CN102487293B - 基于网控的卫星通信网异常检测*** - Google Patents

Abstract

本发明公开了一种基于网控的卫星通信网异常检测方法，利用模糊C均值聚类算法对正常审计数据进行学习，建立异常检测机制，实现了异常事件的事后分析；运用支持向量数据描述单分类器，总结出正常和异常短序列，并用隐马尔科夫模型对整个时间段的全部地球站通信信令进行异常检测，实现了基于通信信令的实时检测；利用上述两个方法，实现了基于网控的卫星通信网异常检测原型***。本发明事后分析方法能适应大规模数据，漏报和误报率低，实时检测方法具有优良的检测性能，并且检测信令时间很短，反应速度很快，能够实现在线检测的目标，增强信令***的安全。

Description

基于网控的卫星通信网异常检测***

技术领域

本发明属于卫星通信网异常检测技术，特别是一种基于网控的卫星通信网异常检测***。 

背景技术

随着计算机和通信技术的不断发展，使用未知的新方法对计算机和网络进行入侵越来越严重，这就使得异常检测的地位越发的重要。异常检测是入侵检测的一个分支，入侵是指任何试图危害资源完整性、保密性和可用性的活动集合。异常检测的前提假设是入侵者的活动与正常主体的活动是不一样的，能够相互区别开，然后将这种“不一样”、“相互区别”作为判断是否是入侵行为的依据。一般方法是建立一个对应“正常活动”的***或用户的正常缩影，检测入侵活动时，异常检测程序产生当前的活动缩影并同正常缩影比较，如果比较结果发生偏离程度超过某个阈值即认为是入侵，从而触发相应机制。异常检测与***的相关性较小，因此其通用性好，最大的优点就是能够检测出当前还未知的入侵行为。 

异常检测技术主要可以分为四大类： 

(1)基于统计的异常检测技术 

该技术是根据异常检测器观察主体的活动，然后产生刻画这些活动的行为的轮廓。每一个轮廓保存记录主体当前行为，并定时地将当前的轮廓与存储的轮廓合并。通过比较当前的轮廓与已存储的轮廓来判断异常行为。该技术发展最早，也是最成熟和已经实用的异常检测技术。但是该技术也存在一些缺点：阈值难以确定，太低或太高容易出现虚警或者漏警；对利用事件顺序关系的攻击难以检测。 

(2)基于预测模式异常检测技术 

该方法的假设条件是事件序列不是随机的而是遵循可辨别的模式，这种检测方法的特点是考虑了事件的序列及相互联系。Teng和Chen给出基于时间的归纳方法TIM(the Time-based Inductive Machine)，利用时间规则来识别用户行为正常模式的特征。通过归纳学习产生这些规则集，并能动态地修改***中这些规则，使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的，并能够成功地运用预测所观察到的数据，那么规则就具有高可信度。此方法的缺点是计算量比较大，也容易导致高的虚警率。 

(3)基于***调用的异常检测技术 

Forrest等人认为一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征，与这些模式的偏离可认为是异常。方法基于程序执行时的两个特点：一个程序正常执行时其执行迹具有局部一致性和异常发生时产生有别于正常时的局部模式。采用这种技术的典型方法是由Forrest等人提出的时延嵌入序列方法，就是预先给定长度为K的连续序列来构造程序正常行为轮廓，检测时将待检测程序执行迹与正常轮廓的序列比较，当不匹配的执行迹序列个数超过阈值时，就认为是异常。该方法分析建模比较简单，但是主要缺点是不能检测出合作攻击与盗用者。 

(4)基于人工智能的异常检测技术 

将人工智能技术运用到异常检测中，能够提高异常检测的性能。主要包括人工神经网络技术、数据挖掘技术和人工免疫技术。 

基于人工神经网络技术：人工神经网络中每个神经元的结构和功能是相对简单和有限的，但正是这些众多结构简单、功能有限的神经元的“微观”活动，构成了复杂的“宏观效应”——能完成各种复杂的信息识别和任务处理。目前，神经网络已有多种模型在IDS中应用。只要提供***的审计迹(Audit traces)数据，神经网络就可以通过自学习从中提取正常的用户或***活动的特征模式，而不需要获取描述用户行为特征集以及用户行为特征测度的统计分布。但是，计算量比较大。 

基于数据挖掘技术：Wenke Lee和Salvatore.J.Stolfo将数据挖掘技术应用到入侵检测研究领域中。其研究的目标是尽可能地减少在建立一个入侵检测***中的手工和经验成分。这里采用以数据为中心的观点，把入侵检测问题看做是一个数据分析的过程。但是，对于实时入侵检测则还存在问题，需要开发出有效的数据挖掘算法和相适应的分布式体系。 

基于人工免疫技术：对于基于人工免疫***的入侵检测***模型的研究，有两个方向。一是针对主机***关键调用执行序列监测的免疫模型；另一个是针对网络数据的免疫模型。由于免疫***具有分布式、多样性、记忆性、可扩充性等特点，可以利用这些特点建立分布式、高效和自组织的入侵检测模型。其缺点是目前还没有一套完善的人工免疫的理论体系，也没有较有效的抗原识别算法。 

卫星通信网络是一个复杂的综合***。作为卫星通信网络中的节点，地球站的正常运行直接关系到整个网络的质量高低和安全性能。地球站异常包括诸多方面，除了地球站的故障之外，还包括地球站被仿冒、丢失、被非法用户使用或者战时被敌方缴获等等。由于地球站的各种数据和发送的信令是用户行为的直接体现，对卫星通信网的异常检测主要是对地球站的检测。对异常行为的攻击用传统的检测方式是难以检测的。目前，卫 星网管还没有针对这一问题提出有效的异常检测机制和解决方案。 

发明内容

本发明的目的在于提供一种能从事后分析和实时两个方面检测卫星通信网中地球站的行为异常并向用户发出异常告警的方法，从而实现基于网控的卫星通信网的异常检测。 

实现本发明目的的技术解决方案为：一种基于网控的卫星通信网异常检测方法，设置于卫星通信网安全防护的总体框架中，实现审计数据异常和信令序列异常的检测，包括数据获取预处理模块、审计检测模块、基于通信信令建模、HMM模型检测、模式匹配知识库建模、模式匹配知识库检测模块和图形用户界面模块，数据获取预处理模块从数据采集接口获取检测数据，并进行数据预处理，输出给其他各模块使用；审计检测模块运用典型聚类算法FCM对大量审计数据进行聚类分析，实现事后分析；基于通信信令建模对信令抽取编码，通过隐马尔科夫算法学习，建立基于正常信令序列的HMM检测模型；HMM模型检测模块在建立了基于正常信令序列的模型基础上，通过网络接口，实时获取某个地球站在一段工作时间内的通信信令序列，经过数据预处理，得到经过简易编码的信令短序列，用分类器对短序列进行检测，得到检测结果，输入图形用户界面模块处理，实现实时检测；模式匹配知识库建模根据地球站用户行为的规律性和确定性，统计出地球站用户行为简单模式，存储为知识库，在模式匹配知识库检测模块检测时通过实时获取通信数据，与地球站用户行为进行匹配比较，发现不同于知识库中的行为模式，则认为是异常，将结果输入到图形用户界面模块处理。 

本发明与现有技术相比，其显著优点：(1)能够有效地保护卫星通信网免受从地球站发起的各种“信令攻击”；(2)结合领域先验知识和运用机器学习技术，利用审计数据进行地球站异常行为的检测方法高效、准确，能适应大规模数据，漏报和误报率低；(3)将机器学习方法用于卫星通信信令的分析上有创新，提出了基于短时间序列的HMM异常检测方法，该方法不仅具有优良的检测性能，并且检测信令时间很短，反应速度很快，能够实现在线检测的目标，增强信令***的安全；(4)提高执勤人员执勤效率，减轻执勤人员工作压力。 

下面结合附图对本发明作进一步详细描述。 

附图说明

图1是卫星通信网安全防护的整体框架图。 

图2是基于网控的卫星通信网异常检测核心模块图。 

图3是基于网控的卫星通信网异常检测工作流程图。 

图4是分类器选择与训练过程图。 

图5是基于隐马尔科夫的异常检测模型图。 

具体实施方式

1、本发明是在卫星通信网安全防护的整体框架中进行异常检测的，用于各类卫星网控***，及时发现卫星通信***中异常行为。图1给出了卫星通信网安全防护的整体框架图。该防护框架包括网控中心服务器安全防护***、地球站异常行为检测、卫星通信控制信道安全、通用信令***设计四个方面。 

(a)网控中心服务器的安全防护***包括了访问控制机制、身份认证、加密***和入侵检测***。利用通用的各种网络安全防护技术保护网控中心服务器的安全，特别是对远程用户到本地的非授权访问R2L和非授权获得超级用户权限攻击U2R这两大类攻击的防范。 

(b)地球站异常行为检测子***实现了基于网控的卫星通信网异常检测方法，主要包括审计数据的异常检测和各个地球站发出的信令序列的异常检测。该子***主要针对仿冒合法地球站对网控中心发起的各种攻击。攻击者在攻击了网控中心后，***的审计记录中留下攻击者的攻击痕迹，通过聚类分析方法从海量的审计数据中发现异常行为，这种方法属于“事后分析”；信令序列异常检测模型学习正常地球站的行为，任何偏离正常地球站“轮廓”的信令序列将被认为是异常，实现基于地球站信令序列的异常检测。由于模型是监控所有地球站发出的信令序列，并进行检测，属于“实时监控”。 

(c)卫星通信控制信道安全包含了两个部分，即信道加密和信道抗干扰。 

(d)卫星通信网通用信令***设计突出了信令的安全性设计，对卫星通信网遭遇的安全威胁和现有的安全措施进行分析，结合卫星通信网自身的特点，设计了安全通用的信令***，并用协议验证的方法对安全性进行形式化分析。 

2、本发明基于网控的卫星通信网异常检测方法能够从事后分析和实时两个方面检测卫星通信网中地球站的行为异常并向用户发出异常告警。***包括两个接口：数据获取接口和用户图形界面接口。数据获取接口包括数据库接口和UDP帧接口，负责从ORACLE数据库和UDP帧获取供训练和检测数据；用户图形接口是***提供给用户的一个可视化人机接口，用户可以通过这个接口对***进行实时监控，同时可以更改***参数配置。本发明基于网控的卫星通信网异常检测方法由以下七个核心模块实施，如图2所示： 

(a)数据获取预处理模块，从数据采集接口获取检测数据，并对其进行标准化、归一化的数据预处理，形成标准的、能够被聚类分析和实时训练检测处理的数据，然后根据用户选择，可以将产生的标准数据保存于文件或数据库中； 

(b)模式匹配知识库建模，根据地球站用户行为的规律性和确定性，统计出地球站用户行为一些简单模式，存储为知识库； 

(c)模式匹配知识库检测，实时获取通信数据，与地球站用户行为进行匹配比较，发现不同于模式匹配知识库中的行为模式，则认为是异常，将结果输入到图形用户界面模块处理； 

(d)审计检测模块，运用典型聚类算法FCM对网控中心数据库中记录的大量审计数据进行聚类分析，发现异常行为； 

(e)HMM建模，通过与卫星通信***的接口，实时获取地球站与网控中心通信的信令，通过隐马尔科夫算法学习，得到状态转移矩阵和可见符合转移矩阵，建立基于正常信令序列的HMM检测模型。 

(f)HMM模型检测，在建立了基于正常信令序列的模型基础上，通过网络接口，实时获取某个地球站在一段工作时间内的通信信令序列，经过数据预处理，得到经过简易编码的信令短序列，用分类器对短序列进行检测，得到检测结果，输入图形用户界面模块处理。 

(g)图形用户界面，接收模式匹配、审计检测和HMM实时检测模块的检测结果，然后通过图表等直观易懂的图形化表示方式将各个检测结果显示出来，提供用户设置***参数的接口，以及提供接受人工干预并将干预结果反馈到***中的接口。 

本发明基于网控的卫星通信网异常检测方法从审计记录和实时信令序列两个方面，并辅助模式匹配对***进行检测，其工作流程如图3所示。***一方面从网控中心数据库中抽取审计记录，经过数据预处理后得到用于聚类分析的数值化数据，经过聚类分析，得到对历史审计数据的检测结果；经过对数据库中数据的采集，通过模式匹配算法的学习，建立模式库，然后通过***与网络管理***的接口，获取数据帧，将数据帧中相应的数据字段与模式库进行匹配，如果不匹配，表明有异常发生，如果出现误判，操作员可以干预***，让该误判记录增加到模式库中；另一方面，异常检测***通过与网管***接口，获取地球站与网控通信的信令，经过数据预处理后得到用于训练分类器的正常信令序列和被检测的信令短序列，采用隐马尔科夫算法，对正常信令序列进行学习，得到基于正常信令序列的单类分类器，得到分类器后，将实时获取的信令短序列进行检测， 如果操作员发现检测结果有误，可以将新出现的序列增加入训练序列中对分类器进行重新训练，得到更新后的训练器。 

3、本发明基于网控的卫星通信网异常检测方法中的基于审计数据的异常检测 

从网控数据库中抽取描述地球站行为的审计记录，经过数据预处理后，得到用于聚类分析的数值化数据，利用数据挖掘技术中模糊C均值(FCM)聚类算法，对卫星通信网正常的审计数据进行学习，通过计算历史审计数据偏离各个正常样本聚类模式的程度，得到对历史审计数据的检测结果，建立了异常检测机制。通过聚类分析等机器学习方法从海量的审计数据中发现异常行为属于“事后分析”。 

模糊c均值聚类(FCM)假定每个样本都是“模糊”隶属于某一类的，既可以属于一类，也可以属于另一类。令 (其中Rs为数据集)，且u＝{u_ik}_c×n∈M_fcn(其中M_fcn为划分矩阵)，聚类中心v＝{v₁，v₂，…，v_c}，v_i∈R^s；1＜m＜+∞，2≤c＜n，则FCM的全局目标函数定义如下： 

$J_m=\underset{i=1}{\overset{c}{\mathrm{\Σ}}}\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{u}_{\mathrm{ik}}^m{\left|\right|x_k-v_i\left|\right|}^2...\left(1\right)$

其中m是一个用来控制不同类别的混合度的自由参数，称作模糊指数； 

(1)式的约束条件是： 

$0\≤u_{\mathrm{ik}}\≤1;\underset{i=1}{\overset{c}{\mathrm{\Σ}}}{u}_{\mathrm{ik}}=1,\∀k;\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{u}_{\mathrm{ik}}>0...\left(2\right)$

可以看出，当u_ik＝0时，该目标函数就等于k-means的目标函数；当u_ik＞0时，允许每个样本属于多个类；当求解目标函数最小时，解得： 

$u_{\mathrm{ik}}=\frac{{(1/{\left|\right|x_k-v_i\left|\right|}^2)}^{1/(m-1)}}{\underset{j=1}{\overset{c}{\mathrm{\Σ}}}{(1/{\left|\right|x_k-v_j\left|\right|}^2)}^{1/(m-1)}},\∀i...\left(3\right)$

$v_i=\frac{\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{u}_{\mathrm{ik}}^m{x}_k}{\underset{k=1}{\overset{n}{\mathrm{\Σ}}}{u}_{\mathrm{ik}}^m},\∀i...\left(4\right)$

当每个聚类中心u_ik靠近那些属于他自己类别的高估概率点时，J_m就会最小化，由于找到式(3)、(4)的解析解比较困难，所以采用迭代估算聚类均值和点概率的方法，算法步骤如下： 

(a)输入n，c，m，u等参数； 

(b)由约束条件归一化u_ik； 

(c)do由式(3)式重新计算u_ik； 

(d)由式(4)式重新计算v_i； 

(e)until u_ik与v_i变化很小； 

(f)return u。 

4、本发明基于网控的卫星通信网异常检测方法中的基于通信信令的异常检测 

(a)采用典型的单类分类器检测方法-支持向量数据描述，对采集的少量样本进行单分类，总结出正常和异常短序列库，指导网络管理人员处理网络信令异常。 

用正常的信令训练序列对选择好的模型进行训练，得到训练好的分类器模型，用测试信令序列对训练好的分类器模型进行测试，如果分类器精度达到要求，则训练结束；否则对分类器进行参数调整，重新进行测试。图4是分类器选择与训练过程。 

支持向量数据描述(SVDD)其基本思想是利用高斯核函数把样本空间映射到核空间，在核空间找到一个能够包含所有训练数据的一个球体。当判别时，如果测试样本位于这个高维球体中，那么就认为正常，否则就认为异常。假设模型f(x；w)表示一类紧密的有界数据集，借助一个超球体ε_struct(R，a)去包含并描述它。这个球体用中心a和半径R表示，而且使训练集的所有样本都落在此球体内。为了提高结果的鲁棒性，仿照SVM为每个样本引入松弛变量 以控制野值对解的影响。因此，最小化问题变为如下形式： 

ε_struct(R，a)＝R²

其约束条件为： 

${\left|\right|x_i-a\left|\right|}^2\≤R^2+{\mathrm{\ξ}}_i,{\mathrm{\ξ}}_i\≥0,\∀i$

参数C类似于SVM中的控制变量。 

利用Lagrange函数求解上述约束下的最小化问题，可得： 

$l=\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_i(x_i\·x_i)-\underset{i,j}{\mathrm{\Σ}}{\mathrm{\α}}_i{\mathrm{\α}}_j(x_i\·x_j)$

约束为： $\left(1\right)\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_i=1,$ $\left(2\right)0\≤{\mathrm{\α}}_i\≤C,\∀i$

假设z为测试样本，那么当如下公式满足，即判z是正常类，否则为异常类。相当于z落在该超球体内部。 

${\left|\right|z-a\left|\right|}^2=(z\·z)-2\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_i(z\·x_i)+\underset{i,j}{\mathrm{\Σ}}{\mathrm{\α}}_i{\mathrm{\α}}_j(x_i\·x_j)\≤R^2$

其中，R是任意一个支持向量x_k到球心a的距离： 

$R^2=(x_k\·x_k)-2\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_i(x_i\·x_k)+\underset{i,j}{\mathrm{\Σ}}{\mathrm{\α}}_i{\mathrm{\α}}_j(x_i\·x_j)$

当输入空间的样本点不满足球状分布时，通过核技巧把输入空间先映射到高维空间，然后在映射后的高维空间内求解。将上述公式中的内积形式都变换成核函数形式： 

x_i·x_j→φ(x_i)·φ(x_j)＝K(x_i，x_j) 

引入核函数后，原来的公式变成了如下形式： 

$L=\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_{i}K(x_i,x_i)-\underset{i,j}{\mathrm{\Σ}}{\mathrm{\α}}_i{\mathrm{\α}}_{j}K(x_i,x_j)$

约束不变，而决策函数变为： 

$f_{\mathrm{SVDD}}(z,\mathrm{\α},R)=I({\left|\right|\mathrm{\φ}\left(z\right)-\mathrm{\φ}\left(a\right)\left|\right|}^2\≤R^2)$

$=I(K(z,z)-2\underset{i}{\mathrm{\Σ}}{\mathrm{\α}}_{i}K(z,x_i)+\underset{i,j}{\mathrm{\Σ}}{\mathrm{\α}}_i{\mathrm{\α}}_{j}K(x_i,x_j)\≤R^2)$

这里指示函数I定义为： 

$I\left(A\right)=\left\{\begin{array}{cc}1& \mathrm{if\; A\; is\; true}\\ -1& \mathrm{otherwise}\end{array}\right.$

(b)由于正常用户行为产生的通信序列存在连续性和规律性，是一组时变的离散序列，因此采用隐马尔科夫模型来处理离散时间的数据样本序列。通过对地球站正常用户行为所产生信令简化编码处理，得到符号化的信令序列，然后用Baum-Welch算法估计得到模型的参数，完成对隐马尔科夫模型的建模，用该隐马尔科夫模型对整个时间段的全部地球站通信信令进行异常检测，实现了基于通信信令的异常检测。 

如图5所示，隐马尔科夫模型是一个双重随机过程，即内含一个不可见的(隐藏的)从属随机过程的随机过程，此不可见的从属随机过程只能通过另一套产生观察序列的随机过程观察得到。 

假设卫星通信网中某个地球站用户行为正常，在一个长为T的时段内产生的可被观测的通信信令符号化序列，记为：V^T＝{v₁，v₂，...，v_X}，该可见符号化序列对应一个隐含的通信状态序列，记为：ω^T＝{ω₁，ω₂，...，ω_Y}。隐状态序列产生的机理是通过状态转移概 率，此概率记为：P(ω_j(t+1)|ω_i(t))＝a_ij，表示某一个时刻处于状态ω_i的情况下，下一个时刻转换为状态ω_j的概率。而在某一个状态ω(t)下，可被观测的符号v(t)同样有相应概率，记为：P(v_k(t)|ω_j(t))＝b_jk。模型只能观测到可见的符号序列，而不能直接知道内部ω_j是处于通话状态还是呼叫状态等状态。隐马尔科夫模型关注下列3个核心问题： 

估值问题：假设有一个转移概率a_ij和b_jk均已知的HMM，计算这个模型产生某一个特定观测序列V^T的概率； 

解码问题：假设已经有一个HMM和它产生的一个观测序列，决定最有可能产生这个可见序列的隐状态序列ω^T； 

学习问题：假设只知道一个HMM的大致结构(比如隐状态和可见符号数量)，但是a_ij和b_jk均未知，如何从一组可见符号的训练序列中，决定这些参数。 

模型表示为如下形式：λ＝(A，B，π)，A＝{a_ij}表示状态转移概率矩阵，B＝{b_jk}表示可观测符号概率矩阵，π＝{π_l}，1≤l≤N表示初始状态分布，并且P＝{p₁，p₂，...p_M}表示M个观测符号集合，Q＝{q₁，q₂，...，q_N}表示N个隐状态集合。这里首先要解决学习问题，即通过正常通信信令序列训练样本确定模型的转移概率a_ij和b_jk，本发明采用著名的Baum-Welch算法，可见符号数量M＝9，隐状态数量N分别取值为10、15和20来进行参数估计，分别得到3个隐马尔科夫模型。然后，将待测试的通信信令序列经过模型检测，看该信令序列与模型匹配的概率，解决估值问题。卫星通信中隐状态可以是通话状态、挂机状态等，可见符号序列是通信信令符号化之后的序列，形如：2，5，1，8，7，6，4，……。 

Baum-Welch算法是只知道观察序列而不知道对应的状态序列的情况下，计算模型参数A，B，π，是极大似然算法(EM)的一种实现： 

算法开始使用大略的或者说是任意的关于a_ij和b_jk的估计，然后根据如下公式(5)和公式(6)进行逐步修正，直到达到收敛为止。 

${\hat{a}}_{\mathrm{ij}}=\frac{{\mathrm{\Σ}}_{t=1}^T{\mathrm{\γ}}_{\mathrm{ij}}\left(t\right)}{{\mathrm{\Σ}}_{t=1}^T{\mathrm{\Σ}}_k{\mathrm{\γ}}_{\mathrm{jk}}\left(t\right)}...\left(5\right)$

$\widehat{b_{\mathrm{jk}}}=\frac{{\underset{v\left(t\right)=v_k}{\mathrm{\Σ}}}_{i=1}^T\underset{q}{\mathrm{\Σ}}{\mathrm{\γ}}_{\mathrm{jq}}\left(t\right)}{{\mathrm{\Σ}}_{t=1}^T\underset{q}{\mathrm{\Σ}}{\mathrm{\γ}}_{\mathrm{jq}}\left(t\right)}...\left(6\right)$

其中，公式 定义为从状态ω_i(t-1)转移到状态ω_j(t)的概率，P(V^T|λ)是模型用任意的隐路径产生序列V^T的概率。α_i(t)和β_i(t)分别由公式(7)和(8)给出： 

分别计算模型在t时刻位于隐状态ω_j，并且已经产生了可见序列V^T的前t个符号的概率和在t时刻位于状态ω_i，并且将产生t时刻之后的目标序列的概率。 

隐马尔科夫模型检测的过程如图5所示。模型建立后，再从网控中心读取正常通信信令和异常通信信令，编码符号化之后，用长度为K的滑动窗口对信令序列进行分割，滑动窗口步进向后移动一位。假设测试序列长为T，则短序列集包含(T-K+1)个长为K的短序列，用模型求得每个测试短序列的输出概率，如果测试短序列的输出概率小于给定阈值θ(该阈值表征短序列与模型的匹配程度或相似度，大于该值则认为短序列匹配模型，说明其是正常信令序列，因为模型是只使用正常通信信令训练得到)，则将该短序列标定为“不匹配”，计数器加1，测试的数据中不匹配的短序列数与总短序列数的比值定义为异常度，当异常度超过另一给定阈值ε时，则认为通信信令异常，给出报警信息。K依次取值4，8，12，16和20(因为至少需要4个信令才可以完成一次正常通信过程，故K步进为4)。 

Claims (4)

1.一种基于网控的卫星通信网异常检测***，其特征在于该***设置于卫星通信网安全防护的总体框架中，实现审计数据异常和信令序列异常的检测，包括数据获取预处理模块、审计检测模块、基于通信信令建模模块、HMM模型检测、模式匹配知识库建模模块、模式匹配知识库检测模块和图形用户界面模块，数据获取预处理模块从数据采集接口获取检测数据，并进行标准化、归一化处理，输出给其他各模块使用；审计检测模块运用典型聚类算法FCM对大量审计数据进行聚类分析，实现事后分析，即通过聚类分析的机器学习方法从海量的审计数据中发现异常行为；基于通信信令建模模块对信令抽取编码，通过隐马尔科夫算法学习，建立基于正常信令序列的HMM检测模型；HMM模型检测模块在建立了基于正常信令序列的模型基础上，通过网络接口，实时获取某个地球站在一段工作时间内的通信信令序列，经过数据预处理，得到经过简易编码的信令短序列，用分类器对短序列进行检测，得到检测结果，输入图形用户界面模块处理，实现实时检测；模式匹配知识库建模模块根据地球站用户行为的规律性和确定性，统计出地球站用户行为简单模式，存储为知识库，在模式匹配知识库检测模块检测时通过实时获取通信数据，与地球站用户行为进行匹配比较，发现不同于知识库中的行为模式，则认为是异常，将结果输入到图形用户界面模块处理。

2.根据权利要求1所述的基于网控的卫星通信网异常检测***，其特征在于在审计检测模块中，基于审计数据的异常检测，利用数据挖掘技术中模糊C均值聚类算法，对卫星通信网正常的审计数据进行学习，通过计算偏离各个正常样本聚类模式的程度，来建立异常检测机制。

3.根据权利要求1所述的基于网控的卫星通信网异常检测***，其特征在于在HMM模型检测模块中，基于通信信令的异常检测采用典型的单类分类器检测方法-支持向量数据描述，用正常的信令训练序列对选择好的模型进行训练，得到训练好的分类器模型，用测试信令序列对训练好的分类器模型进行测试，如果分类器精度达到要求，则训练结束；否则对分类器进行参数调整，重新进行测试。

4.根据权利要求1所述的基于网控的卫星通信网异常检测***，其特征在于在基于通信信令建模模块中，基于通信信令的异常检测采用隐马尔可夫模型，通过对地球站正常用户行为所产生信令，经过简化编码处理，得到符号化的信令序列，然后Baum-Welch算法估计得到模型的参数，完成对隐马尔可夫模型的建模，模型建立后，再从网控中心读取正常通信信令和异常通信信令，编码符号化之后，用长度为K的滑动窗口对信令序列进行分割，滑动窗口步进向后移动一位，假设测试序列长为T，则短序列集包含T-K+1个长为K的短序列，用隐马尔可夫模型求得每个测试短序列的输出概率，如果测试短序列的输出概率小于给定阈值θ，则将该短序列标定为“不匹配”，计数器加1，测试的数据中不匹配的短序列数与总短序列数的比值定义为异常度，当异常度超过另一给定阈值ε时，则认为通信信令异常，给出报警信息。