擬態防御在鐵路網絡安全應用的初步探討

郭梓萌，朱廣劼，徐洪蘋

（1. 中國鐵道科學研究院 研究生部，北京 100081；2. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；3. 中國鐵路哈爾濱局集團有限公司 科技和信息化部，哈爾濱 150006）

隨著我國鐵路信息化進程的不斷推進，上網、上云企業的數據量屢創新高，基于新技術的應用系統層出不窮，顯著提升了鐵路工作人員的工作效率，同時，也對信息系統的安全性提出了全新的要求。近年來，網絡攻防雙方不斷博弈，新型網絡攻擊手段逐漸轉向以零日攻擊為代表的專業性強、頻次低、隱蔽性高、更難以防備的攻擊模式，同時，針對計算機網絡系統本身的未知漏洞，發掘后門和針對性攻擊更是屢見不鮮。傳統的網絡防御模式依賴先驗性知識，如病毒庫、漏洞庫等，難以應對新型網絡攻擊，因此，要解決傳統網絡防御存在的滯后性、脆弱性等問題，需要探究新手段，研究新方法。

傳統的被動防御思想是當系統遭受攻擊后，對已實施的攻擊進行比對和分析等處理，而主動防御思想則是通過增強系統自身抗攻擊性，在攻擊發生前對攻擊進行處理。鄔江興基于主動防御思想，提出了獨創的擬態防御技術[1-3]。本文總結擬態防御相關的研究內容，概述國內擬態防御基本思想和理論算法研究現狀，根據鐵路實際需求和網絡安全現狀，提出基于設備和應用的網絡安全擬態改造思路，為提升鐵路主動防御能力提供技術支持。

1 擬態防御概述

為能更好地應對未知的網絡威脅，不依賴先驗性知識的主動防御技術逐漸成為網絡安全防御領域的研究焦點。主動防御是指通過一定的技術手段，在系統遭受攻擊并造成損失前就對攻擊進行攔截處理的一種防御思想。通過主動防御，系統能及時地避免、轉移、降低攻擊風險。目前，基于主動防御思想的防御技術有入侵容忍、蜜罐、移動目標防御、零信任架構、可信計算等[4]，技術對比如表1所示。

表1 基于主動防御思想的部分技術對比

現有的主動防御手段缺乏應對因系統本身的漏洞、后門等產生的未知安全風險和不確定性攻擊的能力。擬態防御的出現彌補了這一短板，其核心目的是使系統在應對完全未知的攻擊手段、途徑、目的的情況下，通過基于擬態防御思想的動態異構冗余（DHR，Dynamic Heterogeneous Redundancy）體系架構，使攻擊“無效化”，進而提升系統的安全性和可用性。

1.1 擬態防御原理

擬態防御的核心思想是將輸入系統的數據信息交由不同的執行體進行處理，不同執行體架構、邏輯等存在異構，由于網絡攻擊行為是針對某類系統存在的漏洞進行攻擊，所以多個不同的系統對于同一輸入信息進行處理后，輸出的信息應是多數正確的，對這些信息進行擇多表決，就可保證經過擬態處理后的輸出信息的正確性。

擬態防御的經典模型是DHR模型，如圖1所示。由擬態括號確定了擬態界，擬態左括號由輸入代理及分發器組成，擬態右括號由輸出代理及表決器組成。系統數據從擬態左括號輸入，交由分發器分發給上線運行的異構執行體，由不同執行體對該輸入信息進行處理，并將不同的輸出信息匯總至表決器，表決器依據表決算法進行信息處理，輸出結果，將存在異常的執行體反饋至調度器，并根據調度算法對執行體進行上下線調度。

圖1 擬態防御DHR模型

1.2 擬態防御算法

在擬態防御體系中，執行體是異構性的基礎，調度算法是異構性的核心，表決算法決定了最終輸出的正確與否，對擬態防御算法的討論一般基于上述兩種算法。

通過衡量算法的核心調度指標、調度時機及其適用性，可對擬態防御調度算法進行分類，調度算法列表如表2所示。調度算法主要負責執行體的上下線，回答在各類情況下如何調度這一問題。調度時機一般分為3種：（1）依據算法執行周期調度；（2）當執行體異常時收集反饋信息綜合判斷，執行異常反饋調度或異常累計觸發調度；（3）依據博弈論執行調度。調度指標有依據正態分布等隨機算法隨機選擇、執行體相似度判斷、執行體異構度判斷、依據調度歷史信息判斷、基于歷史信息及執行體原始屬性等對執行體置信度或是勝任系數進行判斷、裁決器的裁決結果反饋等。不同的業務需求也限制著調度算法的具體設計。

表2 擬態防御調度算法

表決算法多與調度算法相互配合，基本的表決算法采用大數判決法進行多數一致性表決，或可參考調度算法的執行體異構度、歷史調度信息等進行綜合裁決。

2 鐵路信息系統網絡防御體系分析

2.1 鐵路信息系統網絡防御體系現狀

鐵路信息系統網絡安全建設經過多年發展，基本建成了“五網三級”的鐵路縱深防御體系，其中，“五網”指綜合信息網、資金網、客票專網、調度指揮專網、旅客服務網；“三級”指中國國家鐵路集團有限公司（簡稱：國鐵集團）級、鐵路局集團公司級和站段級。鐵路主數據中心建成投入使用及鐵路綜合信息網一體化保障工程、鐵路網絡安全調度指揮中心的建設實施使得鐵路網絡安全防御能力有了進一步提升。鐵路信息系統目前雖已具備縱深防御能力，但在應對新型網絡攻擊、未知攻擊和未知漏洞方面還存在問題，具體如下。

（1）主動防御能力薄弱。隨著網絡空間安全威脅水平的不斷提高，鐵路綜合信息網的互聯網邊界和核心區域均采用傳統的被動防御手段，包括部署核心防火墻、入侵檢測設備等，已經不能適用于以專業性更強、針對性更高為特點的一系列新型網絡空間安全威脅。

（2）部分網絡安全防護技術落后。通過鐵路信息網一體化保障工程建立了安全態勢感知平臺、電子統一身份認證平臺、數據安全風險分析平臺等，但鐵路信息系統既有的安全措施部署較早，技術落后，部分設備日趨老化，缺少安全監測預警和威脅情報分析的能力。

（3）專用信息網防護技術單一。當前的專用信息網主要以采用防火墻、身份認證和防病毒等傳統安全產品為主，針對外部攻擊進行防護，缺少針對內部越權和漏洞攻擊的防護手段。

2.2 擬態防御應用必要性分析

擬態防御可較好地解決鐵路系統網絡防御體系現存的部分問題。

（1）補短板。擬態防御打破了傳統的被動防御思路，通過DHR模型增強了信息系統的內生安全，實現不依賴先驗性知識對未知網絡攻擊進行及時、有效的主動防御，可有效彌補鐵路主動防御能力薄弱的問題。

（2）效率高。擬態防御通過對已有構件的異構組合來提升整體安全性，改造效率高、成本低。

（3）適用性強。擬態防御思想可泛化使用在設備、服務器架構、網絡系統等各個層面，可分批次、分層上線使用。

3 鐵路信息系統擬態防御改造探討

為提升鐵路應對未知風險的能力，增強鐵路主動防御水平，本文開展了鐵路信息系統的擬態改造方案研究。以鐵路綜合信息網中的外部服務網為改造對象，提出部分設備改造、整體網絡架構改造和應用系統改造3種擬態防御改造思路，原始網絡架構如圖2所示。

圖2 外部服務網原始網絡架構示意

3.1 部分設備擬態改造

目前，針對交換機和路由器設備的擬態改造方法已較為成熟。擬態交換機通過虛擬化和多樣化編譯技術，在CPU、操作系統、協議棧層面構建功能等價的異構執行體。擬態路由器采用分布式架構，由業務單元（SU）、主控單元（MCU）、計算單元（CU）構成。

部分設備擬態改造主要指對位于網絡邊界和核心的部分傳統防護設備進行改造，采用擬態設備直接替換原有設備。如圖3所示，采用擬態交換機替換了外部服務網中原有的交換機。

圖3 外部服務網部分設備擬態改造示意

鐵路領域部分設備擬態改造主要對鐵路信息系統核心交換機進行擬態改造，分為設備更換、參數配置、聯調聯試及系統性測試等幾個階段，改造完成后，可有效提升鐵路網絡系統防御能力，彌補現有鐵路網絡安全防御無法應對針對核心交換機設備的后門、漏洞等進行未知攻擊這一短板。

3.2 整體網絡架構擬態改造

對部分設備進行擬態改造可提高局部網絡的安全性，但要提升整體網絡的內生安全，需要由點及面地擴大擬態化改造范圍，以整體網絡為改造對象。整體網絡架構主要是對外部服務網的交換機、防火墻、路由器等現有網絡安全設備進行擬態設備替換，如圖4所示。

圖4 應用系統擬態改造示意

實現傳統基礎設備到擬態網絡產品的整體升級換代，發揮擬態技術優勢，賦能網絡安全。改造方案完成后，基本建成基于擬態防御思想的內生安全架構，創新性改變存儲系統的功能結構和運行環境，有效抑制和管控軟硬件隨機性失效產生的安全風險，阻斷利用未知漏洞和后門的攻擊行為，有效防止數據泄露和數據篡改。與部分設備改造相比，整體網絡改造的難度加大、周期延長。

3.3 應用系統擬態改造

要實現全網絡的擬態化改造升級，就要在現有設備的擬態化替代之外，充分考慮網絡系統實際狀況。在設計網絡系統的各個方面時，考慮擬態防御思想，針對安全等級較高、易受網絡滲透攻擊的系統，將DHR納入系統設計的基本要求中，對需要進行擬態防護的系統參考DHR模型進行詳細設計。

本文以某鐵路互聯網應用系統為例給出系統擬態改造方案，如圖5所示。系統數據由規則引擎組件讀入后交由分發器分發至上線運行的各個異構執行體。依據互聯網應用的數據處理流程進行分層次處理后，匯總至表決器進行表決輸出。在數據處理過程中，調度器依據系統運行狀況、表決器反饋或內置算法等，在異構執行體池的執行體集中對異構執行體進行上下線調度控制，保證系統安全性。

圖5 外部服務網整體網絡架構擬態改造示意

系統擬態改造主要包括擬態界選取、擬態防御組件適配和異構執行體選取3個主要步驟。

3.3.1 擬態界選取

擬態設計應對所要進行擬態防護的系統進行攻擊面分析，選取合適的擬態界，進而確定擬態左括號和擬態右括號的具體防護范圍?，F有的鐵路信息系統架構可分為4類：單體架構、分布式架構、微服務架構和云服務架構。

需要進行擬態改造的鐵路互聯網應用系統的架構屬于單體架構，單體架構是典型的三級架構，由前端、業務邏輯層和數據庫層構成，外部攻擊多是通過前端侵入，影響業務邏輯層，竊取數據庫中的敏感數據，因此，其擬態界應包括前后端數據接口、整個業務邏輯層及后端數據庫。

3.3.2 擬態防御組件適配

在確定了擬態界的具體防護范圍后，應考慮擬態防御組件適配問題，主要包括分發器、表決器和調度器。分發器負責對輸入擬態界的數據信息進行分發處理，為保證分發和裁決的數據包的有序性，需要在每一個請求報文中添加標簽信息，使每個擬態組件模塊可識別出請求的序列，同時，需要考慮多個執行體并發執行時的同步問題；表決器負責對執行體調用后的結果進行歸一化處理和正確性抉擇，同時負責執行體異常判斷和異常反饋，其依賴的表決算法的設計和選取決定了擬態系統輸出的正確性；調度器是擬態防御的核心模塊，負責綜合表決器的反饋信息和調度算法執行信息，控制執行體的調度上下線，并將相應執行體信息重新反饋至分發器。

3.3.3 異構執行體選取

互聯網應用可在數據庫管理軟件、中間件、執行腳本及操作系統4層實現擬態改造，可用于實現異構的執行體集如表3所示。

表3 擬態執行體集

對系統進行擬態改造可以極大地提升系統的內生安全性，但同時也要考慮擬態改造對實際應用系統的性能、吞吐量等方面的影響，需要分析具體情況，制定相應改造措施。

4 結束語

鐵路信息系統的網絡防御體系不斷完善，逐步形成分類分級的網絡安全防護系統，針對大規模網絡攻擊已有較好的防御手段。但網絡攻擊手段仍在不斷更新，需要不斷學習新的防御思想，改進、完善現有的防御體系，從而更好地應對外部網絡攻擊。本文對擬態防御技術的基本原理和核心算法進行了簡要介紹，分析了鐵路系統網絡防御體系現狀，指出進行擬態改造的必要性，探討了鐵路網絡擬態改造應用的基本思路，對提升鐵路主動防御能力具有參考意義。