CBTC系统中针对数据篡改的入侵检测方法及设备与流程

本发明涉及数据处理，尤其涉及一种cbtc系统中针对数据篡改的入侵检测方法及设备。

背景技术：

1、基于通信的列车自动控制(communication based train control system，cbtc)系统主要由地面信号和车载设备组成，现有的cbtc系统广泛采用商用现货产品，如通用计算机、商用操作系统、标准通信协议等，使得cbtc系统面临网络威胁，攻击者可以利用设备漏洞接入cbtc系统，实施数据篡改攻击，导致行车效率降低甚至引发安全事故。

2、cbtc系统中采用了大量的冗余设计，并且严格遵循故障导向安全原则，这使得很多攻击行为的影响在cbtc系统中发生转化，表现出与发生随机故障相同的后果。例如，假设攻击者入侵区域控制器(zone controller，zc)子系统中的通讯控制器，使通讯控制器与其他子系统的正常通信被中断，此时，便会触发zc子系统的故障-安全机制，使得该通讯控制器所在的一系宕机，这与zc子系统中一系发生故障表现出的结果相同。

3、此外相关技术中，通常通过更新和改进检测算法来提高数据篡改攻击的入侵检测的检测性能，但这些都是基于对整个入侵检测系统的信任，即默认入侵检测系统是安全可信的，这忽略了入侵检测系统自身的安全与信任问题。若攻击者通过攻击入侵检测系统，恶意修改检测结果，将导致管理员无法对攻击行为进行正确防护。

技术实现思路

1、针对现有技术存在的问题，本发明实施例提供一种cbtc系统中针对数据篡改的入侵检测方法及设备。

2、第一方面，本发明提供一种cbtc系统中针对数据篡改的入侵检测方法，应用于基于通信的列车自动控制cbtc系统，其中，所述cbtc系统包括部署于地面设备的第一设备及部署于车载设备的第二设备，各所述第一设备与各所述第二设备的通信网络中设有一个入侵检测节点，所述入侵检测节点用于获取所述第一设备与所述第二设备之间的通信数据，包括：

3、获取每个通信周期内各所述入侵检测节点对应的入侵检测结果，所述入侵检测检测结果是根据对所述入侵检测节点对应的通信数据进行粒子滤波及卡方检测得到的，所述通信数据包括上行通信过程中传输的上行数据及下行通信过程中传输的下行数据；

4、确定目标入侵检测节点的信任值，所述目标入侵检测节点对应的所述入侵检测结果的结果数据处于预设异常结果数据范围，所述信任值是根据模糊变换原理对所述目标入侵检测节点进行模糊综合评价得到的；

5、在所述目标入侵检测节点的信任值大于预设信任阈值的情况下，基于融合分类模型获取所述目标入侵检测节点对应的入侵检测结果的融合分类结果，基于异常检测模型识别所述融合分类结果对应的异常类型，所述融合分类模型与所述异常检测模型均是通过标注有异常类型标签的目标入侵检测样本数据对预设模型训练得到的，所述异常类型标签包括表征为数据篡改攻击异常的第一标签及表征为系统故障异常的第二标签；

6、在所述异常类型为数据篡改攻击异常类型的情况下，输出相应的数据篡改攻击报警消息。

7、在一些实施例中，所述信任值是通过以下方式得到的：

8、确定所述目标入侵检测节点对应的评估因子集及信任评价等级集，所述评估因子集中的评估因子是根据与所述目标入侵检测节点进行数据交互的入侵检测节点的通信数据得到的，所述信任评价等级集中包括多个预设的信任评价等级；

9、建立从所述评估因子集到所述信任评价等级集的模糊评价矩阵；

10、确定所述模糊评价矩阵中各所述评估因子的权重向量，对所述权重向量进行模糊变换，得到相应的评价向量；

11、基于所述评价向量对所述目标入侵检测节点进行模糊综合评价，得到所述目标入侵检测节点的信任值。

12、在一些实施例中，所述目标入侵检测样本数据是通过以下方式得到的：

13、根据所述第一设备与所述第二设备之间的网络通信流量数据，以及所述第一设备与所述第二设备之间传输的数据包中的数据，得到第一入侵检测样本数据；

14、对所述第一初始入侵检测样本数据进行过采样和欠采样，得到相应的第二入侵检测样本数据；

15、基于生成对抗网络的方式对所述第二初始入侵检测样本数据进行扩展，得到第三入侵检测样本数据；

16、确定所述第三入侵检测样本数据与所述第一入侵检测样本数据之间的相似度；

17、确定所述相似度大于预设相似度阈值的所述第三入侵检测样本数据为所述目标入侵检测样本数据。

18、在一些实施例中，所述融合分类模型为由多个分类模型组成的模型，所述异常检测模型为隐马尔可夫模型，所述基于融合分类模型获取所述目标入侵检测节点对应的入侵检测结果的融合分类结果，基于异常检测模型识别所述融合分类结果对应的异常类型，包括：

19、将所述目标入侵检测节点对应的第一入侵检测结果与第二入侵检测结果输入至融合分类模型，获得所述融合分类模型输出的所述目标入侵检测节点对应的入侵检测结果的融合分类结果，所述第二检测结果为与所述目标入侵检测节点进行数据交互的入侵检测节点对应的入侵检测结果；

20、将所述融合分类结果输入隐马尔可夫模型，获取所述隐马尔可夫模型输出的异常识别结果，所述异常识别结果中包括所述融合分类结果属于数据篡改攻击异常结果的第一概率值与所述融合分类结果属于系统故障异常结果的第二概率值；

21、基于所述第一概率值与所述第二概率值，得到所述融合分类结果对应的异常类型。

22、在一些实施例中，所述入侵检测检测结果是通过以下方式得到的：

23、基于粒子滤波获取所述目标数据对应的目标估计数据，所述目标数据为所述上行数据及所述目标估计数据为下行估计数据，或者，所述目标数据为所述下行数据及所述目标估计数据为上行估计数据；

24、基于各所述入侵检测节点的所述目标数据与所述目标估计数据进行卡方检测，得到所述入侵检测检测结果。

25、在一些实施例中，所述基于粒子滤波获取所述目标数据对应的目标估计数据，包括：

26、构建所述第一设备与所述第二设备对应的状态空间；

27、获取所述状态空间中的粒子初始状态数据，所述粒子初始状态数据包括所述第一设备与所述第二设备之间的目标数据；

28、对所述粒子初始状态数据进行重要性采样及重采样，得到目标采样结果；

29、根据所述目标采样结果，得到所述目标数据对应的目标估计数据。

30、在一些实施例中，所述第一设备包括区域控制器zc，所述第二设备包括车载控制器vobc，所述zc与所述vobc在上行通信过程中传输的上行数据为列车状态观测数据，所述下行通信过程中传输的下行数据为行车许可ma观测数据，所述列车状态观测数据包括列车的位置观测数据及速度观测数据。

31、第二方面，本发明还提供一种cbtc系统中针对数据篡改的入侵检测装置，包括：

32、获取模块，用于获取每个通信周期内各所述入侵检测节点对应的入侵检测结果，所述入侵检测检测结果是根据对所述入侵检测节点对应的通信数据进行粒子滤波及卡方检测得到的，所述通信数据包括上行通信过程中传输的上行数据及下行通信过程中传输的下行数据；

33、第一确定模块，用于确定目标入侵检测节点的信任值，所述目标入侵检测节点对应的所述入侵检测结果的结果数据处于预设异常结果数据范围，所述信任值是根据模糊变换原理对各所述入侵检测节点进行模糊综合评价得到的；

34、第二确定模块，用于在所述目标入侵检测节点的信任值大于预设信任阈值的情况下，基于融合分类模型获取所述目标入侵检测节点对应的入侵检测结果的融合分类结果，基于异常检测模型识别所述融合分类结果对应的异常类型，所述融合分类模型与所述异常检测模型均是通过标注有异常类型标签的目标入侵检测样本数据对预设模型训练得到的，所述异常类型标签包括表征为数据篡改攻击异常的第一标签及表征为系统故障异常的第二标签；

35、报警模块，用于在所述异常类型为数据篡改攻击异常类型的情况下，输出相应的数据篡改攻击报警消息。

36、第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述cbtc系统中针对数据篡改的入侵检测方法。

37、第四方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述cbtc系统中针对数据篡改的入侵检测方法。

38、本发明提供的cbtc系统中针对数据篡改的入侵检测方法，通过在cbtc系统中的各第一设备与各第二设备的通信网络中设一个入侵检测节点，入侵检测节点用于获取第一设备与第二设备之间的通信数据，具体地，获取每个通信周期内各入侵检测节点对应的入侵检测结果，入侵检测检测结果是根据对入侵检测节点对应的通信数据进行粒子滤波及卡方检测得到的，通信数据包括上行通信过程中传输的上行数据及下行通信过程中传输的下行数据，如此一方面通过粒子滤波和卡方检测对通信数据进行入侵检测，另一方面本发明为了避免入侵检测系统自身的安全与信任问题，还确定目标入侵检测节点的信任值，目标入侵检测节点对应的所述入侵检测结果的结果数据处于预设异常结果数据范围，信任值是根据模糊变换原理对目标入侵检测节点进行模糊综合评价得到的，如此根据模糊变换原理，对入侵检测节点的信任度进行模糊综合评价，在目标入侵检测节点的信任值大于预设信任阈值的情况下，基于融合分类模型获取目标入侵检测节点对应的入侵检测结果的融合分类结果，基于异常检测模型识别融合分类结果对应的异常类型，融合分类模型与异常检测模型均是通过标注有异常类型标签的目标入侵检测样本数据对预设模型训练得到的，异常类型标签包括表征为数据篡改攻击异常的第一标签及表征为系统故障异常的第二标签；在异常类型为数据篡改攻击异常类型的情况下，输出相应的数据篡改攻击报警消息，最后本发明根据预设信任阈值判断目标入侵检测节点的检测结果是否可信，保证入侵检测系统在检测结果可信的基础上对cbtc系统进行检测，进一步地，还通过适合cbtc系统的样本数据训练的融合分类模型先将各入侵检测节点的入侵检测结果融合，最后还利用适合cbtc系统的样本数据训练的异常检测模型识别出异常是由系统故障异常还是由数据篡改攻击异常，降低了入侵检测的误报率、漏报率，提升了检测性能。