文摘

城市轨道交通系统的快速发展,大量的信息技术应用于提高效率的列车控制系统,如通用计算机、通信协议和操作系统。的连续接触信息技术漏洞,安全风险在增加,和信息被恶意攻击者容易使用,它可以带来巨大的财产和经济损失。沟通建立的列车控制(CBTC)系统是城市轨道交通中最重要的子系统。CBTC系统确保安全高效运行的火车,所以网络安全的定量评估是非常必要的。本文提出resilience-based评估方法分析基于指标CBTC系统的安全级别的网络域和物理域。该方法可以证明CBTC系统的鲁棒性和恢复能力不同的安全攻击。基于结构信息熵,融合不同的指标。两个典型的攻击场景进行了分析,仿真结果说明了该评估方法的有效性。

1。介绍

目前,世界各地的铁路发展迅速,特别是在中国,那里的高速铁路(高铁)的总长度为35000公里,约占世界上66.7%的高速铁路(1]。中国也取得了重大进展在城市轨道交通;有超过200行,操作和总长度超过6000公里(2]。确保准时的列车是铁路的最重要的目标,它可以促进可持续发展,维护社会稳定。

沟通建立关键技术的列车控制(CBTC)是城市轨道交通列车运行安全、高效,为列车提供实时操作信息并生成控制和调度策略。为了增加CBTC系统的自动化和信息化水平,通信,计算机,和控制技术已经广泛应用3]。此外,介绍了安全风险在CBTC系统和可能导致铁路运输组织的破坏,这是一样的其他工业控制系统(4,5]。

一般来说,CBTC系统可以作为一个典型的cyber-physical系统(6),计算机网络在网络领域工作,列车运行在物理领域。网络攻击通常是进行计算机节点或通信链接,这将导致信息延迟和篡改。考虑CBTC系统的原则,火车可能会干扰的正常运行,如紧急制动。例如,无线局域网络(无线局域网)为主要方法,采用双向车地通信的列车控制系统(7,8),可以很容易地干扰和攻击9)在公共无线局域网的工作频率和单向认证机制。一旦无线连接切断下拒绝服务(DoS)攻击,火车不能接收控制中心的运动机构(MA),和紧急制动必须实现为了保证列车的安全。显然,运行效率严重降低。

随着城市铁路是为了运送乘客,CBTC系统安全性至关重要,应用和故障安全机制以达到要求的性能包括可靠性、可用性、可维护性和安全性(公)10,11]。传统评估方法的CBTC系统,公羊是重要的统计指标体系12,13)根据IEC 62278 (14),定性的措施包括失败概率,平均失效到达时间(MTTF)、平均故障间隔时间(MTBF)和二维矩阵风险(风险概率和风险后果)。因此,现有的评估方法主要集中在大时间尺度,不能实时确定时间或突然中断造成的影响。不过,安全事件往往是意想不到的,恶意攻击是根据攻击者的主观会实现的,是随机的。因此,不适合采用传统的统计指标来评估列车控制系统的性能受到攻击。

如上所述,CBTC系统的设计是为了提供运输服务,和健壮性和恢复能力是至关重要的,当网络攻击。国土安全部开发了一个计划在2013年实现关键基础设施保障和恢复力(15]。交通系统行业的计划(16)也提出了。它确定了交通系统的安全性和弹性优先级和描述方法来管理关键基础设施风险,包括那里的铁路系统。因此,一种新的评估方法提出了基于弹性。

CBTC系统的弹性可以如图所示1根据(17]。一般来说,CBTC系统保持在正常操作层面,根据预先设计的时间表和火车正在运行。在 ,实现网络攻击,系统性能仍保持在同一水平。从 ,攻击者搜索目标和注入恶意软件影响正常操作。因此,系统性能开始下降 ,它达到最低点 与此同时,一些保护机制触发减轻攻击的影响。从 ,系统开始复苏并达到一个新的稳定水平 因此,安全评估方法时,应考虑有三个阶段:preevent阶段( ),在事件阶段( ),和postevent阶段( )。cyber-physical系统的特点,考虑列车控制系统的性能应该包含两个指标的网络从网络域和列车运行的性能从物理域。一般来说,网络域离散,而物理域是连续的。因此,结构信息熵应用于融合不同的指标18],它可以测量网络攻击的后果并演示CBTC系统的整体性能的变化对安全事件的整个过程。摘要弹性CBTC系统评估的结构信息熵。


图1
CBTC系统的弹性。

本文的其余部分组织如下。典型的CBTC系统部分所示2。部分3描述了基于结构信息熵评价模型。部分4给出了仿真结果和一些讨论。最后,我们得出结论的研究部分5

2。CBTC系统的概述

2演示了一个典型的CBTC系统对于城市轨道交通,其中包括一些关键设备,如自动列车监督(ATS),数据存储单元(DSU),计算机联锁(CI)、区域控制器(佐)和车辆车载控制器(VOBC)。VOBC接收控制命令从佐和传输列车状态通过无线通信、无线局域网和长期演进为地铁(LTE-M)通常是应用。WLANs-based车地通信系统包括路旁接入点(APs)和车载移动站(MSs)。


图2
一个典型的CBTC系统。

一般来说,列车高速运行并发送相应的信息,包括速度,位置,方向佐。佐生成运动当局(MAs)列车告知火车的位置最近的障碍,这可能是运行的火车,车站或投票率。火车获得马英九应该计算允许的最大速度保持安全距离最近的障碍。火车和佐之间在这个过程中,消息传输通过无线局域网或LTE-M。显然,无线通信的可靠性和可靠性CBTC系统非常重要。

正如上面提到的,万无一失的机制是嵌入在CBTC系统的工作原理,当一个特定类型的故障,它不会造成伤害到其他设备,环境,或人事或造成最小的伤害。因此,冗余和容错体系结构应用,如双2-vote-2佐架构,DSU和CI。左边的图的一部分2双2-vote-2架构了,有两个通信控制器(CCs),四个处理单元(脓),和两个逻辑决策者。在体系结构中,一个CC,两个脓,逻辑决策者构成一个主要系统而其他备用系统。一般来说,主系统不工作时,备用系统开关的主要角色。因此,佐,DSU、CI和ATS子系统但不是独立的设备。例如,ATS包括数据库服务器、通信服务器、应用服务器和网络门计算机。一些专用的协议开发保持机密性,完整性和可用性的信息,比如铁路信号安全协议(RSSP)源自EN 50159。

相反,一般信息技术的应用可能带来安全风险,如服务器消息块(SMB)协议漏洞,远程代码执行漏洞,验证漏洞,DoS威胁在无线通信,和假数据注入的威胁。合并后的安全威胁和漏洞的影响通常可以带来CBTC网络拓扑的变化,如一个服务器的停机时间由于病毒,从而导致交通中断从服务器到其他设备。对于一些特定的场景,在故障安全保护机制,CBTC拓扑的变化不能影响正常行车。无线通讯可能冗余,虽然火车之间无线连接和佐阻塞是由于干扰攻击或DoS攻击,火车仍然可以保持预设运行轨迹的其他无线连接可以提供一个通道传输控制命令。因此安全评估方法应该考虑影响现有的安全机制,它可以精确地评估实际列车控制系统的鲁棒性和经济复苏的能力。

3所示。弹性CBTC系统的评估模型

如前所述,网络域的CBTC系统是一个计算机网络与不同的计算机节点和通信链接。物理域由列车牵引和制动的影响根据网络域的命令。显然,网络性能异常域可能影响的操作训练和带来干扰城市轨道交通的运输服务。

根据弹性的定义,系统性能指标应基于CBTC的特点决定的。正如cyber-physical系统中,有大量的网络域和物理域的性能指标。因此,由于网络攻击性能方差应该根据不同指标进行描述。在本节中,我们开发一个基于结构信息熵方法来演示的实时系统性能网络域和物理域。

3.1。网络域

作为CBTC系统可以被视为计算机网络,我们构建了一个图模型 ,在哪里 是CBTC系统和设备吗 设备之间的通信链路。二维图的结构信息提出了定量测量网络的力量抵抗由故意病毒引起的级联故障攻击,作为一般的香农信息熵未能支持通信网络。二维结构信息熵的定义如下所示: 在哪里 模块的数量在分区 这可能是CBTC系统的子系统, 模块的节点数量 , 的程度是 节点 , 模块的体积吗 (即。,the sum of degrees of all the nodes in ), 边的数量有一个端点在模块 , 边的数量在吗 , 的体积是

方程(1)假设每个顶点和每条边是完全相同的。然而,在CBTC系统中,不同的操作系统和硬件平台采用基于设备的功能属性。根据对安全性要求苛刻的要求,与此同时,RSSP-1和RSSP-2单独应用于网络和开放网络关闭。事实上,一些私人协议(PPs)也由于特定需求开发。对于一些不安全的通信链路,以明文传输的信息。因此,有一些类型的顶点和边,这意味着每一个元素的CBTC图模型描述应该与特定的参数根据其固有的特性。

基于密码强度,安全保护政策,和漏洞的数量和水平,一个节点可以设计一个安全因素。漏洞可以分为五个层次根据普通危险得分系统(CVSS),可以确定相应重量的一个节点。 在哪里 表示一个设备的安全保护情况, 是演示了漏洞的整体状态的指标, 密码强度的测量, 是实际的数量安全保护, 是理想的安全保护,的数量 是脆弱的数量分类, 的数量吗 漏洞, 的重量吗 脆弱, 是密码的数字字符集, 密码的长度。

类似地,对于一个边缘,基于协议的通信链接,可以确定每条边的重量如下: 在哪里 的安全级别协议通过通信链路 , 协议的可靠性水平, 是保护方法的数量实际上采用的协议,然后呢 是保护方法的数量应该采用的协议。因此, 由开放的标准协议,决定在私人协议可以分配给的最大价值。 取决于通信链路是无线,无线连接的价值显然是小于一个有线连接。 的最大价值 在系统中。

因此,CBTC系统的结构熵可以制定如下: 在哪里 是加权 在(1), , 是加权 在(1), 是加权 在(1)。

3.2。物理域

结构熵(4)可以证明网络类型的变化由于通信链路节点故障和干扰引起的安全问题,这是网络空间的性能差异。然而,由于cyber-physical CBTC系统的特点,性能差异的物理空间也应该被考虑。基于CBTC系统的运输服务属性,成就的时间表可以用来描述对列车运行安全攻击所造成的影响。首先,火车的性能损失的归一化值表示如下,min-max原理的应用。 在哪里 , , , , , 的最小值和最大值的变化位移,速度,和到达时间,然后呢 , , 三个参数的重量。

因此,整个地铁线路的性能受到攻击可以制定如下,这是y轴图1 在哪里 是整条线的列车运行性能在正常情况下, 代表整个线受到攻击的性能损失。

3.3。CBTC系统的应变能力

方程(6)演示了CBTC系统的整体性能受到攻击。攻击过程实施,节点和边的状态正在改变。因此, 是时变函数。通过结合 ,网络空间和物理空间的性能可以被监控,可证明安全攻击的影响在CBTC系统中显示如下:

根据度量提出了(19测量弹性),有三个属性:吸收能力,适应能力,和恢复能力,和相应的表达式如下所示: 在哪里 网络攻击, 经济复苏速度的因素, 是稳定的水平从网络攻击系统恢复后, 系统的最低性能水平是由于攻击,然后呢 是正常的系统的性能水平。很明显, 描述了自适应能力 介绍了吸收能力。

此外,经济复苏速度的因素是决定根据一些关键的时机。 在哪里 可容忍的时间经济复苏措施实施之前, 是一些初步措施执行的时候减少攻击的影响, 是时候CBTC系统恢复到稳定运行水平,然后呢 是一个衰减系数。

考虑CBTC系统的操作原则,当执行袭击并导致失败的关键设备如佐,列车将实施紧急制动,以保持安全的基于故障安全机制。显然,整个地铁线路的性能将会下降到最低水平 ,和相应的时间 由于备份操作模式的存在,CBTC系统仍然可以操作佐和火车将从紧急制动状态中恢复过来,这是最初的措施保持连续的服务。因此, 是确定的。最后,网络攻击完成后,佐被攻击可以运行在正常状态和CBTC系统可以回到一个稳定的水平 通常小于正常水平 因此, 也可以获得。

4所示。仿真结果和讨论

4.1。模拟描述

以北京地铁Yizhuang线为例,有13台,6佐,6独联体和长度 基于CBTC系统的结构和佐的架构,独联体,at, CBTC展示在图的计算机网络3,双2-vote-2架构应用于佐和CI子系统。


图3
北京地铁Yizhuang线的计算机网络。

北京地铁的正常时间表Yizhuang线是作为模拟的输入,如图4。典型的干扰攻击车地无线通信的实现。有两个场景:场景1把佐作为攻击目标。一般来说,佐失败可能导致严重干扰铁路运营,作为列车必须执行紧急制动时不能收到佐马斯。因此,运营商必须尽最大努力修理故障或实施其他应急措施。我们认为运营商应该几分钟使系统从佐故障中恢复。根据架构图2CC1攻击路径( ) PU1和PU2 ( ) CC2 ( ) PU3和PU4 ( )。在该方案中,有三个佐系统被攻击和崩溃。几分钟后,三个佐系统先后恢复 , , ,分别。场景2把火车作为攻击目标,在DoS攻击上实现无线通信佐和VOBCs之间。通过发送大量的数据包耗尽带宽资源,通信中断可以引起,和火车必须执行紧急制动的安全性基于“故障安全”机制。因此,列车在降级模式下工作取决于操作司机直到无线通讯恢复正常。在该方案中,我们攻击了 , , 火车,分别 , , 正常模式下先后,火车跑 , ,


图4
北京地铁Yizhuang线的时间表。
4.2。仿真结果
4.2.1。准备网络空间的性能

5显示了网络性能的基于二维结构信息熵在场景1,,A, B, C和D,分别代表CC1的失败,PU1 PU2, CC2, PU3 PU4 ZC2。正常模式下的初始网络性能是7.6754。在攻击过程中,ZC2坠毁的主要系统和备用系统,以及网络性能波动。当ZC3 ZC4先后坠毁,网络性能达到7.4068。然后,一些措施实施使佐恢复正常。因此,ZC2 ZC3, ZC4依次开始正常工作,和网络性能迅速回到攻击前的原始值。


图5
CBTC系统的网络性能变化在场景1。

6演示场景2下的网络性能,列车之间的无线通信和佐被DoS攻击。网络性能几乎没有影响,这意味着攻击单个或几个无线链接几乎不能带来明显的变化的网络拓扑结构。然而,通信中断可能导致列车紧急制动,这显然影响地铁的操作。因此,温柔的网络性能的变化不能描述DoS攻击对CBTC系统的影响。


图6
CBTC系统的网络性能变化在场景2中。
4.2.2。性能的物理空间

数据78目前实际的时间表在两个不同的情景。从时间表,可以看到两个攻击场景,火车的正常操作大大受到影响。图7表明第一次佐系统被破坏后,场景1下的时间表开始被推迟。与系统恢复佐一个接一个地时间表开始复苏,但它仍然会影响后续操作训练。图8表明,即使没有对网络的影响域,由于DoS攻击佐和VOBCs之间的无线通信,火车无法获得MAs,所以导致紧急制动,仍然影响了时间表。因此,网络攻击会严重影响到整个地铁线路的正常运行。有必要评估整个地铁的列车性能损失下的网络攻击。


图7
实际的时间表在场景1。

图8
实际的时间表在场景2。

如图9、列车运行性能(定义在(6))的地铁线路减少几个佐(抛锚了 )然后用佐的复苏(增加 )。佐的复苏,每列火车返回到正常运行状态。然而,性能损失是无法弥补的,曲线不能达到正常操作水平如C区所示。


图9
地铁的列车运行性能在场景1。

下地铁列车运行性能的DoS攻击无线通信图所示10。它开始下降(区域)和降至最低点(B区) 为了保证运输服务的连续性,列车已恢复正常操作模式,然后开始上升的曲线。然而,列车执行紧急制动会影响后续列车的正常运行一个特定的区域,和那些远离攻击的可以保持正常的模式。


图10
地铁的列车运行性能在场景2中。
4.2.3。弹性CBTC系统的评估

如数据所示1112网络域的性能,物理域的集成,可以证明整个地铁的安全状态下攻击,和相应的多项式拟合结果也包括在内。


图11
的整体性能场景1下地铁。

图12
的整体性能场景2下地铁。

根据拟合结果,关键参数(8)和(9)确定如表所示1。最小值的两种情况下的安全级别是关闭。在场景1中,一个佐的失败可能会影响所有的列车在其控制。与此同时,随着时间攻击的时间越长,影响的区域也被更广泛。因此,它应该需要更多的时间才能恢复到正常水平而场景2。此外,无线通信的中断可能会直接影响列车的性能。因此,场景2的性能衰退速率大。在场景2中,由于DoS攻击佐和VOBCs之间的无线通信,虽然它仍然会导致列车延误,系统性能将在攻击结束后恢复到正常水平。

表1
CBTC系统的弹性参数下两个不同的场景。

我们可以计算弹性的三个属性如表所示2。两种情况下的吸收能力几乎是相同的,表明CBTC系统有类似的鲁棒性。佐可以控制列车之一,CBTC系统的适应性和恢复能力是弱场景1下。因此,弹性可以定量评估根据攻击的过程。

表2
弹性评估CBTC系统两种情况下的结果。

5。结论

摘要resilience-based评估方法提出了衡量CBTC系统的安全级别。采用二维结构熵来描述网络域的性能,和物理空间的计算根据实际的时间表和运行状态的火车。基于阶段的攻击,利用弹性指标来分析整个地铁的安全级别,网络空间和物理空间。建造了两个典型的攻击场景,一个实际的地铁线路是作为一个例子。仿真结果表明,resilience-based方法可以有效地评估CBTC系统在不同的安全级别的攻击。

数据可用性

没有数据被用来支持本研究。

的利益冲突

作者宣称没有利益冲突。

确认

本文是基础研究基金的赠款支持中央大学(2021号qy007),国家自然科学基金资助下的中国(U18341211, 61925302, 61971030, 61973026),铁路交通联合北京自然科学基金和基金TCT技术(L181004),交通控制技术(TCT)创新资金拨款9907006509,下的开放项目为流程工业综合自动化国家重点实验室,北京自然科学基金:L201002,和自然科学基金资助:61973026。