CN114584345A

CN114584345A - 轨道交通网络安全处理方法、装置及设备

Info

Publication number: CN114584345A
Application number: CN202210097244.0A
Authority: CN
Inventors: 谢人超; 唐琴琴; 梁成昊; 朱涵; 顾笛儿; 乔石; 陈天骄; 黄韬; 刘江; 刘韵洁
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2022-01-26
Filing date: 2022-01-26
Publication date: 2022-06-03
Anticipated expiration: 2042-01-26
Also published as: CN114584345B

Abstract

本说明书实施例具体涉及一种轨道交通网络安全处理方法、装置及设备，设计了一种面向城市轨道交通移动边缘计算的安全可信防护机制，构建了跨越云计算和移动边缘计算纵深的安全防护体系，能够有效抵御DDoS攻击，使攻击流量被阻止在城市轨道交通系统之外。并且，考虑到攻击设备在城市轨道交通系统的位置随其移动在不断变化，经常冒用正常设备的身份信息，本说明书实施例利用信息度量来检测攻击流量的方法，以在城市轨道网络边缘更准确、更快速地检测攻击流量。

Description

轨道交通网络安全处理方法、装置及设备

技术领域

本发明涉及计算机技术领域，特别涉及一种轨道交通网络安全处理方法、装置及电子设备。

背景技术

城市轨道交通作为当前人们出行的重要交通工具，对国家的经济发展、人民的生活改善、城市建设至关重要。在城市轨道交通通信系统中，其信息传输网络承载了城市轨道交通运行中产生的各种信息，能够有效的为城市轨道交通各个部门的运行、管理和其他各类数据传输提供服务，在城市轨道交通系统中发挥着安全和高效的重要作用。

城市轨道交通系统组成繁多、复杂，主要业务系统有综合监控系统(ISCS，Integrated Supervisory Control System)、视频监控系统(CCTV，Closed CircuitTelevision)、门禁系统(ACS，Access Control System)、列车自动监控系统(ATS，Automatic Train Supervision)、乘客资讯系统(PIS，Passenger Information System)、自动售检票系统(AFC，Automatic Fare Collection System)、广播系统(PA，PublicAddress system)、通信集中网管及各子系统网管系统等。众多系统建设交叉，缺少集中统一的平台，无法应对建设过程及发展过程中衍生的系列问题。城市轨道交通作为我国大交通的重要组成部分，是否能够持续安全运行，直接关系到广大乘客的生命安全和社会运行秩序，一旦遭到破坏，后果不堪设想。而云计算、大数据为代表的新技术手段，刚好能够解决这些问题。云计算是一种新型的计算模式。在城市轨道交通中建设应用云计算技术的数据中心，通过虚拟化技术为各业务系统提供计算、网络、存储资源，可支撑城市轨道交通的全部运营指挥管理系统。通过在城市轨道交通系统中应用云计算技术，不仅可以解决系统繁杂统一管理，还可以提供系统集中建管、集中运维、集中灾备等问题。

然而，云计算技术作为一种技术模式，在带来高便捷性、高利用性、高效性的同时，也必将带来多种安全风险挑战。在云计算模式下，由于各种信息资源具有较强的开放性，导致云中的信息具有较强的流动性。因此，这种模式下的信息面临着严重的安全风险，会导致信息的泄露、丢失和篡改，从而造成不可估量的损失。此外，由于大量的数据和信息都存储在云中，从而形成了一个非常巨大的动态资源池。大量的列车运行各种核心敏感数据并非存储在计算机的本地硬盘中，而是存储在云端。同时，所有的信息添加、修改、删除、编辑等访问操作也都在云端实现，这给信息安全风险带来了非常严峻的问题。

因此，如何提供一种城市轨道交通网络安全管理方案是本领域亟需解决的技术问题。

发明内容

针对现有技术的上述问题，本文的目的在于，提供一种轨道交通网络安全处理方法、装置及电子设备，能够提高轨道交通网络安全性。

为了解决上述技术问题，本文的具体技术方案如下：

一方面，本文提供一种轨道交通网络安全处理方法，所述方法包括：

所述方法应用于轨道交通移动边缘架构中的移动边缘计算节点，所述轨道交通移动边缘架构包括：车载子系统、车站子系统和云计算数据中心，所述移动边缘计算节点为部署在所述车站子系统的基站以及基站处部署的边缘计算服务器，所述方法包括：

各个移动缘计算节点按照预设采样间隔分别对接收到的网络流进行采样，获得多个网络流；

计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离；

将计算获得的信息距离与预设信息距离阈值进行比较，若存在至少一个信息距离大于所述预设信息距离阈值，则确定所述轨道交通网络存在攻击流量。

进一步地、在计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离时，所述方法还包括：

计算各个网络流对应的广义熵；

将计算获得的广义熵与预设熵阈值进行比较，若存在至少一个广义熵小于所述预设熵阈值或存在至少一个信息距离大于所述预设信息距离阈值，则确定所述轨道交通网络存在攻击。

进一步地、按照下述公式计算各个网络流对应的广义熵：

X＝{a₁，a₂，...，a_n}

其中，H_α(X)表示网络流X的α阶广义熵，α≥0，α≠1，X表示网络流，a₁，a₂，...，a_n表示网络流X可取的数值，n表示网络流X可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率。

进一步地、按照下述公式计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离：

X＝{a₁，a₂，...，a_n}

Y＝{a₁，a₂，...，a_n}

其中，D_α(X，Y)表示网络流X、Y之间α阶的信息距离，α≥0，α≠1，a₁，a₂，...，a_n表示网络流X、Y可取的数值，n表示网络流X、Y可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率，q_i表示网络流Y中第i个可取数值a_i对应的概率。

进一步地、在确定所述轨道交通网络存在攻击流量后，所述方法还包括：

向所述云计算数据中心发送攻击警示，以使得所述云计算数据中心检测攻击流量攻击的移动边缘计算节点的日志，获得攻击流量的移动用户国际网络号码，并将所述移动用户国际网络号码标记为攻击网络号码；

接收所述云计算数据中心发送的攻击网络号码，并将所述攻击网络号码发送至相邻的移动边缘节点，以使得各个移动边缘计算节点检测是否接收到来自所述攻击网络号码的流量；

若目标移动边缘计算节点检测到正在接收来自所述攻击网络号码的流量，则所述目标移动边缘计算节点计算采样获得的任意两个网络流之间的信息距离，若存在至少一个信息距离大于所述预设信息距离阈值，则确定来自所述攻击网络号码的流量为攻击流量，拒绝为所述攻击网络号码服务。

进一步地、所述方法还包括：

若各个移动边缘计算节点在指定时间范围内没有检测到来自所述攻击网络号码的流量，则将所述移动用户国际网络号码上标记的攻击网络号码移除。

进一步对、若目标移动边缘计算节点检测到正在接收来自所述攻击网络号码的流量后，所述方法还包括：

计算所述目标移动边缘节点采样获得的各个网络流的广义熵；

将计算获得的广义熵与预设熵阈值进行比较，若存在至少一个广义熵小于所述预设熵阈值或存在至少一个信息距离大于所述预设信息距离阈值，则确定来自所述攻击网络号码的流量为攻击流量。

另一方面，本文提供一种轨道交通网络安全处理装置，所述装置应用于轨道交通移动边缘架构中的移动边缘计算节点，所述轨道交通移动边缘架构包括：车载子系统、车站子系统和云计算数据中心，所述移动边缘计算节点为部署在所述车站子系统的基站以及基站处部署的边缘计算服务器，所述装置包括：

流量采样模块，用于各个移动缘计算节点按照预设采样间隔分别对接收到的网络流进行采样，获得多个网络流；

信息距离计算模块，用于计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离；

攻击检测模块，用于将计算获得的信息距离与预设信息距离阈值进行比较，若存在至少一个信息距离大于所述预设信息距离阈值，则确定所述轨道交通网络存在攻击流量。

进一步地、所述装置还包括攻击防御模块，用于：

在确定所述轨道交通网络存在攻击流量后，向所述云计算数据中心发送攻击警示，以使得所述云计算数据中心检测攻击流量攻击的移动边缘计算节点的日志，获得攻击流量的移动用户国际网络号码，并将所述移动用户国际网络号码标记为攻击网络号码；

另一方面，本文还提供一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述所述的使用轻量化网络中间件实现上述轨道交通网络安全处理方法。

本文所述的一种轨道交通网络安全处理方法、装置及电子设备，设计了一种面向城市轨道交通移动边缘计算的安全可信防护机制，构建了跨越云计算和移动边缘计算纵深的安全防护体系，能够有效抵御DDoS攻击，使攻击流量被阻止在城市轨道交通系统之外。并且，考虑到攻击设备在城市轨道交通系统的位置随其移动在不断变化，经常冒用正常设备的身份信息，本说明书实施例利用信息度量来检测攻击流量的方法，以在城市轨道网络边缘更准确、更快速地检测攻击流量。

为让本文的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，做详细说明如下。

附图说明

为了更清楚地说明本文实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本文的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本说明书一个实施例中提供的轨道交通移动边缘架构的示意图；

图2是本说明书一个实施例中轨道交通网络安全处理方法的流程示意图；

图3是本说明书一些实施例中轨道交通网络防御方法的流程示意图；

图4是本说明书一个实施例中轨道交通网络安全处理装置的结构示意图；

图5示出了本文实施例提供的一种轨道交通网络安全处理的电子设备的结构示意图。

具体实施方式

下面将结合本文实施例中的附图，对本文实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本文一部分实施例，而不是全部的实施例。基于本文中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文保护的范围。

需要说明的是，本文的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本文的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

随着我国经济水平的不断提升，城市建设发生了巨大的变化，对于城市轨道交通中的通信网络要求也越来越高。针对多场景和多目标的5G(The 5^th Generation MobileCommunication第五代移动通信)移动通信系统能满足当前对新场景和新业务的需求，被认为是实现综合轨道交通智能化的重要支撑。在5G移动通信系统的支持下，对于城市轨道交通的需求已不仅仅停留在满足大众的出行，更多的是要思考如何利用最新最先进的技术，立足于智能管理，高效运行，优化控制等，从而让人们更便捷地生活。移动边缘计算作为5G的关键技术，将数据缓存能力、流量转发能力与应用服务能力进行下沉，网络位置更接近用户，能够大幅降低业务时延，满足轨道交通应用场景中低时延业务需求，减少对传输网的带宽压力，降低传输成本，提升用户体验，成为未来重要发展趋势。移动边缘计算的核心思想是将计算能力从移动网络的数据中心转移到无线接入网边缘，从而可以将业务本地化，在接入网处理用户请求。这减少了用户等待时间，确保了高效的网络运行和服务交付，同时也缓解了网络流量的回传需求，降低了网络运营成本。

移动边缘计算的发展在为城市交通轨道系统提供的智能化管理和更高质量的服务的同时，也带来了极大的挑战。随着大量异构边缘设备接入，网络环境将变得更加复杂，数据隐私和通信安全成为新的焦点问题。例如，当常见的大规模低速率DDoS(LR-DDoS，Low-Rate Distributed Denial of Service，低速率分布式拒绝服务攻击)攻击发生时，由于城市轨道交通设备的移动性和城市轨道交通网络的复杂性，必须灵活快速地处理安全问题。然而，移动边缘计算设备的异构性和不同边缘设备差异化的传输能力使核心网很难快速协同处理移动边缘网络上传的所有安全数据。因此，如何设计面向城市轨道交通移动边缘计算的安全可信防护机制，在城市轨道交通网络边缘对攻击者进行检测和阻止攻击者从移动边缘计算网络进入核心网络就显得尤为必要。

根据ETSI(Chemical Reaction Optimization欧洲电信标准化协会)的定义，移动边缘计算在无线接入网部署通用服务器，为无线接入网提供IT(Internet Technology互联网技术)和云计算能力。移动边缘计算系统允许移动设备将计算任务卸载到网络边缘节点，如基站和无线接入点等，既缓解了云服务器远离用户的带来的高延迟问题，也增强了移动设备处理数据的能力。因而移动边缘计算迅速成为5G的一项关键技术，使得接入网具有了高带宽和低延迟地处理信息，感知网络上下文信息和向第三方边缘应用开放等能力，有助于5G网络达到低时延、高能效、高容量和高可靠性等技术指标。

图1是本说明书一个实施例中提供的轨道交通移动边缘架构的示意图，如图1所示，本说明书一些实施例中提供了一种基于移动边缘计算体系的轨道交通移动边缘架构，该轨道交通移动边缘架构主要可以包括车载子系统、车站子系统以及云计算数据中心。

如图1所示，车载子系统的两端各设置一套车载终端设备，实现列车信号、车载PIS、调度语音、车载CCTV等业务无线传输，能够实时接收和上传信息、监控车辆内部情况和显示发布信息。车载子系统将车上监控视频、车辆故障信息上传至车站子系统和云计算数据中心进行处理，然后通过无线双向传输天线接收车站子系统或及云计算数据中心的处理结果以及紧急信息、乘客服务信息等通知。其中，TAU可以理解为列车无线接入单元trainaccessunit，是现代轨道交通的车地通信的必备装备。

车站子系统主要由边缘计算服务器、基站、摄像头和显示屏等设备组成，通过在基站侧部署具备计算和存储能力的边缘计算服务器，从而使基站具备边缘计算能力。车站子系统是轨道交通系统中信息的中转环节，通过有线网络与云计算数据中心连接，负责接收云计算数据中心发布的命令和各类信息，并把自身状态信息、故障信息定期发送给云计算数据中心，还可以在云计算数据中心故障时临时承担信息发布的责任。相比于云计算数据中心，车站子系统更靠近车载子系统，通过车站子系统进行任务处理，将云服务“下沉”到网络边缘，可以有效降低处理延迟和抖动并提升安全性和可靠性。使用户请求在网络边缘得以满足，而无需传输到远程的云数据中心，大大降低了传输时延，提升了用户的体验质量。在轨道交通系统中，车站子系统可以对车载子系统计算密集型任务请求进行预处理(如监控视频分析任务中图像特征的提取)，然后将处理结果发送至云计算数据中心，另外，对于计算简单且时延敏感的任务，可以直接处理并返回给用户。

在信息在预处理之后，可以无需上传到远程的云计算数据中心，有效缓解了大量数据传输过程中可能出现的安全问题。同时，因为在网络边缘即对任务进行了一些预先的简单的处理，从而避免了大量数据、信息传输导致的网内流量爆炸以及传输信息所需耗费的大量实验和能耗。预处理方式有许多，针对不同的任务可以有不同的预处理形式，预处理也就是在网络边缘对任务进行简单的计算，以减少需要传输到云计算数据中心的任务的规模。针对图像视频类任务，可以对其进行简单图像识别、特征提取、聚类分类、语音识别等等，总之可以在一定程度上过滤掉一些无用和垃圾信息，只传输有用部分到云计算数据中心。将边缘计算引入车站子系统，解决了车载子系统在资源存储、计算性能以及能效等方面存在的不足，有效缓解车载子系统处理任务的压力，降低任务处理延迟，并减少远程传输至云计算数据中心的数据量。

云计算数据中心是面向城市轨道交通的移动边缘计算网络架构的核心部分，主要负责全局管控和提供云计算能力。云计算数据中心负责系统及用户数据的存储、更新、管理、备份、访问和维护，可实现乘客信息系统数据的定制发布、网络管理、设备管理、故障管理、内容审核和性能管理等。云计算数据中心监控整个系统各类数据以及所有设备的状态信息，并采集外部信息，对外部信息进行处理，根据内部运营要求向乘客进行传递。相比于车站子系统，云计算数据中心在地理位置上距离车载子系统较远，处理延迟较高，但具有更强的存储、处理能力。因此，云计算数据中心可以负责处理对时延要求不高但计算密集型的任务，另外能够对车站子系统中边缘服务器的处理结果进行进一步的分析和处理。

本说明书实施例中，可以将车站子系统中的小基站以及部署在小基站处的边缘计算服务器统称为移动边缘计算节点。每个移动边缘计算节点都向若干城轨设备提供服务。城轨设备指在城市轨道交通系统中的用户设备，包括各类车载用户设备以及车站用户设备等。作为暴露在开放环境中的核心边缘设备，移动边缘计算节点对于保证其服务城轨设备认证、状态管理、数据安全、通信安全等功能的运行尤为重要。因此需要构建面向城市轨道交通网络边缘的LR-DDoS攻击检测和防御机制，使攻击流量被阻止在城市轨道交通系统之外。

在城市轨道交通移动边缘计算网络中，攻击者最初通过城轨设备攻击其他城轨设备或直接攻击移动边缘计算节点。攻击者的目标是闯入移动边缘计算网络，获取用户隐私数据，甚至控制城市轨道交通网络。一方面，攻击者通过D2D通信攻击其他用户设备，操纵其他设备发动攻击，形成越来越多的僵尸设备。随着僵尸设备在城市轨道交通系统中向四面八方行驶，不断的攻击将像病毒一样蔓延。另一方面，所有僵尸设备都会向连接的移动边缘计算节点发送LR-DDoS攻击。这些攻击混合在正常流量中，短时间内很难被发现。当每个节点收到的攻击流量累积到一定数量时，整个网络就会出现结构性故障，运行效率会大大降低甚至无法正常工作。由于攻击设备在城市轨道交通系统的位置随着其移动在不断变化，并且经常冒用正常设备的身份信息，因此在城市轨道交通移动边缘计算网络中更难以准确定位僵尸设备并消除攻击。

通常，僵尸设备通过与移动边缘计算节点通信来发送攻击流量，通过危及移动边缘计算节点来瘫痪城市轨道交通移动边缘计算网络。在移动边缘计算节点无法继续提供服务的基础上，攻击者可以进一步控制城市轨道交通主干网甚至是云计算数据中心。

本说明书实施例提供了一种基于利用信息度量来检测攻击流量的方法，以在城市轨道交通网络边缘检测攻击流量。图2是本说明书一个实施例中轨道交通网络安全处理方法的流程示意图，如图2所示，本说明书提供的轨道交通网络安全处理方法可以应用于在如图1所示的轨道交通移动边缘架构中的移动边缘计算节点，所述方法包括：

步骤202、各个移动缘计算节点按照预设采样间隔分别对接收到的网络流进行采样，获得多个网络流。

在具体的实施过程中，每二个移动边缘计算节点都会接收到用户设备的数据或信息等，本说明书实施例中可以称为流量或网络流。移动边缘计算节点可以对接收到的网络流进行周期性采样，即每隔预设采样间隔对接收到的网络流进行采样，这样每个移动边缘计算节点都可以获得多个网络流，其中，每一个采样周期可以获得一个网络流。

步骤204、计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离。

在具体的实施过程中，本说明书实施例在城市轨道交通移动边缘计算网络中，每个移动边缘计算节点对城市轨道交通车载数据的采集是独立的，因此若干移动边缘计算节点在某个采样周期内采样的多个信息离散变量是相互独立的。本说明书实施例中采用信息度量来检查是否有攻击流量，信息距离可以理解为分布接近程度的一种度量。可以对同一个移动边缘计算节点的各个网络流之间的信息距离进行计算，若两个网络流之间的信息距离很大，则可以认为两个网络流不属于同一种数据流，那么就可能是一种是正常流量，一种是攻击流量。

本说明书一些实施例中，假设攻击流量服从泊松分布，正常流量服从高斯噪声分布。取移动边缘计算节点的任意两个采样流X、Y，X＝{a₁，a₂，...，a_n}，Y＝{a₁，a₂，...，a_n}，a₁，a₂，...，a_n表示网络流X、Y可取的数值。X、Y来自同一个网络的采样流即网络流，可以看出X、Y可取的数值是相同的，但是，每个采样流取同一个数值的概率可能是不同的，本说明书实施例中，假设采样流X、Y可以表示为两个离散概率分布P＝{p₁，p₂，...，p_n}和Q＝{q₁，q₂，...，q_n}，通常情况下，P、Q是不同的。其中，p_i表示网络流X中第i个可取数值a_i对应的概率，q_i表示网络流Y中第i个可取数值a_i对应的概率，可以看出，采样流X、Y取同样数值的概率是不同的，其中：

在城市轨道交通移动边缘计算网络中具有α阶的信息散度可以定义为：

其中，α≥0且α≠1。由于该方程中α大于或等于0，因此信息散度始终为正。只有当两个离散概率分布P和Q相同时，D_α(X||Y)的值才为零。信息发散具有可加性和递增性，因为它在α＞1时是α的凸函数。其中，X||Y表示X相对Y的熵。

在上述信息散度(公式(1))的式子中，由于当X和Y不相等时，D_α(X||Y)≠D_α(X||Y)，这意味着信息散度是一种不对称的度量。因此，它不能直接用于检测城轨交通边缘计算网络中的DDoS攻击。为了使用信息距离作为有效的度量，本说明书实施例在城市轨道交通移动边缘计算网络中引入了信息距离：

其中，D_α(X，Y)表示网络流X、Y之间α阶的信息距离，α≥0，α≠1，X＝{a₁，a₂，...，a_n}，Y＝{a₁，a₂，...，a_n}，a₁，a₂，...，a_n表示网络流X、Y可取的数值，n表示网络流X、Y可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率，q_i表示网络流Y中第i个可取数值a_i对应的概率，0≤p_i≤1，0≤q_i≤1，

由于信息距离是对称测度，从而可作为检测DDoS攻击的合适指标。

步骤206、将计算获得的信息距离与预设信息距离阈值进行比较，若存在至少一个信息距离大于所述预设信息距离阈值，则确定所述轨道交通网络存在攻击流量。

在具体的实施过程中，本说明书实施例基于正常流量和攻击流量的概率分布存在差异的原理，分析网络流的概率分布，计算每两个概率分布之间的信息距离。如果计算出的信息距离大于预设信息距离阈值σ₂，一般可以认为其中肯定有个网络流是不正常的，则认为检测到攻击，即确定轨道交通网络存在攻击流量。云数据计算中心以及移动边缘计算节点可以对攻击流量发送告警或提示相关工作人员及时检测核实，以确保网络安全性。

在城市轨道交通移动边缘计算网络中，攻击者将攻击流量发送到移动边缘计算节点，移动边缘计算节点将部分数据从城轨设备转发到上层网络。由于城轨设备的计算能力有限，攻击者经常通过僵尸城轨设备向边缘计算节点发送低速率DDoS攻击，这种类型的攻击比高速率和高流量攻击更难检测。如果攻击流量收敛到边缘节点，就会给城市轨道交通网络带来持续的负担，甚至导致网络崩溃。在移动边缘计算节点无法继续提供服务的基础上，攻击者可以进一步控制城市轨道交通主干网甚至是云计算数据中心。本说明书实施例使用的信息度量方法可以通过监控不同移动边缘计算节点的采样流量概率分布的差异来协调检测边缘节点中攻击的发生，同时，可以通过合理调整α的值，扩大合法流量与攻击流量之间的差距，从而更准确、更快速地检测到攻击的发生。

本说明书一些实施例中，在计算同一个移动边缘计算节点的任意两个网络流之间的信息距离时，所述方法还包括：

计算各个网络流对应的广义熵；

在具体的实施过程中，首先介绍广义熵和信息距离度量基本概念：

用集合U＝{U₁，U₂，...，U_m}表示系统的移动边缘计算节点，移动边缘计算节点具有对接收到的车载流进行采样的功能。在本方案中，每个移动边缘计算节点的采样频率f和周期T相同。在信息论中，熵是随机变量不确定性的度量，它是推导同一事件空间中两个概率分布之间信息距离的基础。移动边缘计算节点采样的流量可以看作是一个随机变量，X可能出现的取值可用集合X＝{a₁，a₂，...，a_n}来表示，所以X是一个离散变量，X中包含的可能的结果为a_i，i∈{1，2，...，n}，X中每个可能的取值发生的概率可以表示为P＝{p₁，p₂，...，p_n}。那么城市轨道交通移动边缘计算网络中具有α阶的广义熵可以定义为：

其中，H_α(X)表示网络流X的α阶广义熵，α≥0，α≠1，X表示网络流，a₁，a₂，...，a_n表示网络流X可取的数值，n表示网络流X可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率，并且

广义熵是一种统计指标，它引入阶α作为熵度量来概括香农熵并量化信息系统的多样性和随机性。根据上述广义熵的定义公式可以知道，当采样流的概率分布更加随机时，熵会增加。同样，当采样流的概率分布越确定时，熵就会越小。

每个移动边缘计算节点对其接收的流量进行采样，然后计算自己的广义熵H_α(X)，例如H_α(U₁)、H_α(U_m)等。移动边缘计算节点将这些值与预设熵阈值σ₁进行比较，如果某个H_α(X)值小于σ₁，则认为已检测到相关移动边缘计算节点发生了攻击。

综合广义熵和信息距离，本说明书实施例中轨道交通网络的攻击检测方法可以概括为如下过程：

步骤1：设采样频率为f，采样周期为T，预设熵阈值为σ₁，预设信息距离阈值为σ₂。

步骤2：每个移动边缘计算节点并行采样网络流，并收集这些流的统计信息(例如MSISDN/IP地址)。

步骤3：并行计算每个网络流的概率分布。

步骤4：根据(公式3)计算每个流的广义熵，并根据(公式2)计算任意两个网络流的信息距离。

步骤5：对于上一步中的任意两个流X和Y，如果D_α(X，Y)＞σ₂或(H_α(X)或H_α(Y))＜σ₁，并且这种情况持续足够的采样间隔，则移动边缘计算节点对LR-DDoS攻击流量进行告警，否则移动边缘节点进一步处理这些数据包。

步骤6：返回步骤2。

需要说明的是，上述关于攻击流量的检测的计算也可以由云计算数据中心来处理，即移动边缘计算节点将采样得到的网络流发送至云计算数据中心，由云计算数据中心计算广义熵和信息距离，进而判断是否存在攻击流量。

本说明书实施例提供的轨道交通网络安全处理方法，设计了一种面向城市轨道交通移动边缘计算的安全可信防护机制，构建了跨越云计算和移动边缘计算纵深的安全防护体系，能够有效抵御DDoS攻击，使攻击流量被阻止在城市轨道交通系统之外。并且，考虑到攻击设备在城市轨道交通系统的位置随其移动在不断变化，经常冒用正常设备的身份信息，本说明书实施例利用信息度量以及广义熵来检测攻击流量的方法，以在城市轨道网络边缘更准确、更快速地检测攻击流量。

此外，图3是本说明书一些实施例中轨道交通网络防御方法的流程示意图，如图3所示，本说明书一些实施例中，在确定所述轨道交通网络存在攻击流量后，所述方法还包括：

步骤302、向所述云计算数据中心发送攻击警示，以使得所述云计算数据中心检测攻击流量攻击的移动边缘计算节点的日志，获得攻击流量的移动用户国际网络号码，并将所述移动用户国际网络号码标记为攻击网络号码；

步骤304、接收所述云计算数据中心发送的攻击网络号码，并将所述攻击网络号码发送至相邻的移动边缘节点，以使得各个移动边缘计算节点检测是否接收到来自所述攻击网络号码的流量；

步骤306、若目标移动边缘计算节点检测到正在接收来自所述攻击网络号码的流量，则所述目标移动边缘计算节点计算采样获得的任意两个网络流之间的信息距离，若存在至少一个信息距离大于所述预设信息距离阈值，则确定来自所述攻击网络号码的流量为攻击流量，拒绝为所述攻击网络号码服务。

在具体的实施过程中，在检测到攻击后，需要尽快将攻击者排除在城市轨道交通移动边缘计算网络之外。根据城市轨道交通移动边缘计算网络的结构和要求，本说明书实施例提出了一种基于日志的MSISDN回溯算法能够识别以欺诈方式使用普通设备身份的攻击者。其中，MSISDN表示Mobile Subscriber International ISDN/PSTN number移动用户国际ISDN/PSTN号码，ISDN表示Integrated Service Digital Network-综合业务数字网络，PSTN表示Public Switched Telephone Network-公共交换电话网络。

在主干网中，通过查询日志进行IP回溯是查找攻击者IP地址来源的有效方法。在城轨交通移动边缘计算网络中，本说明书实施例改进了这种方法以使用边缘计算节点日志查询攻击者的MSISDN，攻击者经常冒用普通城轨设备的MSISDN，并经常更改冒用的MSISDN。因此，真正的攻击者可以通过基于日志的MSISDN回溯方法找到，而不是依赖于数据包中的源地址字段。

在城市轨道交通移动边缘计算网络中，攻击者对移动边缘计算节点发起攻击，这个过程发生在网络的边缘，不会深入到主干网络。通过移动边缘计算能力来检测攻击可以确保更快地检测和消除攻击，同时减少网络带宽和计算资源的消耗。因此，可以通过查询移动边缘计算节点日志查找攻击者的方法适用于城市轨道交通边缘。在传统的网络结构中，如果每个路由器都保存大量的转发日志，会严重消耗存储资源，降低转发效率。而在城市轨道交通移动边缘网络中，移动边缘计算节点检测到攻击流后，可以通过查阅之前路由器或移动边缘计算节点的日志，快速追踪攻击源。同时，通过实现不同边缘之间的协同，相邻移动边缘计算节点可以快速响应，而不会消耗主干网的带宽和存储资源。

根据上述讨论，本说明书实施例设计了基于日志的MSISDN回溯和协同冲突检测的LR-DDoS防御方案，以从城市轨道交通网络中移除攻击城轨设备。同时，通过边缘冲突检测，防止被伪造ID的正常城轨设备被视为攻击城轨设备，从而无法获得正常服务。具体方案过程如下：

当移动边缘计算节点使用上述实施例的方法检测到攻击流量时，可以向云计算数据中心发送攻击警示，云计算数据中心查询检测到攻击流量的移动边缘计算节点的日志，得到攻击者的MSISDN即移动用户国际网络号码，并将其标记为攻击MSISDN即标记为攻击网络号码。云计算数据中心可以将标记后的MSISDN发用给检测到攻击流量的移动边缘计算节点，该移动边缘计算节点将标记的MSISDN发送至相邻移动边缘计算节点。或者，云计算数据中心也可以将标记后的MSISDN发用给所有的移动边缘计算节点，命令所有下级边缘计算节点，拒绝为其提供服务。

各个移动边缘计算节点在接收到标记的攻击网络号码后，可以实时检测是否正在接收来自攻击MSISDN的消息。如果没有，这些移动边缘计算节点会相互通信以直接拒绝来自攻击MSISDN的请求。如果某个目标移动边缘计算节点正在接收来自受攻击的移动边缘计算节点的攻击MSISDN的流量，则在目标移动边缘节点启动基于信息度量的LR-DDoS攻击检测算法即计算采样获得的任意两个网络流之间的信息距离，若存在至少一个信息距离大于所述预设信息距离阈值，则确定来自所述攻击网络号码的流量为攻击流量。如果确定收到的来自源攻击MSISDN的流量是攻击流量，则直接拒绝为其提供服务。如果确定流量正常，则说明正常城轨设备的MSISDN被攻击者冒用，移动边缘计算节点继续为正常城轨设备提供服务。然后各个移动边缘计算节点继续使用基于信息度量的LR-DDoS攻击检测算法检测攻击流量，直到有足够的时间让异常流量消失，然后恢复对来自标记MSISDN的请求的服务。

本说明书实施例提出了基于日志的MSISDN回溯和协同冲突检测的LR-DDoS防御方案，针对僵尸城轨设备不断攻击城市轨道交通移动边缘网络边缘的问题，在提出的检测方法的基础上，本方案创新设计了基于日志的MSISDN回溯算法，通过移动边缘协同对僵尸城轨设备的MSISDN进行追踪，能够识别以欺诈方式使用普通设备身份的攻击者，同时防止被伪造ID的正常城轨设备被视为攻击城轨设备，从而无法获得正常服务，使攻击者在移动过程中总是被网络拒绝服务。

本说明书一些实施例中，若目标移动边缘计算节点检测到正在接收来自所述攻击网络号码的流量后，所述方法还包括：

在具体的实施过程中，在攻击流量检测时，不仅仅可以计算信息距离，还可以计算目标移动边缘节点采样获得的各个网络流的广义熵，将计算获得的广义熵与预设熵阈值进行比较，若存在至少一个广义熵小于预设熵阈值或存在至少一个信息距离大于预设信息距离阈值，则确定来自所述攻击网络号码的流量为攻击流量。

将广义熵和信息距离相结合，提升了攻击流量检测的准确性和数据处理效率。

本说明书一些实施例中，所述方法还包括：

在具体的实施过程中，当各个移动边缘计算节点在指定时间范围内没有检测到来自攻击网络号码的流量后，可以认为攻击流量消失了或者移动边缘计算节点不再受到攻击流量的攻击了，此时，可以将标记为攻击网络号码的移动用户国际网络号码上的标记移除，实现为该网络号码的正常服务，确保轨道交通网络的正常运行。

本说明书实施例中基于日志的MSISDN回溯和协同冲突检测的LR-DDoS防御的过程可以概括如下：

调用上述实施例中基于信息度量的LR-DDoS攻击检测算法

if发出告警then

在移动边缘计算节点日志中找到攻击的源MSISDN；

将源MSISDN标记为攻击MSISDN，并将此消息发送到相邻移动边缘计算节点和云计算数据中心；

本说明书实施例根据城市轨道交通移动边缘计算网络的结构和要求，本方案提出一种基于日志的MSISDN回溯和协同冲突检测的LR-DDoS防御算法能够识别以欺诈方式使用普通设备身份的攻击者，以在检测到攻击后，尽快将攻击者排除在城市轨道交通移动边缘计算网络之外。

另一方面，基于上述实施例的内容，本说明书还提供了一种轨道交通网络安全处理装置，图4是本说明书一个实施例中轨道交通网络安全处理装置的结构示意图，如图4所示，所述装置应用于轨道交通移动边缘架构中的移动边缘计算节点，所述轨道交通移动边缘架构包括：车载子系统、车站子系统和云计算数据中心，所述移动边缘计算节点为部署在所述车站子系统的基站以及基站处部署的边缘计算服务器，所述装置包括：

流量采样模块41，用于各个移动缘计算节点按照预设采样间隔分别对接收到的网络流进行采样42，获得多个网络流；

信息距离计算模块43，用于计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离；

攻击检测模块44，用于将计算获得的信息距离与预设信息距离阈值进行比较，若存在至少一个信息距离大于所述预设信息距离阈值，则确定所述轨道交通网络存在攻击流量。

此外，本说明书一些实施例中，所述装置还包括攻击防御模块，用于：

上述装置部分的实施例参考方法部分的实施例还可以有其他的实施例，此处不做过多赘述。

另一方面，本说明书实施例一种计算机可读存储介质，所述存储介质中存储有至少一条指令或者至少一段程序，所述至少一条指令或者至少一段程序由处理器加载并执行以实现如上述所述的轨道交通网络安全处理方法。

再一方面，本说明书实施例提供一种轨道交通网络安全处理的电子设备，图5示出了本文实施例提供的一种轨道交通网络安全处理的电子设备的结构示意图，如图5所示，所述设备包括处理器、存储器、通信接口以及总线，所述存储器中存储有至少一条指令或者至少一段程序，所述至少一条指令或者至少一段程序由所述处理器加载并执行以实现如上述任一所述的轨道交通网络安全处理方法。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。本发明实施例所提供测试方法，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，方法实施例部分未提及之处，可参考前述系统实施例中相应内容。

应理解，在本文的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本文实施例的实施过程构成任何限定。

还应理解，在本文实施例中，术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系。例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本文的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本文所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文实施例方案的目的。

另外，在本文各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本文的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本文各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本文中应用了具体实施例对本文的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本文的方法及其核心思想；同时，对于本领域的一般技术人员，依据本文的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本文的限制。

Claims

1.一种轨道交通网络安全处理方法，其特征在于，所述方法应用于轨道交通移动边缘架构中的移动边缘计算节点，所述轨道交通移动边缘架构包括：车载子系统、车站子系统和云计算数据中心，所述移动边缘计算节点为部署在所述车站子系统的基站以及基站处部署的边缘计算服务器，所述方法包括：

2.根据权利要求1所述的轨道交通网络安全处理方法，其特征在于，在计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离时，所述方法还包括：

计算各个网络流对应的广义熵；

3.根据权利要求2所述的轨道交通网络安全处理方法，其特征在于，按照下述公式计算各个网络流对应的广义熵：

X＝{a₁，a₂,…,a_n}

其中，H_α(X)表示网络流X的α阶广义熵，α≥0，α≠1，X表示网络流，a₁,a₂,…,a_n表示网络流X可取的数值，n表示网络流X可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率。

4.根据权利要求1所述的轨道交通网络安全处理方法，其特征在于，按照下述公式计算同一个移动边缘计算节点采集到的任意两个网络流之间的信息距离：

X＝{a₁，a₂,…,a_n}

Y＝{a₁，a₂,…,a_n}

其中，D_α(X,Y)表示网络流X、Y之间α阶的信息距离，α≥0，α≠1，a₁，a₂,…,a_n表示网络流X、Y可取的数值，n表示网络流X、Y可取数值的总数量，p_i表示网络流X中第i个可取数值a_i对应的概率，q_i表示网络流Y中第i个可取数值a_i对应的概率。

5.根据权利要求1-4任一项所述的轨道交通网络安全处理方法，其特征在于，在确定所述轨道交通网络存在攻击流量后，所述方法还包括：

6.根据权利要求5所述的轨道交通网络安全处理方法，其特征在于，所述方法还包括：

7.根据权利要求5所述的轨道交通网络安全处理方法，其特征在于，若目标移动边缘计算节点检测到正在接收来自所述攻击网络号码的流量后，所述方法还包括：

8.一种轨道交通网络安全处理装置，其特征在于，所述装置应用于轨道交通移动边缘架构中的移动边缘计算节点，所述轨道交通移动边缘架构包括：车载子系统、车站子系统和云计算数据中心，所述移动边缘计算节点为部署在所述车站子系统的基站以及基站处部署的边缘计算服务器，所述装置包括：

9.根据权利要求8所述的轨道交通网络安全处理装置，其特征在于，所述装置还包括攻击防御模块，用于：

10.一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一项所述的方法。