铁路网络攻防靶场平台方案研究

崔伟健，马小宁，李 琪

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

当前，铁路网络安全防护以事后处置为主，缺乏事前监测和预警手段，网络安全防护评估尚处于理论探讨，缺乏模拟验证环境的支持，难以开展有效验证。

随着国际形势不断变化及铁路信息化迅速发展，铁路网络安全面临的威胁越来越严峻，有组织、大规模的网络攻击日益猖獗，传统被动式防御措施的局限性越来越凸显[1]。物理隔离虽然是最有效的防御措施，但仅适用于局部防护，断网、断电等传统防护措施也仅适用于应急防护，无法保证铁路网络安全防护的长期稳定[2]。鉴于铁路多数信息系统已成为运输生产不可或缺的关键支撑，在生产过程中对这些系统进行安全防护处置可能影响系统稳定运行，往往明知系统中存在漏洞，也不宜轻易进行系统升级或补丁修复，由此造成系统普遍带病运行的窘境。

因此，在既有铁路网络安全防护体系基础上，建设铁路网络攻防靶场平台（简称：平台），以模拟实际生产环境，开展业务流量仿真、网络攻防对抗、安全加固补强、人员培训教育等工作，强化铁路网络安全人防、技防能力，促进铁路网络安全防护水平的提升。

1 铁路网络攻防靶场平台方案

1.1 总体架构

铁路网络攻防靶场平台是按照中国国家铁路集团有限公司（简称：国铁集团）网络安全的顶层设计要求，结合铁路综合信息网建设，面向国铁集团、铁路局集团公司和站段3 级提供服务[3]。平台统一部署在铁科院集团公司，具有模式配置和自主配置2种模式，在铁路综合信息网和互联网端分别设置1个访问出口，综合信息网端出口满足业务仿真、攻防仿真、知识答题、培训教育等应用需求，互联网端出口则为互联网侧攻击渗透提供接口。

平台总体架构如图1 所示，主要通过预先设置的各类虚拟设备库、版本库、漏洞补丁库、中间件库、网络库等，以不同组合形式模拟多种业务架构，再结合业务流量模拟技术，仿真业务实际应用场景[4]。

图1 铁路网络攻防靶场平台总体架构

（1）运行支撑层：主要为数据库、服务器、网络设备、安全设备、可视化组件等硬件设备及软件环境，为平台提供运行环境；这些设备除支持平台本身运行外，还支持模拟系统的运行；平台中集成铁路各种业务场景、应用场景、设备型号及版本、中间件、配置情况等，平台运维人员统一录入调研数据，由平台自动对录入数据进行结构化解析和存储。

（2）资源保障层：是对数据库存储的各类设备信息、知识题库、攻防工具等的映射，以有效避免大量搜索操作对数据库性能造成影响；收集铁路各业务场景数据，采用Hadoop、Spark 等分布式数据挖掘技术，搭建数据仓库，对所收集的数据进行整合、分类、存储[5]，保障数据存储的灵活性、独立性，大幅降低数据库负载。

（3）核心业务层：基于平台存储的各类数据资源，采用虚拟化技术，完成业务场景搭建、业务流量模拟、攻击流量生成等，结合既有技战知识库、攻防工具库，操作人员可对模拟系统进行多种渗透攻击，以检测系统网络安全防护能力。

（4）应用层：根据铁路网络安全实际工作需求，设置业务仿真、场景仿真、攻防仿真、漏洞验证、攻击渗透、风险评估、知识答题、夺旗竞赛、培训教育等应用模块，并预留可扩展接口，还可结合业务发展要求和变化增加相应功能，如设备状态监测统计、设备性能优化分析、系统网络安全态势感知[6]等。

（5）安全保障层：收集存储铁路大量系统配置信息，结合国家网络安全等级保护标准及国铁集团有关要求，按照等级保护第三级的相关要求，开展铁路网络安全防护建设，设置网络安全及运行维护专职人员，部署漏洞扫描、安全审计、入侵防范等安全防护设备，切实保障平台运行安全。

1.2 业务流程

平台通过资源收集、整合和应用，对各类业务场景开展各类攻击、检测和安全防护方案验证等，业务流程示意图，如图2 所示。

图2 铁路网络攻防靶场平台业务流程

（1）平台技术负责人员将收集到的铁路各业务场景资源信息进行录入，由平台利用集成的数据挖掘技术和云存储技术，对数据进行分类存储。

（2）平台使用人员使用业务仿真模块建立业务场景框架，确定业务系统网络架构，在网络架构内填充存储的各类资源，同步对各类虚拟化设备进行参数配置，构建一套完备的虚拟业务系统，使用这套模拟业务系统开展攻防演练、业务培训等。

2 铁路网络攻防靶场平台构成

铁路网络攻防靶场平台通过整合现有资源实现仿真，其基础工作是收集的各类资源，核心则是实现靶场平台仿真的子系统，包括业务流量模拟子系统、攻击流量生成子系统、攻防仿真子系统和培训教育子系统。

2.1 业务流量模拟子系统

2.1.1 逻辑架构

业务场景流量模拟子系统提供安全测试过程所需的模拟流量，包括工业以太网、广域网[7]、IPV6、物联网、移动互联网、工业互联网等网络流量模拟，工业App、视频监控远程控制、5G 边缘计算、PLC、RTU、车联网、基于IPV6 的电信骨干网等应用模拟，以及物联网城市消防栓管理、物联网智能楼宇控制、物联网等业务场景模拟；其逻辑架构如图3 所示，自下而上划分为南向接口层、数据处理层、功能逻辑层、北向接口层，通过南向接口层与其它系统进行数据交互。

图3 业务流量模拟子系统逻辑架构

2.1.2 功能描述

（1）南向接口层主要包括流量还原和分析与多源数据汇聚关联分析接口、恶意行为检测接口、流量注入与采集接口，实现与其它应用系统的数据交互。

（2）数据处理层主要负责本系统运行过程中所涉及的数据的存取、分析及计算等处理，包括流量生成、流量注入、流量采集和导入、流量重组、协议指纹匹配、流信息采集、域名采集等主要逻辑处理。

（3）功能逻辑层基于数据处理层，为上层提供有效的业务逻辑处理支撑，包括流量生成、流量注入、流量采集和导入、流量重组、协议指纹匹配、流信息采集、域名采集等主要逻辑处理。

（4）北向接口层通过与后端管理应用系统对接，面向终端操作用户提供一个可视化的人机交互界面操作入口，涉及的接口包括软件配置与管理接口、任务管理接口、规则管理接口、资源监视接口、数据展示接口等。

2.2 攻击流量生成子系统

2.2.1 逻辑架构

攻击流量生成子系统面向仿真模拟系统，集成高效的安全攻击流量、预制检测用例，构建可扩展伸缩的安全性自动检测框架，实现10 余种攻击流量类型模拟，包括可生成拒绝服务攻击流量模拟、漏洞利用、病毒、恶意软件、ARP 流量、扫描探测等；其逻辑架构，如图4 所示。

图4 攻击流量生成子系统的逻辑架构

2.2.2 功能描述

攻击流量生成子系统提供攻击数据集，以及全球源IP 地址模块等系列攻击流量支撑资源；在匹配攻击流量过程中，由攻击数据集匹配攻击数据类型及数据，由攻击流量回放模块进行攻击流量的改造和按需组合，再由攻击流量投放模块执行攻击流量的投递。

此外，在大规模的攻击流量测试过程中，为了模拟大型的DDoS 攻击及僵尸网络等攻击，模拟器将通过数据源的全球源IP 地址模块，修改数据包中的源地址信息，模拟全球不同区域的大规模网络攻击行为。

2.3 攻防对抗子系统

攻防对抗子系统基于仿真模拟系统以及丰富的攻防资源，构建单兵竞技环境或多方混战环境，如图5 所示。

图5 攻防对抗子系统示意图

（1）单兵竞技是指操作人员登陆后，以闯关的方式进行攻击，每一关均有一个靶场，难度逐级增加，获取对应关卡的FLAG 值，提交正确后即可得分，提交失败不得分。

（2）攻防对抗内容主要包括信息挖掘与搜索、脚本注入、跨站欺骗、漏洞发现与利用、程序语言破解等。攻防实战模拟环境，通过攻防对抗子系统，双方或多方参与团队互为攻守，利用给定的目标靶机，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分，充分锻炼团队协作意识和个人能力水平。

2.4 培训教育子系统

培训教育子系统面向国铁集团、铁路局、站段3 级人员，提供网络安全培训教育服务。靶场平台运营单位利用铁路网络攻防靶场平台的优势资源，编制国家法律法规和标准规范、铁路规章制度、网络安全意识、网络安全技术、网络安全攻击渗透等方面习题库，铁路职工可通过综合信息网出口访问靶场平台，参与知识答题活动以及单兵作战活动。

3 关键技术

3.1 基于云存储的模块化网络虚拟技术

针对铁路复杂多样的业务场景及系统特点，基于云存储技术理念，构建铁路网络虚拟云平台，采用模块化存储技术，将铁路现行广泛采用的终端、版本、补丁、中间件、服务器、数据库等分别进行虚拟化；同时，对虚拟资源进行灵活定制，预留扩展空间，有效满足虚拟化资源的灵活配备（分配或配置）、组合、更新、回收等需要，并可有效解决实际存储空间局限性问题，一定程度上实现“有限空间模拟无限场景”。

3.2 大规模虚拟网络快速构建技术

综合分析铁路网络架构和系统架构，统筹构建数据流节点，结合云化、模块化的信息基础资源虚拟仿真技术，在每个节点处设置相应信息基础资源，在不同节点之间搭建数据通道，模拟数据流向，通过节点化与虚拟化相结合技术，实现虚拟节点和数据流量无限复用，可有效迅速构建大规模虚拟网络。

3.3 多层级流量仿真技术

针对传统流量仿真方法单一的问题，构建多源异构流量生成系统，可模拟个人用户访问、关联设备访问、远程请求访问等多源访问流量，对于每项流量可配置结构化、非结构化等异构数据流量。开展流量模拟时，在流量生成系统中实时生成大量元流量，采取元流量频率控制、流量叠加、流量拼接等技术，在同一时刻生成混合流量。通过不断优化调整元流量控制策略，理论上可实现实际数据流量的1:1 仿真。

3.4 多维度可量化攻防效果评估技术

建立科学合理的铁路网络安全攻防行为指标体系，引入可伸缩的实时绩效评估模型，通过对网络攻防双方行为流量的全时监测和实时分析，进行毫秒级运算，实现攻防效果实时评估，同时结合靶场平台可视化技术，实现攻防效果实时展示。

4 结束语

铁路网络安全经过多年的不断发展，已经基本建成“人防、物防、技防”三位一体的网络安全保障体系，初步具备网络较为完备的安全防护能力。但铁路网络安全在主动防御、人员技术能力建设、安全可靠环境模拟等方面依然存在不足。铁路网络攻防靶场平台的研究与设计，有助于解决铁路网络安全面临主动防御能力不足的难题，利用其资源整合优势，与云计算、大数据以及5G[8-10]等技术结合，以促进铁路网络安全防护技术的创新发展，提升铁路网络安全防护水平。

下一步将重点针对铁路网络安全精细化管理，基于铁路网络攻防靶场平台，研究构建集设备资产管理、运行配置、资源调配、运维保障、安全防护、漏洞修复等于一体的全过程管理模式，以加快实现铁路网络安全精准管控。