石明明

(1.北京全路通信信号研究设计院集团有限公司，北京 100070；2.北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

安全数据网是高速铁路信号系统数据交换的核心部分，是CTCS-2 及CTCS-3 级列控系统关键设备间通信的载体，承担着列控中心、无线闭塞中心、联锁、临时限速服务器、RBC 等信号设备间信息传输的重要作用。根据《高速铁路信号系统安全数据网技术规范V3.0》中要求，现阶段可通过NMS 及EMS 网管系统对高速铁路信号信息安全数据网进行设备层面的监测，但是未对数据层面的监测及分析提出明确的约束及实现，而现有的安全数据网各节点交换机均具备了单向数据镜像功能，这已经为网络数据的获取及分析奠定了基础。

获取及分析高速铁路信号信息系统安全数据网网络数据具备3 层重要含义，一是可发现安全设备间应用层面通信隐患，可针对不稳定的设备节点进行状态修，避免故障的发生；二是可发现网络中非准入设备，进行告警及提示，从而提升网络安全性和节点的稳定性；三是完整记录各节点的网络原始收发数据，待设备间故障发生时准确快速的定位故障原因。

本文借助WinPcap 开源库，在现有的维护系统中进行功能的开发实现。

1 相关技术概述

1.1 WinPcap

Windows Packet Capture（WinPcap）是应用于Windows 平台的网络数据获取及分析的一种驱动软件包。WinPcap 通过Netgroup Packet Filter（NPF）核心代码接收对应网卡上的原始网络数据包，可向外部软件提供完整的API（Application Programming Interface）接口函数，继而实现网络数据的获取和分析功能。WinPcap 独立于通信协议（如TCP-IP)而发送和接收原始数据包，也就是说，WinPcap 不能阻塞、过滤或控制其他应用程序数据包的发收，它仅仅只是监听共享网络上传送的数据包。

1.2 交换机端口镜像

端口镜像（Port Mirroring）功能是指在交换机上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络数据的监听，指定端口称之为“镜像端口”或“目的端口”，工业交换机中一般设置网络数据运算单元和管理运算单元，端口镜像功能一般通过管理运算单元执行操作，所以开启端口镜像功能不会影响当前交换机正常工作。可对镜像端口进行独立的Vlan 划分避免接入镜像端口的操作系统影响安全网络信息内容，提升网络安全等级。

1.3 高速铁路信号系统安全数据网

高速铁路信号信息安全数据网承载着信号系统安全设备间通信的职责，网络以冗余环网方式假设，网络各节点均通过工业级以太网交换机设备进行连接，网络上运行的设备包括列控中心、车站联锁、临时限速服务器、无线闭塞中心服务器。

高速铁路信号信息安全数据网中各设备间通信主要以铁路信号安全通信协议RSSP-1 和RSSP-2 为主，设备间通信的IP 地址及端口可通过高速铁路信号信息安全数据网工程配置文件中明确，两套协议的特点如表1 所示。

2 软件设计与实现

软件依托于现有维护系统，采用配置文件加动态链接库方式进行实现，方便现有维护系统进行功能的增加，配置文件主要包含镜像端口网卡信息、当前网络节点下合法设备信息以及各设备通信链路配置，基于静态配置文件来实现网卡的选择、数据包的获取及保持、协议解析及分析以及非法侵入设备等报警处理。

表1 RSSP-1和RSSP-2通信协议特点对照表Tab.1 Comparison table of communication protocol characteristics between RSSP-1 and RSSP-2

2.1 软件功能结构图

软件启动后首先完成软件自检及配置文件信息的读取及格式检查，之后根据配置文件内容选取对应的网卡，调用WinPcap 的API 接口实现网络数据的实时获取，通过独立线程完成数据的记录及压缩，并同时执行网络数据的分层、分类分析及报警功能。软件的大体流程图如图1 所示。

2.2 软件模块划分

软件大致分为数据配置模块、网络采集模块、数据存储及压缩模块、网络数据分析模块、告警模块以及信息反馈模块。

1）数据配置模块

数据配置模块主要负责处理端口镜像网卡信息，高速铁路信号信息安全数据网节点配置信息等。

根据高速铁路信号信息安全数据网双网冗余的特点，端口镜像网卡需单独配置左网及右网两块网卡的网卡IP 地址，软件初始化时根据不同网卡IP地址找到对应网卡进行后面的数据采集操作。

各节点中往往存在本节点设备与外部多个类型设备的通信内容，在网络节点配置中需明确写明当前网络节点与外部设备通信的冗余链路信息，8 条链路信息分别为本设备的双系与对方设备双系在左右网上的不同链路，网络链路结构表如表2 所示。

图1 软件业务流程图Fig.1 Flow chart of software business

表2 网络链路结构表Tab.2 Network link structure table

由于不同设备间通信方式的不同，后期数据分析的方法也相应存在差异，在网络节点配置中需要标识各条链路的两侧设备类型、两侧设备IP 及端口、链路通信方式、通信协议版本等参数。

2）网络采集模块

网络采集模块通过数据配置模块反馈的基础配置信息后，对不同的端口镜像网卡进行初始化，以单独网卡单独线程的方式调用WinPcap 的采集接口，实时获取各个网卡的全部网络镜像数据，加入网络采集的ms 级时钟戳后形成独立的队列数据，供分析及存储模块使用。

3）数据存储及压缩模块

为实现网络数据的后期分析功能，需对实时采集的网络数据进行存储及压缩操作，存储的文件格式为基于Wireshark 的★.pcap 文件格式，之后以小时为单位定期对同一小时的文件压缩成★.rar 格式的压缩文件，以减少对磁盘的消耗。

模块获取当前系统时钟，首先创建包含年、月、日、时、分、秒信息的目标文件，通过pcap_dump_open()函数实现文件打开操作，通过pcap_dump()函数实现文件的实时写入操作。为了减少文件容量过大导致的压缩效率降低，以及目标文件异常引起的数据丢失情况，模块进行写入操作时同时监控文件的大小，待文件超过50 M 后创建新的目标文件，之后持续进行文件的记录操作。

模块设置独立的定时器，以1 h 为单位，当定时器触发后检查当前日志存储目录下的所有★.pcap文件内容，以文件名为依据将上一个小时的文件筛选出来，调用rar 文件压缩库实现整小时文件的压缩操作。同时根据配置内容，检查所有rar 后缀名的文件，若文件时间超过30 天则针对文件进行删除操作。

4）网络数据分析模块

网络数据分析模块根据左右网的划分，实时获取网络数据队列中内容，根据各条链路的两侧设备类型、两侧设备IP 及端口、链路通信方式、通信协议版本等参数，将散列的网络数据拆分成不同的链路数据区，根据设备间的配置参数，判断当前链路的物理通信状态，包括数据包的有无、数据包发送间隔、数据包长度等信息，通过设置的通信质量阀值，判断当前链路通道的稳定性，同时根据配置的设备间通信协议版本、协议类型及内容解析数据包中的关键数据内容，符合正常通信状态的内容存储至关键数据内容数据区，不符合正常通信协议要求的内容存储至异常数据区内。以消息方式发送给信息反馈模块进行后续处理。

网络数据分析模块同时将无法识别的网络数据存储在独立的异常数据区内，通过对数据的ip、端口、消息包类型信息进行分析，判断是否为可识别数据内容，形成相应的告警内容，同时针对分析模块的结果进行异常数据的分析，形成告警信息，将上述内容以消息方式实时发送给告警模块进行后续处理。

5）告警模块以及信息反馈模块

告警模块将分析模块反馈的告警信息以设备为单位进行汇总，分为设备告警、设备告警恢复两大类型，叠加上告警出现或恢复时的时钟信息内容后实时发送给上层接口。

消息反馈模块将分析模块反馈的设备间通信状态、关键数据内容以设备为单位存入内存数组中，在同一内存区内实时更新相同设备的最新状态，以动态的方式实时将内存区中的内容加上设备标识打包发送给上层接口进行处理。

3 结束语

高速铁路信号系统安全数据网现阶段仅能通过EMS 和NMS 实现设备层面的状态监测及告警，而数据层面的监测及告警还未在实际设备中应用。为达到信号系统平稳安全运行的目的，除了系统软件层面管理外，提升系统的可维护性及故障定位的准确性也是至关重要和十分必要的。本文对高速铁路信号系统安全数据网的数据获取及分析进行了初步探索和尝试，在保证现有信号系统稳定运行的前提下将本文说描述的功能叠加到各设备维护机中可大幅度提升基于高速铁路信号系统安全数据网设备的可维护性和故障准确定位功能。