擬態(tài)防御在鐵路網(wǎng)絡(luò)安全應(yīng)用的初步探討

郭梓萌，朱廣劼，徐洪蘋

（1. 中國鐵道科學研究院 研究生部，北京 100081；2. 中國鐵道科學研究院集團有限公司 電子計算技術(shù)研究所，北京 100081；3. 中國鐵路哈爾濱局集團有限公司 科技和信息化部，哈爾濱 150006）

隨著我國鐵路信息化進程的不斷推進，上網(wǎng)、上云企業(yè)的數(shù)據(jù)量屢創(chuàng)新高，基于新技術(shù)的應(yīng)用系統(tǒng)層出不窮，顯著提升了鐵路工作人員的工作效率，同時，也對信息系統(tǒng)的安全性提出了全新的要求。近年來，網(wǎng)絡(luò)攻防雙方不斷博弈，新型網(wǎng)絡(luò)攻擊手段逐漸轉(zhuǎn)向以零日攻擊為代表的專業(yè)性強、頻次低、隱蔽性高、更難以防備的攻擊模式，同時，針對計算機網(wǎng)絡(luò)系統(tǒng)本身的未知漏洞，發(fā)掘后門和針對性攻擊更是屢見不鮮。傳統(tǒng)的網(wǎng)絡(luò)防御模式依賴先驗性知識，如病毒庫、漏洞庫等，難以應(yīng)對新型網(wǎng)絡(luò)攻擊，因此，要解決傳統(tǒng)網(wǎng)絡(luò)防御存在的滯后性、脆弱性等問題，需要探究新手段，研究新方法。

傳統(tǒng)的被動防御思想是當系統(tǒng)遭受攻擊后，對已實施的攻擊進行比對和分析等處理，而主動防御思想則是通過增強系統(tǒng)自身抗攻擊性，在攻擊發(fā)生前對攻擊進行處理。鄔江興基于主動防御思想，提出了獨創(chuàng)的擬態(tài)防御技術(shù)[1-3]。本文總結(jié)擬態(tài)防御相關(guān)的研究內(nèi)容，概述國內(nèi)擬態(tài)防御基本思想和理論算法研究現(xiàn)狀，根據(jù)鐵路實際需求和網(wǎng)絡(luò)安全現(xiàn)狀，提出基于設(shè)備和應(yīng)用的網(wǎng)絡(luò)安全擬態(tài)改造思路，為提升鐵路主動防御能力提供技術(shù)支持。

1 擬態(tài)防御概述

為能更好地應(yīng)對未知的網(wǎng)絡(luò)威脅，不依賴先驗性知識的主動防御技術(shù)逐漸成為網(wǎng)絡(luò)安全防御領(lǐng)域的研究焦點。主動防御是指通過一定的技術(shù)手段，在系統(tǒng)遭受攻擊并造成損失前就對攻擊進行攔截處理的一種防御思想。通過主動防御，系統(tǒng)能及時地避免、轉(zhuǎn)移、降低攻擊風險。目前，基于主動防御思想的防御技術(shù)有入侵容忍、蜜罐、移動目標防御、零信任架構(gòu)、可信計算等[4]，技術(shù)對比如表1所示。

表1 基于主動防御思想的部分技術(shù)對比

現(xiàn)有的主動防御手段缺乏應(yīng)對因系統(tǒng)本身的漏洞、后門等產(chǎn)生的未知安全風險和不確定性攻擊的能力。擬態(tài)防御的出現(xiàn)彌補了這一短板，其核心目的是使系統(tǒng)在應(yīng)對完全未知的攻擊手段、途徑、目的的情況下，通過基于擬態(tài)防御思想的動態(tài)異構(gòu)冗余（DHR，Dynamic Heterogeneous Redundancy）體系架構(gòu)，使攻擊“無效化”，進而提升系統(tǒng)的安全性和可用性。

1.1 擬態(tài)防御原理

擬態(tài)防御的核心思想是將輸入系統(tǒng)的數(shù)據(jù)信息交由不同的執(zhí)行體進行處理，不同執(zhí)行體架構(gòu)、邏輯等存在異構(gòu)，由于網(wǎng)絡(luò)攻擊行為是針對某類系統(tǒng)存在的漏洞進行攻擊，所以多個不同的系統(tǒng)對于同一輸入信息進行處理后，輸出的信息應(yīng)是多數(shù)正確的，對這些信息進行擇多表決，就可保證經(jīng)過擬態(tài)處理后的輸出信息的正確性。

擬態(tài)防御的經(jīng)典模型是DHR模型，如圖1所示。由擬態(tài)括號確定了擬態(tài)界，擬態(tài)左括號由輸入代理及分發(fā)器組成，擬態(tài)右括號由輸出代理及表決器組成。系統(tǒng)數(shù)據(jù)從擬態(tài)左括號輸入，交由分發(fā)器分發(fā)給上線運行的異構(gòu)執(zhí)行體，由不同執(zhí)行體對該輸入信息進行處理，并將不同的輸出信息匯總至表決器，表決器依據(jù)表決算法進行信息處理，輸出結(jié)果，將存在異常的執(zhí)行體反饋至調(diào)度器，并根據(jù)調(diào)度算法對執(zhí)行體進行上下線調(diào)度。

圖1 擬態(tài)防御DHR模型

1.2 擬態(tài)防御算法

在擬態(tài)防御體系中，執(zhí)行體是異構(gòu)性的基礎(chǔ)，調(diào)度算法是異構(gòu)性的核心，表決算法決定了最終輸出的正確與否，對擬態(tài)防御算法的討論一般基于上述兩種算法。

通過衡量算法的核心調(diào)度指標、調(diào)度時機及其適用性，可對擬態(tài)防御調(diào)度算法進行分類，調(diào)度算法列表如表2所示。調(diào)度算法主要負責執(zhí)行體的上下線，回答在各類情況下如何調(diào)度這一問題。調(diào)度時機一般分為3種：（1）依據(jù)算法執(zhí)行周期調(diào)度；（2）當執(zhí)行體異常時收集反饋信息綜合判斷，執(zhí)行異常反饋調(diào)度或異常累計觸發(fā)調(diào)度；（3）依據(jù)博弈論執(zhí)行調(diào)度。調(diào)度指標有依據(jù)正態(tài)分布等隨機算法隨機選擇、執(zhí)行體相似度判斷、執(zhí)行體異構(gòu)度判斷、依據(jù)調(diào)度歷史信息判斷、基于歷史信息及執(zhí)行體原始屬性等對執(zhí)行體置信度或是勝任系數(shù)進行判斷、裁決器的裁決結(jié)果反饋等。不同的業(yè)務(wù)需求也限制著調(diào)度算法的具體設(shè)計。

表2 擬態(tài)防御調(diào)度算法

表決算法多與調(diào)度算法相互配合，基本的表決算法采用大數(shù)判決法進行多數(shù)一致性表決，或可參考調(diào)度算法的執(zhí)行體異構(gòu)度、歷史調(diào)度信息等進行綜合裁決。

2 鐵路信息系統(tǒng)網(wǎng)絡(luò)防御體系分析

2.1 鐵路信息系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)狀

鐵路信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)經(jīng)過多年發(fā)展，基本建成了“五網(wǎng)三級”的鐵路縱深防御體系，其中，“五網(wǎng)”指綜合信息網(wǎng)、資金網(wǎng)、客票專網(wǎng)、調(diào)度指揮專網(wǎng)、旅客服務(wù)網(wǎng)；“三級”指中國國家鐵路集團有限公司（簡稱：國鐵集團）級、鐵路局集團公司級和站段級。鐵路主數(shù)據(jù)中心建成投入使用及鐵路綜合信息網(wǎng)一體化保障工程、鐵路網(wǎng)絡(luò)安全調(diào)度指揮中心的建設(shè)實施使得鐵路網(wǎng)絡(luò)安全防御能力有了進一步提升。鐵路信息系統(tǒng)目前雖已具備縱深防御能力，但在應(yīng)對新型網(wǎng)絡(luò)攻擊、未知攻擊和未知漏洞方面還存在問題，具體如下。

（1）主動防御能力薄弱。隨著網(wǎng)絡(luò)空間安全威脅水平的不斷提高，鐵路綜合信息網(wǎng)的互聯(lián)網(wǎng)邊界和核心區(qū)域均采用傳統(tǒng)的被動防御手段，包括部署核心防火墻、入侵檢測設(shè)備等，已經(jīng)不能適用于以專業(yè)性更強、針對性更高為特點的一系列新型網(wǎng)絡(luò)空間安全威脅。

（2）部分網(wǎng)絡(luò)安全防護技術(shù)落后。通過鐵路信息網(wǎng)一體化保障工程建立了安全態(tài)勢感知平臺、電子統(tǒng)一身份認證平臺、數(shù)據(jù)安全風險分析平臺等，但鐵路信息系統(tǒng)既有的安全措施部署較早，技術(shù)落后，部分設(shè)備日趨老化，缺少安全監(jiān)測預警和威脅情報分析的能力。

（3）專用信息網(wǎng)防護技術(shù)單一。當前的專用信息網(wǎng)主要以采用防火墻、身份認證和防病毒等傳統(tǒng)安全產(chǎn)品為主，針對外部攻擊進行防護，缺少針對內(nèi)部越權(quán)和漏洞攻擊的防護手段。

2.2 擬態(tài)防御應(yīng)用必要性分析

擬態(tài)防御可較好地解決鐵路系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)存的部分問題。

（1）補短板。擬態(tài)防御打破了傳統(tǒng)的被動防御思路，通過DHR模型增強了信息系統(tǒng)的內(nèi)生安全，實現(xiàn)不依賴先驗性知識對未知網(wǎng)絡(luò)攻擊進行及時、有效的主動防御，可有效彌補鐵路主動防御能力薄弱的問題。

（2）效率高。擬態(tài)防御通過對已有構(gòu)件的異構(gòu)組合來提升整體安全性，改造效率高、成本低。

（3）適用性強。擬態(tài)防御思想可泛化使用在設(shè)備、服務(wù)器架構(gòu)、網(wǎng)絡(luò)系統(tǒng)等各個層面，可分批次、分層上線使用。

3 鐵路信息系統(tǒng)擬態(tài)防御改造探討

為提升鐵路應(yīng)對未知風險的能力，增強鐵路主動防御水平，本文開展了鐵路信息系統(tǒng)的擬態(tài)改造方案研究。以鐵路綜合信息網(wǎng)中的外部服務(wù)網(wǎng)為改造對象，提出部分設(shè)備改造、整體網(wǎng)絡(luò)架構(gòu)改造和應(yīng)用系統(tǒng)改造3種擬態(tài)防御改造思路，原始網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 外部服務(wù)網(wǎng)原始網(wǎng)絡(luò)架構(gòu)示意

3.1 部分設(shè)備擬態(tài)改造

目前，針對交換機和路由器設(shè)備的擬態(tài)改造方法已較為成熟。擬態(tài)交換機通過虛擬化和多樣化編譯技術(shù)，在CPU、操作系統(tǒng)、協(xié)議棧層面構(gòu)建功能等價的異構(gòu)執(zhí)行體。擬態(tài)路由器采用分布式架構(gòu)，由業(yè)務(wù)單元（SU）、主控單元（MCU）、計算單元（CU）構(gòu)成。

部分設(shè)備擬態(tài)改造主要指對位于網(wǎng)絡(luò)邊界和核心的部分傳統(tǒng)防護設(shè)備進行改造，采用擬態(tài)設(shè)備直接替換原有設(shè)備。如圖3所示，采用擬態(tài)交換機替換了外部服務(wù)網(wǎng)中原有的交換機。

圖3 外部服務(wù)網(wǎng)部分設(shè)備擬態(tài)改造示意

鐵路領(lǐng)域部分設(shè)備擬態(tài)改造主要對鐵路信息系統(tǒng)核心交換機進行擬態(tài)改造，分為設(shè)備更換、參數(shù)配置、聯(lián)調(diào)聯(lián)試及系統(tǒng)性測試等幾個階段，改造完成后，可有效提升鐵路網(wǎng)絡(luò)系統(tǒng)防御能力，彌補現(xiàn)有鐵路網(wǎng)絡(luò)安全防御無法應(yīng)對針對核心交換機設(shè)備的后門、漏洞等進行未知攻擊這一短板。

3.2 整體網(wǎng)絡(luò)架構(gòu)擬態(tài)改造

對部分設(shè)備進行擬態(tài)改造可提高局部網(wǎng)絡(luò)的安全性，但要提升整體網(wǎng)絡(luò)的內(nèi)生安全，需要由點及面地擴大擬態(tài)化改造范圍，以整體網(wǎng)絡(luò)為改造對象。整體網(wǎng)絡(luò)架構(gòu)主要是對外部服務(wù)網(wǎng)的交換機、防火墻、路由器等現(xiàn)有網(wǎng)絡(luò)安全設(shè)備進行擬態(tài)設(shè)備替換，如圖4所示。

圖4 應(yīng)用系統(tǒng)擬態(tài)改造示意

實現(xiàn)傳統(tǒng)基礎(chǔ)設(shè)備到擬態(tài)網(wǎng)絡(luò)產(chǎn)品的整體升級換代，發(fā)揮擬態(tài)技術(shù)優(yōu)勢，賦能網(wǎng)絡(luò)安全。改造方案完成后，基本建成基于擬態(tài)防御思想的內(nèi)生安全架構(gòu)，創(chuàng)新性改變存儲系統(tǒng)的功能結(jié)構(gòu)和運行環(huán)境，有效抑制和管控軟硬件隨機性失效產(chǎn)生的安全風險，阻斷利用未知漏洞和后門的攻擊行為，有效防止數(shù)據(jù)泄露和數(shù)據(jù)篡改。與部分設(shè)備改造相比，整體網(wǎng)絡(luò)改造的難度加大、周期延長。

3.3 應(yīng)用系統(tǒng)擬態(tài)改造

要實現(xiàn)全網(wǎng)絡(luò)的擬態(tài)化改造升級，就要在現(xiàn)有設(shè)備的擬態(tài)化替代之外，充分考慮網(wǎng)絡(luò)系統(tǒng)實際狀況。在設(shè)計網(wǎng)絡(luò)系統(tǒng)的各個方面時，考慮擬態(tài)防御思想，針對安全等級較高、易受網(wǎng)絡(luò)滲透攻擊的系統(tǒng)，將DHR納入系統(tǒng)設(shè)計的基本要求中，對需要進行擬態(tài)防護的系統(tǒng)參考DHR模型進行詳細設(shè)計。

本文以某鐵路互聯(lián)網(wǎng)應(yīng)用系統(tǒng)為例給出系統(tǒng)擬態(tài)改造方案，如圖5所示。系統(tǒng)數(shù)據(jù)由規(guī)則引擎組件讀入后交由分發(fā)器分發(fā)至上線運行的各個異構(gòu)執(zhí)行體。依據(jù)互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)處理流程進行分層次處理后，匯總至表決器進行表決輸出。在數(shù)據(jù)處理過程中，調(diào)度器依據(jù)系統(tǒng)運行狀況、表決器反饋或內(nèi)置算法等，在異構(gòu)執(zhí)行體池的執(zhí)行體集中對異構(gòu)執(zhí)行體進行上下線調(diào)度控制，保證系統(tǒng)安全性。

圖5 外部服務(wù)網(wǎng)整體網(wǎng)絡(luò)架構(gòu)擬態(tài)改造示意

系統(tǒng)擬態(tài)改造主要包括擬態(tài)界選取、擬態(tài)防御組件適配和異構(gòu)執(zhí)行體選取3個主要步驟。

3.3.1 擬態(tài)界選取

擬態(tài)設(shè)計應(yīng)對所要進行擬態(tài)防護的系統(tǒng)進行攻擊面分析，選取合適的擬態(tài)界，進而確定擬態(tài)左括號和擬態(tài)右括號的具體防護范圍。現(xiàn)有的鐵路信息系統(tǒng)架構(gòu)可分為4類：單體架構(gòu)、分布式架構(gòu)、微服務(wù)架構(gòu)和云服務(wù)架構(gòu)。

需要進行擬態(tài)改造的鐵路互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的架構(gòu)屬于單體架構(gòu)，單體架構(gòu)是典型的三級架構(gòu)，由前端、業(yè)務(wù)邏輯層和數(shù)據(jù)庫層構(gòu)成，外部攻擊多是通過前端侵入，影響業(yè)務(wù)邏輯層，竊取數(shù)據(jù)庫中的敏感數(shù)據(jù)，因此，其擬態(tài)界應(yīng)包括前后端數(shù)據(jù)接口、整個業(yè)務(wù)邏輯層及后端數(shù)據(jù)庫。

3.3.2 擬態(tài)防御組件適配

在確定了擬態(tài)界的具體防護范圍后，應(yīng)考慮擬態(tài)防御組件適配問題，主要包括分發(fā)器、表決器和調(diào)度器。分發(fā)器負責對輸入擬態(tài)界的數(shù)據(jù)信息進行分發(fā)處理，為保證分發(fā)和裁決的數(shù)據(jù)包的有序性，需要在每一個請求報文中添加標簽信息，使每個擬態(tài)組件模塊可識別出請求的序列，同時，需要考慮多個執(zhí)行體并發(fā)執(zhí)行時的同步問題；表決器負責對執(zhí)行體調(diào)用后的結(jié)果進行歸一化處理和正確性抉擇，同時負責執(zhí)行體異常判斷和異常反饋，其依賴的表決算法的設(shè)計和選取決定了擬態(tài)系統(tǒng)輸出的正確性；調(diào)度器是擬態(tài)防御的核心模塊，負責綜合表決器的反饋信息和調(diào)度算法執(zhí)行信息，控制執(zhí)行體的調(diào)度上下線，并將相應(yīng)執(zhí)行體信息重新反饋至分發(fā)器。

3.3.3 異構(gòu)執(zhí)行體選取

互聯(lián)網(wǎng)應(yīng)用可在數(shù)據(jù)庫管理軟件、中間件、執(zhí)行腳本及操作系統(tǒng)4層實現(xiàn)擬態(tài)改造，可用于實現(xiàn)異構(gòu)的執(zhí)行體集如表3所示。

表3 擬態(tài)執(zhí)行體集

對系統(tǒng)進行擬態(tài)改造可以極大地提升系統(tǒng)的內(nèi)生安全性，但同時也要考慮擬態(tài)改造對實際應(yīng)用系統(tǒng)的性能、吞吐量等方面的影響，需要分析具體情況，制定相應(yīng)改造措施。

4 結(jié)束語

鐵路信息系統(tǒng)的網(wǎng)絡(luò)防御體系不斷完善，逐步形成分類分級的網(wǎng)絡(luò)安全防護系統(tǒng)，針對大規(guī)模網(wǎng)絡(luò)攻擊已有較好的防御手段。但網(wǎng)絡(luò)攻擊手段仍在不斷更新，需要不斷學習新的防御思想，改進、完善現(xiàn)有的防御體系，從而更好地應(yīng)對外部網(wǎng)絡(luò)攻擊。本文對擬態(tài)防御技術(shù)的基本原理和核心算法進行了簡要介紹，分析了鐵路系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)狀，指出進行擬態(tài)改造的必要性，探討了鐵路網(wǎng)絡(luò)擬態(tài)改造應(yīng)用的基本思路，對提升鐵路主動防御能力具有參考意義。