铁路网络安全态势感知平台方案研究

董 鹏，马小宁，高明星

（1.中国铁路信息科技有限责任公司， 北京 100038；2.中国铁道科学研究院集团有限公司 铁路大数据研究与应用创新中心，北京 100081）

态势感知[1]源于航天领域对人为因素的研究，网络安全态势感知把握网络系统运行的安全状况及未来趋势，提供及时、准确的决策依据，将风险和损失降至最低[2]。

态势感知通过数据挖掘可将安全数据转化为威胁情报，并建立模型，实现信息可视化展示[3]。国内研究中，有运用大数据分析工具构建攻击分析模型，借助机器学习等技术实现相关算法模型的改进[4]；通过态势感知和预警实现对安全态势的分析、预测及总结[5]。国外有研究基于实时分析和数据流协议，提出实时态势感知分析模型[6]。

本文针对铁路信息网络的特点，提出适合铁路行业的网络安全态势感知平台解决方案，并对其进行测试验证。

1 铁路网络态势感知系统的核心需求

安全感知态势的核心需求可以从技术、管理、能力3 个方面进行分析。

1.1 技术层面

随着云计算、物联网、移动互联等新技术的大规模应用，要求态势感知系统能够对不同数据源和数据格式进行统一快速处理。

1.2 管理层面

当前，网络安全突发事件呈现出涉及领域多元化的特点，要求态势感知平台能够为铁路信息网络构建自上而下的事前安全监测、通报预警，事中应急处置、态势分析，事后责任追溯、督促整改的联动机制。

1.3 保护能力

鉴于安全管控手段及威胁情报尚不充足，基础数据更新不及时，发生事件后难以追踪溯源，态势感知平台应满足全面覆盖业务对安全预警、处置的要求。

2 铁路网络安全感知平台架构设计

2.1 架构设计

根据铁路业务网络的特点，横向上涵盖互联网、外网及内网，纵向上覆盖国铁集团、铁路局及站段三级，形成纵深威胁感知架构[7]。

该平台设计需要实现“多级部署、统一管理”的整体架构[8]，逻辑上划分为数据采集、数据处理、数据存储、数据挖掘及业务应用5 个层级。根据铁路网络的具体业务特点，宏观上可将整个架构划分为数据采集和安全态势感知平台，其整体架构如图1 所示。

安全态势感知平台具有多级级联设计，由中国国家铁路集团有限公司级（简称：国铁集团）与铁路局集团有限公司（简称：铁路局）级两级组成。国铁集团级安全态势感知平台包括针对外部服务网的安全感知平台子系统和针对内部服务网的安全态势感知平台两部分。其中，外部服务网的安全态势感知平台子系统主要承担对外部服务网的数据采集、威胁分析、数据存储及威胁情报同步的功能；内部服务网的安全态势感知平台作为全网态势感知的核心，不仅对国铁集团级的内部服务网、安全生产网的相关数据进行采集、威胁分析、数据存储，还可同步外部服务网安全态势感知平台子系统的安全威胁数据、威胁情报数据，及各铁路局级安全态势感知平台的安全威胁数据。最终，由国铁集团内部服务网的安全态势感知平台对全网安全态势进行展现、预测和分析。

铁路局级安全态势感知平台主要对铁路局级、站段级的内部服务网及安全生产网的数据进行采集、威胁分析和数据存储，同时将安全威胁分析结果同步至国铁集团态势感知平台；此外，还提供数据查询接口，支持国铁集团安全态势感知平台对铁路局级安全态势感知平台的原始数据进行查询。

在数据采集方面，主要采集安全设备日志、全流量数据、安全检测数据及其它数据（包括且不限于资产数据、人员数据等）；在站段级主要是终端设备，其数据采集主要是终端安全防护软件的相关日志数据。

3.2 技术架构设计

安全态势感知平台采用成熟、先进的数据存储和处理技术，具有平台化架构设计，基于云计算、大数据技术等开放技术平台构建。其技术架构如图2 所示。

安全态势感知平台主要包含数据源采集层、数据处理层、数据存储层、数据挖掘层、业务应用层。数据源采集层主要包含数据源采集以及与各数据源的数据接口，实现采集数据的输入及情报数据的对接；数据处理层对采集到的数据进行数据清洗、数据关联、数据归一化、数据标签、数据共享、数据分发、去重合并、统计加速等处理，最后存储至数据存储层中对应的数据库中，并建立数据全文索引[9]。数据挖掘层主要利用相关的算法建立计算模型，对数据进行深度分析。最后，由业务应用层的相关技术引擎支撑前台业务应用的实现，最终输出各项需求数据，通过前台页面进行数据展现及人机交互。

3 铁路网络安全态势感知平台关键技术

3.1 实时多路径异步高通量数据采集技术

态势感知系统对铁路高带宽的网络出入口进行高速并行数据采集，采用多个网络分流器作为专用分流硬件，利用分流器的高吞吐、低时延、可以分流协议的特性，在多核硬件系统上实现较强的头部比较能力；采用单匹配算法和多匹配算法混合的方式进一步提升分流采集的性能；利用不同设备间的时钟同步，对混合后的数据按时间进行排序，确保系统数据的完整性。按照业务划分后的数据，其处理速度会有所降低，可配置多个采集探针系统进行高速采集。按照不同协议区分的采集探针因处理协议的不同而具有不同性能，为此需要配套专用事件共享探针系统，按时间、访问目的、协议类型等进行归类处理。此外，不同数据源的数据亦可参照此规则进行匹配和分类存储。

3.2 基于人工智能的海量多态数据分析合成技术

大数据系统是态势感知平台的基础，其能力体现在数据分析上。数据分析分为两部分：

（1）实现对多源异构数据的预处理、转换、标准化，将不同数据格式转换成标准格式，将相同含义的数据进行归并，对异常数据进行清洗和甄别。

（2）完成数据合成，合成工作在高速内存数据库中完成，基于既有规则可以快速形成标准事件信息，或者生成非标准事件的异常信息跟踪信息。合成后的数据记录具有一个独立事件元的描述能力，通常状况下，该记录单元描述事件发生时间、发起用户信息、发生地点、发起地址信息、目标地址信息、时间类型、动作记录等内容。所采集数据的价值会随着时间的流逝而降低，智能数据分析系统的分析速度决定了态势感知平台发现未知威胁的能力。

3.3 覆盖全业务逻辑的综合评估及预警技术

单纯通过特征关联进行合成分析，所生成的预警信息存在误报的可能。为有效地排除误报告警，需要从业务逻辑角度评估事件是否构成威胁。将可能的恶意事件简单分类为异常、攻击、错误；异常是应用在开发中使用了可能产生威胁的指令或者方法，或应用开发人员在代码中使用了和攻击类似的访问方法；攻击是经过应用验证，某事件并不是应用正常访问过程中会出现的指令或方法；错误用于归类那些由于软件本身异常而造成的事件预警。

从整体和业务的视角进行综合评估，才能快速得出真实、完整的结论。综合评估系统结合专家分析，通过明确攻击者及其使用的攻击手法、攻击途径、攻击资源、攻击位置、攻击后果等，可进行追踪溯源和拓展分析。

3.4 基于深度威胁分析的多维态势可视化技术

可视化技术是态势感知的展示技术。在屏幕上展示铁路信息网络复杂的态势，仅靠3 个维度是不够的。很多威胁只有通过时间、空间、逻辑关系等多维度统一在同一界面上展示，才能揭示铁路网络的真实安全态势。多维度表达也从另一个角度表明，网络安全态势不同于传统态势概念，很难在同一屏幕上一次性充分展示。

以网络安全事件与威胁风险监测为驱动，对网络空间安全相关信息进行汇聚和融合，形成针对人、物、地、事、关系的多维视图[10]，从时间、空间等不同视角感知网络安全态势。

3.5 多源基础信息完整性保持技术

基础信息数据是管理的基础，准确的基础信息是态势感知系统预警正确的重要保证。基础信息包括资产数据、威胁情报数据、漏洞扫描数据等，这些数据是铁路网络安全态势平台正常工作的重要输入，而这些动态的数据变化频率也非常快。在部署态势感知平台时，需要利用各个采集点上的采集设备对网内资产进行连续扫描；利用情报系统及时获取各个情报源的数据；利用漏洞扫描系统，对网内的漏洞数据进行实时同步和更新。

基础信息数的同步数据量较小，采用较低端的硬件设备即可满足要求，也可与探针共用设备。

3.6 大数据高速全文检索技术

大数据高速全文检索技术是支撑态势感知系统的关键技术之一，是传统态势感知预警依赖的核心技术，提供了利用既有数据进行分析预测的手段。

利用高速全文检索技术，可对历史数据进行有效分析，并对历史数据和当前数据进行叠加分析，才能实现准确预测，增强态势感知系统的防护作用。

4 测试验证环境

4.1 测试验证环境

为研究和验证铁路网络态势感知平台解决方案的关键技术，在测试演练环境中部署多台分流器、多台APT 检测设备、多台DPI 检测设备、3 套日志审计系统、数套网站分析系统、数套主机防护、2 套大数据系统、2 套大数据分析系统，作为整个研究测试平台的基础设备；这部分设备主要部署于铁路信息网络纵深防御下的各不同层级位置，具体位置如图3所示。

采用脚本模拟、人为渗透、攻防演习等几种方法对目标系统进行攻击测试。其中，脚本模拟将已知恶意攻击作为实例，对目标系统实施攻击，检查态势感知平台的检测和预警能力；人为渗透利用技术人员的经验和智慧，对目标系统进行渗透攻击，检验态势感知平台的监测和预警能力；攻防演习利用第三方攻击队伍，对目标系统进行各种已知或未知攻击，以验证态势感知平台的安全能力。

4.2 测试验证结果

态势感知平台已持续运行1 个月，累计监测发现来自外部网络攻击千万余次，持续跟踪未知威胁和零日（“0 day”）漏洞数十个，完成追踪溯源200 余起，及时发现并消除网络安全隐患500 余起。

5 结束语

面对复杂的铁路网络环境，秉承“以资产管理为基础，以风险管理为核心”[11]的理念，通过定制和组合多种设备，构建适用于铁路信息网络的安全态势感知平台，其特征符合铁路信息网络对网络安全风险管控的要求；通过多种技术的融合，可在异步模式下基于多数据源实现实时威胁分析和预警，初步取得一定应用效果。目前，本方案对于态势感知平台的预测能力提升尚不明显，需要进一步研究其预测能力，以提升铁路网络安全态势平台的综合能力。