船舶数字通信的分布式入侵防御系统构建.pdf

1、第45卷第19 期2023年10 月舰船科学技术SHIP SCIENCEANDTECHNOLOGYVol.45,No.19Oct.,2023船舶数字通信的分布式入侵防御系统构建刘浪1.2（1.武汉理工大学，湖北武汉430 0 7 0；2.景德镇学院信息工程学院，江西景德镇3330 0 0）摘要：构建船舶数字通信的分布式人侵防御系统可以提高船舶网络的安全性、可用性和管理效率，保护船舶的敏感信息和商业利益，确保船舶的正常运行和通信安全，具有非常重要的开发价值。本文研究核心在于分布式人侵防御系统的关键技术开发，包括信息的加密技术、数据库技术、安全通信技术以及防御系统的业务逻辑层搭建等，基于Windo

2、ws平台开发了船舶数字通信的分布式入侵防御系统。关键词：数字通信；分布式入侵防御系统；数据库；加密技术中图分类号：TN915.1文章编号：16 7 2-7 6 49(2 0 2 3)19-0 16 5-0 4Construction of distributed intrusion prevention system for ship digital communication2.School of Information Engineering,Jingdezhen University,Jingdezhen 333000,China)Abstract:Building a distribu

3、ted intrusion prevention system for ship digital communication can improve the security,availability and management efficiency of ship network,protect sensitive information and commercial interests of ships,andensure the normal operation and communication security of ships,which has very important d

4、evelopment value.The core ofthis paper is the development of key technologies of distributed intrusion prevention system,including information encryp-tion technology,database technology,secure communication technology and business logic layer construction of defensesystem,etc.Based on Windows platfo

5、rm,distributed intrusion prevention system of ship digital communication is de-veloped.Key words:digital communication;distributed intrusion prevention system;database;encryption technology0引言船舶数字通信是指船舶之间或船舶与岸上通信站之间，使用数字信号传输信息，包括语音通信、数据传输和图像传输等。船舶数字通信可以通过卫星通信、无线电通信、光纤通信等多种技术实现，提高了船舶通信的质量和速率，方便了船舶的通信

6、需求。为了提高船舶数字通信的安全性，本文重点研究船舶数字通信的分布式入侵防御系统的构建。船舶数字通信的分布式人侵防御系统的意义包括：1）提高船舶网络安全性。船舶数字通信系统面临着各种网络安全威胁，如黑客攻击、病毒感染等。构建分布式人侵防御系统可以有效地监测和阻止这些威胁，保护船舶网络的安全。收稿日期：2 0 2 3-0 4-2 1基金项目：江西省教育科学“十四五”规划项目（2 1YB275）作者简介：刘浪（198 0），男，硕士，副教授，研究方向为网络设计及网络安全。文献标识码：Adoi:10.3404/j.issn.1672-7649.2023.19.030LIU Langl2(1.Wuha

7、n University of Technology,Wuhan 430070,China;信息，如航线、货物信息等。构建分布式人侵防御系统可以防止黑客入侵并窃取这些信息，保护船舶的商业机密和隐私。3）提高网络可用性。人侵事件可能导致船舶网络瘫痪，影响船舶的正常运行和通信。分布式入侵防御系统可以及时发现并阻止人侵行为，保障船舶网络的可用性和稳定性。4）实时监控和响应。分布式入侵防御系统可以实时监控船舶通信网络的安全状态，并对异常行为进行快速响应。这有助于及时发现和应对人侵事件，减少安全漏洞的利用时间，降低损失。5）提高船舶网络管理效率。分布式人侵防御系统可以集中管理和监控船舶网络的安全，减少人

8、工干预2）防止信息泄露。船舶数字通信中可能包含敏感系统运行日志日志分析:166 和管理成本。同时，系统可以自动处理一些常见的安全事件，提高网络管理效率。本文分别从船舶数字通信的分布式人侵防御系统的信息加密技术、数据库技术、安全通信技术等进行研究。1船舶通信入侵防御系统的研究与发展现状船舶通信人侵防御系统是一种主动的人侵检测系统，在病毒与异常通信行为侦测之外，系统还具有通信响应与管理的能力，图1为经典的通信入侵防御系统的原理图。IPS防御引擎多重检测器检测器命中？检测器命中？数据包捕获数据包分类状态信息图1通信入侵防御系统的工作原理图Fig.1 Schematic diagram of comm

9、unication intrusionprevention system通信领域的入侵防御系统从原理上可以分为基于主机的入侵防御系统和基于网络的入侵防御系统。1）基于主机的人侵防御系统基于主机的入侵防御系统（HIDS）是一种安装在主机上的防御软件，用于监测和检测主机上的异常活动和人侵行为。HIDS通过监视主机上的系统日志、文件完整性、进程活动、网络连接等信息，识别潜在的人侵行为。HIDS具有以下特点：个性化。HIDS可以根据主机的特定配置和需求进行个性化配置，以适应不同环境和需求。实时监测。HIDS能够实时监测主机上的活动，并及时发出警报或采取相应的防御措施。本地分析。HIDS在主机上进行日志

10、和活动分析，可以更准确地检测和识别入侵行为，减少误报率。2）基于网络的入侵防御系统基于网络的入侵防御系统（NIDS）是一种安装在网络中的设备或软件，用于监测和检测网络流量中的异常活动和入侵行为。NIDS通过监视网络流量、分析网络协议和识别攻击特征，发现和阻止潜在的人侵行为。NIDS具有以下特点：网络范围。NIDS可以监测整个网络流量，含进出网络的数据包和内部流量，以便及时发现入侵行为。舰船科学技术实时监测。NIDS能够实时监测网络流量，并及时发出警报或采取相应的防御措施。集中管理。NIDS可以集中管理和分析网络流量数据，提供全局的入侵检测和防御策略。网络分析。NIDS通过分析网络流量和协议，可

11、以更准确地检测和识别入侵行为，减少误报率。2船舶数字通信分布式入侵防御系统设计2.1整体方案在建立船舶数字通信分布式入侵防御系统时，将基于主机的防御技术与基于网络的防御技术相结合，从数据层面、控制层面和管理层面进行系统的搭建，其功能原理如图2 所示。是否系统监控检测器命中？：检测器命中？第45卷配置管理日志管理通过系统监控层数据通信层核心处理层图2 数字通信分布式入侵防御系统原理图Fig.2 Schematic diagram of digital communication distributedintrusion prevention system1）系统监控层船舶数字通信分布式入侵防御系

12、统的系统监控层是提供系统控制与制定安全策略的中心，执行的任务包括磁盘状态监控、流量监控、知识库管理、系统管理、系统工作日志的采集和分析等。系统监控层是人侵防御系统的上层模块，负责整体的监督与管理。2）数据通信层数据通信层主要由实时通信和系统交互功能单元组成，在整个入侵防御系统中发挥承上启下的作用。一方面，数据通信层是核心处理层与监控层之间的数据链路，系统处理层的指令与反馈信号发送至监控层；另一方面，系统监控层用户的操作指令通过通信模块发送至核心处理层。3）核心处理层核心处理层是人侵防御系统的关键部件，实现的盘状态监控实时通信模块拦截攻击风险计算流量计算知识库数据解码预处理数据包抓取、存储、排序

13、和同步网格风险控制流量监控知识库管理系统管理系统交互模块异常检测备份第45卷功能包括攻击拦截、风险计算、数据解码、异常检测、数据包抓取、存储、排序和同步等。核心处理层的运行质量直接关系到防御系统功能实现。核心处理层由软件程序和硬件电路组成，命令执行流程包括命令接收、命令解析、命令处理和发送至处理器。2.2基于IEEE802.11i协议的安全加密技术船舶数字通信分布式入侵防御系统的信息安全有重要意义，针对这一问题，引人基于IEEE802.11i协议的数据加密机制。基于IEEE802.11i协议的数据加密机制是一种用于保护无线局域网（WLAN）通信安全的协议。该协议定义了一种称为Wi-FiProt

14、ectedAccess2（W PA 2）的安全标准，它是IEEE802.11i的一部分。WPA2使用了2种加密算法来保护数据的机密性：1）高级加密标准（AES）。这是一种对称密钥加密算法，使用12 8 位密钥对数据进行加密。AES是目前被广泛使用的最安全和最强大的加密算法之一。2）T K I P加密标准。这是一种对称密钥加密算法，用于向后兼容旧的WPA标准，TKIP通过对每个数据包使用不同的加密密钥增加安全性，并使用消息完整性检查（MIC）防止数据包被改。除了数据加密外，WPA2还提供了一些其他的通信数据安全功能：1）Pr e-Sh a r e d K e y（PSK）。这是一种使用预先共享的

15、密钥进行身份验证的方法。用户在连接到WLAN时需要输入一个预先共享的密钥，以验证其身份。2）8 0 2.1X认证。这是一种使用远程认证服务器进行身份验证的方法。用户需要提供有效的用户名和密码，以便服务器验证其身份。总的来说，基于IEEE802.11i协议的数据加密机制提供了强大的数据保护功能，可以保护WLAN通信免受未经授权的访问和窃听。本文基于IEEE802.1li的安全机制，设计了数字通信的安全模块，该模块包括客户端、认证系统和服务器3部分，原理图3所示。2.3船舶数字通信分布式防御系统的通信模式船舶数字通信网络中的数据类型包括过程数据、消息数据、监视数据、流数据等，针对数字通信的分布式人

16、侵防御系统，本文使用一种TRDP通信协议，TRDP通信协议主要应用于实时数据通信领域。它可以提供可靠的实时数据传输，确保系统的实时性和可靠性。TRDP通信协议是一种用于实时数据通信的协议。它是基于时间触发的，可以确保数据在特定的时间点进行传输，以满足实时性的要求。TRDP协议的特点包括：1）时间触发。TRDP协议使用时间触发机制，数据传输在预定的时间点进行，以确保实时性和可靠性。刘浪：船舶数字通信的分布式入侵防御系统构建LSupplica认证服务catornt PAEPAE非受控受控端口端口1！LAN图3基于IEEE802.11i的数字通信安全模块Fig.3 Digital communica

17、tion security modulebased on IEEE802.1li2）数据可靠性。TRDP协议使用重传机制来确保数据的可靠传输。如果数据传输失败，协议会自动进行重传，直到数据被成功接收。3）灵活性。TRDP协议支持多种数据传输模式，包括单播、多播和广播，可以适应不同的通信需求。4）数据安全性。TRDP协议支持数据加密和认证机制，以保证数据的安全性和完整性。5）实时性。TRDP协议能够提供精确的数据传输时间，以满足实时数据通信的要求。TRDP通信协议的拓扑原理如图4所示。它向下兼容TCP、U D P协议，包括各类API配置接口和API应用层接口，针对过程数据和消息数据有专门的控制逻

18、辑。1）过程数据API过程数据API是用于获取和操作系统中正在运行的进程和线程的数据接口，它可以提供人侵防御系统进程的状态、CPU使用率、内存使用情况、线程列表等信息。通过过程数据API，开发人员可以监控和管理系统中的进程和线程，以便进行性能优化、资源管理和故障排查等操作。2)消息数据API3应用层其他TRDP协议传输层TCP协议UDP协议网络层IPv4协议IPv6协议数据链路层以太网协议图4TRDP通信协议的拓扑原理图Fig.4 Range curve fiting diagram of high frequencygroundwave radar167客户端认证系统AuthentiSett

19、ingAPI配置接口XML配置SPY调试TRDPlightAPI下层接口PD推模式MDUDP模式PD拉模式MDTCP模式服务器AuthenicationserverTRDPAPI应用层接口过程消息数据 数据(API)(API)168消息数据API是入侵防御系统中用于发送和接收消息的接口。它可以实现进程间通信（IPC）和线程间通信（ITC），使不同的进程或线程之间可以通过消息进行数据交换和协作。通过消息数据API，人侵防御系统的用户可以实现进程间的数据共享、任务调度和同步等功能，从而构建复杂的分布式系统和并发应用，提高人侵防御系统的综合性能。2.4船舶数字通信分布式防御系统的业务逻辑层设计业务逻

20、辑层对于分布式人侵防御系统的性能有重要影响。在搭建入侵防御系统的业务逻辑层时，重点构建了数据库管理模块、日志服务模块、管理命令服务模块、通信模块和用户服务模块等，如图5所示。监控中心日志服务管理命令服务通信模块用户服务探针子系统图5入侵防御系统的业务逻辑层原理图Fig.5 Business logic layer schematic diagram ofintrusion prevention system1）数据库管理模块分布式人侵防御系统的数据库中存储大量的通信数据、命令数据，数据库管理模块的功能是对数据库进行交互，能够将探针产生的异常信息、操作指令等进行存储和管理，对数据库进行统筹监控。

21、2）日志服务模块通信日志文件种类和数量众多，日志服务模块可以实现对通信日志的解析、处理和收集功能，并按照规定对日志进行查询。3）管理命令服务模块该模块主要功能是进行管理指令的解析、查询、转发，保障系统运行的流畅度。4）网络通信模块和用户服务模块网络通信模块负责入侵防御系统与监控中心的数据传输，用户服务模块可以实现系统用户信息的管理和维护。数字通信入侵防御系统采用分布式处理机制，流程如图6 所示。探针子系统通过分布式调用来实现请求的发送和结果的接收，以此提高系统的防御效率。舰船科学技术发送请求分布式调用接收请求返回结果执行命令业务逻辑控制层图6 数字通信入侵防御系统采用分布式处理机制Fig.6

22、The digital communication intrusion prevention system业务逻辑层3结语为了提高船舶数字通信的安全性，本文研究数字数据库管理模块第45卷探针子系统接收结果adopts a distributed processing mechanism数据库通信分布式人侵防御系统，详细介绍了该分布式人侵防御系统的构成原理。该系统通过基于IEEE802.11i协议的安全加密技术和TRDP通信协议，能够实现船舶数字通信过程的人侵行为监测、数据加密、分布式处理等功能。参考文献：1】李文彪.分布式自动化网络主动入侵防御技术研究.自动化与仪器仪表,2 0 19(4):1

23、59-16 2.LI Wen-biao.Research on active intrusion prevention technolo-gy of distributed automation networkJ.Automation and Instru-mentation,2019(4):159-162.2邵海霞，张新华，丁金金等.对直扩/跳频混合扩频系统抗干扰能力的研究.科技信息，2 0 0 9(31):8 8 8+950.SHAO Hai-xia,ZHANG Xin-hua,DING Jin-jin,et al.Researchon anti-interference ability

24、of direct spread/hopping hybridspread spectrum systemJ.Science and Technology Informa-tion,2009(31):888+950.3 弥晨，雷军高.潜艇通信侦测与防御探讨.情报指挥控制系统与仿真技术,2 0 0 4(4):6 2-6 4.MI Chen,LEI Jun-gao.Discussion on submarine communica-tion detection and defenseJ.Intelligence Command and Con-trol System and Simulation Technology,2004(4):62-64.4张新杰.登陆作战突击上陆阶段舰艇编队电子对抗的运用1舰船电子对抗,2 0 0 4(1):2 0-2 3.ZHANG Xin-jie.Application of electronic countermeasures ofship formation in the landing stage of landing operationJ.ShipElectronic Countermeasures,2004(1):20-23.