宋錦平

（中國(guó)鐵路太原局集團(tuán)有限公司 信息技術(shù)所，太原 030013）

中國(guó)鐵路客票發(fā)售和預(yù)訂系統(tǒng)（簡(jiǎn)稱：鐵路客票系統(tǒng)）是承載我國(guó)鐵路運(yùn)輸服務(wù)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，主要包括2個(gè)主中心、18個(gè)地區(qū)中心，并覆蓋數(shù)千個(gè)車站[1]。各個(gè)地區(qū)中心承上啟下，通過(guò)鐵路數(shù)據(jù)網(wǎng)向主中心核心交換機(jī)上傳數(shù)據(jù)；通過(guò)鐵路數(shù)據(jù)網(wǎng)或?qū)＞€下連各車站系統(tǒng)，形成了國(guó)鐵集團(tuán)級(jí)、鐵路局集團(tuán)公司級(jí)、車站級(jí)的三級(jí)架構(gòu)。鐵路客票系統(tǒng)的信息安全關(guān)乎國(guó)家安全、社會(huì)秩序和公眾利益，因此，鐵路客票系統(tǒng)的安全風(fēng)險(xiǎn)控制工作變得至關(guān)重要[2-4]。隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)法律法規(guī)、技術(shù)標(biāo)準(zhǔn)的頒布與實(shí)施[5]，鐵路客票系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)需要不斷更新和完善，并且，更需要實(shí)時(shí)掌握其安全狀態(tài)，評(píng)估網(wǎng)絡(luò)安全事件發(fā)生的概率與風(fēng)險(xiǎn)，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)，輔助網(wǎng)絡(luò)安全管理員制定針對(duì)性的防范措施，保障鐵路客票系統(tǒng)安全可靠、穩(wěn)定運(yùn)行。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知能夠?yàn)楣芾韱T和決策者提供全面、直觀的網(wǎng)絡(luò)安全狀況，是網(wǎng)絡(luò)安全領(lǐng)域的重要安全風(fēng)險(xiǎn)控制技術(shù)[6-7]。針對(duì)鐵路局集團(tuán)公司客票發(fā)售和預(yù)訂系統(tǒng)（簡(jiǎn)稱：鐵路局客票系統(tǒng)）難以全面把握網(wǎng)絡(luò)安全態(tài)勢(shì)問(wèn)題，本文將網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用于鐵路局客票系統(tǒng)，綜合利用大數(shù)據(jù)分析、人工智能、可視化等技術(shù)對(duì)其網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行集中采集和特征提取，對(duì)其安全狀態(tài)進(jìn)行評(píng)分評(píng)級(jí)，從而實(shí)時(shí)感知可能存在的安全威脅，預(yù)測(cè)鐵路局客票系統(tǒng)的安全態(tài)勢(shì)。

1 鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)中數(shù)據(jù)的變化，挖掘數(shù)據(jù)中隱藏的信息，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問(wèn)題。態(tài)勢(shì)感知關(guān)鍵技術(shù)如下。

（1）數(shù)據(jù)采集。采集包括手機(jī)的網(wǎng)絡(luò)流量、告警日志、設(shè)備參數(shù)等信息。

（2）特征處理。需要對(duì)大量的異構(gòu)數(shù)據(jù)和不完整數(shù)據(jù)進(jìn)行篩選、歸并、補(bǔ)全，再進(jìn)行特征處理，選擇合適的特征作為態(tài)勢(shì)感知的基礎(chǔ)數(shù)據(jù)。

（3）態(tài)勢(shì)評(píng)估。利用統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)或深度學(xué)習(xí)的方法，對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)進(jìn)行評(píng)估。

（4）態(tài)勢(shì)預(yù)測(cè)。與態(tài)勢(shì)評(píng)估類似，對(duì)短時(shí)間內(nèi)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。

（5）可視化呈現(xiàn)。將評(píng)估和預(yù)測(cè)的結(jié)果可視化地展現(xiàn)出來(lái)，為技術(shù)人員維護(hù)網(wǎng)絡(luò)安全提供參考。

鐵路局客票系統(tǒng)具有數(shù)據(jù)量大、高度異構(gòu)性等特征[8-9]。從業(yè)務(wù)上看，鐵路局客票系統(tǒng)以票務(wù)業(yè)務(wù)為核心，針對(duì)不同的旅客，提供標(biāo)準(zhǔn)化與個(gè)性化兼?zhèn)涞姆?wù)，以及多種票務(wù)延伸服務(wù)和相應(yīng)的管理支撐[10]。鐵路客票系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)和日志數(shù)據(jù)及設(shè)備基礎(chǔ)信息是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的數(shù)據(jù)來(lái)源。

1.2 鐵路局客票系統(tǒng)態(tài)勢(shì)感知可視化

鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知可視化，就是以購(gòu)票業(yè)務(wù)為核心，展示當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)對(duì)購(gòu)票業(yè)務(wù)的影響，并對(duì)影響程度進(jìn)行可視化標(biāo)識(shí)[11-13]，為鐵路局客票系統(tǒng)安全數(shù)據(jù)賦予表現(xiàn)力，使安全管理員和決策者能夠從視覺(jué)上感受到當(dāng)前鐵路局客票系統(tǒng)的安全狀態(tài)，為鐵路運(yùn)營(yíng)管理、安全運(yùn)營(yíng)維護(hù)（簡(jiǎn)稱：運(yùn)維）等提供依據(jù)。

1.2.1 態(tài)勢(shì)感知可視化的兩個(gè)層面

1.6 繳費(fèi)申報(bào)。這個(gè)申報(bào)主要是指依照每個(gè)企業(yè)的職工單位繳納費(fèi)用基數(shù)和個(gè)人的繳納費(fèi)用技術(shù)來(lái)計(jì)算這個(gè)月份應(yīng)該繳納的社會(huì)保險(xiǎn)費(fèi)用。每個(gè)單位都應(yīng)該在計(jì)算完畢，經(jīng)過(guò)本人簽字之后進(jìn)行上報(bào)。

鐵路局客票系統(tǒng)承載各種客票核心業(yè)務(wù)、鐵路局集團(tuán)公司個(gè)性化業(yè)務(wù)，以及席位存根的數(shù)據(jù)服務(wù)，起到承上啟下的作用。根據(jù)其業(yè)務(wù)架構(gòu)，構(gòu)建購(gòu)票業(yè)務(wù)服務(wù)拓?fù)?。將?gòu)票業(yè)務(wù)服務(wù)拓?fù)溆成涞借F路局客票系統(tǒng)網(wǎng)絡(luò)拓?fù)?，這樣，在網(wǎng)絡(luò)層面暴露的網(wǎng)絡(luò)攻擊行為就可以直接映射到對(duì)應(yīng)的服務(wù)，幫助技術(shù)人員及時(shí)了解網(wǎng)絡(luò)攻擊可能會(huì)影響的服務(wù)，以及造成影響的程度。通過(guò)業(yè)務(wù)拓?fù)浜途W(wǎng)絡(luò)拓?fù)涞年P(guān)聯(lián)映射，從兩個(gè)層面進(jìn)行可視化網(wǎng)絡(luò)態(tài)勢(shì)感知。

（1）網(wǎng)絡(luò)層面

在網(wǎng)絡(luò)層面看網(wǎng)絡(luò)拓?fù)洹?shù)據(jù)流等信息，并利用態(tài)勢(shì)評(píng)估和預(yù)測(cè)技術(shù)得到當(dāng)前的網(wǎng)絡(luò)態(tài)勢(shì)，對(duì)可能存在的網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別和溯源，將這些攻擊信息可視化地展現(xiàn)出來(lái)。

（2）業(yè)務(wù)層面

利用業(yè)務(wù)拓?fù)浜途W(wǎng)絡(luò)拓?fù)溟g的映射，將鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全程度映射到業(yè)務(wù)拓?fù)?，并?duì)每一個(gè)服務(wù)的安全程度進(jìn)行評(píng)級(jí)和標(biāo)識(shí)。當(dāng)某一區(qū)域的網(wǎng)絡(luò)受到攻擊時(shí)，受該網(wǎng)絡(luò)影響的所有服務(wù)都將在業(yè)務(wù)拓?fù)鋱D中顯現(xiàn)出來(lái)，并根據(jù)影響程度作不同的區(qū)分。這樣，決策者就可以根據(jù)這些信息，調(diào)整服務(wù)策略并安排相關(guān)人員解決問(wèn)題。

1.2.2 鐵路局客票系統(tǒng)安全感知架構(gòu)

圖1 鐵路局客票系統(tǒng)安全態(tài)勢(shì)感知架構(gòu)

2 鐵路局客票系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估與預(yù)測(cè)

2.1 數(shù)據(jù)采集與特征提取

本文提出的態(tài)勢(shì)感知采用多類型探針組合的方式，對(duì)鐵路局客票系統(tǒng)內(nèi)各類軟/硬件資產(chǎn)進(jìn)行數(shù)據(jù)采集。采集的對(duì)象包括但不限于車站窗口終端、自動(dòng)售/檢票機(jī)、互聯(lián)網(wǎng)代售點(diǎn)，各類服務(wù)器與路由交換系統(tǒng)，以及網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)設(shè)備等。

2.1.1 采集的數(shù)據(jù)內(nèi)容

（1）流量數(shù)據(jù)

除了通用的網(wǎng)絡(luò)協(xié)議外，鐵路局客票系統(tǒng)中還存在工控相關(guān)控制協(xié)議及私有協(xié)議，利用鐵路局客票系統(tǒng)安全態(tài)勢(shì)感知流量探針提取旅客在購(gòu)票過(guò)程中產(chǎn)生的網(wǎng)絡(luò)報(bào)文數(shù)據(jù)，獲取重要網(wǎng)絡(luò)鏈路的流量狀況，并進(jìn)行病毒檢測(cè)和入侵檢測(cè)。

（2）系統(tǒng)和業(yè)務(wù)數(shù)據(jù)

鐵路局客票系統(tǒng)在大量的主機(jī)設(shè)備中部署了復(fù)雜的業(yè)務(wù)應(yīng)用。通過(guò)讀取服務(wù)器、售/檢票機(jī)等主機(jī)及數(shù)據(jù)庫(kù)的操作日志、系統(tǒng)內(nèi)設(shè)備告警信息、錯(cuò)誤信息，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)的采集。鐵路局客票系統(tǒng)資產(chǎn)管理以業(yè)務(wù)為引導(dǎo)，記錄每一個(gè)業(yè)務(wù)行為所對(duì)應(yīng)的服務(wù)、軟件、硬件和人員。建立資產(chǎn)畫(huà)像，畫(huà)像信息包括但不限于以下內(nèi)容：設(shè)備屬性、生產(chǎn)廠商、設(shè)備型號(hào)、操作系統(tǒng)、已安裝軟件、主要服務(wù)端口號(hào)、資產(chǎn)位置、設(shè)備溫度等。記錄所有業(yè)務(wù)流程及其關(guān)聯(lián)資產(chǎn)，根據(jù)企業(yè)的業(yè)務(wù)構(gòu)建個(gè)性化的業(yè)務(wù)數(shù)據(jù)庫(kù)，并建立業(yè)務(wù)拓?fù)渑c網(wǎng)絡(luò)拓?fù)涞挠成?，得到網(wǎng)絡(luò)流程白名單。拒絕并記錄所有不符合白名單的網(wǎng)絡(luò)流程，達(dá)到防御未知攻擊和業(yè)務(wù)態(tài)勢(shì)感知的目的。鐵路局客票系統(tǒng)業(yè)務(wù)行為的對(duì)應(yīng)關(guān)系如圖2所示。

2.1.2 特征提取

鐵路局客票系統(tǒng)中大量有用的信息包含在多元異構(gòu)的原始數(shù)據(jù)中，難以直接用于網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估與預(yù)測(cè)，需要先對(duì)數(shù)據(jù)進(jìn)行特征標(biāo)定，特征選取的合理性決定了網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估與預(yù)測(cè)的準(zhǔn)確性。本文結(jié)合鐵路局客票系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，參考CICIDS2017網(wǎng)絡(luò)安全公開(kāi)數(shù)據(jù)集對(duì)原始數(shù)據(jù)進(jìn)行了特征提取，選取的特征包括：物理層和應(yīng)用層安全相關(guān)屬性、網(wǎng)絡(luò)連接的基本屬性、時(shí)間尺度的數(shù)據(jù)統(tǒng)計(jì)特征、空間尺度的數(shù)據(jù)統(tǒng)計(jì)特征及正規(guī)業(yè)務(wù)流程等。

2.2 態(tài)勢(shì)評(píng)估

安全態(tài)勢(shì)評(píng)估是鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中至關(guān)重要的一環(huán)，準(zhǔn)確地評(píng)估當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)，可以幫助管理員和決策者實(shí)時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀況。利用安全態(tài)勢(shì)評(píng)估算法，從網(wǎng)絡(luò)流量、系統(tǒng)日志和業(yè)務(wù)流程3個(gè)角度對(duì)鐵路局客票系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全評(píng)估，以此來(lái)描述當(dāng)前網(wǎng)絡(luò)的安全等級(jí)，并將結(jié)果提交給網(wǎng)絡(luò)管理人員，輔助網(wǎng)絡(luò)管理人員快速、準(zhǔn)確地做出決策。

許多機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的方法都可應(yīng)用于安全態(tài)勢(shì)的評(píng)估。由于單一算法的評(píng)估存在不穩(wěn)定性，所以，本文采用隨機(jī)森林、權(quán)重分析、貝葉斯網(wǎng)絡(luò)、D-S證據(jù)理論、BP神經(jīng)網(wǎng)絡(luò)等[14-15]方法同時(shí)進(jìn)行評(píng)估，統(tǒng)計(jì)評(píng)估結(jié)果，取其平均值，作為最終的鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果。由于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估旨在為鐵路局客票系統(tǒng)的安全性做出等級(jí)評(píng)定，對(duì)具體得分的精確度要求不高，通過(guò)多模型結(jié)合的形式，可以在犧牲一定的得分準(zhǔn)確度的前提下降低評(píng)估結(jié)果的方差，提高模型穩(wěn)定性。

2.3 態(tài)勢(shì)預(yù)測(cè)

鐵路局客票系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)的基本過(guò)程是參考該系統(tǒng)歷史和當(dāng)前態(tài)勢(shì)信息，利用合適的模型、算法，定性或定量預(yù)測(cè)可預(yù)見(jiàn)的未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展變化趨勢(shì)。需要對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)做出定性或定量的推斷，并提醒管理部門和決策者及時(shí)做出調(diào)控。本文選用馬爾科夫模型和長(zhǎng)短期記憶網(wǎng)絡(luò)對(duì)鐵路局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。

3 試用效果分析

將本文提出的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)試用于中國(guó)鐵路太原局集團(tuán)有限公司客票系統(tǒng)（簡(jiǎn)稱：太原局客票系統(tǒng)），試用結(jié)果表明，該技術(shù)能夠提升網(wǎng)絡(luò)安全管理水平。在資產(chǎn)管理方面，可以更全面地了解客票業(yè)務(wù)與物理設(shè)施的關(guān)聯(lián)，實(shí)現(xiàn)資產(chǎn)的統(tǒng)籌管理和網(wǎng)絡(luò)安全問(wèn)題可溯源；在網(wǎng)絡(luò)安全態(tài)勢(shì)方面，利用機(jī)器學(xué)習(xí)和深習(xí)度學(xué)習(xí)的手段，準(zhǔn)確評(píng)估和預(yù)測(cè)太原局客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)，及時(shí)提醒網(wǎng)絡(luò)安全人員做好防護(hù)工作，避免惡意攻擊造成的損失；在可視化方面，實(shí)現(xiàn)了業(yè)務(wù)安全可視化和網(wǎng)絡(luò)安全可視化相結(jié)合。業(yè)務(wù)安全可視化為管理層提供客票業(yè)務(wù)的安全態(tài)勢(shì)，幫助管理層在宏觀上做出決策，防患于未然；網(wǎng)絡(luò)安全可視化為技術(shù)人員提供太原局客票系統(tǒng)各網(wǎng)絡(luò)單元的安全態(tài)勢(shì)，輔助技術(shù)人員迅速采取措施，解決安全問(wèn)題。

4 結(jié)束語(yǔ)

隨著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)法律法規(guī)、政策規(guī)范、技術(shù)標(biāo)準(zhǔn)的頒布與實(shí)施，對(duì)鐵路局客票系統(tǒng)安全保障工作提出了更高的要求。鐵路局客票系統(tǒng)在建設(shè)、運(yùn)維和管理過(guò)程中，產(chǎn)生并積累了大量的數(shù)據(jù)，本文結(jié)合鐵路局客票系統(tǒng)的特性，研究該系統(tǒng)數(shù)據(jù)的采集與預(yù)處理方法，給出了數(shù)據(jù)特征選取方案；結(jié)合鐵路局客票系統(tǒng)購(gòu)票業(yè)務(wù)，提出以購(gòu)票業(yè)務(wù)為核心，從業(yè)務(wù)和網(wǎng)絡(luò)兩個(gè)層面實(shí)現(xiàn)鐵路局客票系統(tǒng)安全態(tài)勢(shì)感知可視化的方法；提出了多方案協(xié)同的態(tài)勢(shì)感知評(píng)估和預(yù)測(cè)方案。本文研究的態(tài)勢(shì)感知技術(shù)已試用于太原局客票系統(tǒng)，可為鐵路局客票系統(tǒng)安全防護(hù)提供參考。