一种基于LightGBM的列车通信网络入侵检测方法与流程

一种基于lightgbm的列车通信网络入侵检测方法
技术领域
1.本发明属于列车通信网络安全技术领域，涉及一种基于lightgbm的列车通信网络入侵检测方法。


背景技术：

2.传统的轨道交通车辆的列车通信网络(train communication network，tcn)由两级总线构成，包括绞线式列车总线(wire train bus，wtb)以及多功能车辆总线(multifunction vehicle bus，mvb)，这种总线技术可靠且实时性强，是目前大多数列车通用的通信网络标准。但是，随着列车的集成化与智能化程度不断提高，列车通信数据流量骤增，传统tcn在处理高速率、大流量数据上的缺点不断凸显。在此背景下，车载以太网由于其通信速率高、组网简单、组网方式灵活等诸多优点，逐渐成为新一代的主流车载网络通信系统。
3.但是，由于以太网本身的开放性，以及云计算、物联网等新技术在轨道交通行业的深入应用，列车通信网络不再是一个封闭的“信息孤岛”，数据信息“暴露面”急剧扩大，并且轨道交通行业目前仍较多采用传统的网络安全防护技术与设备构建安全防护体系，手段单一、防护方式被动，无法形成高效整体的防护，而入侵检测技术可以在很大程度上解决这些问题。因此，构建针对列车通信网络的专用入侵检测方法是促进车载以太网大规模推广应用的重要议题。
4.入侵检测方法是指通过收集、分析网络中核心设备的信息，监视受保护网络的状态，判断网络中是否有违反安全策略或未授权的恶意行为，并采取一定的措施来保证系统运行的机密性、完整性和可用性的一种网络安全防护方法。大数据时代的到来带来了网络通信数据的爆炸式增加，加之新型网络攻击手段层出不穷，为积极应对以上问题，国内外学者将人工智能、机器学习等新兴技术引入入侵检测领域，涌现出丰硕成果。
5.但是。现有的入侵检测研究成果均为针对其他各类网络系统设计的，目前并没有专用于列车通信网络的入侵检测方法。针对基于以太网的列车通信网络入侵检测这一专业化的研究课题，上述现有技术的缺点在于：
6.(1)利用机器学习方法对目的网络进行入侵检测研究，首先需要获取网络入侵的原始数据，并设计相应的数据预处理方法。而列车以太网不同于传统的以太网网络，它有特殊的网络结构，且使用了专有的网络协议与数据格式，现有的数据采集与数据预处理方法不能直接适用于列车通信网络。
7.(2)大多数的入侵检测算法，如支持向量机或者神经网络以及其各种变体的优化算法更多地关注算法的预测准确度，而相对较少的考虑模型的时间消耗。但是对于列车通信网络，由于其网络中存在着制动、牵引等强实时性信息的传输，所以对列车通行网络入侵检测的实时性与准确性均有着较高的要求，而现有的入侵检测算法并不能很好的满足此要求。
8.(3)现有的入侵检测方法的输出结果一般为已设置好的攻击种类等，缺少对入侵
检测结果的量化评估。由于列车通信网络是一个人机交互频繁的网络场景，有必要将入侵检测结果以直观的方式反馈给网络维护人员，因此需要一种能更加直观表现网络安全状态的量化评估方法。


技术实现要素：

9.本发明的目的是提供一种基于lightgbm的列车通信网络入侵检测方法，解决了现有技术中存在的问题。
10.1)缺乏针对列车通信网络入侵数据的采集与处理的方法；
11.2)现有的入侵检测算法无法满足列车通信网络兼顾检测准确度与检测实时性的要求；
12.3)缺少对列车通信网络入侵检测结果的量化评估方法。
13.本发明所采用的技术方案是，
14.一种基于lightgbm的列车通信网络入侵检测方法，具体包括如下步骤：
15.步骤1：采用网络汇聚器设备嗅探全网流量进行数据的汇聚，然后采用python语言，利用交互式数据包处理模块(scapy)，实现对集中嗅探至信息处理终端网卡流量的嗅探，从而得到二进制数据包文件；
16.步骤2：对步骤1得到的二进制数据包文件进行特征解析，所述特征解析包括以太网协议栈的分层解析，以及针对列车通信网络的专用通信协议trdp数据帧内容的解析，得到数据包级的数据特征；
17.步骤3：对步骤2得到的数据包级的数据特征进行特征的选择和提取，结合列车通信网络的特点，得到基本特征数据集；
18.步骤4：对步骤3得到的基本特征数据集中的特征进行预处理，所述预处理包括空值填充与类别特征指定，得到列车通信网络入侵检测专用数据集；
19.步骤5：将列车通信网络入侵检测专用数据集按照8∶2比例随机划分为训练集与验证集，其中，训练集用于训练列车通信网络入侵检测模型，验证集用于验证列车通信网络入侵检测模型的训练效果。
20.步骤6：构建列车通信网络入侵检测模型，使用训练集对列车通信网络入侵检测模型继续训练，列车通信网络入侵检测模型的训练结果为：列车通信网络所受到网络入侵攻击行为的类型分类结果。
21.步骤7：构建数学量化评估模型对网络入侵攻击行为的类型分类结果进行量化，以百分制形式输出评估值。
22.在上述方案的基础上，步骤2具体包括：
23.步骤2.1：首先依次对ether协议、dot.1协议、ip协议进行解析；其次解析udp协议，同时，检查协议的目的端口号，当端口号为17225进入步骤2.2，当端口号为17224进入步骤2.3，
24.步骤2.2：当端口号为17225，则表明该报文可能为trdp-md报文，进行trdp-md协议解析，判断是否符合trdp-md协议规范，若符合trdp-md协议规范，则该报文为trdp-md报文，然后进入步骤2.4；若不符合，则该报文为udp报文；
25.步骤2.3：当端口号为17224，则表明该报文可能为trdp-pd报文，进行trdp-pd协议
解析，判断是否符合trdp-pd协议规范，若符合trdp-pd协议规范，则该报文为trdp-pd报文，然后进入步骤2.5；若不符合，则该报文为udp报文；
26.步骤2.4：对符合trdp-md协议规范的trdp-md报文进行trdp-md特征提取，得到trdp-md特征；
27.步骤2.5：对符合trdp-pd协议规范的trdp-pd报文进行trdp-pd特征的提取，得到trdp-pd特征；
28.步骤2.6：对步骤2.4和步骤2.5得到的trdp-md特征和trdp-pd特征进行tcp层的协议解析，判断端口号是否为17225；当端口号为17225时返回步骤2.2；当端口号不为17225时，完成解析，得到数据包级的数据特征。
29.在上述方案的基础上，步骤3所述的基本特征数据集包括：36维数据特征，将36维数据特征分为八大类，具体包括：总体特征、ether、802.1q、ip(ipv4)、icmp、icmp、udp和trdp；
30.其中，总体特征包括：protocol和len_total；其中，protocol表示协议类型，len_total表示报文总长度；
31.ether包括：type_eth、src_eth和dst_eth；其中，type_eth表示以太网类型、src_eth表示源mac地址，dst_eth表示目的mac地址；
32.802.1q包括：prio_dot1q、id_dot1q、vlan_dot1q和type_dot1q；其中，prio_dot1q表示优先级，id_dot1q表示标准格式指示位，vlan_dot1q表示vlan编号，type_dot1q表示帧类型；
33.ip(ipv4)包括：ver_ip、src_ip、dst_ip、len_ip、ihl_ip、dsf_ip、id_ip、flag_ip、frag_ip和ttl_ip；其中，ver_ip表示ip协议版本号，src_ip表示源ip地址、dst_ip表示目的ip地址，len_ip表示ip包长度，ihl_ip表示头部长度，dsf_ip表示区分服务，id_ip表示ip标识符，flag_ip表示ip标志位，frag_ip表示分片偏移量，ttl_ip表示生存时间；
34.icmp包括：type_icmp、code_icmp、id_icmp和seq_icmp；其中，type_icmp表示icmp报文类型，code_icmp表示icmp报文代码，id_icmp表示icmp进程标识，seq_icmp表示icmp序列号；
35.udp包括：src_port_udp、dst_port_udp和len_udp；其中，src_port_udp表示udp源端口，dst_port_udp表示udp目的端口，len_udp表示udp长度；
36.tcp包括：src_port_tcp、dst_port_tcp、len_tcp、seq_tcp、ack_tcp、flag_tcp和win_val_tcp；其中，src_port_tcp表示tcp源端口，dst_port_tcp表示tcp目的端口，len_tcp表示tcp长度，seq_tcp表示tcp序列号，ack_tcp表示tcp确认号，flag_tcp表示tcp标志，win_val_tcp表示tcp窗口值；
37.trdp包括：seq_trdp、ver_trdp和type_trdp；其中，seq_trdp表示trdp序列号，ver_trdp表示trdp版本，type_trdp表示trdp类型。
38.在上述方案的基础上，步骤4所述的空值填充是指：在通信协议解析过程中，对出现的空值特征进行填充，为尽量避免空值对其他特征的影响，采用数值
“‑
1”对空值特征项进行填充，此时空值特征项所填充数值
“‑
1”不具有任何具体的物理含义；
39.所述类别特征指定是指：指定对步骤3得到的基本特征数据集中具有类别型的特征，所述类别型的特征是指，某一特征中的具体数值并不代表其数值大小，而是作为某种符
号代表某种具体的物理含义，对步骤3得到的基本特征数据集中的特征的具体分析，将src_eth、dst_eth、src_ip和dst_ip四种特征指定为类别特征。
40.在上述方案的基础上，步骤6中列车通信网络入侵检测模型的构建具体包括如下步骤：
41.入侵检测训练集表示为d＝{(x1，y1)，(x2，y2)，
…
，(x
nyn
)}，其中rn表示n维实数集，x为输入空间，xi表示第i个输入数据；r为实数集，y为输出空间，yi为第i个输入数据的标签值，(xi，yi)为第i个样本数据；
42.步骤6.1：首先初始化回归树将yi代入计算得到使一般损失函数l最小的常数值c，得到跟回归树f0(x)：
[0043][0044]
其中，l(yi，c)为yi与常数c的损失函数值，n为样本数据的个数；
[0045]
步骤6.2：设定列车通信网络入侵检测模型的迭代次数为m，则对于m＝1，2，
…
，m，有：
[0046]
步骤6.2.1：对于定义的一般损失函数l，计算第m棵回归树的近似残差r
mi
：
[0047][0048]
其中，f
m-1
(xi)指第m-1颗树的预测值。
[0049]
步骤6.2.2：将步骤6.2.1得到的残差作为新的样本标签值拟合一个回归树，第m次迭代时新的训练集dm＝{(x1，r
m1
)，(x2，r
m2
)，
…
，(xn，r
mn
)}，其中xi∈rn表示样本数据，rn表示n维实数集，r
mi
为新的标签值；所述回归树的叶子节点区域记为r
mj
，j＝1，2，
…
，j，其中j表示叶子节点的个数；
[0050]
步骤6.2.3：对叶子节点区域r
mj
，采用线性搜索的方式进行计算，找到一般损失函数极小值，计算最佳拟合值c
mj
：
[0051][0052]
步骤6.2.4：更新第m颗树fm(x)：
[0053][0054]
其中，f
m-1
(x)表示第m-1颗树；i(x∈r
mj
)为指示函数，若条件x∈r
mj
为真，则值为1，否则为0。
[0055]
步骤6.3：得到最终的列车通信网络入侵检测模型
[0056][0057]
列车通信网络入侵检测模型的训练结果为列车通信网络所受到的网络入侵攻击
行为类型分类结果。
[0058]
在上述方案的基础上，步骤6所述的网络入侵攻击行为类型分类结果用3、2、1标度高、中、低三个等级，其中，1级表示扫描探测类攻击，2级表示拒绝服务攻击，3级表示中间人攻击。
[0059]
在上述方案的基础上，步骤7具体包括：
[0060]
步骤7.1：节点级入侵检测结果量化计算，定义网络节点安全态势的数学模型，假设网络内的节点i在t时间段内遭受p种网络攻击，则该节点的安全态势值为ti(t)，所述ti(t)的表达式如下所示：
[0061][0062]
其中，ck表示第k种网络攻击的数据包数量，lk表示该种攻击的威胁等级，q表示数据包总数，ka为攻击威胁等级平衡因子，用于调节不同攻击的威胁严重程度，具体含义为1次威胁等级为3级的攻击与次2级的攻击或次1级的攻击对节点产生的威胁程度等效，默认值为1。
[0063]
通过公式(5)实现将攻击威胁态势归一化，将安全态势值映射到[0，1]区间。
[0064]
步骤7.2：网络级入侵检测结果评估，对给定节点数据组z＝[z1，z2，
…
，zn]，zi∈r，其中r为实数集，数据权重向量表示为w＝[w1，w2，
…
，wn]
t
，其中wi∈[0，1]且加权几何平均算子定义如下：
[0065][0066]
为避免数据中的零值将最终结果清零，构造去零化加权几何平均算子：
[0067][0068]
其中，z
min
表示节点数据组z中不为零的最小值；
[0069]
综合列车通信网络的特点，采用去零化加权几何平均算子进行数据融合，得到t时间段内最终的网络整体的评估值，公式如下：
[0070][0071]
其中，n是网络中节点的数量，wi是第i个节点的权重，ti(t)是t时间段内第i个节点入侵检测结果量化值，s(t)是t时间段内最终的网络整体的评估值。
[0072]
本发明的有益效果：
[0073]
(1)针对列车通信网络的网络结构，设计了针对性的数据采集方案，用以解决列车通信网络中流量嗅探问题，同时详细分析了列车通信网络中通信数据的特点，提出了基于数据包的通信流量特征选择方案，并且依据特征选择方案设计了相应的数据特征解析方案。
[0074]
(2)设计了基于lightgbm算法的列车通信网络入侵检测算法，利用集成学习思想处理列车通信网络的入侵行为识别问题，在保证检测正确率的基础上，极大提高了模型的训练以及预测时间，使之能够满足列车通信网络对实时性的要求.
[0075]
(3)设计了适用于列车通信网络的入侵检测结果量化评估方案。通过详细分析列车通信网络的特殊性以及不同的网络攻击行为对列车通信网络的威胁程度，基于入侵检测结果，计算列车通信网络中网络节点受攻击的威胁程度量化值，并融合网络内全部节点的量化值进行评估，最终得到网络整体的评估值，可以更好的反应列车整体网络的安全状况，从而更有利于相关人员对列车通信网络整体安全状态的把控。
附图说明
[0076]
图1是列车通信网络入侵检测方法工作流程图；
[0077]
图2是列车通信网络流量特征解析方案流程框图；
具体实施方式
[0078]
以下结合附图1～2对本发明作进一步详细说明。
[0079]
本发明为一种基于lightgbm的列车通信网络入侵检测方法。所述方法主要针对基于以太网的列车通信网络，利用scapy网络包嗅探工具与流量汇聚设备抓取列车通信网络中的数据包，根据列车通信网络专用的通信协议trdp(train real time data protocol，列车实时以太网协议)，对所得数据进行处理，解析trdp专有特征，结合网络的特殊性，选取特征得到基本特征数据集，将基本特征数据集进行进一步处理得到适用于列车通信网络入侵检测研究的专用数据集，采用lightgbm集成学习算法进行训练，形成兼顾实时性与准确性的列车入侵检测模型，并构建数学量化评估模型将上述模型分类结果进行量化，以可视化的形式得到列车通信网络在评估时刻受到网络攻击的威胁程度量化值，从而更好地评估列车通信网络安全状态。
[0080]
本方法的具体实现步骤如说明书附图1所示，核心部分包括：数据的处理、模型的构建和结果的量化评估。
[0081]
(一)数据处理的过程，由以下步骤完成：
[0082]
(1)数据的采集，列车通信数据的采集包括物理连接与流量捕获两个步骤。其中，物理连接有两种方式，一种是利用交换机镜像端口的功能将列车通信网络中的全网流量集中汇聚至信息处理终端，由信息处理终端进行这些数据的后续处理；第二种方式是采用网络汇聚器设备嗅探全网流量进行数据的汇聚。由于列车通信网络设备种类复杂、数量繁多，因此使用第二种方式。
[0083]
确定网络流量采集的物理连接方式，所述的物理连接方式为：采用网络汇聚器设备嗅探全网流量进行数据的汇聚；然后采用python语言，利用交互式数据包处理模块(scapy)，实现对集中嗅探至信息处理终端网卡流量的嗅探，从而得到二进制数据包文件。
[0084]
(2)对步骤1得到的二进制数据包文件进行特征解析，包括以太网协议栈的分层解析，以及针对列车通信网络的专用通信协议trdp数据帧内容的解析。
[0085]
其中，以太网协议栈的分层解析直接通过调用交互式数据包处理模块中的库函数进行解析，专用通信协议trdp数据帧内容的解析则是在通过详细分析该协议帧格式的基础
上，进行逐个字节判断得到数据包级的数据特征。
[0086]
具体的解析步骤如说明书附图2所示：
[0087]
步骤2.1：首先依次对ether协议、dot.1协议、ip协议进行解析；其次解析udp协议，同时检查协议的目的端口号，当端口号为17225进入步骤2.2，当端口号为17224进入步骤2.3，
[0088]
步骤2.2：当端口号为17225，则表明该报文可能为trdp-md报文，进行trdp-md协议解析，判断是否符合trdp-md协议规范，若符合trdp-md协议规范，则该报文为trdp-md报文，然后进入步骤2.4；若不符合，则该报文为udp报文；
[0089]
步骤2.3：当端口号为17224，则表明该报文可能为trdp-pd报文，进行trdp-pd协议解析，判断是否符合trdp-pd协议规范，若符合trdp-pd协议规范，则该报文为trdp-pd报文，然后进入步骤2.5；若不符合，则该报文为udp报文；
[0090]
步骤2.4：对符合trdp-md协议规范的trdp-md报文进行trdp-md特征提取，得到trdp-md特征；
[0091]
步骤2.5：对符合trdp-pd协议规范的trdp-pd报文进行trdp-pd特征的提取，得到trdp-pd特征；
[0092]
步骤2.6：对步骤2.4和步骤2.5得到的trdp-md特征和trdp-pd特征进行tcp层的协议解析，判断端口号是否为17225；当端口号为17225时返回步骤2.2；当端口号不为17225时，完成解析，得到数据包级的数据特征。
[0093]
(3)对步骤2得到的数据包级的数据特征进行特征的选择和提取，结合列车通信网络的特点，得到基本特征数据集，所述基本特征数据集共选择提取了36维数据特征，分为八大类，包括：总体特征、ether、802.1q、ip(ipv4)、icmp、icmp、udp和trdp。上述特征不仅包括传统的五元组信息，还包括不同协议头部信息，以及trdp协议特征，如表1所示：
[0094]
表1列车通信网络入侵检测方法特征选择方案
[0095][0096]
(4)对基本特征数据集中的特征进行预处理，对步骤(3)所得到的特征进行空值填充与类别特征指定，得到列车通信网络入侵检测专用数据集；
[0097]
其中，所述空值填充是指在上述通信协议解析过程中出现的空值特征进行填充，为尽量避免空值对其他特征的影响，采用数值
“‑
1”对空值特征项进行填充，此时空值特征项所填充数值
“‑
1”不具有任何具体的物理含义。
[0098]
类别特征指定是指：指定步骤3中的基本特征中具有类别型的特征，其中类别型的特征是指某一特征中的具体数值并不代表其数值大小，而是作为某种符号代表某种具体的物理含义，如“protocol”这一特征中“17”并不代表十进制中的具体数值“10”，而是代表udp协议。通过对表1中各特征项的具体分析，将src_eth、dst_eth、src_ip和dst_ip四种特征指定为类别特征。空值填充与类别特征指定操作都属于数据预处理的范畴，其目的是为了将步骤3得到的特征数据规范化，便于列车通信网络入侵检测模型的输入与训练。
[0099]
(5)数据集的构建，将列车通信网络入侵检测专用数据集作为构建列车通信网络入侵检测模型的基础。
[0100]
同时，将列车通信网络入侵检测专用数据集按照8∶2比例随机划分为训练集与验证集，其中训练集用于训练列车通信网络入侵检测模型，验证集用于验证列车通信网络入侵检测模型的训练效果。
[0101]
(二)列车通信网络入侵检测模型的构建：
[0102]
为提高入侵检测的准确率以及模型的泛化能力，设计了一种基于lightgbm的列车通信网络入侵检测算法并构建了列车通信网络入侵检测模型。
[0103]
入侵检测训练集表示为d＝{(x1，y1)，(x2，y2)，
…
，(xn，yn)}，其中(rn表示n维实数集)，x为输入空间，xi表示第i个输入数据；(r为实数集)，y为输出空间，yi为第i个输入数据的标签值，(xi，yi)为第i个样本数据；
[0104]
1)首先初始化回归树，将yi代入计算得到使一般损失函数l最小的常数值c，得到跟回归树f0(x)：
[0105][0106]
其中，l(yi，c)为yi与常数c的损失函数值，n为样本数据的个数。
[0107]
2)设定列车通信网络入侵检测模型的迭代次数为m，则对于m＝1，2，
…
，m，有：
[0108]
a.对于定义的一般损失函数l，计算第m棵回归树的近似残差r
mi
：
[0109][0110]
其中，f
m-1
(xi)指第m-1颗树的预测值。
[0111]
b.将步骤a得到的残差作为新的样本标签值拟合一个回归树，第m次迭代时新的训练集为dm＝{(x1，r
m1
)，(x2，r
m2
)，
…
，(xn，r
mn
)}，其中xi∈rn，rn表示n维实数集，表示样本数据，r
mi
为新的标签值。所述回归树的叶子节点区域记为r
mj
，j＝1，2，
…
，j，其中j表示叶子节点的个数。
[0112]
c.对叶子节点区域r
mj
，采用线性搜索的方式进行计算，找到一般损失函数极小值，计算最佳拟合值c
mj
：
[0113][0114]
d.更新第m颗树fm(x)：
[0115][0116]
其中，f
m-1
(x)指第m-1颗树；i(x∈r
mj
)为指示函数，若条件x∈r
mj
为真，则值为1，否则为0。
[0117]
3)得到最终的列车通信网络入侵检测模型
[0118][0119]
列车通信网络入侵检测模型的训练结果为列车通信网络所受到的网络入侵攻击行为类型分类结果，所述分类结果用3、2、1标度高、中、低三个等级，其中，1级表示扫描探测类攻击，2级表示拒绝服务攻击，3级表示中间人攻击。
[0120]
对于tcn入侵检测问题，特征是由采集数据包解析出的各个协议层的物理量，特征较多且形式多样。在对特征进行排序后，运用直方图策优化的方法，将连续的浮点特征值离散成k个整数，同时构建宽度为k的直方图，并采用bin值保存这些离散值，在之后的训练过程中只需要依据离散化的直方图特征进行决策数的构建。
[0121]
这种策略避免了对样本数据的多次遍历，显著提高了模型训练速度，同时也增强了模型泛化能力。
[0122]
其次，采用深度优先分裂策略(leaf-wise)，每次叶子的分裂均参考全局样本，最大程度上避免了传统层次宽度优先策略(level-wise)中局部最优解的干扰与后续的“剪枝”代价。引入了最大树深限制策略，使得我们可以自行设置树的深度，避免由于树的深度过深而导致的过拟合问题；
[0123]
同时，由于数据集中的样本数据较多，计算目标函数的增益较复杂，故使用单边梯度采样策略。将样本数据的梯度值类比为原始样本权重，通过一定的方式舍弃梯度值小的样本，起到精简数据量的同时保证计算精度的作用，精简模式如下：首先将待分裂特征的所有取值按照绝对值大小降序排列，取前a
×
100％个样本(a为大梯度数据的从采样率)，然后在剩余的样本中随机选择b
×
100％个样本(b为小梯度数据的采样率)，并将后选取的数据乘一个权重1-a/b，最后使用(a b)
×
100％个数据组成下一轮训练的数据，这样的采集方式可以在尽可能地保证原始数据分布的情况下减少数据量。
[0124]
(三)结果的量化评估
[0125]
为便于向列车通信网络维护人员直观展示入侵检测的结果，构建了一套数学量化评估模型，将进行量化，以百分制形式输出评估值。
[0126]
数学模型的量化是指：在列车通信网络入侵检测模型的训练结果的基础上，考虑网络攻击所发生的列车通信网络中的设备部位，进行综合量化评估，最终以数值可视化的形式展现出在入侵检测评估时间段内列车通信网络所受网络攻击的严重程度。
[0127]
在该部分中，首先应量化出某一具体设备的所受威胁程度，然后融合列车通信网络中所有设备的量化评估结果得到列车通信网络整体的评估值，因此包含如下两个步骤：
[0128]
1)节点级入侵检测结果量化计算
[0129]
定义网络节点安全态势的数学模型：
[0130]
假设网络内的节点i在t时间段内遭受p种网络攻击，则该节点的安全态势值t为：
[0131][0132]
其中，ck表示第k种网络攻击的数据包数量，lk表示该种攻击的威胁等级，q表示数据包总数，ka为攻击威胁等级平衡因子，用于调节不同攻击的威胁严重程度，具体含义为1次威胁等级为3级的攻击与次2级的攻击或次1级的攻击对节点产生的威胁程度等效，默认值为1。
[0133]
通过公式(5)实现将攻击威胁态势归一化，将安全态势值映射到[0，1]区间。
[0134]
2)网络级入侵检测结果评估
[0135]
在列车通信网络入侵检测结果评估过程中，不同的网络节点对整体网络的影响程度不同，根据相关行业优先级标准可以对这些节点分配不同的优先级权重，然后结合不同节点的量化值可以得到网络整体评估值。
[0136]
本发明采用多属性决策理论中加权几何平均算法(weighted geometric averaging operator，wga)思想替代传统的信息集结算法，来计算列车通信网络的整体量化值。
[0137]
对给定节点数据组z＝[z1，z2，
…
，zn]，zi∈r，其中r为实数集，其数据权重向量表示为w＝[w1，w2，
…
，wn]
t
，其中wi∈[0，1]且其加权几何平均算子定义如下：
[0138][0139]
为避免数据中的零值将最终结果清零，需要对数据中的零值做如下改进，构造去零化加权几何平均算子(de-zero weighted geometric averaging operator，dz-wga)：
[0140][0141]
其中，z
min
表示节点数据组z中不为零的最小值，也可以是数据组z中可能出现的最小值。
[0142]
列车通信网络入侵检测结果最终是要融合网络内所有节点的结果得到整体网络的安全状态，并以量化数值的形式展现出来，给相关运行人员提供列车通信网络在当前时刻网络入侵检测结果的直观参考。
[0143]
本发明综合列车通信网络的特点，采用上述的dz-wga算子进行数据融合，得到t时间段内最终的网络整体的评估值，公式如下：
[0144][0145]
其中，n是网络中节点的数量，wi是第i个节点的权重，ti(t)是t时间段内第i个节点入侵检测结果量化值，s(t)是t时间段内最终的网络整体的评估值。
[0146]
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。