CN112422524B - 一种多模型综合决策的列控系统入侵检测方法 - Google Patents

Abstract

本发明公开了一种多模型综合决策的列控系统入侵检测方法，针对异构的数据、不同的特点设计多个检测模型，并利用多模型进行综合决策，建立全方位、多角度的检测体系，从而提高入侵检测性能，进一步提升列控系统信息安全防护水平。

Description

一种多模型综合决策的列控系统入侵检测方法

技术领域

本发明涉及轨道交通技术领域，尤其涉及一种多模型综合决策的列控系统入侵检测方法。

背景技术

基于通信的列车运行控制系统(Communication Based Train Control,CBTC)，简称列控系统，在城市轨道交通中得到广泛应用，是保证列车安全、高效运行的关键技术。列控系统依靠车地间双向、连续、大容量的通信技术实现对列车的精准闭环控制，其安全性直接关系到广大乘客的生命安全，其运行效率直接影响乘客的出行时间。

由于列控系统中大量使用商用操作系统、通用计算机等组件，而这些组件本身又存在信息安全漏洞，使得攻击者有机可乘。此外，列控系统设备的专有性和封闭性使得人们忽视了信息安全隐患的存在，随着城市轨道交通自动化、智能化的发展，列控系统与其它系统的互联、协同联动的需求日益增加。这使得攻击者以其他系统为“跳板”，入侵列控系统的风险加剧。然而，针对列控系统的信息安全研究并未广泛开展，而列控系统的特殊性又使得现有安全技术难以直接应用。

入侵检测是对入侵行为的检测，也是传统计算机安全机制的重要补充。它通过收集和分析网络行为、安全日志、审计数据以及其他网络或系统中若干关键节点的信息，检查网络或系统中是否存在被攻击的迹象，是一种积极主动的安全防护技术。

目前，IT领域的入侵检测技术已经得到了广泛且深入的研究。然而，这些入侵检测方法或针对一般IT系统展开设计，更为关注算法效率、算法精度的提高，不完全适用于列控系统；或针对某一具体系统设计，例如SCADA系统，这些方法与系统耦合性很高，仅适用于其单一的研究对象，无法直接迁移到列控系统中。

现有入侵检测方法的研究多采用单一模型，集中关注系统某一方面的特征，如通信数据包、网络流量、主机审计记录等。可分为基于误用和基于异常两种。基于误用的检测通过构建规则库，利用规则匹配实现已知攻击的检测。入侵检测系统通过收集网络特征构建攻击发生时的系统响应模式，并将该模式记录到规则库中。若在检测过程中发现与规则匹配的行为，则认为系统中有入侵发生。因此，基于误用的入侵检测方法仅能发现已知攻击。基于异常的入侵检测通过建立系统正常状态模型，利用系统状态与正常模型的偏离程度实现攻击的检测。异常检测既能识别已知攻击，也能识别未知攻击。

现有针对列控系统的入侵检测技术大多基于协议分析实现。误用检测方面，通过分析列控系统中常用的通信协议脆弱性，设计相应检测规则。在实现入侵检测过程中，解析相关协议，依据先前制定的规则进行协议规范检查，从而发现不符合规范的数据包，发现系统中的入侵行为。异常检测方面，对铁路专用通信协议进行深度解析并提取数据特征，形成数据集，然后利用支持向量机对模型进行训练，并采用果蝇优化算法对分类模型进行参数寻优，最终实现基于协议分析的异常检测。

现有入侵检测方法的缺陷在于：

1)仅基于通信数据包协议分析实现检测，检测数据来源于各数据包中直接提取得到的载荷信息。然而，部分攻击行为不会引起数据包载荷的变化，则现有方法无法对此类攻击进行检测。

2)列控系统是典型的信息物理系统，既包含大量的计算机、交换机等网络设备，也直接与控制器、传感器等物理设备相连；列控系统严格遵守“故障-安全”机制，这使得部分攻击行为可能触发该机制，引发系统异常。同样地，列控系统本身的随机故障也可能引发系统异常，使得故障与攻击难以区分，从而降低了入侵检测的准确性。单一的数据来源与检测技术无法全面分析列控系统数据，难以实现攻击行为的有效检测。而且未考虑列控系统中的攻击与故障区分问题，使得入侵检测系统检测性能较差。现有方法将系统中出现的异常行为一律看作由攻击行为导致，这种方法降低了入侵检测结果的准确性。也使得系统发生随机故障时，管理员也会按照系统发生信息安全攻击事件处理，难以准确解决问题。

由此可见，列控系统面临的信息安全问题日益严重，亟需针对列控系统研究适用的入侵检测技术和方法，全面提升系统的信息安全防护能力。

发明内容

本发明的目的是提供一种多模型综合决策的列控系统入侵检测方法，可以提高入侵检测性能，进一步提升列控系统信息安全防护水平。

本发明的目的是通过以下技术方案实现的：

一种多模型综合决策的列控系统入侵检测方法，包括：

采集信息域的网络通信数据以及物理域的设备状态信息，形成列控系统入侵检测数据集；

对入侵检测数据集进行分类，将网络通信数据输入至通信检测模型，以检测是否遭受网络攻击；将设备状态信息输入至状态检测模型，由所述状态检测模型结合通信检测模型的检测结果，区分设备是否发生故障或是遭受网络攻击；

将通信检测模型与状态检测模型的检测结果进行融合分析与决策，从而确定最终检测结果。

由上述本发明提供的技术方案可以看出，针对异构的数据、不同的特点设计多个检测模型，并利用多模型进行综合决策，建立全方位、多角度的检测体系，从而提高入侵检测性能，进一步提升列控系统信息安全防护水平。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种多模型综合决策的列控系统入侵检测方法的示意图；

图2为本发明实施例提供的基于熵值的流特征处理流程图；

图3为本发明实施例提供的特征分段熵计算原理图；

图4为本发明实施例提供的二乘二取二原理图；

图5为本发明实施例提供的基于专家知识与结构学习的ZC子系统贝叶斯网结构；

图6为本发明实施例提供的UDP泛洪攻击下ZC子系统贝叶斯网络推理图；

图7为本发明实施例提供的HMM原理示意图；

图8为本发明实施例提供的基于HMM的多模融合入侵检测方案设计。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种多模型综合决策的列控系统入侵检测方法，该方法主要考虑如下几个方面：

1)充分考虑不同攻击行为的特点，根据列控系统特点进行特征的提取和检测算法的选择，既能够识别数据包载荷异常，也能够发现那些不引发数据包载荷变化的攻击行为，从而实现不同攻击行为的全面检测。

2)根据列控系统中的冗余架构和“故障-安全”机制，分析信息攻击与随机故障的差异，并利用这些差异构建检测模型，实现攻击与故障的有效区分，从而避免列控系统中的随机故障对入侵检测结果的影响，进一步提高检测性能。

3)对不同模型的检测结果进行信息融合，结合列控系统网络通信(信息域)和设备状态(物理域)两方面的特征，对最终的检测结果进行综合决策，从而进一步提高入侵检测性能，进一步提升列控系统信息安全防护水平。

图1示出了整个方法的主要原理，其主要包含如下三个部分：

1、采集信息域的网络通信数据以及物理域的设备状态信息，形成列控系统入侵检测数据集。

第1个部分是信息收集，它是实现入侵检测的基础，信息收集是通过网络流量镜像等手段从列控系统中收集各种信息。数据收集不仅关系到入侵检测系统建立模型的科学性，还关系到入侵检测系统评估结果的可信度。为实现全面的信息收集以提高列控系统入侵检测准确性，本发明实施例中收集的列控数据包括两类：一是信息域的网络通信数据，二是物理域的设备状态信息。得到这两类原始数据信息后，还需对数据进行筛选、清洗及特征提取，从而形成列控系统入侵检测数据集，输入到各检测模型中进行分析。

2、对入侵检测数据集进行分类，将网络通信数据输入至通信检测模型，以检测是否遭受网络攻击；将设备状态信息输入至状态检测模型，由所述状态检测模型结合通信检测模型的检测结果，区分设备是否发生故障或是遭受网络攻击。

第2个部分是入侵检测数据分析是实现入侵检测的核心，通过各种入侵算法对各项数据进行深入分析，以识别列控系统中的各种攻击行为。入侵检测算法的选取与研究对于入侵检测性能的提升至关重要，也是解决列控系统中入侵检测难点的关键所在。因此，本发明的重点之一在于入侵检测数据过程中，通过数据分类算法将入侵检测数据集进行分类，即网络通信数据、设备状态信息，再通过预先构建的不同层面检测模型(包括通信检测模型和状态检测模型)进行检测。

3、将通信检测模型与状态检测模型的检测结果进行融合分析与决策，从而确定最终检测结果。

第3个部分是进行信息融合与决策，它是对不同检测模型信息的融合，通过多模型综合决策产生入侵检测对外部的信息输出。多模型综合决策能够融合不同检测模型的信息，结合信息域与物理域两方面数据，实现攻击与故障的有效区分，从而进一步提高检测性能。

通过以上3个部分，本发明的最终目标是提高列控系统入侵检测的性能，为实现这一目标，包含三个具体目标：一是不同类型攻击的全面检测，通过通信检测模型实现；二是攻击与故障的有效区分，通过状态检测模型实现；三是信息域与物理域的综合决策，通过通信检测模型与状态检测模型的信息融合实现。

为了便于理解，下面针对本发明核心技术做详细的介绍。

一、检测模型。

检测模型主要包括：通信检测模型与状态检测模型。

1、通信检测模型。

本发明的目的在于实现列控系统中攻击行为的检测，而为了具体方案的设计，首先要明确列控系统可能遭受的攻击行为的类型，这些攻击即为入侵检测方法识别的目标。列控系统中可能遭受的攻击行为主要包括三种：系统扫描、泛洪攻击和主机漏洞攻击。系统扫描是指攻击者在进入列控系统后，通过大量的系统扫描操作获取系统信息，为进一步的攻击行为打下基础。扫描的对象包括主机地址、开放端口、操作系统类型、主机安全漏洞等。泛洪攻击是指攻击者通过短时间内发送大量数据包阻塞网络，使得正常通信被中断，例如：UDP泛洪、SYN泛洪等。主机漏洞攻击是指攻击者通过远程操作或操作系统漏洞获得系统权限，进而实施主机宕机等恶意行为，例如：缓冲区溢出、非法远程登录等。

传统IT系统中的数据包具有偶发性和随机性，这使得传统IT领域的数据包检测均以单个数据包为单位展开，仅提取单个数据包载荷信息实现检测。然而，列控系统中，通信数据包之间具有较高的相似度和稳定的通信周期，仍采用逐个包检测的方式，一方面忽略了数据包间的关联性，检测效率不高；另一方面也使得不改变数据包载荷的攻击难以识别，例如通过重放系统正常数据造成的泛洪攻击。基于以上两点，本文提出了基于流的检测方案。

为了后文更为直观的说明基于流检测的原理，首先对数据包、单个特征、数据流及流特征进行形式化定义。任意数据包均可以用单一数据包特征的集合进行表示，如数据包D＝{sMAC,sIP,sPort,dMAC,dIP,dPort,pro,len...}，其中，sMAC、sIP、sPort、dMAC、dIP、dPort、pro、len分别表示源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号、协议类型、数据包长度；为方便后文流特征的计算，将数据包中对应的特征表示为单个特征实例<特征：值>的形式，例如，一个数据包源端口为60001，则该单个特征实例表示为＜sPort:60001＞。

数据流是指单位时间片内d个数据包形成的数据包集合，表示为：F＝{D₁,D₂,...D_d}；数据流特征是对数据流中单个数据包的单个特征进行处理得到，包括提取、计数以及合并三项基本操作。以源端口流特征为例，首先，分别提取单个数据包中的源端口特征，得到d个单个特征实例；其次，将相同的单个特征实例进行组合并统计其数量，得到组合特征实例＜sPort:60001,3＞，表示源端口为60001的单个特征实例有3个；最后合并所有的组合特征实例，形成源端口对应的流特征，表示为C_sPort＝{＜60001,3＞,＜60002,5＞,...}。

由于列控系统通信链路相对固定，数据包中的MAC地址、IP地址、端口号等特征均具有稳定分布。此外，列控系统采用铁路专用标准协议或私有协议，协议格式较为固定，数据包长度这一特征也具有稳定分布。部分攻击行为可能不会引起单个数据包载荷变化，但会使其分布情况发生变化。因此，对于列控系统中攻击行为的检测，可通过挖掘其特征分布信息实现。此类特征包括：源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号、数据包长度。

信息熵是分析流特征分布常用的特征测度，于1948年由香农提出。在样本空间中，样本集中度增大时熵值降低；反之，熵值增大。选择信息熵作为流特征测度，能够有效反映样本空间的分布情况。如图2所示，选取熵作为流特征测度实现入侵检测的过程主要包括四个步骤：特征提取、熵值计算、异常判断和结果分类。以源端口号这一特征为例，首先，从网络流量中提取源端口号，形成流特征C_sPort＝{＜60001,3＞,＜60002,5＞,...}，生成该流特征的样本空间；接着，计算得到流特征熵；最后，利用流特征熵值实现异常检测，从而检测是否遭受网络攻击；可以有两种检测方式：1)直接利用机器学习等算法，进行分类；2)先判断是否存在异常熵值(例如划定阈值，查看是否存在超过阈值的熵值)，再进行结果的分类。

将流特征熵值作为特征输入到分类算法中，实现异常检测，从而检测是否遭受网络攻击。

但是，香农熵由于其自身特性的影响，并不能直接用于实现流特征的处理。主要原因有以下两方面：

第一，某些混合的攻击行为会使得熵值的变化相互抵消，导致流特征熵无法识别混合攻击行为，增加其漏报率。仍以源端口号这一特征为例，设X＝{x₁,x₂,...,x_h}为离散随机变量，其不同端口号的取值出现的概率p_i由下式，

p_i＝p(x_i)

其中，i＝1,2,…,h，h为元素总数目；

则香农熵S_H为：

由上式可以看出，若攻击者同时引发高概率特征与低概率特征变化，则可能使熵值变化相互抵消，难以体现源端口号分布的变化。

第二，由于列控系统中绝大部分数据包均为业务通信数据包，此类数据包数量众多，使得熵值波动微小，当总数据流中的异常数据流超过一定比例时，熵值才会发生明显变化。然而，若攻击者仅通过几个甚至单个数据包实现入侵，由于异常数据包数量过少，几乎不会对熵值产生影响。这使得常见的缓冲区溢出等通过少量包实现的攻击行为被忽略，大大降低了入侵检测的性能。

为了解决香农熵的局限性，本发明提出一种新的熵计算模式——分段熵进行流特征熵的计算。其基本思想是分离样本空间中的高概率和低概率事件，分别计算熵值，从而避免不同概率事件的相互影响。分段熵的实现原理如图3所示，首先，通过概率阈值α将每个特征形成的特征空间K(即初始样本空间)划分为低概率空间K₁与高概率空间K₂，然后分别计算熵值用于入侵检测。其中，概率阈值α为比例值，取小于1的小数。该比例值用于分割整个样本空间中不同概率的事件，从而应用不同的熵值计算公式。

列控系统中，绝大部分数据均为各子系统间正常传输的业务数据，仅有个别数据包用于网络维护、路由更新等。α取值的主要标准是将系统正常通信数据与偶发数据区分开来，从而实现不同攻击的有效检测。假设偶发数据包每秒出现1个，则其包个数所占比例低于各子系统正常通信的5％，据此设定α取值为0.05。

将初始样本空间进行分段后，避免了不同攻击导致的熵值相互抵消问题，但如何准确反映每个样本空间中的特征分布情况仍是重要问题。在高概率样本空间中，系统正常通信与泛洪攻击均会包含大量数据包；在低概率事件中，系统维护与某些触发系统漏洞的攻击都只引入少量数据包。区分对流量影响较小的攻击行为，需要熵值的计算针对性更强、灵敏度更高。因此，对于两个概率空间采用具有可调节指数s的Tsallis熵分别计算熵值；任意概率空间，任意特征计算的熵值出现异常，则判定为遭受攻击。

Tsallis熵是一种含有指数s的熵表达式，在统计力学、图像分割等方面已得到广泛应用。对于任意特征(例如，前文列举的源端口号这一特征)，X＝{x₁,x₂,...,x_h}仍为源端口号形成的离散随机变量，使用p_i表示相应特征的取值概率，p_i＝p(x_i)，i＝1,2,…,h；使用S_T表示Tsallis熵，则：

当样本空间中不同概率事件发生时，熵值的波动幅度会随s值的改变而改变。具体而言，当s＜1时，Tsallis熵对样本空间中新增的低概率端口号较为敏感，例如缓冲区溢出攻击引入的单个源端口号异常；当s＞1时，Tsallis熵对样本空间中新增的高概率事件较为敏感，例如泛洪攻击引入的大量相同源端口。利用Tsallis熵能够区分不同概率事件的特性，可应用其计算分段熵。

在流特征熵值计算过程中，s的大小与数据集特点具有密切关系。通过某一数据集进行实验得到的s值仅适用于该数据集，降低了模型的通用性。本发明实施例中，并不选取单一的s值作为Tsallis熵计算的标准，而是设置的取值范围及取值步长；示例性的，s的范围在[-2,2]之间，取值步长为0.25，对于任一步长下计算得到的熵值，检测结果为异常，则认定通信检测模型检测结果为异常，即遭受网络攻击。

2、状态检测模型。

状态检测模型构建的主要目标在于提取列控系统中的各设备状态信息，从而区分攻击与故障，提高入侵检测性能。检测模型既要反应各设备状态，又要给出攻击或故障的判断结果。贝叶斯网络一方面应用图论知识，表示系统结构；另一方面应用概率论知识，分析系统数据。因此，本发明应用贝叶斯网络构建状态检测模型。

本步骤首先分析系统的冗余架构、再结合冗余架构建立状态检测模型。

1)列控系统冗余架构分析。

在列控系统中，攻击者希望通过攻击的实施影响列控系统的正常运行，从而降低列车运营效率，甚至影响行车安全。因此，攻击者可能会引发列控系统中的某一设备宕机，使其无法提供正常功能。而列控系统中存在大量组件，这些组件本身的随机故障也有可能导致某一设备出现宕机等异常情况。因此，单从结果难以有效区分攻击与故障，需要对列控系统各设备所在的冗余架构平台进行更为深入的研究。列控系统中采用了大量的冗余架构设计，为具体阐述本发明的详细方法，以二乘二取二结构为例进行状态检测模型的建立。其余冗余架构，包括双机热备、二取二、三取二等结构，模型构建过程与二乘二取二结构相同。

二乘二取二架构按照分层设计的思路实现，其结构如图4所示，包括数据通信层、应用处理层和容错及安全管理层。接下来分别从以上三个层次说明攻击与故障的具体差异。

数据通信层包含两台通信机，用于完成数据转发。从输入数据来看，当发生攻击行为时，不同类型的攻击会引发不同的异常情况。例如，若发生泛洪攻击，则输入流量大幅增加；若发生触发主机漏洞的恶意入侵，则输入数据包中可能存在攻击载荷。而以上两种情况在系统故障时几乎不会发生。子系统内部故障一般不会影响通信机的输入数据；外部故障，则可能引起输入流量降低，使得二乘二取二系统无法接收到正常的待处理数据，从而导致系统无法正常工作。

应用处理层共包括4个应用处理机，完成输入数据的处理和计算。就某一应用处理机而言，攻击与故障均有可能导致其出现异常。二者的主要差异体现在不同处理机发生异常的时间范围上。随机故障同时在多个处理机发生的可能性很小。但理性攻击者在发起攻击行为时，希望攻击影响最大化，会同时引起不同主机的异常。不同处理机虽然处理数据的方法略有不同，但其通信地址、漏洞类型等方面均有相似性。这使得攻击者一旦能够成功入侵某一处理机，破坏其他处理机的可能性也大大增加。基于以上分析，可通过检查并对比不同处理机的状态来区分攻击与故障。

容错和安全管理层采用冗余硬件设计，包括2个容错和安全管理单元，主要功能包括时钟控制、模式管理和故障导向安全等。在包含双机的二取二结构形成的单系中，容错与安全管理单元主要起到表决作用，双机处理结果完全一致才向外输出该系的结果。此外，两系之间的应用处理机还应保持周期同步的工作状态。由图4可以看出，两个容错和安全管理单元之间设置同步连接线，用于实现双系同步。考虑到故障同时发生在多个模块中可能性很低，当双机(或双系)均无输出结果时，发生攻击的可能性更高；攻击者篡改数据信息的难度很大，当双机(或双系)均有处理结果，但经过容错与安全管理单元发现结果不一致或双机失步时，发生随机故障的可能性更大。

对以上二乘二取二结构中能够体现攻击与故障差异的主要信息进行汇总，如表1所示。这些信息将用于构建贝叶斯网络，从而实现设备状态入侵检测。

表1列控系统攻击与故障特点对比

2)构建状态检测模型。

在深入分析列控系统冗余架构的工作原理之后，即可进行基于贝叶斯网络的状态检测模型的构建。首先对贝叶斯网络进行定义：贝叶斯网络是由概率论与图论结合而成的用于描述多元统计关系的模型，是一种表示变量间概率依赖关系的有向无环图。贝叶斯网络为二元组W＝(G,Θ)，其中，G为贝叶斯网络结构G＝<R,E>，R为节点集，对应领域变量；E为有向边集，对应节点之间的因果关系；Θ为贝叶斯网络参数，Θ＝{θ₁,θ₂,…,θ_m}表示每个节点R_j在它的父节点集π(R_j)的条件下的条件概率表(Conditional probability table，CPT)。

下面针对节点确定、结构建立、参数学习和网络推理四个部分做详细的介绍。

A)节点确定。

贝叶斯网络节点为上文中分析得到的可以反映列控系统中攻击与故障差异的设备节点。此外，还需要明确每个节点的取值范围及数据来源。

列控系统中包含多个子系统，每个子系统结构各不相同，设备节点数量众多，因此难以直接对整个列控系统构建设备状态的检测模型。本专利依据列控系统中不同子系统的冗余架构与功能特点建立检测模型，当任意子系统中检测到攻击行为时，则表示列控系统遭到攻击。

以列控系统中常用的二乘二取二结构为例建立检测模型，其节点包括：数据通信层、应用处理层和容错及安全管理层；表2给出了相关的节点表。

表2二乘二取二结构贝叶斯网络节点表

如上表所示，贝叶斯网络中节点包括如下四大类节点：

第一类为数据通信层节点，其包含网卡流量节点与数据包检测节点，网卡流量节点表征流量大小，根据正常阈值范围，取值为低(Low)、正常(Mid)、高(High)三类，数据包检测节点结果表征通信检测模型的检测结果，取值为正常(Nor)与异常(Abn)两类。以网卡流量节点D1为例，是网卡能够读到的流量大小，正常阈值根据历史流量均值设置，由于列控系统通信流量较为稳定，若当前流量大小与正常流量均值偏差不超过10％，则认为流量正常，否则流量偏高或偏低。

第二类为应用处理层节点，每一节点对应一个应用处理机，每一节点表征相应应用处理机的工作状态，取值为正常(Nor)与异常(Abn)两类。应用处理机工作状态通过读取各主机资源占用情况判定。首先收集各主机正常工作状态下，CPU、内存、磁盘等资源占用情况并读取进程列表，利用关联规则挖掘生成各处理机正常运行时对应的各项规则，在进行处理机状态检测时，分析当前状态是否符合正常规则，若符合，则判定为状态正常；反之则判定为处理机状态异常。

第三类为容错及安全管理层节点，每一节点对应一个容错与安全管理单元的状态(可通过查询子系统日志进行确定)，取值为正常(S1)、仅收到单机结果(S2)、收到两机结果但表决未通过(S3)、以及未收到结果(S4)四类。

第四类节点为子系统节点，子系统节点表征子系统所处状态，取值为正常(Nor)、攻击(Att)与故障(Fau)三类。

B)结构建立。

结构建立是指挖掘各节点之间的关联关系。贝叶斯网络结构建立方法包括基于专家知识和基于数据学习两种，前者由专家经验知识确定网络结构，计算量小，但准确度不高；后者通过训练大量数据找到与样本匹配度最高的贝叶斯网络结构，计算量大，但结果准确。

本发明实施例中，采用专家知识与数据学习相结合的方式构建用于检测设备状态的贝叶斯网络。首先依据专家经验初步指定网络结构，由于经验知识对于系统认识具有局限性，因此根据专家知识得到的关联仅存在于相邻层的节点之间。然后利用数据学习得到跨层节点间的关联，由于列控系统中各设备节点的状态均能够获取，不存在缺值问题，本发明实施例中采用K2算法实现数据学习。最终构建完成的贝叶斯网络如图5所示，图中节点D1与节点D2指向节点S的夹头表示经过数据学习后增加的关联关系，其他箭头表示原有的根据专家知识构建的关联关系。专家知识与数据学习方法的综合既能够充分利用系统知识，还原列控系统中的冗余架构，又能够提取数据中包含的信息，提高贝叶斯网络与实际问题的切合度，大大提高了网络构建效率和准确性。

C)参数学习。

学习贝叶斯网络参数，是为了获得各节点对应的概率分布表(CPT)。对于列控系统入侵检测贝叶斯网的参数学习问题，即给定由各子系统节点状态生成的数据集D，求解网络参数Θ。常用的参数学习算法包括最大似然法和贝叶斯估计法。由于贝叶斯估计法充分考虑先验知识对网络参数的影响，且应用更为灵活，在数据样本量小时，学习得到的参数更为准确；在数据样本量大时，学习结果与最大似然法接近。因此，选取贝叶斯估计法学习得到入侵检测贝叶斯网络的参数，根据专家经验及历史数据确定先验分布，确定初始参数；然后根据系统实时数据对参数进行更新迭代，直到得出网络参数。

D)网络推理。

网络推理是应用构建好的贝叶斯网络计算二乘二取二架构的最终状态节点S处于攻击、故障或正常的概率。一般来说，用于贝叶斯网络推理的算法分为精确推理和近似推理两种。本发明希望利用贝叶斯网络得到列控系统中各子系统处于不同状态的精确概率值，从而为后文的进一步分析提供强有力的依据。因此，应用精确推理算法实现列控系统入侵检测贝叶斯网的预测推理更为合理。用于实现精确推理的算法又包括变量消元法、Polytree算法、联接树算法等。其中，联接树算法具有计算速度快，应用广泛等特点。联接树是一种无向树，每个树节点由无向图的最大完全子图构成。联接树算法实现网络推理的基本原理是将贝叶斯网络转换为一个联接树，划分变量集为相互交叠的子集，推理过程在单个子集上进行，在一个子集上的计算结果被传递到另一个子集中，新的结果又会参与到后续的计算中。根据以上分析，本文选取联结树算法对各子系统状态进行推理。

至此，设备状态检测模型已构建完成，已知某冗余架构中各模块的状态，就可以利用构建好的贝叶斯网络推测列控系统分别处于攻击和故障的概率大小。为初步说明该检测模型的有效性，选取典型攻击场景进行结果验证。假设应用处理机1中发生UDP泛洪攻击，导致应用处理机1资源耗尽，最终宕机。

在上述场景中收集各节点状态，建立此样本的取值集合为：

D₁＝{High,Abn,Abn,Nor,Nor,Nor,S2,S1,Abn}

其中，前8个为证据节点，表示检测模型可读取的状态，最后1个为待查询节点，表示系统所处状态为“攻击”。若查询得到结果为“攻击”，则说明检测结果正确。

采用联结树算法，将前8个节点的取值作为证据，对节点S，即系统所处真实状态进行推理。此时贝叶斯网络各节点概率分布如图6所示。计算得到节点S的后验概率分别为：正常状态概率为0，攻击状态概率为99.4％，故障状态概率为0.6％。由此可以判断，系统应处于攻击状态。

二、融合分析与决策模型。

本发明实施例中，使用隐马尔可夫模型(Hidden Markov Model，HMM)作为融合分析与决策模型，也即多模融合入侵检测模型。隐马尔可夫(Hidden Markov Model，HMM)是是一种关于时序的概率模型，可通过融合不同检测模型的信息，实现检测性能的提高。HMM基本原理如图7所示。HMM描述由一个隐藏的马尔可夫链随机生成不可观测的状态随机序列，再由各个状态生成一个观测而产生观测随机序列的过程。隐藏的马尔可夫链随机生成的状态的序列，称为状态序列；每个状态生成一个观测，而由此产生的观测的随机序列，称为观测状态序列。序列的每一个位置又可以看做是一个时刻。

HMM是一种强大的统计方法，可用于处理以离散时间序列排列的观测数据样本，通过观测序列预测系统所处的隐含状态。在本发明提出的入侵检测整体方案中，不同检测模型分析得到的检测结果为可观测数据，形成观测状态序列；系统所处的真实状态则为隐含状态，需要根据观测序列分析得到。HMM既可以综合分析不同检测模型的信息，又能够处理时间序列样本，且具有良好的分类性能，是实现信息融合的有效方法。

图8为利用HMM实现多模融合的CBTC入侵检测方案，分为离线阶段和在线阶段；在离线阶段，从列控系统中收集各检测模型的检测结果，形成历史数据，包含观测状态序列，以及观测状态序列对应的隐含状态序列；所述观测状态序列由历史时刻的通信检测模型与状态检测模型的检测结果构成；隐含状态序列由历史时刻列控系统的真实状态构成；利用历史数据训练隐马尔可夫模型，通过Baum-Welch算法得到模型参数；训练得到模型参数后，进入在线阶段，通过当前时刻接收到的通信检测模型与状态检测模型的检测结果构成观测状态序列，利用Viterti算法来预测系统当前时刻的隐含状态取值；当隐含状态取值表示系统遭受攻击时，产生告警，并记录相关报告。在线阶段仍然从通信检测模型和状态检测模型中收集其检测结果，用于形成模型参数训练的观测状态序列。

本发明实施例中，建立多模融合入侵检测模型，首先，需要明确HMM各参数含义和输入到HMM中的观测状态序列格式；其次，利用输入数据集及相关学习算法求解用于多模融合入侵检测的HMM模型参数；最后，应用学习得到的模型确定列控系统所处的真实状态。下面针对这三个部分分别进行详细说明。

1、多模融合入侵检测模型输入序列分析。

HMM的模型参数包括状态转移概率矩阵A、观测概率矩阵B和初始状态概率向量Π；首先要明确HMM模型的输入，即构建模型所需的输入数据。设Q是所有可能隐含状态的集合，V是所有可能观测的集合，则：

Q＝{q₁,q₂,…,q_N}

V＝{v₁,v₂,…,v_M}

其中，N是可能的隐含状态数，M是可能的观测数；

隐含状态共有正常、故障和攻击三种取值，则N＝3。

观测集合V由3个变量组成，分别为通信检测模型结果、状态检测模型攻击概率、状态检测模型故障概率(后两个概率为状态检测模型输出结果)；其中，通信检测模型的结果取值为正常或异常，用0表示正常，1表示异常；状态检测模型对应的观测为攻击概率和故障概率，系统正常、攻击、故障三者概率和为1，只将攻击与故障两个概率值作为观测即可。设备状态检测模型中，得到的攻击或故障概率值均为连续型数据，直接用作HMM的观测会使得模型复杂度大大增加，有必要对概率值属性进行离散化。考虑到观测的选取既要充分体现各检测模型的检测信息，又应尽量简化HMM模型的构建，将概率值在0～1的范围内按照低、中、高三个等级平均划分，分别用0、1、2表示，从而得到攻击概率与故障概率的可能取值的数量均为3。综上，本发明的基于HMM的信息融合模型中，可能的观测数M为18，即可能取值的排列组合，共三个变量，第一个有2种取值、第二个有3种取值、第三个有3种取值，2*3*3＝18。

设历史数据中，Y是长度为T隐含状态序列，O是相应的观测状态序列的，则：

Y＝{y₁,y₂,…,y_T}

O＝(o₁,o₂,…,o_T)。

2、多模融合入侵检测模型参数求解。

模型参数包括状态转移概率矩阵A、观测概率矩阵B和初始状态概率向量Π。多模融合入侵检测模型λ可由以上参数决定，表示为：λ＝(A,B,Π)。

求解基于HMM的多模融合入侵检测模型参数属于HMM理论中的学习问题，对应多模融合检测方案中的离线阶段。已知列控系统各单一检测模型结果，即观测状态序列O，估计多模融合模型λ的参数，使得该参数下，观测序列概率P(O|λ)最大。具体来说，观测序列包含三个变量，第一个变量由通信检测模型得到，第二、三个变量(攻击与故障两个概率值)由状态检测模型得到。因此，前文两个检测模型形成了一个观测序列，进行共同学习，得到后文的模型参数。本发明实施例中，可以通过Baum-Welch算法得到模型参数，该算法的具体实现方式可参见常规技术，本发明不做赘述。

在随机假设状态转移概率矩阵A和观测概率矩阵B的条件下，通过迭代计算，直至收敛，即可得到最终的状态转移概率矩阵A和观测概率矩阵B。

示例性的，利用Matlab实现算法仿真，设定算法收敛条件为：

log₁₀ P(O|λ)≤10^-6

||A_l||-||A_l-1||≤10^-6

||B_l||-||B_l-1||≤10^-6

其中，||A||和||B||分别为矩阵A和B的范数，下标l为迭代次数。

将上文分析得到的多模融合入侵检测模型输入序列代入到上述算法中，经过572轮迭代算法收敛，得到：

3、列控系统隐含状态(真实状态)预测。

基于HMM的多模融合入侵检测模型的目标是判断列控系统所处的隐含状态，对应多模融合检测方案中的在线阶段。已知模型λ和各单一检测模型结果生成的观测序列O，可推理得到列控系统隐含状态序列Y＝{y₁,y₂,…,y_T}，采用维特比算法(Viterti算法)实现。

本发明实施例上述方案主要获得如下有益效果：

1)通信检测模型中，充分考虑列控系统通信稳定的特点，提取具有稳定分布的特征，并通过可调节分段熵的计算挖掘不同特征的分布。对于引起数据包单个特征变化的攻击行为，例如主机漏洞攻击，可通过熵值的低概率部分进行识别；对于不会引起单个数据包中特征变化，而是通过发送大量相同数据包引发系统异常的攻击行为，例如系统扫描、泛洪攻击，可通过熵值的高概率部分识别。因此，通信检测模型可实现多种类型攻击行为的全面检测。

2)深入分析了列控系统中冗余架构工作原理，分析了冗余架构中的各设备节点在攻击和故障情况下的不同表现，结合这些差异建立了用于入侵检测的贝叶斯网络，通过选取贝叶斯网络的结构建立、参数学习、网络推理等多个步骤的合理算法，实现了准确高效的入侵检测贝叶斯网的构建，从而实现了攻击与故障行为的有效区分。

3)利用HMM融合信息域与物理域的检测信息，以通信检测模型与状态检测模型的检测结果为输入序列，反向推导列控系统所处的真实状态。信息的全面收集使得HMM能够对最终的检测结果进行综合决策，进一步提高入侵检测性能。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (6)

1.一种多模型综合决策的列控系统入侵检测方法，其特征在于，包括：

采集信息域的网络通信数据以及物理域的设备状态信息，形成列控系统入侵检测数据集；

对入侵检测数据集进行分类，将网络通信数据输入至通信检测模型，以检测是否遭受网络攻击；将设备状态信息输入至状态检测模型，由所述状态检测模型结合通信检测模型的检测结果，区分设备是否发生故障或是遭受网络攻击；

将通信检测模型与状态检测模型的检测结果进行融合分析与决策，从而确定最终检测结果；

所述列控系统为冗余架构，冗余架构形式包括：二乘二取二结构、双机热备、二取二、以及三取二结构，不同各冗余架构，构建状态检测模型的原理相同；

基于贝叶斯网络构建状态检测模型；贝叶斯网络为二元组W＝(G,Θ)，其中，G为贝叶斯网络结构G＝<R,E>，R为节点集；E为有向边集，对应节点之间的因果关系；Θ为贝叶斯网络参数，Θ＝{θ₁,θ₂,…,θ_m}表示每个节点R_j在它的父节点集π(R_j)的条件下的条件概率表；

列控系统中包含多个子系统，依据列控系统中不同子系统的冗余架构与功能特点建立检测模型，当任意子系统中检测到攻击行为时，则表示列控系统遭到攻击；

对于二乘二取二结构，其节点包括：数据通信层、应用处理层和容错及安全管理层；则贝叶斯网络中节点包括如下四大类节点：第一类为数据通信层节点，其包含网卡流量节点与数据包检测节点，网卡流量节点表征流量大小，根据正常阈值范围，取值为低、正常、高三类，数据包检测节点表征通信检测模型的检测结果，取值为正常与异常两类；第二类为应用处理层节点，每一节点对应一个应用处理机，每一节点表征相应应用处理机的工作状态，取值为正常与异常两类；第三类为容错及安全管理层节点，每一节点对应一个容错与安全管理单元的状态，取值为正常、仅收到单机结果、收到两机结果但表决未通过、以及未收到结果四类；第四类节点为子系统节点，子系统节点表征子系统所处状态，取值为正常、攻击与故障三类；

构建节点之间的关联关系，从而构建贝叶斯网络结构：首先，基于专家知识初步构建相邻层中节点之间的关联关系；然后，基于数据学习的方式，构建跨层节点间的关联关系；

应用贝叶斯估计法学习得到贝叶斯网络参数，根据专家经验及历史数据确定先验分布，确定初始参数；然后根据系统实时数据对参数进行更新迭代，直到得出网络参数；

采用联接树算法，将贝叶斯网络转换为一个联接树，将前三大类节点的取值作为依据，对第四单类，即子系统节点的取值进行推理，得到的结果即为状态检测模型的检测结果。

2.根据权利要求1所述的一种多模型综合决策的列控系统入侵检测方法，其特征在于，网络通信数据包括：数据包、以及数据流；

单个数据包通过数据包特征的集合表示为：

D＝{sMAC,sIP,sPort,dMAC,dIP,dPort,pro,len...}

其中，sMAC、sIP、sPort、dMAC、dIP、dPort、pro、len分别表示源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址、目的端口号、协议类型、数据包长度；

数据流是指单位时间片内d个数据包形成的数据包集合，表示为：F＝{D₁,D₂,...D_d}；数据流特征是对数据流中单个数据包的单个特征进行处理得到，包括提取、计数以及合并三项基本操作；

通信检测模型通过计算数据流特征熵值，以数据流特征熵值为分类算法的输入，从而检测是否遭受网络攻击。

3.根据权利要求2所述的一种多模型综合决策的列控系统入侵检测方法，其特征在于，采用分段熵进行流特征熵值的计算；

首先，通过概率阈值α将每个特征形成的特征空间K划分为低概率空间K₁与高概率空间K₂；对于两个概率空间采用具有可调节指数s的Tsallis熵分别计算熵值；

对于任意特征，X＝{x₁,x₂,...,x_h}为离散随机变量，使用p_i表示相应特征的取值概率，p_i＝p(x_i)，i＝1,2,…,h，h为元素总数目；使用S_T表示Tsallis熵，则：

其中，预先设置可调节指数s的取值范围与取值步长，对于任一步长下计算得到的熵值，检测结果为异常，则认定通信检测模型检测结果为异常，即遭受网络攻击。

4.根据权利要求1所述的一种多模型综合决策的列控系统入侵检测方法，其特征在于，所述融合分析与决策通过隐马尔可夫模型实现，分为离线阶段和在线阶段；

在离线阶段，从列控系统中收集各检测模型的检测结果，形成历史数据，包含观测状态序列，以及观测状态序列对应的隐含状态序列；所述观测状态序列由历史时刻的通信检测模型与状态检测模型的检测结果构成；隐含状态序列由历史时刻列控系统的真实状态构成；利用历史数据训练隐马尔可夫模型，通过Baum-Welch算法得到模型参数；

训练得到模型参数后，进入在线阶段，通过当前时刻接收到的通信检测模型与状态检测模型的检测结果构成观测状态序列，利用Viterti算法来预测系统当前时刻的隐含状态取值；当隐含状态取值表示系统遭受攻击时，产生告警，并记录相关报告。

5.根据权利要求4所述的一种多模型综合决策的列控系统入侵检测方法，其特征在于，离线阶段输入至隐马尔可夫模型的历史数据包含了隐含状态序列及观测状态序列；设Q是所有可能隐含状态的集合，V是所有可能观测的集合，则：

Q＝{q₁,q₂,…,q_N}

V＝{v₁,v₂,…,v_M}

其中，N是可能的隐含状态数，M是可能的观测数；

隐含状态共有正常、故障和攻击三种取值，则N＝3；

观测集合V由3个变量组成，分别为通信检测模型结果、状态检测模型攻击概率、状态检测模型故障概率；其中，通信检测模型的结果取值为正常或异常，用0表示正常，1表示异常；状态检测模型对应的观测为攻击概率和故障概率，系统正常、攻击、故障三者概率和为1，将攻击与故障两个概率值作为观测即可；设备状态检测模型中，得到的攻击或故障概率值均为连续型数据，将概率值在0～1的范围内按照低、中、高三个等级平均划分，分别用0、1、2表示，从而得到攻击概率与故障概率的可能取值数量均为3；

设历史数据中，Y是长度为T隐含状态序列，O是相应的观测状态序列的，则：

Y＝{y₁,y₂,…,y_T}

O＝(o₁,o₂,…,o_T)。

6.根据权利要求4或5所述的一种多模型综合决策的列控系统入侵检测方法，其特征在于，模型参数包括状态转移概率矩阵A、观测概率矩阵B和初始状态概率向量Π；模型参数λ由表示为：λ＝(A,B,Π)；由通信检测模型与状态检测模型的检测结果形成观测状态序列O，并通过Baum-Welch算法得到模型参数。

Images