基于數據挖掘的城市軌道交通信息安全檢測

王瑋, 龐婷婷

(西安交通工程學院,交通運輸學院， 陜西,西安 710000)

0 引言

隨著計算機、通信網絡、控制技術的發展，列車運行控制系統(communications based train control system, CBTC)融入了更多的外圍設備，自動化和信息化水平提高的同時，其網絡安全防護系統面臨著更高的挑戰[1]。由于城市軌道交通的數據通信系統(data communication system, DCS)與傳統網絡系統的應用特性存在差異，傳統IT網絡入侵檢測方案無法完全滿足軌道交通信息安全要求，目前對CBTC系統的網絡入侵檢測問題的研究仍不夠成熟。文中結合軌道交通信息系統中異常數據占比少的特點，提出了一種基于單分類支持向量機(one class support vector machines, OCSVM)的分類模型，可有效實現正常數據和入侵數據的準確分離識別。

1 數據通信網絡結構

DCS是列車運行自動控制系統的重要子系統之一，保障DCS系統的信息安全對軌道交通系統安全運行具有重要意義。DCS系統主要由骨干網絡和無線網絡2部分構成，其網絡結構[2]如圖1所示。其中，骨干網絡主要負責為地面設備提供信息數據傳輸的通道，一般可采取同步序列組網，或者利用交換技術構成環形網絡。無線網絡利用空間媒介進行信息傳輸，一般使用WLAN設備實現無線網絡接入，通信協議采用IEEE 802.11，實現數據的高速雙向實時傳輸。為了保證通信的穩定性和安全性，DCS通信網絡多采取冗余環形結構，若一個子網絡發生數據傳輸故障時，數據仍可以利用其它子網絡進行傳輸，以保證網絡系統的正常運行。地面設備的骨干網絡同樣分為多個不同類型的子網絡，其中包括2個信號網絡，2個ATS網，1個維護網，信號網絡和ATS網絡均進行了冗余設計。DCS網絡安全隱患主要來源于網絡設備、操作系統和通信協議等，主要受到的網絡攻擊可分為DOS攻擊和數據欺騙，DOS攻擊主要是指對服務器進行攻擊，致使其無法正常運行，例如語義攻擊和暴力攻擊。數據欺騙主要是利于系統和通信協議的漏洞，通過信息欺騙的方式竊取數據信息，或者進行惡意的信息篡改。

圖1 軌道交通數據通信系統結構圖

2 基于數據挖掘的信息檢測

數據挖掘主要是指利用數據處理算法從大量數據中發掘隱含信息，其在特征提取方面表現出良好的性能，在信息安全檢測方面得到廣泛應用。通過數據挖掘檢測方法對大量的網絡數據和訪問記錄進行訓練，實現檢測模型的建模和參數整定，利用訓練獲得的檢測模型對實時數據進行檢測篩選，挖掘出隱藏的網絡入侵行為[3]。數據挖掘是以數據流量為研究對象，通過對正常數據和異常數據的分析，提取出隱藏在數據中的規律，從而實現對入侵行為的辨別，網絡入侵檢測流程如圖2所示。常用的檢測算法包括分類、關聯分析、聚類等。其中，分類算法主要原理是利用分類模型對數據進行預測，將數據分割判定為正常或者異常兩類，其關鍵問題在于分類模型的構建和參數整定，常用的分類方法包括最近鄰分類、決策樹分類、人工神經網絡、支持向量機等[4]。由于軌道交通網絡通信中，正常數據占有的比例非常大，入侵數據僅占有極少的比例，訓練樣本具有數據量小的特點，而基于支持向量機的分類模型無需大容量的訓練數據，更適用于軌道交通網絡的通信數據特點。

圖2 信息檢測流程

3 基于OCSVM算法的分類模型

DCS信息網絡系統的數據流和通信周期比較穩定，并且具備一定的規律性，采集到的數據大多為正常的數據，僅有非常小的數據量為異常的數據，這一特點為異常檢測提供了比較好的檢測環境，如果能夠對正常數據量構建準確的模型，即可實現對異常行為的檢測。單分類支持向量機(OCSVM)算法是一種基于支持向量機的特殊二分類模型，主要通過尋找一個超平面實現精準分類,只需具備一類樣本即可實現模型訓練[5]。超平面法是利用核函數將輸入數據空間映射到高斯空間中，在映射的高斯空間中尋找超平面，較理想的超平面應最大限度將樣本點和原點進行分開，超平面示意圖[6-7]見圖3。

超平面的求解式為式(1)，

(1)

設輸入的訓練樣本為x1,…,xl∈X，其中X→H表示輸入空間向高斯空間進行映射，ω表示超平面的法向量，ρ表示

圖3 超平面法

超平面的偏移量，ξ表示松弛系數，反應樣本符合約束條件的程度。v為權衡系數，取值范圍為(0,1]，用于對支持向量的比例進行調節。

另外加入Lagrange算子實現對超平面的求解[6]，Lagrange算子[8]見式(2)，

(2)

選用的高斯核函數為式(3)：

(3)

通過計算得到最終的決策函數為式(4)，

(4)

將采集到的數據作為樣本輸入到上述檢測模型，訓練流程如圖4所示。其中，數據預處理環節主要是對原始數據進行特征提取和歸一化處理，使得數據格式符合算法數據格式要求。其次是對數據降維處理，提取出具備統計意義的特征，降低數據冗余性，從而提升訓練速度[9-10]。然后是對模型參數進行優化調整，特別是v和ρ2個最為重要的參數，其對模型準確性的影響非常大。最后，利用測試數據集對訓練所得到的模型進行驗證。

圖4 檢測模型訓練流程

4 仿真結果

由于軌道交通客流量分早晚高峰期和平峰期，列車的發車時間間隔也隨客流量變化而發生變化，不同客流量期間的數據通信流量也是動態變化的。為了模擬不同發車時間的間隔中對數據流量的檢測，模擬了3組不同發車時間間隔的數據樣本，并在樣本中加入了洪水攻擊型數據，數據樣本如表1所示。

表1 實驗樣本

將3組數據綜合在一起構成數據輸入集合，將綜合后的數據一部分用于訓練，另一部分作為測試集合，按照異常檢測模型流程對模型進行訓練并驗證。將3組數據輸入訓練獲得的檢測模型，測試仿真結果見表2。由仿真結果可見，在不同數據流量情況下，檢測模型均能表現出較強的檢測能力，對攻擊數據無漏檢情況，對正常數據的平均誤報率僅為1.01%，平均檢測時間為4.61 ms，滿足網絡信息安全檢測指標要求，驗證了模型的可靠性和高效性。

表2 仿真檢測結果統計

5 總結

城市軌道交通信息安全是列車正常安全運行和信息數據安全的有力保障，其中網絡入侵行為檢測是信息安全系統中最為重要的問題之一，目前對其檢測方法的研究仍不夠完善。基于數據挖掘的檢測方案可作為傳統網絡安全防護的補充，以提升網絡信息系統抵御網絡入侵能力，通過優化OCSVM模型參數可進一步降低其誤報率，可對該問題作進一步深入研究，以提升檢測性能。