CN108809967A - 轨道交通信号系统信息安全风险监测方法 - Google Patents

Abstract

本发明实施例提供了一种轨道交通信号系统信息安全风险监测方法。该方法包括：初始化参数；基于安全通信场景下的CBTC系统模型，获取信息安全风险监测阈值；在重放攻击场景下运行CBTC系统模型，获取状态变量，算出安全风险监测函数值；将k时刻的安全风险监测函数值与信息安全风险监测阈值比较，判断系统是否发生重放攻击；若未发生重放攻击则计算出Pearson系数，判断k时刻是否发生隐蔽重放攻击；设置Pearson系数监测器，判断是否重置Pearson系数；判断是否超时，若未超时，则返回信息安全风险监测阈值的计算，循环执行信息安全风险监测方法。本发明能在CBTC系统下列车群前后追踪过程中通过列车运行状态判断是否发生重放攻击，以及能够在此过程中及早地发现攻击。

Description

轨道交通信号系统信息安全风险监测方法

技术领域

本发明涉及轨道交通信息安全技术领域，尤其涉及一种轨道交通信号系统信息安全风险监测方法。

背景技术

重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(FreshnessAttacks)，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

现有社会背景中，在网络安全和信息化领域，交通领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。城市轨道交通是应用了ICS的关键城市公共交通行业，为缓解交通压力、满足出行需求开发了结合计算机、网络、控制等先进技术的CBTC系统(Communication Based Train Control System，列车自动控制系统)。然而，在城市轨道交通自动化、信息化技术发展的趋势下，系统的信息安全也遭受着严峻的考验。CBTC系统自诞生起就面临着越来越多的信息安全问题，其更容易受到信息安全威胁，也加剧了系统内部可能遭受到的信息安全风险。同时，互联网技术本身固有的信息安全漏洞加之其的迅速普及，也增加了CBTC系统的信息安全隐患。

国内外对轨道交通领域的信息安全问题研究都处于起步阶段，针对城轨信息安全问题研究的起步更晚。目前，几乎没有任何信息安全风险监测技术应用于城轨，已配备的信息安全保护设备也不够完善。以往研究方法和改进措施大多停留在理论层面、仿真平台和实验室阶段，与实际轨道交通的运营环境有较大差距。而且，缺乏针对城轨系统特点的信息安全关键技术研究，基于系统数学模型的风险监测方法研究方向也几乎是空白。

因此，有必要针对实际轨道交通信号系统，设计一种信息安全风险监测方法，在CBTC系统下列车群前后追踪过程中通过列车运行状态判断是否发生重放攻击，以及能够在此过程中及早地发现攻击。

发明内容

本发明的实施例提供了一种轨道交通信号系统信息安全风险监测方法，以解决上述背景技术中的问题。

为了实现上述目的，本发明采取了如下技术方案：

本发明的实施例提供的一种轨道交通信号系统信息安全风险监测方法，其特征在于，该方法包括：

S1：初始化轨道交通信号系统的参数；

S2：基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值；

S3：在重放攻击场景下重新运行CBTC系统模型，获取状态变量；

S4：根据所述状态变量，计算得出安全风险监测函数值；

S5：将k时刻的所述安全风险监测函数值与所述信息安全风险监测阈值比较，判断系统是否发生重放攻击；

S6：若未发生重放攻击则计算出Pearson系数，根据所述Pearson系数，判断k时刻是否发生隐蔽重放攻击。

优选地，该方法还包括：

设置Pearson系数监测器，判断是否重置所述Pearson系数；

以及超时判断，判断时间计数k是否已达到预设的最大值，若未达到，则返回所述信息安全风险监测阈值的获取步骤，循环执行信息安全风险监测方法。

优选地，所述的初始化轨道交通信号系统的参数，包括：

设置系统状态变量的初始状态估计值和协方差，公式为：

P₀＝E{(X₀-E[X₀])(X₀-E[X₀])^T}。 (2)

优选地，所述的基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值，包括：

当监测开始，时间计数k＝1,2,...,n递进时，循环执行信息安全风险监测方法，每一次循环都从获取新的安全通信场景下的信息安全风险监测阈值开始；

基于构造的安全通信场景下的CBTC系统模型，进行仿真，并通过计算筛选，得出安全通信场景下的信息安全风险监测阈值，计算公式为：

其中，h为安全通信场景下的信息安全风险监测阈值，k为时间计数值，g_k为RCST-URT的监测函数值。

优选地，所述的在重放攻击场景下重新运行CBTC系统模型，获取状态变量，包括：

在重放攻击场景下重新运行CBTC系统模型，获得k时刻车载等效传感器采集的列车群运行状态观测矢量_SRAY_k，同时经过计算得到卡尔曼滤波的状态预测值和状态估计值公式为：

其中，A为系统状态转移矩阵，B为控制输入矩阵，U为k时刻CBTC系统的控制输入矢量；

其中，A₁₁＝A₂₂＝I_n，A₂₁＝0_n×n，

I_n是n维单位矩阵，0_n×n是元素全为常数零的n×n方阵；

P_k|k-1＝AP_k-1|k-1A^T+Q， (5)

其中，P_k|k-1为k-1时刻到k时刻的预测误差协方差矩阵，Q为系统过程噪声协方差矩阵；

K_k＝P_k|k-1C^T(CP_k|k-1C^T+R)^-1， (6)

其中，K_k为k时刻的Kalman滤波增益矩阵，R为系统观测噪声协方差矩阵；

P_k|k＝(I-K_kC)P_k|k-1， (8)

其中，I为单位矩阵。

优选地，所述的根据所述状态变量，计算得出安全风险监测函数值，包括：

计算残差的公式为：

根据r_k，计算解得RCST-URT法信息安全风险监测函数值g_k的公式为：

优选地，所述的将k时刻的所述安全风险监测函数值与所述信息安全风险监测阈值比较，判断系统是否发生重放攻击，包括：

设检验条件为H₀，对系统是否发生了重放攻击进行判断；

将k时刻的所述安全风险监测函数值g_k，与所述信息安全风险监测阈值h进行比较如下：

当所述安全风险监测函数值g_k超过所述信息安全风险监测阈值h，则不满足假设检验条件H₀，则系统发生了重放攻击。

优选地，所述的若未发生重放攻击则计算出Pearson系数，包括：

若k时刻的所述安全风险监测函数值g_k未超过所述信息安全风险监测阈值h，则进一步计算出Pearson系数ρ_XY，公式为：

优选地，所述的根据所述Pearson系数，判断k时刻是否发生隐蔽重放攻击，包括：

基于设计的标准评估求出的Pearson系数ρ_XY，根据ρ_XY的数值判断k时刻是否发生了隐蔽重放攻击，具体为：

当ρ_XY的数值为0.4-0.6时，则表示发生了隐蔽重放攻击。

优选地，所述的设置Pearson系数监测器，判断是否重置所述Pearson系数，包括：

根据设计的Pearson系数监测器重置策略，判断是否重置所述Pearson系数，若需重置所述Pearson系数，则重新计算出Pearson系数ρ_XY；

所述Pearson系数监测器重置策略为：

(1)当刚开始监测Pearson系数偏大时，基于刚开始监测这段时间，Pearson系数监测器检测率较低、漏报率较高，联合所述安全风险监测函数值的判断，则：当Pearson系数的监测计数K＜10时，不使用Pearson系数监测器辅助检测，用于缩短计算时间；

(2)当长时间监测Pearson系数偏小时，基于时间过长，所述Pearson系数监测器的误报率较高，联合所述安全风险监测函数值的判断，则：当Pearson系数的监测计数K＞90且连续5次监测运算的结果为无攻击时，重置所述Pearson系数监测器一次，用于降低误报率；

(3)当某一时刻联合所述安全风险监测函数值判断有攻击发生，则暂时不重置所述Pearson系数监测器，等待联合所述安全风险监测函数值判断攻击已经结束之后，返回重置策略(1)和(2)决定此刻是否重置Pearson系数监测器。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例提出了一种轨道交通信号系统信息安全风险监测方法，该方法包括：初始化系统参数；基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值；在重放攻击场景下重新运行CBTC系统模型，获取状态变量；根据状态变量，计算得出安全风险监测函数值；将k时刻的安全风险监测函数值与信息安全风险监测阈值比较，判断系统是否发生重放攻击；若未发生重放攻击则计算出Pearson系数，根据Pearson系数，判断k时刻是否发生隐蔽重放攻击；设置Pearson系数监测器，判断是否重置Pearson系数；判断时间计数k是否已达到预设的最大值，若未达到，则返回信息安全风险监测阈值的计算，循环执行信息安全风险监测方法。本发明能在CBTC系统下列车群前后追踪过程中通过列车运行状态判断是否发生重放攻击，以及能够在此过程中及早地发现攻击。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种轨道交通信号系统信息安全风险监测方法的处理流程框图；

图2为本发明实施例提供的一种轨道交通信号系统信息安全风险监测方法的处理流程图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例提供了一种轨道交通信号系统信息安全风险监测方法,在列车运行状态下判断是否发生重放攻击以及在此过程中及早地发现攻击。

本发明实施例提供的一种轨道交通信号系统信息安全风险监测方法的处理流程框图如图1所示，处理步骤如图2所示，具体如下：

S1：初始化系统参数。

设置系统状态变量的初始状态估计值和协方差，公式为：

P₀＝E{(X₀-E[X₀])(X₀-E[X₀])^T}。 (2)

S2：基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值。

当监测开始，时间计数k＝1,2,...,n递进时，循环执行信息安全风险监测方法，每一次循环都从获取新的安全通信场景下的信息安全风险监测阈值开始。

基于构造的安全通信场景下的CBTC系统模型，进行仿真，并通过计算筛选，得出安全通信场景下的信息安全风险监测阈值，计算公式为：

其中，h为安全通信场景下的信息安全风险监测阈值，k为时间计数值，g_k为RCST-URT的监测函数值。

S3：在重放攻击场景下重新运行CBTC系统模型，获取状态变量。

在重放攻击场景下重新运行CBTC系统模型，获得k时刻车载等效传感器采集的列车群运行状态观测矢量_SRAY_k，同时经过计算得到卡尔曼滤波的状态预测值和状态估计值公式为：

其中，A为系统状态转移矩阵，B为控制输入矩阵，U为k时刻CBTC系统的控制输入矢量；

其中，A₁₁＝A₂₂＝I_n，A₂₁＝0_n×n，

I_n是n维单位矩阵，0_n×n是元素全为常数零的n×n方阵。

P_k|k-1＝AP_k-1|k-1A^T+Q， (5)

其中，P_k|k-1为k-1时刻到k时刻的预测误差协方差矩阵，Q为系统过程噪声协方差矩阵；

K_k＝P_k|k-1C^T(CP_k|k-1C^T+R)^-1， (6)

其中，K_k为k时刻的Kalman滤波增益矩阵，R为系统观测噪声协方差矩阵；

P_k|k＝(I-K_kC)P_k|k-1， (8)

其中，I为单位矩阵。

S4：根据所述状态变量，计算得出安全风险监测函数值。

计算残差的公式为：

根据r_k，计算解得RCST-URT法信息安全风险监测函数值g_k的公式为：

S5：将k时刻的所述安全风险监测函数值与所述信息安全风险监测阈值比较，判断系统是否发生重放攻击。

设检验条件为H₀，对系统是否发生了重放攻击进行判断。

将k时刻的所述安全风险监测函数值g_k，与所述信息安全风险监测阈值h进行比较如下：

当所述安全风险监测函数值g_k超过所述信息安全风险监测阈值h，则不满足假设检验条件H₀，则系统发生了重放攻击。

S6：若未发生重放攻击则计算出Pearson系数，根据所述Pearson系数，判断k时刻是否发生隐蔽重放攻击。

若k时刻的所述安全风险监测函数值g_k未超过所述信息安全风险监测阈值h，则进一步计算出Pearson系数ρ_XY，公式为：

基于设计的标准评估求出的Pearson系数ρ_XY，根据ρ_XY的数值判断k时刻是否发生了隐蔽重放攻击，具体为：

当ρ_XY的数值为0.4-0.6时，则表示发生了隐蔽重放攻击。

S7：设置Pearson系数监测器，判断是否重置所述Pearson系数。

根据设计的Pearson系数监测器重置策略，判断是否重置所述Pearson系数，若需重置所述Pearson系数，则重新计算出Pearson系数ρ_XY。

所述Pearson系数监测器重置策略为：

(1)针对刚开始监测Pearson系数偏大的问题，由于这段时间Pearson系数监测器检测率较低、漏报率较高，联合安全风险监测函数值的判断，初步决定：当Pearson系数监测计数K＜10时，不使用Pearson系数监测器辅助检测，以缩短计算时间。

(2)针对长时间监测Pearson系数偏小的问题，由于时间过长后Pearson系数监测器的误报率较高，联合所述安全风险监测函数值的判断，初步决定：当Pearson系数的监测计数K＞90且连续5次监测运算的结果为无攻击时，重置所述Pearson系数监测器一次，用于降低误报率。

(3)当某一时刻联合所述安全风险监测函数值判断有攻击发生，则暂时不重置所述Pearson系数监测器，等待联合所述安全风险监测函数值判断攻击已经结束之后，返回重置策略(1)和(2)决定此刻是否重置Pearson系数监测器。

S8：判断时间计数k是否已达到预设的最大值，若未达到，则返回所述信息安全风险监测阈值的获取步骤，循环执行信息安全风险监测方法。

综上所述，本发明实施例通过提出一种轨道交通信号系统信息安全风险监测方法，该方法包括：初始化系统参数；基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值；在重放攻击场景下重新运行CBTC系统模型，获取状态变量；根据状态变量，计算得出安全风险监测函数值；将k时刻的安全风险监测函数值与信息安全风险监测阈值比较，判断系统是否发生重放攻击；若未发生重放攻击则计算出Pearson系数，根据Pearson系数，判断k时刻是否发生隐蔽重放攻击；设置Pearson系数监测器，判断是否重置Pearson系数；判断时间计数k是否已达到预设的最大值，若未达到，则返回信息安全风险监测阈值的计算，循环执行信息安全风险监测方法。本发明按轨道交通信息安全需求，对CBTC系统进行建模，并对监测方法进行验证，使得监测方法在CBTC系统运行过程中有效监测出重放攻击，及早的发现通信中的攻击。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种轨道交通信号系统信息安全风险监测方法，其特征在于，该方法包括：

S1：初始化轨道交通信号系统的参数；

S2：基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值；

S3：在重放攻击场景下重新运行CBTC系统模型，获取状态变量；

S4：根据所述状态变量，计算得出安全风险监测函数值；

S5：将k时刻的所述安全风险监测函数值与所述信息安全风险监测阈值比较，判断系统是否发生重放攻击；

S6：若未发生重放攻击则计算出Pearson系数，根据所述Pearson系数，判断k时刻是否发生隐蔽重放攻击。

2.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，该方法还包括：

设置Pearson系数监测器，判断是否重置所述Pearson系数；

以及超时判断，判断时间计数k是否已达到预设的最大值，若未达到，则返回所述信息安全风险监测阈值的获取步骤，循环执行信息安全风险监测方法。

3.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的初始化轨道交通信号系统的参数，包括：

设置系统状态变量的初始状态估计值和协方差，公式为：

P₀＝E{(X₀-E[X₀])(X₀-E[X₀])^T}。 (2)

4.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的基于构造的安全通信场景下的CBTC系统模型，获取安全通信场景下的信息安全风险监测阈值，包括：

当监测开始，时间计数k＝1,2,...,n递进时，循环执行信息安全风险监测方法，每一次循环都从获取新的安全通信场景下的信息安全风险监测阈值开始；

基于构造的安全通信场景下的CBTC系统模型，进行仿真，并通过计算筛选，得出安全通信场景下的信息安全风险监测阈值，计算公式为：

其中，h为安全通信场景下的信息安全风险监测阈值，k为时间计数值，g_k为RCST-URT的监测函数值。

5.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的在重放攻击场景下重新运行CBTC系统模型，获取状态变量，包括：

在重放攻击场景下重新运行CBTC系统模型，获得k时刻车载等效传感器采集的列车群运行状态观测矢量_SRAY_k，同时经过计算得到卡尔曼滤波的状态预测值和状态估计值公式为：

其中，A为系统状态转移矩阵，B为控制输入矩阵，U为k时刻CBTC系统的控制输入矢量；

其中，A₁₁＝A₂₂＝I_n，A₂₁＝0_n×n，

I_n是n维单位矩阵，0_n×n是元素全为常数零的n×n方阵；

P_k|k-1＝AP_k-1|k-1A^T+Q， (5)

其中，P_k|k-1为k-1时刻到k时刻的预测误差协方差矩阵，Q为系统过程噪声协方差矩阵；

K_k＝P_k|k-1C^T(CP_k|k-1C^T+R)^-1， (6)

其中，K_k为k时刻的Kalman滤波增益矩阵，R为系统观测噪声协方差矩阵；

P_k|k＝(I-K_kC)P_k|k-1， (8)

其中，I为单位矩阵。

6.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的根据所述状态变量，计算得出安全风险监测函数值，包括：

计算残差的公式为：

根据r_k，计算解得RCST-URT法信息安全风险监测函数值g_k的公式为：

7.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的将k时刻的所述安全风险监测函数值与所述信息安全风险监测阈值比较，判断系统是否发生重放攻击，包括：

设检验条件为H₀，对系统是否发生了重放攻击进行判断；

将k时刻的所述安全风险监测函数值g_k，与所述信息安全风险监测阈值h进行比较如下：

当所述安全风险监测函数值g_k超过所述信息安全风险监测阈值h，则不满足假设检验条件H₀，则系统发生了重放攻击。

8.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的若未发生重放攻击则计算出Pearson系数，包括：

若k时刻的所述安全风险监测函数值g_k未超过所述信息安全风险监测阈值h，则进一步计算出Pearson系数ρ_XY，公式为：

9.根据权利要求1所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的根据所述Pearson系数，判断k时刻是否发生隐蔽重放攻击，包括：

基于设计的标准评估求出的Pearson系数ρ_XY，根据ρ_XY的数值判断k时刻是否发生了隐蔽重放攻击，具体为：

当ρ_XY的数值为0.4-0.6时，则表示发生了隐蔽重放攻击。

10.根据权利要求2所述的轨道交通信号系统信息安全风险监测方法，其特征在于，所述的设置Pearson系数监测器，判断是否重置所述Pearson系数，包括：

根据设计的Pearson系数监测器重置策略，判断是否重置所述Pearson系数，若需重置所述Pearson系数，则重新计算出Pearson系数ρ_XY；

所述Pearson系数监测器重置策略为：

(1)当刚开始监测Pearson系数偏大时，基于刚开始监测这段时间，Pearson系数监测器检测率较低、漏报率较高，联合所述安全风险监测函数值的判断，则：当Pearson系数的监测计数K＜10时，不使用Pearson系数监测器辅助检测，用于缩短计算时间；

(2)当长时间监测Pearson系数偏小时，基于时间过长，所述Pearson系数监测器的误报率较高，联合所述安全风险监测函数值的判断，则：当Pearson系数的监测计数K＞90且连续5次监测运算的结果为无攻击时，重置所述Pearson系数监测器一次，用于降低误报率；

(3)当某一时刻联合所述安全风险监测函数值判断有攻击发生，则暂时不重置所述Pearson系数监测器，等待联合所述安全风险监测函数值判断攻击已经结束之后，返回重置策略(1)和(2)决定此刻是否重置Pearson系数监测器。