據(jù)挖掘技術(shù)

入侵檢測(cè)系統(tǒng)中需要用到數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識(shí)的過程。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)：

（1）自適應(yīng)能力強(qiáng)。專家根據(jù)現(xiàn)有的攻擊從而分析、建立出它們的特征模型作為傳統(tǒng)入侵檢測(cè)系統(tǒng)規(guī)則庫。但是如果一種攻擊跨越較長一段時(shí)間，那么原有的入侵檢測(cè)系統(tǒng)規(guī)則庫很難得到及時(shí)更新，并且為了一種新的攻擊去更換整個(gè)系統(tǒng)的成本將大大提升。因?yàn)閼?yīng)用數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)與信號(hào)匹配模式是不一樣的，它不是對(duì)每一個(gè)信號(hào)一一檢測(cè)，所以新的攻擊可以得到有效的檢測(cè)，表現(xiàn)出較強(qiáng)實(shí)時(shí)性。

（2）誤警率低。因?yàn)楝F(xiàn)有系統(tǒng)的檢測(cè)原理主要是依靠單純的信號(hào)匹配，這種生硬的方式，使得它的報(bào)警率與實(shí)際情況不一致。數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的系統(tǒng)是從等報(bào)發(fā)生的序列中發(fā)現(xiàn)隱含在其中的規(guī)律，可以過濾出正常行為的信號(hào)，從而降低了系統(tǒng)的誤警率。

（3）智能性強(qiáng)。應(yīng)用了數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)可以在人很少參與的情況下自動(dòng)地從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取人們不易發(fā)現(xiàn)的行為模式，也提高了系統(tǒng)檢測(cè)的準(zhǔn)確性。

3 結(jié)束語

本文結(jié)合目前衛(wèi)星通信的發(fā)展和網(wǎng)絡(luò)安全狀況，首先探討了衛(wèi)星通信主要的安全隱患，提出了具體實(shí)現(xiàn)的思路，說明了各個(gè)功能模塊實(shí)現(xiàn)的最終功能，從而保證衛(wèi)星通信的安全性、高效性與兼容性。

［1］ 楊義先，鈕心儀.入侵檢測(cè)理論與技術(shù)［M］.北京：高等教育出版社，2006.

［2］ 鄭成杰.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐［M］.北京：機(jī)械工業(yè)出版社，2006.

［3］ 胡昌振.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)［M］.北京：北京理工大學(xué)出版社，2006.

［4］ 唐正軍，李建華.入侵檢測(cè)技術(shù)［M］.北京：清華大學(xué)出版社，2004.

［5］ 祝洪杰.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)檢測(cè)系統(tǒng)研究［D］.濟(jì)南：山東大學(xué)碩士學(xué)位論文，2008.