冯 珂

（山西工程职业学院，山西 太原 030009）

0 引言

中国已建成近4万千米的高铁里程和近7000千米的地铁里程，轨道交通的发展方便人们的出行，带动了经济的飞速发展[1]。轨道交通的快速发展必须引起对安全的重视，虽然现阶段的轨道交通安全已十分可靠，但轨道安全事故也时有发生：2011年7月23日，甬温线特别重大铁路交通事故；2014年5月2日，韩国首尔2号线地铁两班列车发生追尾事故；2021年3月26日，埃及索哈杰省塔赫塔地区发生的两列火车相撞事故……这些事故的发生让我们不得不居安思危，时刻保持着对轨道安全的足够重视。

轨道交通系统通信网络安全是轨道交通安全的基本保证，目前，轨道交通系统通信网络安全防护大部分仅限于传统的防火墙或专用技术[2]，而随着5G、万物互联时代的来临，传统的隔离已经无法确保通信网络的安全。专用网络攻击技术是近年来针对专用网络的一种新型攻击技术，具有隐蔽性强、破坏性大的特点，轨道交通通信网络一旦出现故障或被专用网络攻击技术攻战而诱发错误指令，列车将无法作出准确判断则有可能引发严重事故，因此，必须与时俱进的扩大轨道交通通信网络系统的防护边界[3]。

本文通过分析近年来专用网络攻击技术特点，并以此为依据，提出轨道交通系统通信网络防护思路，为轨道交通系统通信网络安全防护提供一定的理论依据。

1 专用网络攻击技术

专用网络攻击技术由于其隐蔽性，使得传统安全防护被打破，常见的专用网络攻击技术主要是通过USB存储设备、电力传输、声音信道传输和光纤信道传输进行攻击的技术手段。

1.1 USB攻击技术

USB攻击技术是一种针对USB接口本身的攻击技术，因此，只要符合USB规范的USB设备都面临USB攻击技术的威胁。而伴随着通信网络中USB设备的广泛使用，攻击者可能将恶意软件存储在USB存储设备中，在USB插拔的过程中完成对系统的攻击任务；或者将USB接口枚举为HID接口，利用系统对HID接口设备的信任度进行其恶意攻击任务；抑或篡改USB设备本身的固件，在USB设备中留有恶意软件后门，实现对系统的攻击任务等方式。

1.2 电力线攻击技术

电力线攻击技术是指将数据信号通过正交频分复用（OFDM）技术，将编码的数据信号与电力线中的电流信号相叠加，利用电力线进行远距离数据密取，或通过系统功耗的改变，系统电流的波动实现对系统数据的密取或编码。电力线攻击技术可以隐秘有效地实现对系统数据密取和攻击。

1.3 声信道攻击技术

主要针对交通网络配置的声卡扬声器、麦克风的设备的编码、调制的声信号进行播放/拾取，完成信息密取、恶意代码植入等攻击操作。主流的声道攻击技术主要有声信道信息密取攻击与声信道恶意代码注入攻击两种。

声信道信息密取攻击技术是指将目标文件进行编码并调制成高频声信号，然后经扬声器播放，由外界进行声音拾取，继而进行解调还原，将恶意代码注入到目标设备中实施精准攻击。此外，还可以通过对声卡的配置，实现扬声器、麦克风之间的声信道建立，完成双向通信。

1.4 光信道攻击技术

光信道攻击技术是指通过对光信道上传输的信息进行捕获或将隐蔽数据通过光信号进行传输，实现对目标设备的信息密取。如通过光纤弯曲分离等方式获得光纤信道中的光信号，并对获取的光信号进行还原从而实现信息窃取，或通过控制系统LED闪烁并根据系统编码，实现数据的调制等攻击手段。

2 专用网络安全防护

轨道交通系统通信网络安全事关人民生命财产安全，因此，必须加强通信网络安全防护。专用网络安全防护是通过专用网络攻击技术逆向重构的方式进行监测防护，并与传统网络攻击检测防护手段相结合，做到全面具体的防护。

2.1 目标安全检测防护体系

专用网络安全防护旨在通过逆向重构等手段，分析专用网络攻击技术的特征、攻击切入点等对专用网络攻击实现精准定向检测防护，最大的特点是成体系。这也就要求专用网络安全防护要有一个全方位的目标安全检测防护体系，整体安全架构要能涵盖专用网络攻击技术或者为相似技术的检测防护提供接口。以下为4种检测防护策略：

（1）全时监测策略。它是指对通信系统目标设备软硬件进行全时监测。首先是目标认证：实施监测设备的身份ID，一旦ID信息不符，触发报警或停止；然后是目标行为监测：系统中一旦出现恶意数据和操作，触发报警或停止；其次是目标数据监测：系统中数据指令一旦异常，触发报警或停止；最后是目标启动/关闭监测：监测系统软硬件启动/关闭是否正常，一旦出现异常，触发报警或停止。全时监测策略中所有监测同步运行，无论何种异常，及时触发报警或停止，进行人为干预排查，保证轨道交通系统通信网络安全有效的运行。

（2）数据鉴别策略。它是指对目标设备软硬件运行的数据进行全时监测。系统运行中若产生非常规数据流，如协议不同、数据流量过于集中、数据流传输间隔固定等可疑行为，将目标设备运行的数据实时采集，实时分析对比，发现异常及时告警，确保专用网络内设备的安全。

（3）主动干扰策略。它是对恶意软硬件发起干扰和自主反击策略，通过模拟恶意软硬件的操作，来干扰恶意软硬件的正常操作，使其误认为所接受的数据或指令是正确的，达到欺骗对方的目的，并以此来破解其通信协议以达到反制效果。

（4）安全审计策略。它是指对目标设备软硬件运行的数据、操作等过程行为进行存储。旨在为安全审计人员提供安全审计日志及原始数据，当不可避免地攻击入侵事件时，可以对目标设备状态进行安全分析。

2.2 系统安全防护流程

专用网络安全防护体系架构为轨道交通系统通信网络安全建起4道安全防护屏障，如图1所示。首先，对系统软硬件进行全时检测，发现可疑行为时，发出告警或提升其可疑度，并进入蓝色预警状态。然后，对蓝色预警可疑度软硬件进行实时数据监测，并对其产生的数据进行鉴别比对，当发现可疑行为时，发出告警或提升其可疑度，并进入橙色预警状态；对橙色预警状态可疑度软硬件发起主动干扰，通过对其传输数据进行分析，生成伪装数据包并以同等方式进行通信，干扰其通信策略。此时，认定该软硬件为恶意，并进入红色预警状态。此外，还可采取直接弹出、清除或销毁等操作，确保轨道交通系统正常稳定的运行。最后，对目标设备所有软硬件运行数据的全时行为存储，用于安全审计人员对目标设备开展安全审计工作。

图1 系统安全防护流程图

3 结束语

轨道交通系统通信网络安全防护技术是本文的焦点，主要介绍了4种典型的专用网络攻击技术类型，总结了各自的攻击特点，并以此为依据提出专用网络安全防护框架，希望对轨道交通系统通信网络安全有所借鉴。总之，我们还需要通过逆向重构等手段继续跟踪、分析、研究各类型的专用网络攻击技术，不断完善攻击技术库，总结其攻击特征，漏洞利用方式，有针对性地研究相应检测防护技术，并将这些技术集成在专用网络安全防护框架中，确保专用网络的相对安全，保证人民生命财产安全。