鐵路局集團公司客票系統網絡安全態勢感知技術的研究

宋錦平

（中國鐵路太原局集團有限公司 信息技術所，太原 030013）

中國鐵路客票發售和預訂系統（簡稱：鐵路客票系統）是承載我國鐵路運輸服務的國家關鍵基礎設施，主要包括2個主中心、18個地區中心，并覆蓋數千個車站[1]。各個地區中心承上啟下，通過鐵路數據網向主中心核心交換機上傳數據；通過鐵路數據網或專線下連各車站系統，形成了國鐵集團級、鐵路局集團公司級、車站級的三級架構。鐵路客票系統的信息安全關乎國家安全、社會秩序和公眾利益，因此，鐵路客票系統的安全風險控制工作變得至關重要[2-4]。隨著網絡安全等級保護相關法律法規、技術標準的頒布與實施[5]，鐵路客票系統的網絡安全防護技術需要不斷更新和完善，并且，更需要實時掌握其安全狀態，評估網絡安全事件發生的概率與風險，預測網絡安全態勢，輔助網絡安全管理員制定針對性的防范措施，保障鐵路客票系統安全可靠、穩定運行。

網絡安全態勢感知能夠為管理員和決策者提供全面、直觀的網絡安全狀況，是網絡安全領域的重要安全風險控制技術[6-7]。針對鐵路局集團公司客票發售和預訂系統（簡稱：鐵路局客票系統）難以全面把握網絡安全態勢問題，本文將網絡安全態勢感知技術應用于鐵路局客票系統，綜合利用大數據分析、人工智能、可視化等技術對其網絡安全數據進行集中采集和特征提取，對其安全狀態進行評分評級，從而實時感知可能存在的安全威脅，預測鐵路局客票系統的安全態勢。

1 鐵路局客票系統網絡安全態勢感知

1.1 網絡安全態勢感知關鍵技術

網絡安全態勢感知就是通過監測網絡中數據的變化，挖掘數據中隱藏的信息，發現網絡中存在的安全問題。態勢感知關鍵技術如下。

（1）數據采集。采集包括手機的網絡流量、告警日志、設備參數等信息。

（2）特征處理。需要對大量的異構數據和不完整數據進行篩選、歸并、補全，再進行特征處理，選擇合適的特征作為態勢感知的基礎數據。

（3）態勢評估。利用統計分析、機器學習或深度學習的方法，對當前網絡狀態進行評估。

（4）態勢預測。與態勢評估類似，對短時間內網絡的安全態勢進行預測。

（5）可視化呈現。將評估和預測的結果可視化地展現出來，為技術人員維護網絡安全提供參考。

鐵路局客票系統具有數據量大、高度異構性等特征[8-9]。從業務上看，鐵路局客票系統以票務業務為核心，針對不同的旅客，提供標準化與個性化兼備的服務，以及多種票務延伸服務和相應的管理支撐[10]。鐵路客票系統運行過程中產生的業務數據和日志數據及設備基礎信息是網絡安全態勢感知的數據來源。

1.2 鐵路局客票系統態勢感知可視化

鐵路局客票系統網絡安全態勢感知可視化，就是以購票業務為核心，展示當前網絡態勢對購票業務的影響，并對影響程度進行可視化標識[11-13]，為鐵路局客票系統安全數據賦予表現力，使安全管理員和決策者能夠從視覺上感受到當前鐵路局客票系統的安全狀態，為鐵路運營管理、安全運營維護（簡稱：運維）等提供依據。

1.2.1 態勢感知可視化的兩個層面

1.6 繳費申報。這個申報主要是指依照每個企業的職工單位繳納費用基數和個人的繳納費用技術來計算這個月份應該繳納的社會保險費用。每個單位都應該在計算完畢，經過本人簽字之后進行上報。

鐵路局客票系統承載各種客票核心業務、鐵路局集團公司個性化業務，以及席位存根的數據服務，起到承上啟下的作用。根據其業務架構，構建購票業務服務拓撲。將購票業務服務拓撲映射到鐵路局客票系統網絡拓撲，這樣，在網絡層面暴露的網絡攻擊行為就可以直接映射到對應的服務，幫助技術人員及時了解網絡攻擊可能會影響的服務，以及造成影響的程度。通過業務拓撲和網絡拓撲的關聯映射，從兩個層面進行可視化網絡態勢感知。

（1）網絡層面

在網絡層面看網絡拓撲、數據流等信息，并利用態勢評估和預測技術得到當前的網絡態勢，對可能存在的網絡攻擊進行識別和溯源，將這些攻擊信息可視化地展現出來。

（2）業務層面

利用業務拓撲和網絡拓撲間的映射，將鐵路局客票系統網絡安全程度映射到業務拓撲，并對每一個服務的安全程度進行評級和標識。當某一區域的網絡受到攻擊時，受該網絡影響的所有服務都將在業務拓撲圖中顯現出來，并根據影響程度作不同的區分。這樣，決策者就可以根據這些信息，調整服務策略并安排相關人員解決問題。

1.2.2 鐵路局客票系統安全感知架構

圖1 鐵路局客票系統安全態勢感知架構

2 鐵路局客票系統網絡態勢評估與預測

2.1 數據采集與特征提取

本文提出的態勢感知采用多類型探針組合的方式，對鐵路局客票系統內各類軟/硬件資產進行數據采集。采集的對象包括但不限于車站窗口終端、自動售/檢票機、互聯網代售點，各類服務器與路由交換系統，以及網絡安全基礎防護設備等。

2.1.1 采集的數據內容

（1）流量數據

除了通用的網絡協議外，鐵路局客票系統中還存在工控相關控制協議及私有協議，利用鐵路局客票系統安全態勢感知流量探針提取旅客在購票過程中產生的網絡報文數據，獲取重要網絡鏈路的流量狀況，并進行病毒檢測和入侵檢測。

（2）系統和業務數據

鐵路局客票系統在大量的主機設備中部署了復雜的業務應用。通過讀取服務器、售/檢票機等主機及數據庫的操作日志、系統內設備告警信息、錯誤信息，實現系統數據的采集。鐵路局客票系統資產管理以業務為引導，記錄每一個業務行為所對應的服務、軟件、硬件和人員。建立資產畫像，畫像信息包括但不限于以下內容：設備屬性、生產廠商、設備型號、操作系統、已安裝軟件、主要服務端口號、資產位置、設備溫度等。記錄所有業務流程及其關聯資產，根據企業的業務構建個性化的業務數據庫，并建立業務拓撲與網絡拓撲的映射，得到網絡流程白名單。拒絕并記錄所有不符合白名單的網絡流程，達到防御未知攻擊和業務態勢感知的目的。鐵路局客票系統業務行為的對應關系如圖2所示。

2.1.2 特征提取

鐵路局客票系統中大量有用的信息包含在多元異構的原始數據中，難以直接用于網絡態勢評估與預測，需要先對數據進行特征標定，特征選取的合理性決定了網絡態勢評估與預測的準確性。本文結合鐵路局客票系統的網絡架構，參考CICIDS2017網絡安全公開數據集對原始數據進行了特征提取，選取的特征包括：物理層和應用層安全相關屬性、網絡連接的基本屬性、時間尺度的數據統計特征、空間尺度的數據統計特征及正規業務流程等。

2.2 態勢評估

安全態勢評估是鐵路局客票系統網絡安全態勢感知中至關重要的一環，準確地評估當前網絡的安全態勢，可以幫助管理員和決策者實時掌握網絡運行狀況。利用安全態勢評估算法，從網絡流量、系統日志和業務流程3個角度對鐵路局客票系統進行網絡安全評估，以此來描述當前網絡的安全等級，并將結果提交給網絡管理人員，輔助網絡管理人員快速、準確地做出決策。

許多機器學習和深度學習的方法都可應用于安全態勢的評估。由于單一算法的評估存在不穩定性，所以，本文采用隨機森林、權重分析、貝葉斯網絡、D-S證據理論、BP神經網絡等[14-15]方法同時進行評估，統計評估結果，取其平均值，作為最終的鐵路局客票系統網絡安全態勢評估結果。由于網絡安全態勢評估旨在為鐵路局客票系統的安全性做出等級評定，對具體得分的精確度要求不高，通過多模型結合的形式，可以在犧牲一定的得分準確度的前提下降低評估結果的方差，提高模型穩定性。

2.3 態勢預測

鐵路局客票系統安全態勢預測的基本過程是參考該系統歷史和當前態勢信息，利用合適的模型、算法，定性或定量預測可預見的未來一段時間內網絡安全態勢的發展變化趨勢。需要對網絡安全態勢做出定性或定量的推斷，并提醒管理部門和決策者及時做出調控。本文選用馬爾科夫模型和長短期記憶網絡對鐵路局客票系統網絡安全態勢進行預測。

3 試用效果分析

將本文提出的網絡安全態勢感知技術試用于中國鐵路太原局集團有限公司客票系統（簡稱：太原局客票系統），試用結果表明，該技術能夠提升網絡安全管理水平。在資產管理方面，可以更全面地了解客票業務與物理設施的關聯，實現資產的統籌管理和網絡安全問題可溯源；在網絡安全態勢方面，利用機器學習和深習度學習的手段，準確評估和預測太原局客票系統網絡安全態勢，及時提醒網絡安全人員做好防護工作，避免惡意攻擊造成的損失；在可視化方面，實現了業務安全可視化和網絡安全可視化相結合。業務安全可視化為管理層提供客票業務的安全態勢，幫助管理層在宏觀上做出決策，防患于未然；網絡安全可視化為技術人員提供太原局客票系統各網絡單元的安全態勢，輔助技術人員迅速采取措施，解決安全問題。

4 結束語

隨著國家網絡安全等級保護2.0相關法律法規、政策規范、技術標準的頒布與實施，對鐵路局客票系統安全保障工作提出了更高的要求。鐵路局客票系統在建設、運維和管理過程中，產生并積累了大量的數據，本文結合鐵路局客票系統的特性，研究該系統數據的采集與預處理方法，給出了數據特征選取方案；結合鐵路局客票系統購票業務，提出以購票業務為核心，從業務和網絡兩個層面實現鐵路局客票系統安全態勢感知可視化的方法；提出了多方案協同的態勢感知評估和預測方案。本文研究的態勢感知技術已試用于太原局客票系統，可為鐵路局客票系統安全防護提供參考。