(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111434902.2 (22)申请日 2021.11.29 (71)申请人 中国铁路北京局集团有限公司北京 通信段 地址 100000 北京市东城区永外车站路甲 12号301室 (72)发明人 赵运海　刘中岭　于东旭　 (74)专利代理 机构 广东高端专利代理事务所 (特殊普通 合伙) 44346 代理人 徐玲 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种针对铁路的网络安全监测方法及系统 (57)摘要 本发明实施例公开了一种针对铁路的网络 安全监测方法及系统， 该方法包括： 布设至少包 括与铁路网络系统架构一致， 并采用差异化防护 策略的同构蜜罐系统， 以及与铁路网络系统采用 差异化架构的异构蜜罐系统； 对同构蜜罐系统所 捕获攻击行为进行分析， 获得同构攻击策略， 配 合同构攻击策略对异构蜜罐系统所捕获攻击行 为进行分析， 获得异构攻击策略， 生成网安监测 报告。 本发明中， 通过设置防护策略、 防护力 度差 异化的同构蜜罐， 可完整监测攻击行为的攻击途 径、 攻击目标与影响范围， 设置不同架构 的差异 化蜜罐以暴露架构缺陷， 提前进行针对性改进补 强。 从而在已有安全防护服务提供外部防护的基 础上， 提高系统自身的安全性， 有效减少安全风 险。 权利要求书2页 说明书6页 附图2页 CN 114205127 A 2022.03.18 CN 114205127 A 1.一种针对铁路的网络安全监测方法， 其特 征在于， 所述方法包括： 布设若干蜜罐系统， 所述蜜罐系统至少包括与铁路网络系统架构一致， 并采用差异化 防护策略的同构蜜罐系统， 以及与铁路网络系统采用差异化架构的异构蜜罐系统； 对所述同构蜜罐系统所捕获攻击行为进行分析， 获得同构攻击策略， 所述同构攻击策 略至少包括 攻击行为的类别、 攻击途径、 攻击目标及影响范围； 配合所述同构攻击策略对所述异构蜜罐系统所捕 获攻击行为进行分析， 获得攻击行为 的异构攻击策略； 基于所述同构攻击策略及所述异构攻击策略生成网安 监测报告。 2.根据权利要求1所述的一种针对铁路的网络安全监测方法， 其特征在于， 在所述基于 所述同构攻击策略及所述异构攻击策略生成网安 监测报告之后， 所述方法还 包括： 针对攻击目标与影响范围涉及行 车调度与行 车订单的攻击行为 提取行为特征； 基于所述行为特 征于铁路网络系统中设置触发节点与熔断节点； 当所述触发节点受攻击行为触发时， 所述熔断节点熔断。 3.根据权利要求1所述的一种针对铁路的网络安全监测方法， 其特征在于， 所述方法还 包括： 根据所捕获攻击行为的攻击目标及影响范围确定安检区域； 基于所述 安检区域对铁路网络系统进行一 致性检测； 对一致性检测结果存在异常的安检区域输出安全警报。 4.根据权利要求2或3所述的一种针对铁路的网络安全监测方法， 其特征在于， 所述方 法还包括： 针对所述熔断节点， 以及针对一致性检测结果存在异常的安检区域提取数据映射渠 道； 对所述数据映射渠道添加隐患标签； 其中， 所述隐患标签用以指示需于下一在线版本对所述数据映射渠道进行防护加固。 5.一种针对铁路的网络安全监测系统， 其特 征在于， 所述系统包括： 蜜罐布设单元， 用于布设若干蜜罐系统， 所述蜜罐系统至少包括与铁路网络系统架构 一致， 并采用差异化防护策略的同构蜜罐系统， 以及与铁路网络系统采用差异化架构的异 构蜜罐系统； 同构分析单元， 用于对所述同构蜜罐系统所捕获攻击行为进行分析， 获得同构攻击策 略， 所述同构攻击策略至少包括 攻击行为的类别、 攻击途径、 攻击目标及影响范围； 异构分析单元， 用于配合所述同构攻击策略对所述异构蜜罐系统所捕 获攻击行为进行 分析， 获得攻击行为的异构攻击策略； 报告生成单 元， 用于基于所述同构攻击策略及所述异构攻击策略生成网安 监测报告。 6.根据权利要求5所述的一种针对铁路的网络安全监测系统， 其特征在于， 所述系统还 包括： 特征提取单元， 用于在所述报告生成单元基于所述同构攻击策略及所述异构攻击策略 生成网安监测报告之后， 针对攻击目标与影响范围涉及行车调 度与行车订单的攻击行为提 取行为特征； 节点设置单 元， 用于基于所述行为特 征于铁路网络系统中设置触发节点与熔断节点；权　利　要　求　书 1/2 页 2 CN 114205127 A 2熔断单元， 用于在所述触发节点受攻击行为触发时， 控制所述熔断节点熔断。 7.根据权利要求5所述的一种针对铁路的网络安全监测系统， 其特征在于， 所述还系统 包括： 安全确定单 元， 用于根据所捕获攻击行为的攻击目标及影响范围确定安检区域； 一致性检测单 元， 用于基于所述 安检区域对铁路网络系统进行一 致性检测； 警报单元， 用于对一 致性检测结果存在异常的安检区域输出安全警报。 8.根据权利要求6或7所述的一种针对铁路的网络安全监测系统， 其特征在于， 所述系 统还包括： 渠道提取单元， 用于针对所述熔断节点， 以及针对一致性检测结果存在异常的安检区 域提取数据映射渠道； 标签添加单 元， 用于对所述数据映射渠道添加隐患标签； 其中， 所述隐患标签用以指示需于下一在线版本对所述数据映射渠道进行防护加固。权　利　要　求　书 2/2 页 3 CN 114205127 A 3