CN108683656B - 检测城市轨道交通列车控制系统中中间人攻击的方法 - Google Patents

检测城市轨道交通列车控制系统中中间人攻击的方法 Download PDF

Info

Publication number
CN108683656B
CN108683656B CN201810441029.1A CN201810441029A CN108683656B CN 108683656 B CN108683656 B CN 108683656B CN 201810441029 A CN201810441029 A CN 201810441029A CN 108683656 B CN108683656 B CN 108683656B
Authority
CN
China
Prior art keywords
control system
train
man
train control
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810441029.1A
Other languages
English (en)
Other versions
CN108683656A (zh
Inventor
朱力
步兵
王洪伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiaotong University
China State Railway Group Co Ltd
Original Assignee
Beijing Jiaotong University
China Railway Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiaotong University, China Railway Corp filed Critical Beijing Jiaotong University
Priority to CN201810441029.1A priority Critical patent/CN108683656B/zh
Publication of CN108683656A publication Critical patent/CN108683656A/zh
Application granted granted Critical
Publication of CN108683656B publication Critical patent/CN108683656B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

本发明实施例提供了一种检测城市轨道交通列车控制系统中中间人攻击的方法。该方法包括:搭建列控系统正常运营的仿真环境,获得列车当前位置与前方MA终点之间距离的概率分布
Figure DDA0001655945030000011
搭建存在中间人攻击的列控系统仿真环境,获得列车当前位置与前方MA终点之间距离的概率分布P(Dm|θ);在列控系统正常运营时,实时算出列车当前位置与MA终点之间距离,并根据
Figure DDA0001655945030000012
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm);根据多个周期发生列控系统遭受中间人攻击的概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。本发明能在不改变现有列控系统结构,不增加任何设备的情况下,高精度的检测出列控系统是否遭受中间人攻击。

Description

检测城市轨道交通列车控制系统中中间人攻击的方法
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种检测城市轨道交通列车控制系统中中间人攻击的方法。
背景技术
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。目前,超过80%的涉及国计民生的关键基础设施依靠ICS(Industrial ControlSystem,工业控制系统)来实现自动化作业。ICS的安全问题己经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
作为ICS应用的重要领域之一,城市轨道交通行业发展迅速。截止2016年末,我国大陆地区共30个城市开通城市轨道交通运营,共计133条线路,运营线路总长度达4152.8公里。其中,地铁3168.7公里,占76.3%。年度新增运营线路长度创历史新高,首次超过500公里(534.8公里),同比增长20.2%。全年累计完成客运量160.9亿人次,同比增长16.6%,拥有两条及以上城轨交通运营线路的城市达到21个。运营线路增多、客流持续增长、系统制式多元化、运营线路网络化的发展趋势更加明显。为满足日益增长的交通运输运量的需求,城市轨道交通行业逐渐引用了通用的TCP/IP标准协议、通用的操作系统等,与业务系统等其他信息系统的连接也越来越多。
城市轨道交通的核心——列控系统是一个数据驱动的系统,信息技术与信号技术交叉融合,具有CPS(cipher physical system,信息物理系统)的典型特征。大量的传感信息、信号设备、线路数据、列车状态及调度信息,是列车安全、高效运行的基础。一旦这些数据被中断或篡改,轻则导致列车延误,干扰运营,重则引发安全事故,造成恶劣的社会影响。近年来,城市轨道交通正面临着种种威胁。2015年韩国媒体报道,首尔地铁办公电脑近年来持续被黑客入侵,有58台电脑被植入恶意木马,多份文件被盗取。2012年3月,上海申通地铁车站信息发布系统和运行调度系统无线网络遭受攻击;2012年10月,北京地铁5号线车站信息显示屏出现异常,全部显示“王鹏你妹”四个字。
同无人机、无人驾驶一样,城市轨道交通也有可能发生MITM(Man-in-the-middleattack,中间人攻击)。MITM是一种隐蔽性强、危害严重的攻击。所谓MITM,就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。一旦列控系统发生中间人攻击,轻则通信数据泄露,重则发生数据篡改,导致列车紧急停车,甚至导致前后车相距过近,产生更为严重的人员、财产损失。因此,对列控系统的MITM攻击的分析和防护很有必要。
因此,目前迫切需要本领域技术人员解决的一个技术问题就是:如何能够创新地提出一种检测城市轨道交通列车控制系统中中间人攻击的方法,在不改变当前列控系统结构的前提下,在最短的时间内判断出当前列控系统是否遭受中间人攻击,为进一步防护列控系统中的中间人攻击做提前准备。
发明内容
本发明的实施例提供了一种检测城市轨道交通列车控制系统中中间人攻击的方法,以解决上述背景技术中的问题。
为了实现上述目的,本发明采取了如下技术方案:
本发明的实施例提供的一种检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,该方法包括:
预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000031
预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ);
在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000032
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm);
根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。
优选地,所述的预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000033
包括:
仿真不存在中间人攻击的列控系统正常运营场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间;
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值Dmax和最小值Dmin,则每个区间的平均长度为(Dmax-Dmin)/n,在某一区间Rm内,其中,m=1,2,3,……,n,所有D(t)的均值Dm为:
Figure GDA0002684977640000034
其中,N(Rm)表示属于Rm区间的D(t)个数;
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm,m=1,2,3,……,n;
计算不存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm的概率为:
Figure GDA0002684977640000041
其中,
Figure GDA0002684977640000042
表示当前列控系统不存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
优选地,所述的预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000043
还包括:
在仿真不存在中间人攻击的列控系统正常运营场景中,对所述车载设备接收到的列车位置与MA终点的距离进行离散化,将所述D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,离散化的数值n根据测试结果由用户进行自由设置;
在仿真不存在中间人攻击的列控系统正常运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
优选地,所述的预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ),包括:
仿真存在中间人攻击的列车运行场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间;
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值D′max和最小值D′min,则每个区间的平均长度为(D′max-D′min)/n,在某一区间Rm(m=1,2,3,……,n)内,所有D(t)的均值Dm为:
Figure GDA0002684977640000051
其中,N(Rm)表示属于Rm区间的D(t)个数;
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm,其中,m=1,2,3,……,n;
计算存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm的概率为:
Figure GDA0002684977640000052
其中,θ表示当前列控系统存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
优选地,所述的预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ),还包括:
在仿真的存在中间人攻击的列控系统运营场景中,模拟中间人的攻击的目标是:实现列车的非正常停车和列车与前车发生碰撞;
在仿真的存在中间人攻击的列控系统运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
优选地,所述的在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000053
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm),包括:
在列控系统正常运营时,利用每一列车上的车载设备,实时计算出列车当前位置与所述MA终点之间的距离D(t),并根据预先设计的仿真场景中的分割区间和区间均值,将D(t)近似为区间均值Dm,则根据中间人攻击发生的先验概率P(θ),利用贝叶斯公式,计算当前列控系统遭受中间人攻击的概率Pt(θ|Dl)为:
Figure GDA0002684977640000061
其中,P(θ)是中间人攻击发生的先验概率,该数值参考中间人攻击在其他行业发生的概率来确定,而
Figure GDA0002684977640000062
优选地,所述的在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000063
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率Pt(θ|Dm),还包括:
在列控系统正常运营过程中,车载设备按照所述固定周期I计算当前列控系统是否遭受中间人攻击的概率,所述固定周期I由用户进行设定。
优选地,所述的根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击,包括:
在每一列车的车载设备中设定阈值,预设在任意时刻列控系统遭受中间人攻击的所述概率阈值为Pthreshold,以及超过所述概率阈值的所述周期次数阈值为Nthreshold
统计在每一个周期实时计算获得的当前遭受中间人攻击的概率Pt(θ|Dk);
当连续测得所述概率Pt(θ|Dk)>Pthreshold的周期个数N>Nthreshold时,则判定当前列控系统遭受中间人攻击;
所述概率阈值Pthreshold和所述周期次数阈值Nthreshold,根据所述列控系统对检测精度的需求来确定。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000071
通过预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ);在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000072
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm);并根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。本发明能在不改变现有列控系统结构,不增加任何设备的情况下,高精度的检测出列控系统是否遭受中间人攻击。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种检测城市轨道交通列车控制系统中中间人攻击的方法的城市轨道交通列控系统基本结构图;
图2为本发明实施例提供的一种检测城市轨道交通列车控制系统中中间人攻击的方法的流程框图;
图3为本发明实施例提供的一种检测城市轨道交通列车控制系统中中间人攻击的方法的处理流程图。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
本发明实施例提供了一种检测城市轨道交通列车控制系统中中间人攻击的方法,通过搭建仿真环境,获取列控系统在正常运营与存在中间人攻击两种场景下,出现的列车当前位置与MA终点之间距离的概率;并基于列控系统中发生中间人概率的先验概率,利用贝叶斯公式,得到列控系统遭受中间人攻击的后验概率;并根据连续多个周期计算得到的列控系统遭受中间人攻击的后验概率,判断出列控系统是否遭受中间人攻击。
本发明实施例提供的一种典型的城市轨道交通列控系统的结构如图1所示,每一列车上的车载设备,通过骨干网与地面发出MA信息的地面列控设备进行网络连接。
本发明实施例提供的一种检测城市轨道交通列车控制系统中中间人攻击的方法的流程框图和处理流程图如图2-3所示,具体可以包括以下步骤:
S310:预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000093
仿真不存在中间人攻击的列控系统正常运营场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间。
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值Dmax和最小值Dmin,则每个区间的平均长度为(Dmax-Dmin)/n,在某一区间Rm(m=1,2,3,……,n)内,所有D(t)的均值Dm为:
Figure GDA0002684977640000091
其中,N(Rm)表示属于Rm区间的D(t)个数。
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm(m=1,2,3,……,n)。
计算不存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm(m=1,2,3,……,n)的概率为:
Figure GDA0002684977640000092
其中,
Figure GDA0002684977640000101
表示当前列控系统不存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
在上述过程中,对接收到的列车位置与前方MA终点的距离进行离散化,这个离散化的数值n是可以根据测试结果由用户自由设置。
在仿真不存在中间人攻击的列控系统正常运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
S320:预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ)。
仿真存在中间人攻击的列车运行场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间。
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值D′max和最小值D′min,则每个区间的平均长度为(D′max-D′min)/n,在某一区间Rm(m=1,2,3,……,n)内,所有D(t)的均值Dm为:
Figure GDA0002684977640000102
其中,N(Rm)表示属于Rm区间的D(t)个数。
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm(m=1,2,3,……,n)。
计算存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm(m=1,2,3,……,n)的概率为:
Figure GDA0002684977640000103
其中,θ表示当前列控系统存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
在仿真的存在中间人攻击的列控系统运营场景中,模拟中间人的攻击的目标是:实现列车的非正常停车和列车与前车发生碰撞。
在仿真的存在中间人攻击的列控系统运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
S330:在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000111
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm)。
在列控系统正常运营时,利用每一列车上的车载设备,实时计算出列车当前位置与所述MA终点之间的距离D(t),并根据预先设计的仿真场景中的分割区间和区间均值,将D(t)近似为区间均值Dm,则根据中间人攻击发生的先验概率P(θ),利用贝叶斯公式,计算当前列控系统遭受中间人攻击的概率Pt(θ|Dl)为:
Figure GDA0002684977640000112
其中,P(θ)是中间人攻击发生的先验概率,该数值参考中间人攻击在其他行业发生的概率来确定;而
Figure GDA0002684977640000113
在列控系统正常运营过程中,车载设备按照固定周期I计算当前列控系统是否遭受中间人攻击的概率,所述固定周期I由用户进行设定。
S340:根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。
在每一列车的车载设备中设定阈值,预设在任意时刻列控系统遭受中间人攻击的所述概率阈值为Pthreshold,以及超过所述概率阈值的所述周期次数阈值为Nthreshold
统计在每一个周期实时计算获得的当前遭受中间人攻击的概率Pt(θ|Dk)。
当连续测得所述概率Pt(θ|Dk)>Pthreshold的周期个数N>Nthreshold时,则判定当前列控系统遭受中间人攻击。
所述概率阈值Pthreshold和所述周期次数阈值Nthreshold,根据所述列控系统对检测精度的需求来确定。
综上所述,本发明实施例通过搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure GDA0002684977640000121
通过搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ);在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure GDA0002684977640000122
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm);并根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。本发明在不改变现有列控系统结构,不增加任何设备的情况下,以较高的精度检测出列控系统是否遭受中间人攻击,是进一步防护列控系统信息安全的前提和基础。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (8)

1.一种检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,该方法包括:
预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure FDA0002684977630000011
预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ);
在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure FDA0002684977630000012
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm);
根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击。
2.根据权利要求1所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure FDA0002684977630000013
包括:
仿真不存在中间人攻击的列控系统正常运营场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间;
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值Dmax和最小值Dmin,则每个区间的平均长度为(Dmax-Dmin)/n,在某一区间Rm内,其中,m=1,2,3,……,n,所有D(t)的均值Dm为:
Figure FDA0002684977630000021
其中,N(Rm)表示属于Rm区间的D(t)个数;
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm,m=1,2,3,……,n;
计算不存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm的概率为:
Figure FDA0002684977630000022
其中,
Figure FDA0002684977630000023
表示当前列控系统不存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
3.根据权利要求2所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的预先设计搭建列控系统正常运营的仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布
Figure FDA0002684977630000024
还包括:
在仿真不存在中间人攻击的列控系统正常运营场景中,对所述车载设备接收到的列车位置与MA终点的距离进行离散化,将所述D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,离散化的数值n根据测试结果由用户进行自由设置;
在仿真不存在中间人攻击的列控系统正常运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
4.根据权利要求1所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ),包括:
仿真存在中间人攻击的列车运行场景,利用每一列车上的车载设备采集前方MA终点处发送的MA信息,从所述MA信息中,计算列车当前位置与所述MA终点之间的距离D(t)(t=1,2,3…K),K为记录数据的总时间;
将D(t)的取值从小到大排列后划分为n个区间:R1,R2,R3,R4...Rn,统计所述D(t)值中的最大值D′max和最小值D′min,则每个区间的平均长度为(D′max-D′min)/n,在某一区间Rm(m=1,2,3,……,n)内,所有D(t)的均值Dm为:
Figure FDA0002684977630000031
其中,N(Rm)表示属于Rm区间的D(t)个数;
根据所述D(t)所属的区间,将所有D(t)的值近似等于所属区间的均值Dm,其中,m=1,2,3,……,n;
计算存在中间人攻击的列车运行场景下,列车当前位置与MA终点之间的距离等于Dm的概率为:
Figure FDA0002684977630000032
其中,θ表示当前列控系统存在中间人攻击,N(Rm)表示属于Rm区间的D(t)个数,N(D(t))表示所有D(t)的个数。
5.根据权利要求4所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的预先设计搭建存在中间人攻击的列控系统仿真环境,获得该仿真环境中列车当前位置与前方MA终点之间的距离的概率分布P(Dm|θ),还包括:
在仿真的存在中间人攻击的列控系统运营场景中,模拟中间人的攻击的目标是:实现列车的非正常停车和列车与前车发生碰撞;
在仿真的存在中间人攻击的列控系统运营场景中,当所述车载设备采集前方MA终点处发送的MA信息时,将列车的行驶时间固定并设为周期T。
6.根据权利要求1所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure FDA0002684977630000041
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率P(θ|Dm),包括:
在列控系统正常运营时,利用每一列车上的车载设备,实时计算出列车当前位置与所述MA终点之间的距离D(t),并根据预先设计的仿真场景中的分割区间和区间均值,将D(t)近似为区间均值Dm,则根据中间人攻击发生的先验概率P(θ),利用贝叶斯公式,计算当前列控系统遭受中间人攻击的概率Pt(θ|Dl)为:
Figure FDA0002684977630000042
其中,P(θ)是中间人攻击发生的先验概率,该数值参考中间人攻击在其他行业发生的概率来确定,而
Figure FDA0002684977630000043
7.根据权利要求6所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的在列控系统正常运营时,实时计算出列车当前位置与MA终点之间的距离,并根据所述
Figure FDA0002684977630000044
和P(Dm|θ)的值,计算得出当前时刻列控系统遭受中间人攻击的概率Pt(θ|Dm),还包括:
在列控系统正常运营过程中,车载设备按照固定周期I计算当前列控系统是否遭受中间人攻击的概率,所述固定周期I由用户进行设定。
8.根据权利要求1所述的检测城市轨道交通列车控制系统中中间人攻击的方法,其特征在于,所述的根据多个周期发生列控系统遭受中间人攻击的所述概率P(θ|Dm),与预设概率阈值以及超过概率阈值的周期次数阈值相比,判断列控系统是否遭受中间人攻击,包括:
在每一列车的车载设备中设定阈值,预设在任意时刻列控系统遭受中间人攻击的所述概率阈值为Pthreshold,以及超过所述概率阈值的所述周期次数阈值为Nthreshold
统计在每一个周期实时计算获得的当前遭受中间人攻击的概率Pt(θ|Dk);
当连续测得所述概率Pt(θ|Dk)>Pthreshold的周期个数N>Nthreshold时,则判定当前列控系统遭受中间人攻击;
所述概率阈值Pthreshold和所述周期次数阈值Nthreshold,根据所述列控系统对检测精度的需求来确定。
CN201810441029.1A 2018-05-10 2018-05-10 检测城市轨道交通列车控制系统中中间人攻击的方法 Expired - Fee Related CN108683656B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810441029.1A CN108683656B (zh) 2018-05-10 2018-05-10 检测城市轨道交通列车控制系统中中间人攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810441029.1A CN108683656B (zh) 2018-05-10 2018-05-10 检测城市轨道交通列车控制系统中中间人攻击的方法

Publications (2)

Publication Number Publication Date
CN108683656A CN108683656A (zh) 2018-10-19
CN108683656B true CN108683656B (zh) 2021-01-19

Family

ID=63805674

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810441029.1A Expired - Fee Related CN108683656B (zh) 2018-05-10 2018-05-10 检测城市轨道交通列车控制系统中中间人攻击的方法

Country Status (1)

Country Link
CN (1) CN108683656B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101941449A (zh) * 2010-08-20 2011-01-12 北京交通大学 城市轨道交通出入段线能力分析方法及系统
CN102957579A (zh) * 2012-09-29 2013-03-06 北京邮电大学 一种网络异常流量监测方法及装置
CN103029723A (zh) * 2012-12-24 2013-04-10 北京交控科技有限公司 一种区域切换时移动授权的混合方法
CN103685298A (zh) * 2013-12-23 2014-03-26 上海交通大学无锡研究院 一种基于深度包检测的ssl中间人攻击发现方法
CN106484966A (zh) * 2016-09-22 2017-03-08 北京交通大学 一种城市轨道交通突发事件动态影响范围与强度确定方法
CN106672023A (zh) * 2016-12-14 2017-05-17 交控科技股份有限公司 一种跨线重叠区的进路解锁方法
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101941449A (zh) * 2010-08-20 2011-01-12 北京交通大学 城市轨道交通出入段线能力分析方法及系统
CN102957579A (zh) * 2012-09-29 2013-03-06 北京邮电大学 一种网络异常流量监测方法及装置
CN103029723A (zh) * 2012-12-24 2013-04-10 北京交控科技有限公司 一种区域切换时移动授权的混合方法
CN103685298A (zh) * 2013-12-23 2014-03-26 上海交通大学无锡研究院 一种基于深度包检测的ssl中间人攻击发现方法
CN106484966A (zh) * 2016-09-22 2017-03-08 北京交通大学 一种城市轨道交通突发事件动态影响范围与强度确定方法
CN106672023A (zh) * 2016-12-14 2017-05-17 交控科技股份有限公司 一种跨线重叠区的进路解锁方法
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法

Also Published As

Publication number Publication date
CN108683656A (zh) 2018-10-19

Similar Documents

Publication Publication Date Title
CN109347823B (zh) 一种基于信息熵的can总线异常检测方法
CN103581186B (zh) 一种网络安全态势感知方法及系统
US20220006666A1 (en) Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy
US20090138590A1 (en) Apparatus and method for detecting anomalous traffic
CN101577051B (zh) 汽车鸣喇叭监控系统的监控方法
CN103140859B (zh) 对计算机系统中的安全性的监控
CN114240933B (zh) 一种用于空中交通管制的ads-b攻击检测方法
van der Heijden et al. Misbehavior detection in vehicular ad-hoc networks
CN108696535B (zh) 基于sdn的网络安全防护系统和方法
CN106790062A (zh) 一种基于反向dns查询属性聚合的异常检测方法及系统
CN104408898A (zh) 基于报警信息组合判定的提高报警准确率的方法和装置
Alheeti et al. An intelligent intrusion detection scheme for self-driving vehicles based on magnetometer sensors
Ghaleb et al. Detecting bogus information attack in vehicular ad hoc network: a context-aware approach
CN101335752B (zh) 一种基于频繁片段规则的网络入侵检测方法
CN108683656B (zh) 检测城市轨道交通列车控制系统中中间人攻击的方法
Özkul et al. Police‐less multi‐party traffic violation detection and reporting system with privacy preservation
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
Wu et al. Signaling game-based misbehavior inspection in v2i-enabled highway operations
CN105516164A (zh) 基于分形与自适应融合的P2P botnet检测方法
CN114338214B (zh) 风险控制方法和系统
CN103532937B (zh) 应用识别验证方法及装置
CN205692170U (zh) 一种营配调数据预处理系统
CN104412634A (zh) 使用云传感器网络的智能无线入侵阻挡系统和传感器
Zheng et al. Segment detection algorithm: CAN bus intrusion detection based on bit constraint
CN111127261A (zh) 一种知识产权服务平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210119

CF01 Termination of patent right due to non-payment of annual fee