广州地铁三号线综合监控系统网络蠕虫防治策略

论文导读：广州地铁三号线组建了以工业控制以太网为骨干的综合监控系统。本文以主动探测型蠕虫为讨论对象。综合监控系统，广州地铁三号线综合监控系统网络蠕虫防治策略。
关键词：综合监控系统，蠕虫
 

工业控制网络因为搭建使用方便，远程管理方便的优势已经广泛地用于各行各业。工业控制以太网比传统的工业控制总线传输数据量大，协议更多样，通用性、扩展性更优越，逐渐成为大型分布式工业控制系统的首选。为适应地铁智能设备分布分散，数量大，协议种类繁多，监控实时性要求高的特点，广州地铁三号线组建了以工业控制以太网为骨干的综合监控系统。

本文以主动探测型蠕虫为讨论对象。蠕虫可能造成网络中断，工作站死机等问题，严重威胁着工控网络的正常稳定工作。免费论文，综合监控系统。。防御蠕虫入侵已经成为摆在工业控制网络维护人员面前的一道难题。

1广州地铁三号线的综合监控系统介绍

广州地铁三号线综合监控系统是一个大型数据采集与监控系统，集中监控三号线全线各站的电力、智能建筑、火灾报警、屏蔽门、防淹门、广播、闭路电视、售检票系统、行车信号、车载信息、乘客信息传递、时钟系统、门禁系统等十三个专业的设备。

系统采用千兆光纤以太网为骨干网，各站通过千兆交换机连接作为网络节点。千兆交换机与前端处理器连接，以前端处理器为与诸系统如火灾报警系统、智能建筑系统等子系统设备的通讯转换接口。

综合监控系统的数据库存放于各站服务器，本站工作站访问本站服务器数据库读取设备状态显示。系统结构呈典型C/S结构。服务器采用UNIX系统而工作站采用windowsXP系统。服务器与工作站通过中间件软件完成数据交换。

综合监控系统管理员可从网管工作站可读取被监控的各种设备的运行数据及系统运行数据。

网络结构如图1所示：

2主动探测型蠕虫的特征

蠕虫是一类具有强传染性，攻击系统漏洞干扰计算机及网络工作的程序的统称。蠕虫和传统的病毒有以下区别：

（1）存在形式不同：传统病毒是可自我复制的一个代码片段，寄生在宿主文件中。蠕虫则是一个独立的程序。

（2）传染机制不同：传统病毒的传播方式是将病毒代码嵌入宿主程序，蠕虫则是通过自身复制感染网络上的其他计算机。

（3）触发方式不同：传统病毒需要使用者操作宿主文件触发，蠕虫则是主动攻击，不需人为干预。

常见的主动探测型蠕虫工作过程可分为网络探测、系统漏洞扫描、实施攻击、自我推进四步。

蠕虫先会进行网络探测，即通过IP探测机制探测网络中其他主机的IP。完成网络节点的探测后，蠕虫对被发现的网络主机进行扫描，探测主机系统是否存在适合攻击的漏洞。确认网络主机为可传播对象后，蠕虫将自身复制到目标主机并在目标主机上进行自我隐藏、信息搜集等工作。同时，蠕虫会将自身在目标主机上复制多个副本，并启动搜索进程，实施网络探测，进行下一轮攻击。

3综合监控系统蠕虫的来源：

综合监控系统是工控系统，并不接入Internet，蠕虫的来源主要是以下两种：

（1）更新软件版本时感染蠕虫

工控软件一般都不是在工厂一次开发完成，直接上线投入运行就能达到终验水平的。工控软件从完成初步开发出厂，到稳定运行，最终达到可接受验收的水平，往往需要经过多次升级修改。

（2）取数据时感染蠕虫

较安全的数据读取方式是采用一次性写入的光盘取出数据。但综合监控系统有其特殊性，首先综合监控系统可监控几乎所有设备，需要读取的数据量巨大；其次因为地铁行业的特殊性，数据分析需要及时，在事件发生后必须马上取得数据，导致取数据的次数较多。这样假如每次取数据都花费一张光盘，成本相当高，不符合企业利益。

另外，在运行过程中，为了分析系统运行状况，保障系统安全运行，管理员每天都需要读取系统运行日志进行分析并保存。管理员的存取介质也有可能带有蠕虫。

4蠕虫的防治

4.1蠕虫的检测

综合监控网络的网络结构简单，数据内容单一，利于用对照表检测法进行感染检测。免费论文，综合监控系统。。凡是不符合对照表特征的数据包均视为有害，进行报警。

（1）检测的基础是建立特征对照表。综合监控系统的监控机制在时间上是循环重复的。免费论文，综合监控系统。。因此可以从骨干网提取一时段单位的数据包，根据设计文本规定的通讯信息种类，遍选让检测软件学习，生成特征对照表。

（2）对照表的特征的选择。根据蠕虫的入侵习惯，可选用协议种类比，源IP，目标IP，数据量作为检测特征量。

综合监控网内数据包较固定，可增加数据包长度作为特征量。免费论文，综合监控系统。。免费论文，综合监控系统。。

（3）进行数据检测。为减少网络负荷，采取定时抽取一时间段骨干网数据进行检测的方式。出现不符合特征表的情况将进行报警。

4.2系统功能的恢复

蠕虫网络感染能力很强，通常单工作站完成蠕虫清楚，网络上有残留的蠕虫，几小时后又会重复感染。所以清除蠕虫是一个系统性的工作，不能单机进行。

服务器采用UNIX系统，前端处理器采用VxWorks系统，均不感染针对windows系统蠕虫，综合监控系统网络的蠕虫宿主是工作站。为减少恢复所用时间，可对工作全盘恢复，彻底清除病毒。

清除蠕虫时必须断开各网络节点，恢复后逐站连接。

4.3蠕虫的预防

从维护者的角度，通过建立完善的管理制度限制蠕虫进入网络是较有效且成本较低的蠕虫防御方法。

针对蠕虫的来源，防御蠕虫应该注意两项制度的落实。

首先是规范软件上线前的病毒检测。软件出厂时必须有开发人员的病毒检测报告，上线前由用户在测试平台验证后才能上线运行。

第二是规范数据读取的权限，仅允许授权人员进行读取数据的操作。所用存储设备必须是专用设备，且连接办公网络时设置为只读。免费论文，综合监控系统。。

在成本允许的情况下，应该考虑增加综合监控系统对外接口的保护，减少蠕虫的影响范围，比如选用有防火墙功能的存储设备取数据，转换协议传输数据防止蠕虫扩散，在读取数据的终端网管工作站设置防火墙。

参考文献
[1]王民孙薇王艳玲《网络蠕虫检测和控制研究》/文章编号1671-7597（2009）1020079-01
[2]魏长宝《入侵、蠕虫对网络安全的危害及防范》/文章编号1672-3791（2007）12（b）-0081-02
[3]www.rising.com.cn瑞星主页