[发明专利]分布式列车控制网络入侵检测方法、系统、存储介质

权利要求书

1.一种分布式列车控制网络入侵检测方法,其特征在于，包括以下步骤：

S1、实时捕获经由交换机的所有TRDP报文，并对有TRDP报文进行协议识别与解析；

S2、根据检测规则库对解析后的报文各字段进行合规性检测，获得合规报文；

S3、将由合规报文组成的历史数据库经特征提取后作为神经网络的输入，训练所述神经网络，得到异常检测模型；

S4、对于新的列车控制网络数据，重复步骤S1和S2，并利用所述异常检测模型标记出列车控制网络异常数据流并产生相应的告警信息。

2.根据权利要求1所述的分布式列车控制网络入侵检测方法,其特征在于，还包括：

S4、若检测规则库中未包含告警信息对应的攻击类型，则将该攻击类型放入步骤S2中的所述检测规则库中，更新所述检测规则库。

3.根据权利要求1所述的分布式列车控制网络入侵检测方法,其特征在于，步骤S2中，根据检测规则库对解析后的报文各字段进行合规性检测时，若检测到非法报文，则输出非法报文告警信息。

4.根据权利要求1所述的分布式列车控制网络入侵检测方法,其特征在于，步骤S1的具体实现过程包括：

1)判断当前以太网帧是否为是IP协议，若否，则放弃此以太网帧的解析，对于下一以太网帧，执行步骤1)；若是，则执行步骤2)；

2)根据IP协议的协议标识判断传输层协议的类型，若传输层协议为TCP协议，则进入步骤3)；若传输层协议为UDP协议，则进行步骤4)；

3)若TCP协议报文类型为TRDP-MD报文，进入步骤6)，若否，则放弃当前以太网帧的解析，对于下一以太网帧，执行步骤1)；

4)若UDP协议报文类型为TRDP-MD报文，进入步骤6)；若UDP协议报文类型为TRDP-PD报文，则执行步骤7)；若UDP协议报文类型不是TRDP-MD或TRDP-PD报文中的一种，则进行步骤5)；

5)读取TRDP协议的消息类型MsgType，若MsgType属于定义的集合A，则当前报文是TRDP-MD报文，进入步骤6)，若MsgType属于定义的集合B，则当前报文是TRDP-PD，进入步骤7)；若MsgType既不属于集合A，也不属于集合B，则放弃当前以太网帧的解析，对于下一以太网帧，执行步骤1)；

6)将当前报文TRDP协议部分的数据拷贝到预定义的TRDP-MD结构体变量中，获取TRDP协议定义的消息数据的所有字段值，转入步骤1)；

7)将当前报文TRDP协议部分的数据拷贝到预定义的TRDP-PD结构体变量中，获取TRDP协议定义的过程数据的所有字段值，转入步骤1)。

5.根据权利要求1所述的分布式列车控制网络入侵检测方法,其特征在于，步骤S2中，所述检测规则库包括MAC/IP合规性检测规则、端口合规性检测规则、PDU合规性检测规则、FDU合规性检测规则。

6.根据权利要求1～5之一所述的分布式列车控制网络入侵检测方法,其特征在于，步骤S3的具体实现过程包括：

A)提取历史数据库中每一条合规报文的六元组信息，并将六元组信息合成网络流，选取N个网络流作为特征，计算相应的特征值；将特征值中的所有非数值特征数值化，然后将所有特征值归一化；在归一化后的特征值组成的集合中添加正常报文标签或异常报文标签；

B)对历史数据库中其余合规报文进行步骤A)的处理，所有添加正常报文标签或异常报文标签的集合构成训练数据集；将训练数据集随机分为训练集和测试集；

C)将训练集作为神经网络的输入，训练所述神经网络，利用测试集测试训练后的神经网络，直至获得期望的异常检测模型。