陳 潔，連曉東

（蘭州交通大學(xué)自動化與電氣工程學(xué)院，碩士研究生，甘肅 蘭州 730070）

為了適應(yīng)當(dāng)前鐵路運輸?shù)陌l(fā)展及運營管理的信息現(xiàn)代化要求，鐵道部及下屬的各部門在已建成的鐵路數(shù)據(jù)交換網(wǎng)及各級局域網(wǎng)的基礎(chǔ)上，建立了諸多的管理信息系統(tǒng)，其中最主要的就是列車調(diào)度指揮系統(tǒng)（簡稱TDCS）。該系統(tǒng)在我國鐵路運輸生產(chǎn)中發(fā)揮了巨大作用，并為我國鐵路的信息化建設(shè)奠定了良好基礎(chǔ)。

然而，由于我國鐵路的網(wǎng)絡(luò)系統(tǒng)建設(shè)比較早，在構(gòu)建的初期，對信息安全方面的很多問題考慮比較少，隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，一系列的安全問題已暴露出來。后來雖然根據(jù)發(fā)展的需要逐步增加了一些保證信息安全的設(shè)備，使系統(tǒng)的安全性能有了較大幅度的提高。但總體上來看，我國鐵路網(wǎng)絡(luò)系統(tǒng)中還存在一定的不安全隱患。

入侵檢測技術(shù)是新一代網(wǎng)絡(luò)安全技術(shù)解決方案的核心，是網(wǎng)絡(luò)主動防御的技術(shù)基礎(chǔ)，并受到了國內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域?qū)＜覀兊母叨戎匾暋Ｋ詫⑷肭謾z測系統(tǒng)應(yīng)用于鐵路列車調(diào)度指揮系統(tǒng)當(dāng)中，以提高其網(wǎng)絡(luò)的安全性能，具有一定的應(yīng)用價值和現(xiàn)實意義。

1 TDCS網(wǎng)絡(luò)現(xiàn)狀

TDCS系統(tǒng)是覆蓋全路的調(diào)度指揮管理系統(tǒng)，能及時準(zhǔn)確地為全路各級調(diào)度指揮管理人員提供現(xiàn)代化的調(diào)度指揮手段和平臺。其結(jié)構(gòu)如圖1所示。

圖1 TDCS結(jié)構(gòu)示意圖

1.1 TDCS網(wǎng)絡(luò)自身存在的安全隱患 目前對TDCS網(wǎng)絡(luò)安全造成威脅的主要來自3個方面。

1.1.1 技術(shù)弱點 包括TDCS采用的TCP/IP協(xié)議的固有弱點，操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備及TDCS中采用的業(yè)務(wù)系統(tǒng)的潛在弱點。在系統(tǒng)沒有被完全保護的情況下，不法分子可以比較輕易地利用已知漏洞非法入侵到TDCS。TCP/IP協(xié)議的簡潔與開放恰恰就意味著它在安全上存在隱患。例如在IP層的IP地址可以軟件設(shè)置，這就造成了地址假冒和地址欺騙2類安全隱患。

1.1.2 配置弱點 TDCS中的大部分網(wǎng)絡(luò)設(shè)備都存在著易被識別和防護安全性弱等缺點，如不安全的口令保護、設(shè)備之間互相訪問缺乏必要的安全認(rèn)證、路由協(xié)議漏洞等。如果不能對網(wǎng)絡(luò)設(shè)備進行有效安全保護，一旦出現(xiàn)問題，極有可能導(dǎo)致整個系統(tǒng)的癱瘓，甚至機密信息的外泄。

1.1.3 操作弱點 TDCS中的電腦所安裝的操作系統(tǒng)包括Windows2000，UNIX等。如果操作系統(tǒng)被攻擊，那么所有運行在TDCS上的各種應(yīng)用程序也相應(yīng)會受到安全威脅。自編程序?qū)δ承┊a(chǎn)品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，該產(chǎn)品或系統(tǒng)的廠商或組織會提供一些“補丁”程序給予彌補。但是用戶并不一定及時使用這些“補丁”程序。黑客發(fā)現(xiàn)這些“補丁”程序的接口后會自己編寫程序，通過該接口進入目標(biāo)系統(tǒng)，這時該目標(biāo)系統(tǒng)對于黑客來講就變得一覽無余。

1.2 防火墻為核心的被動防御 目前網(wǎng)絡(luò)的安全防御主要以防火墻為核心。防火墻的主要功能包括數(shù)據(jù)包過濾、連接狀態(tài)檢查、會話檢查等，它能根據(jù)用戶定義允許或拒絕某些數(shù)據(jù)包通過防火墻，保護內(nèi)部網(wǎng)絡(luò)關(guān)鍵設(shè)備及系統(tǒng)不受非法攻擊和訪問的影響。目前TDCS網(wǎng)絡(luò)所采用的安全防護技術(shù)方案，結(jié)構(gòu)如圖2所示。

圖2 某鐵路局TDCS中心網(wǎng)絡(luò)安全防護方案

盡管市場上有非常專業(yè)的防火墻產(chǎn)品，但它有一個致命的弱點就是被動防御。從原理上分析，凡是符合防火墻所制定規(guī)則的訪問就允許通過，不符合的就拒絕通過，而對于是否發(fā)生了攻擊行為的判斷則不在它的管理范圍之內(nèi)。在日益復(fù)雜的網(wǎng)絡(luò)運作環(huán)境之下，這種被動防御的方式顯然已經(jīng)不能滿足網(wǎng)絡(luò)安全的要求，必須提供一種新的技術(shù)手段對其進行補充。

2 入侵檢測系統(tǒng)

2.1 入侵檢測技術(shù)簡介 入侵檢測系統(tǒng)（簡稱IDS）是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這些收集的信息，分析有入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，同時利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊相關(guān)的各種信息，作為防范系統(tǒng)的知識，添加入策略集，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

入侵檢測是防火墻的合理補充，針對外部威脅進行實時入侵檢測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。

2.2 入侵檢測系統(tǒng)功能 入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)監(jiān)視、分析用戶及系統(tǒng)活動：系統(tǒng)構(gòu)造和其弱點的審計，識別和反映己知攻擊的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。

入侵檢測系統(tǒng)的主要作用是識別入侵者、識別入侵行為；檢測和監(jiān)視己有的安全漏洞、為對抗入侵提供信息，并及時做出響應(yīng)。采用入侵檢測技術(shù)可以使網(wǎng)絡(luò)的安全性能得到極大提高，因此將入侵檢測系統(tǒng)應(yīng)用于TDCS網(wǎng)絡(luò)中，具有一定的應(yīng)用價值和現(xiàn)實意義。

3 入侵檢測系統(tǒng)在TDCS網(wǎng)絡(luò)中的實現(xiàn)

3.1 建模思路 IDS是TDCS網(wǎng)絡(luò)安全縱深防御體系中一個重要的組成部分，通過收集和檢查審計數(shù)據(jù)來尋找入侵行為的證據(jù)而設(shè)定入侵規(guī)則。一旦所監(jiān)測網(wǎng)段的數(shù)據(jù)流中有入侵事件，則該段數(shù)據(jù)流經(jīng)過分析模塊會馬上被偵破，警報就會提交給網(wǎng)絡(luò)管理員，管理員再采取相應(yīng)措施。入侵檢測問題可以看成是一個一般的信號檢測問題，攻擊可以看成是被發(fā)現(xiàn)的信號，正常的系統(tǒng)或網(wǎng)絡(luò)事件可以被當(dāng)成噪聲。具體入侵檢測系統(tǒng)模型如圖3所示。

圖3 入侵檢測系統(tǒng)模型

3.2 實現(xiàn)步驟

3.2.1 信息收集 入侵檢測系統(tǒng)工作運行的第一步是信息收集，內(nèi)容包括TDCS網(wǎng)絡(luò)中所有的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息。而且需要在TDCS中所組建的計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息。這樣，除了盡可能擴大檢測范圍的因素外，還有一個重要的原因就是從一個信息源有可能看不出疑點，但從多個來源的信息的不一致性來看就是可疑行為或入侵的最好標(biāo)識。入侵檢測利用的信息一般來自網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

3.2.2 判斷入侵 在收集到一系列的信息之后，系統(tǒng)就要判斷它是否就是入侵。一般來說，IDS有一個知識庫，知識庫記錄了特定設(shè)計的安全策略，當(dāng)IDS獲得相關(guān)信息后，與知識庫中的安全策略進行比較，從而發(fā)現(xiàn)各種違反規(guī)定安全策略的行為。要定義知識庫有很多種方式，最普遍的做法是檢測報文中是否含有攻擊特征，知識庫中給出何種報文是攻擊的定義。

4 結(jié)論

將入侵檢測系統(tǒng)應(yīng)用于鐵路的TDCS系統(tǒng)中，根據(jù)實際的情況，可以得到以下的結(jié)論：

1）IDS應(yīng)安裝獨立的檢測系統(tǒng)（stand alone），或者探測器（sensor）與管理端采用加密方式通信。同時定期檢查安全漏洞，對不合理配置進行修改。

2）利用IDS系統(tǒng)的訪問控制措施，設(shè)置用戶名和密碼，定期更換密碼，防止遠程攻擊者試探與利用該檢測信息。在使用過程中，需要定期備份客戶定制的IDS檢測規(guī)則，最好是備份整個系統(tǒng)，以便通過災(zāi)難恢復(fù)方式快速恢復(fù)該系統(tǒng)。

3）將入侵檢測系統(tǒng)應(yīng)用于TDCS網(wǎng)絡(luò)系統(tǒng)當(dāng)中，不但可以大大地提高網(wǎng)絡(luò)的安全性，一旦有入侵行為發(fā)生，同時也可以作為犯罪行為的取證依據(jù)，震懾網(wǎng)絡(luò)非法入侵行為。

〔1〕李學(xué)偉，汪曉霞.中國鐵路信息資源理論基礎(chǔ)〔M〕.北京:清華大學(xué)出版社，2004.

〔2〕高麗.鐵路站段計算機網(wǎng)絡(luò)故障解決方法〔J〕.鐵路計算機應(yīng)用，2006，13（9）:13-16.

〔3〕林果園，黃皓，張永平.入侵檢測系統(tǒng)研究進展〔J〕.計算機科學(xué)，2008，35（7）:69-75.

〔4〕馮皓.TDCS工程中網(wǎng)絡(luò)安全系統(tǒng)工程設(shè)計〔J〕.鐵路工程，2006（10）:15-18.