CN114465796A - 一种应用于车载防火墙的安全防护方法 - Google Patents
一种应用于车载防火墙的安全防护方法 Download PDFInfo
- Publication number
- CN114465796A CN114465796A CN202210114447.6A CN202210114447A CN114465796A CN 114465796 A CN114465796 A CN 114465796A CN 202210114447 A CN202210114447 A CN 202210114447A CN 114465796 A CN114465796 A CN 114465796A
- Authority
- CN
- China
- Prior art keywords
- trdp
- module
- data
- firewall
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种应用于车载防火墙的安全防护方法,属于信息安全技术领域。其包括以下步骤:(1)部署设置有TRDP协议的车载防火墙,并通过所述的车载防火墙的网络监听模块接收含有TRDP协议的数据包,同时利用预处理模块进行所述的含有TRDP协议的数据包的检查,检查后的数据包送入规则检测流量模块;(2)部署管理平台,设置规则检测流量模块并将流量规则下发至访问设备,其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量;(3)部署自学习检测流量模块,其中所述的自学习检测流量模块用于实现阻断不合法的TRDP流量数据。用于轨道交通实时以太网络,对于铁路用以太网,提高实时性、确保可靠性是必不可少的条件。
Description
技术领域
本发明属于信息安全技术领域,具体地说,涉及一种应用于车载防火墙的安全防护方法。
背景技术
随着社会的发展,列车数量剧增,列车编组越来越多,需要列车网络传输的内容也越来越多,且传输形式多样化。高速动车组结构复杂,子系统众多,列车通信网络是承担监测、控制等重要信息的关键,也是提升动车组信息化、智能化的核心。传统的列车通信网络有绞线式列车总线(Wire Train Bus,WTB)、多功能车辆总线(Multifunction VehicleBus,MVB)、CAN、ARCNET和LonWorks等。传统总线式列车网络具有实时性好、抗干扰能力强和稳定性高的优势,但其传输速率较低(MVB总线通信速率为1.5Mbit/s,WTB总线通信速率为1Mbit/s),无法满足大吞吐量的要求,且其扩展性较差,单一的总线实现功能难以应对复杂的通信任务。随着智能化时代的到来,列车通信网路的作用已不仅仅局限于简单的数据传输,还需实现网络故障诊断、优先级调度等更多功能,目前的现场总线技术已不能满足高速列车发展的需求。以以太网为代表的高速率传输技术已成了列车通信网络的发展方向,并陆续装备到我国多类型号的动车组列车上,我国400km/h的高速动车组也采用以太网技术来实现高速列车的网络控制、智能化自动辅助驾驶等功能。传统的列车通信网络难以承载大量数据的传输,列车通信网络原有的配套技术已开始不能满足经济和信息发展的需求,IE C61375-3-4-2014标准即是在这背景下提出的,该标准中定义了列车通信网络TCN中以太网通讯网络(EthernetConsist Network,ECN)的标准,由以太网承载列车通信网络,能够满足低延时、大量数据传输的要求,基于以太网络列车通信协议的TRDP协议也由此产生。列车通信网络中,在保证传输效率的情况下,最重要的即是车载网络的通信安全问题。
为保障列车通信网络信息传输的可靠性和安全性,列车实时数据协议(TrainReal-Time Data Protocol,TRDP)得到了广泛的应用。基于OSI网络模型,属于第五层协议。TRDP协议主要用于列车通信网络中过程数据和消息数据两种实时通信数据的传输。过程数据是实时周期性传输的,消息数据是实时非周期性传输的。过程数据长度小,一般用于控制单元发出的控制命令和远程输入、输出模块反馈的运行状态信息,但其数据量大、对可靠性、确定性,实时性要求高。消息数据一般用于设备状态信息和故障报警信息,数据量长短不一,对实时性要求较低。TRDP对过程数据的帧结构、交互模型和通信流程都进行了规定。
而随着TRDP的应用越来越广泛,车载网络和设备之间的控制方式多样且控制指令传输越来越频繁,列车网络中会存在大量的TRDP数据包传输,需要能够对网络中TRDP数据包进行安全防护以确保列车网络传输的安全可靠性,而常规的网络防护方式并不适用于TRDP协议列车网络中。针对基于TRDP协议的列车网络的安全防护,目前通常都是采用被动式防御方式,即在设备出现异常或故障时启动进行异常检测,或通过事先了解协议的漏洞设置阻止数据包传输的黑名单。如中国专利申请CN108173929A提供一种TRDP协议通信异常诊断的方法,仅在设备出现通信异常时,检测出异常的流量并提出修复建议。上述被动式防御方式仅能够在异常发生后被动式的检测通信异常,无法在异常发生前进行主动防御,存在严重的通信安全隐患,且如上述设置黑名单的方式必须事先了解协议漏洞,防御性能有限。
发明内容
1、要解决的问题
针对上述现有技术存在的问题,本发明提供一种应用于车载防火墙的安全防护方法,基于TRDP列车实时数据协议,用于轨道交通实时以太网络,对于铁路用以太网,提高实时性、确保可靠性是必不可少的条件。
2、技术方案
为解决上述问题,本发明采用如下的技术方案。
一种应用于车载防火墙的安全防护方法,包括以下步骤:
(1)数据包预处理:部署设置有TRDP协议的车载防火墙,并通过所述的车载防火墙的网络监听模块接收含有TRDP协议的数据包,同时利用预处理模块进行所述的含有TRDP协议的数据包的检查,检查后的数据包送入规则检测流量模块;
(2)规则检测的处理:部署管理平台,设置规则检测流量模块并将流量规则下发至访问设备,其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量;
(3)自学习检测的处理:部署自学习检测流量模块,其中所述的自学习检测流量模块用于实现阻断不合法的TRDP流量数据。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的车载防火墙设置在基于intel x86_64的硬件平台上;
其中所述的硬件平台的传输层采用TCP/UDP协议。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的网络监听模块上还连接有TRDP协议识别模块,所述的TRDP协议识别模块用于识别所述的含有TRDP协议的数据包并反馈给所述的网络监听模块;
步骤(1)中所述的预处理模块内置有TRDP插件,所述的TRDP插件用于分析数据包中属于TRDP协议的数据单元;
其中所述的属于TRDP协议的数据单元的内容包括协议版本字段、命令类型字段、数据集长度字段及命令ID字段;所述的TRDP插件通过判断所述的数据包的特征字段是否符合所述的属于TRDP协议的数据单元的内容,若是,将TRDP协议中的信息类型字段、命令ID字段记录在会话中,并转移送至所述的规则检测流量模块。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的车载防火墙与中央处理器相连,所述的车载防火墙通过所述的中央处理器与通信模块相连;
所述的通信模块上设置有以太网TRDP网卡,所述的以太网TRDP网卡设置有以太网通信单元、RS485通信单元及RS232通信单元,所述的中央处理器的数据接口通过RMII接口与所述的以太网通信单元相连,所述的中央处理器的数据接口还通过USART接口与所述的RS485通信单元、所述的RS232通信单元相连。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的管理平台设置在服务器中,所述的管理平台与所述的访问设备相连。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的TRDP协议的类型字段和命令ID字段,其中所述的TRDP协议的类型字段与命令ID字段分别对应所述的管理平台的数据包类型与通信标识符。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的规则检测流量模块检查流量规则中字段的值,并对数据包进行信息类型的特征值与命令ID的特征值的检查,当发现待检查的字段与数据包匹配,产生流量规则所设置的动作;
其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中所述的自学习检测流量模块设置在所述的服务器中,其中所述的自学习检测流量模块将标准的TRDP协议的数据进行回访,同时将标准的TRDP协议的数据包中待检测的类型字段的值、通信标识符的字段的值进行记录处理。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中当下发了标准协议数据的非白名单防护规则后,所述的自学习检测流量模块开始检测标准的TRDP协议的数据之外的异常数据包,通过检测不满足自学习规则的数据包来识别流量中的攻击行为,并产生告警或阻断数据的行为。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中所述的自学习检测流量模块的约束优化算法公式如下:
式中,其中△T表示计算值与测量值的差,J为灵敏度矩阵,gk为目标函数梯度,βk为共轭系数,S为数据包中辨识参数的数量,Xk为笛卡尔空间坐标。
3、有益效果
相比于现有技术,本发明的有益效果为:
创造性引入数据包预处理、规则检测的处理及自学习检测的处理,并利用自学习检测流量模块的约束优化算法,阻止或丢弃解析信息不符合TRDP协议要求的数据包,可以基于TRDP协议特性实现对网络中数据包的有效安全检查,确定能够放行的数据包,对于伪造、篡改等恶意攻击数据包,即便协议类型与TRDP协议相符,通过经过协议解析后的解析信息进行检测,仍然可以识别出该恶意数据包,从而可以主动方式防御列车通信网络上的攻击、异常设备等的数据包,不仅可以监控列车网络的通信状态,还能够实现指令级精细控制的安全防护,可以解决列车通信网络中外部攻击、数据包劫持篡改以及异常流量监测等一系列的安全问题,实现网络上异常设备、异常流量以及攻击等各种安全防护检测。同时,采用规则检测流量模块检查流量规则中字段的值,并对数据包进行信息类型的特征值与命令ID的特征值的检查,当发现待检查的字段与数据包匹配,产生流量规则所设置的动作,进而有效监管进出的数据包。本发明基于TRDP列车实时数据协议,用于轨道交通实时以太网络,对于铁路用以太网,提高实时性、确保可靠性是必不可少的条件。
附图说明
图1为本发明的应用于车载防火墙的安全防护方法的流程图;
图2为本发明的自定义规则下发界面图;
图3为本发明的自定义规则另一下发界面图;
图4为本发明的自学习规则下发界面图;
图5为本公开实施例提供的一种应用于车载防火墙的安全防护装置示意图;
图6是根据本公开的实施例的计算机可读存储介质的示意图。
具体实施方式
下面结合具体实施例对本发明进一步进行描述。
本发明提供一种应用于车载防火墙系统的安全防护方法,该实现主要基于TRDP列车实时数据协议,TRDP(Train Real-time Data Protocol)协议,用于轨道交通实时以太网络,对于铁路用以太网,提高实时性、确保可靠性是必不可少的条件。铁路控制系统需要确保延迟时间在50ms左右,使用以太网TRDP协议即可满足这一要求。TRDP协议标准通过行业团体“TCNOpen”,以开源的形式公开。
本发明中应用于车载防火墙的安全防护方法,如图1所示,包括以下步骤:
(1)数据包预处理:部署设置有TRDP协议的车载防火墙,并通过所述的车载防火墙的网络监听模块接收含有TRDP协议的数据包,同时利用预处理模块进行所述的含有TRDP协议的数据包的检查,检查后的数据包送入规则检测流量模块;
TRDP主要用于过程数据(Process Data)和消息数据(Message Data)的传输。过程数据主要用于列车控制,传递命令和状态消息,数据量大,要求高可靠性、实时性和确定性,一般周期性传送。消息数据主要用于故障和诊断信息,数据量长短不一,一般按需传送,需要一定的实时性。基于TRDP的应用无论在终端设备、编组或者列车内部或者外部,都可以彼此之间以透明的方式通信。
此外,需要提醒的是,TRDP协议软件接口设计如下:高一层的应用程序接口(TRDPAP I)是用来进行过程数据的传输(tap)和消息数据的传输(tam);低一层的应用程序接口(TRDP Li ght API)是与共同的作用(tIc)、过程数据传输(tIp)和消息数据传输(tIm)连接;UTILITY API应用程序可以作为传输层的拓展,其中TRDP XMLi是读取TCNOpen TRDPXML配置文件的服务接口,TRDP Marshall是用户数据的服务接口,TRDP DNR是IP-URI地址传输的服务接口,TRDP TTI是获取列车拓扑消息信息数据的服务接口,TRDP CTRL是控制ETBN功能的服务接口。TRDP SPY可以用wireshark软件去解析TRDP数据包,Debug/Logging的作用是对数据的记录和诊断服务接口,Statistics的作用是对数据资料的统计。TRDP-PD通信过程的设计:TRDP组成包括PDCom、MDCom、TRDP Light、VOS和Utilities。PDCom负责列车网络上的过程数据通信,MDCom负责列车网络上的消息数据通信,VOS是虚拟操作系统,Utilities负责通信设备的接口。
(2)规则检测的处理:部署管理平台,设置规则检测流量模块并将流量规则下发至访问设备,其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量;
如图2与图3所示,其展示了流量规则(即自定义规则)的截图。
(3)自学习检测的处理:部署自学习检测流量模块,其中所述的自学习检测流量模块用于实现阻断不合法的TRDP流量数据。
如图4所示,其展示了自学习规则的截图。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的车载防火墙设置在基于intel x86_64的硬件平台上;
其中所述的硬件平台的传输层采用TCP/UDP协议。
需要说明的是,列车实时数据协议TRDP(Train Real-time Data Protocol)由IEC61375-2-3定义。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的网络监听模块上还连接有TRDP协议识别模块,所述的TRDP协议识别模块用于识别所述的含有TRDP协议的数据包并反馈给所述的网络监听模块;
其中网络监听模块的前置处理上加载TRDP协议识别模块,网络监听模块为常见防火墙自带的功能模块,实质上用于进出车载防火墙的数据监听,具体使用是还可配合网关来监管流量,所述流量网关监测到所述应用客户端发送的数据包中携带有特征标识时,根据预先设置的应用服务器的五元组信息,在所述应用客户端首次访问的目的数据源地址为外部数据源服务器的目的数据源地址时,创建所述应用客户端的IP地址、所述特征标识和外部数据源服务器的目的数据源地址的流量记录表项,记录所述应用数据流的流量信息;所述流量记录表项包括所述应用客户端的IP地址、所述特征标识、外部数据源服务器的目的数据源地址和流量信息。
其中TRDP协议识别模块,其设置在白名单规则检测单元输入端的规约安全检测单元,用于对TRDP网络数据包的解析信息进行规约检测,判断TRDP网络数据包是否符合TRDP协议规约,若符合转入执行白名单规则检测单元,否则对不符合TRDP协议规约的数据包进行隔离或阻断控制。
步骤(1)中所述的预处理模块内置有TRDP插件,所述的TRDP插件用于分析数据包中属于TRDP协议的数据单元;
其中所述的属于TRDP协议的数据单元的内容包括协议版本字段、命令类型字段、数据集长度字段及命令ID字段;所述的TRDP插件通过判断所述的数据包的特征字段是否符合所述的属于TRDP协议的数据单元的内容,若是,将TRDP协议中的信息类型字段、命令ID字段记录在会话中,并转移送至所述的规则检测流量模块。
需要提醒的是,TRDP插件的组策略包含了TRDP规约所做的相应的约束,判断TRDP网络数据包是否符合TRDP协议规约的步骤包括:判断所述TRDP网络数据包的解析信息中各字段是否符合TRDP数据包规则,如果是判定数据包符合TRDP协议规约,否则判定为不符合TRDP协议规约,本实施例具体在判定不符合时产生相应的安全记录。以基于UDP的TRDP协议为例,基于UDP的TRDP协议中的消息类型字段的取值只有下面4种:5072H、5070H、5064H以及5065H,对于数据包中msgType字段,如果不是上述4个值,则表明数据包不符合TRDP的规约,对于UDP协议数据包,判断TRDP网络数据包的解析信息中消息类型字段是否为5072H、5070H、5064H以及5065H中一种,如果是判定数据包符合TRDP协议规约,否则判定为不符合TRDP协议规约,并产生相应的安全记录。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(1)中所述的车载防火墙与中央处理器相连,所述的车载防火墙通过所述的中央处理器与通信模块相连;
需要说明的是,中央处理器可采用网络处理器以节约成本,或者采用云平台方式进行处理,从硬件结构上来说网络处理器主要包括两个功能模块即网络处理器单元和专用的智能协处理器单元,其中智能协处理器单元对网络处理器单元和其他硬件单元进行控制并执行上层协议和各种应用程序;网络处理器单元主要对数据进行处理和转发网络处理器和外界进行数据交换要通过网络接口单元;另外,一般还需要外挂一个存储单元用于对数据进行缓存。而传统的处理器通常只包括一个模块该模块既要处理和转发数据又要执行各种应用程序,一旦需要拓展新的业务就会造成处理器速度的严重下降;而网络处理器则把任务交给网络处理器单元和智能协处理器单元两个模块来执行,这种设计方法可以大大提高网络处理器的效率在增加新业务的情况下仍使网络处理器保持很高的处理速度;另外,网络处理器一般由若干个RISC芯核组成可以并行处理数据使网络处理器的处理速度比单个的RISC快数倍甚至几十倍;同时,由于RSIC是完全可编程的;因此可以实现网络处理器的高度灵活性,在网络处理器中还采用了多线程结构,即一个RISC芯核对应多个线程。
所述的通信模块上设置有以太网TRDP网卡,所述的以太网TRDP网卡设置有以太网通信单元、RS485通信单元及RS232通信单元,所述的中央处理器的数据接口通过RMII接口与所述的以太网通信单元相连,所述的中央处理器的数据接口还通过USART接口与所述的RS485通信单元、所述的RS232通信单元相连。
具体来说,随着电子及轨道交通通信技术的发展,列车实时以太网通信的应用不断增加,列车实时数据协议TRDP的研究不断深入。目前列车网络通信中,为了保证通信数据的实时性和安全性,需要一套可以实现串口和网口之间数据处理且遵循特定协议的网卡。申请号为201621486327.5的实用新型专利,公开了一种双串口转以太网模块,其中自适应模块SP3232EEY串口芯片实现RS232与RS485之间的自适应切换,每个串口端口配置独立的虚拟IP,其缺点是Cortex-M3网络处理能力弱,且该专利没有实现双网口通信,不能实现RS232、RS485串口转网口的同时通信。申请号为201611110494.4的发明专利申请,公开了一种铁路实时以太网TRDP网关,通过硬件化TCP/IP协议栈,独立于MCU运作,节省了MCU大量资源,其缺点是增加了硬件成本且不能灵活改变通信方式。
进一步来说,以太网口设计,对应配置语句如下:
extern void set_if(char*netif_name,char*ip_addr,char*gw_addr,char*nm_addr);
set_if("e0","192.168.11.30","192.168.11.252","255.255.255.0");
set_if("e1","192.168.0.29","192.168.0.252","255.255.255.0")。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的管理平台设置在服务器中,所述的管理平台与所述的访问设备相连。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的TRDP协议的类型字段和命令ID字段,其中所述的TRDP协议的类型字段与命令ID字段分别对应所述的管理平台的数据包类型与通信标识符。
需要提醒的是,还需考虑传输数据中的预设信息,其包括源MAC地址、目标MAC地址、源IP地址、目标IP地址、源端口号以及目标端口号。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(2)中所述的规则检测流量模块检查流量规则中字段的值,并对数据包进行信息类型的特征值与命令ID的特征值的检查,当发现待检查的字段与数据包匹配,产生流量规则所设置的动作;
其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中所述的自学习检测流量模块设置在所述的服务器中,其中所述的自学习检测流量模块将标准的TRDP协议的数据进行回访,同时将标准的TRDP协议的数据包中待检测的类型字段的值、通信标识符的字段的值进行记录处理。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中当下发了标准协议数据的非白名单防护规则后,所述的自学习检测流量模块开始检测标准的TRDP协议的数据之外的异常数据包,通过检测不满足自学习规则的数据包来识别流量中的攻击行为,并产生告警或阻断数据的行为。
上述所述的应用于车载防火墙的安全防护方法中,
步骤(3)中所述的自学习检测流量模块的约束优化算法公式如下:
式中,其中△T表示计算值与测量值的差,J为灵敏度矩阵,gk为目标函数梯度,βk为共轭系数,S为数据包中辨识参数的数量,Xk为笛卡尔空间坐标。
需要说明的是,上述约束优化算法进行测试后,在PCl上先运行Wireshark抓包工具,后通过测试软件请求HMI1的1个ComId标识的过程数据。分析抓包数据帧可知,请求数据包和回复数据包的时间差值在0.4ms左右,远小于发送周期设定的32ms,64ms等,说明每个发送周期时间内,都包含一个完整的请求和回复请求的数据包。因此在时延统计时,只需将记录完成的数据包请求时间和数据包接收时间按照时间序列排开,即可得到通道上完整的网络诱导时延。
综上所述,创造性引入数据包预处理、规则检测的处理及自学习检测的处理,并利用自学习检测流量模块的约束优化算法,阻止或丢弃解析信息不符合TRDP协议要求的数据包,可以基于TRDP协议特性实现对网络中数据包的有效安全检查,确定能够放行的数据包,对于伪造、篡改等恶意攻击数据包,即便协议类型与TRDP协议相符,通过经过协议解析后的解析信息进行检测,仍然可以识别出该恶意数据包,从而可以主动方式防御列车通信网络上的攻击、异常设备等的数据包,不仅可以监控列车网络的通信状态,还能够实现指令级精细控制的安全防护,可以解决列车通信网络中外部攻击、数据包劫持篡改以及异常流量监测等一系列的安全问题,实现网络上异常设备、异常流量以及攻击等各种安全防护检测。同时,采用规则检测流量模块检查流量规则中字段的值,并对数据包进行信息类型的特征值与命令ID的特征值的检查,当发现待检查的字段与数据包匹配,产生流量规则所设置的动作,进而有效监管进出的数据包。本发明基于TRDP列车实时数据协议,用于轨道交通实时以太网络,对于铁路用以太网,提高实时性、确保可靠性是必不可少的条件。
图5为本公开实施例提供的一种应用于车载防火墙的安全防护装置,包括:
数据包预处理模块,用于部署设置有TRDP协议的车载防火墙,并通过所述的车载防火墙的网络监听模块接收含有TRDP协议的数据包,同时利用预处理模块进行所述的含有TRD P协议的数据包的检查,检查后的数据包送入规则检测流量模块;
规则检测模块,用于部署管理平台,设置规则检测流量模块并将流量规则下发至访问设备,其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量;
自学习检测处理模块,用于部署自学习检测流量模块,其中所述的自学习检测流量模块用于实现阻断不合法的TRDP流量数据。
本发明所述应用于车载防火墙的安全防护装置,包括处理器和存储器,所述处理器执行所述存储器中存储的计算机指令,实现前述本公开各实施例的应用于车载防火墙的安全防护方法的全部或部分步骤。
图6是根据本公开的实施例的计算机可读存储介质的示意图。如图6所示,根据本公开实施例的计算机可读存储介质40,其上存储有非暂时性计算机可读指令41。当该非暂时性计算机可读指令41由处理器运行时,执行前述的本公开各实施例的应用于车载防火墙的安全防护方法的全部或部分步骤。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (10)
1.一种应用于车载防火墙的安全防护方法,其特征在于:
包括以下步骤:
(1)数据包预处理:部署设置有TRDP协议的车载防火墙,并通过所述的车载防火墙的网络监听模块接收含有TRDP协议的数据包,同时利用预处理模块进行所述的含有TRDP协议的数据包的检查,检查后的数据包送入规则检测流量模块;
(2)规则检测的处理:部署管理平台,设置规则检测流量模块并将流量规则下发至访问设备,其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量;
(3)自学习检测的处理:部署自学习检测流量模块,其中所述的自学习检测流量模块用于实现阻断不合法的TRDP流量数据。
2.根据权利要求1所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(1)中所述的车载防火墙设置在基于intel x86_64的硬件平台上;
其中所述的硬件平台的传输层采用TCP/UDP协议。
3.根据权利要求2所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(1)中所述的网络监听模块上还连接有TRDP协议识别模块,所述的TRDP协议识别模块用于识别所述的含有TRDP协议的数据包并反馈给所述的网络监听模块;
步骤(1)中所述的预处理模块内置有TRDP插件,所述的TRDP插件用于分析数据包中属于TRDP协议的数据单元;
其中所述的属于TRDP协议的数据单元的内容包括协议版本字段、命令类型字段、数据集长度字段及命令ID字段;所述的TRDP插件通过判断所述的数据包的特征字段是否符合所述的属于TRDP协议的数据单元的内容,若是,将TRDP协议中的信息类型字段、命令ID字段记录在会话中,并转移送至所述的规则检测流量模块。
4.根据权利要求3所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(1)中所述的车载防火墙与中央处理器相连,所述的车载防火墙通过所述的中央处理器与通信模块相连;
所述的通信模块上设置有以太网TRDP网卡,所述的以太网TRDP网卡设置有以太网通信单元、RS485通信单元及RS232通信单元,所述的中央处理器的数据接口通过RMII接口与所述的以太网通信单元相连,所述的中央处理器的数据接口还通过USART接口与所述的RS485通信单元、所述的RS232通信单元相连。
5.根据权利要求4所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(2)中所述的管理平台设置在服务器中,所述的管理平台与所述的访问设备相连。
6.根据权利要求5所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的TRDP协议的类型字段和命令ID字段,其中所述的TRDP协议的类型字段与命令ID字段分别对应所述的管理平台的数据包类型与通信标识符。
7.根据权利要求6所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(2)中所述的规则检测流量模块检查流量规则中字段的值,并对数据包进行信息类型的特征值与命令ID的特征值的检查,当发现待检查的字段与数据包匹配,产生流量规则所设置的动作;
其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
8.根据权利要求7所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(3)中所述的自学习检测流量模块设置在所述的服务器中,其中所述的自学习检测流量模块将标准的TRDP协议的数据进行回访,同时将标准的TRDP协议的数据包中待检测的类型字段的值、通信标识符的字段的值进行记录处理。
9.根据权利要求8所述的应用于车载防火墙的安全防护方法,其特征在于:
步骤(3)中当下发了标准协议数据的非白名单防护规则后,所述的自学习检测流量模块开始检测标准的TRDP协议的数据之外的异常数据包,通过检测不满足自学习规则的数据包来识别流量中的攻击行为,并产生告警或阻断数据的行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210114447.6A CN114465796A (zh) | 2022-01-30 | 2022-01-30 | 一种应用于车载防火墙的安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210114447.6A CN114465796A (zh) | 2022-01-30 | 2022-01-30 | 一种应用于车载防火墙的安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114465796A true CN114465796A (zh) | 2022-05-10 |
Family
ID=81411750
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210114447.6A Pending CN114465796A (zh) | 2022-01-30 | 2022-01-30 | 一种应用于车载防火墙的安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114465796A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
CN114900370A (zh) * | 2022-06-02 | 2022-08-12 | 合肥卓讯云网科技有限公司 | 一种针对应用协议进行流量过滤的方法和装置 |
CN115297141A (zh) * | 2022-07-28 | 2022-11-04 | 东风汽车集团股份有限公司 | 一种车载网络idps联防联动方法及系统 |
CN115871754A (zh) * | 2023-03-08 | 2023-03-31 | 北京全路通信信号研究设计院集团有限公司 | 轨道交通控制信号系统、检测方法、装置、设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789605A (zh) * | 2016-12-06 | 2017-05-31 | 广州众志诚信息科技有限公司 | 一种铁路实时以太网trdp网关 |
CN207083094U (zh) * | 2017-08-25 | 2018-03-09 | 北京卓越信通电子股份有限公司 | 一种基于trdp协议的列车实时以太网网卡 |
CN109729079A (zh) * | 2018-12-21 | 2019-05-07 | 北京威努特技术有限公司 | 一种应用于fins工业以太网的安全防护方法 |
CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
CN112671862A (zh) * | 2020-12-15 | 2021-04-16 | 交控科技股份有限公司 | 列车tsn网络结合trdp协议的实时通信方法和终端 |
CN113904862A (zh) * | 2021-10-22 | 2022-01-07 | 中车株洲电力机车有限公司 | 分布式列车控制网络入侵检测方法、系统、存储介质 |
-
2022
- 2022-01-30 CN CN202210114447.6A patent/CN114465796A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789605A (zh) * | 2016-12-06 | 2017-05-31 | 广州众志诚信息科技有限公司 | 一种铁路实时以太网trdp网关 |
CN207083094U (zh) * | 2017-08-25 | 2018-03-09 | 北京卓越信通电子股份有限公司 | 一种基于trdp协议的列车实时以太网网卡 |
CN109729079A (zh) * | 2018-12-21 | 2019-05-07 | 北京威努特技术有限公司 | 一种应用于fins工业以太网的安全防护方法 |
CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
CN112671862A (zh) * | 2020-12-15 | 2021-04-16 | 交控科技股份有限公司 | 列车tsn网络结合trdp协议的实时通信方法和终端 |
CN113904862A (zh) * | 2021-10-22 | 2022-01-07 | 中车株洲电力机车有限公司 | 分布式列车控制网络入侵检测方法、系统、存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640704A (zh) * | 2022-05-18 | 2022-06-17 | 山东云天安全技术有限公司 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
CN114640704B (zh) * | 2022-05-18 | 2022-08-19 | 山东云天安全技术有限公司 | 通讯数据获取方法、系统、计算机设备及可读存储介质 |
CN114900370A (zh) * | 2022-06-02 | 2022-08-12 | 合肥卓讯云网科技有限公司 | 一种针对应用协议进行流量过滤的方法和装置 |
CN114900370B (zh) * | 2022-06-02 | 2024-04-26 | 合肥卓讯云网科技有限公司 | 一种针对应用协议进行流量过滤的方法和装置 |
CN115297141A (zh) * | 2022-07-28 | 2022-11-04 | 东风汽车集团股份有限公司 | 一种车载网络idps联防联动方法及系统 |
CN115871754A (zh) * | 2023-03-08 | 2023-03-31 | 北京全路通信信号研究设计院集团有限公司 | 轨道交通控制信号系统、检测方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114465796A (zh) | 一种应用于车载防火墙的安全防护方法 | |
US8059532B2 (en) | Data and control plane architecture including server-side triggered flow policy mechanism | |
US6131163A (en) | Network gateway mechanism having a protocol stack proxy | |
TWI477106B (zh) | 用於在交換器asic中整合線路速率應用識別的系統和方法 | |
CN108200086B (zh) | 一种高速网络数据包过滤装置 | |
CN109391566B (zh) | Etbn骨干网交换机核心板、控制方法和装置 | |
CN113507436B (zh) | 一种针对goose协议的电网嵌入式终端模糊测试方法 | |
CN113708995B (zh) | 一种网络故障诊断方法、系统、电子设备及存储介质 | |
CN112019478A (zh) | 基于trdp协议列车网络的安全防护方法、装置及系统 | |
CN105827629B (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
CN110212983B (zh) | 一种fc信号和以太网信号的转换方法及装置 | |
CN1953453A (zh) | 一种IPv6数据高速捕获和快速存储系统及实现方法 | |
US20240281392A1 (en) | Time-sensitive network switch | |
CN107172780A (zh) | 一种助航灯控制系统 | |
CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
CN102427423A (zh) | 一种网络流量跟踪及故障定位的方法、装置 | |
CN116781315A (zh) | 一种基于egd协议的攻击检测方法 | |
CN114257580A (zh) | 边界网闸无感交互方法 | |
CN108768841A (zh) | Afdx安全网关系统及其传输方法 | |
CN117176770A (zh) | 一种中央网关控制器及数据处理方法 | |
KR101235206B1 (ko) | 패킷 파싱 장치 및 방법 | |
Peng | Research of network intrusion detection system based on snort and NTOP | |
CN101364895B (zh) | 高性能宽带互联网网络行为实时分析及管理系统 | |
CN110730163B (zh) | 一种变电站主辅控联动方法及变电站辅控设备 | |
CN102523139B (zh) | 高速网络协议深度检测装置及检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 311215 Room 216, Floor 2, Building B, No. 858, Jianshe Second Road, Xiaoshan Economic and Technological Development Zone, Xiaoshan District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Zhongdian Anke Modern Technology Co.,Ltd. Address before: 310051 building 3, 351 Changhe Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou rischen Anke Technology Co.,Ltd. |