入侵检测系统在列车调度指挥系统网络中的应用

2010-07-27连晓东

铁道运营技术 2010年2期

陈洁，连晓东

（兰州交通大学自动化与电气工程学院，硕士研究生，甘肃兰州 730070）

为了适应当前铁路运输的发展及运营管理的信息现代化要求，铁道部及下属的各部门在已建成的铁路数据交换网及各级局域网的基础上，建立了诸多的管理信息系统，其中最主要的就是列车调度指挥系统（简称TDCS）。该系统在我国铁路运输生产中发挥了巨大作用，并为我国铁路的信息化建设奠定了良好基础。

然而，由于我国铁路的网络系统建设比较早，在构建的初期，对信息安全方面的很多问题考虑比较少，随着现代网络技术的不断发展，一系列的安全问题已暴露出来。后来虽然根据发展的需要逐步增加了一些保证信息安全的设备，使系统的安全性能有了较大幅度的提高。但总体上来看，我国铁路网络系统中还存在一定的不安全隐患。

入侵检测技术是新一代网络安全技术解决方案的核心，是网络主动防御的技术基础，并受到了国内外网络安全领域专家们的高度重视。所以将入侵检测系统应用于铁路列车调度指挥系统当中，以提高其网络的安全性能，具有一定的应用价值和现实意义。

1 TDCS网络现状

TDCS系统是覆盖全路的调度指挥管理系统，能及时准确地为全路各级调度指挥管理人员提供现代化的调度指挥手段和平台。其结构如图1所示。

图1 TDCS结构示意图

1.1 TDCS网络自身存在的安全隐患目前对TDCS网络安全造成威胁的主要来自3个方面。

1.1.1 技术弱点包括TDCS采用的TCP/IP协议的固有弱点，操作系统、网络设备及TDCS中采用的业务系统的潜在弱点。在系统没有被完全保护的情况下，不法分子可以比较轻易地利用已知漏洞非法入侵到TDCS。TCP/IP协议的简洁与开放恰恰就意味着它在安全上存在隐患。例如在IP层的IP地址可以软件设置，这就造成了地址假冒和地址欺骗2类安全隐患。

1.1.2 配置弱点 TDCS中的大部分网络设备都存在着易被识别和防护安全性弱等缺点，如不安全的口令保护、设备之间互相访问缺乏必要的安全认证、路由协议漏洞等。如果不能对网络设备进行有效安全保护，一旦出现问题，极有可能导致整个系统的瘫痪，甚至机密信息的外泄。

1.1.3 操作弱点 TDCS中的电脑所安装的操作系统包括Windows2000，UNIX等。如果操作系统被攻击，那么所有运行在TDCS上的各种应用程序也相应会受到安全威胁。自编程序对某些产品或者系统，已经发现了一些安全漏洞，该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序，通过该接口进入目标系统，这时该目标系统对于黑客来讲就变得一览无余。

1.2 防火墙为核心的被动防御目前网络的安全防御主要以防火墙为核心。防火墙的主要功能包括数据包过滤、连接状态检查、会话检查等，它能根据用户定义允许或拒绝某些数据包通过防火墙，保护内部网络关键设备及系统不受非法攻击和访问的影响。目前TDCS网络所采用的安全防护技术方案，结构如图2所示。

图2 某铁路局TDCS中心网络安全防护方案

尽管市场上有非常专业的防火墙产品，但它有一个致命的弱点就是被动防御。从原理上分析，凡是符合防火墙所制定规则的访问就允许通过，不符合的就拒绝通过，而对于是否发生了攻击行为的判断则不在它的管理范围之内。在日益复杂的网络运作环境之下，这种被动防御的方式显然已经不能满足网络安全的要求，必须提供一种新的技术手段对其进行补充。

2 入侵检测系统

2.1 入侵检测技术简介入侵检测系统（简称IDS）是从多种计算机系统及网络系统中收集信息，再通过这些收集的信息，分析有入侵特征的网络安全系统。IDS能使在入侵攻击对系统发生危害前，检测到入侵攻击，同时利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击相关的各种信息，作为防范系统的知识，添加入策略集，增强系统的防范能力，避免系统再次受到同类型的入侵。

入侵检测是防火墙的合理补充，针对外部威胁进行实时入侵检测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

2.2 入侵检测系统功能入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现监视、分析用户及系统活动：系统构造和其弱点的审计，识别和反映己知攻击的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统的主要作用是识别入侵者、识别入侵行为；检测和监视己有的安全漏洞、为对抗入侵提供信息，并及时做出响应。采用入侵检测技术可以使网络的安全性能得到极大提高，因此将入侵检测系统应用于TDCS网络中，具有一定的应用价值和现实意义。

3 入侵检测系统在TDCS网络中的实现

3.1 建模思路 IDS是TDCS网络安全纵深防御体系中一个重要的组成部分，通过收集和检查审计数据来寻找入侵行为的证据而设定入侵规则。一旦所监测网段的数据流中有入侵事件，则该段数据流经过分析模块会马上被侦破，警报就会提交给网络管理员，管理员再采取相应措施。入侵检测问题可以看成是一个一般的信号检测问题，攻击可以看成是被发现的信号，正常的系统或网络事件可以被当成噪声。具体入侵检测系统模型如图3所示。

图3 入侵检测系统模型

3.2 实现步骤

3.2.1 信息收集入侵检测系统工作运行的第一步是信息收集，内容包括TDCS网络中所有的系统、网络、数据及用户活动的状态和行为等信息。而且需要在TDCS中所组建的计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。这样，除了尽可能扩大检测范围的因素外，还有一个重要的原因就是从一个信息源有可能看不出疑点，但从多个来源的信息的不一致性来看就是可疑行为或入侵的最好标识。入侵检测利用的信息一般来自网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

3.2.2 判断入侵在收集到一系列的信息之后，系统就要判断它是否就是入侵。一般来说，IDS有一个知识库，知识库记录了特定设计的安全策略，当IDS获得相关信息后，与知识库中的安全策略进行比较，从而发现各种违反规定安全策略的行为。要定义知识库有很多种方式，最普遍的做法是检测报文中是否含有攻击特征，知识库中给出何种报文是攻击的定义。