李其昌，步 兵，趙駿逸，李 剛

(1. 北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044； 2. 中國鐵道科學研究院集團有限公司 通信信號研究所，北京 100081)

城市軌道交通作為典型的工業(yè)控制系統(tǒng)以及重要的城市基礎(chǔ)設(shè)施，為緩解和解決城市化進程帶來的交通壓力和人民日益增長的交通需求，應運發(fā)展了基于通信的列車運行控制系統(tǒng)(Communication Based Train Control，CBTC)。CBTC系統(tǒng)廣泛融合了計算機、通信和控制等領(lǐng)域的先進技術(shù)，是一個復雜的分布式、實時控制系統(tǒng)[1]。隨著列控系統(tǒng)信息化與自動化的深度融合，實現(xiàn)了自管理信息層延伸至現(xiàn)場設(shè)備的一致性識別、通信和控制。

然而，在軌道交通信息化、智能化融合的同時，來自列控系統(tǒng)內(nèi)部和外部的威脅也逐漸增大，其面臨的信息安全風險日益加劇[2]。一方面，列控系統(tǒng)采用標準通信協(xié)議與通用計算設(shè)備，使得列控系統(tǒng)更易遭到黑客的攻擊，如惡意木馬植入、洪水攻擊等；另一方面，列控系統(tǒng)與其他系統(tǒng)的數(shù)據(jù)共享、設(shè)備互聯(lián)、業(yè)務協(xié)作，使得系統(tǒng)難以做到真正的“完全封閉”，進一步加劇了列控系統(tǒng)的信息安全風險。

同時，CBTC列控系統(tǒng)與傳統(tǒng)IT系統(tǒng)以及其他工業(yè)控制系統(tǒng)相比，在信息安全方面存在一定區(qū)別：一是列控系統(tǒng)采用設(shè)備、網(wǎng)絡(luò)冗余配置，例如ATS、ZC、VOBC等設(shè)備運行在冗余網(wǎng)絡(luò)上，CI、ZC、ATS等關(guān)鍵設(shè)備采用三取二、二乘二取二或主備機等安全計算模式；二是列控系統(tǒng)按照時刻表運行，流量數(shù)據(jù)具有周期性、指向性等特點；三是列控系統(tǒng)遵循“故障導向安全”原則，即在系統(tǒng)發(fā)生故障的情況下，能夠維持安全狀態(tài)或者向安全狀態(tài)轉(zhuǎn)移。綜上，傳統(tǒng)的工控系統(tǒng)安全理論無法直接適用于列控系統(tǒng)，因此提出列控系統(tǒng)信息安全態(tài)勢感知技術(shù)，以識別信息安全風險，避免列控系統(tǒng)安全事故發(fā)生。

列控系統(tǒng)信息安全態(tài)勢感知(以下簡稱列控系統(tǒng)態(tài)勢感知)，是指可能引起列控系統(tǒng)信息安全態(tài)勢發(fā)生變化的態(tài)勢要素獲取、理解、評價以及預測的過程[3-5]。列控系統(tǒng)態(tài)勢感知不同于現(xiàn)有的入侵行為檢測。入侵行為檢測可以檢測出系統(tǒng)存在的受攻擊行為，保障列控系統(tǒng)的信息安全，是一種被動防御的安全行為。列控系統(tǒng)態(tài)勢感知則通過主動收集融合理解數(shù)據(jù)，評價當前安全態(tài)勢，為列控系統(tǒng)的正常安全運行提供決策依據(jù)。這其中既包括對入侵攻擊行為的檢測，也包括為提高列控系統(tǒng)安全性能進行的評估與預測。

列控系統(tǒng)態(tài)勢感知模型見圖1，由態(tài)勢覺察、態(tài)勢理解、態(tài)勢預測3個層次組成[6]。列控系統(tǒng)態(tài)勢感知通過布設(shè)網(wǎng)絡(luò)探針，采集物理層和網(wǎng)絡(luò)層數(shù)據(jù)，生成多源異構(gòu)數(shù)據(jù)集；再經(jīng)過數(shù)據(jù)清洗與歸一化，數(shù)據(jù)特征提取，數(shù)據(jù)分類技術(shù)，結(jié)合態(tài)勢評價指標，完成當前列控系統(tǒng)安全態(tài)勢理解與評價，并結(jié)合其他先進技術(shù)，實現(xiàn)安全態(tài)勢預測。本文主要研究列控系統(tǒng)多源異構(gòu)數(shù)據(jù)的特征提取與分類技術(shù)，并通過對列控系統(tǒng)數(shù)據(jù)特征提取與分類，摒棄無用信息，整理歸納數(shù)據(jù)，大幅提高列控系統(tǒng)態(tài)勢感知的實時性，避免陷入復雜計算而無法理解實時當前態(tài)勢的弊端。

圖1 列控系統(tǒng)態(tài)勢感知模型

1 CBTC列控系統(tǒng)

CBTC列控系統(tǒng)結(jié)構(gòu)示意見圖2，主要由車載設(shè)備、地面設(shè)備及其數(shù)據(jù)通信系統(tǒng)(Data Communication System，DCS)組成。在CBTC列控系統(tǒng)中，區(qū)域控制器(Zone Controller，ZC)，結(jié)合計算機聯(lián)鎖(Computer Interlocking，CI)的進路狀態(tài)、數(shù)據(jù)存儲單元(Database Storage Unit，DSU)的線路數(shù)據(jù)、列車自動監(jiān)控(Automatic Train Supervision，ATS)設(shè)備的臨時限速信息，以及列車自動防護(Automatic Train Protection，ATP)設(shè)備(車載)匯報的列車位置和速度等信息，為其控制范圍內(nèi)的列車計算生成移動授權(quán)(Movement Authority，MA)，并通過無線接入點(Access Point，AP)組成的車地無線網(wǎng)發(fā)送給列車。正常狀態(tài)下，列車車載控制器(Vehicle On-Broad Controller，VOBC)周期性接受ZC生成的MA，ATP根據(jù)MA終點基于列車動力學方程得到即刻速度防護曲線。列車自動駕駛(Automatic Train Operation，ATO)設(shè)備根據(jù)ATS制定的運營時刻表，結(jié)合旅客舒適度、列車能耗等因素，自動計算出即刻最優(yōu)速度曲線，列車以此速度在速度防護曲線限定下運行。

圖2 CBTC列控系統(tǒng)結(jié)構(gòu)示意圖

2 列控系統(tǒng)態(tài)勢感知關(guān)鍵技術(shù)

2.1 基于SVD Entropy的數(shù)據(jù)特征降維

對于任意實矩陣A∈Rm×n(一般認為m為樣本數(shù)，n為特征數(shù))，必然存在酉矩陣U∈Rm×m和V∈Rn×n，使得下式成立

A=UΣVT

(1)

式中：矩陣Σ∈Rm×n的主對角線元素λi為非負并按降序排列，且除了主對角元素以外全為0。這些對角線元素λi便是矩陣A的奇異值(Singular Value)，且有λ1≥λ2≥…≥λr>0，r=rank(A)，即矩陣A的秩為非零奇異值的個數(shù)。

根據(jù)矩陣范數(shù)性質(zhì)和矩陣酉不變性質(zhì)(即‖UAVT‖F(xiàn)=‖A‖F(xiàn))可知，任一矩陣的Frobenious范數(shù)與該矩陣所有的非零奇異值平方和的正平方根相等，即

(2)

式中：aij(i=1,2,…,m；j=1,2,…,n)為矩陣A中的元素。那么，給定一個秩為r的矩陣A，可以用秩為k的矩陣Ak，k≤r，逼近表達矩陣A，則該問題用數(shù)學表達式解釋為

(3)

s.t. rank(Ak)=k

(4)

如何通過確定k值進而得到近似矩陣Ak？對矩陣A做奇異值分解，得到奇異值譜λj(j=1,2,…,r)[8]。根據(jù)香農(nóng)信息熵的定義，可計算矩陣奇異值分解后的奇異值熵(Singular Value Decomposition Entropy)為

(5)

(6)

利用奇異值熵的限定條件，得到前k個有用奇異值后，將A的奇異值分解矩陣Σ中r-k個數(shù)值比重小的奇異值置零，進而得到特征降維后的多源異構(gòu)數(shù)據(jù)集Ak。

2.2 基于SVM的數(shù)據(jù)分類

支持向量機(Support Vector Machine，SVM)作為一種先進機器學習算法，廣泛應用于模式識別、數(shù)據(jù)分類、回歸預測等方面[9-10]。其基本原理是通過劃分超平面，在滿足可容忍分類精度的前提下，最大化不同類別數(shù)據(jù)至超平面的間隔，并將此間隔最大化問題轉(zhuǎn)變?yōu)榍蠼舛瓮挂?guī)劃的最優(yōu)化問題，從而完成數(shù)據(jù)的分類。

假設(shè)非線性可分數(shù)據(jù)集Ak∈Rm×n；xi∈R；i=1,2,…,m；yi∈[-1, 1]。其中xi為第i個實例，yi為類標記，m為觀測樣本數(shù)，n為特征數(shù)。給定超平面wTΦ(x)+b=0，可將實例分為不同類別，則相應決策函數(shù)為[11]

y(x)=sign(wTΦ(x)+b)

(7)

式中：w為超平面法向量；b為超平面到空間某點距離；Φ(x)為某個確定的特征空間轉(zhuǎn)換函數(shù)，其作用是將x映射到高維度，如為一維，則Φ(x)=x。將y(xi)>0分為正類，y(xi)<0分為負類，且有yi(wTΦ(xi)+b)≥1。

要尋找的唯一超平面即是以充分大置信度使樣本點集到此超平面間隔最大，即盡可能使更多的樣本點遠離超平面，以完成分類，即

(8)

s.t.yi(wTΦ(xi)+b)≥1

其中，滿足yi(wTΦ(xi)+b)=1的樣本點(xi,yi)稱為支持向量。當某些樣本不滿足其中yi(wTΦ(xi)+b)≥1的約束時，引入松弛變量ξi≥0，使最大化間隔的同時，不滿足約束的樣本盡可能少，則式(8)可改寫為

(9)

s.t.yi(wTΦ(xi)+b)≥1-ξi

式(9)為二次規(guī)劃問題，通過拉格朗日乘子法可得拉格朗日分解式為

(10)

式中：α≥0為拉格朗日乘子向量；μi≥0為常數(shù)；C>0為懲罰參數(shù)。分別對L(w,b,α,ξ,μ)求w,b,ξ的極小，求α的極大，并整理可得：

(11)

(12)

(13)

式中：(xj,yj)為任一支持向量。因此，非線性可分數(shù)據(jù)集的劃分超平面與決策函數(shù)分別為

(14)

(15)

列控系統(tǒng)態(tài)勢感知多源異構(gòu)數(shù)據(jù)集為非線性可分數(shù)據(jù)集，如果其原始特征空間屬性數(shù)有限，那么一定存在高維特征空間是樣本可分。高維特征空間在求解劃分超平面過程中，由于特征空間維數(shù)可能很高，直接計算樣本xi與xj的內(nèi)積(Φ(xi)·Φ(xj))比較困難，因此，通常采用核函數(shù)K(xi,xj)擬合，而不用顯式地定義特征空間和映射函數(shù)Φ(x)。那么劃分超平面與決策函數(shù)可表示為

(16)

(17)

對列控系統(tǒng)特征降維后的多源異構(gòu)數(shù)據(jù)集Ak分類需要運用多分類技術(shù)，本文采用一對一多分類方法(One-Versus-One SVM)，在任意兩類樣本之間設(shè)計一個分類器，當對某一未知類別樣本xi分類時，最終得票最多的類別即判為該未知樣本的類別。上述多分類問題的數(shù)學描述為：求解滿足約束條件下使分類間隔最大的劃分超平面，進而完成類別劃分與投票。

(18)

s.t.

3 仿真與結(jié)果分析

3.1 數(shù)據(jù)集設(shè)計

本文基于實驗室CBTC列控系統(tǒng)仿真平臺采集多源異構(gòu)數(shù)據(jù)。CBTC列控系統(tǒng)屬于物理信息系統(tǒng)(Cyber-Physical System，CPS)，其數(shù)據(jù)結(jié)構(gòu)設(shè)計參考文獻[12]，分別從物理信息系統(tǒng)的物理層(Physical Layer，PL)和網(wǎng)絡(luò)層(Network Layer，NL)采集數(shù)據(jù)，組成多源異構(gòu)數(shù)據(jù)集。

物理層數(shù)據(jù)通過SNMP通信協(xié)議獲得，包括ATS設(shè)備、ZC設(shè)備、CI設(shè)備、VOBC設(shè)備和網(wǎng)絡(luò)設(shè)備的峰值CPU占用率、平均CPU占用率、峰值內(nèi)存使用率和平均內(nèi)存使用率。列控系統(tǒng)物理層信息統(tǒng)計量見表1。

表1 列控系統(tǒng)物理層信息統(tǒng)計量

網(wǎng)絡(luò)層數(shù)據(jù)主要采集設(shè)備集中站內(nèi)部和設(shè)備集中站與列車之間的源Mac地址、源IP地址、通信會話建立(源IP與目的IP)、傳輸數(shù)據(jù)包(源地址與目的地址間TCP/UDP數(shù)據(jù)包)4組參數(shù)，并對這4組參數(shù)運用一維和二維統(tǒng)計公式進行分析計算。列控系統(tǒng)網(wǎng)絡(luò)層信息統(tǒng)計量見表2。

表2 列控系統(tǒng)網(wǎng)絡(luò)層信息統(tǒng)計量

表2中：S={d1,d2,…} 為數(shù)據(jù)流，且di∈R；N,LS,SS分別為數(shù)據(jù)流數(shù)目、線性和、平方和；SRi,j為數(shù)據(jù)流Si和Sj的殘差之積。在單個時間窗W提取21個特征屬性，共選取W=100 ms、500 ms、1 s、10 s、30 s，5個時間窗合計105個統(tǒng)計特征作為網(wǎng)絡(luò)層特征屬性。

數(shù)據(jù)集A可以表示為如下結(jié)構(gòu)：包括2臺ATS設(shè)備、4臺ZC設(shè)備、4臺CI設(shè)備、2臺VOBC設(shè)備、6臺網(wǎng)絡(luò)設(shè)備的72個物理層特征屬性集合和105個網(wǎng)絡(luò)層特征屬性集合。再通過2.1節(jié)所述方法，得到降維后多源異構(gòu)數(shù)據(jù)集Ak。

3.2 仿真實驗

為了驗證列控系統(tǒng)態(tài)勢感知技術(shù)效能，本文設(shè)計引入列控系統(tǒng)常見的Dos拒絕服務攻擊和Probe端口掃描攻擊。通過3.1節(jié)所述物理層、網(wǎng)絡(luò)層多源異構(gòu)數(shù)據(jù)集，完成系統(tǒng)態(tài)勢感知，識別潛在風險。

實驗采集20 000條數(shù)據(jù)用作數(shù)據(jù)集。為提高分類精度，對正常狀態(tài)Normal數(shù)據(jù)集進行欠采樣，并標記為類別0；對Dos攻擊和Porbe攻擊數(shù)據(jù)集進行過采樣，并分別標記為類別1和類別2。三類數(shù)據(jù)以大致1∶1∶1的比例組成多源異構(gòu)數(shù)據(jù)集，其中2/3比例用作訓練集，1/3比例用作測試集。

3.3 性能指標

本文利用混淆矩陣列出正確分類與錯誤分類的計數(shù)值，混淆矩陣見圖3。

圖3 混淆矩陣

通過混淆矩陣，可以得到如下指標：TP-Ture Positive(樣本為正態(tài)，預測為正態(tài))，F(xiàn)P-False Positive(樣本為異態(tài)，預測為正態(tài))，TN-Ture Negative(樣本為異態(tài)，預測為異態(tài))，F(xiàn)N-False Negative(樣本為正態(tài)，預測為異態(tài))，則

精度Accuracy為

(19)

正確率Precision為

(20)

召回率Recall為

(21)

F1分數(shù)為正確率和召回率的調(diào)和平均，即

(22)

接受者操作特征曲線(Receiver Operating Characteristic Curve，ROC曲線)是反映召回率和誤報率的綜合指標。ROC曲線見圖4。圖4中，縱坐標為召回率，其定義見式(21)；橫坐標為誤報率FPR，即

(23)

ROC曲線下面積即為Area Under the Curve(AUC)。通常，AUC面積area接近1，表示分類器性能越優(yōu)異。

SVD Entropy與SVM聯(lián)合算法，與樸素SVM算法的仿真結(jié)果比較見表3。由表3可知，在保持精度和F1分數(shù)基本不變的情況下，SVD Entropy與SVM聯(lián)合算法能有效縮短實現(xiàn)列控系統(tǒng)態(tài)勢感知數(shù)據(jù)集分類的運算時間。

圖4 ROC曲線

表3 SVD Entropy與SVM聯(lián)合算法與樸素SVM算法比較

SVD Entropy與SVM聯(lián)合算法，對于不同奇異值熵閾值的性能比較見表4。隨著奇異值熵閾值降低，分類精度下降，對列控系統(tǒng)態(tài)勢感知數(shù)據(jù)集的分類性能隨之下降。因此，奇異值熵閾值不易選擇過小，避免特征提取后的多源異構(gòu)數(shù)據(jù)集Ak無法準確表達原集A的信息量。同時，選擇過大的閾值，無法快速壓縮運算時間。在保持分類精度基本不變的前提下，本文認為選取閾值為0.85時，是合理的閾值門限。

表4 不同奇異值熵閾值比較

SVD Entropy與SVM聯(lián)合算法，與K近鄰算法KNN[13]、樸素貝葉斯分類NBM[14]、隨機森林RF[15]等分類算法比較見表5。從表5可以看出，本文提出的SVD Entropy與SVM聯(lián)合算法，在保持數(shù)據(jù)分類精度基本不變前提下，運算時間較短，對于列控系統(tǒng)多源異構(gòu)數(shù)據(jù)集的分類效果較好。

表5 不同算法比較

4 結(jié)論

(1)本文提出的SVD Entropy與SVM聯(lián)合算法，通過設(shè)定奇異值熵閾值，實現(xiàn)了多源異構(gòu)數(shù)據(jù)的快速降維。結(jié)合支持向量機多分類技術(shù)，在保持分類精度基本不變的前提下，能有效降低運算時間。仿真實驗表明，當閾值設(shè)定為0.85時，為較為理想的閾值門限。通過和其他數(shù)據(jù)分類算法對比分析可知，本文提出的SVD Entropy與SVM聯(lián)合算法具有較好的準確性和時效性。

(2)本文提出的聯(lián)合算法，能夠?qū)崿F(xiàn)列控系統(tǒng)數(shù)據(jù)特征提取與分類，并快速準確識別潛在攻擊和信息安全風險，為后續(xù)實時在線處理數(shù)據(jù)，進一步完成列控系統(tǒng)態(tài)勢評價、預測提供理論支持。且本文提出的聯(lián)合算法，對于高速鐵路列控系統(tǒng)態(tài)勢感知研究亦有借鑒意義。