衛星通信網絡的入侵檢測系統研究

劉丹丹，張洋洋

（河北科技大學信息科學與工程學院，河北石家莊050000）

0 引 言

隨著社會的進步以及科學技術的發展，各行各業越來越依賴于通信技術。衛星通信因其覆蓋區域廣、頻帶寬、適用于各種業務、組網靈活、成本與通信距離無關等優點，被廣泛應用于航空航天、金融、救災搶險、廣播等軍事和民用領域。同時，因為網絡的規模日趨擴大，設備越來越趨于小型化、便攜化，衛星通信受到的安全威脅日益增大，發現和檢測異常狀況的難度也不斷增加。如何有效地對衛星網絡實施控制，及時發現網絡中存在的異常情況，保證網絡的正常、高效運行，已成為目前研究的熱點。

1 衛星通信網及地球站的工作原理

1.1 衛星通信網的網絡管理

衛星通信網絡是一個復雜的綜合系統，如圖1所示。

一般來說，每個衛星通信網都配有一個管理和控制網絡運行的中心，簡稱網控中心，它是衛星通信網運行的中樞神經系統，由硬件模塊和軟件模塊組成，其中的網絡管理控制軟件是網控中心的核心，是異常檢測系統依托的平臺和服務的對象。

衛星通信系統由空間段和地面段兩部分組成，地面段包括：信關站（Gateway Station，GS）、網絡控制中心（Net work Control Center，NCC）和操作控制中心（Operation Control Center，OCC）。根據ISO網絡管理標準，網絡管理系統基本組成包括管理器（Manager）、代理（Agent）、網絡管理協議（Net work Management Protocol）和管理信息庫（Management Infor mation Base，MIB）。

圖1 衛星通信系統

1.2 地球站

（1）地球站的安全問題

地球站作為衛星通信網絡地面應用系統的重要組成部分，是負責發送和接收通信信息的地面終端，地球站的數據和發送的信令是用戶行為的直接體現。作為衛星通信網絡中的節點，地球站的正常運行直接關系到整個衛星通信網絡通信的質量高低和安全性。

地球站異常包括很多方面，除了地球站本身的故障之外，還包括地球站被仿冒、丟失，被非法用戶使用或者被敵方繳獲等。在非安全的環境下，敵方可以通過監聽網絡、控制信道，分析網絡管理信息的模式、格式和內容，獲得通信網的大量信息，這些信息包括網內地球站成員及其入退網事件，通信流量和多個地球站之間的通信頻率。同時，也可以直接偽造、篡改網控中心信息、對地球站設置非法參數、干擾地球站的通信流程、使地球站之間的通信失敗、使合法用戶異常退網。敵方還可以侵入地球站，干擾網管主機、竊取網絡配置信息、篡改網絡運行參數等。造成地球站異常的這些原因中，由于用戶的非法操作和非法用戶的入侵行為引起的異常，對衛星網的安全威脅更大，造成的損失更嚴重。因此，通過衛星網絡檢測到地球站的行為異常，對整個衛星通信網的安全運行具有重要的意義。

（2）地球站的工作

網管中心相當于管理器，主要完成網絡管理與控制功能，是全網的核心控制單元（Control Unit，CU），其信令在衛星網中擔負網絡管理協議的作用。網絡管理與控制功能可以是集中式或分散式，對于星上透明轉發衛星通信系統，衛星不具有星上處理能力，只完成放大、轉發的功能，由地面的主站集中進行網絡管理與控制。

衛星網管作為一個資源管理控制系統，它對全網的信道資源、地球站配置資源、用戶號碼資源進行控制；同時它作為操作員對全網的通信進行控制、檢測和干預，向用戶提供配置資源管理查看的接口以及資源狀態顯示和統計接口，并將當前通信系統中的異常情況向用戶進行報告；它還具備用戶設備操作權限管理、網控中心其它設備管理等功能。

2 衛星通信網入侵檢測系統的實現

2.1 入侵檢測系統的體系結構

入侵檢測是檢測計算機網絡和系統以發現違反安全策略事件的過程。如圖2所示，作為入侵檢測系統至少應該包括三個功能模塊：提供事件記錄的信息源、發現入侵跡象的分析引擎和基于分析引擎的響應部件。CIDF闡述了一個入侵檢測系統的通用模型，即入侵檢測系統可以分為4個組件：事件產生器、事件分析器、響應單元、事件數據庫。

圖2 入侵檢測系統的通用模型

2.2 入侵檢測系統的功能

衛星通信網絡采用的是分布式的入侵檢測系統，其主要功能模塊包括：

（1）數據采集模塊。收集衛星發送來的各種數據信息以及地面站提供的一些數據，分為日志采集模塊、數據報采集模塊和其他信息源采集模塊。

（2）數據分析模塊。對應于數據采集模塊，也有三種類型的數據分析模塊：日志分析模塊、數據報分析模塊和其他信息源分析模塊。

（3）告警統計及管理模塊。該模塊負責對數據分析模塊產生的告警進行匯總，這樣能更好地檢測分布式入侵。

（4）決策模塊。決策模塊對告警統計上報的告警做出決策，根據入侵的不同情況選擇不同的響應策略，并判斷是否需要向上級節點發出警告。

（5）響應模塊。響應模塊根據決策模塊送出的策略，采取相應的響應措施。其主要措施有：忽略、向管理員報警、終止連接等響應。

（6）數據存儲模塊。數據存儲模塊用于存儲入侵特征、入侵事件等數據，留待進一步分析。

（7）管理平臺。管理平臺是管理員與入侵檢測系統交互的管理界面。管理員通過這個平臺可以手動處理響應，做出最終的決策，完成對系統的配置、權限管理，對入侵特征庫的手動維護工作。

2.3 數據挖掘技術

入侵檢測系統中需要用到數據挖掘技術。數據挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機的數據中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。將數據挖掘技術應用于入侵檢測系統的主要優點：

（1）自適應能力強。專家根據現有的攻擊從而分析、建立出它們的特征模型作為傳統入侵檢測系統規則庫。但是如果一種攻擊跨越較長一段時間，那么原有的入侵檢測系統規則庫很難得到及時更新，并且為了一種新的攻擊去更換整個系統的成本將大大提升。因為應用數據挖掘技術的異常檢測與信號匹配模式是不一樣的，它不是對每一個信號一一檢測，所以新的攻擊可以得到有效的檢測，表現出較強實時性。

（2）誤警率低。因為現有系統的檢測原理主要是依靠單純的信號匹配，這種生硬的方式，使得它的報警率與實際情況不一致。數據挖掘技術與入侵檢測技術相結合的系統是從等報發生的序列中發現隱含在其中的規律，可以過濾出正常行為的信號，從而降低了系統的誤警率。

（3）智能性強。應用了數據挖掘的入侵檢測系統可以在人很少參與的情況下自動地從大量的網絡數據中提取人們不易發現的行為模式，也提高了系統檢測的準確性。

3 結束語

本文結合目前衛星通信的發展和網絡安全狀況，首先探討了衛星通信主要的安全隱患，提出了具體實現的思路，說明了各個功能模塊實現的最終功能，從而保證衛星通信的安全性、高效性與兼容性。

［1］ 楊義先，鈕心儀.入侵檢測理論與技術［M］.北京：高等教育出版社，2006.

［2］ 鄭成杰.網絡入侵防范的理論與實踐［M］.北京：機械工業出版社，2006.

［3］ 胡昌振.網絡入侵檢測原理與技術［M］.北京：北京理工大學出版社，2006.

［4］ 唐正軍，李建華.入侵檢測技術［M］.北京：清華大學出版社，2004.

［5］ 祝洪杰.基于神經網絡的入侵檢測檢測系統研究［D］.濟南：山東大學碩士學位論文，2008.