0 引　言

舰船关键控制系统作为航行、动力与载荷控制等核心功能的神经中枢，其稳定运行对舰船的任务执行能力与航行安全具有决定性影响^[1-2]。随着舰船信息化与网络化水平的日益提高，以CAN总线和CANopen协议为代表的通信架构，已成为互联关键组件的核心纽带，其网络安全性对于整个舰船系统的防护至关重要。为此，研究高效的网络漏洞挖掘方法，以识别和应对安全风险，是保障舰船关键控制系统稳定运行的重要课题。

结合已有研究，庄涛等^[3]提出通过三级逻辑判断界定系统是否属网络安全范围，依次判定系统是否有基于IP的网络连接、组件是否均布置于限制区域、软件更新与配置方式是否受限，满足其一则归为网络安全范围，否则视为非网络安全范围。但该方法采用通用判定指标，未考虑船舶网络特殊性，如CAN总线等非IP类关键通信链路被排除，导致判定结果与船舶实际安全需求脱节。杨家轩等^[4]先构建概率检测图，为各异常行为步骤分配概率，再引入时间指标分段更新异常行为概率，最后遍历路径计算单条路径引发网络异常概率，累加得到网络给定时间内异常总体概率。不过仅通过时间分段更新概率，未关联网络实时风险事件，无法动态响应网络状态剧烈变化，概率值有滞后性。林彬等^[5]认为人工智能处理海量数据优势显著，在无人船网络信息安全领域潜力大，异常检测核心是先构建基准行为，检测到显著偏差则判定为潜在入侵行为。但该研究局限于理论分析，未开展针对性方法设计与技术研发，成果缺乏实践支撑。吴中岱等^[6]分析船舶通信网络安全对船舶控制系统的重要性，指出需用有效入侵检测技术建“正常行为基线”，监测数据检测安全问题。但该研究以综述分析为主，缺乏对“正常行为基线”构建方法、监测数据处理算法等关键技术环节的具体设计。

在此背景下，开展舰船关键控制系统网络安全漏洞挖掘研究具迫切现实意义与技术价值。本文以舰船关键控制系统CAN网络为研究对象，研究其网络安全漏洞挖掘方法，填补舰船专用控制系统网络安全检测技术空白，为舰船系统安全防护提供技术支撑。

1 舰船关键控制系统的网络安全漏洞挖掘方法 1.1 舰船关键控制系统基本组成结构

图1为舰船关键控制系统基本组成结构图。该系统以CAN网络为核心数据交互。调试系统、进排水组件、电机控制系统、电源管理电路、电池监测组件及智能执行机构等均接入此网络，以实现集中式的控制与状态监测。此外，开关量/模拟量系统、姿态系统、传感器/发控接口以及执行机构电路等单元，分别负责数据采集、状态监控与指令执行等特定功能。载荷系统通过CAN网关与控制组件进行关联，电机控制系统也经由CAN网络与其它单元完成数据交互。

1.2 舰船关键控制系统CAN网络节点与CAN报文数据帧格式

舰船关键控制系统CAN网络一般有1个及以上网络节点，从通信视角可分为主、从节点，不过其组成大致相近。每个节点通常由主控芯片CPU处理器、存储电路、时钟电路、电源产生/变换电路、CAN总线控制器、总线接口电路、网络隔离电路、网络接口连接器等组成（见图2）。其中，CAN总线控制器和主控芯片CPU处理器是电路核心，一旦CAN网络受网络漏洞所影响，会影响舰船关键控制系统的运行状态。

各个CAN报文数据包中所表达的信息内容分别是仲裁字段、数据字段、循环冗余校验（CRC）字段以及确定字段。仲裁字段与数据字段分别含有11位标识字段与8个字节，仲裁字段还含有1个远程传输请求（RTR）字段。表1是CAN报文数据帧格式。提取报文数据中ID标识字段、数据字段，即可获取类似“0×2b6:8:0b010f00341a0600”格式的数据帧，“0×2b6”、后16位数字分别表示发送该信息的设备、此数据帧表示的详细数据信息，网络漏洞攻击会直接导致报文重复传输，使周期、出现次数等统计量显著变化，为此这2种关键信息为检测网络安全漏洞的核心信息。

1.3 舰船CAN网络报文信息熵的安全漏洞挖掘方法

信息熵可通过量化CAN网络报文关键信息的分布特征，从而分析舰船关键控制系统正常运行时的网络报文状态。定义正常状态下报文概率分布：设时间窗口内采集到的报文总数为$ M $，涉及$ K $类ID。假设$ {n_i} $表示第$ i $类ID报文的出现次数，则$\displaystyle \sum\limits_{i = 1}^K {{n_i}} = M $。第$ i $类ID报文的出现概率为$ {q_i} = \displaystyle{{{n_i}}}/{M} $。正常状态下，这些概率分布相对稳定，构成基准分布$ Q = \left\{ {{q_i}} \right\} $。

当网络受到漏洞攻击，如重放攻击或数据篡改时，报文分布可能发生变化。设当前时间窗口内，第$ i $类ID报文的出现次数为$ {n_i}^\prime $，总报文数为$ M' $，则当前概率分布为$ P = \left\{ {{p_i}^\prime } \right\} $，其中$ {p_i} = {{{n_i}^\prime }}/{{M'}} $。为了量化当前分布与正常分布的差异，采用Kullback−Leibler（KL）距离（也称为相对熵）。KL距离定义为：

$ {D_{{\mathrm{KL}}}}\left( {P\left\| Q \right.} \right) = \sum\limits_{i = 1}^K {{p_i}} \log \frac{{{p_i}}}{{{q_i}}}。$

(1)

KL距离总是非负的，且当$ P = Q $时为零。当分布$ P $偏离$ Q $时，KL距离增大。KL距离具有非对称性，即$ {D_{{\mathrm{KL}}}}\left( {P\left\| Q \right.} \right) \ne {D_{{\mathrm{KL}}}}\left( {Q\left\| P \right.} \right) $。在漏洞检测中，使用$ {D_{{\mathrm{KL}}}}\left( {P\left\| Q \right.} \right) $，因为其衡量了使用正常分布$ Q $近似当前分布$ P $时的信息损失，这更适合检测相对于正常基线的偏差。

为了识别具体异常报文类型，定义第$ i $类报文对KL距离的贡献为：

$ {d_i} = {p_i}\log \frac{{{p_i}}}{{{q_i}}} 。$

(2)

式中：$ {d_i} $可正可负，当$ {p}_{i}>{q}_{i} $时，$ {d}_{i}>0 $；当$ {p}_{i}<{q}_{i} $时，$ {d}_{i}<0 $。在漏洞攻击下，通常期望某些报文的$ {p_i} $显著大于$ {q_i} $，导致$ {d_i} $为较大的正值。

假设漏洞仅影响第$ i $类ID报文，其他报文分布保持不变。即对于$ j = i $，有$ {p_j} = {q_j} $。但由于概率归一化，这一假设并不严格成立；当时间窗口足够大时，可以近似认为只有第$ i $类报文的概率变化显著。在这种假设下，KL距离可近似为：

$ {D_{{\mathrm{KL}}}}\left( {P\left\| Q \right.} \right) \approx {p_i}\log \frac{{{p_i}}}{{{q_i}}} = {d_i}。$

(3)

在重放攻击场景中，第$ i $类报文的传输周期缩短。设正常状态下，第$ i $类报文的周期为$ {\tau _i} $，在时间$ T $内的出现次数为$ {n_i} = {T}/{{{\tau _i}}} $。漏洞状态下，周期变为$ {\tau }_{i}{}^{\prime }<{\tau }_{i} $，出现次数为$ {n}_{i}{}^{\prime }={T}/{{\tau }_{i}{}^{\prime }}>{n}_{i} $。如果总报文数变化不大，则$ {p_i} \approx {{{n_i}^\prime }}/{M} $、$ {q_i} \approx {{{n_i}}}/{M} $，因此$ {{p}_{i}}/{{q}_{i}}\approx {{n}_{i}{}^{\prime }}/{{n}_{i}}= {{\tau }_{i}}/{{\tau }_{i}{}^{\prime }}>1 $。通过监测$ {d_i} $的值，可以识别出异常报文：当$ {d_i} $超过预设阈值时，认为第$ i $类报文异常。

综上，该方法通过计算报文信息熵和KL距离，在明确假设前提下，能够精准捕捉漏洞导致的报文分布差异，实现网络安全漏洞的挖掘。

2 仿真实验 2.1 实验场景

为验证本文方法的有效性，设计实验，并详细描述了实验环境与配置，以确保实验的可复现性。实验搭建的舰船电机控制系统测试平台如图3所示。核心控制器采用TMS320F28035微控制器。CAN网络通信由ZLG USBCAN−E−U Pro分析仪实现数据收发与采集，该设备支持CAN2.0 A/B协议，最高速率1Mb/s。电机驱动部分由IR21363S驱动模块和MOSFET并联构成的电压型逆变器组成，驱动1台额定功率为100 kW、额定转速1500 r/min的异步电机。电机振动数据通过Triaxial Technologies的三轴加速度传感器（型号：603C01）采集，采集频率为140 Hz。

上位机软件使用Python 3.8编写，集成python−can库（版本4.3.1）进行CAN报文解析与发送。信息熵与KL距离的计算基于NumPy（版本1.24.3）实现。实验网络遵循CAN 2.0 B标准，通信波特率为500 kb/s。实验模拟的系统背景流量（即正常报文）由1～7号报文构成，8号报文作为被测目标与潜在攻击载体。实验中所研究的舰船关键控制系统所属舰船为普通民用舰船（近海运输船），其型号是H2500型，采用单主机单轴推进形式，配备1台MAN 6L23/30 H型中速柴油机，额定功率为1800 kW；配套变频推进控制系统，低速航行稳定性提升30%，燃油消耗率较前代降低12%。以CAN总线为核心控制网络，集成推进控制器、动力监控系统等；具备主机故障自动报警、航迹自动修正功能，网络响应延迟≤0.3 s。

2.2 结果数据与分析

实验对CAN控制板模拟攻击者在时间间隔10 s内重放报文，建立网络漏洞环境。上位机使用本文方法通过计算不同报文在相邻时间间隔的相对距离来判断是否有重放漏洞。表2为实验用的8种CAN报文的ID、周期、数据长度。实验设定9个时间间隔，则在正常状态下、漏洞状态下，本文方法对CAN报文的相对距离计算结果如图4所示，图4中横坐标为9个连续时间间隔，纵坐标为计算的KL相对距离。从图4可知，大部分报文（编码1～7）相对距离维持在较低水平（0.2区间内），随间隔数变化波动极小，这与正常时报文分布稳定、相对距离趋近于0的理论一致，验证了本文方法对正常状态的识别能力。而报文8有显著峰值曲线（相对距离骤升至0.6以上），表明其在漏洞状态下分布与正常基线偏差极大。结合重放攻击实验设定，可推断该报文是重放漏洞载体，攻击者重放此报文破坏了网络总线正常报文分布。由此可见，本文方法结合相对距离指标可定位具体漏洞报文ID，为“阻断重放报文、修复漏洞”提供精准依据，对舰船关键控制系统等高安全要求场景有重要应用价值。

当舰船关键控制系统与电机控制器间CAN网络有安全漏洞时，网络入侵会使CAN报文传输异常。电机控制器接收并解析错误报文后，驱动信号偏差会导致电机电磁激励与机械运行失衡，表现为电机振动幅值异常波动。为此，选取舰船推进电机控制系统实验，关键与电机控制系统通过遵循CAN 2.0 B标准的CAN网络通信，电机额定功率为100 kW、额定转速为1500 r/min。在CAN网络模拟报文数据段篡改漏洞（对驱动信号数据段随机10%篡改，篡改概率30%每帧报文），用三轴加速度传感器装在电机壳体采集140 Hz频率内振动幅值，电机正常振动加速度幅值0～0.1g。本文方法用于漏洞挖掘前后电机振动幅值变化如图5所示。可知，使用前振动加速度幅值在多频率点现明显峰值，最高近0.3g，整体波动大且偏离正常，这是CAN网络模拟漏洞致电机振动异常体现。使用后系统拦截或修正异常报文，电机恢复正常，振动加速度幅值稳定在约0.1g内，波动显著减小，表明本文方法能有效识别CAN网络报文数据段篡改漏洞，干预或修正异常报文传输，改善驱动信号偏差，使电机电磁激励与机械运行恢复平衡，验证了其在舰船推进电机控制系统CAN网络漏洞挖掘的有效性与实用性。

为进一步验证本文方法的有效性，以文献[3]方法、文献[4]方法作为对比方法，本文方法为实验方法，选取受试者工作特征曲线下面积指标、误报率指标、检测延迟指标以及马修斯相关系数进行对比实验。其中，受试者工作特征曲线下面积是综合衡量分类器在不同阈值下的整体性能，对类别不平衡不敏感，值越接近1性能越好。误报率是将正常报文误判为异常的概率，在安全关键系统中该值需尽可能低。检测延迟是从攻击开始到被首次稳定检测到所经历的时间窗口数，衡量方法的实时响应能力。马修斯相关系数是一个综合了真/阳性和真/阴性率的平衡指标，尤其在类别不平衡时比F1分数更可靠，其值域为[−1, 1]，1表示完美预测。3种方法的性能对比如表3所示。可知，对比文献[3]方法、文献[4]方法，本文方法在各项指标上均全面优于对比方法。其受试者工作特征曲线下面积达到了0.998，近乎完美；误报率为0，表明在实验期间未发生任何误报，对于避免系统不必要的中断至关重要；检测延迟仅为1个时间窗口，展现了优异的实时性；马修斯相关系数值为0.975，进一步证明了其在高标准下的综合分类性能最为出色。

3 结　语

本文研究方法明确舰船CAN网络漏洞检测核心信息，分析舰船关键控制系统CAN报文数据帧格式，确定ID标识与数据字段可反映设备身份及传输内容，网络漏洞致报文重复传输、数据篡改等问题会使报文统计量异常，为漏洞挖掘提供监测对象。提出的基于报文信息熵的安全漏洞挖掘方法有效，通过计算信息熵分析正常行为、用KL距离衡量分布差异，可精准捕捉漏洞报文异常。实验成功定位重放攻击漏洞报文（ID：0×18F09999），识别异常控制指令报文，证明能精准挖掘漏洞。该方法有实用价值，针对报文数据段篡改漏洞的实验显示，挖掘漏洞后舰船推进电机振动加速度幅值从近0.3g降至0.1g以内且波动减小，表明可识别漏洞改善电机驱动信号偏差、恢复电机正常运行，为舰船关键控制系统网络安全防护提供可靠技术手段。