鐵路網絡安全態勢感知平臺方案研究

董 鵬，馬小寧，高明星

（1.中國鐵路信息科技有限責任公司， 北京 100038；2.中國鐵道科學研究院集團有限公司 鐵路大數據研究與應用創新中心，北京 100081）

態勢感知[1]源于航天領域對人為因素的研究，網絡安全態勢感知把握網絡系統運行的安全狀況及未來趨勢，提供及時、準確的決策依據，將風險和損失降至最低[2]。

態勢感知通過數據挖掘可將安全數據轉化為威脅情報，并建立模型，實現信息可視化展示[3]。國內研究中，有運用大數據分析工具構建攻擊分析模型，借助機器學習等技術實現相關算法模型的改進[4]；通過態勢感知和預警實現對安全態勢的分析、預測及總結[5]。國外有研究基于實時分析和數據流協議，提出實時態勢感知分析模型[6]。

本文針對鐵路信息網絡的特點，提出適合鐵路行業的網絡安全態勢感知平臺解決方案，并對其進行測試驗證。

1 鐵路網絡態勢感知系統的核心需求

安全感知態勢的核心需求可以從技術、管理、能力3 個方面進行分析。

1.1 技術層面

隨著云計算、物聯網、移動互聯等新技術的大規模應用，要求態勢感知系統能夠對不同數據源和數據格式進行統一快速處理。

1.2 管理層面

當前，網絡安全突發事件呈現出涉及領域多元化的特點，要求態勢感知平臺能夠為鐵路信息網絡構建自上而下的事前安全監測、通報預警，事中應急處置、態勢分析，事后責任追溯、督促整改的聯動機制。

1.3 保護能力

鑒于安全管控手段及威脅情報尚不充足，基礎數據更新不及時，發生事件后難以追蹤溯源，態勢感知平臺應滿足全面覆蓋業務對安全預警、處置的要求。

2 鐵路網絡安全感知平臺架構設計

2.1 架構設計

根據鐵路業務網絡的特點，橫向上涵蓋互聯網、外網及內網，縱向上覆蓋國鐵集團、鐵路局及站段三級，形成縱深威脅感知架構[7]。

該平臺設計需要實現“多級部署、統一管理”的整體架構[8]，邏輯上劃分為數據采集、數據處理、數據存儲、數據挖掘及業務應用5 個層級。根據鐵路網絡的具體業務特點，宏觀上可將整個架構劃分為數據采集和安全態勢感知平臺，其整體架構如圖1 所示。

安全態勢感知平臺具有多級級聯設計，由中國國家鐵路集團有限公司級（簡稱：國鐵集團）與鐵路局集團有限公司（簡稱：鐵路局）級兩級組成。國鐵集團級安全態勢感知平臺包括針對外部服務網的安全感知平臺子系統和針對內部服務網的安全態勢感知平臺兩部分。其中，外部服務網的安全態勢感知平臺子系統主要承擔對外部服務網的數據采集、威脅分析、數據存儲及威脅情報同步的功能；內部服務網的安全態勢感知平臺作為全網態勢感知的核心，不僅對國鐵集團級的內部服務網、安全生產網的相關數據進行采集、威脅分析、數據存儲，還可同步外部服務網安全態勢感知平臺子系統的安全威脅數據、威脅情報數據，及各鐵路局級安全態勢感知平臺的安全威脅數據。最終，由國鐵集團內部服務網的安全態勢感知平臺對全網安全態勢進行展現、預測和分析。

鐵路局級安全態勢感知平臺主要對鐵路局級、站段級的內部服務網及安全生產網的數據進行采集、威脅分析和數據存儲，同時將安全威脅分析結果同步至國鐵集團態勢感知平臺；此外，還提供數據查詢接口，支持國鐵集團安全態勢感知平臺對鐵路局級安全態勢感知平臺的原始數據進行查詢。

在數據采集方面，主要采集安全設備日志、全流量數據、安全檢測數據及其它數據（包括且不限于資產數據、人員數據等）；在站段級主要是終端設備，其數據采集主要是終端安全防護軟件的相關日志數據。

3.2 技術架構設計

安全態勢感知平臺采用成熟、先進的數據存儲和處理技術，具有平臺化架構設計，基于云計算、大數據技術等開放技術平臺構建。其技術架構如圖2 所示。

安全態勢感知平臺主要包含數據源采集層、數據處理層、數據存儲層、數據挖掘層、業務應用層。數據源采集層主要包含數據源采集以及與各數據源的數據接口，實現采集數據的輸入及情報數據的對接；數據處理層對采集到的數據進行數據清洗、數據關聯、數據歸一化、數據標簽、數據共享、數據分發、去重合并、統計加速等處理，最后存儲至數據存儲層中對應的數據庫中，并建立數據全文索引[9]。數據挖掘層主要利用相關的算法建立計算模型，對數據進行深度分析。最后，由業務應用層的相關技術引擎支撐前臺業務應用的實現，最終輸出各項需求數據，通過前臺頁面進行數據展現及人機交互。

3 鐵路網絡安全態勢感知平臺關鍵技術

3.1 實時多路徑異步高通量數據采集技術

態勢感知系統對鐵路高帶寬的網絡出入口進行高速并行數據采集，采用多個網絡分流器作為專用分流硬件，利用分流器的高吞吐、低時延、可以分流協議的特性，在多核硬件系統上實現較強的頭部比較能力；采用單匹配算法和多匹配算法混合的方式進一步提升分流采集的性能；利用不同設備間的時鐘同步，對混合后的數據按時間進行排序，確保系統數據的完整性。按照業務劃分后的數據，其處理速度會有所降低，可配置多個采集探針系統進行高速采集。按照不同協議區分的采集探針因處理協議的不同而具有不同性能，為此需要配套專用事件共享探針系統，按時間、訪問目的、協議類型等進行歸類處理。此外，不同數據源的數據亦可參照此規則進行匹配和分類存儲。

3.2 基于人工智能的海量多態數據分析合成技術

大數據系統是態勢感知平臺的基礎，其能力體現在數據分析上。數據分析分為兩部分：

（1）實現對多源異構數據的預處理、轉換、標準化，將不同數據格式轉換成標準格式，將相同含義的數據進行歸并，對異常數據進行清洗和甄別。

（2）完成數據合成，合成工作在高速內存數據庫中完成，基于既有規則可以快速形成標準事件信息，或者生成非標準事件的異常信息跟蹤信息。合成后的數據記錄具有一個獨立事件元的描述能力，通常狀況下，該記錄單元描述事件發生時間、發起用戶信息、發生地點、發起地址信息、目標地址信息、時間類型、動作記錄等內容。所采集數據的價值會隨著時間的流逝而降低，智能數據分析系統的分析速度決定了態勢感知平臺發現未知威脅的能力。

3.3 覆蓋全業務邏輯的綜合評估及預警技術

單純通過特征關聯進行合成分析，所生成的預警信息存在誤報的可能。為有效地排除誤報告警，需要從業務邏輯角度評估事件是否構成威脅。將可能的惡意事件簡單分類為異常、攻擊、錯誤；異常是應用在開發中使用了可能產生威脅的指令或者方法，或應用開發人員在代碼中使用了和攻擊類似的訪問方法；攻擊是經過應用驗證，某事件并不是應用正常訪問過程中會出現的指令或方法；錯誤用于歸類那些由于軟件本身異常而造成的事件預警。

從整體和業務的視角進行綜合評估，才能快速得出真實、完整的結論。綜合評估系統結合專家分析，通過明確攻擊者及其使用的攻擊手法、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等，可進行追蹤溯源和拓展分析。

3.4 基于深度威脅分析的多維態勢可視化技術

可視化技術是態勢感知的展示技術。在屏幕上展示鐵路信息網絡復雜的態勢，僅靠3 個維度是不夠的。很多威脅只有通過時間、空間、邏輯關系等多維度統一在同一界面上展示，才能揭示鐵路網絡的真實安全態勢。多維度表達也從另一個角度表明，網絡安全態勢不同于傳統態勢概念，很難在同一屏幕上一次性充分展示。

以網絡安全事件與威脅風險監測為驅動，對網絡空間安全相關信息進行匯聚和融合，形成針對人、物、地、事、關系的多維視圖[10]，從時間、空間等不同視角感知網絡安全態勢。

3.5 多源基礎信息完整性保持技術

基礎信息數據是管理的基礎，準確的基礎信息是態勢感知系統預警正確的重要保證。基礎信息包括資產數據、威脅情報數據、漏洞掃描數據等，這些數據是鐵路網絡安全態勢平臺正常工作的重要輸入，而這些動態的數據變化頻率也非常快。在部署態勢感知平臺時，需要利用各個采集點上的采集設備對網內資產進行連續掃描；利用情報系統及時獲取各個情報源的數據；利用漏洞掃描系統，對網內的漏洞數據進行實時同步和更新。

基礎信息數的同步數據量較小，采用較低端的硬件設備即可滿足要求，也可與探針共用設備。

3.6 大數據高速全文檢索技術

大數據高速全文檢索技術是支撐態勢感知系統的關鍵技術之一，是傳統態勢感知預警依賴的核心技術，提供了利用既有數據進行分析預測的手段。

利用高速全文檢索技術，可對歷史數據進行有效分析，并對歷史數據和當前數據進行疊加分析，才能實現準確預測，增強態勢感知系統的防護作用。

4 測試驗證環境

4.1 測試驗證環境

為研究和驗證鐵路網絡態勢感知平臺解決方案的關鍵技術，在測試演練環境中部署多臺分流器、多臺APT 檢測設備、多臺DPI 檢測設備、3 套日志審計系統、數套網站分析系統、數套主機防護、2 套大數據系統、2 套大數據分析系統，作為整個研究測試平臺的基礎設備；這部分設備主要部署于鐵路信息網絡縱深防御下的各不同層級位置，具體位置如圖3所示。

采用腳本模擬、人為滲透、攻防演習等幾種方法對目標系統進行攻擊測試。其中，腳本模擬將已知惡意攻擊作為實例，對目標系統實施攻擊，檢查態勢感知平臺的檢測和預警能力；人為滲透利用技術人員的經驗和智慧，對目標系統進行滲透攻擊，檢驗態勢感知平臺的監測和預警能力；攻防演習利用第三方攻擊隊伍，對目標系統進行各種已知或未知攻擊，以驗證態勢感知平臺的安全能力。

4.2 測試驗證結果

態勢感知平臺已持續運行1 個月，累計監測發現來自外部網絡攻擊千萬余次，持續跟蹤未知威脅和零日（“0 day”）漏洞數十個，完成追蹤溯源200 余起，及時發現并消除網絡安全隱患500 余起。

5 結束語

面對復雜的鐵路網絡環境，秉承“以資產管理為基礎，以風險管理為核心”[11]的理念，通過定制和組合多種設備，構建適用于鐵路信息網絡的安全態勢感知平臺，其特征符合鐵路信息網絡對網絡安全風險管控的要求；通過多種技術的融合，可在異步模式下基于多數據源實現實時威脅分析和預警，初步取得一定應用效果。目前，本方案對于態勢感知平臺的預測能力提升尚不明顯，需要進一步研究其預測能力，以提升鐵路網絡安全態勢平臺的綜合能力。