一种基于移动目标防御的列车通信网络闭环动态安全防护方法

李 伟，陈 则，秦元庆，彭思维，杨小波

1(大功率交流传动电力机车系统集成国家重点实验室，湖南 株洲 412001)2(华中科技大学 人工智能与自动化学院，武汉 430074)3(中车株洲电力机车有限公司 智能网络研发部，湖南 株洲 412001)

1 引 言

列车通信网络[1]是列车控制系统的重要组成部分，目前正在从低速的专用总线网络向兼容性、开放性更好的高速工业以太网发展，控制功能与服务功能进一步融合，在大幅提升网络运行效率的同时，也引入了更大的信息安全风险.

近年来，针对列车控制系统的网络攻击事件频发，安全形势愈发严峻.2008年，波兰城市地铁遭受攻击，导致部分车厢脱轨；2012年，深圳地铁受乘客随身Wi-Fi干扰，导致列车紧急制动.

列车控制系统的网络安全防护问题引起了国内外学者的广泛关注和研究兴趣.Chen等人[2]对城市铁路环境中典型网络系统进行安全分析，并展示了使用信息物理视角进行安全分析的必要性.Kim等人[3]分析了基于通信的列车控制系统的信息物理脆弱性，发现结合列车信号知识的中间人攻击可以导致列车碰撞，并提出一个弹性对策.Zhu等人[4]对列车控制系统的干扰攻击，从物理层、网络层和管理层3个方面提出一个跨层防御管理方案.李赛飞等人[5]对我国高速铁路信号系统的网络安全问题进行全面分析，提出了一个网络安全统一管理方案.张帆等人[6]研究了适用于列车运行控制系统的信息安全风险评估方法，用于提出风险管理建议.

总之，目前针对列车控制系统信息安全问题的研究工作，大多面向包括列车、信号系统、调度系统在内的控制网络，分析其脆弱性，提出相应的静态安全防护方案.针对列车(本体)通信网络的动态安全防护研究尚不多见.

移动目标防御(Moving Target Defense，MTD)是一种典型的主动安全防御策略，通过对防护对象的攻击面进行持续性的动态改变，增大攻击难度与攻击成本，提高系统弹性和安全性，改变了网络安全易攻难守形势[7].本文借鉴Chunjie Zhou等人提出的工控系统容忍入侵的闭环安全控制思想[8]，以列车以太网通信网络作为安全防护对象，在分析其脆弱性和面临的外部威胁基础上，结合其两级冗余结构特点，提出一种基于MTD的闭环动态安全防护方法，提高列车通信网络的可用性.

2 列车通信网络的结构分析

传统的列车通信网络多采用总线通信技术，相对封闭.为了满足日益提升的控制与服务需求，工业以太网技术被引入到列车通信网络中.典型的列车以太网通信网络(本文仅研究列车以太网通信网络，以下简称为列车通信网络)如图1所示.

图1 列车通信网络结构

TCN为列车级网络和编组级网络两级结构：以太网列车骨干网(Ethernet Train Backbone，ETB)与以太网编组网(Ethernet Consist Network，ECN)，该两级结构便利于列车编组的重联与解编.网络初始化时，使用列车拓扑发现协议(Train Topology Discovery Protocol，TTDP)完成ETB的网络拓扑发现和相关配置；ECN的网络配置相对固化，配置后一般不再改变.网络终端设备是列车控制与服务功能的实际执行组件，主要包括显示器(HMI)、车辆控制单元(VCM)、事件记录仪(ERM)、无线传输装置(WTD)、车载智能中心(VOBI)和输入输出单元(RIOM)等.

列车控制系统是安全关键系统，对TCN网络的可靠性和可用性有很高的要求.ETB一般采用物理链路冗余技术来提高网络的可靠性，每两个节点之间可包含1到4条全双工100BASETX线；ETB还可通过链路聚合实现冗余，既可充分利用多条链路带宽，又可在部分链路故障时继续工作.ECN一般采用环网冗余技术增强网络的可靠性和容错性，网络终端设备通过双网口连接到两个以太网编组网节点(ECNN)，当一条链路故障时可以切换到备用链路.ECN通过两个以太网列车骨干网节点(ETBN)连接到ETB，且分别为主动的和被动的.主动的ETBN可以在ETB与ECN之间转发网络数据，被动的ETBN则不能.一旦主动的ETBN故障，被动的ETBN会切换为主动状态，保障ECN与ETB之间的数据通信.

3 列车通信网络安全风险分析

本节从TCN自身的脆弱性和面临的外部威胁两个方面来分析TCN的信息安全风险：

1)脆弱性分析

·结构脆弱性：环网冗余的网络结构，若冗余管理功能失效，将引发广播风暴，导致整个网络瘫痪；

·设备脆弱性：网络设备或终端设备自身存在漏洞，固件更新或漏洞修复滞后；

·协议脆弱性：列车实时数据协议(train real-time data protocol，TRDP)基于UDP/TCP明文传输报文，继承了TCP/UDP协议栈的漏洞.

2)外部攻击威胁分析

列车运行时，TCN对外主要有两个流量入口，1)车载Wi-Fi；2)车-地无线通信网络.TCN对外暴露的无线网络，为攻击行为的实施提供了可能.

列车通过Wi-Fi网络为乘客提供信息服务功能，使用手机等终端设备即可连接车载Wi-Fi网络.虽然支持该功能的服务网络采用VLAN技术与控制网络进行了逻辑隔离，但两个网络共享一套网络设备，攻击者能够从服务网络发起攻击，侵占网络带宽资源甚至渗透至控制网络，篡改运行指令或数据，破坏列车控制系统的正常运行，引发安全事故.

车-地无线通信是TCN另一可能攻击入口.由于无线网络的广播特性，任意人员都可能接入无线网络.针对该无线网络有3种可能的攻击：1)信号干扰攻击，即在物理上干扰列车与地面设备之间数据传输，影响其正常工作；2)拒绝服务攻击，耗尽网络资源，延迟通信；3)中间人攻击，操纵车-地通信中的关键数据，实施恶意行为.其中，第3种攻击的难度最高，危害性也最大，且极易引发安全事故，造成重大人员、财产损失.例如，城市轨道交通中广泛使用的基于通信的列车控制(Communication-Based Train Control，CBTC)系统，一般使用IEEE 802.11无线局域网进行车-地通信[9]，该无线网络极易遭受攻击.攻击者可通过该车-地通信接入点逐步渗透，进行网络嗅探、端口扫描、漏洞利用乃至发动攻击，形成一个完整的攻击链.

由上述分析可知，TCN在设计上重点考虑了网络功能的可靠性和容错性，但对网络安全的防护考虑不足，在结构、设备、协议等方面存在安全漏洞；而控制网络与服务网络的融合以及无线通信技术的使用，使系统面临的巨大的信息安全风险.

4 列车通信网络闭环动态安全防护框架

当前TCN的网络安全防护，多采用静态安全策略，如在网络边界部署防火墙、网闸等访问控制设备，对控制域、维护域和服务域进行VLAN分区等.攻击者一旦突破此类静态防御措施，进入TCN内部后，列车控制系统缺乏进一步的安全响应能力.

因此，本文在充分考虑TCN的结构冗余特征和分布计算与控制能力的基础上，提出一种针对TCN的闭环动态安全防护框架，通过增强TCN的入侵检测与安全响应能力，提高攻击难度和攻击成本，保障TCN的可用性.

安全防护框架包括混合入侵检测和动态安全防护两大模块，如图2虚线框中所示，入侵检测结果作为被动安全响应的触发条件.本小节仅简单介绍混合入侵检测设计原理，动态安全防护方案将在下一小节详细介绍.

图2 TCN闭环动态安全防护框架

入侵检测系统按照检测技术可分为误用检测和异常检测[10]，基于规则的误用检测算法所需计算资源少，检测速度快，但不能检测未知攻击；基于机器学习的异常检测能够检测未知攻击，但计算复杂度高，模型训练时间长，且有较高的误报率.本文根据TCN结构特征，设计一种综合误用检测与异常检测的混合入侵检测系统，如图3所示，使检测系统能够兼顾检测效率和未知攻击.

图3 混合入侵检测系统结构图

因入侵检测算法的设计工作已在本文研究团队前期研究工作中详细阐述(文献[10])，并不是本文的主要贡献，不再详细展开.本文旨在阐述两种检测算法在TCN中的协同关系及部署方式，针对性地设计出适用于TCN的混合入侵检测系统总体结构.

1)基于规则匹配的误用检测

TCN中ETBN和ECNN是车载网管交换机，是列车数据的汇聚交换节点，也是TCN安全防护的关键节点，一般具备二次开发和有限的计算能力.本文在ETBN和ECNN上嵌入设计基于Snort的网络入侵检测系统(Network Intrusion Detection System，NIDS)，并扩展TRDP协议的检测规则，实现对已知攻击类型的快速检测与隔离，并将检测告警信息上传到列车安全中心.

2)基于机器学习的异常检测

在列车安全主机上设计基于PSO-OCSVM(Particle Swarm Optimization，PSO，One Class Support Vector Machine，OCSVM)的异常检测算法，对通过NIDS检测的合规报文和告警数据进行训练学习，挖掘网络行为特征，建立系统运行安全基线，用于检测未知类型攻击，形成与误用检测的互补，提高入侵检测精度.

防护框架中入侵检测系统仅为动态安全防护模块提供触发条件，即混合式入侵检测结果输出到动态安全防护模块，触发基于MTD的被动安全响应.

5 基于MTD的TCN动态安全防护方法

5.1 移动目标防御技术

传统网络的确定性、静态性和同构性，使得网络攻击者在时间、信息和成本上具有优势，防御方始终处于被动的劣势地位，这是网络易攻难守的根本原因.移动目标防御思想是在不影响被保护对象正常功能的前提下，主动增加其动态特性，以提升攻击的难度和成本，或诱捕攻击行为，从根本上改变被动防御的态势.

依据在执行栈中的位置层次，MTD技术可分为动态数据、动态软件、动态运行时环境、动态平台和动态网络五大类[11].本文根据TCN的结构冗余特性，采用动态网络技术来实现动态安全防护.

动态网络技术[12，13]包括：动态网络地址转换(Dynamic Network Address Translation，DYNAT)、端口跳变(Port Hopping，PH)、网络地址跳变(Network Address Hopping，NAH)和网络拓扑变换(Network Topology Transformation，NTT)等.通过主动改变网络地址、端口、拓扑结构等，提高网络的动态性和复杂性，使得攻击者难以定位攻击目标.拓扑变换不仅可以阻断攻击链，还可以将攻击流量导入特定区域进行分析，开展攻击溯源.

5.2 列车通信网络MTD方案设计

本文提出一种基于MTD的TCN动态安全防护模块，如图4所示.MTD策略采用动态网络技术来实现，设计两种防御策略触发机制：定时触发的主动安全防御和入侵事件触发的被动安全响应.

图4 基于MTD的动态安全防护模块

1)定时触发的主动安全防御：动态安全防护模块设计网络变换定时器，在定时中断中控制TCN网络按照预定义的网络变换时序执行相应的网络拓扑变换和端址变换，将静态的报文传输路径变为动态的，提高攻击者的网络探测难度和成本.该变换机制要求对报文的收发双方是透明的，且变换过程中增加的网络延时满足TCN网络的实时性要求.

2)入侵事件触发的被动安全响应：入侵检测系统的检测结果是动态安全防护模块的输入，当接收到入侵发生的报告后，安全防护模块一方面将入侵事件以报警方式通知列车长，另一方面将遭受攻击的通信链路从主动安全防御的变换时序中删除，切断攻击链，以保障整个网络的可用性，为入侵事件的处理赢得时间.

5.3 基于软件定义网络技术的MTD策略实现与仿真验证

软件定义网络(Software Define Network，SDN)是一种新型网络架构，通过网络控制与数据转发的分离，实现网络的灵活可控[14].本文设计的MTD安全策略可采用SDN技术来实现，具体实现方案如下：1)使能TCN的ETBN和ECNN网管交换机的SDN功能，将网络控制权限上交给SDN中心控制器，自身仅保留数据转发功能，实现网络控制与数据转发的分离；2)将运行异常检测软件的列车安全主机复用为SDN中心控制器，定时向ETBN和ECNN下发预定义的网络动态变换控制流表，实现TCN网络的主动动态变换；同时根据入侵检测结果，删除遭受攻击的网络流表，实现TCN网络的被动安全响应.

为测试SDN实现的MTD策略对TCN通信实时性的影响和对入侵检测事件的安全响应能力，本文采用Mininet[15]仿真软件，搭建了一个SDN仿真模型，如图5所示.4个交换机S1、S2、S3与S4组成环网，模拟环网冗余的列车通信网络，SDN中心控制器C0负责完成网络的动态控制.

图5 TCN仿真网络

1)验证IP地址跳变对TCN网络时延的影响

通过对流表的更改，控制交换机在转发报文时对报文中IP地址字段修改，实现网络地址跳变.测试主机h1与主机h2之间在IP地址变换过程中的通信时延.测试结果如图6所示，在IP跳变前h1和h2之间的网络时延不超过0.15ms，IP地址跳变时产生一个时延峰值0.303ms，跳变结束后时延很快恢复至正常水平.IP地址跳变引起的时延增加不超过0.3ms，满足TCN毫秒级的实时性要求.

2)验证拓扑变换对于TCN网络时延的影响

如图5所示，拓扑变换前，交换机S4处于备用状态，主机h1与主机h2之间的通信数据流路径为S1-S2-S3这3个交换机；拓扑变换后，中心控制器对流表进行修改，使S2变为备用状态，S4切换为工作状态，数据流路径变为S1-S4-S3，实现拓扑变换.网络时延测试结果如图6所示，拓扑变换前时延不超过0.1ms，拓扑开始变换时产生一个时延峰值0.207ms，拓扑变换结束后时延恢复至变换前的水平，满足TCN毫秒级的实时性要求.

图6 IP地址跳变和网络拓扑变换网络时延曲线

3)验证MTD策略对Dos攻击的防御能力

在图5所示TCN网络中的交换机S2上接入攻击节点，使用hping3攻击工具，对TCN发起DoS攻击.入侵检测系统检测到攻击事件后，触发SDN中心控制器的被动安全响应，将S2攻击接入端口相关流表从网络动态变换时序表中删除，对DoS攻击流量进行阻断，以保障TCN网络的可用性.攻击响应过程中TCN的数据包速率变化曲线如图7所示，攻击节点发起TCP flood攻击后，TCN数据包速率急剧上升；SDN接收到入侵检测系统的攻击事件告警后，更新S2的网络控制流表，将TCP flood链路删除后，TCN数据包速率恢复正常.

图7 DoS攻防过程中包速率曲线

6 结 论

本文在深入分析列车通信网络结构特点和网络安全风险的基础上，提出一种基于移动目标防御策略的闭环动态安全防护框架，该框架充分利用了TCN冗余结构特征和分布计算能力，包括集散式的混合入侵检测模块和主动防御与被动响应相结合MTD动态安全防护模块.采用SDN技术通过车载交换机网络控制与数据交换功能的分离，实现了所设计的MTD安全策略，并通过仿真实验证明了所提动态安全防护方法的可行性和有效性.