一种列车网络安全防护系统的制作方法

本申请涉及列车网络安全，特别涉及一种列车网络安全防护系统。

背景技术：

1、下一代tcms（train control and management system，列车控制与管理系统）系统采用wlan方式将将各车载终端进行组网，由于无线局域网络是一个结构松散、开放的网络，空中接口的开放性使得列车无线网络更容易存在节点破坏、信息泄露等安全风险，由此带来的网络安全风险主要包括：1、内部终端连接外部无线：保存重要/涉密信息的内部车载无线网络系统无线终端连接到未知安全风险的外部无线网络，可能造成信息泄漏；2、外部终端连接内部无线：未知安全风险的外部/非法无线终端连接到内部车载无线网络系统，可能造成病毒复制、漏洞攻击、信息泄漏；例如，如图1所示的非法内联造成泄密；3、无线dos攻击：无线拒绝服务攻击，导致无线终端和ap间的通信被中断；4、无线中间人攻击：使用拒绝服务并结合钓鱼攻击，造成内部车载无线网络系统中断与外部网络的合法连接，并被动连接至攻击者部署的钓鱼wifi，导致重要数据被窃取。因此，针对列车内部的无线网络的安全，提供一种可靠有效的安全防护方案，保障列车网络控制系统的持续、稳定、可靠运行已成为本领域技术人员亟待解决的技术问题。

技术实现思路

1、本申请的目的是提供一种列车网络安全防护系统，能够可靠有效的进行安全防护，保障列车网络控制系统的持续、稳定、可靠运行。

2、为解决上述技术问题，本申请提供了一种列车网络安全防护系统，包括：无线防护控制器与冗余的无线防护探针；所述无线防护控制器部署于列车的头车与尾车，所述冗余的无线防护探针部署于车厢；各所述无线防护探针的信号覆盖范围交叉；

3、所述无线防护控制器，用于下发安全策略至所述无线防护探针，分析所述无线防护探针探测到的无线连接设备的信息识别非法无线连接设备，识别无线网络威胁，并下发防护指令至所述无线防护探针；

4、所述无线防护探针，用于轮询探测无线连接设备的信息，当接收到所述防护指令后，根据所述安全策略进行阻断和/或攻击反制。

5、在一些实施例中，所述无线防护控制器具体用于：

6、在合法无线连接设备的mac地址集中逐一查找获得的可疑非法无线连接设备的mac地址；

7、若未在所述合法无线连接设备的mac地址集中查找到所述可疑非法无线连接设备的mac地址，则判定所述可疑非法无线连接设备为非法无线连接设备。

8、在一些实施例中，所述无线防护控制器还用于：

9、获取终端设备待连接的无线网络的网络信息；

10、根据所述网络信息判断所述无线网络是否属于白名单，以及所述无线网络的网络开关是否处于开启状态；

11、若所述无线网络是否属于白名单，且所述无线网络的网络开关处于开启状态，则向所述无线防护探针下发指令，使所述无线防护探针将所述终端设备接入所述无线网络；

12、若所述无线网络属于白名单，且所述无线网络的网络开关处于关闭状态，则判断所述无线网络是否满足预设条件；

13、若满足，则输出提示信息，并向所述无线防护探针下发指令，使所述无线防护探针将所述终端设备接入所述无线网络。

14、在一些实施例中，所述无线防护控制器包括：

15、无线策略控制模块，用于下发安全策略，分析无线连接设备的信息识别非法无线连接设备，识别无线网络威胁，并下发防护指令；

16、无线安全引擎模块，用于分析处理无线安全事件。

17、在一些实施例中，所述无线策略控制模块包括：

18、无线接入访问控制组件，用于管理无线连接设备的配置与状态，监控所述无线连接设备的性能，根据预设策略允许或拒绝终端设备的接入请求；

19、系统配置组件，用于管理所述无线策略控制模块的配置；

20、网络配置组件，用于配置和管理无线网络的设置，监控无线网络的状态和性能，管理无线连接设备与无线防护探针，对无线连接设备所属无线域进行配置；

21、无线入侵防御组件，用于检测无线网络的入侵行为；

22、策略下发组件，用于下发安全策略；

23、资产管理组件，用于对连接到无线网络的资产进行管理与跟踪，管理无线防护探针的信息；

24、日志审计组件，用于收集、存储和分析无线网络的日志信息，提供日志查询、筛选以及导出功能。

25、在一些实施例中，所述无线防护探针具体用于：通过发送射频信号进行攻击反制。

26、在一些实施例中，所述无线防护探针具体用于：发送无线报文干扰攻击设备的攻击行为。

27、在一些实施例中，所述无线防护探针具体用于：通过泛洪反制方式或者虚假无线连接设备反制方式进行攻击反制。

28、在一些实施例中，所述无线防护控制器还用于：分析终端设备之间的关联关系，并对攻击行为的无线告警进行分类。

29、在一些实施例中，所述无线防护控制器还用于：根据攻击的时间属性，对多步攻击进行关联分析。

30、本申请所提供的列车网络安全防护系统，包括：无线防护控制器与冗余的无线防护探针；所述无线防护控制器部署于列车的头车与尾车，所述冗余的无线防护探针部署于车厢；各所述无线防护探针的信号覆盖范围交叉；所述无线防护控制器，用于下发安全策略至所述无线防护探针，分析所述无线防护探针探测到的无线连接设备的信息识别非法无线连接设备，识别无线网络威胁，并下发防护指令至所述无线防护探针；所述无线防护探针，用于轮询探测无线连接设备的信息，当接收到所述防护指令后，根据所述安全策略进行阻断和/或攻击反制。

31、可见，本申请所提供的列车网络安全防护系统，在列车的头车与尾车部署无线防护控制器，在车厢部署冗余的无线防护探针，各无线防护探针的信号覆盖范围交叉，开启多个无线防护探针，多个无线防护探针可以同时工作进行阻断与攻击反制，能够有效克服时间间隔带来的防护不连续问题。无线防护模块与无线防护探针相配合，能够有效检测无线扫描、欺骗等攻击行为，并可以对攻击行为进行反制，有效防止信息外漏。并且无线防护模块与无线防护探针相配合，能够及时发现入侵行为，并进行阻断。

技术特征：

1.一种列车网络安全防护系统，其特征在于，包括：无线防护控制器与冗余的无线防护探针；所述无线防护控制器部署于列车的头车与尾车，所述冗余的无线防护探针部署于车厢；各所述无线防护探针的信号覆盖范围交叉；

2.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护控制器具体用于：

3.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护控制器还用于：

4.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护控制器包括：

5.根据权利要求4所述的列车网络安全防护系统，其特征在于，所述无线策略控制模块包括：

6.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护探针具体用于：通过发送射频信号进行攻击反制。

7.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护探针具体用于：发送无线报文干扰攻击设备的攻击行为。

8.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护探针具体用于：通过泛洪反制方式或者虚假无线连接设备反制方式进行攻击反制。

9.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护控制器还用于：分析终端设备之间的关联关系，并对攻击行为的无线告警进行分类。

10.根据权利要求1所述的列车网络安全防护系统，其特征在于，所述无线防护控制器还用于：根据攻击的时间属性，对多步攻击进行关联分析。

技术总结本申请公开了一种列车网络安全防护系统，涉及列车网络安全技术领域，包括：无线防护控制器与冗余的无线防护探针；无线防护控制器部署于列车的头车与尾车，冗余的无线防护探针部署于车厢；各无线防护探针的信号覆盖范围交叉；无线防护控制器，用于下发安全策略至无线防护探针，分析无线防护探针探测到的无线连接设备的信息识别非法无线连接设备，识别无线网络威胁，并下发防护指令至无线防护探针；无线防护探针，用于轮询探测无线连接设备的信息，当接收到防护指令后，根据安全策略进行阻断和/或攻击反制。该列车网络安全防护系统能够可靠有效的进行安全防护，保障列车网络控制系统的持续、稳定、可靠运行。技术研发人员：杜杰伟,梁建英,刘韶庆,贾冬晓,刘明明,陶冬冬,刘维龙受保护的技术使用者：国家高速列车青岛技术创新中心技术研发日：技术公布日：2024/9/2