Railway network encrypted traffic intelligent monitoring system based on intelligent algorithm cooperation
-
摘要: 针对铁路网络安全需求中加密威胁难检测,加密业务与加密流量监管困难的现状,特别是加密流量分析粒度不够,技术支撑性不足等问题,设计了由数据获取子系统、特征建模子系统、智能分析子系统、配置管理子系统组成的基于智能算法协同的铁路网络加密流量智能监测系统,阐述了基于两阶段长短期记忆(LSTM,Long Short-Term Memory)网络的加密流量异常识别、基于Elmo+LSTM+Self-Attention模型的加密流量应用类型识别关键技术。该系统有助于提升加密流量监测技术水平、增强铁路网络安全综合防御能力,也为未来铁路领域网络与信息系统安全运行维护提供了技术支撑。Abstract: Aiming at the current situation of difficult detection of encrypted threats and difficulties in the supervision of encrypted services and encrypted traffic in railway network security requirements, especially the problems such as insufficient granularity of encrypted traffic analysis and insufficient technical support. This paper designed a railway network encrypted traffic intelligent monitoring system based on intelligent algorithm collaboration, which was composed of data acquisition subsystem, feature modeling subsystem, intelligent analysis subsystem and configuration management subsystem, and described the key technologies of application type identification of encrypted traffic based on the Elmo+LSTM+Self-Attention model and exception identification of encrypted traffic based on two-stage Long Short-Term Memory(LSTM) network. The system helps to improve the encrypted traffic monitoring technology, enhance the comprehensive defense capability of railway network security, and also provides technical support for the safe operation and maintenance of the network and information system in the future railway field.
-
铁路网络作为我国的关键信息基础设施,极易受到有组织黑客、网络对抗的攻击[1],面临的大多是组织性、针对性较强的网络威胁。数据加密技术、密钥协商技术和隧道传输技术等密码技术的应用,保障了铁路网络通信数据在传输过程中的完整性、真实性和机密性。但攻击者也会使用密码技术加密攻击行为和恶意通信流量,规避各类检测技术[2],造成对铁路网络的攻击与破坏。因此,监测铁路网络加密流量中的攻击行为和恶意流量,是当前网络对抗严峻形式下的基本要求。
目前,加密流量监测分析研究的主要方向为加密流量应用类型识别、加密协议分析识别和加密流量异常识别等[3]。在加密流量应用类型识别中,通过提取与加密无关的数据包字节数长度和持续时间等特征信息,识别加密流量的网络应用类型[4],如文字、语音或视频等类型[5];在加密协议分析识别中,由于动态端口对比困难的问题,基于通信端口的加密协议识别技术整体识别准确率较低[6],基于数据流或数据包识别网络流量的通信协议特征,并通过匹配各加密协议特征库进行识别的准确率较高[7];加密流量异常识别可基于数据流或数据包提取网络流量的持续时间、流量大小、包间隔时间等特征,使用支持向量机、朴素贝叶斯及C4.5决策树等机器学习算法对加密流量特征进行分析[8],也可依据网络流量加密协议通信周期行为特征的差异进行识别,利用机器学习或图论等算法完成加密协议识别分类,例如,文献[9]依据某下载软件的网络行为特征,实现加密流量异常识别。
在当前的研究中,机器学习等智能算法在加密流量监测中具备明显的优势,但现有的加密流量监测方法仅针对特定的、单一的协议或业务,存在普适性低等问题。因此,通过研究加密流量应用类型、加密协议、加密流量异常识别等智能算法,分析铁路网络加密流量重要特征,构建一套智能算法协同的铁路网络加密流量智能监测系统势在必行。
1 铁路网络加密流量智能监测系统架构
本文设计的铁路网络加密流量智能监测系统主要由数据获取、特征建模、智能分析、配置管理4个子系统组成,系统架构如图1所示。
1.1 数据获取子系统
数据获取子系统为整个系统获取原始流量,包括流量镜像获取、深度流解析(DFI,Deep Flow Inspection)、流量预处理和数据存储等功能。部署时,针对需要监测的业务系统,使用探针设备对其核心交换机或服务器交换机上的流量设置旁路,使用端口镜像技术将业务流量复制,并从特定输出端口发出。DFI设备直接与探针相连,以pcap数据包的形式获取采集到的端口镜像流量数据,经过流量预处理,将流量数据中的网络广播或心跳包等冗余流量过滤后,存储在存储设备中。
1.2 特征建模子系统
特征建模子系统从经过预处理的铁路网络流量中提取可用于后续分析的网络流量数据流和数据包特征、加密协议特征、密码服务特征、异常特征、攻击行为特征等。
(1)网络流量数据流和数据包特征建模。提取明文流量、加密流量的流特征和包特征。流特征包括分组特征、熵特征、统计特征和距离特征;包特征包括负载特征、包分布特征、五元组信息及随机性特征。
(2)加密流量协议特征建模。识别提取加密流量的加密协议特征,包括隧道通信特征、层叠加密特征、行为特征和距离特征。
(3)加密流量服务特征建模。提取其服务流量特征,包括密钥协商流量特征、业务流量特征、管理流量特征和加密数据特征。
(4)加密流量异常特征建模。结合铁路领域特征与深度模型特征对铁路网络加密流量进行行为画像。铁路领域特征主要与铁路业务系统有关,如铁路领域内网络流时长、包时间间隔、背景流量特征、域名特征等。深度模型特征是指通过神经网络模型的自我学习获得的网络流量特征。构造基线监测模型,计算铁路网络加密流量行为画像与基线监测模型的距离向量,作为加密流量异常特征。
(5)攻击行为特征建模。在对攻击行为进行识别时,主要提取攻击行为的行为模式、特征组合及上下文关联。
1.3 智能分析子系统
智能分析子系统利用关联分析模型、分类器模型、机器学习模型等对铁路网络加密流量特征、协议特征、服务特征、攻击行为特征等进行分析与分类,输出铁路网络加密应用类型、加密协议、加密服务、加密流量异常情况、攻击行为等内容。
1.4 配置管理子系统
配置管理子系统向上承担了整个系统的异常上报和策略下发功能,向下承担了系统内部各子系统、各组件及功能模块间的接口定义和协同工作,主要包括特征建模管理、模型管理、策略管理、告警管理和系统管理等。
2 关键技术
2.1 基于Elmo+LSTM+Self-Attention模型的加密流量应用类型识别
铁路网络流量加密后,其数据包中的报文载荷内容已无法解析,但在通信时,数据包间的分组、字节数、熵值、负载、持续时间等时间序列特征仍存在可识别性。为实现铁路网络加密流量应用类型识别,本文引入长短期记忆(LSTM ,Long Short-Term Memory)网络,识别铁路网络流量中的时间序列特征。LSTM网络可计算本时刻与上一时刻的数据状态,并传输给下一时刻;考虑到加密协议的复杂性,增加Elmo自回归语言模型进行预训练;增加自注意力(Self-Attention)结构层,充分学习加密流量的交互协议特征。加密流量应用类型识别架构如图2所示。
(1)数据预处理。加密流量输入后按流或会话的形式划分为独立的数据包。
(2)模型训练向量。截取数据包字节,使用Elmo自回归语言模型进行预训练,通过密文流量上文及数据包字节等信息,对当前字节进行预测,过滤噪声等干扰,输出统一的包含密文流量特征信息的数据包数组向量。
(3)模型特征学习。通过构建LSTM、Self-Attention结构层及分类器算法,实现对数据包数组向量的特征信息提取及加密流量应用类型的分类识别等。Self-Attention结构层能提取到更加全面的密文流量特征,达到较高的识别准确性[10]。
2.2 基于两阶段LSTM网络的加密流量异常识别
铁路网络中存在多种流量加密技术和算法,使得加密后的流量特征各异,难以设计出一套通用的加密流量异常识别方法。因此,本文通过结合流时长、包时间间隔、包大小转移矩阵、熵值、域名等领域特征和神经网络模型自我学习获得的深度模型特征,构建了一个基于两阶段LSTM的加密流量异常识别模型,如图3所示。该模型可更好地获取网络流量数据包中的各类特征信息。
(1)加密流量输入后,按流或会话的形式划分为独立数据包。(2)分别提取或识别加密流量的领域特征和深度模型特征,其中,领域特征可通过对数据包时长、间隔时间、熵值等数据的统计、分析与计算来提取;在深度模型特征获取中,需对数据包进行编码,输入至第1阶段LSTM网络中,针对每个数据包进行深度学习,并逐个输出特征数据,即深度模型特征。(3)获取到铁路网络领域特征和深度模型特征后,通过联合拼接方式将两类特征拼接在一起,形成完整的加密流量特征数据,输入至第2阶段LSTM网络中,进一步学习加密流量间的序列关系,并使用分类器算法进行分类识别。
3 结束语
本文从加密流量研究入手,分析了加密流量应用类型识别、加密流量异常识别等方法,设计了铁路网络加密流量智能监测系统,结合智能算法阐述了铁路加密流量监测关键技术,有效协同多个模型,提升铁路行业加密流量监测、识别与分析的能力,为加密流量监测技术的后续研究提供参考。
-
[1] 杭静文,罗洪斌,刘 颖. 基于NetFlow的流量监测系统研究 [J]. 铁路计算机应用,2012,21(8):33-36,40. [2] 冯凯亮,陈 勋,张德栋,等. 铁路行业关键信息基础设施数据安全防护平台研究 [J]. 铁路计算机应用,2021,30(11):73-76. [3] 潘吴斌,程 光,郭晓军,等. 网络加密流量识别研究综述及展望 [J]. 通信学报,2016,37(9):154-167. [4] 郑玉谦,陈晓璠. 基于机器学习的加密流量的特征工程方法研究和系统设计 [J]. 网络安全技术与应用,2021(5):36-39. DOI: 10.3969/j.issn.1009-6833.2021.05.020 [5] 赵晋南,谭献海,张 华,等. 列车控制与服务网络流量监管研究 [J]. 铁路计算机应用,2017,26(11):49-53. [6] 李 洋,张 慧,肖雪露. 基于深度报文检测和机器学习的加密流量识别方法 [J]. 计算机产品与流通,2020(10):285. [7] 闫晓明. 基于特征匹配的协议识别关键技术研究[D]. 长沙: 国防科学技术大学, 2015. [8] XIONG G, HUANG W, ZHAO Y, et al. Real-time detection of encrypted thunder traffic based on trustworthy behavior association[M]//Trustworthy Computing and Services. Berlin, Germany: Springer, 2013: 132-139.
[9] 赵 博,郭 虹,刘勤让,等. 基于加权累积和检验的加密流量盲识别算法 [J]. 软件学报,2013,24(6):1334-1345. [10] 王上淇. 基于深度学习的加密流量算法识别研究[D]. 哈尔滨: 哈尔滨工业大学, 2020. -
期刊类型引用(2)
1. 单智,梁雨灵,陈辉华,豆豪磊,周景深. 智能铁路施工监测关键技术研究与发展. 铁道运输与经济. 2024(07): 115-123 . 
百度学术
2. 关智华,郭志彪. 基于AES的通信信息网络实时加密技术. 现代传输. 2023(06): 60-63 . 百度学术
其他类型引用(0)
下载:
计量
- 文章访问数: 145
- HTML全文浏览量: 51
- PDF下载量: 34
- 被引次数: 2
