董 鵬，馬小寧，高明星

（1.中國(guó)鐵路信息科技有限責(zé)任公司， 北京 100038；2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 鐵路大數(shù)據(jù)研究與應(yīng)用創(chuàng)新中心，北京 100081）

態(tài)勢(shì)感知[1]源于航天領(lǐng)域?qū)θ藶橐蛩氐难芯?，網(wǎng)絡(luò)安全態(tài)勢(shì)感知把握網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全狀況及未來(lái)趨勢(shì)，提供及時(shí)、準(zhǔn)確的決策依據(jù)，將風(fēng)險(xiǎn)和損失降至最低[2]。

態(tài)勢(shì)感知通過(guò)數(shù)據(jù)挖掘可將安全數(shù)據(jù)轉(zhuǎn)化為威脅情報(bào)，并建立模型，實(shí)現(xiàn)信息可視化展示[3]。國(guó)內(nèi)研究中，有運(yùn)用大數(shù)據(jù)分析工具構(gòu)建攻擊分析模型，借助機(jī)器學(xué)習(xí)等技術(shù)實(shí)現(xiàn)相關(guān)算法模型的改進(jìn)[4]；通過(guò)態(tài)勢(shì)感知和預(yù)警實(shí)現(xiàn)對(duì)安全態(tài)勢(shì)的分析、預(yù)測(cè)及總結(jié)[5]。國(guó)外有研究基于實(shí)時(shí)分析和數(shù)據(jù)流協(xié)議，提出實(shí)時(shí)態(tài)勢(shì)感知分析模型[6]。

本文針對(duì)鐵路信息網(wǎng)絡(luò)的特點(diǎn)，提出適合鐵路行業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)解決方案，并對(duì)其進(jìn)行測(cè)試驗(yàn)證。

1 鐵路網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的核心需求

安全感知態(tài)勢(shì)的核心需求可以從技術(shù)、管理、能力3 個(gè)方面進(jìn)行分析。

1.1 技術(shù)層面

隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等新技術(shù)的大規(guī)模應(yīng)用，要求態(tài)勢(shì)感知系統(tǒng)能夠?qū)Σ煌瑪?shù)據(jù)源和數(shù)據(jù)格式進(jìn)行統(tǒng)一快速處理。

1.2 管理層面

當(dāng)前，網(wǎng)絡(luò)安全突發(fā)事件呈現(xiàn)出涉及領(lǐng)域多元化的特點(diǎn)，要求態(tài)勢(shì)感知平臺(tái)能夠?yàn)殍F路信息網(wǎng)絡(luò)構(gòu)建自上而下的事前安全監(jiān)測(cè)、通報(bào)預(yù)警，事中應(yīng)急處置、態(tài)勢(shì)分析，事后責(zé)任追溯、督促整改的聯(lián)動(dòng)機(jī)制。

1.3 保護(hù)能力

鑒于安全管控手段及威脅情報(bào)尚不充足，基礎(chǔ)數(shù)據(jù)更新不及時(shí)，發(fā)生事件后難以追蹤溯源，態(tài)勢(shì)感知平臺(tái)應(yīng)滿足全面覆蓋業(yè)務(wù)對(duì)安全預(yù)警、處置的要求。

2 鐵路網(wǎng)絡(luò)安全感知平臺(tái)架構(gòu)設(shè)計(jì)

2.1 架構(gòu)設(shè)計(jì)

根據(jù)鐵路業(yè)務(wù)網(wǎng)絡(luò)的特點(diǎn)，橫向上涵蓋互聯(lián)網(wǎng)、外網(wǎng)及內(nèi)網(wǎng)，縱向上覆蓋國(guó)鐵集團(tuán)、鐵路局及站段三級(jí)，形成縱深威脅感知架構(gòu)[7]。

該平臺(tái)設(shè)計(jì)需要實(shí)現(xiàn)“多級(jí)部署、統(tǒng)一管理”的整體架構(gòu)[8]，邏輯上劃分為數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)挖掘及業(yè)務(wù)應(yīng)用5 個(gè)層級(jí)。根據(jù)鐵路網(wǎng)絡(luò)的具體業(yè)務(wù)特點(diǎn)，宏觀上可將整個(gè)架構(gòu)劃分為數(shù)據(jù)采集和安全態(tài)勢(shì)感知平臺(tái)，其整體架構(gòu)如圖1 所示。

安全態(tài)勢(shì)感知平臺(tái)具有多級(jí)級(jí)聯(lián)設(shè)計(jì)，由中國(guó)國(guó)家鐵路集團(tuán)有限公司級(jí)（簡(jiǎn)稱：國(guó)鐵集團(tuán)）與鐵路局集團(tuán)有限公司（簡(jiǎn)稱：鐵路局）級(jí)兩級(jí)組成。國(guó)鐵集團(tuán)級(jí)安全態(tài)勢(shì)感知平臺(tái)包括針對(duì)外部服務(wù)網(wǎng)的安全感知平臺(tái)子系統(tǒng)和針對(duì)內(nèi)部服務(wù)網(wǎng)的安全態(tài)勢(shì)感知平臺(tái)兩部分。其中，外部服務(wù)網(wǎng)的安全態(tài)勢(shì)感知平臺(tái)子系統(tǒng)主要承擔(dān)對(duì)外部服務(wù)網(wǎng)的數(shù)據(jù)采集、威脅分析、數(shù)據(jù)存儲(chǔ)及威脅情報(bào)同步的功能；內(nèi)部服務(wù)網(wǎng)的安全態(tài)勢(shì)感知平臺(tái)作為全網(wǎng)態(tài)勢(shì)感知的核心，不僅對(duì)國(guó)鐵集團(tuán)級(jí)的內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)的相關(guān)數(shù)據(jù)進(jìn)行采集、威脅分析、數(shù)據(jù)存儲(chǔ)，還可同步外部服務(wù)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)子系統(tǒng)的安全威脅數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)，及各鐵路局級(jí)安全態(tài)勢(shì)感知平臺(tái)的安全威脅數(shù)據(jù)。最終，由國(guó)鐵集團(tuán)內(nèi)部服務(wù)網(wǎng)的安全態(tài)勢(shì)感知平臺(tái)對(duì)全網(wǎng)安全態(tài)勢(shì)進(jìn)行展現(xiàn)、預(yù)測(cè)和分析。

鐵路局級(jí)安全態(tài)勢(shì)感知平臺(tái)主要對(duì)鐵路局級(jí)、站段級(jí)的內(nèi)部服務(wù)網(wǎng)及安全生產(chǎn)網(wǎng)的數(shù)據(jù)進(jìn)行采集、威脅分析和數(shù)據(jù)存儲(chǔ)，同時(shí)將安全威脅分析結(jié)果同步至國(guó)鐵集團(tuán)態(tài)勢(shì)感知平臺(tái)；此外，還提供數(shù)據(jù)查詢接口，支持國(guó)鐵集團(tuán)安全態(tài)勢(shì)感知平臺(tái)對(duì)鐵路局級(jí)安全態(tài)勢(shì)感知平臺(tái)的原始數(shù)據(jù)進(jìn)行查詢。

在數(shù)據(jù)采集方面，主要采集安全設(shè)備日志、全流量數(shù)據(jù)、安全檢測(cè)數(shù)據(jù)及其它數(shù)據(jù)（包括且不限于資產(chǎn)數(shù)據(jù)、人員數(shù)據(jù)等）；在站段級(jí)主要是終端設(shè)備，其數(shù)據(jù)采集主要是終端安全防護(hù)軟件的相關(guān)日志數(shù)據(jù)。

3.2 技術(shù)架構(gòu)設(shè)計(jì)

安全態(tài)勢(shì)感知平臺(tái)采用成熟、先進(jìn)的數(shù)據(jù)存儲(chǔ)和處理技術(shù)，具有平臺(tái)化架構(gòu)設(shè)計(jì)，基于云計(jì)算、大數(shù)據(jù)技術(shù)等開(kāi)放技術(shù)平臺(tái)構(gòu)建。其技術(shù)架構(gòu)如圖2 所示。

安全態(tài)勢(shì)感知平臺(tái)主要包含數(shù)據(jù)源采集層、數(shù)據(jù)處理層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)挖掘?qū)?、業(yè)務(wù)應(yīng)用層。數(shù)據(jù)源采集層主要包含數(shù)據(jù)源采集以及與各數(shù)據(jù)源的數(shù)據(jù)接口，實(shí)現(xiàn)采集數(shù)據(jù)的輸入及情報(bào)數(shù)據(jù)的對(duì)接；數(shù)據(jù)處理層對(duì)采集到的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)歸一化、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)共享、數(shù)據(jù)分發(fā)、去重合并、統(tǒng)計(jì)加速等處理，最后存儲(chǔ)至數(shù)據(jù)存儲(chǔ)層中對(duì)應(yīng)的數(shù)據(jù)庫(kù)中，并建立數(shù)據(jù)全文索引[9]。數(shù)據(jù)挖掘?qū)又饕孟嚓P(guān)的算法建立計(jì)算模型，對(duì)數(shù)據(jù)進(jìn)行深度分析。最后，由業(yè)務(wù)應(yīng)用層的相關(guān)技術(shù)引擎支撐前臺(tái)業(yè)務(wù)應(yīng)用的實(shí)現(xiàn)，最終輸出各項(xiàng)需求數(shù)據(jù)，通過(guò)前臺(tái)頁(yè)面進(jìn)行數(shù)據(jù)展現(xiàn)及人機(jī)交互。

3 鐵路網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)關(guān)鍵技術(shù)

3.1 實(shí)時(shí)多路徑異步高通量數(shù)據(jù)采集技術(shù)

態(tài)勢(shì)感知系統(tǒng)對(duì)鐵路高帶寬的網(wǎng)絡(luò)出入口進(jìn)行高速并行數(shù)據(jù)采集，采用多個(gè)網(wǎng)絡(luò)分流器作為專用分流硬件，利用分流器的高吞吐、低時(shí)延、可以分流協(xié)議的特性，在多核硬件系統(tǒng)上實(shí)現(xiàn)較強(qiáng)的頭部比較能力；采用單匹配算法和多匹配算法混合的方式進(jìn)一步提升分流采集的性能；利用不同設(shè)備間的時(shí)鐘同步，對(duì)混合后的數(shù)據(jù)按時(shí)間進(jìn)行排序，確保系統(tǒng)數(shù)據(jù)的完整性。按照業(yè)務(wù)劃分后的數(shù)據(jù)，其處理速度會(huì)有所降低，可配置多個(gè)采集探針系統(tǒng)進(jìn)行高速采集。按照不同協(xié)議區(qū)分的采集探針因處理協(xié)議的不同而具有不同性能，為此需要配套專用事件共享探針系統(tǒng)，按時(shí)間、訪問(wèn)目的、協(xié)議類型等進(jìn)行歸類處理。此外，不同數(shù)據(jù)源的數(shù)據(jù)亦可參照此規(guī)則進(jìn)行匹配和分類存儲(chǔ)。

3.2 基于人工智能的海量多態(tài)數(shù)據(jù)分析合成技術(shù)

大數(shù)據(jù)系統(tǒng)是態(tài)勢(shì)感知平臺(tái)的基礎(chǔ)，其能力體現(xiàn)在數(shù)據(jù)分析上。數(shù)據(jù)分析分為兩部分：

（1）實(shí)現(xiàn)對(duì)多源異構(gòu)數(shù)據(jù)的預(yù)處理、轉(zhuǎn)換、標(biāo)準(zhǔn)化，將不同數(shù)據(jù)格式轉(zhuǎn)換成標(biāo)準(zhǔn)格式，將相同含義的數(shù)據(jù)進(jìn)行歸并，對(duì)異常數(shù)據(jù)進(jìn)行清洗和甄別。

（2）完成數(shù)據(jù)合成，合成工作在高速內(nèi)存數(shù)據(jù)庫(kù)中完成，基于既有規(guī)則可以快速形成標(biāo)準(zhǔn)事件信息，或者生成非標(biāo)準(zhǔn)事件的異常信息跟蹤信息。合成后的數(shù)據(jù)記錄具有一個(gè)獨(dú)立事件元的描述能力，通常狀況下，該記錄單元描述事件發(fā)生時(shí)間、發(fā)起用戶信息、發(fā)生地點(diǎn)、發(fā)起地址信息、目標(biāo)地址信息、時(shí)間類型、動(dòng)作記錄等內(nèi)容。所采集數(shù)據(jù)的價(jià)值會(huì)隨著時(shí)間的流逝而降低，智能數(shù)據(jù)分析系統(tǒng)的分析速度決定了態(tài)勢(shì)感知平臺(tái)發(fā)現(xiàn)未知威脅的能力。

3.3 覆蓋全業(yè)務(wù)邏輯的綜合評(píng)估及預(yù)警技術(shù)

單純通過(guò)特征關(guān)聯(lián)進(jìn)行合成分析，所生成的預(yù)警信息存在誤報(bào)的可能。為有效地排除誤報(bào)告警，需要從業(yè)務(wù)邏輯角度評(píng)估事件是否構(gòu)成威脅。將可能的惡意事件簡(jiǎn)單分類為異常、攻擊、錯(cuò)誤；異常是應(yīng)用在開(kāi)發(fā)中使用了可能產(chǎn)生威脅的指令或者方法，或應(yīng)用開(kāi)發(fā)人員在代碼中使用了和攻擊類似的訪問(wèn)方法；攻擊是經(jīng)過(guò)應(yīng)用驗(yàn)證，某事件并不是應(yīng)用正常訪問(wèn)過(guò)程中會(huì)出現(xiàn)的指令或方法；錯(cuò)誤用于歸類那些由于軟件本身異常而造成的事件預(yù)警。

從整體和業(yè)務(wù)的視角進(jìn)行綜合評(píng)估，才能快速得出真實(shí)、完整的結(jié)論。綜合評(píng)估系統(tǒng)結(jié)合專家分析，通過(guò)明確攻擊者及其使用的攻擊手法、攻擊途徑、攻擊資源、攻擊位置、攻擊后果等，可進(jìn)行追蹤溯源和拓展分析。

3.4 基于深度威脅分析的多維態(tài)勢(shì)可視化技術(shù)

可視化技術(shù)是態(tài)勢(shì)感知的展示技術(shù)。在屏幕上展示鐵路信息網(wǎng)絡(luò)復(fù)雜的態(tài)勢(shì)，僅靠3 個(gè)維度是不夠的。很多威脅只有通過(guò)時(shí)間、空間、邏輯關(guān)系等多維度統(tǒng)一在同一界面上展示，才能揭示鐵路網(wǎng)絡(luò)的真實(shí)安全態(tài)勢(shì)。多維度表達(dá)也從另一個(gè)角度表明，網(wǎng)絡(luò)安全態(tài)勢(shì)不同于傳統(tǒng)態(tài)勢(shì)概念，很難在同一屏幕上一次性充分展示。

以網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測(cè)為驅(qū)動(dòng)，對(duì)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚和融合，形成針對(duì)人、物、地、事、關(guān)系的多維視圖[10]，從時(shí)間、空間等不同視角感知網(wǎng)絡(luò)安全態(tài)勢(shì)。

3.5 多源基礎(chǔ)信息完整性保持技術(shù)

基礎(chǔ)信息數(shù)據(jù)是管理的基礎(chǔ)，準(zhǔn)確的基礎(chǔ)信息是態(tài)勢(shì)感知系統(tǒng)預(yù)警正確的重要保證?；A(chǔ)信息包括資產(chǎn)數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)、漏洞掃描數(shù)據(jù)等，這些數(shù)據(jù)是鐵路網(wǎng)絡(luò)安全態(tài)勢(shì)平臺(tái)正常工作的重要輸入，而這些動(dòng)態(tài)的數(shù)據(jù)變化頻率也非常快。在部署態(tài)勢(shì)感知平臺(tái)時(shí)，需要利用各個(gè)采集點(diǎn)上的采集設(shè)備對(duì)網(wǎng)內(nèi)資產(chǎn)進(jìn)行連續(xù)掃描；利用情報(bào)系統(tǒng)及時(shí)獲取各個(gè)情報(bào)源的數(shù)據(jù)；利用漏洞掃描系統(tǒng)，對(duì)網(wǎng)內(nèi)的漏洞數(shù)據(jù)進(jìn)行實(shí)時(shí)同步和更新。

基礎(chǔ)信息數(shù)的同步數(shù)據(jù)量較小，采用較低端的硬件設(shè)備即可滿足要求，也可與探針共用設(shè)備。

3.6 大數(shù)據(jù)高速全文檢索技術(shù)

大數(shù)據(jù)高速全文檢索技術(shù)是支撐態(tài)勢(shì)感知系統(tǒng)的關(guān)鍵技術(shù)之一，是傳統(tǒng)態(tài)勢(shì)感知預(yù)警依賴的核心技術(shù)，提供了利用既有數(shù)據(jù)進(jìn)行分析預(yù)測(cè)的手段。

利用高速全文檢索技術(shù)，可對(duì)歷史數(shù)據(jù)進(jìn)行有效分析，并對(duì)歷史數(shù)據(jù)和當(dāng)前數(shù)據(jù)進(jìn)行疊加分析，才能實(shí)現(xiàn)準(zhǔn)確預(yù)測(cè)，增強(qiáng)態(tài)勢(shì)感知系統(tǒng)的防護(hù)作用。

4 測(cè)試驗(yàn)證環(huán)境

4.1 測(cè)試驗(yàn)證環(huán)境

為研究和驗(yàn)證鐵路網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)解決方案的關(guān)鍵技術(shù)，在測(cè)試演練環(huán)境中部署多臺(tái)分流器、多臺(tái)APT 檢測(cè)設(shè)備、多臺(tái)DPI 檢測(cè)設(shè)備、3 套日志審計(jì)系統(tǒng)、數(shù)套網(wǎng)站分析系統(tǒng)、數(shù)套主機(jī)防護(hù)、2 套大數(shù)據(jù)系統(tǒng)、2 套大數(shù)據(jù)分析系統(tǒng)，作為整個(gè)研究測(cè)試平臺(tái)的基礎(chǔ)設(shè)備；這部分設(shè)備主要部署于鐵路信息網(wǎng)絡(luò)縱深防御下的各不同層級(jí)位置，具體位置如圖3所示。

采用腳本模擬、人為滲透、攻防演習(xí)等幾種方法對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊測(cè)試。其中，腳本模擬將已知惡意攻擊作為實(shí)例，對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊，檢查態(tài)勢(shì)感知平臺(tái)的檢測(cè)和預(yù)警能力；人為滲透利用技術(shù)人員的經(jīng)驗(yàn)和智慧，對(duì)目標(biāo)系統(tǒng)進(jìn)行滲透攻擊，檢驗(yàn)態(tài)勢(shì)感知平臺(tái)的監(jiān)測(cè)和預(yù)警能力；攻防演習(xí)利用第三方攻擊隊(duì)伍，對(duì)目標(biāo)系統(tǒng)進(jìn)行各種已知或未知攻擊，以驗(yàn)證態(tài)勢(shì)感知平臺(tái)的安全能力。

4.2 測(cè)試驗(yàn)證結(jié)果

態(tài)勢(shì)感知平臺(tái)已持續(xù)運(yùn)行1 個(gè)月，累計(jì)監(jiān)測(cè)發(fā)現(xiàn)來(lái)自外部網(wǎng)絡(luò)攻擊千萬(wàn)余次，持續(xù)跟蹤未知威脅和零日（“0 day”）漏洞數(shù)十個(gè)，完成追蹤溯源200 余起，及時(shí)發(fā)現(xiàn)并消除網(wǎng)絡(luò)安全隱患500 余起。

5 結(jié)束語(yǔ)

面對(duì)復(fù)雜的鐵路網(wǎng)絡(luò)環(huán)境，秉承“以資產(chǎn)管理為基礎(chǔ)，以風(fēng)險(xiǎn)管理為核心”[11]的理念，通過(guò)定制和組合多種設(shè)備，構(gòu)建適用于鐵路信息網(wǎng)絡(luò)的安全態(tài)勢(shì)感知平臺(tái)，其特征符合鐵路信息網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控的要求；通過(guò)多種技術(shù)的融合，可在異步模式下基于多數(shù)據(jù)源實(shí)現(xiàn)實(shí)時(shí)威脅分析和預(yù)警，初步取得一定應(yīng)用效果。目前，本方案對(duì)于態(tài)勢(shì)感知平臺(tái)的預(yù)測(cè)能力提升尚不明顯，需要進(jìn)一步研究其預(yù)測(cè)能力，以提升鐵路網(wǎng)絡(luò)安全態(tài)勢(shì)平臺(tái)的綜合能力。