CN112261009A - 一种针对铁路调度集中系统的网络入侵检测方法 - Google Patents
一种针对铁路调度集中系统的网络入侵检测方法 Download PDFInfo
- Publication number
- CN112261009A CN112261009A CN202011050520.5A CN202011050520A CN112261009A CN 112261009 A CN112261009 A CN 112261009A CN 202011050520 A CN202011050520 A CN 202011050520A CN 112261009 A CN112261009 A CN 112261009A
- Authority
- CN
- China
- Prior art keywords
- network
- flow
- centralized system
- railway dispatching
- railway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明公开了一种针对铁路调度集中系统的网络入侵检测方法,通过数据流量检测和数据包样本检测以及数据流量与数据包样本检测结果结合的检测方法,及时、高效、准确地检测网络攻击行为,使网络攻击对铁路运营造成的影响减小,从而减少经济利益损失,保障旅客的出行安全,提供了铁路调度集中系统的信息安全防护能力。
Description
技术领域
本发明涉及铁路信号系统信息安全领域,尤其涉及一种针对铁路调度集中系统的网络入侵检测方法。
背景技术
在铁路信号系统中,调度集中系统是调度所对某一调度区段的信号设备进行集中控制,对列车运行进行直接指挥、管理的技术装备。铁路调度集中系统利用信息技术、网络技术、控制技术等现代化科学技术手段取代了传统落后的行车指挥手段,采用并结合了先进的通信、信号、计算机网络、数据传输、多媒体技术等现代信息技术,与相关系统紧密结合、互联互通、信息共享,实现了铁路运输组织的科学化、现代化,增加运能,提高效率,减轻了调度人员的劳动强度,改善了调度指挥的工作环境。
确保铁路调度集中系统网络正常工作,是实施调度指挥和保障铁路运输安全的重要前提。近年来,随着我国铁路智能化水平的不断提高,铁路调度集中系统越来越网络化、信息化。为了满足不同的运输需求,铁路调度集中系统通过网络与越来越多的服务接口实现信息交互,使系统面临严峻的信息安全威胁。铁路调度集中系统网络入侵检测能够及时、有效地检测到来自外部的网络攻击,阻止攻击者进一步攻击铁路信号系统,在攻击者对系统造成严重破坏之前向维护管理人员发出告警,对攻击行为做出迅速响应,使网络攻击对铁路运输造成的影响最小,减少经济利益损失,保障旅客出行安全。
因此,亟需一种针对铁路调度集中系统的网络入侵检测方法,以提高铁路调度集中系统的信息安全防护能力。
发明内容
本发明的目的是提供一种针对铁路调度集中系统的网络入侵检测方法,可以准确检测网络攻击行为,以提高铁路调度集中系统的信息安全防护能力。
本发明的目的是通过以下技术方案实现的:
一种针对铁路调度集中系统的网络入侵检测方法,包括:
在铁路调度集中系统中部署网络监测器,用于收集网络数据,并实时统计网络流量;
根据正常状态下,一段时间内统计的网络流量,构建流量观测序列,并计算出流量阈值范围,之后,对于当前时刻统计的网络流量值,根据其是否落入流量阈值范围内,来检测流量观测序列是否发生异常变化,从网络流量层面判断铁路调度集中系统是否遭受网络攻击;若当前网络流量值高于流量阈值上控制边界,则判定铁路调度集中系统遭受网络攻击;
若不高于流量阈值上控制边界,则继续执行下述步骤:采集针对铁路调度集中系统的网络模拟攻击数据,作为入侵检测训练数据集构建检测模型;采用铁路调度集中系统专有网络协议从网络监测器收集的单个网络数据包中提取关键字段特征,作为数据包检测样本输入至检测模型,从数据包层面判断铁路调度集中系统是否遭受网络攻击。
由上述本发明提供的技术方案可以看出,通过数据流量检测和数据包样本检测以及数据流量与数据包样本检测结果结合的检测方法,及时、高效、准确地检测网络攻击行为,使网络攻击对铁路运营造成的影响减小,从而减少经济利益损失,保障旅客的出行安全,提供了铁路调度集中系统的信息安全防护能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种针对铁路调度集中系统的网络入侵检测方法的流程图;
图2为本发明实施例提供的网络监测器部署示意图;
图3为本发明实施例提供的改进的EWMA算法流量异常检测流程图;
图4为本发明实施例提供的决策树算法数据包样本检测流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明实施例提供一种针对铁路调度集中系统的网络入侵检测方法,旨在解决在铁路调度集中系统受到恶意网络攻击时,如何及时、高效、准确检测攻击行为,生成告警的问题,从而减小网络攻击对铁路运营造成的影响,减少经济利益损失,保障旅客出行安全,提高铁路调度集中系统的信息安全防护能力,如图1所示,该方法主要包括:
步骤S1、在铁路调度集中系统中部署网络监测器,用于收集网络数据,并实时统计网络流量。
本发明实施例中,所述网络监测器为具有网络嗅探功能的设备,能够从交换机镜像端口收集铁路调度集中系统的网络通信数据。图2提供了一种网络监测器部署的示例,参照图2,网络监测器包括中心网络监测器和车站网络监测器。在铁路调度集中系统中心子系统的以太网络交换机设置镜像端口,中心网络监测器通过该端口收集中心子系统设备间交互的网络数据以及中心子系统与各个车站子系统设备间交互的网络数据;在铁路调度集中系统各个车站子系统的以太网络交换机设置镜像端口,车站网络监测器通过该端口收集车站子系统设备间交互的网络数据以及车站子系统与中心子系统设备间交互的网络数据。
本发明实施例中,利用网络监测器统计单位时间内(例如,以1s为统计间隔)收集的网络数据,获得网络流量,作为流量检测特征。
步骤S2、根据正常状态下,一段时间内统计的网络流量,构建流量观测序列,并计算出流量阈值范围,之后,对于当前时刻统计的网络流量值,根据其是否落入流量阈值范围内,来检测流量观测序列是否发生异常变化,从网络流量层面判断铁路调度集中系统是否遭受网络攻击;若当前网络流量值高于流量阈值上控制边界,则判定铁路调度集中系统遭受网络攻击;若不高于流量阈值上控制边界,则执行步骤S3。
本发明实施例中,采用一种改进的指数加权移动平均控制图算法(ExponentiallyWeighted Moving Average,EWMA)处理流量观测序列,改进的EWAM算法由流量观测序列预测下一个统计周期的流量边界,并检测下一个周期流量观测值是否落在正常边界范围之内,以此确定网络流量是否存在异常,并判断当前网络是否遭受攻击。
传统EWAM算法的原理为:
1)利用历史的流量观测序列计算流量预测序列,公式如下:
z(i)=λ·x(i)+(1-λ)·z(i-1),0<λ≤1
其中,x(i)为历史的流量观测序列,由正常状态下,一段时间内统计的网络流量构造得到,z(i)为流量预测序列,i表示获取序列的时刻,λ为平滑因子。
2)计算流量预测序列z(i)的均值μz和方差σz,公式如下:
μz=μx
其中,μx和σx由数据训练过程中的历史数据计算得到。
3)计算上控制边界U和下控制边界D,分别按下式计算:
Uz=μz+L·σz
Dz=μz-L·σz。
其中,L是控制边界系数;
为了消除流量观测序列的自相关性,对传统EWMA算法做进一步改进,利用历史的流量观测序列x(i)与前一时刻的流量预测序列z(i-1)计算误差序列e(i):
e(i)=x(i)-z(i-1)
σe 2=α·e(i)2+(1-α)·σe 2(i-1)
其中,0<α≤1;
由此计算出上控制边界U和下控制边界D,从而确定出流量阈值范围:
U=L·σe
D=-L·σe
根据上述原理可见,在对铁路调度集中系统进行实时流量检测时,上、下控制边界的计算通过历史正常流量序列得到,不必实时计算,对于当前网络流量值,直接判定其是否满足流量阈值即可。
图3给出了改进的EWMA算法流量异常检测的流程;即,由历史的流量观测序列x(i)计算预测序列z(i);再计算用于异常检测的误差序列e(i),并求得e(i)的方差;然后计算异常检测的上、下边界值U与D,并以此求得流量阈值;对于之后的每一时刻,检测网络流量值是否落在流量阈值范围之内,确定网络流量是否存在异常,并判断当前网络是否遭受攻击。
步骤S3、采集针对铁路调度集中系统的网络模拟攻击数据,作为入侵检测训练数据集构建检测模型;采用铁路调度集中系统专有网络协议从网络监测器收集的单个网络数据包中提取关键字段特征,作为数据包检测样本输入至检测模型,从数据包层面判断铁路调度集中系统是否遭受网络攻击。
本发明实施例中,构建的检测模型可以为决策树检测模型,构建决策树检测模型时,决策树是一种树形结构,其中每个内部节点表示一个属性上的判断,每个分支代表一个判断结果的输出,最后每个叶节点代表一种分类结果。利用信息增益I决定决策树中每个节点选取的特征属性,计算公式为:
其中,S为训练数据集,包含所有数据实例;A为特征属性,v为属性A的值;V(A)为属性的数量;Sv是S的子集;E(S)是系统的熵值,E(S)的计算公式如下:
其中,c为按照属性A分类后得到的类别数量;pi为类别i中实例占所有实例的比例。
本发明实施例中,结合铁路调度集中系统专有网络协议,从单个数据包中提取关键字段特征,包括数据链路层特征、网络层特征和网络协议特征。
选取单个数据包中8个关键字段检测特征,形成数据包检测样本,特征的具体描述如
表1所示。
表1数据包样本检测特征
图4所处了检测模型的主要检测流程,参照图4,从网络监测器收集的每个网络数据包中提取8个检测特征,作为检测样本,利用构建好的决策树模型判断该检测样本是否为攻击样本,以此从数据包层面判断铁路调度集中系统是否遭受网络攻击。
结合步骤S2与步骤S3的检测结果,判断当前铁路调度集中系统是否遭受网络攻击:
1)若流量观测序列处于流量阈值范围内,且检测模型的检测结果为正常,则判定铁路调度集中系统未遭受网络攻击。
2)若流量观测序列处于流量阈值范围内,检测模型的检测结果为异常,则判定铁路调度集中系统遭受网络攻击。
3)若流量观测序列低于流量阈值下控制边界,检测模型的检测结果为正常,则判定铁路调度集中系统未遭受网络攻击。
4)若流量观测序列低于流量阈值下控制边界,检测模型的检测结果为异常,则判定铁路调度集中系统遭受网络攻击。
本发明实施例中,当检测到系统正在遭受网络攻击时,生成攻击告警,以提示工作人员。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (7)
1.一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,包括:
在铁路调度集中系统中部署网络监测器,用于收集网络数据,并实时统计网络流量;
根据正常状态下,一段时间内统计的网络流量,构建流量观测序列,并计算出流量阈值范围,之后,对于当前时刻统计的网络流量值,根据其是否落入流量阈值范围内,来检测流量观测序列是否发生异常变化,从网络流量层面判断铁路调度集中系统是否遭受网络攻击;若当前网络流量值高于流量阈值上控制边界,则判定铁路调度集中系统遭受网络攻击;
若不高于流量阈值上控制边界,则继续执行下述步骤:采集针对铁路调度集中系统的网络模拟攻击数据,作为入侵检测训练数据集构建检测模型;采用铁路调度集中系统专有网络协议从网络监测器收集的单个网络数据包中提取关键字段特征,作为数据包检测样本输入至检测模型,从数据包层面判断铁路调度集中系统是否遭受网络攻击。
2.根据权利要求1所述的一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,所述网络监测器为具有网络嗅探功能的设备,能够从交换机镜像端口收集铁路调度集中系统的网络通信数据。
3.根据权利要求1或2所述的一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,利用网络监测器统计单位时间内收集的网络数据,获得网络流量。
4.根据权利要求1所述的一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,所述根据正常状态下,一段时间内统计的网络流量,构建历史的流量观测序列,并计算出流量阈值范围,之后,对于当前时刻统计的网络流量值,根据其是否落入流量阈值范围内,来检测当前网络流量值是否发生异常变化包括:
利用流量观测序列x(i)计算流量预测序列z(i):
z(i)=λ·x(i)+(1-λ)·z(i-1),0<λ≤1
其中,i表示时刻,λ为平滑因子;
利用流量观测序列x(i)与前一时刻的流量预测序列z(i-1)计算误差序列e(i):
e(i)=x(i)-z(i-1)
其中,0<α≤1;
由此计算出上控制边界U和下控制边界D,从而确定出流量阈值范围:
U=L·σe
D=-L·σe
其中,L是控制边界系数;
对于之后的每一时刻,根据流量值是否落在流量阈值范围之内,来检测流量观测序列是否发生异常变化。
6.根据权利要求1所述的一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,所述关键字段特征包括:源MAC、目的MAC、源IP、目的IP、源端口、目的端口、数据包长度及通信协议类型。
7.根据权利要求1所述的一种针对铁路调度集中系统的网络入侵检测方法,其特征在于,
若流量观测序列处于流量阈值范围内,且检测模型的检测结果为正常,则判定铁路调度集中系统未遭受网络攻击;
若流量观测序列处于流量阈值范围内,检测模型的检测结果为异常,则判定铁路调度集中系统遭受网络攻击;
若流量观测序列低于流量阈值下控制边界,检测模型的检测结果为正常,则判定铁路调度集中系统未遭受网络攻击;
若流量观测序列低于流量阈值下控制边界,检测模型的检测结果为异常,则判定铁路调度集中系统遭受网络攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011050520.5A CN112261009B (zh) | 2020-09-29 | 2020-09-29 | 一种针对铁路调度集中系统的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011050520.5A CN112261009B (zh) | 2020-09-29 | 2020-09-29 | 一种针对铁路调度集中系统的网络入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112261009A true CN112261009A (zh) | 2021-01-22 |
CN112261009B CN112261009B (zh) | 2022-07-08 |
Family
ID=74234640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011050520.5A Active CN112261009B (zh) | 2020-09-29 | 2020-09-29 | 一种针对铁路调度集中系统的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112261009B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001954A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 一种网络安全态势感知方法、装置及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150264073A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN111092862A (zh) * | 2019-11-29 | 2020-05-01 | 中国电力科学研究院有限公司 | 一种用于对电网终端通信流量异常进行检测的方法及系统 |
-
2020
- 2020-09-29 CN CN202011050520.5A patent/CN112261009B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150264073A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective |
CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
CN111092862A (zh) * | 2019-11-29 | 2020-05-01 | 中国电力科学研究院有限公司 | 一种用于对电网终端通信流量异常进行检测的方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001954A (zh) * | 2022-05-30 | 2022-09-02 | 广东电网有限责任公司 | 一种网络安全态势感知方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112261009B (zh) | 2022-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021107643A4 (en) | Method, system, device, computer device and storage medium for elevator fault prediction | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及系统 | |
CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN109347853B (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
CN104468631A (zh) | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 | |
CN113037567B (zh) | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 | |
CN105867347B (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
CN109150869A (zh) | 一种交换机信息采集分析系统及方法 | |
CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
CN111476979A (zh) | 一种基于多模型分析的智能安保维稳方法及系统 | |
CN112261009B (zh) | 一种针对铁路调度集中系统的网络入侵检测方法 | |
CN106850733A (zh) | 一种工程施工云端监控管理系统 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN110493180A (zh) | 一种变电站网络通信流量实时分析方法 | |
CN115733762A (zh) | 具有大数据分析能力的监控系统 | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN109766229B (zh) | 一种面向综合电子系统的异常检测方法 | |
CN114584345B (zh) | 轨道交通网络安全处理方法、装置及设备 | |
CN115630756A (zh) | 基于大数据风险评估的港区威胁事件预测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |