王俊彦 衣 然 张 斌 车聪聪 马 超

(1.中车青岛四方机车车辆股份有限公司， 266111， 青岛； 2.华北计算机系统工程研究所， 100083，北京∥第一作者， 高级工程师)

《中华人民共和国网络安全法》明确了对于涉及公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护[1]。CBTC(基于通信的列车控制)是城市轨道交通的核心系统之一，包括ATS(列车自动监控)、MSS(维护支持系统)等多个子系统[2]。随着工业互联网时代的到来，CBTC各个子系统互联互通的程度越来越高，各子系统间的信息安全也逐渐开始受到行业和相关管理部门(包括中共中央网络安全和信息化委员会办公室、公安部、工业和信息化部等)的高度重视。传统的安全防护设备往往关注的是信号系统的流量安全，而忽视了更底层的信号采集端的安全，因此，及时检测出信号采集过程中的恶意流量并进行报警，对于城市轨道交通信号系统来说尤为重要。

1 入侵检测技术概念

近年来，针对CBTC系统这类关键基础设施的攻击大多为APT(高级可持续攻击)。攻击者通过注入大量虚假数据来隐藏自己的攻击[3]，同时控制受损的传感器值，使其大致保持在噪声水平之内。这样，对噪声不敏感的故障检测装置或本身性能存在异常的检测装置就很难检测到这种隐藏在噪声中的恶意攻击。

入侵检测是实时监测网络中的流量，在出现异常问题时进行相应处理的一种网络安全技术[4]。如图1所示，传统入侵检测主要分为信息收集、系统辨识、威胁处理3个步骤[5]，在完成信息收集后，通过模式匹配、统计与完整性分析等系统辨识方式，建立物理过程的线性动态状态空间模型，经过预测和更新这两个计算过程来判断系统是否含有恶意攻击流量。虽然这样的方法可能会检测到异常行为，但其检测模型很难建立，需要在初始阶段付出大量的人力，而且建立的物理模型并不一定适用于城市轨道交通系统。因此，本文尝试使用一种新的入侵检测方法，不需要建立线性动态状态空间模型，而是只关注CBTC系统中现场传感器的采样状态变化，通过检测传感器当前的读数是否因生成机制的变化而偏离了过去的读数，来判断CBTC系统中是否有异常行为。

a) 传统入侵检测流程

本文提出的新型入侵检测技术是一种轻量、快速、无模型的进程级检测技术，能够检测传感器信号中的细微变化，大大增加了检测出策略性攻击者的可能性。其工作机制是：首先通过一个训练阶段学习传感器测量时间序列中记录的正常行为，再从正常工作的传感器测量时间序列中提取降噪信号信息，最后主动检查当前提取的信号是否与历史值产生偏离，从而判断系统中是否混合了恶意流量。为了提取信号信息，新型入侵检测技术借鉴了SSA(奇异谱分析)概念来提取信号信息[6]，通过识别1个信号子空间并进行计算，然后将计算结果与预估的结果进行对比，如果结果不一致，则表明生成时间序列的机制可能发生了变化，被测系统可能受到攻击。

2 新型入侵检测技术工作过程

如图2所示，在CBTC系统信号提取过程中经过了嵌入、奇异值分解、分组、重构4个步骤。具体工作过程如下：第一步，将传感器测量的时间序列嵌入到欧几里得空间中[7]；第二步，对从时间序列数据得出的特殊矩阵进行频谱分解，以提取系统行为的确定性部分；第三步，识别信号子空间，并将与正常操作条件下的传感器测量值相对应的矢量投影到该子空间上，以获得正常过程行为的表示；第四步，系统会跟踪偏离分数，以确定该过程是否偏离正常状态。

图2 SSA技术流程图Fig.2 Technical flowchart of SSA

2.1 嵌入

设xi为滞后向量。L为整数，作为xi的滞后参数，然后通过形成K个长度为N的滞后向量T，使之作为初始子序列，嵌入L维欧几里得空间RL中，T∈L，则有：

xi=[xi,xi+1,…,xi+L-1]T

(1)

式(1)中，1≤i≤K，K=N-L+1。构造轨迹矩阵X,X的每一列均是滞后向量：

(2)

2.2 奇异值分解

为了提取用以描述CBTC系统确定性行为的降噪信号信息，对X进行奇异值分解后可得到l个特征向量u1,u2,…,ul，组成滞后协方差矩阵XXT。然后，计算时间序列的统计个数r，判断确定性与变异性的自由度数。

2.3 信号子空间上的投影

在获得信号信息之后，在第三个步骤中，识别正常过程行为的数学表示。设有r个前导特征值，U是l×r矩阵，其列是r个特征向量u1,u2,…,ur。由此可知，lr是U的列向量所跨越的子空间。计算xi的样本均值c：

(3)

(4)

其中，P为投影矩阵,P=U(UTU)-1UT=UUT。

2.4 距离追踪

(5)

设θ为系统设置的报警阈值。当Dj≥θ时，将生成报警信息。设τ是恶意流量攻击的开始时间，则在(n+1,τ-1)这个时间段内，通过对比正常状态下观测值和攻击开始前的观测值，可计算得到正常流量下偏离分数的最大值，以有效避免正常流量扰动产生的误报。

3 CBTC系统入侵检测仿真试验

如图3所示，CBTC被广泛运用于城市轨道交通系统中，可以实现车-地之间的双向通信[8]。CBTC的核心为ATP (列车自动防护)、ATO(列车自动运行)两个子系统，这两个子系统分别用以处理列车超速防护、车门开关、列车制动等列车运行控制，确保列车安全、高效运行[9]。

注：OCC——运营控制中心；DCS——数据通信子系统；CI——计算机联锁；ZC——区域控制器；DSU——数据存储单元。图3 CBTC系统结构图Fig.3 Diagram of CBTC system structure

3.1 搭建试验环境

如图4所示，本次试验中使用的硬件设备包括2台计算机(PC1、PC2)、1个具有镜像功能的交换机和1台路由器。其中：PC1用于安装科莱数据重放软件，模拟CBTC系统运行，产生运行数据；PC2作为安全管理终端，运行入侵检测程序，采集并检测数据。

图4 试验环境网络拓扑图Fig.4 Network topology of test environment

3.2 试验过程

本次试验中，使用某地铁线路CBTC系统采集到的真实镜像数据，数据采集耗时10 d。作为仿真试验的数据，在数据重放之前，先对流量数据进行检测和处理，并将数据分为3个部分。其中：第一部分数据为正常流量数据；第二部分数据为攻击流量数据，即在正常流量数据中混合的APT数据包，但该数据包只保留漏洞验证程序，不会对系统产生影响；第三部分数据为混合流量，正常流量数据中插入了APT流量，以此进行试验验证。这些数据均存放在PC1中，由PC1进行数据包的重放。PC2通过交换机的镜像口采集试验数据，并运行新型入侵检测程序。

具体的试验过程包括两个部分：

1) 试验一。PC1进行正常流量数据重放，PC2进行系统监控，重放时间为24 h；

2) 试验二。PC1进行攻击流量和混合流量数据重放，PC2进行系统监控，重放时间为24 h。

3.3 试验结果

根据试验的设定值θ，观测入侵检测程序的输出值。在正常流量数据通过时，检测到Dj<θ，系统未生成告警；在攻击流量数据通过时，Dj≥θ，系统立即生成告警；在混合流量数据通过时，Dj≥θ，系统也生成告警，试验达到了预期效果。重放最终监测结果如表1所示，为方便计算，所有数值均已取整。

表1 试验参数设定及其仿真输出值Tab.1 Test parameter setting and simulation output value

4 结语

与传统的IT(信息技术)系统相比，城市轨道交通CBTC系统这类工业控制系统若受到网络攻击，可能会造成更为严重的损失和影响。本文提出了一种新型入侵检测技术，对CBTC系统的底层数据进行实时监测，可精准识别隐藏在正常流量中的恶意攻击，这对于CBTC系统网络的安全防护具有重大意义[10]。如果在底层网络设置该新型入侵检测系统，在上层网络部署其他安全设备和安全策略，CBTC系统的安全防护水平将会大大提高。