謝雨飛，田啟川

(北京建筑大學(xué) 電氣與信息工程學(xué)院， 北京 100044)

中國(guó)列車控制系統(tǒng)(Chinese Train Control System，CTCS)是為了保證列車安全運(yùn)行，以分級(jí)形式滿足不同線路運(yùn)輸需求的列控系統(tǒng)。鐵路專用全球數(shù)字移動(dòng)通信系統(tǒng)(Global System for Mobile Communications-Railway，GSM-R)是在CTCS的3級(jí)和4級(jí)中用于車載子系統(tǒng)和列車控制中心進(jìn)行雙向信息傳輸?shù)能嚨責(zé)o線通信系統(tǒng)，它的安全性與整個(gè)CTCS系統(tǒng)的安全性緊密相關(guān)[1]。

CTCS無(wú)線通信系統(tǒng)是一個(gè)開放式傳輸系統(tǒng)[2]，標(biāo)準(zhǔn)EN 50159-2[3]指出：“在開放傳輸系統(tǒng)中，無(wú)線通信系統(tǒng)自身存在的一些特性，可能導(dǎo)致信息傳輸存在一些錯(cuò)誤或隱患，包括重復(fù)(Repetition)、刪除(Deletion)、插入(Insertion)、亂序(Resequence)、惡化(Corruption)、延時(shí)(Delay)、偽裝(Masquerade)。”因此，研究CTCS無(wú)線通信系統(tǒng)的安全性具有重要意義。

目前，針對(duì)CTCS無(wú)線通信系統(tǒng)安全方面的研究，往往是通過(guò)安全協(xié)議預(yù)防風(fēng)險(xiǎn)的發(fā)生，采用仿真結(jié)合檢驗(yàn)的方式提高無(wú)線通信網(wǎng)絡(luò)的可靠性。例如，在國(guó)外， MORANT等[4]利用馬爾可夫模型對(duì)ETCS無(wú)線通信系統(tǒng)的安全性進(jìn)行了建模分析，模擬外界入侵方法，分別測(cè)試系統(tǒng)的可靠性；HERMANNS等[5]利用StoCHARTS建立了ETCS無(wú)線通信系統(tǒng)模型，從網(wǎng)絡(luò)延遲、非法數(shù)據(jù)等方面對(duì)無(wú)線通信的可靠性進(jìn)行了定量分析。在國(guó)內(nèi)，文獻(xiàn)[6]基于馬爾可夫鏈建立了鐵路通信多鏈路延遲模型，對(duì)多鏈路場(chǎng)景下各個(gè)部件的狀態(tài)信息進(jìn)行建模，利用復(fù)雜隨機(jī)變量相關(guān)系數(shù)之間的關(guān)系，建立了具有不同延遲的相位模型，通過(guò)測(cè)量的方法，驗(yàn)證了信道參數(shù)的可靠性；文獻(xiàn)[7]利用形式化模型對(duì)列控系統(tǒng)的安全通信協(xié)議性能進(jìn)行仿真，運(yùn)用決策論中的概念和理論對(duì)建立安全鏈接需要的時(shí)間和傳輸信息需要的時(shí)間數(shù)據(jù)進(jìn)行分析，從而研究了制定安全通信協(xié)議的性能評(píng)價(jià)規(guī)則；文獻(xiàn)[8]根據(jù)列車通信網(wǎng)絡(luò)的需求，構(gòu)建一種并行傳輸?shù)木W(wǎng)絡(luò)架構(gòu)，通過(guò)改進(jìn)的并行冗余協(xié)議PRP提高了基于以太網(wǎng)的列車通信網(wǎng)絡(luò)的可靠性；另外，文獻(xiàn)[9-12]通過(guò)Petri網(wǎng)、遺傳算法、神經(jīng)網(wǎng)絡(luò)等方法優(yōu)化了CTCS無(wú)線通信系統(tǒng)的性能指標(biāo)。然而，這些方法都有不足之處：首先，它們都無(wú)法解決安全后門問(wèn)題，沒(méi)有實(shí)時(shí)入侵檢測(cè)的能力；其次，對(duì)于病毒等軟件攻擊，都會(huì)顯得束手無(wú)策；更為重要的是，以往的方法只能在風(fēng)險(xiǎn)發(fā)生后才能分析并解決問(wèn)題，都是被動(dòng)的方法。因此，很多研究者嘗試采用主動(dòng)策略，以求實(shí)時(shí)監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)是否有入侵行為的發(fā)生，從而增強(qiáng)系統(tǒng)的安全性，其中一個(gè)有效的解決方法就是在系統(tǒng)中增加入侵檢測(cè)模塊。

本文基于隱馬爾可夫模型對(duì)CTCS無(wú)線通信系統(tǒng)進(jìn)行入侵檢測(cè)，隱馬爾可夫鏈對(duì)于識(shí)別問(wèn)題和故障檢測(cè)有著強(qiáng)大的分析能力。通過(guò)捕獲并分析CTCS無(wú)線通信系統(tǒng)安全層數(shù)據(jù)包，建立相應(yīng)的隱馬爾可夫檢測(cè)模型，利用正常情況下系統(tǒng)數(shù)據(jù)包的特征訓(xùn)練模型參數(shù)，模擬典型的攻擊方法測(cè)試了CTCS無(wú)線通信系統(tǒng)的入侵檢測(cè)能力。

1 CTCS無(wú)線通信系統(tǒng)存在的安全威脅

目前，對(duì)于CTCS無(wú)線通信系統(tǒng)的入侵方式有以下3種：針對(duì)信息的機(jī)密性進(jìn)行攻擊；針對(duì)數(shù)據(jù)的完整性進(jìn)行攻擊；針對(duì)用戶認(rèn)證進(jìn)行攻擊。對(duì)于這些攻擊的防范方式是基于加密和認(rèn)證，然而，無(wú)論哪一種攻擊，都與數(shù)據(jù)包頭部異常有直接或間接的關(guān)系。因此，有必要對(duì)通信協(xié)議安全層的數(shù)據(jù)包結(jié)構(gòu)(特別是頭部結(jié)構(gòu))進(jìn)行分析，從而研究整個(gè)系統(tǒng)的安全性。

1.1 CTCS無(wú)線通信協(xié)議安全層數(shù)據(jù)包的結(jié)構(gòu)

CTCS無(wú)線通信系統(tǒng)的安全通信協(xié)議將一個(gè)完整的通信過(guò)程分為安全鏈接的建立、安全數(shù)據(jù)的傳輸、安全鏈接的斷開3個(gè)階段[13]，每個(gè)階段都有相應(yīng)的協(xié)議數(shù)據(jù)單元的發(fā)送、接收和轉(zhuǎn)換，分別見(jiàn)圖1～圖3，協(xié)議安全層數(shù)據(jù)包結(jié)構(gòu)如表1～表3所示，表中的數(shù)字表示該字段所占的字節(jié)數(shù)，×表示沒(méi)有該字段。

圖1 建立鏈接

圖2 安全數(shù)據(jù)傳輸

圖3 斷開鏈接

表1 安全層數(shù)據(jù)包結(jié)構(gòu)(建立鏈接)

表2 安全層數(shù)據(jù)包結(jié)構(gòu)(安全數(shù)據(jù)傳輸)

表3 安全層數(shù)據(jù)包結(jié)構(gòu)(斷開鏈接)

其中，安全層協(xié)議各字段的含義如下：

ETY：被叫對(duì)象的ID類型，3 bit；

MTI：信息類型標(biāo)識(shí)，4 bit；

DF：信息傳輸方向標(biāo)識(shí)，1 bit；

SA：呼叫方ID，3 Byte；

SaF：可接受的安全特性標(biāo)識(shí)，取值為預(yù)設(shè)定的，1 Byte；

Rd：用于生成密鑰的隨機(jī)數(shù)，8 Byte；

MAC：信息驗(yàn)證碼，8 Byte；

User Data：用戶數(shù)據(jù)，不定長(zhǎng)；

Reason：斷開鏈接原因，1 Byte；

Sub-Reason：斷開鏈接子原因，1 Byte。

1.2 安全性分析

目前，對(duì)CTCS無(wú)線通信系統(tǒng)安全層協(xié)議數(shù)據(jù)包的攻擊主要有兩種形式[14-15]：一種形式稱為泛洪攻擊(Flood攻擊)，這種攻擊通常是在目標(biāo)網(wǎng)絡(luò)中不斷地發(fā)送大量偽造數(shù)據(jù)包，造成網(wǎng)絡(luò)資源和帶寬被惡意侵占，從而造成網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)；另一種攻擊是利用協(xié)議本身的一些固有缺陷或者是協(xié)議設(shè)計(jì)中的不合理，通過(guò)偽裝的方式來(lái)盜取或截獲信息(Spoof攻擊)，從而破壞網(wǎng)絡(luò)的正常訪問(wèn)或者非法竊取信息。以上兩種攻擊都會(huì)給整個(gè)CTCS帶來(lái)極大的風(fēng)險(xiǎn)，必須加以防范。而這些網(wǎng)絡(luò)攻擊都可以通過(guò)對(duì)網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包的分析，提前檢測(cè)出來(lái)。

2 基于隱馬爾可夫模型的入侵檢測(cè)建模

2.1 隱馬爾可夫模型

隱馬爾可夫模型(Hidden Markov Model，HMM)是統(tǒng)計(jì)模型[16]，它用來(lái)描述一個(gè)含有隱含未知參數(shù)的馬爾可夫過(guò)程。一個(gè)標(biāo)準(zhǔn)的隱馬爾可夫模型可以表示為五元組(S,O,π,A,B)。其中，S表示隱含狀態(tài)，這些狀態(tài)之間滿足馬爾可夫性質(zhì)，通常無(wú)法直接觀測(cè)；O表示可觀測(cè)狀態(tài)，在模型中，這些狀態(tài)與隱含狀態(tài)相關(guān)聯(lián)，并且可以直接觀測(cè)；π為初始狀態(tài)概率矩陣，表示隱含狀態(tài)在初始時(shí)刻的狀態(tài)轉(zhuǎn)移概率分布，π=[πi]表示初始狀態(tài)為i的概率；A為隱含狀態(tài)轉(zhuǎn)移概率矩陣，描述了HMM模型中各個(gè)狀態(tài)之間的轉(zhuǎn)移概率，A=[aij]，其中aij為從狀態(tài)i到狀態(tài)j的轉(zhuǎn)移概率；B是觀測(cè)狀態(tài)轉(zhuǎn)移概率矩陣，B=[bi(k)]，其中bi(k)表示當(dāng)前狀態(tài)為i，觀測(cè)值為k的概率。

2.2 CTCS無(wú)線通信系統(tǒng)入侵模型

一般來(lái)說(shuō)，可以直接利用無(wú)線通信網(wǎng)絡(luò)數(shù)據(jù)包作為隱馬爾可夫模型觀測(cè)序列的一個(gè)觀測(cè)值。為了簡(jiǎn)化起見(jiàn)，忽略用戶數(shù)據(jù)，以減少狀態(tài)空間。因?yàn)闊o(wú)論用戶數(shù)據(jù)的長(zhǎng)度為多少，對(duì)于模型分析結(jié)果來(lái)說(shuō)，不會(huì)有任何影響，所以取用戶數(shù)據(jù)長(zhǎng)度l=0最為簡(jiǎn)單。根據(jù)表1～表3中安全層數(shù)據(jù)包結(jié)構(gòu)字段的大小，最長(zhǎng)的數(shù)據(jù)包包含21 Byte(除用戶數(shù)據(jù)外)，即168 bit。通常模型的觀測(cè)值取2n，則最小的n=8，觀測(cè)值數(shù)量為N=256個(gè)，令模型的觀測(cè)值符號(hào)V={v0,v1,v2,…,vN-1}；隱含狀態(tài)集合S={s0,s1,s2,…,sN-1}；隱含狀態(tài)轉(zhuǎn)移概率矩陣A=[aij]N×N；觀測(cè)狀態(tài)轉(zhuǎn)移概率矩陣B=[bi(k)]N×N；初始狀態(tài)概率矩陣π=[πi]1×N；一個(gè)可觀測(cè)序列就是一個(gè)除去了用戶數(shù)據(jù)后的數(shù)據(jù)包，令模型的可觀測(cè)序列為O={o1,o2,…,oT}，其中oi是該序列的第i個(gè)觀測(cè)值，也是所觀測(cè)數(shù)據(jù)包的第i字段的值，T為每一個(gè)觀測(cè)樣本的長(zhǎng)度。

2.3 訓(xùn)練過(guò)程

在許多實(shí)際問(wèn)題中，參數(shù)都不能直接計(jì)算，而是需要進(jìn)行估計(jì)，這就是隱馬爾可夫模型的訓(xùn)練問(wèn)題(也可稱為學(xué)習(xí)問(wèn)題)。訓(xùn)練問(wèn)題的核心是當(dāng)獲得觀測(cè)序列O={o1,o2,…,oT}后，調(diào)整模型參數(shù)A、B、π，使得觀測(cè)值序列概率P(O|λ)取得最大值，其中，λ=(A,B,π)表示HMM的模型參數(shù)。通過(guò)對(duì)模型參數(shù)A、B、π的不斷調(diào)整，使得模型記憶正常狀態(tài)時(shí)CTCS無(wú)線網(wǎng)絡(luò)系統(tǒng)的狀態(tài)。本文利用Forward-Backward算法[17]進(jìn)行模型評(píng)價(jià)，用Baum-Welch算法[18]進(jìn)行參數(shù)估計(jì)。

Forward-Backward算法的思路是：首先對(duì)隱馬爾可夫模型的參數(shù)進(jìn)行初始估計(jì)，但這種估計(jì)很可能是錯(cuò)誤的，然后通過(guò)對(duì)于給定的數(shù)據(jù)來(lái)評(píng)估這些參數(shù)的值，并減少它們所引起的錯(cuò)誤，以重新修訂這些模型參數(shù)。Forward-Backward算法對(duì)P(O|λ)求解方法如下：

對(duì)于一個(gè)狀態(tài)序列X={x1,x2,…，xT}，有

( 1 )

P(O,X|λ)=P(O|X,λ)P(X|λ)

( 2 )

則所求概率為

( 3 )

Baum-Welch算法是為了解決隱馬爾可夫模型中的參數(shù)估計(jì)問(wèn)題，其思路是：對(duì)于給出的觀測(cè)序列，估計(jì)模型參數(shù)，使得在該模型下觀測(cè)序列概率最大。用Baum-Welch算法估計(jì)參數(shù)A、B、π的方法如下：

給出模型參數(shù)λ和觀測(cè)序列O，定義二元函數(shù)γt(i,j)=P(xt=qi,xt+1=qj|O,λ)表示在t時(shí)刻由狀態(tài)qi轉(zhuǎn)換到t+1時(shí)刻的狀態(tài)qj的概率。這個(gè)二元函數(shù)可以用字母α和β重寫為

( 4 )

( 5 )

綜上，模型參數(shù)λ=(A,B,π)的訓(xùn)練過(guò)程為：

Step1捕獲CTCS無(wú)線通信系統(tǒng)數(shù)據(jù)包，解釋數(shù)據(jù)包，提取除用戶數(shù)據(jù)以外的所有信息。

Step2模擬需要檢測(cè)的CTCS無(wú)線通信系統(tǒng)的各種入侵方式。

Step3利用Forward-Backward算法計(jì)算觀測(cè)值序列概率P(O|λ)。

Step4用Baum-Welch算法評(píng)估參數(shù)A、B、π。

Step5再次利用Forward-Backward算法計(jì)算觀測(cè)值序列概率，如果收斂則停止，否則重新用Baum-Welch算法評(píng)估參數(shù)，直至收斂。

訓(xùn)練過(guò)程見(jiàn)圖4。

圖4 模型訓(xùn)練過(guò)程

2.4 閾值的確定

CTCS無(wú)線網(wǎng)絡(luò)入侵檢測(cè)的性能與閾值的選擇相關(guān)：如果閾值過(guò)大，檢測(cè)率提高，但是錯(cuò)誤率隨之提高；如果閾值過(guò)小，錯(cuò)誤率降低，但檢測(cè)率隨之降低。因此，如何確定閾值，需要綜合考慮入侵檢測(cè)率和錯(cuò)誤率兩個(gè)因素。有兩種方式來(lái)確定閾值。

第一種方式是在訓(xùn)練階段，計(jì)算每一個(gè)觀測(cè)序列的觀測(cè)值序列概率P(O|λ)，在所有的計(jì)算值中選擇最小值當(dāng)作閾值。當(dāng)訓(xùn)練完成進(jìn)入實(shí)際檢測(cè)時(shí)，計(jì)算檢測(cè)到的所有觀測(cè)序列的P(O|λ)，逐一與訓(xùn)練階段設(shè)定的閾值比較。如果P(O|λ)小于閾值，那么此觀測(cè)序列即為異常序列；如果P(O|λ)大于閾值，則為正常序列。該閾值確定方法的優(yōu)點(diǎn)是過(guò)程比較簡(jiǎn)單，缺點(diǎn)是該方法對(duì)系統(tǒng)的訓(xùn)練環(huán)境要求比較嚴(yán)格：要求參加訓(xùn)練的所有數(shù)據(jù)必須是正常的；在訓(xùn)練過(guò)程中，閾值不能更新。

第二種方式是利用試驗(yàn)結(jié)果動(dòng)態(tài)調(diào)整閾值。在利用隱馬爾可夫模型檢測(cè)在正常情況下的網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，可以得到一系列的觀測(cè)序列的P(O|λ)。由于是在正常情況下檢測(cè)到的，因此閾值一定會(huì)比所有的P(O|λ)小，這樣就可以初步確定P(O|λ)的范圍。當(dāng)有非法入侵的情況發(fā)生時(shí)，逐一計(jì)算每一個(gè)觀測(cè)序列的P(O|λ)，由于此時(shí)是在入侵檢測(cè)過(guò)程中，并不保證所有序列的正常性，因此，有一小部分的P(O|λ)小于閾值，該部分比例的具體數(shù)值可以通過(guò)計(jì)算獲得，這樣就能動(dòng)態(tài)調(diào)整閾值的取值。這種方式的優(yōu)點(diǎn)是精度比較高，然而，由于在實(shí)際中不可能模擬全部的入侵形式，所以這種方式同樣也會(huì)存在誤差。

3 CTCS無(wú)線通信系統(tǒng)入侵檢測(cè)系統(tǒng)設(shè)計(jì)

試驗(yàn)檢測(cè)系統(tǒng)包括1個(gè)控制臺(tái)、1臺(tái)服務(wù)器、1個(gè)模擬攻擊者、3個(gè)無(wú)線數(shù)據(jù)采集器、2列追蹤列車、2個(gè)基站收發(fā)臺(tái)(Base Transceiver Station，BTS)、1個(gè)基站控制器(Base Station Controller，BSC)、1個(gè)移動(dòng)交換中心(Mobile Switching Center，MSC)、1個(gè)無(wú)線閉塞中心(Radio Block Center，RBC)等部分，見(jiàn)圖5。

圖5 攻擊檢測(cè)系統(tǒng)結(jié)構(gòu)

模型攻擊者由配備與CTCS無(wú)線通信系統(tǒng)相適應(yīng)的PC構(gòu)成，模擬攻擊者可能使用的攻擊軟件包括Void11 tool、File2air tool、Airjack、KisMAC、WEPWedgie、aircrack-ng、MDK3等Linux系統(tǒng)平臺(tái)上的攻擊軟件。無(wú)線數(shù)據(jù)采集器用于捕獲無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)包，其數(shù)據(jù)由GSM-R定時(shí)提供，其中GSM-R每隔一定時(shí)間向采集器1發(fā)送一組列車1的實(shí)時(shí)數(shù)據(jù)，向采集器2發(fā)送一組模擬攻擊者數(shù)據(jù)，向采集器3發(fā)送一組列車2的數(shù)據(jù)。服務(wù)器管理多個(gè)無(wú)線數(shù)據(jù)采集器采集到的數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)，分析網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)現(xiàn)數(shù)據(jù)包解析、訓(xùn)練模塊、異常檢測(cè)等功能。控制臺(tái)連接服務(wù)器，用于顯示和控制。BTS完成無(wú)線通信網(wǎng)絡(luò)和列車之間的通信和管理功能。BSC為基站子系統(tǒng)的控制和管理部分，負(fù)責(zé)完成無(wú)線網(wǎng)絡(luò)管理、無(wú)線資源管理及無(wú)線基站的監(jiān)視管理，控制移動(dòng)臺(tái)與BTS無(wú)線連接的建立、持續(xù)和拆除等管理。MSC完成網(wǎng)絡(luò)中基本的交換功能，實(shí)現(xiàn)列車與RBC之間的通信連接。RBC為一個(gè)安全計(jì)算機(jī)系統(tǒng)，它根據(jù)來(lái)自外部信號(hào)系統(tǒng)(如聯(lián)鎖設(shè)備)的信息，以及與車載設(shè)備交換的列車位置和完整性報(bào)告，生成列車移動(dòng)授權(quán)信息，以保證列車在無(wú)線閉塞中心的管轄范圍內(nèi)安全運(yùn)行。

在圖5的結(jié)構(gòu)中，CTCS無(wú)線通信系統(tǒng)入侵檢測(cè)的核心功能集中于服務(wù)器中，服務(wù)器功能模塊的處理過(guò)程見(jiàn)圖6。

圖6 服務(wù)器處理過(guò)程

4 試驗(yàn)結(jié)果分析

4.1 CTCS無(wú)線通信系統(tǒng)正常狀態(tài)的模擬

利用隱馬爾可夫模型檢測(cè)CTCS無(wú)線通信系統(tǒng)的入侵，首先必須通過(guò)訓(xùn)練來(lái)確定在正常情況下的模型參數(shù)。由于正常情況下CTCS無(wú)線通信系統(tǒng)中存在高速大容量的數(shù)據(jù)交互，為了不失一般性，我們?cè)趯?shí)驗(yàn)室環(huán)境下收集了7 d的網(wǎng)絡(luò)數(shù)據(jù)包，每天隨機(jī)捕獲48次(平均每30 min捕獲一次)，每次捕獲當(dāng)CTCS無(wú)線通信系統(tǒng)在正常情況下的 256個(gè)數(shù)據(jù)包。

試驗(yàn)過(guò)程中，兩列列車均用仿真機(jī)代替，試驗(yàn)檢測(cè)系統(tǒng)的其他設(shè)備都是真實(shí)設(shè)備。入侵檢測(cè)主要在服務(wù)器中完成，服務(wù)器硬件配置：處理器為8核；內(nèi)存為16 GB；網(wǎng)絡(luò)連接為1 000 Mbit/s。服務(wù)器運(yùn)行參數(shù)如表4所示。

表4 參數(shù)設(shè)置

在整個(gè)過(guò)程中，必須確保CTCS無(wú)線通信系統(tǒng)沒(méi)有被入侵。然后，編輯兩種常見(jiàn)的攻擊(Flood攻擊和Spoof攻擊)腳本，入侵CTCS無(wú)線通信系統(tǒng)。最后用經(jīng)過(guò)訓(xùn)練的隱馬爾可夫模型對(duì)模型的正確性和可靠性進(jìn)行分析。

將觀測(cè)值以時(shí)間為序排列為一個(gè)T元序列O={o1,o2,…,oT}，在這里，取T=256(T可根據(jù)情況自行設(shè)計(jì))，見(jiàn)圖7。

圖7 觀測(cè)序列的獲得

得出正常狀態(tài)下的隱馬爾可夫模型后，需要對(duì)模型進(jìn)行驗(yàn)證。在試驗(yàn)中，一共輸入6個(gè)觀測(cè)序列至隱馬爾可夫模型中進(jìn)行計(jì)算，其中o1、o2、o3是訓(xùn)練模型出現(xiàn)過(guò)的觀測(cè)序列，o4、o5、o6是訓(xùn)練模型未出現(xiàn)過(guò)的序列。o4、o5、o6也有其代表特征：序列o4雖然未被訓(xùn)練，但是其中有個(gè)別的狀態(tài)轉(zhuǎn)移在訓(xùn)練序列中出現(xiàn)過(guò)；序列o5中所有的狀態(tài)轉(zhuǎn)移均未被訓(xùn)練；序列o6則由從未出現(xiàn)過(guò)的狀態(tài)組成。計(jì)算概率如表5所示。由于計(jì)算概率數(shù)值一般都比較小，為了記錄方便，取計(jì)算概率數(shù)值的自然對(duì)數(shù)(即lnP)。因此，計(jì)算概率數(shù)值越大表明實(shí)際概率越大，說(shuō)明越匹配；相反，計(jì)算概率數(shù)值越小則表明實(shí)際概率越小，說(shuō)明越不匹配。

表5 計(jì)算概率數(shù)值

可以看出，模型通過(guò)算法能夠計(jì)算出序列和模型的匹配程度，且區(qū)分度較高，按序列跟模型的相似程度，會(huì)得出不同的計(jì)算概率。還可以看出，訓(xùn)練過(guò)的序列計(jì)算概率一般大于e-20，因此，閾值可以設(shè)置為e-20：小于e-20表示與模型不匹配，即發(fā)生入侵；大于e-20表示與模型相匹配，未發(fā)生入侵。

根據(jù)閾值的設(shè)置，可以在CTCS無(wú)線網(wǎng)絡(luò)正常狀態(tài)下，利用無(wú)線數(shù)據(jù)采集器將無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)傳輸至服務(wù)器，對(duì)數(shù)據(jù)包進(jìn)行處理，得到觀測(cè)序列值，將觀測(cè)序列值放入訓(xùn)練后的隱馬爾可夫模型中進(jìn)行計(jì)算，可得到匹配概率，截取部分檢測(cè)數(shù)據(jù)見(jiàn)圖8。

圖8 CTCS無(wú)線網(wǎng)絡(luò)正常狀態(tài)下概率匹配曲線

4.2 Flood攻擊檢測(cè)

試驗(yàn)?zāi)MFlood攻擊的步驟如下：

Step1監(jiān)聽整個(gè)無(wú)線網(wǎng)絡(luò)，當(dāng)發(fā)現(xiàn)有正常的列車車載設(shè)備(圖1中的發(fā)送方)需要建立鏈接而發(fā)出AU1數(shù)據(jù)包時(shí)，在模擬攻擊者中立即偽造出大量的AU2數(shù)據(jù)包，其中的信息可以隨機(jī)生成，在試驗(yàn)CTCS無(wú)線通信系統(tǒng)內(nèi)發(fā)送出去。

Step2地面設(shè)備(圖1中的接收方)同時(shí)接收到來(lái)自合法的列車車載設(shè)備和模擬攻擊者的大量AU2數(shù)據(jù)包，會(huì)占用大量的系統(tǒng)資源進(jìn)行校驗(yàn)和緩存，從而使得系統(tǒng)性能迅速降低。

利用無(wú)線數(shù)據(jù)采集器將無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)傳輸至服務(wù)器，對(duì)數(shù)據(jù)包進(jìn)行處理，得到觀測(cè)序列值，將觀測(cè)序列值放入訓(xùn)練后的隱馬爾可夫模型中進(jìn)行計(jì)算，可以得到匹配概率，截取部分攻擊檢測(cè)數(shù)據(jù)見(jiàn)圖9。

圖9 Flood攻擊檢測(cè)概率匹配曲線

可以看出，除了在開始建立鏈接的時(shí)候，有少量匹配概率處于非正常的情況外，在網(wǎng)絡(luò)正常情況下匹配概率值都大于閾值e-20。當(dāng)模擬攻擊者在時(shí)間t=30 s時(shí)，網(wǎng)絡(luò)發(fā)生攻擊，網(wǎng)絡(luò)的狀態(tài)出現(xiàn)明顯的變化，匹配概率值迅速下降，并且一直小于閾值e-20，說(shuō)明網(wǎng)絡(luò)狀態(tài)出現(xiàn)明顯的異常，檢測(cè)到了攻擊。

在試驗(yàn)過(guò)程中，可以對(duì)閾值進(jìn)行調(diào)整，觀測(cè)閾值的變化對(duì)檢測(cè)結(jié)果的影響，從而驗(yàn)證參數(shù)對(duì)性能指標(biāo)所起的作用，這些性能指標(biāo)主要是模型誤檢率和漏檢率，如表6所示。

表6 Flood攻擊模型誤檢率和漏檢率

可以看出，誤檢率和漏檢率均低于5%，維持在較低的水平。

4.3 Spoof攻擊檢測(cè)

試驗(yàn)?zāi)MSpoof攻擊的步驟如下：

Step1由于斷開鏈接請(qǐng)求具有較高優(yōu)先級(jí)，當(dāng)某一列車車載設(shè)備已經(jīng)與地面設(shè)備建立鏈接后，模擬攻擊者偽裝成該列車車載設(shè)備發(fā)送DI數(shù)據(jù)包。

Step2地面設(shè)備接收到來(lái)自合法列車車載設(shè)備的DT數(shù)據(jù)包，以及來(lái)自模擬攻擊者的DI數(shù)據(jù)包，由于處理DI數(shù)據(jù)包的優(yōu)先級(jí)比DT數(shù)據(jù)包要高，因此地面設(shè)備將鏈接斷開，此時(shí)需要重新建立鏈接才能繼續(xù)通信。

Step3模擬攻擊者不斷發(fā)送偽造的DI數(shù)據(jù)包，使得合法設(shè)備一直不能成功建立鏈接。

利用4.2節(jié)同樣的方法截取部分攻擊檢測(cè)數(shù)據(jù)見(jiàn)圖10。

圖10 Spoof攻擊檢測(cè)概率匹配曲線

可以看出，當(dāng)模擬攻擊者在時(shí)間t=30 s后，檢測(cè)到了攻擊，結(jié)果與4.2節(jié)類似。對(duì)閾值進(jìn)行調(diào)整，可以得到表7所示的模型誤檢率和漏檢率。

表7 Spoof攻擊模型誤檢率和漏檢率

由于在試驗(yàn)中Spoof攻擊利用的是DI數(shù)據(jù)包，與AU2數(shù)據(jù)包相比，其數(shù)據(jù)量少，因此相對(duì)來(lái)說(shuō)，檢測(cè)會(huì)容易一些。從結(jié)果也可以看出，誤檢率和漏檢率比Flood攻擊檢測(cè)試驗(yàn)要小，誤檢率和漏檢率均低于2%，有較好的正確性和可靠性。

5 結(jié)論

本文利用隱馬爾可夫建模對(duì)CTCS無(wú)線通信系統(tǒng)進(jìn)行了入侵檢測(cè)，建立了系統(tǒng)模型，在CTCS無(wú)線通信系統(tǒng)正常情況時(shí)對(duì)模型參數(shù)A、B、π進(jìn)行了訓(xùn)練，并確定了閾值。通過(guò)對(duì)常見(jiàn)攻擊方式的模擬，對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了仿真試驗(yàn)，分析了檢測(cè)結(jié)果的正確性和可靠性，驗(yàn)證了系統(tǒng)入侵檢測(cè)的效果和能力，證明了系統(tǒng)的價(jià)值和可行性。

從試驗(yàn)過(guò)程和結(jié)果來(lái)看，相對(duì)于以往的自動(dòng)機(jī)、Petri網(wǎng)方法，本文的方法在性能上至少具有2個(gè)優(yōu)勢(shì)：①本文算法可以通過(guò)訓(xùn)練，適應(yīng)檢測(cè)多種不同類型的攻擊，而以往的模型檢驗(yàn)都需要對(duì)特定的場(chǎng)景分別建模，并不具有一般性；②本文方法實(shí)現(xiàn)成本更低，因?yàn)樗恍枰獙?duì)現(xiàn)有地面和車載系統(tǒng)做任何修改，只需要定時(shí)從GSM-R中采集數(shù)據(jù)即可。

需要指出的是，本文方法針對(duì)的是CTCS無(wú)線通信系統(tǒng)安全層數(shù)據(jù)包，并沒(méi)有涉及網(wǎng)絡(luò)的底層協(xié)議。另外，沒(méi)有考慮不同應(yīng)用環(huán)境和網(wǎng)絡(luò)結(jié)構(gòu)對(duì)結(jié)果的影響；在模型參數(shù)的訓(xùn)練中，由于矩陣規(guī)模較大而導(dǎo)致計(jì)算速度慢也是需要改進(jìn)的方面，這些都是后續(xù)工作需要研究的內(nèi)容。