随着《交通强国建设纲要》的推进,高速铁路步入大发展时代。为保证铁路行车安全和运输效率,国家铁路总公司对铁路各子系统之间的时间同步水平提出了新的要求。铁路时间同步网作为铁路通信网的重要子网之一,负责协调统一铁路各环节时间,使各环节能够按标准统一的时间信息进行任务的记录和执行。铁路时间同步网通过NTP(Network Time Protocol,网络时间协议)实现时间同步功能,而该协议存在天然的脆弱性,更易受到攻击。当铁路时间同步网受到外部恶意攻击时,传输带宽资源被占用,会严重影响铁路时间同步网的时间同步水平,从而降低运营效率,危害行车安全。目前,对铁路时间同步网的安全性研究较少,网络攻击的检测领域研究还存在空白。如何在传输数据量极大的前提下对铁路时间同步网的攻击进行准确实时地检测是提升铁路系统安全性的重要课题。因此,本研究提出了一种Spark框架下铁路时间同步网异常流量检测方案,通过该方案实现对异常流量的识别。首先,研究通过Python语言在Spark框架下结合皮尔逊相关系数和距离相关系数,从线性相关和非线性相关两个方面对已标记的时间同步网流量数据特征间的描述能力是否存在差异进行考察,验证最优特征的存在。之后,研究通过Python语言在Spark框架下结合卡方检验、皮尔逊相关系数及最大互信息系数三种方法分别对数据特征进行降维,确定三组特征子集。之后通过设置对照组进行对比分析,计算各组特征子集的准确率,确定一组最优特征子集。该子集具有网络流量数据的最显著特征,可以很好地表现一条流量数据是否异常。在此基础上,研究对最优特征进行分析,并根据最优特征,结合铁路时间同步网的拓扑结构,初步提出部分针对DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的铁路时间同步网防御建议。其次,研究提出一种Spark框架下基于分类器联合的铁路时间同步网异常流量检测方案。分类器联合算法将引入Mini Batch的K-Means优化聚类算法与随机森林分类算法进行并联,并对二者所得结果通过最近邻原则进行综合判定。首先,研究结合所提取的最优特征子集,通过处理并训练数据搭建Mini Batch K-Means聚类模型和随机森林分类模型,并通过一致原则将两个模型并联起来。之后,为验证分类器联合算法的检测效果,研究同时将测试数据集输入分类器联合算法模型、单独Mini Batch K-Means聚类模型和单独随机森林模型中,计算其准确率并进行对比,验证了分类器联合算法在检测准确率和稳定性上的优越性。最后,在上述研究基础上,研究初步提出一种基于关联规则数据挖掘算法的攻击告警机制的设想,以对检测出的铁路时间同步网异常流量进行高效实时告警。该设想为后续提升铁路时间同步网安全性的研究提供方向。