鐵路局集團(tuán)公司客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的研究

宋錦平

（中國鐵路太原局集團(tuán)有限公司 信息技術(shù)所，太原 030013）

中國鐵路客票發(fā)售和預(yù)訂系統(tǒng)（簡稱：鐵路客票系統(tǒng)）是承載我國鐵路運(yùn)輸服務(wù)的國家關(guān)鍵基礎(chǔ)設(shè)施，主要包括2個主中心、18個地區(qū)中心，并覆蓋數(shù)千個車站[1]。各個地區(qū)中心承上啟下，通過鐵路數(shù)據(jù)網(wǎng)向主中心核心交換機(jī)上傳數(shù)據(jù)；通過鐵路數(shù)據(jù)網(wǎng)或?qū)＞€下連各車站系統(tǒng)，形成了國鐵集團(tuán)級、鐵路局集團(tuán)公司級、車站級的三級架構(gòu)。鐵路客票系統(tǒng)的信息安全關(guān)乎國家安全、社會秩序和公眾利益，因此，鐵路客票系統(tǒng)的安全風(fēng)險控制工作變得至關(guān)重要[2-4]。隨著網(wǎng)絡(luò)安全等級保護(hù)相關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)的頒布與實施[5]，鐵路客票系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷更新和完善，并且，更需要實時掌握其安全狀態(tài)，評估網(wǎng)絡(luò)安全事件發(fā)生的概率與風(fēng)險，預(yù)測網(wǎng)絡(luò)安全態(tài)勢，輔助網(wǎng)絡(luò)安全管理員制定針對性的防范措施，保障鐵路客票系統(tǒng)安全可靠、穩(wěn)定運(yùn)行。

網(wǎng)絡(luò)安全態(tài)勢感知能夠為管理員和決策者提供全面、直觀的網(wǎng)絡(luò)安全狀況，是網(wǎng)絡(luò)安全領(lǐng)域的重要安全風(fēng)險控制技術(shù)[6-7]。針對鐵路局集團(tuán)公司客票發(fā)售和預(yù)訂系統(tǒng)（簡稱：鐵路局客票系統(tǒng)）難以全面把握網(wǎng)絡(luò)安全態(tài)勢問題，本文將網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用于鐵路局客票系統(tǒng)，綜合利用大數(shù)據(jù)分析、人工智能、可視化等技術(shù)對其網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行集中采集和特征提取，對其安全狀態(tài)進(jìn)行評分評級，從而實時感知可能存在的安全威脅，預(yù)測鐵路局客票系統(tǒng)的安全態(tài)勢。

1 鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知

1.1 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢感知就是通過監(jiān)測網(wǎng)絡(luò)中數(shù)據(jù)的變化，挖掘數(shù)據(jù)中隱藏的信息，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題。態(tài)勢感知關(guān)鍵技術(shù)如下。

（1）數(shù)據(jù)采集。采集包括手機(jī)的網(wǎng)絡(luò)流量、告警日志、設(shè)備參數(shù)等信息。

（2）特征處理。需要對大量的異構(gòu)數(shù)據(jù)和不完整數(shù)據(jù)進(jìn)行篩選、歸并、補(bǔ)全，再進(jìn)行特征處理，選擇合適的特征作為態(tài)勢感知的基礎(chǔ)數(shù)據(jù)。

（3）態(tài)勢評估。利用統(tǒng)計分析、機(jī)器學(xué)習(xí)或深度學(xué)習(xí)的方法，對當(dāng)前網(wǎng)絡(luò)狀態(tài)進(jìn)行評估。

（4）態(tài)勢預(yù)測。與態(tài)勢評估類似，對短時間內(nèi)網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行預(yù)測。

（5）可視化呈現(xiàn)。將評估和預(yù)測的結(jié)果可視化地展現(xiàn)出來，為技術(shù)人員維護(hù)網(wǎng)絡(luò)安全提供參考。

鐵路局客票系統(tǒng)具有數(shù)據(jù)量大、高度異構(gòu)性等特征[8-9]。從業(yè)務(wù)上看，鐵路局客票系統(tǒng)以票務(wù)業(yè)務(wù)為核心，針對不同的旅客，提供標(biāo)準(zhǔn)化與個性化兼?zhèn)涞姆?wù)，以及多種票務(wù)延伸服務(wù)和相應(yīng)的管理支撐[10]。鐵路客票系統(tǒng)運(yùn)行過程中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)和日志數(shù)據(jù)及設(shè)備基礎(chǔ)信息是網(wǎng)絡(luò)安全態(tài)勢感知的數(shù)據(jù)來源。

1.2 鐵路局客票系統(tǒng)態(tài)勢感知可視化

鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知可視化，就是以購票業(yè)務(wù)為核心，展示當(dāng)前網(wǎng)絡(luò)態(tài)勢對購票業(yè)務(wù)的影響，并對影響程度進(jìn)行可視化標(biāo)識[11-13]，為鐵路局客票系統(tǒng)安全數(shù)據(jù)賦予表現(xiàn)力，使安全管理員和決策者能夠從視覺上感受到當(dāng)前鐵路局客票系統(tǒng)的安全狀態(tài)，為鐵路運(yùn)營管理、安全運(yùn)營維護(hù)（簡稱：運(yùn)維）等提供依據(jù)。

1.2.1 態(tài)勢感知可視化的兩個層面

1.6 繳費(fèi)申報。這個申報主要是指依照每個企業(yè)的職工單位繳納費(fèi)用基數(shù)和個人的繳納費(fèi)用技術(shù)來計算這個月份應(yīng)該繳納的社會保險費(fèi)用。每個單位都應(yīng)該在計算完畢，經(jīng)過本人簽字之后進(jìn)行上報。

鐵路局客票系統(tǒng)承載各種客票核心業(yè)務(wù)、鐵路局集團(tuán)公司個性化業(yè)務(wù)，以及席位存根的數(shù)據(jù)服務(wù)，起到承上啟下的作用。根據(jù)其業(yè)務(wù)架構(gòu)，構(gòu)建購票業(yè)務(wù)服務(wù)拓?fù)洹①徠睒I(yè)務(wù)服務(wù)拓?fù)溆成涞借F路局客票系統(tǒng)網(wǎng)絡(luò)拓?fù)?，這樣，在網(wǎng)絡(luò)層面暴露的網(wǎng)絡(luò)攻擊行為就可以直接映射到對應(yīng)的服務(wù)，幫助技術(shù)人員及時了解網(wǎng)絡(luò)攻擊可能會影響的服務(wù)，以及造成影響的程度。通過業(yè)務(wù)拓?fù)浜途W(wǎng)絡(luò)拓?fù)涞年P(guān)聯(lián)映射，從兩個層面進(jìn)行可視化網(wǎng)絡(luò)態(tài)勢感知。

（1）網(wǎng)絡(luò)層面

在網(wǎng)絡(luò)層面看網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)流等信息，并利用態(tài)勢評估和預(yù)測技術(shù)得到當(dāng)前的網(wǎng)絡(luò)態(tài)勢，對可能存在的網(wǎng)絡(luò)攻擊進(jìn)行識別和溯源，將這些攻擊信息可視化地展現(xiàn)出來。

（2）業(yè)務(wù)層面

利用業(yè)務(wù)拓?fù)浜途W(wǎng)絡(luò)拓?fù)溟g的映射，將鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全程度映射到業(yè)務(wù)拓?fù)?，并對每一個服務(wù)的安全程度進(jìn)行評級和標(biāo)識。當(dāng)某一區(qū)域的網(wǎng)絡(luò)受到攻擊時，受該網(wǎng)絡(luò)影響的所有服務(wù)都將在業(yè)務(wù)拓?fù)鋱D中顯現(xiàn)出來，并根據(jù)影響程度作不同的區(qū)分。這樣，決策者就可以根據(jù)這些信息，調(diào)整服務(wù)策略并安排相關(guān)人員解決問題。

1.2.2 鐵路局客票系統(tǒng)安全感知架構(gòu)

圖1 鐵路局客票系統(tǒng)安全態(tài)勢感知架構(gòu)

2 鐵路局客票系統(tǒng)網(wǎng)絡(luò)態(tài)勢評估與預(yù)測

2.1 數(shù)據(jù)采集與特征提取

本文提出的態(tài)勢感知采用多類型探針組合的方式，對鐵路局客票系統(tǒng)內(nèi)各類軟/硬件資產(chǎn)進(jìn)行數(shù)據(jù)采集。采集的對象包括但不限于車站窗口終端、自動售/檢票機(jī)、互聯(lián)網(wǎng)代售點，各類服務(wù)器與路由交換系統(tǒng)，以及網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)設(shè)備等。

2.1.1 采集的數(shù)據(jù)內(nèi)容

（1）流量數(shù)據(jù)

除了通用的網(wǎng)絡(luò)協(xié)議外，鐵路局客票系統(tǒng)中還存在工控相關(guān)控制協(xié)議及私有協(xié)議，利用鐵路局客票系統(tǒng)安全態(tài)勢感知流量探針提取旅客在購票過程中產(chǎn)生的網(wǎng)絡(luò)報文數(shù)據(jù)，獲取重要網(wǎng)絡(luò)鏈路的流量狀況，并進(jìn)行病毒檢測和入侵檢測。

（2）系統(tǒng)和業(yè)務(wù)數(shù)據(jù)

鐵路局客票系統(tǒng)在大量的主機(jī)設(shè)備中部署了復(fù)雜的業(yè)務(wù)應(yīng)用。通過讀取服務(wù)器、售/檢票機(jī)等主機(jī)及數(shù)據(jù)庫的操作日志、系統(tǒng)內(nèi)設(shè)備告警信息、錯誤信息，實現(xiàn)系統(tǒng)數(shù)據(jù)的采集。鐵路局客票系統(tǒng)資產(chǎn)管理以業(yè)務(wù)為引導(dǎo)，記錄每一個業(yè)務(wù)行為所對應(yīng)的服務(wù)、軟件、硬件和人員。建立資產(chǎn)畫像，畫像信息包括但不限于以下內(nèi)容：設(shè)備屬性、生產(chǎn)廠商、設(shè)備型號、操作系統(tǒng)、已安裝軟件、主要服務(wù)端口號、資產(chǎn)位置、設(shè)備溫度等。記錄所有業(yè)務(wù)流程及其關(guān)聯(lián)資產(chǎn)，根據(jù)企業(yè)的業(yè)務(wù)構(gòu)建個性化的業(yè)務(wù)數(shù)據(jù)庫，并建立業(yè)務(wù)拓?fù)渑c網(wǎng)絡(luò)拓?fù)涞挠成?，得到網(wǎng)絡(luò)流程白名單。拒絕并記錄所有不符合白名單的網(wǎng)絡(luò)流程，達(dá)到防御未知攻擊和業(yè)務(wù)態(tài)勢感知的目的。鐵路局客票系統(tǒng)業(yè)務(wù)行為的對應(yīng)關(guān)系如圖2所示。

2.1.2 特征提取

鐵路局客票系統(tǒng)中大量有用的信息包含在多元異構(gòu)的原始數(shù)據(jù)中，難以直接用于網(wǎng)絡(luò)態(tài)勢評估與預(yù)測，需要先對數(shù)據(jù)進(jìn)行特征標(biāo)定，特征選取的合理性決定了網(wǎng)絡(luò)態(tài)勢評估與預(yù)測的準(zhǔn)確性。本文結(jié)合鐵路局客票系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，參考CICIDS2017網(wǎng)絡(luò)安全公開數(shù)據(jù)集對原始數(shù)據(jù)進(jìn)行了特征提取，選取的特征包括：物理層和應(yīng)用層安全相關(guān)屬性、網(wǎng)絡(luò)連接的基本屬性、時間尺度的數(shù)據(jù)統(tǒng)計特征、空間尺度的數(shù)據(jù)統(tǒng)計特征及正規(guī)業(yè)務(wù)流程等。

2.2 態(tài)勢評估

安全態(tài)勢評估是鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知中至關(guān)重要的一環(huán)，準(zhǔn)確地評估當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢，可以幫助管理員和決策者實時掌握網(wǎng)絡(luò)運(yùn)行狀況。利用安全態(tài)勢評估算法，從網(wǎng)絡(luò)流量、系統(tǒng)日志和業(yè)務(wù)流程3個角度對鐵路局客票系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全評估，以此來描述當(dāng)前網(wǎng)絡(luò)的安全等級，并將結(jié)果提交給網(wǎng)絡(luò)管理人員，輔助網(wǎng)絡(luò)管理人員快速、準(zhǔn)確地做出決策。

許多機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的方法都可應(yīng)用于安全態(tài)勢的評估。由于單一算法的評估存在不穩(wěn)定性，所以，本文采用隨機(jī)森林、權(quán)重分析、貝葉斯網(wǎng)絡(luò)、D-S證據(jù)理論、BP神經(jīng)網(wǎng)絡(luò)等[14-15]方法同時進(jìn)行評估，統(tǒng)計評估結(jié)果，取其平均值，作為最終的鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果。由于網(wǎng)絡(luò)安全態(tài)勢評估旨在為鐵路局客票系統(tǒng)的安全性做出等級評定，對具體得分的精確度要求不高，通過多模型結(jié)合的形式，可以在犧牲一定的得分準(zhǔn)確度的前提下降低評估結(jié)果的方差，提高模型穩(wěn)定性。

2.3 態(tài)勢預(yù)測

鐵路局客票系統(tǒng)安全態(tài)勢預(yù)測的基本過程是參考該系統(tǒng)歷史和當(dāng)前態(tài)勢信息，利用合適的模型、算法，定性或定量預(yù)測可預(yù)見的未來一段時間內(nèi)網(wǎng)絡(luò)安全態(tài)勢的發(fā)展變化趨勢。需要對網(wǎng)絡(luò)安全態(tài)勢做出定性或定量的推斷，并提醒管理部門和決策者及時做出調(diào)控。本文選用馬爾科夫模型和長短期記憶網(wǎng)絡(luò)對鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測。

3 試用效果分析

將本文提出的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)試用于中國鐵路太原局集團(tuán)有限公司客票系統(tǒng)（簡稱：太原局客票系統(tǒng)），試用結(jié)果表明，該技術(shù)能夠提升網(wǎng)絡(luò)安全管理水平。在資產(chǎn)管理方面，可以更全面地了解客票業(yè)務(wù)與物理設(shè)施的關(guān)聯(lián)，實現(xiàn)資產(chǎn)的統(tǒng)籌管理和網(wǎng)絡(luò)安全問題可溯源；在網(wǎng)絡(luò)安全態(tài)勢方面，利用機(jī)器學(xué)習(xí)和深習(xí)度學(xué)習(xí)的手段，準(zhǔn)確評估和預(yù)測太原局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢，及時提醒網(wǎng)絡(luò)安全人員做好防護(hù)工作，避免惡意攻擊造成的損失；在可視化方面，實現(xiàn)了業(yè)務(wù)安全可視化和網(wǎng)絡(luò)安全可視化相結(jié)合。業(yè)務(wù)安全可視化為管理層提供客票業(yè)務(wù)的安全態(tài)勢，幫助管理層在宏觀上做出決策，防患于未然；網(wǎng)絡(luò)安全可視化為技術(shù)人員提供太原局客票系統(tǒng)各網(wǎng)絡(luò)單元的安全態(tài)勢，輔助技術(shù)人員迅速采取措施，解決安全問題。

4 結(jié)束語

隨著國家網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)法律法規(guī)、政策規(guī)范、技術(shù)標(biāo)準(zhǔn)的頒布與實施，對鐵路局客票系統(tǒng)安全保障工作提出了更高的要求。鐵路局客票系統(tǒng)在建設(shè)、運(yùn)維和管理過程中，產(chǎn)生并積累了大量的數(shù)據(jù)，本文結(jié)合鐵路局客票系統(tǒng)的特性，研究該系統(tǒng)數(shù)據(jù)的采集與預(yù)處理方法，給出了數(shù)據(jù)特征選取方案；結(jié)合鐵路局客票系統(tǒng)購票業(yè)務(wù)，提出以購票業(yè)務(wù)為核心，從業(yè)務(wù)和網(wǎng)絡(luò)兩個層面實現(xiàn)鐵路局客票系統(tǒng)安全態(tài)勢感知可視化的方法；提出了多方案協(xié)同的態(tài)勢感知評估和預(yù)測方案。本文研究的態(tài)勢感知技術(shù)已試用于太原局客票系統(tǒng)，可為鐵路局客票系統(tǒng)安全防護(hù)提供參考。