一种基于主动防御的列控车载系统的制作方法

2021-02-06 02:02:26|

358|

起点商标网

本发明涉及列车控制技术领域，尤其是涉及一种基于主动防御的列控车载系统。

背景技术：

随着新一代信息技术的快速发展和应用，万物互联给我们的生产生活带来了极大的便利，同时互联互通也带来了潜在安全威胁，这种信息安全威胁不仅仅体现在传统开放的互联网领域，同时正快速向封闭的工控网络等更广泛领域扩展。城市轨道交通列控系统作为一种典型的工控网络系统，近年来发生了多起信息安全事件，干扰了正常运营，城市轨道交通的信息安全问题己引起各界的高度关注。

主动防御是近年来最新出现的一种网络安全技术，是指在入侵行为对信息系统发生影响之前，能够及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险。该技术针对未知安全漏洞、软硬件后门等问题的本源，使已有的扫描探测、漏洞利用、后门设置、病毒注入、木马植入乃至apt等攻击手段和方法难以发挥预期的作用和效力。

现有的列控车载系统，主要通过防火墙、安全传输协议等方法处理该网络攻击，能够在一定程度上保障列控系统的功能安全，即防止软硬件因系统故障而产生功能性运行障碍。然而现有的方法一旦出现网络攻击，便会导致整个系统的功能性运行障碍。

技术实现要素：

本发明实施例提供一种基于主动防御的列控车载系统，用以解决现有的方法一旦出现网络攻击，便会导致整个系统的功能性运行障碍的问题。

针对以上技术问题，本发明实施例提供一种基于主动防御的列控车载系统，包括输入裁决子系统、输出裁决子系统，以及三组及三组以上的列控车载子系统；每一列控车载子系统均包括至少一个功能模块；所述至少一个功能模块包括测速定位单元、机车接口单元、无线通信单元、轨道信息接收单元、人机接口单元、应答器接收模块和安全计算机；

不同组列控车载子系统中的安全计算机采用差异化配置；其中，任一组列控车载子系统中的安全计算机的配置形式采用如下至少一种形式：cots计算机主机设备、虚拟机、嵌入式系统；

不同组列控车载子系统中用于实现相同功能的功能模块的功能实现方式不同；

对各列控车载子系统中用于实现同一功能的功能模块，由所述输入裁决子系统根据实现所述同一功能的各功能模块的模块输出结果，确定输入到各列控车载子系统中安全计算机的输入参数；

所述输出裁决子系统根据各列控车载子系统中安全计算机的输出参数，确定所述列控车载系统的最终输出结果。

可选地，还包括输入故障监控子系统和输出故障监控子系统；

所述输入故障监控子系统用于对实现所述同一功能的各功能模块进行故障监测；其中，所述输入故障监控子系统根据第一监控信息确定功能模块是否存在故障；第一监控信息包括如下信息中的至少一种：功能模块的运行日志、功能模块的报警信息、功能模块对第一预设测试指令反馈的测试数据；

所述输出故障监控子系统用于对各列控车载子系统中安全计算机进行故障监测；其中，所述输出故障监控子系统根据第二监控信息确定安全计算机是否存在故障；第二监控信息包括如下信息中的至少一种：安全计算机的运行日志、安全计算机的报警信息、安全计算机对第二预设测试指令反馈的测试数据。

可选地，还包括：

由所述输入裁决子系统根据实现所述同一功能的各功能模块的模块输出结果，确定主流模块输出结果；主流系统输出结果为在实现所述同一功能的各功能模块的模块输出结果中，占比大于第一预设占比的模块输出结果；

所述输入裁决子系统将确定的主流模块输出结果作为输入到各列控车载子系统中安全计算机的输入参数。

可选地，所述输入裁决子系统还用于：

对实现所述同一功能的各功能模块中，模块输出结果不是主流模块输出结果的任一功能模块，根据所述输入故障监控子系统获取所述任一功能模块是否存在故障的第一故障监测信息；

若所述第一故障监测信息为所述任一功能模块不存在故障，则发出所述任一功能模块疑似受到网络攻击的第一提示信息；

若所述第一故障监测信息为所述任一功能模块存在故障，则发出对所述任一功能模块进行故障排查的第二提示信息。

可选地，还包括：

所述输出裁决子系统根据各列控车载子系统中安全计算机的输出参数，确定主流输出参数；主流输出参数为在各列控车载子系统中安全计算机的输出参数中，占比大于第二预设占比的输出参数；

所述输出裁决子系统将确定的主流输出参数，作为所述列控车载系统的最终输出结果。

可选地，所述输出裁决子系统还用于：

对各列控车载子系统的安全计算机中，输出参数不是主流输出参数的任一安全计算机，根据所述输出故障监控子系统获取所述任一安全计算机是否存在故障的第二故障监测信息；

若所述第二故障监测信息为所述任一安全计算机不存在故障，则发出所述任一安全计算机疑似受到网络攻击的第三提示信息；

若所述第二故障监测信息为所述任一安全计算机存在故障，则发出对所述任一安全计算机进行故障排查的第四提示信息。

可选地，还包括：

所述输入裁决子系统若判断实现所述同一功能的各功能模块的模块输出结果相同，则发出实现所述同一功能的各功能模块当前不存在网络攻击的第五提示信息。

可选地，还包括：

所述输出裁决子系统若判断各列控车载子系统中安全计算机的输出参数相同，则发出各列控车载子系统中安全计算机当前不存在网络攻击的第六提示信息。

本发明的实施例提供了一种基于主动防御的列控车载系统，输入裁决子系统根据实现同一功能的各功能模块的模块输出结果，确定输入到各列控车载子系统中安全计算机的输入参数，输出裁决子系统根据各列控车载子系统中安全计算机的输出参数，确定所述列控车载系统的最终输出结果。输入裁决子系统根据多个功能模块确定输入到安全计算机的输入参数，输出裁决子系统根据多个安全计算机的输出参数，确定最终输出结果。当存在少数的功能模块或少数的安全计算机被网络攻击，也不会影响对安全计算机的正确输入，以及安全计算机输出正确的输出参数，从而在少数网络节点出现网络攻击时，也能保证整个系统的功能性运行正常。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的本实施例提供的基于主动防御的列控车载系统的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

轨道交通列控系统采取了如防火墙、安全传输协议等方式保障城轨列控系统的安全，这些措施不足以保障城轨列控系统的信息安全。此外，在网络结构方便，列控系统采用了如二取二、三取二、二乘二取二等结构，这些结构主要是保障列控系统的功能安全，即防止软硬件因系统故障而产生功能性运行障碍，这种结构同时也能在一定程度上对信息安全防护起到一定的作用，但是效果有限。为了解决这一技术问题，图1为本实施例提供的基于主动防御的列控车载系统的结构框图，参见图1，该基于主动防御的列控车载系统包括输入裁决子系统、输出裁决子系统，以及三组及三组以上的列控车载子系统(图1中示出了三组列控车载子系统，分别为列控车载子系统1、列控车载子系统2和列控车载子系统3)；每一列控车载子系统均包括至少一个功能模块；所述至少一个功能模块包括测速定位单元、机车接口单元、无线通信单元、轨道信息接收单元、人机接口单元、应答器接收模块和安全计算机；

不同组列控车载子系统中的安全计算机采用差异化配置；其中，任一组列控车载子系统中的安全计算机的配置形式采用如下至少一种形式：cots(commercialoff-the-shelf，商用现成品或技术)计算机主机设备、虚拟机、嵌入式系统；

不同组列控车载子系统中用于实现相同功能的功能模块的功能实现方式不同；

所述输出裁决子系统根据各列控车载子系统中安全计算机的输出参数，确定所述列控车载系统的最终输出结果。

其中，虚拟机是指将利用虚拟技术在已有计算机硬件资源的基础上，抽象化模拟出一整套或一部分虚拟的硬件资源，如cpu、内存、ⅰ/o设备等用于相关软件的运行与计算，目前主要有vmware等技术手段，使用容器(docker)技术也可纳入在该范畴内。

其中，嵌入式系统指利用arm、fpga等嵌入式处理器替代计算机硬件进行相关软件的运行与计算。

其中，测速测距单元、列车接口单元、应答器信息接收模块、人机接口单元和无线通信单元等功能单元采用功能一致、结构或制式不同的方式。如测速定位单元采用不同的测速方法、无线通讯单元采用不同的传输协议等。

其中，不同组列控车载子系统中用于实现相同功能的功能模块的功能实现方式不同。例如，不同组列控车载子系统中的无线通信单元可以分别采用wlan，4g，5g等功能实现方式。不同组列控车载子系统中的测速测距单元可以分别采用脉冲转速传感器、多普勒雷达等功能实现方式。

其中，在每一组安全计算机在接收到3组及3组以上输入信号之前，设置一个输入裁决子系统对信号进行比较、裁决及输出。输入裁决子系统对任一实现同一功能的功能模块(例如，图1中的测速定位单元1、测速定位单元2和测速定位单元3)，当多组功能模块的模块输出结果一致时，则将该模块输出结果输出给安全计算机进行相关数据处理；当多组功能模块的模块输出结果不一致时，则将多数一致的模块输出结果输出给安全计算机，同时记录当前相关信息以备后续进行分析。

其中，输出裁决系统是一套软硬件系统，其功能是将不同组的列控车载子系统中安全计算机的输出参数(即安全技术机的输出结果)进行比较、裁决并输出。当多组安全计算机的输出结果一致时，则将该结果输出给列车接口单元进行相关指令的执行；当多组安全计算机的输出结果不一致时，则将多数一致的结果输出，同时记录当前相关信息以备后续进行分析。

其中，每组车载控制子系统独立组网，应采用不同的网络拓扑结构，包含总线型、环型和梯型等方式。

其中，车载控制子系统置于城轨列车编组的两端及相关位置。

本实施例提供了一种基于主动防御的列控车载系统，输入裁决子系统根据实现同一功能的各功能模块的模块输出结果，确定输入到各列控车载子系统中安全计算机的输入参数，输出裁决子系统根据各列控车载子系统中安全计算机的输出参数，确定所述列控车载系统的最终输出结果。输入裁决子系统根据多个功能模块确定输入到安全计算机的输入参数，输出裁决子系统根据多个安全计算机的输出参数，确定最终输出结果。当存在少数的功能模块或少数的安全计算机被网络攻击，也不会影响对安全计算机的正确输入，以及安全计算机输出正确的输出参数，从而在少数网络节点出现网络攻击时，也能保证整个系统的功能性运行正常。

进一步地，在上述实施例的基础上，还包括输入故障监控子系统和输出故障监控子系统；

为了提高对网络攻击识别的准确性，本实施例增加了输入故障监控子系统和输出故障监控子系统，输入故障监控子系统用于对各列控车载子系统中各功能模块进行故障监测，输出故障监控子系统用于对各列控车载子系统中安全计算机进行故障监测。

当某一功能模块与其它实现相同功能的功能模块的模块输出结果不一致时，可以通过输入故障监控子系统判断该功能模块是否是因为故障导致模块输出结果不一致，排除因故障导致的模块输出结果不一致，提高网络攻击识别的准确性。同理，当某一安全计算机与其它安全计算机的输出参数不一致时，可以通过输出故障监控子系统判断输出结果不一致的安全计算机是否出现了故障，若是，则排除了该安全计算机受到网络攻击的可能性，从而提高了对安全计算机进行网络攻击识别的准确性。

输入故障监控子系统通过运行日志、报警信息或者预先设定的测试指令对功能模块是否出现故障进行判断，输出故障监控子系统通过运行日志、报警信息或者预先设定的测试指令对安全计算机是否出现故障进行判断。例如，输入故障监控子系统和输出故障监控子系统可以通过报警信息中是否有特定的报警信息，确定功能模块或安全计算机是否故障，本实施例对具体如何判断是否出现故障的过程不做具体限定。

本实施例通过输入故障监控子系统对功能模块是否出现故障进行判断，通过输出故障监控子系统对安全计算机是否出现故障进行判断，避免将因故障导致的输出结果不一致误认为网络攻击，提高了对网络攻击识别的准确性。

进一步地，在上述各实施例的基础上，还包括：

所述输入裁决子系统将确定的主流模块输出结果作为输入到各列控车载子系统中安全计算机的输入参数。

其中，第一预设占比预先设定，例如，第一预设占比为50％。

例如，对于测速定位单元1、测速定位单元2和测速定位单元3，若测速定位单元2和测速定位单元3的模块输出结果一致，测速定位单元1的模块输出结果与测速定位单元2和测速定位单元3不一致，则输入裁决子系统将测速定位单元2或测速定位单元3的模块输出结果作为主流模块输出结果，将该主流模块输出结果输入各列控车载子系统的安全计算机中，以供各安全计算机进行后续计算过程。

本实施例通过输入裁决子系统对输入到安全计算机的数据进行安全过滤，保证输入到安全计算机中的数据正确性，提高列控系统的安全性。

进一步地，在上述各实施例的基础上，所述输入裁决子系统还用于：

若所述第一故障监测信息为所述任一功能模块不存在故障，则发出所述任一功能模块疑似受到网络攻击的第一提示信息；

若所述第一故障监测信息为所述任一功能模块存在故障，则发出对所述任一功能模块进行故障排查的第二提示信息。

其中，若实现所述同一功能的各功能模块的模块输出结果均不一致，则每一功能模块的模块输出结果均不是主流模块输出结果，对实现所述同一功能的各功能模块中，模块输出结果不是主流模块输出结果的任一功能模块，根据所述输入故障监控子系统获取所述任一功能模块是否存在故障的第一故障监测信息；

若实现所述同一功能的各功能模块的模块输出结果存在模块输出结果为主流模块输出结果的功能模块，则对实现所述同一功能的各功能模块中，模块输出结果不是主流模块输出结果的任一功能模块，根据所述输入故障监控子系统获取所述任一功能模块是否存在故障的第一故障监测信息。

其中，第一提示信息和第二提示信息可以通过弹窗进行显示，也可以发送到相关工作人员的手机或邮箱中，本实施例对此不做具体限制。

本实施例结合输入故障监控子系统监测的第一故障监测信息，对模块输出结果不一致的功能模块是否是因为网络攻击进行了排查，提高了对网络攻击识别准确性。

进一步地，在上述各实施例的基础上，还包括：

所述输出裁决子系统将确定的主流输出参数，作为所述列控车载系统的最终输出结果。

其中，第二预设占比预先设定，例如，第二预设占比为50％。

例如，对于安全计算机1、安全计算机2和安全计算机3，若安全计算机2和安全计算机3的输出参数一致，安全计算机1的输出参数与安全计算机2和安全计算机3不一致，则输出裁决子系统将安全计算机2或安全计算机3的输出参数作为主流输出参数，将该主流输出参数输入列车接口单元，以对列车运行进行控制。

本实施例通过输出裁决子系统对输入到列车接口单元的数据进行安全过滤，保证输入到列车接口单元中的数据正确性，提高列控系统的安全性。

进一步地，在上述各实施例的基础上，所述输出裁决子系统还用于：

若所述第二故障监测信息为所述任一安全计算机不存在故障，则发出所述任一安全计算机疑似受到网络攻击的第三提示信息；

若所述第二故障监测信息为所述任一安全计算机存在故障，则发出对所述任一安全计算机进行故障排查的第四提示信息。

其中，若各列控车载子系统的安全计算机的输出参数均不一致，则每一列控车载子系统的安全计算机的输出参数均不是主流输出参数，对各列控车载子系统的安全计算机中，输出参数不是主流输出参数的任一安全计算机，根据所述输出故障监控子系统获取所述任一安全计算机是否存在故障的第二故障监测信息；

若各列控车载子系统的安全计算机的输出参数中存在主流输出参数的功能模块，则对各列控车载子系统的安全计算机中，输出参数不是主流输出参数的任一安全计算机，根据所述输出故障监控子系统获取所述任一安全计算机是否存在故障的第二故障监测信息。

其中，第三提示信息和第四提示信息可以通过弹窗进行显示，也可以发送到相关工作人员的手机或邮箱中，本实施例对此不做具体限制。

本实施例结合输出故障监控子系统监测的第二故障监测信息，对各列控车载子系统的安全计算机中输出参数不一致的安全计算机是否是因为网络攻击进行了排查，提高了对网络攻击识别准确性。

进一步地，在上述各实施例的基础上，还包括：

例如，输入裁决子系统判断测速定位单元1、测速定位单元2和测速定位单元3的模块输出结果一致，则可以通过第五提示信息提示工作人员，各列控车载子系统中的测速定位单元均未受到网络攻击，也未出现故障。

进一步地，在上述各实施例的基础上，还包括：

例如，输出裁决子系统判断安全计算机1、安全计算机2和安全计算机3的输出参数一致，则可以通过第六提示信息提示工作人员，各列控车载子系统中的安全计算机均未受到网络攻击，也未出现故障。

其中，第五提示信息和第六提示信息可以通过弹窗进行显示，也可以发送到相关工作人员的手机或邮箱中，本实施例对此不做具体限制。

本实施例通过第五提示信息和第六提示信息，实现了对三个实现同一功能的功能模块均正常的情况，以及三个安全计算机均正常的情况进行提示。

其中，不同组的安全计算机应具有不同的软硬件配置，包含cpu、操作系统、执行软件等方面。如cpu的不同配置指采用x86、arm或虚拟机以及其不同版本等方式，操作系统的不同配置指采用windows、linux及不同版本等方式，执行软件根据运行环境不同进行差异化和多样化编译。

综上，本实施例提出的基于主动防御的列控车载系统，可有效提升城轨列控系统的安全防护等级。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

起点商标作为专业知识产权交易平台，可以帮助大家解决很多问题，如果大家想要了解更多知产交易信息请点击【在线咨询】或添加微信【19522093243】与客服一对一沟通，为大家解决相关问题。