高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)數(shù)據(jù)獲取及分析

石明明

(1.北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

安全數(shù)據(jù)網(wǎng)是高速鐵路信號系統(tǒng)數(shù)據(jù)交換的核心部分，是CTCS-2 及CTCS-3 級列控系統(tǒng)關(guān)鍵設(shè)備間通信的載體，承擔(dān)著列控中心、無線閉塞中心、聯(lián)鎖、臨時(shí)限速服務(wù)器、RBC 等信號設(shè)備間信息傳輸?shù)闹匾饔谩８鶕?jù)《高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)技術(shù)規(guī)范V3.0》中要求，現(xiàn)階段可通過NMS 及EMS 網(wǎng)管系統(tǒng)對高速鐵路信號信息安全數(shù)據(jù)網(wǎng)進(jìn)行設(shè)備層面的監(jiān)測，但是未對數(shù)據(jù)層面的監(jiān)測及分析提出明確的約束及實(shí)現(xiàn)，而現(xiàn)有的安全數(shù)據(jù)網(wǎng)各節(jié)點(diǎn)交換機(jī)均具備了單向數(shù)據(jù)鏡像功能，這已經(jīng)為網(wǎng)絡(luò)數(shù)據(jù)的獲取及分析奠定了基礎(chǔ)。

獲取及分析高速鐵路信號信息系統(tǒng)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)具備3 層重要含義，一是可發(fā)現(xiàn)安全設(shè)備間應(yīng)用層面通信隱患，可針對不穩(wěn)定的設(shè)備節(jié)點(diǎn)進(jìn)行狀態(tài)修，避免故障的發(fā)生；二是可發(fā)現(xiàn)網(wǎng)絡(luò)中非準(zhǔn)入設(shè)備，進(jìn)行告警及提示，從而提升網(wǎng)絡(luò)安全性和節(jié)點(diǎn)的穩(wěn)定性；三是完整記錄各節(jié)點(diǎn)的網(wǎng)絡(luò)原始收發(fā)數(shù)據(jù)，待設(shè)備間故障發(fā)生時(shí)準(zhǔn)確快速的定位故障原因。

本文借助WinPcap 開源庫，在現(xiàn)有的維護(hù)系統(tǒng)中進(jìn)行功能的開發(fā)實(shí)現(xiàn)。

1 相關(guān)技術(shù)概述

1.1 WinPcap

Windows Packet Capture（WinPcap）是應(yīng)用于Windows 平臺的網(wǎng)絡(luò)數(shù)據(jù)獲取及分析的一種驅(qū)動(dòng)軟件包。WinPcap 通過Netgroup Packet Filter（NPF）核心代碼接收對應(yīng)網(wǎng)卡上的原始網(wǎng)絡(luò)數(shù)據(jù)包，可向外部軟件提供完整的API（Application Programming Interface）接口函數(shù)，繼而實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的獲取和分析功能。WinPcap 獨(dú)立于通信協(xié)議（如TCP-IP)而發(fā)送和接收原始數(shù)據(jù)包，也就是說，WinPcap 不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。

1.2 交換機(jī)端口鏡像

端口鏡像（Port Mirroring）功能是指在交換機(jī)上，將一個(gè)或多個(gè)源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個(gè)指定端口來實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)聽，指定端口稱之為“鏡像端口”或“目的端口”，工業(yè)交換機(jī)中一般設(shè)置網(wǎng)絡(luò)數(shù)據(jù)運(yùn)算單元和管理運(yùn)算單元，端口鏡像功能一般通過管理運(yùn)算單元執(zhí)行操作，所以開啟端口鏡像功能不會(huì)影響當(dāng)前交換機(jī)正常工作。可對鏡像端口進(jìn)行獨(dú)立的Vlan 劃分避免接入鏡像端口的操作系統(tǒng)影響安全網(wǎng)絡(luò)信息內(nèi)容，提升網(wǎng)絡(luò)安全等級。

1.3 高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)

高速鐵路信號信息安全數(shù)據(jù)網(wǎng)承載著信號系統(tǒng)安全設(shè)備間通信的職責(zé)，網(wǎng)絡(luò)以冗余環(huán)網(wǎng)方式假設(shè)，網(wǎng)絡(luò)各節(jié)點(diǎn)均通過工業(yè)級以太網(wǎng)交換機(jī)設(shè)備進(jìn)行連接，網(wǎng)絡(luò)上運(yùn)行的設(shè)備包括列控中心、車站聯(lián)鎖、臨時(shí)限速服務(wù)器、無線閉塞中心服務(wù)器。

高速鐵路信號信息安全數(shù)據(jù)網(wǎng)中各設(shè)備間通信主要以鐵路信號安全通信協(xié)議RSSP-1 和RSSP-2 為主，設(shè)備間通信的IP 地址及端口可通過高速鐵路信號信息安全數(shù)據(jù)網(wǎng)工程配置文件中明確，兩套協(xié)議的特點(diǎn)如表1 所示。

2 軟件設(shè)計(jì)與實(shí)現(xiàn)

軟件依托于現(xiàn)有維護(hù)系統(tǒng)，采用配置文件加動(dòng)態(tài)鏈接庫方式進(jìn)行實(shí)現(xiàn)，方便現(xiàn)有維護(hù)系統(tǒng)進(jìn)行功能的增加，配置文件主要包含鏡像端口網(wǎng)卡信息、當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)下合法設(shè)備信息以及各設(shè)備通信鏈路配置，基于靜態(tài)配置文件來實(shí)現(xiàn)網(wǎng)卡的選擇、數(shù)據(jù)包的獲取及保持、協(xié)議解析及分析以及非法侵入設(shè)備等報(bào)警處理。

表1 RSSP-1和RSSP-2通信協(xié)議特點(diǎn)對照表Tab.1 Comparison table of communication protocol characteristics between RSSP-1 and RSSP-2

2.1 軟件功能結(jié)構(gòu)圖

軟件啟動(dòng)后首先完成軟件自檢及配置文件信息的讀取及格式檢查，之后根據(jù)配置文件內(nèi)容選取對應(yīng)的網(wǎng)卡，調(diào)用WinPcap 的API 接口實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)獲取，通過獨(dú)立線程完成數(shù)據(jù)的記錄及壓縮，并同時(shí)執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)的分層、分類分析及報(bào)警功能。軟件的大體流程圖如圖1 所示。

2.2 軟件模塊劃分

軟件大致分為數(shù)據(jù)配置模塊、網(wǎng)絡(luò)采集模塊、數(shù)據(jù)存儲及壓縮模塊、網(wǎng)絡(luò)數(shù)據(jù)分析模塊、告警模塊以及信息反饋模塊。

1）數(shù)據(jù)配置模塊

數(shù)據(jù)配置模塊主要負(fù)責(zé)處理端口鏡像網(wǎng)卡信息，高速鐵路信號信息安全數(shù)據(jù)網(wǎng)節(jié)點(diǎn)配置信息等。

根據(jù)高速鐵路信號信息安全數(shù)據(jù)網(wǎng)雙網(wǎng)冗余的特點(diǎn)，端口鏡像網(wǎng)卡需單獨(dú)配置左網(wǎng)及右網(wǎng)兩塊網(wǎng)卡的網(wǎng)卡IP 地址，軟件初始化時(shí)根據(jù)不同網(wǎng)卡IP地址找到對應(yīng)網(wǎng)卡進(jìn)行后面的數(shù)據(jù)采集操作。

各節(jié)點(diǎn)中往往存在本節(jié)點(diǎn)設(shè)備與外部多個(gè)類型設(shè)備的通信內(nèi)容，在網(wǎng)絡(luò)節(jié)點(diǎn)配置中需明確寫明當(dāng)前網(wǎng)絡(luò)節(jié)點(diǎn)與外部設(shè)備通信的冗余鏈路信息，8 條鏈路信息分別為本設(shè)備的雙系與對方設(shè)備雙系在左右網(wǎng)上的不同鏈路，網(wǎng)絡(luò)鏈路結(jié)構(gòu)表如表2 所示。

圖1 軟件業(yè)務(wù)流程圖Fig.1 Flow chart of software business

表2 網(wǎng)絡(luò)鏈路結(jié)構(gòu)表Tab.2 Network link structure table

由于不同設(shè)備間通信方式的不同，后期數(shù)據(jù)分析的方法也相應(yīng)存在差異，在網(wǎng)絡(luò)節(jié)點(diǎn)配置中需要標(biāo)識各條鏈路的兩側(cè)設(shè)備類型、兩側(cè)設(shè)備IP 及端口、鏈路通信方式、通信協(xié)議版本等參數(shù)。

2）網(wǎng)絡(luò)采集模塊

網(wǎng)絡(luò)采集模塊通過數(shù)據(jù)配置模塊反饋的基礎(chǔ)配置信息后，對不同的端口鏡像網(wǎng)卡進(jìn)行初始化，以單獨(dú)網(wǎng)卡單獨(dú)線程的方式調(diào)用WinPcap 的采集接口，實(shí)時(shí)獲取各個(gè)網(wǎng)卡的全部網(wǎng)絡(luò)鏡像數(shù)據(jù)，加入網(wǎng)絡(luò)采集的ms 級時(shí)鐘戳后形成獨(dú)立的隊(duì)列數(shù)據(jù)，供分析及存儲模塊使用。

3）數(shù)據(jù)存儲及壓縮模塊

為實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的后期分析功能，需對實(shí)時(shí)采集的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行存儲及壓縮操作，存儲的文件格式為基于Wireshark 的★.pcap 文件格式，之后以小時(shí)為單位定期對同一小時(shí)的文件壓縮成★.rar 格式的壓縮文件，以減少對磁盤的消耗。

模塊獲取當(dāng)前系統(tǒng)時(shí)鐘，首先創(chuàng)建包含年、月、日、時(shí)、分、秒信息的目標(biāo)文件，通過pcap_dump_open()函數(shù)實(shí)現(xiàn)文件打開操作，通過pcap_dump()函數(shù)實(shí)現(xiàn)文件的實(shí)時(shí)寫入操作。為了減少文件容量過大導(dǎo)致的壓縮效率降低，以及目標(biāo)文件異常引起的數(shù)據(jù)丟失情況，模塊進(jìn)行寫入操作時(shí)同時(shí)監(jiān)控文件的大小，待文件超過50 M 后創(chuàng)建新的目標(biāo)文件，之后持續(xù)進(jìn)行文件的記錄操作。

模塊設(shè)置獨(dú)立的定時(shí)器，以1 h 為單位，當(dāng)定時(shí)器觸發(fā)后檢查當(dāng)前日志存儲目錄下的所有★.pcap文件內(nèi)容，以文件名為依據(jù)將上一個(gè)小時(shí)的文件篩選出來，調(diào)用rar 文件壓縮庫實(shí)現(xiàn)整小時(shí)文件的壓縮操作。同時(shí)根據(jù)配置內(nèi)容，檢查所有rar 后綴名的文件，若文件時(shí)間超過30 天則針對文件進(jìn)行刪除操作。

4）網(wǎng)絡(luò)數(shù)據(jù)分析模塊

網(wǎng)絡(luò)數(shù)據(jù)分析模塊根據(jù)左右網(wǎng)的劃分，實(shí)時(shí)獲取網(wǎng)絡(luò)數(shù)據(jù)隊(duì)列中內(nèi)容，根據(jù)各條鏈路的兩側(cè)設(shè)備類型、兩側(cè)設(shè)備IP 及端口、鏈路通信方式、通信協(xié)議版本等參數(shù)，將散列的網(wǎng)絡(luò)數(shù)據(jù)拆分成不同的鏈路數(shù)據(jù)區(qū)，根據(jù)設(shè)備間的配置參數(shù)，判斷當(dāng)前鏈路的物理通信狀態(tài)，包括數(shù)據(jù)包的有無、數(shù)據(jù)包發(fā)送間隔、數(shù)據(jù)包長度等信息，通過設(shè)置的通信質(zhì)量閥值，判斷當(dāng)前鏈路通道的穩(wěn)定性，同時(shí)根據(jù)配置的設(shè)備間通信協(xié)議版本、協(xié)議類型及內(nèi)容解析數(shù)據(jù)包中的關(guān)鍵數(shù)據(jù)內(nèi)容，符合正常通信狀態(tài)的內(nèi)容存儲至關(guān)鍵數(shù)據(jù)內(nèi)容數(shù)據(jù)區(qū)，不符合正常通信協(xié)議要求的內(nèi)容存儲至異常數(shù)據(jù)區(qū)內(nèi)。以消息方式發(fā)送給信息反饋模塊進(jìn)行后續(xù)處理。

網(wǎng)絡(luò)數(shù)據(jù)分析模塊同時(shí)將無法識別的網(wǎng)絡(luò)數(shù)據(jù)存儲在獨(dú)立的異常數(shù)據(jù)區(qū)內(nèi)，通過對數(shù)據(jù)的ip、端口、消息包類型信息進(jìn)行分析，判斷是否為可識別數(shù)據(jù)內(nèi)容，形成相應(yīng)的告警內(nèi)容，同時(shí)針對分析模塊的結(jié)果進(jìn)行異常數(shù)據(jù)的分析，形成告警信息，將上述內(nèi)容以消息方式實(shí)時(shí)發(fā)送給告警模塊進(jìn)行后續(xù)處理。

5）告警模塊以及信息反饋模塊

告警模塊將分析模塊反饋的告警信息以設(shè)備為單位進(jìn)行匯總，分為設(shè)備告警、設(shè)備告警恢復(fù)兩大類型，疊加上告警出現(xiàn)或恢復(fù)時(shí)的時(shí)鐘信息內(nèi)容后實(shí)時(shí)發(fā)送給上層接口。

消息反饋模塊將分析模塊反饋的設(shè)備間通信狀態(tài)、關(guān)鍵數(shù)據(jù)內(nèi)容以設(shè)備為單位存入內(nèi)存數(shù)組中，在同一內(nèi)存區(qū)內(nèi)實(shí)時(shí)更新相同設(shè)備的最新狀態(tài)，以動(dòng)態(tài)的方式實(shí)時(shí)將內(nèi)存區(qū)中的內(nèi)容加上設(shè)備標(biāo)識打包發(fā)送給上層接口進(jìn)行處理。

3 結(jié)束語

高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)現(xiàn)階段僅能通過EMS 和NMS 實(shí)現(xiàn)設(shè)備層面的狀態(tài)監(jiān)測及告警，而數(shù)據(jù)層面的監(jiān)測及告警還未在實(shí)際設(shè)備中應(yīng)用。為達(dá)到信號系統(tǒng)平穩(wěn)安全運(yùn)行的目的，除了系統(tǒng)軟件層面管理外，提升系統(tǒng)的可維護(hù)性及故障定位的準(zhǔn)確性也是至關(guān)重要和十分必要的。本文對高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)的數(shù)據(jù)獲取及分析進(jìn)行了初步探索和嘗試，在保證現(xiàn)有信號系統(tǒng)穩(wěn)定運(yùn)行的前提下將本文說描述的功能疊加到各設(shè)備維護(hù)機(jī)中可大幅度提升基于高速鐵路信號系統(tǒng)安全數(shù)據(jù)網(wǎng)設(shè)備的可維護(hù)性和故障準(zhǔn)確定位功能。