轨道交通信息安全异常行为检测技术研究与应用

目录

摘要

1 引言

2 轨道交通异常行为检测技术综述

2.1 基于传统机器学习的检测方法

2.2 基于深度学习的检测方法

2.3 多源数据融合的检测方法

3 体系架构与关键技术

3.1 分层防御体系架构

3.2 关键技术实现路径

3.2.1 实时高精度检测技术

3.2.2 可解释与审计闭环技术

4 应用场景与案例分析

4.1 列控系统异常检测

4.2 内部人员行为管理

4.3 公共区域异常行为识别

5 未来挑战与展望

5.1 关键技术挑战

5.2 未来研究方向

6 结论

---

摘要

随着云计算、物联网、人工智能等新一代信息技术与轨道交通系统的深度融合，网络安全威胁日益呈现出多元化、复杂化特征。异常行为检测作为轨道交通信息安全防护体系中的关键技术，能够有效识别未知威胁和内部风险，从被动防护转向主动防御。本文系统分析了轨道交通异常行为检测的技术体系、研究现状与核心挑战，探讨了基于传统机器学习、深度学习及多源数据融合的检测方法在轨道交通场景中的应用特性。同时，设计了一种分层协同的异常行为检测架构，并结合列控系统、内部人员管理和公共区域等典型场景进行案例分析。最后，展望了该领域面临的关键挑战与未来研究方向，为构建弹性、自适应的轨道交通信息安全防护体系提供理论参考和技术思路。

关键词：轨道交通；信息安全；异常行为检测；深度学习；多源数据融合；主动防御

1 引言

轨道交通作为城市关键信息基础设施，其安全稳定运行直接关系到国计民生和公共安全。在"交通强国"和"新基建"战略推动下，轨道交通系统正朝着数字化、网络化、智能化方向飞速发展。列车控制、调度指挥、乘客服务等核心系统与网络深度融合，使得传统的、静态的、边界式的网络安全防护模式难以应对日益复杂的网络威胁。

近年来，针对轨道交通系统的网络攻击事件频发，例如2023年乌克兰铁路系统遭受的网络攻击导致旅客滞留事件-7，暴露出轨道交通系统在网络安全防护方面的脆弱性。与传统IT系统不同，轨道交通系统具有严格的实时性要求、异构复杂的网络结构以及网络与物理空间紧密耦合等特点，其安全防护不仅需要考虑信息安全的三要素，更必须确保运营服务的连续性、可靠性和安全性。

异常行为检测技术通过分析系统、用户和实体的行为模式，能够识别偏离正常基线的异常活动，为未知威胁发现和内部风险管控提供有效手段。在轨道交通环境中，异常行为检测面临诸多特殊挑战：一是系统异构性强，数据源多样且标准不一；二是对误报极为敏感，高误报率会严重影响运营效率；三是检测实时性要求高，尤其在列控等安全苛求系统中；四是需要平衡检测性能与系统资源开销。

本文从轨道交通信息安全实际出发，系统梳理异常行为检测技术的研究进展与应用现状，提出适应轨道交通特点的检测体系架构，并深入探讨未来发展方向，旨在为提升我国轨道交通信息安全防护水平提供有益参考。

2 轨道交通异常行为检测技术综述

2.1 基于传统机器学习的检测方法

传统机器学习方法在轨道交通异常行为检测中已形成较为成熟的应用范式，主要通过特征工程提取网络流量、系统日志和用户操作中的关键指标，利用统计学习和机器学习算法构建正常行为模型，进而识别偏离该模型的异常行为。

在工业控制场景中，单分类支持向量机（OCSVM）因只需正常样本即可完成训练而受到青睐。研究表明，该方法应用于CBTC系统DoS攻击检测，通过建立CBTC系统的流量异常检测模型，在不同发车间隔场景下均表现出良好检测性能，检测率高达99.5%-1。关联分析算法则通过建立CBTC系统的双轮廓规则检测模型，形成系统正常行为和异常行为的规则库，进一步提升了检测的准确性-1。

基于人工免疫系统的态势评估方法（AIS-SA）是另一类受关注的传统方法。该方法利用城轨列控系统数据特性，设计检测器成熟机制和攻击检测方法，实时感知系统遭受的网络攻击。仿真试验表明，当检测器进化至25代时，对身份认证拒绝服务攻击的检测率为96.81%、误报率为0.25%，对TCP拒绝服务攻击的检测率为98.46%、误报率为1.32%-9。这类方法的优势在于具有自学习和自我进化能力，能够适应缓慢变化的系统环境。

然而，传统机器学习方法在特征工程阶段依赖专家经验，且对未知攻击模式的识别能力有限，在面对精心构造的对抗攻击时，检测性能明显下降。此外，基于固定阈值或规则的检测方法难以适应轨道交通网络流量的动态变化，在系统升级或运营模式变更后需要重新调整参数，维护成本较高。

2.2 基于深度学习的检测方法

深度学习技术凭借其强大的特征学习能力和模式识别精度，为轨道交通异常行为检测提供了新的技术路径。特别是对于复杂的非线性关系和多维时序数据，深度学习模型能够自动提取高层次特征，减少对人工特征工程的依赖。

在轨道交通通信系统数据异常检测中，基于梯度下降动量（GDM） 和自适应增益（GDM/AG） 的神经网络算法表现出色。研究表明，GDM/AG算法在轨道车辆异常检测中可以实现更快的收敛，并且能够检测到毫秒级的异常数据。面对未知攻击类型时，其准确率及精度均达到98%以上-2。这种实时性和高精度对于保证列车运行安全至关重要。

针对列车通信网络异常流量类型和形式多样化、特征提取难度大的问题，基于双向AC算法的异常入侵检测系统通过协议解析、深度包过滤和入侵特征模式提取等模块，实现了高效的异常检测。该系统采用采集层、存储层、分析层和可视化层的分层架构，实验结果表明能够有效完成异常入侵特征模式提取，并快速自动匹配异常入侵特征模式，检测精度较高-5。

深度学习方法的挑战主要在于模型透明度和解释性不足，这在安全苛求的轨道交通环境中尤为突出。此外，深度学习模型需要大量标注数据进行训练，而轨道交通领域的异常样本稀缺，导致模型训练困难。近年来，迁移学习和小样本学习等新兴技术正尝试解决这一问题，通过从相关领域迁移知识或利用有限样本快速学习，提升模型在实际场景中的适应性。

2.3 多源数据融合的检测方法

轨道交通系统包含多个异构子系统，如信号系统、综合监控系统、自动售检票系统等，每个系统都会产生大量异构数据。单一数据源的异常检测往往存在视野局限，无法全面反映复杂攻击场景。多源数据融合检测方法通过协同分析多个相关数据源，能够更准确地识别潜在威胁。

多源互律入侵检测方法针对CBTC数据欺骗攻击检测难题，定义了多源互律检测的概念，设计了车载检测器和地面检测器的协同检测机制。该方法通过确定与随机Petri网（DSPN）建模仿真验证，对数据欺骗攻击的检测率高达99.99974%-1。这种跨系统的协同检测机制能够识别单一系统难以发现的低慢小攻击，显著提升了系统的整体安全性。

在视频监控领域，多源数据融合同样展现出强大潜力。基于Probabilistic Occupancy Maps（POMs）和贝叶斯融合技术的模型，通过整合多个传感器数据，在提高检测准确性的同时显著降低了误报率-8。这种方法特别适用于站厅、站台等公共区域的异常行为识别，能够有效应对信息过载和虚警问题，提升安全监控效率。

多源数据融合面临的主要挑战包括数据异构性、时间同步和计算开销。不同子系统数据格式、采样频率和语义解释存在差异，需要统一的数据规范和融合框架。此外，大规模数据融合对系统计算和通信资源要求较高，在资源受限的轨旁设备和车载设备上实现困难。边缘计算与云计算协同的处理架构可能成为解决这一问题的有效途径。

表1：轨道交通异常行为检测方法比较

检测方法	技术优势	局限性	适用场景
传统机器学习	模型解释性强、计算开销相对较小	特征工程依赖专家知识、对未知威胁检测有限	已知攻击模式检测、资源受限环境
深度学习	自动特征学习、高精度、强泛化能力	模型透明度低、需要大量训练数据	复杂威胁检测、高维时序数据分析
多源数据融合	检测视野全面、误报率低、协同防护	实现复杂度高、需解决数据异构问题	跨系统攻击检测、综合安全态势评估

3 体系架构与关键技术

3.1 分层防御体系架构

针对轨道交通系统的复杂性和安全苛求特性，一种分层协同的异常行为检测体系架构能够提供全面而高效的防护。该架构通常包含数据采集层、行为建模层、智能分析层和响应处置层四个层次，实现从数据收集到威胁响应的闭环管理。

数据采集层负责多源异构数据的收集和预处理，涵盖网络流量、系统日志、用户操作、设备状态和视频监控等多类数据源。在轨道交通环境中，需特别考虑工业控制协议（如Modbus、Profinet）的解析和转换。某地铁信号系统网络安全方案中，通过在骨干环网交换机上旁路部署入侵检测系统，实现对网络流量的深度监测，并通过协议深度解析，识别应用层异常-3。

行为建模层构建用户、系统和网络实体的行为基线，利用机器学习和深度学习算法建立正常行为模型。智慧城轨网络安全运营中心通过内置16个检测引擎，基于人工智能构建的机器学习模型提高检测深度，将异常行为与多源数据关联分析从而提升检测精准度-4。这一层的核心挑战在于平衡模型的准确性和泛化能力，避免过拟合和欠拟合。

智能分析层引入因果推理和图计算等先进分析技术，实现威胁的深度研判。通过构建行为图谱，分析实体间的复杂关系，识别潜在的协同攻击和隐蔽威胁。某方案中采用的可解释风险评分与可审计协同处置引擎，能够为每条告警提供基于因果链的证据，实现"告警结果可理解、可验证、可复核"-3。这种可解释性对于轨道交通运营人员理解威胁本质和采取应对措施至关重要。

响应处置层实现自动化的威胁响应和处置闭环。现代网络安全运营平台支持在检测的同时持续收集数据，实现快速研判，并自动封堵威胁攻击源，快速向安全防护设备下发指令从而提高防护效率-4。在轨道交通环境中，响应策略需特别考虑对系统实时性和可用性的影响，避免因过度防护影响正常运营。

3.2 关键技术实现路径

3.2.1 实时高精度检测技术

轨道交通关键系统对检测的实时性和准确性有极高要求。基于物理约束和业务规则的混合检测框架将领域知识与数据驱动模型相结合，能够显著降低误报率。这种框架首先利用轨道交通安全规程和SCADA/ATS/信号系统的物理约束建立规则层过滤器，过滤因流程切换、批量操作导致的噪声，再基于时序深度模型和图神经网络构建细粒度异常评分-3。

为适应地铁调度计划、排班制度和设备状态的频繁变化，在线自适应学习机制通过概念漂移检测和模型增量更新，使检测模型能够在实际运行环境中持续优化、快速恢复至低误报水平。某方案采用的梯度下降动量和自适应增益(GDM/AG)算法，在轨道车辆异常检测中实现了更快的收敛，可检测到毫秒级的异常数据-2。

3.2.2 可解释与审计闭环技术

在安全生产和责任追溯要求严格的轨道交通领域，异常检测结果的可解释性至关重要。基于因果链的风险评分方法通过分析行为事件间因果关系，为检测结果提供业务语义丰富的解释，显著提升管理人员对检测结果的信任度和理解度-3。

可审计的处置工作流将告警触发、解释生成、人工确认、跨部门协同处理及最终闭环记录全部纳入统一审计链，实现不可篡改的全流程留痕。某方案中通过部署数据库审计系统、运维审计系统和日志审计系统，对信号系统进行全方位安全审计，满足等保2.0的合规要求-3。

4 应用场景与案例分析

4.1 列控系统异常检测

列控系统作为轨道交通的"大脑和神经"，其安全性直接关系到列车运行安全。基于通信的列车控制(CBTC)系统通过无线通信实现车地信息交互，这一开放特性也使其面临更多安全威胁。

某地铁信号系统网络安全方案采用纵深防御策略，在边界防护、入侵检测、业务审计和终端安全管理等多个层面构建防护体系-3。方案中采用工业级防火墙实现区域边界访问控制，在信号系统与其他系统互联边界部署防火墙，设置基于传统五元组、协议、资产、时间等多元组的访问控制策略，并对Modbus协议实现指令级访问控制。

在入侵检测方面，该方案在骨干环网交换机上旁路部署入侵检测系统，对系统中的应用层协议进行深度解析，并与规则策略对比，实现对应用系统的入侵检测和业务操作异常分析-3。这种检测方式既满足信号系统的最低时延要求，又以安全系统自响应为原则构建防护系统，通过IDS与FW的联动实现动态防护。

实验证明，结合OCSVM和关联分析算法的混合检测方法对CBTC系统DoS攻击检测率高达99.5%-1，而多源互律入侵检测方法对数据欺骗攻击的检测率更是达到99.99974%-1，极大地提高了CBTC系统的信息安全保障水平。

4.2 内部人员行为管理

内部人员（包括员工、运维人员和管理员）的异常行为是轨道交通信息安全的重要威胁来源。内部人员行为监管面临身份分散、数据割裂、跨系统轨迹难以拼接等挑战-3。

某方案通过构建统一身份解析与行为图谱技术，实现跨系统、跨终端员工行为统一追踪与时序链路建模。该方法将HR系统、门禁系统、工单系统、调度平台等多源数据进行身份关联，构建贯穿"人-机-务"的时序行为图谱，为异常检测提供完整数据基础-3。

基于深度学习的异常检测模型将轨道交通的物理约束、安全规程与图神经网络、在线自适应学习相融合，实现高召回、低误报的实时风险感知。某系统采用的基于双向AC算法的异常入侵检测系统，能够快速自动匹配异常入侵特征模式，检测精度较高-5。

可解释审计与协同处置机制通过因果推理模型，为每条告警提供清晰的关键事件链解释，并打通跨部门协同处置工作流。某方案中通过部署数据库审计系统、运维审计系统，对中心数据库进行网络审计，对维护工作站的维护操作进行审计，实现全流程可追溯-3。

4.3 公共区域异常行为识别

轨道交通公共区域（站厅、站台、出入口等）的异常行为识别主要依靠视频监控技术。传统视频监控依赖人工查看，效率低下且易漏检。基于智能视频分析的异常行为识别技术能够自动识别异常情况，提升安全监控效率。

一种基于视频分析的异常行为识别算法通过计算机图像处理和目标识别技术，实现异常行为智能判别，有效提升了地铁车站日常运营的安全性，使视频监控更具实用性-6。这种方法能够帮助工作人员忽略大量无用的信息，更高效地保障旅客安全以及节省大量人力物力去现场巡视。

针对视频监控中的信息过载和虚警问题，基于Probabilistic Occupancy Maps（POMs）和贝叶斯融合技术的模型通过整合多个传感器数据，在提高检测准确性的同时显著降低了误报率-8。这种多传感器融合方法特别适用于站厅、站台等人员密集区域的异常行为检测，能够有效识别跨越多个监控区域的异常活动。

深度学习技术在异常行为识别中也展现出强大潜力。有研究对深度学习技术在监控视频流中的异常人类行为检测进行了全面调查，将现有技术分为无监督、部分监督和全监督三类方法，并比较了它们在流行数据集上的性能-8。这些技术为轨道交通公共区域的智能监控提供了重要技术基础。

表2：轨道交通不同场景的异常检测技术要求

应用场景	实时性要求	数据源类型	关键技术	典型检测目标
列控系统	毫秒-秒级	网络流量、控制指令、设备状态	多源互律检测、OCSVM、协议深度解析	DoS攻击、数据欺骗、非法接入
内部人员管理	分钟级	操作日志、门禁记录、业务数据	行为图谱、因果推理、用户实体行为分析(UEBA)	越权操作、数据窃取、违规外联
公共区域监控	秒-分钟级	视频流、传感器数据	计算机视觉、多传感器融合、深度学习	异常聚集、入侵禁区、异常徘徊

5 未来挑战与展望

5.1 关键技术挑战

尽管异常行为检测技术在轨道交通信息安全领域取得了显著进展，但仍面临多项关键技术挑战。

数据复杂性与质量是首要挑战。轨道交通系统数据具有多模态、异构、大规模和标注稀缺等特点。工业控制协议（如Modbus、Profinet）与通用网络协议的差异性增加了数据解析和特征提取的难度-3。同时，由于隐私保护和数据安全考虑，获取真实的异常样本极为困难，导致监督学习模型训练不足。

模型适应性与鲁棒性不足是另一大挑战。轨道交通系统运营环境复杂多变，设备、网络拓扑和业务流程的变更可能导致模型性能下降。虽然在线学习技术能够一定程度上适应环境变化，但在安全苛求环境中，模型更新需要经过严格验证，大幅增加了维护复杂度-7。

隐私保护与合规性要求也对异常检测技术提出挑战。员工行为监测涉及个人信息收集和处理，需遵循《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规。如何在保证检测效果的同时最大限度保护用户隐私，是实际部署中必须考虑的问题。

系统资源约束与实时性平衡在轨旁设备和车载设备上尤为突出。这些设备通常计算资源和功耗有限，难以运行复杂的深度学习模型。开发轻量级检测算法和优化模型结构，是适应资源受限环境的关键-2。

5.2 未来研究方向

面对上述挑战，轨道交通异常行为检测技术呈现出多个重要研究方向。

多模态融合学习通过协同分析网络流量、系统日志、视频监控和控制指令等多种数据源，能够构建更为全面的安全态势视图。未来研究可探索基于跨模态表示学习和知识图谱的技术，实现异构数据的语义级融合，提升对隐蔽威胁的检测能力-8。

元学习和小样本学习为解决异常样本稀缺问题提供了新思路。这些技术能够使模型从少量样本中快速学习，适应新型攻击模式。在轨道交通环境中，可探索基于模型无关元学习（MAML）和原型网络的异常检测框架，提升模型对未知威胁的适应能力-7。

可信人工智能技术致力于提高模型的可解释性、可靠性和透明度，对轨道交通安全苛求环境尤为重要。可解释AI（XAI）技术如LIME、SHAP等可以集成到异常检测系统中，提供易于理解的检测依据，增强运营人员对自动化检测结果的信任-3。

联邦学习作为一种分布式机器学习范式，能够在保护数据隐私的前提下实现模型协同训练。在轨道交通多运营主体场景下，联邦学习可使不同线路或城市的地铁公司在不出露本地数据的情况下共同训练检测模型，解决单一主体数据不足的问题-7。

数字孪生技术为异常检测模型训练和验证提供了安全可控的环境。通过构建轨道交通信息物理系统的高保真虚拟映射，可在不影响实际系统的前提下测试检测算法性能，评估极端场景下的系统行为，加速模型迭代优化-9。

6 结论

本文系统研究了轨道交通信息安全异常行为检测的技术体系、应用场景和发展方向。研究表明，随着人工智能技术与轨道交通安全的深度融合，异常行为检测正从单点检测向协同防护、从事后响应向主动防御、从通用方法向场景定制方向发展。

面对日益复杂严峻的网络安全威胁，传统单一防护手段已难以应对，必须构建集智能感知、精准分析、自动响应于一体的协同防护体系。这一体系需要综合运用传统机器学习、深度学习和多源数据融合等多种技术，结合轨道交通业务特点和安全要求，实现检测能力与运营需求的精准匹配。

未来，随着联邦学习、数字孪生、可信人工智能等新兴技术的发展，轨道交通异常行为检测将朝着更精准、更可靠、更自适应的方向演进。同时，需要重视模型透明度与业务需求的平衡，加强检测结果的可解释性，提升系统在真实环境中的可用性。

轨道交通信息安全异常行为检测不仅是一个技术问题，更是涉及管理、流程和技术的系统工程。只有通过持续的技术创新、体系化的运营管理和开放的产业协作，才能构筑起弹性、自适应的智能安全防护体系，为公众出行安全和城市高效运转提供坚实保障。