CN108183886B

CN108183886B - 一种轨道交通信号系统安全网关的安全增强设备

Info

Publication number: CN108183886B
Application number: CN201711285747.6A
Authority: CN
Inventors: 王伟; 张建明
Original assignee: Traffic Control Technology TCT Co Ltd
Current assignee: Traffic Control Technology TCT Co Ltd
Priority date: 2017-12-07
Filing date: 2017-12-07
Publication date: 2020-07-31
Anticipated expiration: 2037-12-07
Also published as: CN108183886A

Abstract

本发明提供一种轨道交通信号系统安全网关的安全增强设备，设置在ATS网与网关计算机之间，包括：防火墙模块和智能过滤服务器模块；防火墙模块由第一智能学习控件和基础网络层防火墙组成；智能过滤服务器模块由第二智能学习控件和智能过滤服务器组成；基础网络层防火墙对收发数据包目的IP地址和源IP地址进行过滤，抛弃不在预设白名单内的数据包及对非法接入IP进行阻断；智能过滤服务器对数据包进行分析，检测网络内是否存在非法行为或恶意攻击行为；第二智能学习控件将检测结果分类处理，将确定威胁的数据包反馈给第一智能学习控件，使其通过智能学习变更防火墙策略对确定威胁的数据包进行阻断。可提升ATS网和ATC网之间信息传输的安全性。

Description

一种轨道交通信号系统安全网关的安全增强设备

技术领域

本发明实施例涉及轨道交通信号系统技术领域，具体涉及一种轨道交通信号系统安全网关的安全增强设备。

背景技术

随着信息化与轨道交通信号系统的深度融合，轨道交通网络系统越来越开放的同时，也同步削弱了控制系统与外界的隔离和安全保护，整个系统面临着各种来源的信息安全威胁，包括病毒、木马向着控制网络的扩散等。

起源于2010的震网病毒的爆发，引起了人们对于工业控制系统信息安全的关注，2016年旧金山地铁票务系统勒索时间，也开始将人们的视线吸引到轨道交通这一基础民生系统上来，从过去的封闭系统逐渐开放再到网络信息化的融入，轨道信号系统已经暴露在公众的视野里了，近乎于零基础的信息安全防护管理，和仅仅能够依靠模糊安全配合一些简略信息安全设备的防护，已经不足以保障其在未来环境下安全稳定运行，一旦系统被恶意黑客攻破，其带来的后果难以估量。

2015年2月中国城市轨道交通协会技术装备专业委员会发布《城市轨道交通信号系统用户需求书(范本)》明确要求轨道交通信号系统应接受信息保护等级3级的测试，并在正式运营前通过等级保护测评。2017年6月1日起实行的《中华人民共和国网络安全法》中也明确提出了轨道交通行业对于信息安全防护方面的迫切需求。这一切都表明轨道交通行业的信息安全已经引起了国家的重视。

由于轨道交通信号系统的特殊性，传统意义上的网络信息安全产品，乃至于一般的工控信息安全产品，都不能够很好的匹配轨道交通信号系统对于网络信息安全的需求，不能够做到“对症下药”，这样就极有可能出现信息安全需求与日常运营需求相冲突、安全防护目标不明确(过度防护或弱防护)等一系列问题，因此轨道交通行业的信息安全产品需要也信号系统良好匹配，专业化、定制化才能良好满足该行业的信息安全防护需求。

轨道交通信号系统的系统整体网络结构可分成三部分：ATS(列车自动监控)网、ATC(列车自动控制)骨干网、车地无线网。鉴于此，如何提升ATS网和ATC骨干网之间信息传输的安全性成为本发明所要解决的技术问题。

发明内容

鉴于此，本发明实施例旨在提供一种轨道交通信号系统安全网关的安全增强设备，能够提升ATS网和ATC骨干网之间信息传输的安全性，在不影响正常运行的前提下防范网络攻击，提升系统信息安全等级。

本发明实施例提出一种轨道交通信号系统安全网关的安全增强设备，所述安全增强设备设置在列车自动监控ATS网与网关计算机之间，所述网关计算机为现有设置在列车自动监控ATS网与列车自动控制ATC网之间的网关计算机；

所述安全增强设备，包括：防火墙模块和智能过滤服务器模块；

所述防火墙模块由第一智能学习控件和基础网络层防火墙组成；

所述基础网络层防火墙，用于对收发数据包的目的IP地址和源IP地址进行过滤，对于不符合预设白名单的数据包进行抛弃，以及对非法接入IP进行阻断；

所述智能过滤服务器模块由第二智能学习控件和智能过滤服务器组成；

所述智能过滤服务器，用于通过对数据包的解析以及网络行为的分析，检测网络内是否存在非法行为或恶意攻击行为；

所述第二智能学习控件，用于将所述智能过滤服务器的检测结果进行整理，并对数据包进行分类处理，将确定威胁的数据包反馈给所述防火墙模块中的第一智能学习控件，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对所述确定威胁的数据包进行阻断。

可选地，所述预设白名单是预先写入所述基础网络层防火墙的访问控制列表ACL内的，所述预设白名单内包括：轨道交通信号系统所有网络的所有内部设备的IP。

可选地，所述第二智能学习控件，还用于

将所述确定威胁的数据包之外剩余的数据包展示给用户以进行人工审查，以及若接收到用户输入的对任一所展示的数据包的确认威胁结果，则向所述防火墙模块中的第一智能学习控件发送指令，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对用户确认威胁结果的数据包进行阻断。

可选地，所述智能过滤服务器，包括：

拆分单元，用于对数据包进行拆分；

内容过滤单元，用于对拆分后的数据包进行内容过滤，获得内容过滤检测的结果；

协议过滤单元，用于对拆分后的数据包进行协议过滤，获得协议过滤检测的结果；

病毒过滤单元，用于对拆分后的数据包进行病毒过滤，获得病毒过滤检测的结果；

行为过滤单元，用于对拆分后的数据包进行行为过滤，获得行为过滤检测的结果。

可选地，所述内容过滤单元，具体用于

判断拆分后的数据包是否有异常信息；

若拆分后的数据包有异常信息，则判断所述异常信息是否为高级持续性威胁APT攻击；

若所述异常信息为APT攻击，则将所述拆分后的数据包标记I02；

若所述异常信息不是APT攻击，则将所述拆分后的数据包标记I01。

可选地，所述协议过滤单元，具体用于

判断拆分后的数据包是否使用轨道交通信号系统所使用的已知协议；

若拆分后的数据包没有使用轨道交通信号系统所使用的已知协议，则将所述拆分后的数据包标记P01。

可选地，所述病毒过滤单元，具体用于

通过将拆分后的数据包与预设病毒库进行匹配，判断拆分后的数据包是否为病毒；

若判断获知拆分后的数据包为病毒，则根据预设病毒库，判断所述病毒是否为高危病毒；

若判断获知所述病毒为高危病毒，则将所述拆分后的数据包标记V02；

若判断获知所述病毒不是高危病毒，则将所述拆分后的数据包标记V01；

其中，所述预设病毒库内包括：高危病毒和非高危病毒。

可选地，所述行为过滤单元，具体用于

通过对日常行为进行学习记录，对数据包长度大小进行把控，或者根据实际情况对于固定报文的信息数据包进行哈希HASH值比对，判断拆分后的数据包是否为可疑报文；

若拆分后的数据包为可疑报文，则将所述拆分后的数据包标记H01。

可选地，所述第二智能学习控件，具体用于

判断经过所述智能过滤服务器过滤后的数据包是否有尾号为02的标记；

若经过所述智能过滤服务器过滤后的数据包有尾号为02的标记，则将所述经过所述智能过滤服务器过滤后的数据包反馈给所述防火墙模块中的第一智能学习控件，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对所述经过所述智能过滤服务器过滤后的数据包进行阻断。

可选地，所述第二智能学习控件，还具体用于

在判断经过所述智能过滤服务器过滤后的数据包是否有尾号为02的标记之后，若判断获知经过所述智能过滤服务器过滤后的数据包没有尾号为02的标记，则判断所述经过所述智能过滤服务器过滤后的数据包是否有尾号为01的标记；

若所述经过所述智能过滤服务器过滤后的数据包有尾号为01的标记，则将所述经过所述智能过滤服务器过滤后的数据包展示给用户以进行人工审查，以及若接收到用户输入的对所述经过所述智能过滤服务器过滤后的数据包的确认威胁结果，则向所述防火墙模块中的第一智能学习控件发送指令，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对所述经过所述智能过滤服务器过滤后的数据包进行阻断。

由上述技术方案可知，本发明实施例提供的轨道交通信号系统安全网关的安全增强设备，针对ATS网和ATC骨干网的网络节点安全，结合轨道交通信号系统的网络特性，通过安全网关增强的设计，能够提升ATS网和ATC骨干网之间信息传输的安全性，在不影响正常运行的前提下防范网络攻击，提升系统信息安全等级。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种轨道交通信号系统安全网关的安全增强设备的结构示意图；

图2是本发明实施例提供的轨道交通信号系统安全网关的安全增强设备一种具体原理示意图；

图3是本发明实施例提供的内容过滤单元进行内容过滤的具体流程示意图；

图4是本发明实施例提供的协议过滤单元进行协议过滤的具体流程示意图；

图5是本发明实施例提供的病毒过滤单元进行病毒过滤的具体流程示意图；

图6是本发明实施例提供的行为过滤单元进行行为过滤的具体流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1示出了本发明一实施例提供的一种轨道交通信号系统安全网关的安全增强设备的结构示意图。如图1所示，所述安全增强设备设置在列车自动监控ATS网与网关计算机之间，所述网关计算机为现有设置在列车自动监控ATS网与列车自动控制ATC网之间的网关计算机；其中：

所述基础网络层防火墙，用于对收发数据包的目的IP(网络之间互连的协议)地址和源IP地址进行过滤，对于不符合预设白名单的数据包进行抛弃，以及对非法接入IP进行阻断；

其中，所述预设白名单是预先写入所述基础网络层防火墙的访问控制列表ACL内的，所述预设白名单内可包括：轨道交通信号系统所有网络的所有内部设备的IP。

可以理解的是，由于轨道交通信号系统本身的特性，各网络内部设备相对固定、IP固定，本实施例就可以针对轨道交通信号系统中的每个网络，将网络内全部的IP通过白名单的形式，写入到安全网关防火墙模块的ACL内，这样对于外部接入IP可以起到有效防范，这样可以对与ATS网络、ATC骨干网络内的通信起到一个基础的安全保障，而且仅对网络层IP头进行解析，不会有过高的负荷，一般的硬件防火墙都可满足，这一阶段，只要是符合ACL的访问都会被允许，这样能够保证信号系统正常工作不受干扰。

可以理解的是，本实施例针对轨道交通信号系统实际情况中的网络终端IP及数量固定，通信有一定的规律，采用预设白名单的方式对防火墙进行配置，可提升过滤效率。

在具体应用中，所述智能过滤服务器可采用旁路的方式挂在基础网络层防火墙设备所在的ATS、ATC网络干路上，通过对线路中通信的数据包进行监听的方式抓取分析数据包，该种方式不会对当前通信直接进行阻断处理，保证系统功能正常运行。

在具体应用中，本实施例无需添加额外处理信息存储服务器，可以与维护网连接，将每日处理的状态传输给维护网进行记录，方便追溯查看。

本实施例的轨道交通信号系统安全网关的安全增强设备，针对ATS网和ATC骨干网的网络节点安全，结合轨道交通信号系统的网络特性(即，网络相对封闭(与互联网隔离)、网络通信实时性高、网络终端固定、网络信息传输形式较为固定等)，通过安全网关增强的防火墙模块和智能过滤服务器模块的设计，可以实现智能机器学习，根据实际情况改变防火墙模块的阻断策略以及相应的预警机制，能够提升ATS网和ATC骨干网之间信息传输的安全性，在不影响正常运行的前提下防范网络攻击，提升系统信息安全等级。

在具体应用中，所述智能过滤服务器，可以包括：

拆分单元，用于对数据包进行拆分；

可以理解的是，在所述智能过滤服务器中，所述拆分单元对数据包进行拆分后，数据包可以被分派到多核并行处理内核中进行同时处理，在处理过后将信息发送至第一智能学习控件中进行汇总处理，这样可以提升处理效率，每个处理进程使用匹配式比对检测，提升效率，做到深度高效检测。

具体地，所述内容过滤单元，可具体用于

判断拆分后的数据包是否有异常信息；

可参考图3所示的所述内容过滤单元进行内容过滤的流程。

可以理解的是，对数据包内容进行过滤分析，某些恶意攻击的数据包存在情况是：原IP地址与目的IP地址无异常，数据包未检测到病毒，且符合协议封装，但是其传输的内容中可能包含某种指令会对目前系统造成一定威胁，例如，向以目的IP地址终端持续发送超大无效数据，或进行类Arp Flood(洪水攻击)等等，本实施例可根据分析结果进行不同标记，如洪水类拒绝服务攻击等APT攻击内容，则进行I02标记，对于短时间内无实质性破坏的内容包标记I01。

可以理解的是，在本实施例中，若拆分后的数据包无异常信息，则不对拆分后的数据包进行标记。

具体地，所述协议过滤单元，可具体用于

可参考图4所示的所述协议过滤单元进行协议过滤的具体流程。

可以理解的是，轨道交通信号系统内部通信使用的协议较少，如：RSSP，RP RSSP-II等协议。对于轨道交通信号系统内部传输信息的数据包，如果使用了除了轨道交通信号系统所使用的已知协议以外的其他协议封装，就认为此数据包可疑，进行标记P01。

可以理解的是，在本实施例中，若拆分后的数据包使用了轨道交通信号系统所使用的已知协议，则不对拆分后的数据包进行标记。

具体地，所述病毒过滤单元，可具体用于

其中，所述预设病毒库内包括：高危病毒和非高危病毒。

可参考图5所示的所述病毒过滤单元进行病毒过滤的具体流程。

在具体应用中，所述预设病毒库的内容可以每隔预设时间段进行周期性更新。

可以理解的是，由于轨道交通信号系统网络相对较为封闭，与互联网进行数据交换较为困难，终端的防病毒软件的病毒库更新滞后，而本实施例所述智能过滤服务器中的预设病毒库可以周期性更新，在数据包过滤的过程中，便于对病毒内容进行检测。

本实施例通过将拆分后的数据包与预设病毒库进行匹配，当发现病毒会在网络中大范围传播并会立即造成破坏的病毒包，标记V02，对于一般类型病毒(如以盗取信息为目的的木马类病毒等)，标记V01。

可以理解的是，在本实施例中，若判断获知拆分后的数据包不是病毒，则不对拆分后的数据包进行标记。

具体地，所述行为过滤单元，可具体用于

可参考图6所示的所述行为过滤单元进行行为过滤的具体流程。

可以理解的是，本实施例在对源IP与目的IP配对以外，合法的IP之间相互访问，入侵行为检测可对日常行为进行学习记录，对数据包长度大小进行把控，或者根据实际情况对于固定报文的信息数据包进行HASH值比对，确定可疑报文，进行标记H01。

可以理解的是，在本实施例中，若判断获知拆分后的数据包不是可疑报文，则不对拆分后的数据包进行标记。

进一步地，在上述实施例的基础上，所述第二智能学习控件，可具体用于

可以理解的是，所述第二智能学习控件与所述防火墙模块中的第一智能学习控件相匹配，所述第二智能学习控件是将四种过滤检测的结果进行整理，根据权重标记，对数据包进行分类处理，对于确定威胁的数据包反馈给防火墙设备中的第一智能学习控件，对于APT攻击(持续性高危攻击)的源IP地址数据包进行阻断。

可以理解的是，本实施例所述智能过滤服务器的核心过滤过程采用加权重的方式，对拆分后的数据包内容进行分析，更加细致全面的处理不同层级的威胁，而不是一概的阻断。

进一步地，本实施例所述第二智能学习控件，还可以用于

具体地，所述第二智能学习控件，还可具体用于

可以理解的是，本实施例对于所述智能过滤服务器处理后的标记数据包，根据需要进行二次筛选，此处用户可以根据危险优先级进行处理，有必要的情况下可以与相关负责人沟通确认。

可以理解的是，所述第二智能学习控件与所述防火墙模块中的第一智能学习控件相匹配，所述第二智能学习控件是将四种过滤检测的结果进行整理，根据权重标记，对数据包进行分类处理，对于不确定的网络数据包和网络行为，通过人工审查进行相应判定，可以避免误拦截误阻断，从而避免对常规应用的影响，能够进一步提升ATS网和ATC骨干网之间信息传输的安全性，在不影响正常运行的前提下防范网络攻击，提升系统信息安全等级。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

需要说明的是术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本发明的说明书中，说明了大量具体细节。然而能够理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释呈反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

以上实施例仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种轨道交通信号系统安全网关的安全增强设备，其特征在于，所述安全增强设备设置在列车自动监控ATS网与网关计算机之间，所述网关计算机为现有设置在列车自动监控ATS网与列车自动控制ATC网之间的网关计算机；

2.根据权利要求1所述的安全增强设备，其特征在于，所述预设白名单是预先写入所述基础网络层防火墙的访问控制列表ACL内的，所述预设白名单内包括：轨道交通信号系统所有网络的所有内部设备的IP。

3.根据权利要求1所述的安全增强设备，其特征在于，所述第二智能学习控件，还用于

4.根据权利要求3所述的安全增强设备，其特征在于，所述智能过滤服务器，包括：

拆分单元，用于对数据包进行拆分；

5.根据权利要求4所述的安全增强设备，其特征在于，所述内容过滤单元，具体用于

判断拆分后的数据包是否有异常信息；

6.根据权利要求5所述的安全增强设备，其特征在于，所述协议过滤单元，具体用于

7.根据权利要求6所述的安全增强设备，其特征在于，所述病毒过滤单元，具体用于

其中，所述预设病毒库内包括：高危病毒和非高危病毒。

8.根据权利要求7所述的安全增强设备，其特征在于，所述行为过滤单元，具体用于

9.根据权利要求8所述的安全增强设备，其特征在于，所述第二智能学习控件，具体用于

10.根据权利要求9所述的安全增强设备，其特征在于，所述第二智能学习控件，还具体用于