[发明专利]一种轨道交通信号系统安全网关的安全增强设备

权利要求书

1.一种轨道交通信号系统安全网关的安全增强设备，其特征在于，所述安全增强设备设置在列车自动监控ATS网与网关计算机之间，所述网关计算机为现有设置在列车自动监控ATS网与列车自动控制ATC网之间的网关计算机；

所述安全增强设备，包括：防火墙模块和智能过滤服务器模块；

所述防火墙模块由第一智能学习控件和基础网络层防火墙组成；

所述基础网络层防火墙，用于对收发数据包的目的IP地址和源IP地址进行过滤，对于不符合预设白名单的数据包进行抛弃，以及对非法接入IP进行阻断；

所述智能过滤服务器模块由第二智能学习控件和智能过滤服务器组成；

所述智能过滤服务器，用于通过对数据包的解析以及网络行为的分析，检测网络内是否存在非法行为或恶意攻击行为；

所述第二智能学习控件，用于将所述智能过滤服务器的检测结果进行整理，并对数据包进行分类处理，将确定威胁的数据包反馈给所述防火墙模块中的第一智能学习控件，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对所述确定威胁的数据包进行阻断。

2.根据权利要求1所述的安全增强设备，其特征在于，所述预设白名单是预先写入所述基础网络层防火墙的访问控制列表ACL内的，所述预设白名单内包括：轨道交通信号系统所有网络的所有内部设备的IP。

3.根据权利要求1所述的安全增强设备，其特征在于，所述第二智能学习控件，还用于

将所述确定威胁的数据包之外剩余的数据包展示给用户以进行人工审查，以及若接收到用户输入的对任一所展示的数据包的确认威胁结果，则向所述防火墙模块中的第一智能学习控件发送指令，以使所述第一智能学习控件通过智能学习变更防火墙策略，以对用户确认威胁结果的数据包进行阻断。

4.根据权利要求3所述的安全增强设备，其特征在于，所述智能过滤服务器，包括：

拆分单元，用于对数据包进行拆分；

内容过滤单元，用于对拆分后的数据包进行内容过滤，获得内容过滤检测的结果；

协议过滤单元，用于对拆分后的数据包进行协议过滤，获得协议过滤检测的结果；

病毒过滤单元，用于对拆分后的数据包进行病毒过滤，获得病毒过滤检测的结果；

行为过滤单元，用于对拆分后的数据包进行行为过滤，获得行为过滤检测的结果。

5.根据权利要求4所述的安全增强设备，其特征在于，所述内容过滤单元，具体用于

判断拆分后的数据包是否有异常信息；

若拆分后的数据包有异常信息，则判断所述异常信息是否为高级持续性威胁APT攻击；

若所述异常信息为APT攻击，则将所述拆分后的数据包标记I02；

若所述异常信息不是APT攻击，则将所述拆分后的数据包标记I01。

6.根据权利要求5所述的安全增强设备，其特征在于，所述协议过滤单元，具体用于

判断拆分后的数据包是否使用轨道交通信号系统所使用的已知协议；

若拆分后的数据包没有使用轨道交通信号系统所使用的已知协议，则将所述拆分后的数据包标记P01。

7.根据权利要求6所述的安全增强设备，其特征在于，所述病毒过滤单元，具体用于

通过将拆分后的数据包与预设病毒库进行匹配，判断拆分后的数据包是否为病毒；

若判断获知拆分后的数据包为病毒，则根据预设病毒库，判断所述病毒是否为高危病毒；

若判断获知所述病毒为高危病毒，则将所述拆分后的数据包标记V02；

若判断获知所述病毒不是高危病毒，则将所述拆分后的数据包标记V01；

其中，所述预设病毒库内包括：高危病毒和非高危病毒。

8.根据权利要求7所述的安全增强设备，其特征在于，所述行为过滤单元，具体用于

通过对日常行为进行学习记录，对数据包长度大小进行把控，或者根据实际情况对于固定报文的信息数据包进行哈希HASH值比对，判断拆分后的数据包是否为可疑报文；

若拆分后的数据包为可疑报文，则将所述拆分后的数据包标记H01。