[发明专利]分布式列车控制网络入侵检测方法、系统、存储介质

说明书

本发明公开了一种分布式列车控制网络入侵检测方法、系统、存储介质，实时捕获经由交换机的所有TRDP报文，并对有TRDP报文进行协议识别与解析；根据检测规则库对解析后的报文各字段进行合规性检测，获得合规报文；将由合规报文组成的历史数据库经特征提取后作为神经网络的输入，训练所述神经网络，得到异常检测模型；对于新的列车控制网络数据，利用所述异常检测模型标记出列车控制网络异常数据流并产生相应的告警信息。本发明可以检测出列车控制网络的已知类型攻击和未知类型攻击，既可满足车载网管交换机的计算资源约束和对已知类型攻击检测的实时性要求，又具备通过报文流特征和应用数据检测未知类型攻击的能力，极大地提高了检测实时性和准确性。

技术领域

本发明涉及信息安全领域，特别是一种分布式列车控制网络入侵检测方法、系统、存储介质。

背景技术

列车控制网络是用于连接列车车厢以及分布在各车厢内的车载设备，以实现列车控制、信息共享、故障诊断、旅客服务等功能的数据通信系统，传统的列车控制网络多采用串行现场总线技术，如TCN(Train Communication Network)、WorldFIP、LonWorks、ARCNET和CAN，其中WTB(Wired Train Bus)和MVB(Multifuction Vehicle Bus)相结合的TCN技术在我国应用最为广泛。

随着轨道交通和IT技术的不断融合发展，列车网络结构越来越复要、车载智能设备的种类日益增加、旅客对于视频和音频等流媒体的需求增多，传统的低速现场总线通信已经无法满足需求。以太网具有低成本、易组网、兼容性好、高带宽等优势，且随着带有冲突检测的载波侦听多路访问(CSMA/CD)方法的不断改进和其他技术的改进，使得以太网技术能够适应列车控制网络的要求。2010年国际电工委员会颁布的IEC 61375-2-5(EthernetTrain Backbon,ETB)和IEC61375-3-4(Ethernet Consist Network,ECN)通信标准，旨在替代WTB和MVB在列车通信网络中的应用。

嵌入式系统、以太网等通用IT技术在列车控制系统中的广泛使用，一方面有利于系统集成与互联，打破传统的信息孤岛，提高列车系统的控制品质和运营效率；另一方面，大量IT商用现货(Commercial Off The Shelf,COTS)和开放协议的使用，以及设计过程中信息安全意识不足等方面的原因，使列车控制系统面临着日益严峻的信息安全威胁，影响系统的安全运行。

入侵检测技术是一种高效的信息安全主动防护技术，通过对网络流量的监控、通信协议的深度解析，能够快速发现网络异常行为，过滤非法报文或触发安全报警。在列车控制网络中设计合理的入侵检测系统，对于及时发现针对列车控制网络的攻击行为，保障列车的安全运行，防止重特大安全事故的发生，具有重大的现实意义。

车载网管交换机作为列车控制网络的核心设备，除需要满足列车控制网络可靠性、实时性以及环境适应性要求外，还应充分考虑列车控制网络的信息安全威胁，增强访问控制、权限管理、报文过滤等信息安全防护功能。现有列车车载网管交换机大多沿用IT通用交换机安全技术，未考虑列车控制网络中列车实时数据协议(Train Realtime DataProtocol,TRDP)的特点，不具备协议深度解析、入侵检测及响应等高级信息安全防护功能。

大多基于规则的入侵检测方法虽然能对非法报文的快速检测，但这类检测方法的缺陷是只能检测已知类型的攻击，而无法应对未知攻击的问题。为此，如何将两种入侵检测方法有机融合，针对列车网络通信特点，既能够对已知类型攻击采用简单的规则匹配方法，提高入侵检测的实时性，又能够覆盖未知类型攻击，并实现对检测规则的自动更新，是亟待解决的技术问题。