本发明专利技术提供一种列车通信网络的安全防护系统及方法。系统包括部署在地面侧的安全运营管理中心以及部署在车载侧各列车编组网内的安全网关和态势感知主机,所述地面侧与车载侧通过无线通信网络连接;所述态势感知主机分别与列车编组网内的列车通信网络控制系统、安全网关连接;所述安全网关与列车编组网内的旅客信息系统以及维护接口连接。本发明专利技术基于态势感知的列车网络安全防护,具备识别已知的网络威胁并能感知未知威胁的能力,集主/被动防御为一体,强调整体联动协同,通过实时提取全网攻击行为信息、异常流量信息、威胁情报等信息,找到网络中可能存在的安全隐患,并在此基础上综合分析研判,为列车网络安全的持续提升提供决策支撑。策支撑。策支撑。
【技术实现步骤摘要】
一种列车通信网络的安全防护系统及方法
[0001]本专利技术涉及列车通信网络安全防护领域,具体而言,尤其涉及一种列车通信网络的安全防护系统及方法。
技术介绍
[0002]通信系统是先进列车的必要构成,针对列车通信系统,尤其是列车通信网络控制系统TCMS和旅客信息系统PIS潜在的网络安全威胁始终存在。一旦列车网络控制系统遭到入侵攻击,轻者可能造成列车无法启动,出现机破;重者可能引发列车行车安全事故,甚至危害国家安全。
[0003]针对列车车载网络安全防护,目前通常采用防火墙技术实现,但防火墙技术属于被动防护技术,无法对潜在的隐患进行主动处理。同时,由于列车各通信系统之间彼此间缺乏有效协作,被动防护技术无法进行组合式深度分析,也缺少多角度全景呈现,不能应对以高级可持续威胁攻击APT为代表的新型网络安全威胁,更无法实现对安全威胁的检测、响应以及溯源,难以适应现今复杂的安全环境。
技术实现思路
[0004]本专利技术提供一种列车通信网络的安全防护系统及方法。解决了应用在列车通信网络的被动防护技术无法对潜在的网络安全隐患进行有效感知、缺乏联动策略和深度分析能力的技术问题。本专利技术基于态势感知对列车网络安全防护,具备识别已知的网络威胁并能感知未知威胁的能力,集主/被动防御为一体,强调整体联动协同,通过实时提取全网攻击行为信息、异常流量信息、威胁情报等信息,找到网络中可能存在的安全隐患,并在此基础上综合分析研判,为列车网络安全的持续提升提供决策支撑。
[0005]本专利技术采用的技术手段如下:r/>[0006]一种列车通信网络的安全防护系统,包括部署在地面侧的安全运营管理中心以及部署在车载侧各列车编组网内的安全网关和态势感知主机,所述地面侧与车载侧通过无线通信网络连接;
[0007]所述态势感知主机分别与列车编组网内的列车通信网络控制系统、安全网关连接;所述安全网关与列车编组网内的旅客信息系统以及维护接口连接。
[0008]进一步地,所述系统还包括部署在地面侧的地面通信网关和部署车载侧的无线移动通信网关;
[0009]所述地面通信网关与安全运营管理中心连接,用于实现安全运营管理中心和车载无线移动通信网关的数据交互;
[0010]所述无线移动通信网关与安全网关连接,用于实现列车编组网和地面通信网关的数据交互。
[0011]进一步地,所述安全网关对接收的报文进行解析,依次通过网络层和应用层并行安全防护处理,再将通过处理的报文进行重组后对外发送;
[0012]所述网络层通过并行处理的方式进行ACL、NAT、VPN、路由转发和会话控制;
[0013]所述应用层通过并行处理的方式进行IPS、DPI、内容审计和TRDP应用控制。
[0014]进一步地,所述态势感知主机内嵌层次化列车网络安全态势感知模型,对列车通信网络进行入侵检测、流量监测、安全审计、日志审计,完成本车网络安全态势感知;
[0015]所述层次化列车网络安全态势感知模型包括:
[0016]采集部分,用于列车关键数据采集;
[0017]分析部分,用于车载端流量监控和关联分析;
[0018]评估部分,用于入侵检测、流量监测、安全审计以及日志审计;
[0019]预测部分,用于包括资产感知、攻击感知、风险感知、威胁感知和运行感知在内的态势感知。
[0020]进一步地,所述安全运营管理中心通过采集各态势感知主机的数据,获取安全信息进行综合安全态势呈现,实现信息监视、安全对象管理、弱点管理、威胁分析、事件溯源、预警通告、响应处置和可视化功能。
[0021]本专利技术还公开了一种列车通信网络的安全防护方法,包括以下步骤:
[0022]使用态势感知主机采集列车通信网络控制系统关键数据;
[0023]对所述列车关键数据进行分析,从而实现对车载端流量的监控;
[0024]基于车载端流量的监控结果进行入侵检测、流量监测、安全审计以及日志审计;
[0025]基于入侵检测结果、流量监测结果、安全审计以及日志审计结果进行包括资产感知、攻击感知、风险感知、威胁感知和运行感知在内的态势感知。
[0026]本专利技术还公开了一种列车通信网络的安全防护方法,包括以下步骤:
[0027]通过安全网关对接收的报文进行解析;
[0028]将解析的报文送入网络层并行安全防护处理,所述网络层通过并行处理的方式进行ACL、NAT、VPN、路由转发和会话控制;
[0029]将网络层输出的报文送入应用层并行安全防护处理,所述应用层通过并行处理的方式进行IPS、DPI、内容审计和TRDP应用控制;
[0030]再应用层并行对报文进行检测和重组后对外发送。
[0031]本专利技术还公开了一种列车通信网络的安全防护方法,包括以下步骤:
[0032]通过安全运营管理中心采集各态势感知主机发送的数据,并根据所述数据获取安全信息;
[0033]对所述安全信息进行综合安全态势呈现,包括信息监视、安全对象管理、弱点管理、威胁分析、事件溯源、预警通告、响应处置以及可视化处理。
[0034]较现有技术相比,本专利技术具有以下优点:
[0035]本专利技术提供的一种用于实现列车通信网络的安全防护系统及方法,是把态势感知技术应用在列车网络进行安全防护,解决列车网络安全被动防护缺乏联动策略和深度分析、无法识别未知威胁及不能应对APT威胁的问题,同时使用大数据分析技术,提高TCMS通信网络的威胁监测能力和风险预警能力。本专利技术技术方案带来的有益效果如下:(1)实现边界隔离和防护已知威胁;(2)实现对未知威胁的检测、溯源和防护;(3)对列车通信网络安全进行评估和预测,全方位感知列车通信网络的安全态势。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实
[0037]施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下5面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在
[0038]不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0039]图1为列车车地无线通信示意图。
[0040]图2为本专利技术列车通信网络的安全防护系统整体架构。
[0041]图3为本专利技术列车通信网络的安全防护系统单个列车编组架构。
[0042]图4为本专利技术安全网关功能模块图。
[0043]图5为本专利技术态势感知主机功能模块图。
[0044]图6为本专利技术安全运营管理中心功能模块图。
具体实施方式
[0045]5为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实
[0046]施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种列车通信网络的安全防护系统,其特征在于,包括部署在地面侧的安全运营管理中心以及部署在车载侧各列车编组网内的安全网关和态势感知主机,所述地面侧与车载侧通过无线通信网络连接;所述态势感知主机分别与列车编组网内的列车通信网络控制系统、安全网关连接;所述安全网关与列车编组网内的旅客信息系统以及维护接口连接。2.根据权利要求1所述的一种列车通信网络的安全防护系统,其特征在于,所述系统还包括部署在地面侧的地面通信网关和部署车载侧的无线移动通信网关;所述地面通信网关与安全运营管理中心连接,用于实现安全运营管理中心和车载无线移动通信网关的数据交互;所述无线移动通信网关与安全网关连接,用于实现列车编组网和地面通信网关的数据交互。3.根据权利要求1所述的一种列车通信网络的安全防护系统,其特征在于,所述安全网关对接收的报文进行解析,依次通过网络层和应用层并行安全防护处理,再将报文重组后对外发送;所述网络层通过并行处理的方式进行ACL、NAT、VPN、路由转发和会话控制;所述应用层通过并行处理的方式进行IPS、DPI、内容审计和TRDP应用控制。4.根据权利要求1所述的一种列车通信网络的安全防护系统,其特征在于,所述态势感知主机内嵌层次化列车网络安全态势感知模型,对列车通信网络进行入侵检测、流量监测、安全审计、日志审计,完成本车网络安全态势感知;所述层次化列车网络安全态势感知模型包括:采集部分,用于列车关键数据采集;分析部分,用于车载端流量监控和关联分析;评估部分,用于入侵检测、流量监测、安全审计以及日志审计;预测部分,用于态势感...
【专利技术属性】
技术研发人员:刘晨曦,杜振环,张立斌,李畅,
申请(专利权)人:中车大连电力牵引研发中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。