王俊彥 衣 然 張 斌 車聰聰 馬 超

(1.中車青島四方機車車輛股份有限公司， 266111， 青島； 2.華北計算機系統(tǒng)工程研究所， 100083，北京∥第一作者， 高級工程師)

《中華人民共和國網(wǎng)絡(luò)安全法》明確了對于涉及公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)[1]。CBTC(基于通信的列車控制)是城市軌道交通的核心系統(tǒng)之一，包括ATS(列車自動監(jiān)控)、MSS(維護(hù)支持系統(tǒng))等多個子系統(tǒng)[2]。隨著工業(yè)互聯(lián)網(wǎng)時代的到來，CBTC各個子系統(tǒng)互聯(lián)互通的程度越來越高，各子系統(tǒng)間的信息安全也逐漸開始受到行業(yè)和相關(guān)管理部門(包括中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室、公安部、工業(yè)和信息化部等)的高度重視。傳統(tǒng)的安全防護(hù)設(shè)備往往關(guān)注的是信號系統(tǒng)的流量安全，而忽視了更底層的信號采集端的安全，因此，及時檢測出信號采集過程中的惡意流量并進(jìn)行報警，對于城市軌道交通信號系統(tǒng)來說尤為重要。

1 入侵檢測技術(shù)概念

近年來，針對CBTC系統(tǒng)這類關(guān)鍵基礎(chǔ)設(shè)施的攻擊大多為APT(高級可持續(xù)攻擊)。攻擊者通過注入大量虛假數(shù)據(jù)來隱藏自己的攻擊[3]，同時控制受損的傳感器值，使其大致保持在噪聲水平之內(nèi)。這樣，對噪聲不敏感的故障檢測裝置或本身性能存在異常的檢測裝置就很難檢測到這種隱藏在噪聲中的惡意攻擊。

入侵檢測是實時監(jiān)測網(wǎng)絡(luò)中的流量，在出現(xiàn)異常問題時進(jìn)行相應(yīng)處理的一種網(wǎng)絡(luò)安全技術(shù)[4]。如圖1所示，傳統(tǒng)入侵檢測主要分為信息收集、系統(tǒng)辨識、威脅處理3個步驟[5]，在完成信息收集后，通過模式匹配、統(tǒng)計與完整性分析等系統(tǒng)辨識方式，建立物理過程的線性動態(tài)狀態(tài)空間模型，經(jīng)過預(yù)測和更新這兩個計算過程來判斷系統(tǒng)是否含有惡意攻擊流量。雖然這樣的方法可能會檢測到異常行為，但其檢測模型很難建立，需要在初始階段付出大量的人力，而且建立的物理模型并不一定適用于城市軌道交通系統(tǒng)。因此，本文嘗試使用一種新的入侵檢測方法，不需要建立線性動態(tài)狀態(tài)空間模型，而是只關(guān)注CBTC系統(tǒng)中現(xiàn)場傳感器的采樣狀態(tài)變化，通過檢測傳感器當(dāng)前的讀數(shù)是否因生成機制的變化而偏離了過去的讀數(shù)，來判斷CBTC系統(tǒng)中是否有異常行為。

a) 傳統(tǒng)入侵檢測流程

本文提出的新型入侵檢測技術(shù)是一種輕量、快速、無模型的進(jìn)程級檢測技術(shù)，能夠檢測傳感器信號中的細(xì)微變化，大大增加了檢測出策略性攻擊者的可能性。其工作機制是：首先通過一個訓(xùn)練階段學(xué)習(xí)傳感器測量時間序列中記錄的正常行為，再從正常工作的傳感器測量時間序列中提取降噪信號信息，最后主動檢查當(dāng)前提取的信號是否與歷史值產(chǎn)生偏離，從而判斷系統(tǒng)中是否混合了惡意流量。為了提取信號信息，新型入侵檢測技術(shù)借鑒了SSA(奇異譜分析)概念來提取信號信息[6]，通過識別1個信號子空間并進(jìn)行計算，然后將計算結(jié)果與預(yù)估的結(jié)果進(jìn)行對比，如果結(jié)果不一致，則表明生成時間序列的機制可能發(fā)生了變化，被測系統(tǒng)可能受到攻擊。

2 新型入侵檢測技術(shù)工作過程

如圖2所示，在CBTC系統(tǒng)信號提取過程中經(jīng)過了嵌入、奇異值分解、分組、重構(gòu)4個步驟。具體工作過程如下：第一步，將傳感器測量的時間序列嵌入到歐幾里得空間中[7]；第二步，對從時間序列數(shù)據(jù)得出的特殊矩陣進(jìn)行頻譜分解，以提取系統(tǒng)行為的確定性部分；第三步，識別信號子空間，并將與正常操作條件下的傳感器測量值相對應(yīng)的矢量投影到該子空間上，以獲得正常過程行為的表示；第四步，系統(tǒng)會跟蹤偏離分?jǐn)?shù)，以確定該過程是否偏離正常狀態(tài)。

圖2 SSA技術(shù)流程圖Fig.2 Technical flowchart of SSA

2.1 嵌入

設(shè)xi為滯后向量。L為整數(shù)，作為xi的滯后參數(shù)，然后通過形成K個長度為N的滯后向量T，使之作為初始子序列，嵌入L維歐幾里得空間RL中，T∈L，則有：

xi=[xi,xi+1,…,xi+L-1]T

(1)

式(1)中，1≤i≤K，K=N-L+1。構(gòu)造軌跡矩陣X,X的每一列均是滯后向量：

(2)

2.2 奇異值分解

為了提取用以描述CBTC系統(tǒng)確定性行為的降噪信號信息，對X進(jìn)行奇異值分解后可得到l個特征向量u1,u2,…,ul，組成滯后協(xié)方差矩陣XXT。然后，計算時間序列的統(tǒng)計個數(shù)r，判斷確定性與變異性的自由度數(shù)。

2.3 信號子空間上的投影

在獲得信號信息之后，在第三個步驟中，識別正常過程行為的數(shù)學(xué)表示。設(shè)有r個前導(dǎo)特征值，U是l×r矩陣，其列是r個特征向量u1,u2,…,ur。由此可知，lr是U的列向量所跨越的子空間。計算xi的樣本均值c：

(3)

(4)

其中，P為投影矩陣,P=U(UTU)-1UT=UUT。

2.4 距離追蹤

(5)

設(shè)θ為系統(tǒng)設(shè)置的報警閾值。當(dāng)Dj≥θ時，將生成報警信息。設(shè)τ是惡意流量攻擊的開始時間，則在(n+1,τ-1)這個時間段內(nèi)，通過對比正常狀態(tài)下觀測值和攻擊開始前的觀測值，可計算得到正常流量下偏離分?jǐn)?shù)的最大值，以有效避免正常流量擾動產(chǎn)生的誤報。

3 CBTC系統(tǒng)入侵檢測仿真試驗

如圖3所示，CBTC被廣泛運用于城市軌道交通系統(tǒng)中，可以實現(xiàn)車-地之間的雙向通信[8]。CBTC的核心為ATP (列車自動防護(hù))、ATO(列車自動運行)兩個子系統(tǒng)，這兩個子系統(tǒng)分別用以處理列車超速防護(hù)、車門開關(guān)、列車制動等列車運行控制，確保列車安全、高效運行[9]。

注：OCC——運營控制中心；DCS——數(shù)據(jù)通信子系統(tǒng)；CI——計算機聯(lián)鎖；ZC——區(qū)域控制器；DSU——數(shù)據(jù)存儲單元。圖3 CBTC系統(tǒng)結(jié)構(gòu)圖Fig.3 Diagram of CBTC system structure

3.1 搭建試驗環(huán)境

如圖4所示，本次試驗中使用的硬件設(shè)備包括2臺計算機(PC1、PC2)、1個具有鏡像功能的交換機和1臺路由器。其中：PC1用于安裝科萊數(shù)據(jù)重放軟件，模擬CBTC系統(tǒng)運行，產(chǎn)生運行數(shù)據(jù)；PC2作為安全管理終端，運行入侵檢測程序，采集并檢測數(shù)據(jù)。

圖4 試驗環(huán)境網(wǎng)絡(luò)拓?fù)鋱DFig.4 Network topology of test environment

3.2 試驗過程

本次試驗中，使用某地鐵線路CBTC系統(tǒng)采集到的真實鏡像數(shù)據(jù)，數(shù)據(jù)采集耗時10 d。作為仿真試驗的數(shù)據(jù)，在數(shù)據(jù)重放之前，先對流量數(shù)據(jù)進(jìn)行檢測和處理，并將數(shù)據(jù)分為3個部分。其中：第一部分?jǐn)?shù)據(jù)為正常流量數(shù)據(jù)；第二部分?jǐn)?shù)據(jù)為攻擊流量數(shù)據(jù)，即在正常流量數(shù)據(jù)中混合的APT數(shù)據(jù)包，但該數(shù)據(jù)包只保留漏洞驗證程序，不會對系統(tǒng)產(chǎn)生影響；第三部分?jǐn)?shù)據(jù)為混合流量，正常流量數(shù)據(jù)中插入了APT流量，以此進(jìn)行試驗驗證。這些數(shù)據(jù)均存放在PC1中，由PC1進(jìn)行數(shù)據(jù)包的重放。PC2通過交換機的鏡像口采集試驗數(shù)據(jù)，并運行新型入侵檢測程序。

具體的試驗過程包括兩個部分：

1) 試驗一。PC1進(jìn)行正常流量數(shù)據(jù)重放，PC2進(jìn)行系統(tǒng)監(jiān)控，重放時間為24 h；

2) 試驗二。PC1進(jìn)行攻擊流量和混合流量數(shù)據(jù)重放，PC2進(jìn)行系統(tǒng)監(jiān)控，重放時間為24 h。

3.3 試驗結(jié)果

根據(jù)試驗的設(shè)定值θ，觀測入侵檢測程序的輸出值。在正常流量數(shù)據(jù)通過時，檢測到Dj<θ，系統(tǒng)未生成告警；在攻擊流量數(shù)據(jù)通過時，Dj≥θ，系統(tǒng)立即生成告警；在混合流量數(shù)據(jù)通過時，Dj≥θ，系統(tǒng)也生成告警，試驗達(dá)到了預(yù)期效果。重放最終監(jiān)測結(jié)果如表1所示，為方便計算，所有數(shù)值均已取整。

表1 試驗參數(shù)設(shè)定及其仿真輸出值Tab.1 Test parameter setting and simulation output value

4 結(jié)語

與傳統(tǒng)的IT(信息技術(shù))系統(tǒng)相比，城市軌道交通CBTC系統(tǒng)這類工業(yè)控制系統(tǒng)若受到網(wǎng)絡(luò)攻擊，可能會造成更為嚴(yán)重的損失和影響。本文提出了一種新型入侵檢測技術(shù)，對CBTC系統(tǒng)的底層數(shù)據(jù)進(jìn)行實時監(jiān)測，可精準(zhǔn)識別隱藏在正常流量中的惡意攻擊，這對于CBTC系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)具有重大意義[10]。如果在底層網(wǎng)絡(luò)設(shè)置該新型入侵檢測系統(tǒng)，在上層網(wǎng)絡(luò)部署其他安全設(shè)備和安全策略，CBTC系統(tǒng)的安全防護(hù)水平將會大大提高。