空间站网络入侵检测技术研究

摘要：考虑到空间站网络系统容易遭受物理入侵与非法攻击等行为，本文深入分析了空间站信息系统的运行特征，结合工控系统信息安全动态防护技术，对入侵检测方法、模型及其在空间站网络系统中的应用进行了研究，提出了空间入侵检测系统的应用特征，对空间站网络监测技术研究具有一定的参考意义。

关键词：空间站网络威胁；网络监测；入侵检测技术；动态防护。

• 引言

空间站信息系统综合了系统网、以太网、无线网等多种网络技术，空间站以太网数据通过高速通信处理器上下行，与地面网络系统组成天地一体化网络通信系统[1]，因此，空间站信息系统除了具有普通信息系统的一般特性，在可靠性、安全保密性、实时性等方面又有显著的空间特征，面临节点暴露且信道开放、异构网络互连且网络拓扑高度动态变化、高时延、大方差、间歇链路和星上节点能力受限等安全挑战[2]。除了因为特殊的自然环境而存在的物理安全问题之外，由于空间站因特网业务数据在空间站与地面因特网之间双向传输，需要穿越空间站局域网、空间通信链路、航天地面测控通信网、地面因特网等一系列通信环节。空间因特网业务数据与空间站测控通信数据同时在同一条空间通信链路传输，虽然采用了相关的安全保护措施，还是使得空间站信息系统半开放式的暴露。由于临近空间网络节点所处位置以及动态特征，其面临威胁主要源于网络协议与使用地面的监测手段，不一定能保证空间站网络安全，容易遭受物理入侵与非法攻击等行为，导致空间站网络系统存在安全漏洞。

目前来看，地面网络的安全保密性已经形成了一套行之有效的标准、方法和技术体系，地面系统信息安全的相关设计实现、评估和测试可以参考通用方法融入到地面系统研制的各个阶段[3]。然而，鲜有研究者进行针对空间站网络监测方面的研究，因此，需要重点关注空间网络信息安全监测技术的研究工作。

• 空间站网络入侵检测技术研究

根据空间站网络系统自身结构特点和信息安全防护的需求，本文充分考虑空间站网络系统的运行机理、功能结构特点，结合工控系统信息安全动态防护技术中[4]的数据采集、异常检测、入侵响应、安全策略执行四个环节，对入侵检测技术[5]进行了研究。

（1）入侵检测技术概念

入侵检测技术作为一种主动的安全防护技术，属于工控系统信息安全动态防护的“感知”环节，入侵检测的作用是对网络系统通信行为，进行实时监控、使用数据采集技术，将采集到的数据进行存储、分析、并将监控的异常信号进行反馈，给“控制与执行”环节的安全响应策略的制定提供依据。典型的入侵检测监控过程如下图所示。

（2）入侵检测方法

按照检测方法的不同，可分为基于误用检测、异常检测两种检测方法。其中，基于误用的检测需要事先建立攻击特征库，通过攻击特征匹配识别入侵行为，检测精度高且误报率较低，用于已知攻击的检测；基于异常的检测需要建立正常的系统模型，将观测到的状态与正常系统的状态进行对比，识别明显的行为偏差以检测入侵行为。

由于空间站网络信息系统变量间的紧耦合关系以及系统控制闭环结构的存在，导致对部分对象状态的攻击会传播到整个系统，进而影响系统的安全平稳运行，再加上攻击手段多样性、隐蔽性和智能性不断增强，攻击可能会一直潜伏在系统中，且只有等到对系统发动攻击后才会暴露存在，增加了运行风险性，采用网络自动检测控制技术对空间信息系统进行故障诊断，异常检测，可高效、准确地实现对检测系统故障的定位，并根据实际情况隔离，避免造成更大范围影响；可以针对实际情况修改配置模型文件、适配器文件，适配器模型文件可以自动处理或自动发送响应信号，对适配器模型中的文件信息进行整合，对系统进行自动校验等。

（3）入侵检测模型

目前，入侵检测技术模型主要分为基于数据挖掘的入侵检测、基于机器学习的入侵检测和基于深度学习的入侵检测三种模型[6]。

基于数据挖掘的入侵检测模型主要包括两个步骤，分别是数据的准备和数据的监测，在数据的准备过程中，首先将计算机网络数据库中产生的用户行为数据提取出来，然后按照特定的规则进行数据预处理，最后经过清理与整理之后，再将数据存储到相应的知识库中。在数据检测过程中，将采集到的实时数据经过特征提取后，与知识库中的数据进行对比分析，直到检测到入侵风险，再进行入侵预警。

基于机器学习的入侵检测模型属于异常检测模型，近几年由于互联网技术与机器学习技术的发展，基于机器学习的入侵检测方法越来越受到重视。基于机器学习的入侵检测方法主要指训练机器来模拟人的行为来进行入侵的判别，该方法主要分为监督学习和无监督学习两类，具有很好的自适应和自学习能力，能够很好的减少误报率和增强对未知攻击类型的判别。

基于深度学习的入侵检测模型是在机器学习入侵检测的基础上，让机器模拟人类的思维解决问题，在空间站网络入侵检测中使用基于深度学习的入侵检测方法，通过开发多层人工神经网络，并且其中许多隐藏层彼此堆叠，可以从基准数据集中自主学习，无需人为手动标记，实现实时自动特征精简提取，进而提高准确性和实时性。

（4）入侵检测技术在空间网络上的应用

考虑到空间信息系统都是按需建立，且各通信网络之间没有固定的交换设备[7]，其次，空间网络由于高延迟，大方差，节点能力受限，传统的入侵检测方法很难在空间网络中实现，因此需要结合空间站网络的动态拓扑、在轨系统的层次结构、考虑网络信道与通信协议特征以及物理空间特性，还需考虑空间网络与因特网之间的兼容性与互操作性等多种因素。在空间网络安全防护中，应用入侵检测技术可有效增强病毒等非法入侵防御的及时性，经过数据分析对比，在发生数据异常之后，能够迅速响应并发出预警，帮助空间站工作人员及时做出正确判断，并及时做出入侵响应的安全策略，加强空间站网络监控防护措施，提高空间站信息系统的安全性与可用性。空间站网络入侵检测应用如下：

1）空间站数据采集与流量监控：对空间站所有数据流量进行采集，结合防火墙、访问控制、漏洞扫描等安全技术，对空间站进行实时流量监控。

2）空间站网络状态分析：对空间站全网流量进行实时分析比对，结合空间站网络情况，建立流量数据库，进行实时比较。将最原始的数据行为作为判断依据，正确判别空间站网络实时数据，分析潜在的入侵与攻击行为，并实时响应，牵制、转移检测到的网络攻击。

3）空间站网络动态防御：能够自动分析空间站网络非法入侵行为，并实现自动将收集到的网络入侵与攻击行为进行跟踪、反馈、反击，并发出预警，进行应急响应、灾难恢复、自动反击等功能，最大限度保证空间站网络环境和信息的安全。同时，实现系统防护战略的自动配置，不断动态进化系统防护，及时更新强化网络安全防御系统。

•  结论

 本文分析了空间站网络特征和空间网络监测存在的不足，然后考虑空间站网络系统的运行结构特点，结合工控系统信息安全动态防护技术，对入侵检测技术方法、模型进行了研究，提出了入侵检测技术在空间站网络系统中应用的展望，对空间网络安全监测技术的研究具有一定的参考意义。

 参考文献

1. Jiang L J . Research on Control Architecture and Routing Technology of Satellite Communication Port in Tiandi Integrated Network[J]. Telecom Power Technology， 2018.

2. 赖泽祺，李贺武，李基豪，吴建平. 一种用于天地一体化网络的网络性能评估方法及系统[P]. 北京市：CN112187386B，2021-07-27.

3. GB/T 25070-2019，信息安全技术 网络安全等级保护安全设计技术要求[S].

4. 刘睿，洪晟，李伟，王欣.面向工业控制系统的入侵检测技术综述[J].信息技术与网络安全，2021，40(03):1-7+13.DOI:10.19358/j.issn.2096-5133.2021.03.001.

5. Sheshasaayee A，Muniyandi P . An Analytical Survey on Intrusion Detection System and Their Identification Methodologies[C]// 2019.

6. 郝文涛，鲁晔，水永莉.工业控制网络入侵检测技术研究[J].工业控制计算机，2022，35(04):1-3+6.

7. CCSDS 351x0m1:Security architecture:for space data systems.