數(shù)據(jù)挖掘下軌道交通信息安全檢測淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了數(shù)據(jù)挖掘下軌道交通信息安全檢測淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對列車運行控制系統(tǒng)的通信網(wǎng)絡(luò)安全問題，提出了一種基于數(shù)據(jù)挖掘的信息安全檢測方案。以數(shù)據(jù)流為研究對象，結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點，提出單分類支持向量機模型，采用超平面法，將正常數(shù)據(jù)和入侵數(shù)據(jù)進行分類，實現(xiàn)網(wǎng)絡(luò)入侵行為的有效檢測。仿真結(jié)果表明，在不同數(shù)據(jù)流量情況下，檢測模型均能表現(xiàn)出較強的檢測能力。

關(guān)鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡(luò)安全；軌道交通；檢測；支持向量機

0引言

隨著計算機、通信網(wǎng)絡(luò)、控制技術(shù)的發(fā)展，列車運行控制系統(tǒng)（communicationsbasedtraincontrolsystem，CBTC）融入了更多的外圍設(shè)備，自動化和信息化水平提高的同時，其網(wǎng)絡(luò)安全防護系統(tǒng)面臨著更高的挑戰(zhàn)［1］。由于城市軌道交通的數(shù)據(jù)通信系統(tǒng)（datacommunicationsystem，DCS）與傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用特性存在差異，傳統(tǒng)IT網(wǎng)絡(luò)入侵檢測方案無法完全滿足軌道交通信息安全要求，目前對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵檢測問題的研究仍不夠成熟。文中結(jié)合軌道交通信息系統(tǒng)中異常數(shù)據(jù)占比少的特點，提出了一種基于單分類支持向量機（oneclasssupportvectormachines，OCSVM）的分類模型，可有效實現(xiàn)正常數(shù)據(jù)和入侵數(shù)據(jù)的準確分離識別。

1數(shù)據(jù)通信網(wǎng)絡(luò)結(jié)構(gòu)

DCS是列車運行自動控制系統(tǒng)的重要子系統(tǒng)之一，保障DCS系統(tǒng)的信息安全對軌道交通系統(tǒng)安全運行具有重要意義。DCS系統(tǒng)主要由骨干網(wǎng)絡(luò)和無線網(wǎng)絡(luò)2部分構(gòu)成，其網(wǎng)絡(luò)結(jié)構(gòu)［2］如圖1所示。其中，骨干網(wǎng)絡(luò)主要負責為地面設(shè)備提供信息數(shù)據(jù)傳輸?shù)耐ǖ?，一般可采取同步序列組網(wǎng)，或者利用交換技術(shù)構(gòu)成環(huán)形網(wǎng)絡(luò)。無線網(wǎng)絡(luò)利用空間媒介進行信息傳輸，一般使用WLAN設(shè)備實現(xiàn)無線網(wǎng)絡(luò)接入，通信協(xié)議采用IEEE802．11，實現(xiàn)數(shù)據(jù)的高速雙向?qū)崟r傳輸。為了保證通信的穩(wěn)定性和安全性，DCS通信網(wǎng)絡(luò)多采取冗余環(huán)形結(jié)構(gòu)，若一個子網(wǎng)絡(luò)發(fā)生數(shù)據(jù)傳輸故障時，數(shù)據(jù)仍可以利用其它子網(wǎng)絡(luò)進行傳輸，以保證網(wǎng)絡(luò)系統(tǒng)的正常運行。地面設(shè)備的骨干網(wǎng)絡(luò)同樣分為多個不同類型的子網(wǎng)絡(luò)，其中包括2個信號網(wǎng)絡(luò)，2個ATS網(wǎng)，1個維護網(wǎng)，信號網(wǎng)絡(luò)和ATS網(wǎng)絡(luò)均進行了冗余設(shè)計。DCS網(wǎng)絡(luò)安全隱患主要來源于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和通信協(xié)議等，主要受到的網(wǎng)絡(luò)攻擊可分為DOS攻擊和數(shù)據(jù)欺騙，DOS攻擊主要是指對服務(wù)器進行攻擊，致使其無法正常運行，例如語義攻擊和暴力攻擊。數(shù)據(jù)欺騙主要是利于系統(tǒng)和通信協(xié)議的漏洞，通過信息欺騙的方式竊取數(shù)據(jù)信息，或者進行惡意的信息篡改。

2基于數(shù)據(jù)挖掘的信息檢測

數(shù)據(jù)挖掘主要是指利用數(shù)據(jù)處理算法從大量數(shù)據(jù)中發(fā)掘隱含信息，其在特征提取方面表現(xiàn)出良好的性能，在信息安全檢測方面得到廣泛應(yīng)用。通過數(shù)據(jù)挖掘檢測方法對大量的網(wǎng)絡(luò)數(shù)據(jù)和訪問記錄進行訓(xùn)練，實現(xiàn)檢測模型的建模和參數(shù)整定，利用訓(xùn)練獲得的檢測模型對實時數(shù)據(jù)進行檢測篩選，挖掘出隱藏的網(wǎng)絡(luò)入侵行為［3］。數(shù)據(jù)挖掘是以數(shù)據(jù)流量為研究對象，通過對正常數(shù)據(jù)和異常數(shù)據(jù)的分析，提取出隱藏在數(shù)據(jù)中的規(guī)律，從而實現(xiàn)對入侵行為的辨別，網(wǎng)絡(luò)入侵檢測流程如圖2所示。常用的檢測算法包括分類、關(guān)聯(lián)分析、聚類等。其中，分類算法主要原理是利用分類模型對數(shù)據(jù)進行預(yù)測，將數(shù)據(jù)分割判定為正?；蛘弋惓深?，其關(guān)鍵問題在于分類模型的構(gòu)建和參數(shù)整定，常用的分類方法包括最近鄰分類、決策樹分類、人工神經(jīng)網(wǎng)絡(luò)、支持向量機等［4］。由于軌道交通網(wǎng)絡(luò)通信中，正常數(shù)據(jù)占有的比例非常大，入侵數(shù)據(jù)僅占有極少的比例，訓(xùn)練樣本具有數(shù)據(jù)量小的特點，而基于支持向量機的分類模型無需大容量的訓(xùn)練數(shù)據(jù)，更適用于軌道交通網(wǎng)絡(luò)的通信數(shù)據(jù)特點。

3基于OCSVM算法的分類模型

DCS信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)流和通信周期比較穩(wěn)定，并且具備一定的規(guī)律性，采集到的數(shù)據(jù)大多為正常的數(shù)據(jù)，僅有非常小的數(shù)據(jù)量為異常的數(shù)據(jù)，這一特點為異常檢測提供了比較好的檢測環(huán)境，如果能夠?qū)φ?shù)據(jù)量構(gòu)建準確的模型，即可實現(xiàn)對異常行為的檢測。單分類支持向量機（OCS－VM）算法是一種基于支持向量機的特殊二分類模型，主要通過尋找一個超平面實現(xiàn)精準分類，只需具備一類樣本即可實現(xiàn)模型訓(xùn)練［5］。超平面法是利用核函數(shù)將輸入數(shù)據(jù)空間映射到高斯空間中，在映射的高斯空間中尋找超平面，較理想的超平面應(yīng)最大限度將樣本點和原點進行分開，超平面示意圖［6－7］見圖3。超平面的求解式為式（1），設(shè)輸入的訓(xùn)練樣本為x1，…，xl∈X，其中X→H表示輸入空間向高斯空間進行映射，ω表示超平面的法向量，ρ表示圖3超平面法超平面的偏移量，ξ表示松弛系數(shù)，反應(yīng)樣本符合約束條件的程度。v為權(quán)衡系數(shù)，取值范圍為（0，1］，用于對支持向量的比例進行調(diào)節(jié)。另外加入Lagrange算子實現(xiàn)對超平面的求解［6］，La－grange算子［8］見式（2），選用的高斯核函數(shù)為式（3）：K（xi，xj）＝〈φ（xi），φ（xj）〉＝exp（－gxi－xj2）（3）通過計算得到最終的決策函數(shù)為式（4），將采集到的數(shù)據(jù)作為樣本輸入到上述檢測模型，訓(xùn)練流程如圖4所示。其中，數(shù)據(jù)預(yù)處理環(huán)節(jié)主要是對原始數(shù)據(jù)進行特征提取和歸一化處理，使得數(shù)據(jù)格式符合算法數(shù)據(jù)格式要求。其次是對數(shù)據(jù)降維處理，提取出具備統(tǒng)計意義的特征，降低數(shù)據(jù)冗余性，從而提升訓(xùn)練速度［9－10］。然后是對模型參數(shù)進行優(yōu)化調(diào)整，特別是v和ρ2個最為重要的參數(shù)，其對模型準確性的影響非常大。最后，利用測試數(shù)據(jù)集對訓(xùn)練所得到的模型進行驗證。

4仿真結(jié)果

由于軌道交通客流量分早晚高峰期和平峰期，列車的發(fā)車時間間隔也隨客流量變化而發(fā)生變化，不同客流量期間的數(shù)據(jù)通信流量也是動態(tài)變化的。為了模擬不同發(fā)車時間的間隔中對數(shù)據(jù)流量的檢測，模擬了3組不同發(fā)車時間間隔的數(shù)據(jù)樣本，并在樣本中加入了洪水攻擊型數(shù)據(jù)，數(shù)據(jù)樣本如表1所示。將3組數(shù)據(jù)綜合在一起構(gòu)成數(shù)據(jù)輸入集合，將綜合后的數(shù)據(jù)一部分用于訓(xùn)練，另一部分作為測試集合，按照異常檢測模型流程對模型進行訓(xùn)練并驗證。將3組數(shù)據(jù)輸入訓(xùn)練獲得的檢測模型，測試仿真結(jié)果見表2。由仿真結(jié)果可見，在不同數(shù)據(jù)流量情況下，檢測模型均能表現(xiàn)出較強的檢測能力，對攻擊數(shù)據(jù)無漏檢情況，對正常數(shù)據(jù)的平均誤報率僅為1．01％，平均檢測時間為4．61ms，滿足網(wǎng)絡(luò)信息安全檢測指標要求，驗證了模型的可靠性和高效性。

5總結(jié)

城市軌道交通信息安全是列車正常安全運行和信息數(shù)據(jù)安全的有力保障，其中網(wǎng)絡(luò)入侵行為檢測是信息安全系統(tǒng)中最為重要的問題之一，目前對其檢測方法的研究仍不夠完善。基于數(shù)據(jù)挖掘的檢測方案可作為傳統(tǒng)網(wǎng)絡(luò)安全防護的補充，以提升網(wǎng)絡(luò)信息系統(tǒng)抵御網(wǎng)絡(luò)入侵能力，通過優(yōu)化OCSVM模型參數(shù)可進一步降低其誤報率，可對該問題作進一步深入研究，以提升檢測性能。

作者:王瑋 龐婷婷 單位:西安交通工程學(xué)院交通運輸學(xué)院