战术数据链无线入侵检测与控制技术

摘 要： 对战术数据链在未来信息化战场条件下可能面临的几种典型无线入侵方式进行分析，提出一种分布式入侵检测控制架构。在该架构下，利用异常入侵检测方法对无线入侵事件进行检测识别，并采取相应的措施对这些事件进行控制。

关键词： 战术数据链； 无线入侵检测； 网络干扰； 信息窃取； 信息欺骗

中图分类号： TN911.7?34 文献标识码： A 文章编号： 1004?373X（2013）11?0019?03

0 引 言

战术数据链在传感器、指挥控制单元和武器平台之间实时传输战术信息，是作战部队获取信息优势的重要保障手段。对敌方战术数据链系统实施无线入侵，降低甚至中断其通信保障能力，窃取系统高价值信息，注入虚假错误信息进行欺骗，可有效削弱敌方信息优势。因此，在未来信息化战争条件下，以无线信道为主使用通信手段的战术数据链系统，将面临敌方恶意的无线入侵。对敌方无线入侵进行检测识别并采取有效措施进行控制，提升数据链系统抗网络攻击能力，是获取战场信息优势的重要保障。

从文献[1]中可以看出，针对C4ISR系统的网络攻击已不仅仅局限于传统的物理层信号干扰，还包括网络干扰阻塞、信息窃取欺骗等多种方式。从国内外研究情况来看，针对战术数据链无线入侵的研究主要集中在物理层信号干扰上[2?3]，还没有相关文献对战术数据链其他方面的无线入侵进行研究。本文在分析战术数据链典型无线入侵方式的基础上，提出了一种分布式的无线入侵检测控制架构，并对入侵检测和控制方法进行讨论。

1 战术数据链无线入侵典型方式及处理方式

1.1 战术数据链无线入侵典型方式

针对战术数据链的无线入侵主要目的在于降低对方通过数据链获取信息优势的能力，其主要方式包括：压制干扰、网络干扰、信息窃取及信息欺骗四种。

压制干扰是指在对方数据链无线通信频率上人为地发送一定功率的干扰信号，以使对方无线链路接收机降低或丧失接收数据链信息的能力，属于传统的无线入侵方式。战术数据链受到压制干扰后，会导致无线链路中信息发送成功率突然下降，甚至链路完全中断。

网络干扰是指通过向对方数据链无线链路发送大量无效信息，以使对方数据链大量网络资源被非法占用。战术数据链在受到网络干扰后，网络业务流量会急剧增加，网络中出现了信息拥塞，合法网络成员无法获取所需要的网络资源来传输业务，网络性能严重下降。

信息窃取是指伪装对方数据链网络的合法成员，企图加入对方网络，并从网络中窃取收集战场态势、作战计划、指挥控制指令、作战平台实时位置、合法网络成员地址等高价值信息。战术数据链信息一旦被成功窃取，数据链网络中的作战平台部署、行动计划等关键信息可能会直接暴露给敌方，导致严重后果。

信息欺骗是指在基本掌握对方数据链网络的工作参数的情况下，向对方数据链网络发送错误信息，或者接收对方信息进行篡改后重新发送，这些信息一般包括：敌我双方态势、作战指令等作战关键信息。如果上述欺骗/篡改信息被按照正常处理，将导致执行方做出错误判断和决策。

1.2 无线入侵处理方式

战术数据链系统一般通过无线入侵检测、节点可信接入、协议安全防护、信息分级保护、安全态势监控管理等措施来完成无线入侵事件的处理和控制。

无线入侵检测通过对无线信道传输的消息和协议的分析，实现数据链无线攻击的入侵检测，能够检测上述四种典型无线入侵方式。

节点可信接入通过统一的身份标识方法，实现数据链网络成员身份的统一管理，实现系统中节点身份管理和可信接入，阻止虚假节点的非法接入。

协议安全防护通过在链路层、网络层实现非法成员或消息识别等手段，在应用层实现安全可信连接、数据防护等手段，对链路层、网络层、应用层协议进行安全加固，以防止针对协议的重放、仿冒、篡改等攻击，实现协议安全防护处理过程中的异常告警。

信息分级保护根据数据链各层次的功能域、信息等级、面临安全威胁、遭受攻击后的危害程度等方面划分数据链系统的信息保护等级，实现信息分发、处理过程中的分级保护，具备信息传输分级保护能力。

安全态势监控管理实现对数据链系统安全态势的统一监控与管理，通过收集无线链路上报信息进行汇总、关联和分析，形成无线安全态势。同时对当前网络的安全态势进行评估，为数据链系统安全控制参数调整提供依据。

2 战术数据链无线入侵检测与控制架构

战术数据链无线入侵检测通过实时收集数据链网络运行状态数据，进行统计分析，针对出现的各种异常情况，例如：丢包率上升、接收信号强度低、出现可疑成员、业务流量异常增加或减少等，判断是否出现无线入侵。对于出现的无线入侵，采取相应处理措施，例如：更改无线链路工作参数，删除入侵成员，过滤可疑信息，恢复网络正常运行状态。

目前，常用入侵检测系统架构大致可以分为基于主机型、基于网络型和分布式三种[4]。战术数据链网络中参与节点地理位置分散，且节点处理能力不一致。因此，战术数据链无线入侵检测较适于采用分布式检测结构，如图1所示。

战术数据链网络中的节点分为两类：一类为网络管理节点，具有较强的处理能力；另外一类为普通节点，处理能力相对较弱。网络管理节点和普通节点入侵检测与控制架构相同，都由数据收集、统计分析、处理单元三个功能模块组成。

数据收集模块完成外部事件收集处理，对于普通节点，外部事件仅有网络状态，包括：网络当前成员地址表，成员业务量，消息包解析情况等；对于网络管理节点，除网络状态外，根据设备配置情况，还可以收集频谱监测和操作员输入信息，以进行综合评估分析。数据收集模块根据外部事件，经过初步分析处理，生成原始事件，例如：发现强信号干扰、网络业务流量变化率、网络成员变化情况、异常消息包等，向统计分析模块发送。

统计分析模块接收数据收集模块发送的原始事件，综合当前和近期网络运行状态，评估分析是否出现无线入侵事件：压制干扰、网络干扰、信息窃取及信息欺骗，并将入侵事件向处理单元输出。

处理单元根据入侵事件类型，采取相应的措施进行处理，例如：更改无线链路工作参数，过滤非法业务，屏蔽非法用户，向操作员告警等，以恢复网络正常运行状态。在入侵事件处理过程中，网络管理节点可向普通节点发送网络管理指令调整网络工作参数以应对该事件；在入侵事件处理完成后，普通节点向网络管理节点报告入侵事件及处理结果，以便网络管理节点形成整个网络的统一安全态势。

3 战术数据链无线入侵检测方法

常用的入侵检测方法主要分为两大类：基于误用检测和基于异常的入侵检测[5]。误用入侵检测是指通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测识别非法入侵；异常入侵检测主要是指根据异常行为来检测入侵，通过定量方式描述可接受的行为特征，以区分非正常的、潜在的入侵行为。

由于针对战术数据链的无线入侵还没有已知的固定方式。因此，战术数据链采用异常入侵检测方法进行检测识别，包括统计分析检测和异常行为检测。前者主要针对通过发送大量报文来达到目标的无线入侵，包括：网络干扰和信息欺骗；后者主要通过检测网络中的异常行为来判断是否出现入侵事件。

3.1 统计分析检测

统计分析检测主要通过实时统计指定时间段内的战术数据链网络中业务流量，并将当前业务等级与配置或者历史业务等级进行比较，如果发现业务流量短时内急剧上升，偏离期望值，那么就可以判断发生无线入侵。

在网络干扰、信息欺骗入侵方式下，攻击方可能会在短时间内向目标战术数据链网络发送大量的消息包，非法挤占合法用户的有限网络资源，严重降低网络性能，导致合法用户无法有效传输业务。在这种情况下，攻击方大量发送的消息一般为广播类态势消息，这类消息网络内所有用户都要求处理，难以过滤。这种入侵方式不仅占用网络资源，还占用网络成员的处理资源。在进行统计分析检测时，主要针对这类消息的业务流量进行统计。

统计分析检测方法主要依赖于期望值设定的准确性，期望值和统计时间段设定必须合适，否则很容易产生误报与漏报。

3.2 异常行为检测

异常行为检测主要监视网络运行过程中的异常事件，与正常行为进行比较分析，从而判断该异常事件是否属于入侵事件。通常情况下，战术数据链网络在遭受无线入侵时，会出现以下异常情况：

（1）无线信道异常，如果本平台数据链端机接收的信号强度过低，或者丢包率在短时间内激增，那么表明存在无线信号干扰。结合频谱监测信息进一步判断，如果这种无线信号干扰突然出现，并且与友方平台无关，那么可以判断该干扰是人为压制干扰。

（2）重复成员，如果网络内出现多个具有相同编号的成员，这些重复的网络成员可以正常的在网络内发送或接收信息，那么可以认为出现网络干扰或信息窃取入侵。

（3）不明成员，如果网络内出现编号不包含在网络地址表里面的不明身份成员，且这些成员可以正常的在网络内发送或接收信息，那么可以认为出现网络干扰或信息窃取入侵。

（4）不明入网申请，如果网络内出现不明身份的网络成员发送的入网申请，表明非法单元尝试侵入已开通的网络，那么可以认为出现信息窃取入侵。

（5）网络工作参数异常变化，战术数据链网络工作参数受网内的网络管理站控制，如果网络管理节点检测到普通节点发送的对于网络管理指令的应答，且网络管理节点没有发送该指令，那么可以认为出现信息欺骗入侵。

（6）计数器异常，如果网络成员在短时间内接收到的消息包中计数器重复，或者计数器混乱，表明人为在重放消息包，那么可以认为出现网络干扰或信息欺骗入侵。

（7）同步错误，如果网络成员接收到的消息包中时间与期望值差别超过阈值，表明非法单元尝试侵入已开通的网络，那么可以认为出现信息窃取入侵。

（8）帧结构错误，如果网络成员接收到的消息包帧结构错误，表明攻击方未掌握正确的数据包帧结构，那么可以认为出现信息欺骗入侵。

（9）消息格式错误，如果网络成员接收到的消息包中格式化消息错误，表明攻击方未掌握正确的消息格式，那么可以认为出现信息欺骗入侵。

（10）解密错误，如果网络成员接收到的消息解密错误，表明未获取正确密钥单元尝试侵入已开通的网络，那么可以认为出现信息窃取或信息欺骗入侵。

4 战术数据链无线入侵控制方法

对于以上战术数据链无线入侵事件，可以通过工作参数调整、非法成员屏蔽、消息过滤等措施进行控制。

（1）工作参数调整，在战术数据链出现无线信道异常等情况时，可采用工作参数调整的方法对战术数据链网络进行干预。在发现压制干扰时，结合频谱监测系统选择可用频率，并调整数据链网络工作参数至该频点上，以对敌方压制干扰进行规避，或者选用抗干扰能力更强的传输波形，增加敌方压制干扰难度。另外，在发现其他入侵事件时，也可以通过不定期变更网络工作参数，如频率、密钥等，使敌方不能及时掌握数据链网络工作参数，降低入侵成功的概率。

（2）非法成员屏蔽，在网络中出现重复成员、不明成员、不明入网申请等情况时，可采用屏蔽非法成员的方法来阻止网络中出现的非法成员，以禁止这些非法成员向网络内发送高流量业务阻塞网络，从网络内窃取信息，或向网络内发送欺骗信息。

（3）消息过滤，在网络中出现网络工作参数异常变化、计数器异常、同步错误、帧结构错误、消息格式错误、解密错误时，可采用消息过滤的方法来对接收到的非法消息包进行丢弃处理，包括：非法网络管理消息，重复消息包，同步、帧结构、消息格式及解密错误的消息包等。

综上所述，战术数据链网络中通常出现的无线入侵事件及检测控制方法参见表1。

5 结 论

本文对战术数据链无线入侵检测控制技术进行了分析研究。在对典型无线入侵方式进行分析的基础上，提出了一种分布式战术数据链入侵检测控制架构。在该架构下，利用统计分析检测和异常行为检测方法对无线入侵事件进行检测，并通过工作参数调整、非法成员屏蔽、消息过滤等方法对无线入侵事件进行控制。

未来信息化战场条件下，战术数据链面临的恶意攻击方式将越来越多，技术越来越先进。本文提出的方法能够在一定程度上对战术数据链受到的无线入侵事件进行检测并控制，对国内战术数据链系统的建设有一定的参考意义。

参考文献

[1] 袁秀丽，周洪宇，周谷.世界网络战发展现状的初步研究[J].信息化研究，2010（8）：20?21.

[2] 殷璐，严建钢，樊严.Link?16战术数据链抗干扰性能评估与仿真[J].航天电子对抗，2007（3）：40?42.

[3] 林茂森，殷璐，李相全.JTIDS抗干扰性能与仿真[J].通信对抗，2007（1）：36?39.

[4] 唐正军.入侵检测技术导论[M].北京：机械工业出版社，2004.

[5] 王利平.无线局域网入侵检测技术研究[D].武汉：华中科技大学，2008.

[6] 王宝康，陈强.战术TDMA网络分析与研究[J].现代电子技术，2012，35（23）：21?23.