基于隱馬爾可夫模型的CTCS無線通信系統(tǒng)入侵檢測分析

謝雨飛，田啟川

(北京建筑大學 電氣與信息工程學院， 北京 100044)

中國列車控制系統(tǒng)(Chinese Train Control System，CTCS)是為了保證列車安全運行，以分級形式滿足不同線路運輸需求的列控系統(tǒng)。鐵路專用全球數(shù)字移動通信系統(tǒng)(Global System for Mobile Communications-Railway，GSM-R)是在CTCS的3級和4級中用于車載子系統(tǒng)和列車控制中心進行雙向信息傳輸?shù)能嚨責o線通信系統(tǒng)，它的安全性與整個CTCS系統(tǒng)的安全性緊密相關(guān)[1]。

CTCS無線通信系統(tǒng)是一個開放式傳輸系統(tǒng)[2]，標準EN 50159-2[3]指出：“在開放傳輸系統(tǒng)中，無線通信系統(tǒng)自身存在的一些特性，可能導致信息傳輸存在一些錯誤或隱患，包括重復(Repetition)、刪除(Deletion)、插入(Insertion)、亂序(Resequence)、惡化(Corruption)、延時(Delay)、偽裝(Masquerade)。”因此，研究CTCS無線通信系統(tǒng)的安全性具有重要意義。

目前，針對CTCS無線通信系統(tǒng)安全方面的研究，往往是通過安全協(xié)議預防風險的發(fā)生，采用仿真結(jié)合檢驗的方式提高無線通信網(wǎng)絡的可靠性。例如，在國外， MORANT等[4]利用馬爾可夫模型對ETCS無線通信系統(tǒng)的安全性進行了建模分析，模擬外界入侵方法，分別測試系統(tǒng)的可靠性；HERMANNS等[5]利用StoCHARTS建立了ETCS無線通信系統(tǒng)模型，從網(wǎng)絡延遲、非法數(shù)據(jù)等方面對無線通信的可靠性進行了定量分析。在國內(nèi)，文獻[6]基于馬爾可夫鏈建立了鐵路通信多鏈路延遲模型，對多鏈路場景下各個部件的狀態(tài)信息進行建模，利用復雜隨機變量相關(guān)系數(shù)之間的關(guān)系，建立了具有不同延遲的相位模型，通過測量的方法，驗證了信道參數(shù)的可靠性；文獻[7]利用形式化模型對列控系統(tǒng)的安全通信協(xié)議性能進行仿真，運用決策論中的概念和理論對建立安全鏈接需要的時間和傳輸信息需要的時間數(shù)據(jù)進行分析，從而研究了制定安全通信協(xié)議的性能評價規(guī)則；文獻[8]根據(jù)列車通信網(wǎng)絡的需求，構(gòu)建一種并行傳輸?shù)木W(wǎng)絡架構(gòu)，通過改進的并行冗余協(xié)議PRP提高了基于以太網(wǎng)的列車通信網(wǎng)絡的可靠性；另外，文獻[9-12]通過Petri網(wǎng)、遺傳算法、神經(jīng)網(wǎng)絡等方法優(yōu)化了CTCS無線通信系統(tǒng)的性能指標。然而，這些方法都有不足之處：首先，它們都無法解決安全后門問題，沒有實時入侵檢測的能力；其次，對于病毒等軟件攻擊，都會顯得束手無策；更為重要的是，以往的方法只能在風險發(fā)生后才能分析并解決問題，都是被動的方法。因此，很多研究者嘗試采用主動策略，以求實時監(jiān)測無線網(wǎng)絡是否有入侵行為的發(fā)生，從而增強系統(tǒng)的安全性，其中一個有效的解決方法就是在系統(tǒng)中增加入侵檢測模塊。

本文基于隱馬爾可夫模型對CTCS無線通信系統(tǒng)進行入侵檢測，隱馬爾可夫鏈對于識別問題和故障檢測有著強大的分析能力。通過捕獲并分析CTCS無線通信系統(tǒng)安全層數(shù)據(jù)包，建立相應的隱馬爾可夫檢測模型，利用正常情況下系統(tǒng)數(shù)據(jù)包的特征訓練模型參數(shù)，模擬典型的攻擊方法測試了CTCS無線通信系統(tǒng)的入侵檢測能力。

1 CTCS無線通信系統(tǒng)存在的安全威脅

目前，對于CTCS無線通信系統(tǒng)的入侵方式有以下3種：針對信息的機密性進行攻擊；針對數(shù)據(jù)的完整性進行攻擊；針對用戶認證進行攻擊。對于這些攻擊的防范方式是基于加密和認證，然而，無論哪一種攻擊，都與數(shù)據(jù)包頭部異常有直接或間接的關(guān)系。因此，有必要對通信協(xié)議安全層的數(shù)據(jù)包結(jié)構(gòu)(特別是頭部結(jié)構(gòu))進行分析，從而研究整個系統(tǒng)的安全性。

1.1 CTCS無線通信協(xié)議安全層數(shù)據(jù)包的結(jié)構(gòu)

CTCS無線通信系統(tǒng)的安全通信協(xié)議將一個完整的通信過程分為安全鏈接的建立、安全數(shù)據(jù)的傳輸、安全鏈接的斷開3個階段[13]，每個階段都有相應的協(xié)議數(shù)據(jù)單元的發(fā)送、接收和轉(zhuǎn)換，分別見圖1～圖3，協(xié)議安全層數(shù)據(jù)包結(jié)構(gòu)如表1～表3所示，表中的數(shù)字表示該字段所占的字節(jié)數(shù)，×表示沒有該字段。

圖1 建立鏈接

圖2 安全數(shù)據(jù)傳輸

圖3 斷開鏈接

表1 安全層數(shù)據(jù)包結(jié)構(gòu)(建立鏈接)

表2 安全層數(shù)據(jù)包結(jié)構(gòu)(安全數(shù)據(jù)傳輸)

表3 安全層數(shù)據(jù)包結(jié)構(gòu)(斷開鏈接)

其中，安全層協(xié)議各字段的含義如下：

ETY：被叫對象的ID類型，3 bit；

MTI：信息類型標識，4 bit；

DF：信息傳輸方向標識，1 bit；

SA：呼叫方ID，3 Byte；

SaF：可接受的安全特性標識，取值為預設定的，1 Byte；

Rd：用于生成密鑰的隨機數(shù)，8 Byte；

MAC：信息驗證碼，8 Byte；

User Data：用戶數(shù)據(jù)，不定長；

Reason：斷開鏈接原因，1 Byte；

Sub-Reason：斷開鏈接子原因，1 Byte。

1.2 安全性分析

目前，對CTCS無線通信系統(tǒng)安全層協(xié)議數(shù)據(jù)包的攻擊主要有兩種形式[14-15]：一種形式稱為泛洪攻擊(Flood攻擊)，這種攻擊通常是在目標網(wǎng)絡中不斷地發(fā)送大量偽造數(shù)據(jù)包，造成網(wǎng)絡資源和帶寬被惡意侵占，從而造成網(wǎng)絡無法提供正常的服務；另一種攻擊是利用協(xié)議本身的一些固有缺陷或者是協(xié)議設計中的不合理，通過偽裝的方式來盜取或截獲信息(Spoof攻擊)，從而破壞網(wǎng)絡的正常訪問或者非法竊取信息。以上兩種攻擊都會給整個CTCS帶來極大的風險，必須加以防范。而這些網(wǎng)絡攻擊都可以通過對網(wǎng)絡協(xié)議數(shù)據(jù)包的分析，提前檢測出來。

2 基于隱馬爾可夫模型的入侵檢測建模

2.1 隱馬爾可夫模型

隱馬爾可夫模型(Hidden Markov Model，HMM)是統(tǒng)計模型[16]，它用來描述一個含有隱含未知參數(shù)的馬爾可夫過程。一個標準的隱馬爾可夫模型可以表示為五元組(S,O,π,A,B)。其中，S表示隱含狀態(tài)，這些狀態(tài)之間滿足馬爾可夫性質(zhì)，通常無法直接觀測；O表示可觀測狀態(tài)，在模型中，這些狀態(tài)與隱含狀態(tài)相關(guān)聯(lián)，并且可以直接觀測；π為初始狀態(tài)概率矩陣，表示隱含狀態(tài)在初始時刻的狀態(tài)轉(zhuǎn)移概率分布，π=[πi]表示初始狀態(tài)為i的概率；A為隱含狀態(tài)轉(zhuǎn)移概率矩陣，描述了HMM模型中各個狀態(tài)之間的轉(zhuǎn)移概率，A=[aij]，其中aij為從狀態(tài)i到狀態(tài)j的轉(zhuǎn)移概率；B是觀測狀態(tài)轉(zhuǎn)移概率矩陣，B=[bi(k)]，其中bi(k)表示當前狀態(tài)為i，觀測值為k的概率。

2.2 CTCS無線通信系統(tǒng)入侵模型

一般來說，可以直接利用無線通信網(wǎng)絡數(shù)據(jù)包作為隱馬爾可夫模型觀測序列的一個觀測值。為了簡化起見，忽略用戶數(shù)據(jù)，以減少狀態(tài)空間。因為無論用戶數(shù)據(jù)的長度為多少，對于模型分析結(jié)果來說，不會有任何影響，所以取用戶數(shù)據(jù)長度l=0最為簡單。根據(jù)表1～表3中安全層數(shù)據(jù)包結(jié)構(gòu)字段的大小，最長的數(shù)據(jù)包包含21 Byte(除用戶數(shù)據(jù)外)，即168 bit。通常模型的觀測值取2n，則最小的n=8，觀測值數(shù)量為N=256個，令模型的觀測值符號V={v0,v1,v2,…,vN-1}；隱含狀態(tài)集合S={s0,s1,s2,…,sN-1}；隱含狀態(tài)轉(zhuǎn)移概率矩陣A=[aij]N×N；觀測狀態(tài)轉(zhuǎn)移概率矩陣B=[bi(k)]N×N；初始狀態(tài)概率矩陣π=[πi]1×N；一個可觀測序列就是一個除去了用戶數(shù)據(jù)后的數(shù)據(jù)包，令模型的可觀測序列為O={o1,o2,…,oT}，其中oi是該序列的第i個觀測值，也是所觀測數(shù)據(jù)包的第i字段的值，T為每一個觀測樣本的長度。

2.3 訓練過程

在許多實際問題中，參數(shù)都不能直接計算，而是需要進行估計，這就是隱馬爾可夫模型的訓練問題(也可稱為學習問題)。訓練問題的核心是當獲得觀測序列O={o1,o2,…,oT}后，調(diào)整模型參數(shù)A、B、π，使得觀測值序列概率P(O|λ)取得最大值，其中，λ=(A,B,π)表示HMM的模型參數(shù)。通過對模型參數(shù)A、B、π的不斷調(diào)整，使得模型記憶正常狀態(tài)時CTCS無線網(wǎng)絡系統(tǒng)的狀態(tài)。本文利用Forward-Backward算法[17]進行模型評價，用Baum-Welch算法[18]進行參數(shù)估計。

Forward-Backward算法的思路是：首先對隱馬爾可夫模型的參數(shù)進行初始估計，但這種估計很可能是錯誤的，然后通過對于給定的數(shù)據(jù)來評估這些參數(shù)的值，并減少它們所引起的錯誤，以重新修訂這些模型參數(shù)。Forward-Backward算法對P(O|λ)求解方法如下：

對于一個狀態(tài)序列X={x1,x2,…，xT}，有

( 1 )

P(O,X|λ)=P(O|X,λ)P(X|λ)

( 2 )

則所求概率為

( 3 )

Baum-Welch算法是為了解決隱馬爾可夫模型中的參數(shù)估計問題，其思路是：對于給出的觀測序列，估計模型參數(shù)，使得在該模型下觀測序列概率最大。用Baum-Welch算法估計參數(shù)A、B、π的方法如下：

給出模型參數(shù)λ和觀測序列O，定義二元函數(shù)γt(i,j)=P(xt=qi,xt+1=qj|O,λ)表示在t時刻由狀態(tài)qi轉(zhuǎn)換到t+1時刻的狀態(tài)qj的概率。這個二元函數(shù)可以用字母α和β重寫為

( 4 )

( 5 )

綜上，模型參數(shù)λ=(A,B,π)的訓練過程為：

Step1捕獲CTCS無線通信系統(tǒng)數(shù)據(jù)包，解釋數(shù)據(jù)包，提取除用戶數(shù)據(jù)以外的所有信息。

Step2模擬需要檢測的CTCS無線通信系統(tǒng)的各種入侵方式。

Step3利用Forward-Backward算法計算觀測值序列概率P(O|λ)。

Step4用Baum-Welch算法評估參數(shù)A、B、π。

Step5再次利用Forward-Backward算法計算觀測值序列概率，如果收斂則停止，否則重新用Baum-Welch算法評估參數(shù)，直至收斂。

訓練過程見圖4。

圖4 模型訓練過程

2.4 閾值的確定

CTCS無線網(wǎng)絡入侵檢測的性能與閾值的選擇相關(guān)：如果閾值過大，檢測率提高，但是錯誤率隨之提高；如果閾值過小，錯誤率降低，但檢測率隨之降低。因此，如何確定閾值，需要綜合考慮入侵檢測率和錯誤率兩個因素。有兩種方式來確定閾值。

第一種方式是在訓練階段，計算每一個觀測序列的觀測值序列概率P(O|λ)，在所有的計算值中選擇最小值當作閾值。當訓練完成進入實際檢測時，計算檢測到的所有觀測序列的P(O|λ)，逐一與訓練階段設定的閾值比較。如果P(O|λ)小于閾值，那么此觀測序列即為異常序列；如果P(O|λ)大于閾值，則為正常序列。該閾值確定方法的優(yōu)點是過程比較簡單，缺點是該方法對系統(tǒng)的訓練環(huán)境要求比較嚴格：要求參加訓練的所有數(shù)據(jù)必須是正常的；在訓練過程中，閾值不能更新。

第二種方式是利用試驗結(jié)果動態(tài)調(diào)整閾值。在利用隱馬爾可夫模型檢測在正常情況下的網(wǎng)絡數(shù)據(jù)包時，可以得到一系列的觀測序列的P(O|λ)。由于是在正常情況下檢測到的，因此閾值一定會比所有的P(O|λ)小，這樣就可以初步確定P(O|λ)的范圍。當有非法入侵的情況發(fā)生時，逐一計算每一個觀測序列的P(O|λ)，由于此時是在入侵檢測過程中，并不保證所有序列的正常性，因此，有一小部分的P(O|λ)小于閾值，該部分比例的具體數(shù)值可以通過計算獲得，這樣就能動態(tài)調(diào)整閾值的取值。這種方式的優(yōu)點是精度比較高，然而，由于在實際中不可能模擬全部的入侵形式，所以這種方式同樣也會存在誤差。

3 CTCS無線通信系統(tǒng)入侵檢測系統(tǒng)設計

試驗檢測系統(tǒng)包括1個控制臺、1臺服務器、1個模擬攻擊者、3個無線數(shù)據(jù)采集器、2列追蹤列車、2個基站收發(fā)臺(Base Transceiver Station，BTS)、1個基站控制器(Base Station Controller，BSC)、1個移動交換中心(Mobile Switching Center，MSC)、1個無線閉塞中心(Radio Block Center，RBC)等部分，見圖5。

圖5 攻擊檢測系統(tǒng)結(jié)構(gòu)

模型攻擊者由配備與CTCS無線通信系統(tǒng)相適應的PC構(gòu)成，模擬攻擊者可能使用的攻擊軟件包括Void11 tool、File2air tool、Airjack、KisMAC、WEPWedgie、aircrack-ng、MDK3等Linux系統(tǒng)平臺上的攻擊軟件。無線數(shù)據(jù)采集器用于捕獲無線網(wǎng)絡中的數(shù)據(jù)包，其數(shù)據(jù)由GSM-R定時提供，其中GSM-R每隔一定時間向采集器1發(fā)送一組列車1的實時數(shù)據(jù)，向采集器2發(fā)送一組模擬攻擊者數(shù)據(jù)，向采集器3發(fā)送一組列車2的數(shù)據(jù)。服務器管理多個無線數(shù)據(jù)采集器采集到的數(shù)據(jù)，并對數(shù)據(jù)進行存儲，分析網(wǎng)絡數(shù)據(jù)包，實現(xiàn)數(shù)據(jù)包解析、訓練模塊、異常檢測等功能。控制臺連接服務器，用于顯示和控制。BTS完成無線通信網(wǎng)絡和列車之間的通信和管理功能。BSC為基站子系統(tǒng)的控制和管理部分，負責完成無線網(wǎng)絡管理、無線資源管理及無線基站的監(jiān)視管理，控制移動臺與BTS無線連接的建立、持續(xù)和拆除等管理。MSC完成網(wǎng)絡中基本的交換功能，實現(xiàn)列車與RBC之間的通信連接。RBC為一個安全計算機系統(tǒng)，它根據(jù)來自外部信號系統(tǒng)(如聯(lián)鎖設備)的信息，以及與車載設備交換的列車位置和完整性報告，生成列車移動授權(quán)信息，以保證列車在無線閉塞中心的管轄范圍內(nèi)安全運行。

在圖5的結(jié)構(gòu)中，CTCS無線通信系統(tǒng)入侵檢測的核心功能集中于服務器中，服務器功能模塊的處理過程見圖6。

圖6 服務器處理過程

4 試驗結(jié)果分析

4.1 CTCS無線通信系統(tǒng)正常狀態(tài)的模擬

利用隱馬爾可夫模型檢測CTCS無線通信系統(tǒng)的入侵，首先必須通過訓練來確定在正常情況下的模型參數(shù)。由于正常情況下CTCS無線通信系統(tǒng)中存在高速大容量的數(shù)據(jù)交互，為了不失一般性，我們在實驗室環(huán)境下收集了7 d的網(wǎng)絡數(shù)據(jù)包，每天隨機捕獲48次(平均每30 min捕獲一次)，每次捕獲當CTCS無線通信系統(tǒng)在正常情況下的 256個數(shù)據(jù)包。

試驗過程中，兩列列車均用仿真機代替，試驗檢測系統(tǒng)的其他設備都是真實設備。入侵檢測主要在服務器中完成，服務器硬件配置：處理器為8核；內(nèi)存為16 GB；網(wǎng)絡連接為1 000 Mbit/s。服務器運行參數(shù)如表4所示。

表4 參數(shù)設置

在整個過程中，必須確保CTCS無線通信系統(tǒng)沒有被入侵。然后，編輯兩種常見的攻擊(Flood攻擊和Spoof攻擊)腳本，入侵CTCS無線通信系統(tǒng)。最后用經(jīng)過訓練的隱馬爾可夫模型對模型的正確性和可靠性進行分析。

將觀測值以時間為序排列為一個T元序列O={o1,o2,…,oT}，在這里，取T=256(T可根據(jù)情況自行設計)，見圖7。

圖7 觀測序列的獲得

得出正常狀態(tài)下的隱馬爾可夫模型后，需要對模型進行驗證。在試驗中，一共輸入6個觀測序列至隱馬爾可夫模型中進行計算，其中o1、o2、o3是訓練模型出現(xiàn)過的觀測序列，o4、o5、o6是訓練模型未出現(xiàn)過的序列。o4、o5、o6也有其代表特征：序列o4雖然未被訓練，但是其中有個別的狀態(tài)轉(zhuǎn)移在訓練序列中出現(xiàn)過；序列o5中所有的狀態(tài)轉(zhuǎn)移均未被訓練；序列o6則由從未出現(xiàn)過的狀態(tài)組成。計算概率如表5所示。由于計算概率數(shù)值一般都比較小，為了記錄方便，取計算概率數(shù)值的自然對數(shù)(即lnP)。因此，計算概率數(shù)值越大表明實際概率越大，說明越匹配；相反，計算概率數(shù)值越小則表明實際概率越小，說明越不匹配。

表5 計算概率數(shù)值

可以看出，模型通過算法能夠計算出序列和模型的匹配程度，且區(qū)分度較高，按序列跟模型的相似程度，會得出不同的計算概率。還可以看出，訓練過的序列計算概率一般大于e-20，因此，閾值可以設置為e-20：小于e-20表示與模型不匹配，即發(fā)生入侵；大于e-20表示與模型相匹配，未發(fā)生入侵。

根據(jù)閾值的設置，可以在CTCS無線網(wǎng)絡正常狀態(tài)下，利用無線數(shù)據(jù)采集器將無線網(wǎng)絡中的數(shù)據(jù)傳輸至服務器，對數(shù)據(jù)包進行處理，得到觀測序列值，將觀測序列值放入訓練后的隱馬爾可夫模型中進行計算，可得到匹配概率，截取部分檢測數(shù)據(jù)見圖8。

圖8 CTCS無線網(wǎng)絡正常狀態(tài)下概率匹配曲線

4.2 Flood攻擊檢測

試驗模擬Flood攻擊的步驟如下：

Step1監(jiān)聽整個無線網(wǎng)絡，當發(fā)現(xiàn)有正常的列車車載設備(圖1中的發(fā)送方)需要建立鏈接而發(fā)出AU1數(shù)據(jù)包時，在模擬攻擊者中立即偽造出大量的AU2數(shù)據(jù)包，其中的信息可以隨機生成，在試驗CTCS無線通信系統(tǒng)內(nèi)發(fā)送出去。

Step2地面設備(圖1中的接收方)同時接收到來自合法的列車車載設備和模擬攻擊者的大量AU2數(shù)據(jù)包，會占用大量的系統(tǒng)資源進行校驗和緩存，從而使得系統(tǒng)性能迅速降低。

利用無線數(shù)據(jù)采集器將無線網(wǎng)絡中的數(shù)據(jù)傳輸至服務器，對數(shù)據(jù)包進行處理，得到觀測序列值，將觀測序列值放入訓練后的隱馬爾可夫模型中進行計算，可以得到匹配概率，截取部分攻擊檢測數(shù)據(jù)見圖9。

圖9 Flood攻擊檢測概率匹配曲線

可以看出，除了在開始建立鏈接的時候，有少量匹配概率處于非正常的情況外，在網(wǎng)絡正常情況下匹配概率值都大于閾值e-20。當模擬攻擊者在時間t=30 s時，網(wǎng)絡發(fā)生攻擊，網(wǎng)絡的狀態(tài)出現(xiàn)明顯的變化，匹配概率值迅速下降，并且一直小于閾值e-20，說明網(wǎng)絡狀態(tài)出現(xiàn)明顯的異常，檢測到了攻擊。

在試驗過程中，可以對閾值進行調(diào)整，觀測閾值的變化對檢測結(jié)果的影響，從而驗證參數(shù)對性能指標所起的作用，這些性能指標主要是模型誤檢率和漏檢率，如表6所示。

表6 Flood攻擊模型誤檢率和漏檢率

可以看出，誤檢率和漏檢率均低于5%，維持在較低的水平。

4.3 Spoof攻擊檢測

試驗模擬Spoof攻擊的步驟如下：

Step1由于斷開鏈接請求具有較高優(yōu)先級，當某一列車車載設備已經(jīng)與地面設備建立鏈接后，模擬攻擊者偽裝成該列車車載設備發(fā)送DI數(shù)據(jù)包。

Step2地面設備接收到來自合法列車車載設備的DT數(shù)據(jù)包，以及來自模擬攻擊者的DI數(shù)據(jù)包，由于處理DI數(shù)據(jù)包的優(yōu)先級比DT數(shù)據(jù)包要高，因此地面設備將鏈接斷開，此時需要重新建立鏈接才能繼續(xù)通信。

Step3模擬攻擊者不斷發(fā)送偽造的DI數(shù)據(jù)包，使得合法設備一直不能成功建立鏈接。

利用4.2節(jié)同樣的方法截取部分攻擊檢測數(shù)據(jù)見圖10。

圖10 Spoof攻擊檢測概率匹配曲線

可以看出，當模擬攻擊者在時間t=30 s后，檢測到了攻擊，結(jié)果與4.2節(jié)類似。對閾值進行調(diào)整，可以得到表7所示的模型誤檢率和漏檢率。

表7 Spoof攻擊模型誤檢率和漏檢率

由于在試驗中Spoof攻擊利用的是DI數(shù)據(jù)包，與AU2數(shù)據(jù)包相比，其數(shù)據(jù)量少，因此相對來說，檢測會容易一些。從結(jié)果也可以看出，誤檢率和漏檢率比Flood攻擊檢測試驗要小，誤檢率和漏檢率均低于2%，有較好的正確性和可靠性。

5 結(jié)論

本文利用隱馬爾可夫建模對CTCS無線通信系統(tǒng)進行了入侵檢測，建立了系統(tǒng)模型，在CTCS無線通信系統(tǒng)正常情況時對模型參數(shù)A、B、π進行了訓練，并確定了閾值。通過對常見攻擊方式的模擬，對入侵檢測系統(tǒng)進行了仿真試驗，分析了檢測結(jié)果的正確性和可靠性，驗證了系統(tǒng)入侵檢測的效果和能力，證明了系統(tǒng)的價值和可行性。

從試驗過程和結(jié)果來看，相對于以往的自動機、Petri網(wǎng)方法，本文的方法在性能上至少具有2個優(yōu)勢：①本文算法可以通過訓練，適應檢測多種不同類型的攻擊，而以往的模型檢驗都需要對特定的場景分別建模，并不具有一般性；②本文方法實現(xiàn)成本更低，因為它不需要對現(xiàn)有地面和車載系統(tǒng)做任何修改，只需要定時從GSM-R中采集數(shù)據(jù)即可。

需要指出的是，本文方法針對的是CTCS無線通信系統(tǒng)安全層數(shù)據(jù)包，并沒有涉及網(wǎng)絡的底層協(xié)議。另外，沒有考慮不同應用環(huán)境和網(wǎng)絡結(jié)構(gòu)對結(jié)果的影響；在模型參數(shù)的訓練中，由于矩陣規(guī)模較大而導致計算速度慢也是需要改進的方面，這些都是后續(xù)工作需要研究的內(nèi)容。