拟态防御在铁路网络安全应用的初步探讨

郭梓萌，朱广劼，徐洪苹

（1. 中国铁道科学研究院 研究生部，北京 100081；2. 中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081；3. 中国铁路哈尔滨局集团有限公司 科技和信息化部，哈尔滨 150006）

随着我国铁路信息化进程的不断推进，上网、上云企业的数据量屡创新高，基于新技术的应用系统层出不穷，显著提升了铁路工作人员的工作效率，同时，也对信息系统的安全性提出了全新的要求。近年来，网络攻防双方不断博弈，新型网络攻击手段逐渐转向以零日攻击为代表的专业性强、频次低、隐蔽性高、更难以防备的攻击模式，同时，针对计算机网络系统本身的未知漏洞，发掘后门和针对性攻击更是屡见不鲜。传统的网络防御模式依赖先验性知识，如病毒库、漏洞库等，难以应对新型网络攻击，因此，要解决传统网络防御存在的滞后性、脆弱性等问题，需要探究新手段，研究新方法。

传统的被动防御思想是当系统遭受攻击后，对已实施的攻击进行比对和分析等处理，而主动防御思想则是通过增强系统自身抗攻击性，在攻击发生前对攻击进行处理。邬江兴基于主动防御思想，提出了独创的拟态防御技术[1-3]。本文总结拟态防御相关的研究内容，概述国内拟态防御基本思想和理论算法研究现状，根据铁路实际需求和网络安全现状，提出基于设备和应用的网络安全拟态改造思路，为提升铁路主动防御能力提供技术支持。

1 拟态防御概述

为能更好地应对未知的网络威胁，不依赖先验性知识的主动防御技术逐渐成为网络安全防御领域的研究焦点。主动防御是指通过一定的技术手段，在系统遭受攻击并造成损失前就对攻击进行拦截处理的一种防御思想。通过主动防御，系统能及时地避免、转移、降低攻击风险。目前，基于主动防御思想的防御技术有入侵容忍、蜜罐、移动目标防御、零信任架构、可信计算等[4]，技术对比如表1所示。

表1 基于主动防御思想的部分技术对比

现有的主动防御手段缺乏应对因系统本身的漏洞、后门等产生的未知安全风险和不确定性攻击的能力。拟态防御的出现弥补了这一短板，其核心目的是使系统在应对完全未知的攻击手段、途径、目的的情况下，通过基于拟态防御思想的动态异构冗余（DHR，Dynamic Heterogeneous Redundancy）体系架构，使攻击“无效化”，进而提升系统的安全性和可用性。

1.1 拟态防御原理

拟态防御的核心思想是将输入系统的数据信息交由不同的执行体进行处理，不同执行体架构、逻辑等存在异构，由于网络攻击行为是针对某类系统存在的漏洞进行攻击，所以多个不同的系统对于同一输入信息进行处理后，输出的信息应是多数正确的，对这些信息进行择多表决，就可保证经过拟态处理后的输出信息的正确性。

拟态防御的经典模型是DHR模型，如图1所示。由拟态括号确定了拟态界，拟态左括号由输入代理及分发器组成，拟态右括号由输出代理及表决器组成。系统数据从拟态左括号输入，交由分发器分发给上线运行的异构执行体，由不同执行体对该输入信息进行处理，并将不同的输出信息汇总至表决器，表决器依据表决算法进行信息处理，输出结果，将存在异常的执行体反馈至调度器，并根据调度算法对执行体进行上下线调度。

图1 拟态防御DHR模型

1.2 拟态防御算法

在拟态防御体系中，执行体是异构性的基础，调度算法是异构性的核心，表决算法决定了最终输出的正确与否，对拟态防御算法的讨论一般基于上述两种算法。

通过衡量算法的核心调度指标、调度时机及其适用性，可对拟态防御调度算法进行分类，调度算法列表如表2所示。调度算法主要负责执行体的上下线，回答在各类情况下如何调度这一问题。调度时机一般分为3种：（1）依据算法执行周期调度；（2）当执行体异常时收集反馈信息综合判断，执行异常反馈调度或异常累计触发调度；（3）依据博弈论执行调度。调度指标有依据正态分布等随机算法随机选择、执行体相似度判断、执行体异构度判断、依据调度历史信息判断、基于历史信息及执行体原始属性等对执行体置信度或是胜任系数进行判断、裁决器的裁决结果反馈等。不同的业务需求也限制着调度算法的具体设计。

表2 拟态防御调度算法

表决算法多与调度算法相互配合，基本的表决算法采用大数判决法进行多数一致性表决，或可参考调度算法的执行体异构度、历史调度信息等进行综合裁决。

2 铁路信息系统网络防御体系分析

2.1 铁路信息系统网络防御体系现状

铁路信息系统网络安全建设经过多年发展，基本建成了“五网三级”的铁路纵深防御体系，其中，“五网”指综合信息网、资金网、客票专网、调度指挥专网、旅客服务网；“三级”指中国国家铁路集团有限公司（简称：国铁集团）级、铁路局集团公司级和站段级。铁路主数据中心建成投入使用及铁路综合信息网一体化保障工程、铁路网络安全调度指挥中心的建设实施使得铁路网络安全防御能力有了进一步提升。铁路信息系统目前虽已具备纵深防御能力，但在应对新型网络攻击、未知攻击和未知漏洞方面还存在问题，具体如下。

（1）主动防御能力薄弱。随着网络空间安全威胁水平的不断提高，铁路综合信息网的互联网边界和核心区域均采用传统的被动防御手段，包括部署核心防火墙、入侵检测设备等，已经不能适用于以专业性更强、针对性更高为特点的一系列新型网络空间安全威胁。

（2）部分网络安全防护技术落后。通过铁路信息网一体化保障工程建立了安全态势感知平台、电子统一身份认证平台、数据安全风险分析平台等，但铁路信息系统既有的安全措施部署较早，技术落后，部分设备日趋老化，缺少安全监测预警和威胁情报分析的能力。

（3）专用信息网防护技术单一。当前的专用信息网主要以采用防火墙、身份认证和防病毒等传统安全产品为主，针对外部攻击进行防护，缺少针对内部越权和漏洞攻击的防护手段。

2.2 拟态防御应用必要性分析

拟态防御可较好地解决铁路系统网络防御体系现存的部分问题。

（1）补短板。拟态防御打破了传统的被动防御思路，通过DHR模型增强了信息系统的内生安全，实现不依赖先验性知识对未知网络攻击进行及时、有效的主动防御，可有效弥补铁路主动防御能力薄弱的问题。

（2）效率高。拟态防御通过对已有构件的异构组合来提升整体安全性，改造效率高、成本低。

（3）适用性强。拟态防御思想可泛化使用在设备、服务器架构、网络系统等各个层面，可分批次、分层上线使用。

3 铁路信息系统拟态防御改造探讨

为提升铁路应对未知风险的能力，增强铁路主动防御水平，本文开展了铁路信息系统的拟态改造方案研究。以铁路综合信息网中的外部服务网为改造对象，提出部分设备改造、整体网络架构改造和应用系统改造3种拟态防御改造思路，原始网络架构如图2所示。

图2 外部服务网原始网络架构示意

3.1 部分设备拟态改造

目前，针对交换机和路由器设备的拟态改造方法已较为成熟。拟态交换机通过虚拟化和多样化编译技术，在CPU、操作系统、协议栈层面构建功能等价的异构执行体。拟态路由器采用分布式架构，由业务单元（SU）、主控单元（MCU）、计算单元（CU）构成。

部分设备拟态改造主要指对位于网络边界和核心的部分传统防护设备进行改造，采用拟态设备直接替换原有设备。如图3所示，采用拟态交换机替换了外部服务网中原有的交换机。

图3 外部服务网部分设备拟态改造示意

铁路领域部分设备拟态改造主要对铁路信息系统核心交换机进行拟态改造，分为设备更换、参数配置、联调联试及系统性测试等几个阶段，改造完成后，可有效提升铁路网络系统防御能力，弥补现有铁路网络安全防御无法应对针对核心交换机设备的后门、漏洞等进行未知攻击这一短板。

3.2 整体网络架构拟态改造

对部分设备进行拟态改造可提高局部网络的安全性，但要提升整体网络的内生安全，需要由点及面地扩大拟态化改造范围，以整体网络为改造对象。整体网络架构主要是对外部服务网的交换机、防火墙、路由器等现有网络安全设备进行拟态设备替换，如图4所示。

图4 应用系统拟态改造示意

实现传统基础设备到拟态网络产品的整体升级换代，发挥拟态技术优势，赋能网络安全。改造方案完成后，基本建成基于拟态防御思想的内生安全架构，创新性改变存储系统的功能结构和运行环境，有效抑制和管控软硬件随机性失效产生的安全风险，阻断利用未知漏洞和后门的攻击行为，有效防止数据泄露和数据篡改。与部分设备改造相比，整体网络改造的难度加大、周期延长。

3.3 应用系统拟态改造

要实现全网络的拟态化改造升级，就要在现有设备的拟态化替代之外，充分考虑网络系统实际状况。在设计网络系统的各个方面时，考虑拟态防御思想，针对安全等级较高、易受网络渗透攻击的系统，将DHR纳入系统设计的基本要求中，对需要进行拟态防护的系统参考DHR模型进行详细设计。

本文以某铁路互联网应用系统为例给出系统拟态改造方案，如图5所示。系统数据由规则引擎组件读入后交由分发器分发至上线运行的各个异构执行体。依据互联网应用的数据处理流程进行分层次处理后，汇总至表决器进行表决输出。在数据处理过程中，调度器依据系统运行状况、表决器反馈或内置算法等，在异构执行体池的执行体集中对异构执行体进行上下线调度控制，保证系统安全性。

图5 外部服务网整体网络架构拟态改造示意

系统拟态改造主要包括拟态界选取、拟态防御组件适配和异构执行体选取3个主要步骤。

3.3.1 拟态界选取

拟态设计应对所要进行拟态防护的系统进行攻击面分析，选取合适的拟态界，进而确定拟态左括号和拟态右括号的具体防护范围。现有的铁路信息系统架构可分为4类：单体架构、分布式架构、微服务架构和云服务架构。

需要进行拟态改造的铁路互联网应用系统的架构属于单体架构，单体架构是典型的三级架构，由前端、业务逻辑层和数据库层构成，外部攻击多是通过前端侵入，影响业务逻辑层，窃取数据库中的敏感数据，因此，其拟态界应包括前后端数据接口、整个业务逻辑层及后端数据库。

3.3.2 拟态防御组件适配

在确定了拟态界的具体防护范围后，应考虑拟态防御组件适配问题，主要包括分发器、表决器和调度器。分发器负责对输入拟态界的数据信息进行分发处理，为保证分发和裁决的数据包的有序性，需要在每一个请求报文中添加标签信息，使每个拟态组件模块可识别出请求的序列，同时，需要考虑多个执行体并发执行时的同步问题；表决器负责对执行体调用后的结果进行归一化处理和正确性抉择，同时负责执行体异常判断和异常反馈，其依赖的表决算法的设计和选取决定了拟态系统输出的正确性；调度器是拟态防御的核心模块，负责综合表决器的反馈信息和调度算法执行信息，控制执行体的调度上下线，并将相应执行体信息重新反馈至分发器。

3.3.3 异构执行体选取

互联网应用可在数据库管理软件、中间件、执行脚本及操作系统4层实现拟态改造，可用于实现异构的执行体集如表3所示。

表3 拟态执行体集

对系统进行拟态改造可以极大地提升系统的内生安全性，但同时也要考虑拟态改造对实际应用系统的性能、吞吐量等方面的影响，需要分析具体情况，制定相应改造措施。

4 结束语

铁路信息系统的网络防御体系不断完善，逐步形成分类分级的网络安全防护系统，针对大规模网络攻击已有较好的防御手段。但网络攻击手段仍在不断更新，需要不断学习新的防御思想，改进、完善现有的防御体系，从而更好地应对外部网络攻击。本文对拟态防御技术的基本原理和核心算法进行了简要介绍，分析了铁路系统网络防御体系现状，指出进行拟态改造的必要性，探讨了铁路网络拟态改造应用的基本思路，对提升铁路主动防御能力具有参考意义。