本发明公开了一种面向综合电子系统的异常检测方法,提出了一种基于命令字序列规范和时间序列相结合的方法。其中,命令字序列规范方法用于检测周期性消息是否异常,时间序列方法选用马尔科夫模型,用于预测非周期性消息是否异常。方法包括如下步骤：1)收集数据：收集总线传输数据；2)生成检测器：根据日志信息,自生成周期性命令字序列规范,并训练马尔可夫模型；3)入侵检测：将待检测的消息按照命令字序列规范检测,当消息的命令字不符合序列规范时,将其识别为非周期性消息,进行非周期性消息检测,若仍检测不通过,则告警。本发明可检测出总线控制器和子系统之间的攻击,可以有效的抵御重放攻击、伪造攻击、拒绝服务等多种攻击。

• 单位
  华东师范大学; 中国空间技术研究院