梁一帆

(成都信息工程大学 网络空间安全学院，成都 610225)

0 引言

卫星通信是以卫星为通信数据转换载体，将人们的通信信号范围扩大到地球之外[1]。在通过运用量子系统所具备的多种特性，采用崭新的形式对其进行信息传输、运算及编码的前提下，构建一个有效的量子保密通信方法。量子密码技术是一种全新的密码机制，主要依赖于量子力学及密码学作为理论基础，并通过量子物理学完成密码思想。其优点是具有较好的窃听检测功能和全方位安全防护功能，并且能够有效地防止电磁干扰及抵御超级计算机的攻击。因为量子信道和经典信道相比较来说是独立的，所以量子信道可以在任何时间生成密钥，而不局限于系统中有数据包的时候。无论数据包到达与否，密钥都可以以恒定的速率生成。当一个数据包到达时，如果一个现有的密钥在系统中可用，则它可以立即被使用；反之，它必须等待足够的密钥。该计划充分利用了量子信道的传输能力。

传统方法利用数据挖掘技术对Demeter卫星数据进行分析从而发现异常数据已成为当前研究的重点，为了进一步提高异常数据发现的质量，提出了一种改进的聚类算法，对Demeter卫星电场数据进行异常检测，该算法首先将数据随机取样，引入信息熵理论，对PAM算法进行改进，并对卫星数据进行划分，以找到聚类中心，最后对改进算法进行了分析与比较，实验结果证明了算法的有效性[2]。

在传统方法的基础上，本文将基于量子密码对卫星网络地球站的异常检测进行研究，卫星网络地球站中的数据中心库中时刻记录监测着运行数据，通过这些数据可以反馈出卫星网络地球站的工作状态，所以通过对数据中心库中的数据进行异常检测分析即可分析出卫星网络地球站设备中存在的问题。量子通信是一种基于量子理论的通信技术，可以无条件地使卫星网络地球站安全通信，但是通信技术的不断发展、通信数据的不断复杂化、通信设备的不断更新，导致卫星通信系统出现安全漏洞，导致信息盗用者对卫星通信系统进行攻击，因此本文将基于量子密码提出一种卫星网络地球站的异常检测系统，对量子密码通信协议进行研究，利用数据采集器采集到的数据建立量子秘钥，建立异常检测系统，从侧面加强了卫星网络地球站的通信安全性与稳定性。

1 系统结构设计

本文设计的系统结构主要由感应器、异常分析器、警示器、数据采集器、数据解析器及预处理器共6部分组成，本文通过结构拓扑图将卫星网络地球站的硬件设备进行直观关联，更够较好地分别出设备与设备之间的命令传达以及设备服务情况。卫星网络地球站结构拓扑如图1所示。

图1 卫星网络地球站结构拓扑图

根据拓扑图可以较为直观地看出工作站设备运行流程，当各部分设备完成该阶段应完成的任务，将会向上级设备进行反馈同时向下级设备发送命令，若设备为最低阶段设备或最高阶段设备，只需进行发送命令或进行反馈即可[3-5]。

1.1 感应器

卫星网络地球站出现异常的情况下，首先需要考虑卫星网络地球站的各方面的数据监测系统是否正常，由于输入卫星网络地球站数据系统的数据来源广泛，数据质量不能得到良好的安全保障，所以对于网络数据异常需要依靠感应器来实现对数据进行识别[6]。感应器作为异常监测的第一道阀门，需要具备快速捕捉异常数据并做简单的预处理能力，还要有数据备份的能力[7]。此传感器主要应用于数据监测系统，能够承担较为特殊的检测任务，能够及时地感应到PRAC-20、DHAK-20型攻击等。

1.2 异常分析器

异常分析器主要工作任务是负责将感应器感应到的数据进行异常分析，在卫星网络地球站正常工作的状态下数据是具有规律性的，异常分析器中设定相关运行程序，能够对采集到的数据与异常分析器中的规律库数据进行对比，从而检测出异常状况是属于哪种类型，同时异常分析器还是信息的接入口，数据在接入口的位置能够确定异常数据的处理能力[8]。

1.3 警示器

当异常分析器确定数据为异常入侵数据时，警示器便会通过界面向工作人员发出警示信号，警示信号可以为短信形式、灯光形式、声音形式、可视化工具形式等，警示器依据异常分析器所确定的数据进行预处理，形成需要进行备份的格式，具有针对性的对故障进行预警，当同样的异常数据出现在卫星网络地球站系统中，警报器可以迅速地发出预警，形成了具有记忆性的硬件设备，还可以将异常的检测情况制定规律格式，使设备可以发挥设备特征进行警示[9]。

1.4 数据采集器

数据采集器是本文系统中的核心设备之一，它的工作任务主要是采集异样数据，并将采集到的数据进行排序记录，在数据采集器中含有信任机制，是卫星网络地球站中的可信设备。本文采用的数据采集器采用SJC-800型号数据分类配置与KOS-20型号采集装置，这两种配置具有容量大、工作性能稳定等优势，与卫星网络地球站配置配合应用会有更高的工作效率[10]。数据采集器装配有13英寸高清显示屏，能够更佳地将数据信息体现出来，方便了工作人员对数据的观察[11]。

1.5 数据解析器

本文采用的数据解析器包含3种结构，分别为解析主体、寄存器以及特定解析主体。在寄存器中拥有16个字节大小空间为数据储存进行服务，同时也能记录各个解析主体的操作流程，和数据组数；解析主体一般只用来解析一般较为常见的数据，可以依据系统规律进行解析；而特定解析主体为本文系统采用的数据解析器的主体结构，其功能包含基本解析主体涵盖的内容，在此基础上，还能够对采集到的数据帧数进行分析，并且确定异常的范围，同时特定解析器主体具有一定的智能化，在主体的主板中安装了ICO-230芯片，解析主体能够自动识别数据类型并对数据进行全方位的解析，从数据的采集位置、异常位置、异常类型等因素进行分析[12]。本文数据采集器的内部结构如图2所示。

图2 数据采集器内部结构图

3种结构在工作状态时，时相互关联的特定主体的运行包含基本主体与寄存器的运行，基本主体的运行包含寄存器的运行，而寄存器的运行包含基本主体与特定主体的运行，此结构体称为嵌套式结构，能够更高地提升工作效率。

1.6 预处理器

在本文设计的异常检测系统中，预处理器的插件将被记录在链表中，在被数据解析器解析后方可实现预处理器对异常数据进行预处理，本文采用的预处理器中安装的插件含有函数插件、初始化数据插件以及函数执行插件[13]。

本文引用西门子X-2530型号的预处理器主板，具有良好的兼容性，还能对函数插件起到监测的效果[14]。初始化数据插件主要安装在预处理器接口端，能够第一时间的将数据进行初始化处理，方便其他插件对数据的应用，此插件可以同数据解析器连同应用，插件在运行的过程中可以为数据解析器提供良好的数据基础。函数执行插件同样位于预处理器主板中，是预处理器的运行枢纽，能够对数据进行合理支配，也能够引导函数的运行方向，此插件植入SSD芯片中，与预处理器主板融合，为插件的运行提供了更优的环境。

2 地球站异常检测设计

2.1 基于量子密码的数据采集设计

量子密码以量子物理为基础，其安全性由量子特性所保证，通信方案如图3所示。

图3 量子密码通信方案

由图3可知，量子密码通信方案由信源、处理系统、信道、信宿这4个重要模块组成，其中该方案的技术难点体现在，处理系统与信道的接口防护方面，信源将信号发送到处理系统中，处理系统将需要信道两端，随机编入两组相同的动态量子对密码，处理系统根据传输数据量，编写传输时间序列区间，若传输数据载入信道，此时窃听者通过超级计算机伪装攻击进入信道，窃取信号内容会改变信道的时间序列码，造成处理系统输入的随机动态量子对两端无法匹配，自动锁死，使窃听者窃听失败，从而保证量子通信的无条件绝对安全性。

量子信道与经典信道是相对独立的,因此量子信道产生的密钥可以在任何时候生成,而不仅仅是系统中有分组的时候。也密钥可以一直以恒定速率生成而不考虑分组到达的情况[15]。一个分组到达的时候，如果系统中有现成的密钥可用就可以立即使用,相反则必须等到足够的密钥。该方案是最大程度地利用量子信道的传输能力。

数据采集的过程中，首先建立数据采集器与系统之间的通信联系，随后快速检查数据采集器与系统之间是否存在通信联系，并检查是否收到上阶段的数据采集命令，通过控制数据采集器向卫星网络地球站控制中心发送应答信号，控制中心根据上阶段命令内容实施传达信号，数据采集器开始进行数据采集，再对采集到的数据进行检查，向控制中心发送数据案例，最后对采集到的数据进行储存。数据采集应用程序如图4所示。

图4 数据采集应用程序流程框图

量子保密通信模拟实验需要处理的信号总共有四路:Alice和Bob的随机码信号各一路,探测器lD和2D的信号各一路。

2.2 异常检测应用程序设计

本文设计的异常检测应用程序首先要确定地球站所在的位置，将地球站位置划分为两个层次，选取每一个层次的最高数据接口作为异常数据引导，若在数据接口中发现异常数据，则进行异常处理分析，若发现不确定因素则将不确定数据引导到数据列表中，并且设定该数据表中的最低储存值，避免一些空白数据被录入列表中，占用数据通道，在数据表中的数据会进行比对操作，若数据符合异样标准则进行数据异常检测处理，若数据不符合异样标准，则会把数据释放。

一般卫星网络地球站产生异常状况的数量为单个，只有极少情况下会出现多个异常点，当检测到卫星网络地球站出现多个异常点时，应当迅速对两个层次的数据进行异常提取，在两个层次数据中发现异常数据，将检测到的数据传输到下一阶段(异常处理阶段)。当检测到的异常点只有一个时，只需要建立层与层之间的通信链路，确定故障情况，再将故障情况与处理命令传输到下一阶段即可。异常检测应用程序如图5所示。

图5 异常检测应用程序流程图

2.3 数据处理应用程序设计

本文设计的数据处理应用程序主要分为两部分，分别为数据读取与数据储存，这两部分有序地进行，首先对异常数据进行读取，经过其他阶段的分析后，对数据进行储存。

数据的读取程序是以硬件结构中的数据解析器与感应器作支撑，数据解析器的运用过程其实就是数据读取的一个组成部分，该程序是在通信链表中完成的，链表中含有数据域与数据节点，在数据域中采用SHCSJA技术对包装数据进行解码，使数据链体现出来帧数结构，这样可以实现此程序对数据的动态读取，优于传统方法中的局限性静态读取。本文程序中还植入函数，通过调用函数对数据圆形进行读取，还可以进一步解析出数据的地址、源地址、以太网类型等环境因素。

该程序的结束部分为数据储存，将经过读取分析过的数据储存到寄存器中，防止数据的流失，对数据进行储存备份还可以对卫星网络地球站所存在的异常位置进行反馈加固处理，能够更加高效地对异常进行应用。

2.4 预处理应用程序设计

预处理应用程序的运行需要依靠多种硬件设备的支撑，在进行预处理的过程中首先要应用SJHA手段对数据进行解码，经过解码的数据传送到预处理器中进行数据初步处理，程序中还引入SKTA协议，大量的筛选无用数据，极大地减少了工作量。

两个因素影响了量子信号在光纤中的传输距离：1)信号强度随着距离增加而指数衰减,由此带来了比特率的指数衰减；2)由于量子态的退相干效应使得量子态本身的保真度也是随着传输距离增加而指数下降。由于预处理程序自身本没有报警系统，为了实现功能一体化，本文将报警程序与预处理程序相结合，使得预处理应用程序更加完善。

3 实验对比与验证

3.1 实验目的

为了验证本文设计的卫星网络地球站异常检测系统具备有效性和稳定性，本文将设计传统系统与本文系统进行各个性能方便的对比，分析对比实验结果确定本文系统的优势。本文系统中所采用的硬件设备运行稳定性也需要在实验中进行验证测试，验证是否流畅，避免在实际应用中出现卡顿现象。训练和检测数据主要来自卫星网控数据库。在卫星地球站真实数据集上对本系统进行实验，地球站中数据集聚类有效性指标KVXB随聚类个数变化情况如表1所示。

表1 地球站中数据集KVXB随聚类个数变化情况

3.2 实验流程

实验中应用卫星网络地球站仿真平台，配置了虚拟网络模拟器，为实验的研究提供良好的运行验证环境，首先运行传统系统，将传统数据与历史记录进行对比，计算取得平均值避免出现实验偶然性，再将传统实验系统从地球站中提取出来准备本文系统的植入。考虑到卫星通信系统中卫星节点的载荷和处理能力的限制，本文设计了一种采用集中式架构的卫星认知无线网络动态频谱接入场景，在该场景中，认知无线网络对卫星上下行链路的频谱空穴进行动态频谱接入，如图6所示。

图6 卫星认知无线网络动态频谱接入场景

植入新系统后首先对设备进行预热，确保设备在稳定的环境下运行，首先运行数据采集器与感应器，在卫星网络地球站中进行异常检测，随后运行数据解析器与预处理器，对异常进行分析，最终通过数据显示屏获取数据结果与性能体现值。攻击想定场景如图7所示。

图7 攻击想定场景

3.3 实验结果分析

在 Iris 数据集以及如图8所示的环形数据集上，环形数据集包括不能线性划分的两类，分别是半径为 10和半径为 3 的圆形数据，数据点各 50 个，同时两类分别加上了方差为0.3和0.5的高斯白噪声。经过实验测试，观察两种系统在运行的过程中，卫星网络地球站设备的运行稳定性对比结果如图8所示。

图8 环形数据集

如图9所示，基于量子密码该算法对于环形数据集聚类效果比较理想，主要原因在于本文的硬件设备与应用于程序设计相互配合，使得设备的运行更加流畅，本文采用的设备自身也具有较高的条理性，设备与设备之间的运行存在联系，不导致设备的卡顿。图10为本文系统与传统系统之间的异常识别频率对比图。

图9 不同系统环形数据集聚类结果

图10 异常识别频率图

如图10所示，本文系统的异常识别频率较高，能够快速地发现异常，本文设计的程序中引用SKTA协议，极大地减少了工作量，加快了本文系统的异常识别效率，而传统系统的数据运算工作量庞大，异常识别的频率较低。

由图11所示，所提方法可对卫星图像进行较好加密处理，保障了，量子密码术将成为保护数据安全的最佳选择之一。

图11 量子密码应用前后卫星图像结果

综上所述，与传统的卫星网络地球站异常检测系统相比，本文研究的基于量子密码的卫星网络地球站异常检测系统对于环形数据集聚类效果比较理想，异常频率识别能力提高了19.8%，整体性能优于传统性能，具有更强的实际可操作性。

4 结束语

本文基于量子密码设计一套卫星网络异常检测系统，本文系统中采用的硬件设备之间都具有关联性，设备与设备相互配合，更好地提升异常检测的效率，同时设备与程序之间也存在依靠性，程序通过命令对设备进行控制使设备运行更加协调，相对于传统系统，本文系统还具有一定的自动化，更加智能处理异常情况，节省了大量的人力资源。