作者：郑燕燕( 上海轨道交通技术研究中心)

摘 要: 本文结合轨道交通既有的 NTP 时间同步网络的结构特点、安全隐患以及对安全措施的迫切需求，对网络内弱电系统主机的安全监测平台展开研究，重点论述安全监测平台的功能目标、系统架构及工作原理，并结合其具体实现方法及技术特点提出工程实施方案及相关的应用条件。

关键词: 轨道交通; NTP; 时间同步; 同步网络; 弱电系统; 安全监测; 基准分析

1 概述

在上海轨道交通建设初期，网络内各弱电系统之间的时间信息并不完全一致。当轨道交通由单线建设与运营的模式逐步向网络化发展，因各弱电系统的时间信息不同步而造成对系统设备的运行、维护及管理的不利影响逐渐显现。因此，建立了NTP( Network Time Protocol) 时间同步网络，由统一的时间源平台通过 IP 网络为轨道交通内的各弱电系统提供时间信息，以实现时间的同步和统一管理。但由于时间同步网络采用 IP 架构，也同时引出了网络安全问题。

为保证网络安全，设计和建设阶段已提出了相关的要求，其中包括对弱电系统主机网卡的端口设置要求。本文论述的"NTP 时间同步网络的弱电系统安全监测平台"主要作用为定期检测上述端口的开放状态及端口流量，并对非正常状态及时报警，以确保网络的安全。

2 系统组成及主要功能

监测平台为专用于轨道交通 NTP 时间系统及各弱电系统安全防范的软件系统。它由主机端口检测、网络流量监测和平台管理 3 个系统组成。

2． 1 主机端口检测系统

本系统是对现有 NTP 同步网络的端口开放情况进行检测的工具，实现对轨道交通各弱电系统的系统主机是否关闭了除 Port 123 /UDP ( 受时端口)以外的其他端口进行测试的功能。系统功能由监测平台的端口分析模块实现，支持对 IP 或 IP 段内设备( 限 IPv4 地址) 的远程定期在线检测，可检测指定设备上 TCP /UDP 协议的 0 － 65535 端口开放情况，并对开放的非受时端口形成报警数据。

2． 2 网络流量监测系统

本系统是对 NTP 时间同步网络中各弱电系统主机的端口流量进行测试的工具。系统由流量收集模块和流量分析模块实现，通过配合交换机的 Sflow 流量采样功能，实现对局域网内除 Port 123 /UDP 外其他端口的异常数据包的发现，并对 Port 123 /UDP 上的非 NTP 协议的数据包进行报警的功能。

2． 3 平台管理系统

本系统专用于监测平台的系统管理，提供对主机端口检测系统和网络流量监测系统的参数配置，以及网络流量监测结果信息和主机端口检测结果信息的存储、统计、显示与查询，其功能由前台界面模块与业务分析逻辑实现。

3 系统架构

监测平台为专用软件系统( 见图 1) 。

图 1 监测平台的软件架构

3． 1 前台部分

前台部分为使用 Java 语言设计开发的 Web 配置界面，根据其功能可划分成开始测试、基准管理、系统管理及测试报告 4 个模块，分别实现新建测试活动或模拟测试活动并显示测试的进度、报警信息和结果信息的功能; 端口扫描分析及端口流量分析的基准及基准参数配置、管理功能; 系统的配置管理及业务信息管理功能; 显示端口扫描分析及端口流量分析结果的功能。

3． 2 后台部分

后台部分是进行端口扫描分析及端口流量分析的具体功能实现部分，使用 C /C + + 语言设计开发，根据其功能可划分成扫描、流量收集及流量分析 3 个模块，分别实现对 TCP /UDP 端口进行扫描并分析扫描结果的功能( 基准分析可选) ; 收集、记录原始 SFlow 流量采样数据包，并识别伪造的 NTP 协议信息及记录报警日志的功能; 结合业务信息对所收集的流量结果进行分析的功能( 基准分析及补充基准分析可选) 。

3． 3 业务分析逻辑部分

业务分析逻辑实现前台与后台之间数据交换的中转，业务分析逻辑并不是实际的模块，但是又与实际模块有关联。

4 工作原理

4． 1 主机端口检测系统

4． 1． 1 基本原理

分析 TCP /IP 网络协议规定的通信建立后网络端口连接的状态，利用 socket 的编程连接方法对目标主机所有 TCP 端口建立连接，发现所有开放的网络通信端口，并将此基础数据记录至数据库中; 对目标主机所有 UDP 端口发送探测数据包，并判断是否返回 ICMP 端口不可达数据包。如果端口关闭，则给源端发送一个 ICMP 端口不可达数据包，如果端口开放，则可不发送该数据包，并将此基础数据记录至数据库中。通过对上述数据进行分析( 基准分析或未使用基准分析) ，以判断对主机端口的开放状态是否符合时间系统的设置要求，实现主机端口检测的目的。

4． 1． 2 检测方法

用户将弱电系统的主机信息导入数据库并进行注册，选择使用基准分析或未使用基准分析的验证方法来验证主机端口的开放状态。基准是根据已经完成的测试报告生成的一些参考数据，用户可利用这些数据辅助分析以后的测试结果，以更精确地定位主机异常情况。主机端口检测系统将弱电系统主机的工作情况分为正常、异常 ( 开放不允许开放的端口) 、故障( 主机不在线或未存活) 和未注册( 非法接入的主机) 4 类。

1) 未使用基准分析。主机端口检测系统根据已注册主机的 IP 地址在数据库中逐一搜索该主机的开放端口，依此做出判断( 见表 1) 。

表 1 未使用基准分析的验证方法

2) 使用基准分析。主机端口检测系统根据已注册主机的 IP 地址在数据库中逐一搜索该主机的开放端口，同时检索基准中该主机允许开放的端口。通过对两者进行比对，依此对端口开放状态做出判断( 见表 2) 。

表 2 使用基准分析的验证方法

在上述过程中将注册主机的 IP 地址记录下来，再对数据库的主机注册信息进行搜索，以查找出所有非法接入的主机，并形成"未注册"的判断结果。

4． 2 网络流量监测系统

4． 2． 1 基本原理

网络流量监测系统分为流量采集模块与流量分析模块两个部分，配合交换机( 由既有 NTP 时间同步网络配置) SFlow 流量采样功能，获得现有通信网络的流量状况。交换机定时将流量数据包传输给流量采集模块，由该模块根据流量数据包报文的格式和数据分别记录进数据库。流量分析模块将针对数据库内的报文数据进行分析处理。

4． 2． 2 监测方法

流量分析通常以五元组( 源地址、目的地址、协议号、源端口和目的端口) 对字节数和报文数进行统计，但对用户而言却不直观。因此，网络流量监测系统引入应用的概念( 如 TCP 协议与 80 端口可以联系到 HTTP 应用) ，在数据库中保存这些对应关系并且编排成号以供检索。流量采集模块将所采集数据的协议号、目的端口与应用进行匹配，识别出应用号作为流量信息的一部分保存在数据库中。当发现 NTP 应用时，则解析 sFlow 流量数据包中被采样到的 NTP 报文的长度及内容，判断 NTP 协议是否被伪造。若发现 NTP 被伪造，则将伪造发生的通信地址记录到数据库的报警信息表中，由网络管理平台实施实时报警。

与主机端口发现系统类似，网络流量监测系统同样把主机的工作情况分为正常、异常、故障和未注册 4 类，同样支持基准分析方式来提高定位异常情况的能力。

1) 未使用基准分析。网络流量监测系统根据已注册主机的 IP 地址在数据库中逐一搜索该主机使用的应用号，依此对端口流量做出判断( 见表 3) 。

表 3 未使用基准分析的验证方法

2) 使用基准分析。网络流量监测系统根据已注册主机的 IP 地址在数据库中搜索逐一该主机使用的应用号，同时检索基准中该主机允许使用的应用号，通过两者比对判断端口流量的状态( 见表 4)。

表 4 使用基准分析的验证方法

如果分析结果为"正常"，还可以借助使用访问地址、下限流量、上限流量和单位时间发生次数的辅助流量基准进一步进行补充分析。

在上述过程中将注册主机的 IP 地址记录下来，再对数据库的主机注册信息进行搜索，以此查找出所有未注册的主机流量信息，并形成"未注册"的判断结果。

4． 3 管理平台系统

管理平台的数据交换采用 MySQL 数据库进行，提供主机端口检测系统、网络流量监测系统的管理接口和界面，用于记录、存储弱电系统主机的注册信息、主机端口检测系统与网络流量监测系统的配置信息、扫描及流量采集的原始数据信息，并实现对分析结果的显示、存储、查询与统计。

5 实施方案

5． 1 部署方案

为监测平台分配 IP 地址后接入待测网络，并确保弱电系统主机与交换机连接的物理端口全部纳入采样范围。根据监测平台提供的配置界面完成相应的配置，即可对弱电系统主机的端口进行扫描，并可同时进行流量监测( 见图 2) 。

图 2 监测平台实施部署示意图(IP 地址为假设)

5． 2 应用条件

在监测平台投入测试前，应对其进行多方面的杀毒以确保其自身的安全。同时，其 IP 地址应与被测弱电系统主机所处的网段相同，并与未测试弱电系统主机处于隔离状态。

6 结 语

监测平台为轨道交通 NTP 时间同步网络中的各弱电系统提供了必要的安全防范措施，并具备紧密贴合弱电系统的业务逻辑、快速扫描主机端口及精确统计网络流量，以有效定位异常状况的技术特点。监测平台的研究成果已通过"公安部计算机信息系统安全产品质量监督检验中心"的第三方检测，并已申请了软件著作权。需要指出的是，监测平台设计为定期检测而非在线测试系统。因此，对于网络安全防范的实时性仍显不足，需要配合在线运行的专用硬件设备以实现实时解析 NTP 协议并拦截非 NTP 及伪造 NTP 协议的目的。

参考文献:

［1］ 李兵，陈小鸿． 交通实时信息采集系统中时间同步问题研究［J］． 交通与计算机． 2008，26( 2) : 50 － 52．

［2］ 沈燕芬． 用于网络时间同步的 NTP 协议． 现代计算机［J］． 2004( 4) : 54 － 56．

［3］ 同济大学交通运输工程学院． 深圳市城市交通仿真项目系统检测报告［R］． 上海: 同济大学，2006．