李 偉，陳 則，秦元慶，彭思維，楊小波

1(大功率交流傳動電力機車系統(tǒng)集成國家重點實驗室，湖南 株洲 412001)2(華中科技大學(xué) 人工智能與自動化學(xué)院，武漢 430074)3(中車株洲電力機車有限公司 智能網(wǎng)絡(luò)研發(fā)部，湖南 株洲 412001)

1 引 言

列車通信網(wǎng)絡(luò)[1]是列車控制系統(tǒng)的重要組成部分，目前正在從低速的專用總線網(wǎng)絡(luò)向兼容性、開放性更好的高速工業(yè)以太網(wǎng)發(fā)展，控制功能與服務(wù)功能進一步融合，在大幅提升網(wǎng)絡(luò)運行效率的同時，也引入了更大的信息安全風(fēng)險.

近年來，針對列車控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件頻發(fā)，安全形勢愈發(fā)嚴峻.2008年，波蘭城市地鐵遭受攻擊，導(dǎo)致部分車廂脫軌；2012年，深圳地鐵受乘客隨身Wi-Fi干擾，導(dǎo)致列車緊急制動.

列車控制系統(tǒng)的網(wǎng)絡(luò)安全防護問題引起了國內(nèi)外學(xué)者的廣泛關(guān)注和研究興趣.Chen等人[2]對城市鐵路環(huán)境中典型網(wǎng)絡(luò)系統(tǒng)進行安全分析，并展示了使用信息物理視角進行安全分析的必要性.Kim等人[3]分析了基于通信的列車控制系統(tǒng)的信息物理脆弱性，發(fā)現(xiàn)結(jié)合列車信號知識的中間人攻擊可以導(dǎo)致列車碰撞，并提出一個彈性對策.Zhu等人[4]對列車控制系統(tǒng)的干擾攻擊，從物理層、網(wǎng)絡(luò)層和管理層3個方面提出一個跨層防御管理方案.李賽飛等人[5]對我國高速鐵路信號系統(tǒng)的網(wǎng)絡(luò)安全問題進行全面分析，提出了一個網(wǎng)絡(luò)安全統(tǒng)一管理方案.張帆等人[6]研究了適用于列車運行控制系統(tǒng)的信息安全風(fēng)險評估方法，用于提出風(fēng)險管理建議.

總之，目前針對列車控制系統(tǒng)信息安全問題的研究工作，大多面向包括列車、信號系統(tǒng)、調(diào)度系統(tǒng)在內(nèi)的控制網(wǎng)絡(luò)，分析其脆弱性，提出相應(yīng)的靜態(tài)安全防護方案.針對列車(本體)通信網(wǎng)絡(luò)的動態(tài)安全防護研究尚不多見.

移動目標(biāo)防御(Moving Target Defense，MTD)是一種典型的主動安全防御策略，通過對防護對象的攻擊面進行持續(xù)性的動態(tài)改變，增大攻擊難度與攻擊成本，提高系統(tǒng)彈性和安全性，改變了網(wǎng)絡(luò)安全易攻難守形勢[7].本文借鑒Chunjie Zhou等人提出的工控系統(tǒng)容忍入侵的閉環(huán)安全控制思想[8]，以列車以太網(wǎng)通信網(wǎng)絡(luò)作為安全防護對象，在分析其脆弱性和面臨的外部威脅基礎(chǔ)上，結(jié)合其兩級冗余結(jié)構(gòu)特點，提出一種基于MTD的閉環(huán)動態(tài)安全防護方法，提高列車通信網(wǎng)絡(luò)的可用性.

2 列車通信網(wǎng)絡(luò)的結(jié)構(gòu)分析

傳統(tǒng)的列車通信網(wǎng)絡(luò)多采用總線通信技術(shù)，相對封閉.為了滿足日益提升的控制與服務(wù)需求，工業(yè)以太網(wǎng)技術(shù)被引入到列車通信網(wǎng)絡(luò)中.典型的列車以太網(wǎng)通信網(wǎng)絡(luò)(本文僅研究列車以太網(wǎng)通信網(wǎng)絡(luò)，以下簡稱為列車通信網(wǎng)絡(luò))如圖1所示.

圖1 列車通信網(wǎng)絡(luò)結(jié)構(gòu)

TCN為列車級網(wǎng)絡(luò)和編組級網(wǎng)絡(luò)兩級結(jié)構(gòu)：以太網(wǎng)列車骨干網(wǎng)(Ethernet Train Backbone，ETB)與以太網(wǎng)編組網(wǎng)(Ethernet Consist Network，ECN)，該兩級結(jié)構(gòu)便利于列車編組的重聯(lián)與解編.網(wǎng)絡(luò)初始化時，使用列車拓撲發(fā)現(xiàn)協(xié)議(Train Topology Discovery Protocol，TTDP)完成ETB的網(wǎng)絡(luò)拓撲發(fā)現(xiàn)和相關(guān)配置；ECN的網(wǎng)絡(luò)配置相對固化，配置后一般不再改變.網(wǎng)絡(luò)終端設(shè)備是列車控制與服務(wù)功能的實際執(zhí)行組件，主要包括顯示器(HMI)、車輛控制單元(VCM)、事件記錄儀(ERM)、無線傳輸裝置(WTD)、車載智能中心(VOBI)和輸入輸出單元(RIOM)等.

列車控制系統(tǒng)是安全關(guān)鍵系統(tǒng)，對TCN網(wǎng)絡(luò)的可靠性和可用性有很高的要求.ETB一般采用物理鏈路冗余技術(shù)來提高網(wǎng)絡(luò)的可靠性，每兩個節(jié)點之間可包含1到4條全雙工100BASETX線；ETB還可通過鏈路聚合實現(xiàn)冗余，既可充分利用多條鏈路帶寬，又可在部分鏈路故障時繼續(xù)工作.ECN一般采用環(huán)網(wǎng)冗余技術(shù)增強網(wǎng)絡(luò)的可靠性和容錯性，網(wǎng)絡(luò)終端設(shè)備通過雙網(wǎng)口連接到兩個以太網(wǎng)編組網(wǎng)節(jié)點(ECNN)，當(dāng)一條鏈路故障時可以切換到備用鏈路.ECN通過兩個以太網(wǎng)列車骨干網(wǎng)節(jié)點(ETBN)連接到ETB，且分別為主動的和被動的.主動的ETBN可以在ETB與ECN之間轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)，被動的ETBN則不能.一旦主動的ETBN故障，被動的ETBN會切換為主動狀態(tài)，保障ECN與ETB之間的數(shù)據(jù)通信.

3 列車通信網(wǎng)絡(luò)安全風(fēng)險分析

本節(jié)從TCN自身的脆弱性和面臨的外部威脅兩個方面來分析TCN的信息安全風(fēng)險：

1)脆弱性分析

·結(jié)構(gòu)脆弱性：環(huán)網(wǎng)冗余的網(wǎng)絡(luò)結(jié)構(gòu)，若冗余管理功能失效，將引發(fā)廣播風(fēng)暴，導(dǎo)致整個網(wǎng)絡(luò)癱瘓；

·設(shè)備脆弱性：網(wǎng)絡(luò)設(shè)備或終端設(shè)備自身存在漏洞，固件更新或漏洞修復(fù)滯后；

·協(xié)議脆弱性：列車實時數(shù)據(jù)協(xié)議(train real-time data protocol，TRDP)基于UDP/TCP明文傳輸報文，繼承了TCP/UDP協(xié)議棧的漏洞.

2)外部攻擊威脅分析

列車運行時，TCN對外主要有兩個流量入口，1)車載Wi-Fi；2)車-地?zé)o線通信網(wǎng)絡(luò).TCN對外暴露的無線網(wǎng)絡(luò)，為攻擊行為的實施提供了可能.

列車通過Wi-Fi網(wǎng)絡(luò)為乘客提供信息服務(wù)功能，使用手機等終端設(shè)備即可連接車載Wi-Fi網(wǎng)絡(luò).雖然支持該功能的服務(wù)網(wǎng)絡(luò)采用VLAN技術(shù)與控制網(wǎng)絡(luò)進行了邏輯隔離，但兩個網(wǎng)絡(luò)共享一套網(wǎng)絡(luò)設(shè)備，攻擊者能夠從服務(wù)網(wǎng)絡(luò)發(fā)起攻擊，侵占網(wǎng)絡(luò)帶寬資源甚至滲透至控制網(wǎng)絡(luò)，篡改運行指令或數(shù)據(jù)，破壞列車控制系統(tǒng)的正常運行，引發(fā)安全事故.

車-地?zé)o線通信是TCN另一可能攻擊入口.由于無線網(wǎng)絡(luò)的廣播特性，任意人員都可能接入無線網(wǎng)絡(luò).針對該無線網(wǎng)絡(luò)有3種可能的攻擊：1)信號干擾攻擊，即在物理上干擾列車與地面設(shè)備之間數(shù)據(jù)傳輸，影響其正常工作；2)拒絕服務(wù)攻擊，耗盡網(wǎng)絡(luò)資源，延遲通信；3)中間人攻擊，操縱車-地通信中的關(guān)鍵數(shù)據(jù)，實施惡意行為.其中，第3種攻擊的難度最高，危害性也最大，且極易引發(fā)安全事故，造成重大人員、財產(chǎn)損失.例如，城市軌道交通中廣泛使用的基于通信的列車控制(Communication-Based Train Control，CBTC)系統(tǒng)，一般使用IEEE 802.11無線局域網(wǎng)進行車-地通信[9]，該無線網(wǎng)絡(luò)極易遭受攻擊.攻擊者可通過該車-地通信接入點逐步滲透，進行網(wǎng)絡(luò)嗅探、端口掃描、漏洞利用乃至發(fā)動攻擊，形成一個完整的攻擊鏈.

由上述分析可知，TCN在設(shè)計上重點考慮了網(wǎng)絡(luò)功能的可靠性和容錯性，但對網(wǎng)絡(luò)安全的防護考慮不足，在結(jié)構(gòu)、設(shè)備、協(xié)議等方面存在安全漏洞；而控制網(wǎng)絡(luò)與服務(wù)網(wǎng)絡(luò)的融合以及無線通信技術(shù)的使用，使系統(tǒng)面臨的巨大的信息安全風(fēng)險.

4 列車通信網(wǎng)絡(luò)閉環(huán)動態(tài)安全防護框架

當(dāng)前TCN的網(wǎng)絡(luò)安全防護，多采用靜態(tài)安全策略，如在網(wǎng)絡(luò)邊界部署防火墻、網(wǎng)閘等訪問控制設(shè)備，對控制域、維護域和服務(wù)域進行VLAN分區(qū)等.攻擊者一旦突破此類靜態(tài)防御措施，進入TCN內(nèi)部后，列車控制系統(tǒng)缺乏進一步的安全響應(yīng)能力.

因此，本文在充分考慮TCN的結(jié)構(gòu)冗余特征和分布計算與控制能力的基礎(chǔ)上，提出一種針對TCN的閉環(huán)動態(tài)安全防護框架，通過增強TCN的入侵檢測與安全響應(yīng)能力，提高攻擊難度和攻擊成本，保障TCN的可用性.

安全防護框架包括混合入侵檢測和動態(tài)安全防護兩大模塊，如圖2虛線框中所示，入侵檢測結(jié)果作為被動安全響應(yīng)的觸發(fā)條件.本小節(jié)僅簡單介紹混合入侵檢測設(shè)計原理，動態(tài)安全防護方案將在下一小節(jié)詳細介紹.

圖2 TCN閉環(huán)動態(tài)安全防護框架

入侵檢測系統(tǒng)按照檢測技術(shù)可分為誤用檢測和異常檢測[10]，基于規(guī)則的誤用檢測算法所需計算資源少，檢測速度快，但不能檢測未知攻擊；基于機器學(xué)習(xí)的異常檢測能夠檢測未知攻擊，但計算復(fù)雜度高，模型訓(xùn)練時間長，且有較高的誤報率.本文根據(jù)TCN結(jié)構(gòu)特征，設(shè)計一種綜合誤用檢測與異常檢測的混合入侵檢測系統(tǒng)，如圖3所示，使檢測系統(tǒng)能夠兼顧檢測效率和未知攻擊.

圖3 混合入侵檢測系統(tǒng)結(jié)構(gòu)圖

因入侵檢測算法的設(shè)計工作已在本文研究團隊前期研究工作中詳細闡述(文獻[10])，并不是本文的主要貢獻，不再詳細展開.本文旨在闡述兩種檢測算法在TCN中的協(xié)同關(guān)系及部署方式，針對性地設(shè)計出適用于TCN的混合入侵檢測系統(tǒng)總體結(jié)構(gòu).

1)基于規(guī)則匹配的誤用檢測

TCN中ETBN和ECNN是車載網(wǎng)管交換機，是列車數(shù)據(jù)的匯聚交換節(jié)點，也是TCN安全防護的關(guān)鍵節(jié)點，一般具備二次開發(fā)和有限的計算能力.本文在ETBN和ECNN上嵌入設(shè)計基于Snort的網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network Intrusion Detection System，NIDS)，并擴展TRDP協(xié)議的檢測規(guī)則，實現(xiàn)對已知攻擊類型的快速檢測與隔離，并將檢測告警信息上傳到列車安全中心.

2)基于機器學(xué)習(xí)的異常檢測

在列車安全主機上設(shè)計基于PSO-OCSVM(Particle Swarm Optimization，PSO，One Class Support Vector Machine，OCSVM)的異常檢測算法，對通過NIDS檢測的合規(guī)報文和告警數(shù)據(jù)進行訓(xùn)練學(xué)習(xí)，挖掘網(wǎng)絡(luò)行為特征，建立系統(tǒng)運行安全基線，用于檢測未知類型攻擊，形成與誤用檢測的互補，提高入侵檢測精度.

防護框架中入侵檢測系統(tǒng)僅為動態(tài)安全防護模塊提供觸發(fā)條件，即混合式入侵檢測結(jié)果輸出到動態(tài)安全防護模塊，觸發(fā)基于MTD的被動安全響應(yīng).

5 基于MTD的TCN動態(tài)安全防護方法

5.1 移動目標(biāo)防御技術(shù)

傳統(tǒng)網(wǎng)絡(luò)的確定性、靜態(tài)性和同構(gòu)性，使得網(wǎng)絡(luò)攻擊者在時間、信息和成本上具有優(yōu)勢，防御方始終處于被動的劣勢地位，這是網(wǎng)絡(luò)易攻難守的根本原因.移動目標(biāo)防御思想是在不影響被保護對象正常功能的前提下，主動增加其動態(tài)特性，以提升攻擊的難度和成本，或誘捕攻擊行為，從根本上改變被動防御的態(tài)勢.

依據(jù)在執(zhí)行棧中的位置層次，MTD技術(shù)可分為動態(tài)數(shù)據(jù)、動態(tài)軟件、動態(tài)運行時環(huán)境、動態(tài)平臺和動態(tài)網(wǎng)絡(luò)五大類[11].本文根據(jù)TCN的結(jié)構(gòu)冗余特性，采用動態(tài)網(wǎng)絡(luò)技術(shù)來實現(xiàn)動態(tài)安全防護.

動態(tài)網(wǎng)絡(luò)技術(shù)[12，13]包括：動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Dynamic Network Address Translation，DYNAT)、端口跳變(Port Hopping，PH)、網(wǎng)絡(luò)地址跳變(Network Address Hopping，NAH)和網(wǎng)絡(luò)拓撲變換(Network Topology Transformation，NTT)等.通過主動改變網(wǎng)絡(luò)地址、端口、拓撲結(jié)構(gòu)等，提高網(wǎng)絡(luò)的動態(tài)性和復(fù)雜性，使得攻擊者難以定位攻擊目標(biāo).拓撲變換不僅可以阻斷攻擊鏈，還可以將攻擊流量導(dǎo)入特定區(qū)域進行分析，開展攻擊溯源.

5.2 列車通信網(wǎng)絡(luò)MTD方案設(shè)計

本文提出一種基于MTD的TCN動態(tài)安全防護模塊，如圖4所示.MTD策略采用動態(tài)網(wǎng)絡(luò)技術(shù)來實現(xiàn)，設(shè)計兩種防御策略觸發(fā)機制：定時觸發(fā)的主動安全防御和入侵事件觸發(fā)的被動安全響應(yīng).

圖4 基于MTD的動態(tài)安全防護模塊

1)定時觸發(fā)的主動安全防御：動態(tài)安全防護模塊設(shè)計網(wǎng)絡(luò)變換定時器，在定時中斷中控制TCN網(wǎng)絡(luò)按照預(yù)定義的網(wǎng)絡(luò)變換時序執(zhí)行相應(yīng)的網(wǎng)絡(luò)拓撲變換和端址變換，將靜態(tài)的報文傳輸路徑變?yōu)閯討B(tài)的，提高攻擊者的網(wǎng)絡(luò)探測難度和成本.該變換機制要求對報文的收發(fā)雙方是透明的，且變換過程中增加的網(wǎng)絡(luò)延時滿足TCN網(wǎng)絡(luò)的實時性要求.

2)入侵事件觸發(fā)的被動安全響應(yīng)：入侵檢測系統(tǒng)的檢測結(jié)果是動態(tài)安全防護模塊的輸入，當(dāng)接收到入侵發(fā)生的報告后，安全防護模塊一方面將入侵事件以報警方式通知列車長，另一方面將遭受攻擊的通信鏈路從主動安全防御的變換時序中刪除，切斷攻擊鏈，以保障整個網(wǎng)絡(luò)的可用性，為入侵事件的處理贏得時間.

5.3 基于軟件定義網(wǎng)絡(luò)技術(shù)的MTD策略實現(xiàn)與仿真驗證

軟件定義網(wǎng)絡(luò)(Software Define Network，SDN)是一種新型網(wǎng)絡(luò)架構(gòu)，通過網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)的分離，實現(xiàn)網(wǎng)絡(luò)的靈活可控[14].本文設(shè)計的MTD安全策略可采用SDN技術(shù)來實現(xiàn)，具體實現(xiàn)方案如下：1)使能TCN的ETBN和ECNN網(wǎng)管交換機的SDN功能，將網(wǎng)絡(luò)控制權(quán)限上交給SDN中心控制器，自身僅保留數(shù)據(jù)轉(zhuǎn)發(fā)功能，實現(xiàn)網(wǎng)絡(luò)控制與數(shù)據(jù)轉(zhuǎn)發(fā)的分離；2)將運行異常檢測軟件的列車安全主機復(fù)用為SDN中心控制器，定時向ETBN和ECNN下發(fā)預(yù)定義的網(wǎng)絡(luò)動態(tài)變換控制流表，實現(xiàn)TCN網(wǎng)絡(luò)的主動動態(tài)變換；同時根據(jù)入侵檢測結(jié)果，刪除遭受攻擊的網(wǎng)絡(luò)流表，實現(xiàn)TCN網(wǎng)絡(luò)的被動安全響應(yīng).

為測試SDN實現(xiàn)的MTD策略對TCN通信實時性的影響和對入侵檢測事件的安全響應(yīng)能力，本文采用Mininet[15]仿真軟件，搭建了一個SDN仿真模型，如圖5所示.4個交換機S1、S2、S3與S4組成環(huán)網(wǎng)，模擬環(huán)網(wǎng)冗余的列車通信網(wǎng)絡(luò)，SDN中心控制器C0負責(zé)完成網(wǎng)絡(luò)的動態(tài)控制.

圖5 TCN仿真網(wǎng)絡(luò)

1)驗證IP地址跳變對TCN網(wǎng)絡(luò)時延的影響

通過對流表的更改，控制交換機在轉(zhuǎn)發(fā)報文時對報文中IP地址字段修改，實現(xiàn)網(wǎng)絡(luò)地址跳變.測試主機h1與主機h2之間在IP地址變換過程中的通信時延.測試結(jié)果如圖6所示，在IP跳變前h1和h2之間的網(wǎng)絡(luò)時延不超過0.15ms，IP地址跳變時產(chǎn)生一個時延峰值0.303ms，跳變結(jié)束后時延很快恢復(fù)至正常水平.IP地址跳變引起的時延增加不超過0.3ms，滿足TCN毫秒級的實時性要求.

2)驗證拓撲變換對于TCN網(wǎng)絡(luò)時延的影響

如圖5所示，拓撲變換前，交換機S4處于備用狀態(tài)，主機h1與主機h2之間的通信數(shù)據(jù)流路徑為S1-S2-S3這3個交換機；拓撲變換后，中心控制器對流表進行修改，使S2變?yōu)閭溆脿顟B(tài)，S4切換為工作狀態(tài)，數(shù)據(jù)流路徑變?yōu)镾1-S4-S3，實現(xiàn)拓撲變換.網(wǎng)絡(luò)時延測試結(jié)果如圖6所示，拓撲變換前時延不超過0.1ms，拓撲開始變換時產(chǎn)生一個時延峰值0.207ms，拓撲變換結(jié)束后時延恢復(fù)至變換前的水平，滿足TCN毫秒級的實時性要求.

圖6 IP地址跳變和網(wǎng)絡(luò)拓撲變換網(wǎng)絡(luò)時延曲線

3)驗證MTD策略對Dos攻擊的防御能力

在圖5所示TCN網(wǎng)絡(luò)中的交換機S2上接入攻擊節(jié)點，使用hping3攻擊工具，對TCN發(fā)起DoS攻擊.入侵檢測系統(tǒng)檢測到攻擊事件后，觸發(fā)SDN中心控制器的被動安全響應(yīng)，將S2攻擊接入端口相關(guān)流表從網(wǎng)絡(luò)動態(tài)變換時序表中刪除，對DoS攻擊流量進行阻斷，以保障TCN網(wǎng)絡(luò)的可用性.攻擊響應(yīng)過程中TCN的數(shù)據(jù)包速率變化曲線如圖7所示，攻擊節(jié)點發(fā)起TCP flood攻擊后，TCN數(shù)據(jù)包速率急劇上升；SDN接收到入侵檢測系統(tǒng)的攻擊事件告警后，更新S2的網(wǎng)絡(luò)控制流表，將TCP flood鏈路刪除后，TCN數(shù)據(jù)包速率恢復(fù)正常.

圖7 DoS攻防過程中包速率曲線

6 結(jié) 論

本文在深入分析列車通信網(wǎng)絡(luò)結(jié)構(gòu)特點和網(wǎng)絡(luò)安全風(fēng)險的基礎(chǔ)上，提出一種基于移動目標(biāo)防御策略的閉環(huán)動態(tài)安全防護框架，該框架充分利用了TCN冗余結(jié)構(gòu)特征和分布計算能力，包括集散式的混合入侵檢測模塊和主動防御與被動響應(yīng)相結(jié)合MTD動態(tài)安全防護模塊.采用SDN技術(shù)通過車載交換機網(wǎng)絡(luò)控制與數(shù)據(jù)交換功能的分離，實現(xiàn)了所設(shè)計的MTD安全策略，并通過仿真實驗證明了所提動態(tài)安全防護方法的可行性和有效性.