入侵檢測系統在列車調度指揮系統網絡中的應用

陳 潔，連曉東

（蘭州交通大學自動化與電氣工程學院，碩士研究生，甘肅 蘭州 730070）

為了適應當前鐵路運輸的發展及運營管理的信息現代化要求，鐵道部及下屬的各部門在已建成的鐵路數據交換網及各級局域網的基礎上，建立了諸多的管理信息系統，其中最主要的就是列車調度指揮系統（簡稱TDCS）。該系統在我國鐵路運輸生產中發揮了巨大作用，并為我國鐵路的信息化建設奠定了良好基礎。

然而，由于我國鐵路的網絡系統建設比較早，在構建的初期，對信息安全方面的很多問題考慮比較少，隨著現代網絡技術的不斷發展，一系列的安全問題已暴露出來。后來雖然根據發展的需要逐步增加了一些保證信息安全的設備，使系統的安全性能有了較大幅度的提高。但總體上來看，我國鐵路網絡系統中還存在一定的不安全隱患。

入侵檢測技術是新一代網絡安全技術解決方案的核心，是網絡主動防御的技術基礎，并受到了國內外網絡安全領域專家們的高度重視。所以將入侵檢測系統應用于鐵路列車調度指揮系統當中，以提高其網絡的安全性能，具有一定的應用價值和現實意義。

1 TDCS網絡現狀

TDCS系統是覆蓋全路的調度指揮管理系統，能及時準確地為全路各級調度指揮管理人員提供現代化的調度指揮手段和平臺。其結構如圖1所示。

圖1 TDCS結構示意圖

1.1 TDCS網絡自身存在的安全隱患 目前對TDCS網絡安全造成威脅的主要來自3個方面。

1.1.1 技術弱點 包括TDCS采用的TCP/IP協議的固有弱點，操作系統、網絡設備及TDCS中采用的業務系統的潛在弱點。在系統沒有被完全保護的情況下，不法分子可以比較輕易地利用已知漏洞非法入侵到TDCS。TCP/IP協議的簡潔與開放恰恰就意味著它在安全上存在隱患。例如在IP層的IP地址可以軟件設置，這就造成了地址假冒和地址欺騙2類安全隱患。

1.1.2 配置弱點 TDCS中的大部分網絡設備都存在著易被識別和防護安全性弱等缺點，如不安全的口令保護、設備之間互相訪問缺乏必要的安全認證、路由協議漏洞等。如果不能對網絡設備進行有效安全保護，一旦出現問題，極有可能導致整個系統的癱瘓，甚至機密信息的外泄。

1.1.3 操作弱點 TDCS中的電腦所安裝的操作系統包括Windows2000，UNIX等。如果操作系統被攻擊，那么所有運行在TDCS上的各種應用程序也相應會受到安全威脅。自編程序對某些產品或者系統，已經發現了一些安全漏洞，該產品或系統的廠商或組織會提供一些“補丁”程序給予彌補。但是用戶并不一定及時使用這些“補丁”程序。黑客發現這些“補丁”程序的接口后會自己編寫程序，通過該接口進入目標系統，這時該目標系統對于黑客來講就變得一覽無余。

1.2 防火墻為核心的被動防御 目前網絡的安全防御主要以防火墻為核心。防火墻的主要功能包括數據包過濾、連接狀態檢查、會話檢查等，它能根據用戶定義允許或拒絕某些數據包通過防火墻，保護內部網絡關鍵設備及系統不受非法攻擊和訪問的影響。目前TDCS網絡所采用的安全防護技術方案，結構如圖2所示。

圖2 某鐵路局TDCS中心網絡安全防護方案

盡管市場上有非常專業的防火墻產品，但它有一個致命的弱點就是被動防御。從原理上分析，凡是符合防火墻所制定規則的訪問就允許通過，不符合的就拒絕通過，而對于是否發生了攻擊行為的判斷則不在它的管理范圍之內。在日益復雜的網絡運作環境之下，這種被動防御的方式顯然已經不能滿足網絡安全的要求，必須提供一種新的技術手段對其進行補充。

2 入侵檢測系統

2.1 入侵檢測技術簡介 入侵檢測系統（簡稱IDS）是從多種計算機系統及網絡系統中收集信息，再通過這些收集的信息，分析有入侵特征的網絡安全系統。IDS能使在入侵攻擊對系統發生危害前，檢測到入侵攻擊，同時利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊相關的各種信息，作為防范系統的知識，添加入策略集，增強系統的防范能力，避免系統再次受到同類型的入侵。

入侵檢測是防火墻的合理補充，針對外部威脅進行實時入侵檢測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

2.2 入侵檢測系統功能 入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現監視、分析用戶及系統活動：系統構造和其弱點的審計，識別和反映己知攻擊的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性，操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。

入侵檢測系統的主要作用是識別入侵者、識別入侵行為；檢測和監視己有的安全漏洞、為對抗入侵提供信息，并及時做出響應。采用入侵檢測技術可以使網絡的安全性能得到極大提高，因此將入侵檢測系統應用于TDCS網絡中，具有一定的應用價值和現實意義。

3 入侵檢測系統在TDCS網絡中的實現

3.1 建模思路 IDS是TDCS網絡安全縱深防御體系中一個重要的組成部分，通過收集和檢查審計數據來尋找入侵行為的證據而設定入侵規則。一旦所監測網段的數據流中有入侵事件，則該段數據流經過分析模塊會馬上被偵破，警報就會提交給網絡管理員，管理員再采取相應措施。入侵檢測問題可以看成是一個一般的信號檢測問題，攻擊可以看成是被發現的信號，正常的系統或網絡事件可以被當成噪聲。具體入侵檢測系統模型如圖3所示。

圖3 入侵檢測系統模型

3.2 實現步驟

3.2.1 信息收集 入侵檢測系統工作運行的第一步是信息收集，內容包括TDCS網絡中所有的系統、網絡、數據及用戶活動的狀態和行為等信息。而且需要在TDCS中所組建的計算機網絡系統中的若干不同關鍵點（不同網段和不同主機）收集信息。這樣，除了盡可能擴大檢測范圍的因素外，還有一個重要的原因就是從一個信息源有可能看不出疑點，但從多個來源的信息的不一致性來看就是可疑行為或入侵的最好標識。入侵檢測利用的信息一般來自網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

3.2.2 判斷入侵 在收集到一系列的信息之后，系統就要判斷它是否就是入侵。一般來說，IDS有一個知識庫，知識庫記錄了特定設計的安全策略，當IDS獲得相關信息后，與知識庫中的安全策略進行比較，從而發現各種違反規定安全策略的行為。要定義知識庫有很多種方式，最普遍的做法是檢測報文中是否含有攻擊特征，知識庫中給出何種報文是攻擊的定義。

4 結論

將入侵檢測系統應用于鐵路的TDCS系統中，根據實際的情況，可以得到以下的結論：

1）IDS應安裝獨立的檢測系統（stand alone），或者探測器（sensor）與管理端采用加密方式通信。同時定期檢查安全漏洞，對不合理配置進行修改。

2）利用IDS系統的訪問控制措施，設置用戶名和密碼，定期更換密碼，防止遠程攻擊者試探與利用該檢測信息。在使用過程中，需要定期備份客戶定制的IDS檢測規則，最好是備份整個系統，以便通過災難恢復方式快速恢復該系統。

3）將入侵檢測系統應用于TDCS網絡系統當中，不但可以大大地提高網絡的安全性，一旦有入侵行為發生，同時也可以作為犯罪行為的取證依據，震懾網絡非法入侵行為。

〔1〕李學偉，汪曉霞.中國鐵路信息資源理論基礎〔M〕.北京:清華大學出版社，2004.

〔2〕高麗.鐵路站段計算機網絡故障解決方法〔J〕.鐵路計算機應用，2006，13（9）:13-16.

〔3〕林果園，黃皓，張永平.入侵檢測系統研究進展〔J〕.計算機科學，2008，35（7）:69-75.

〔4〕馮皓.TDCS工程中網絡安全系統工程設計〔J〕.鐵路工程，2006（10）:15-18.