戰術數據鏈無線入侵檢測與控制技術

摘 要： 對戰術數據鏈在未來信息化戰場條件下可能面臨的幾種典型無線入侵方式進行分析，提出一種分布式入侵檢測控制架構。在該架構下，利用異常入侵檢測方法對無線入侵事件進行檢測識別，并采取相應的措施對這些事件進行控制。

關鍵詞： 戰術數據鏈； 無線入侵檢測； 網絡干擾； 信息竊取； 信息欺騙

中圖分類號： TN911.7?34 文獻標識碼： A 文章編號： 1004?373X（2013）11?0019?03

0 引 言

戰術數據鏈在傳感器、指揮控制單元和武器平臺之間實時傳輸戰術信息，是作戰部隊獲取信息優勢的重要保障手段。對敵方戰術數據鏈系統實施無線入侵，降低甚至中斷其通信保障能力，竊取系統高價值信息，注入虛假錯誤信息進行欺騙，可有效削弱敵方信息優勢。因此，在未來信息化戰爭條件下，以無線信道為主使用通信手段的戰術數據鏈系統，將面臨敵方惡意的無線入侵。對敵方無線入侵進行檢測識別并采取有效措施進行控制，提升數據鏈系統抗網絡攻擊能力，是獲取戰場信息優勢的重要保障。

從文獻[1]中可以看出，針對C4ISR系統的網絡攻擊已不僅僅局限于傳統的物理層信號干擾，還包括網絡干擾阻塞、信息竊取欺騙等多種方式。從國內外研究情況來看，針對戰術數據鏈無線入侵的研究主要集中在物理層信號干擾上[2?3]，還沒有相關文獻對戰術數據鏈其他方面的無線入侵進行研究。本文在分析戰術數據鏈典型無線入侵方式的基礎上，提出了一種分布式的無線入侵檢測控制架構，并對入侵檢測和控制方法進行討論。

1 戰術數據鏈無線入侵典型方式及處理方式

1.1 戰術數據鏈無線入侵典型方式

針對戰術數據鏈的無線入侵主要目的在于降低對方通過數據鏈獲取信息優勢的能力，其主要方式包括：壓制干擾、網絡干擾、信息竊取及信息欺騙四種。

壓制干擾是指在對方數據鏈無線通信頻率上人為地發送一定功率的干擾信號，以使對方無線鏈路接收機降低或喪失接收數據鏈信息的能力，屬于傳統的無線入侵方式。戰術數據鏈受到壓制干擾后，會導致無線鏈路中信息發送成功率突然下降，甚至鏈路完全中斷。

網絡干擾是指通過向對方數據鏈無線鏈路發送大量無效信息，以使對方數據鏈大量網絡資源被非法占用。戰術數據鏈在受到網絡干擾后，網絡業務流量會急劇增加，網絡中出現了信息擁塞，合法網絡成員無法獲取所需要的網絡資源來傳輸業務，網絡性能嚴重下降。

信息竊取是指偽裝對方數據鏈網絡的合法成員，企圖加入對方網絡，并從網絡中竊取收集戰場態勢、作戰計劃、指揮控制指令、作戰平臺實時位置、合法網絡成員地址等高價值信息。戰術數據鏈信息一旦被成功竊取，數據鏈網絡中的作戰平臺部署、行動計劃等關鍵信息可能會直接暴露給敵方，導致嚴重后果。

信息欺騙是指在基本掌握對方數據鏈網絡的工作參數的情況下，向對方數據鏈網絡發送錯誤信息，或者接收對方信息進行篡改后重新發送，這些信息一般包括：敵我雙方態勢、作戰指令等作戰關鍵信息。如果上述欺騙/篡改信息被按照正常處理，將導致執行方做出錯誤判斷和決策。

1.2 無線入侵處理方式

戰術數據鏈系統一般通過無線入侵檢測、節點可信接入、協議安全防護、信息分級保護、安全態勢監控管理等措施來完成無線入侵事件的處理和控制。

無線入侵檢測通過對無線信道傳輸的消息和協議的分析，實現數據鏈無線攻擊的入侵檢測，能夠檢測上述四種典型無線入侵方式。

節點可信接入通過統一的身份標識方法，實現數據鏈網絡成員身份的統一管理，實現系統中節點身份管理和可信接入，阻止虛假節點的非法接入。

協議安全防護通過在鏈路層、網絡層實現非法成員或消息識別等手段，在應用層實現安全可信連接、數據防護等手段，對鏈路層、網絡層、應用層協議進行安全加固，以防止針對協議的重放、仿冒、篡改等攻擊，實現協議安全防護處理過程中的異常告警。

信息分級保護根據數據鏈各層次的功能域、信息涉密等級、面臨安全威脅、遭受攻擊后的危害程度等方面劃分數據鏈系統的信息保護等級，實現信息分發、處理過程中的分級保護，具備信息傳輸分級保護能力。

安全態勢監控管理實現對數據鏈系統安全態勢的統一監控與管理，通過收集無線鏈路上報信息進行匯總、關聯和分析，形成無線安全態勢。同時對當前網絡的安全態勢進行評估，為數據鏈系統安全控制參數調整提供依據。

2 戰術數據鏈無線入侵檢測與控制架構

戰術數據鏈無線入侵檢測通過實時收集數據鏈網絡運行狀態數據，進行統計分析，針對出現的各種異常情況，例如：丟包率上升、接收信號強度低、出現可疑成員、業務流量異常增加或減少等，判斷是否出現無線入侵。對于出現的無線入侵，采取相應處理措施，例如：更改無線鏈路工作參數，刪除入侵成員，過濾可疑信息，恢復網絡正常運行狀態。

目前，常用入侵檢測系統架構大致可以分為基于主機型、基于網絡型和分布式三種[4]。戰術數據鏈網絡中參與節點地理位置分散，且節點處理能力不一致。因此，戰術數據鏈無線入侵檢測較適于采用分布式檢測結構，如圖1所示。

戰術數據鏈網絡中的節點分為兩類：一類為網絡管理節點，具有較強的處理能力；另外一類為普通節點，處理能力相對較弱。網絡管理節點和普通節點入侵檢測與控制架構相同，都由數據收集、統計分析、處理單元三個功能模塊組成。

數據收集模塊完成外部事件收集處理，對于普通節點，外部事件僅有網絡狀態，包括：網絡當前成員地址表，成員業務量，消息包解析情況等；對于網絡管理節點，除網絡狀態外，根據設備配置情況，還可以收集頻譜監測和操作員輸入信息，以進行綜合評估分析。數據收集模塊根據外部事件，經過初步分析處理，生成原始事件，例如：發現強信號干擾、網絡業務流量變化率、網絡成員變化情況、異常消息包等，向統計分析模塊發送。

統計分析模塊接收數據收集模塊發送的原始事件，綜合當前和近期網絡運行狀態，評估分析是否出現無線入侵事件：壓制干擾、網絡干擾、信息竊取及信息欺騙，并將入侵事件向處理單元輸出。

處理單元根據入侵事件類型，采取相應的措施進行處理，例如：更改無線鏈路工作參數，過濾非法業務，屏蔽非法用戶，向操作員告警等，以恢復網絡正常運行狀態。在入侵事件處理過程中，網絡管理節點可向普通節點發送網絡管理指令調整網絡工作參數以應對該事件；在入侵事件處理完成后，普通節點向網絡管理節點報告入侵事件及處理結果，以便網絡管理節點形成整個網絡的統一安全態勢。

3 戰術數據鏈無線入侵檢測方法

常用的入侵檢測方法主要分為兩大類：基于誤用檢測和基于異常的入侵檢測[5]。誤用入侵檢測是指通過按預先定義好的入侵模式以及觀察到入侵發生的情況進行模式匹配來檢測識別非法入侵；異常入侵檢測主要是指根據異常行為來檢測入侵，通過定量方式描述可接受的行為特征，以區分非正常的、潛在的入侵行為。

由于針對戰術數據鏈的無線入侵還沒有已知的固定方式。因此，戰術數據鏈采用異常入侵檢測方法進行檢測識別，包括統計分析檢測和異常行為檢測。前者主要針對通過發送大量報文來達到目標的無線入侵，包括：網絡干擾和信息欺騙；后者主要通過檢測網絡中的異常行為來判斷是否出現入侵事件。

3.1 統計分析檢測

統計分析檢測主要通過實時統計指定時間段內的戰術數據鏈網絡中業務流量，并將當前業務等級與配置或者歷史業務等級進行比較，如果發現業務流量短時內急劇上升，偏離期望值，那么就可以判斷發生無線入侵。

在網絡干擾、信息欺騙入侵方式下，攻擊方可能會在短時間內向目標戰術數據鏈網絡發送大量的消息包，非法擠占合法用戶的有限網絡資源，嚴重降低網絡性能，導致合法用戶無法有效傳輸業務。在這種情況下，攻擊方大量發送的消息一般為廣播類態勢消息，這類消息網絡內所有用戶都要求處理，難以過濾。這種入侵方式不僅占用網絡資源，還占用網絡成員的處理資源。在進行統計分析檢測時，主要針對這類消息的業務流量進行統計。

統計分析檢測方法主要依賴于期望值設定的準確性，期望值和統計時間段設定必須合適，否則很容易產生誤報與漏報。

3.2 異常行為檢測

異常行為檢測主要監視網絡運行過程中的異常事件，與正常行為進行比較分析，從而判斷該異常事件是否屬于入侵事件。通常情況下，戰術數據鏈網絡在遭受無線入侵時，會出現以下異常情況：

（1）無線信道異常，如果本平臺數據鏈端機接收的信號強度過低，或者丟包率在短時間內激增，那么表明存在無線信號干擾。結合頻譜監測信息進一步判斷，如果這種無線信號干擾突然出現，并且與友方平臺無關，那么可以判斷該干擾是人為壓制干擾。

（2）重復成員，如果網絡內出現多個具有相同編號的成員，這些重復的網絡成員可以正常的在網絡內發送或接收信息，那么可以認為出現網絡干擾或信息竊取入侵。

（3）不明成員，如果網絡內出現編號不包含在網絡地址表里面的不明身份成員，且這些成員可以正常的在網絡內發送或接收信息，那么可以認為出現網絡干擾或信息竊取入侵。

（4）不明入網申請，如果網絡內出現不明身份的網絡成員發送的入網申請，表明非法單元嘗試侵入已開通的網絡，那么可以認為出現信息竊取入侵。

（5）網絡工作參數異常變化，戰術數據鏈網絡工作參數受網內的網絡管理站控制，如果網絡管理節點檢測到普通節點發送的對于網絡管理指令的應答，且網絡管理節點沒有發送該指令，那么可以認為出現信息欺騙入侵。

（6）計數器異常，如果網絡成員在短時間內接收到的消息包中計數器重復，或者計數器混亂，表明人為在重放消息包，那么可以認為出現網絡干擾或信息欺騙入侵。

（7）同步錯誤，如果網絡成員接收到的消息包中時間與期望值差別超過閾值，表明非法單元嘗試侵入已開通的網絡，那么可以認為出現信息竊取入侵。

（8）幀結構錯誤，如果網絡成員接收到的消息包幀結構錯誤，表明攻擊方未掌握正確的數據包幀結構，那么可以認為出現信息欺騙入侵。

（9）消息格式錯誤，如果網絡成員接收到的消息包中格式化消息錯誤，表明攻擊方未掌握正確的消息格式，那么可以認為出現信息欺騙入侵。

（10）解密錯誤，如果網絡成員接收到的消息解密錯誤，表明未獲取正確密鑰單元嘗試侵入已開通的網絡，那么可以認為出現信息竊取或信息欺騙入侵。

4 戰術數據鏈無線入侵控制方法

對于以上戰術數據鏈無線入侵事件，可以通過工作參數調整、非法成員屏蔽、消息過濾等措施進行控制。

（1）工作參數調整，在戰術數據鏈出現無線信道異常等情況時，可采用工作參數調整的方法對戰術數據鏈網絡進行干預。在發現壓制干擾時，結合頻譜監測系統選擇可用頻率，并調整數據鏈網絡工作參數至該頻點上，以對敵方壓制干擾進行規避，或者選用抗干擾能力更強的傳輸波形，增加敵方壓制干擾難度。另外，在發現其他入侵事件時，也可以通過不定期變更網絡工作參數，如頻率、密鑰等，使敵方不能及時掌握數據鏈網絡工作參數，降低入侵成功的概率。

（2）非法成員屏蔽，在網絡中出現重復成員、不明成員、不明入網申請等情況時，可采用屏蔽非法成員的方法來阻止網絡中出現的非法成員，以禁止這些非法成員向網絡內發送高流量業務阻塞網絡，從網絡內竊取信息，或向網絡內發送欺騙信息。

（3）消息過濾，在網絡中出現網絡工作參數異常變化、計數器異常、同步錯誤、幀結構錯誤、消息格式錯誤、解密錯誤時，可采用消息過濾的方法來對接收到的非法消息包進行丟棄處理，包括：非法網絡管理消息，重復消息包，同步、幀結構、消息格式及解密錯誤的消息包等。

綜上所述，戰術數據鏈網絡中通常出現的無線入侵事件及檢測控制方法參見表1。

5 結 論

本文對戰術數據鏈無線入侵檢測控制技術進行了分析研究。在對典型無線入侵方式進行分析的基礎上，提出了一種分布式戰術數據鏈入侵檢測控制架構。在該架構下，利用統計分析檢測和異常行為檢測方法對無線入侵事件進行檢測，并通過工作參數調整、非法成員屏蔽、消息過濾等方法對無線入侵事件進行控制。

未來信息化戰場條件下，戰術數據鏈面臨的惡意攻擊方式將越來越多，技術越來越先進。本文提出的方法能夠在一定程度上對戰術數據鏈受到的無線入侵事件進行檢測并控制，對國內戰術數據鏈系統的建設有一定的參考意義。

參考文獻

[1] 袁秀麗，周洪宇，周谷.世界網絡戰發展現狀的初步研究[J].信息化研究，2010（8）：20?21.

[2] 殷璐，嚴建鋼，樊嚴.Link?16戰術數據鏈抗干擾性能評估與仿真[J].航天電子對抗，2007（3）：40?42.

[3] 林茂森，殷璐，李相全.JTIDS抗干擾性能與仿真[J].通信對抗，2007（1）：36?39.

[4] 唐正軍.入侵檢測技術導論[M].北京：機械工業出版社，2004.

[5] 王利平.無線局域網入侵檢測技術研究[D].武漢：華中科技大學，2008.

[6] 王寶康，陳強.戰術TDMA網絡分析與研究[J].現代電子技術，2012，35（23）：21?23.