Processing math: 0%
  • 查询稿件
  • 获取最新论文
  • 知晓行业信息
官方微信 欢迎关注

铁路网络安全应急预案数字化平台研究

颜世举, 徐东平, 王哲江, 范禹辰, 王洪业

颜世举, 徐东平, 王哲江, 范禹辰, 王洪业. 铁路网络安全应急预案数字化平台研究[J]. 铁路计算机应用, 2023, 32(6): 71-75. DOI: 10.3969/j.issn.1005-8451.2023.06.13
引用本文: 颜世举, 徐东平, 王哲江, 范禹辰, 王洪业. 铁路网络安全应急预案数字化平台研究[J]. 铁路计算机应用, 2023, 32(6): 71-75. DOI: 10.3969/j.issn.1005-8451.2023.06.13
YAN Shiju, XU Dongping, WANG Zhejiang, FAN Yuchen, WANG Hongye. Digital platform for railway network security emergency plan[J]. Railway Computer Application, 2023, 32(6): 71-75. DOI: 10.3969/j.issn.1005-8451.2023.06.13
Citation: YAN Shiju, XU Dongping, WANG Zhejiang, FAN Yuchen, WANG Hongye. Digital platform for railway network security emergency plan[J]. Railway Computer Application, 2023, 32(6): 71-75. DOI: 10.3969/j.issn.1005-8451.2023.06.13

铁路网络安全应急预案数字化平台研究

基金项目: 中国国家铁路集团有限公司科技研究计划重点课题(N2021W008)
详细信息
    作者简介:

    颜世举,助理研究员

    徐东平,正高级工程师

  • 中图分类号: U29 : TP393

Digital platform for railway network security emergency plan

  • 摘要: 针对传统网络安全应急预案无法实现计算机辅助决策和自动执行的问题,基于模块化设计、机器学习技术,研究铁路业务环境的网络安全应急预案数字化平台,实现应急预案数据采集处理、应急预案生成和应急预案执行3个功能,并针对数据采集处理中的初始日志数据,基于机器学习和关联分析技术,从日志组和日志序列两个维度设计了日志异常检测方法。铁路网络安全应急预案数字化平台涵盖了从初始数据检测到发现异常、评估风险、生成预案、执行预案和生成问题报告等一系列安全处置流程,为铁路网络环境安全应急预案数字化平台建设提供了一种新的思路。
    Abstract: In response to the problem of traditional network security emergency plans not being able to achieve computer-aided decision-making and automatic execution, based on modular design and machine learning technology, this paper studied a digital platform for network security emergency plans in railway business environments, implemented three functions: emergency plan data collection and processing, emergency plan generation, and emergency plan execution. The paper focused on the initial log data in data collection and processing, and designed a log anomaly detection method based on machine learning and association analysis techniques from two dimensions: log group and log sequence. The digital platform for railway network security emergency plans covered a series of security disposal processes from initial data detection to discovering anomalies, risk assessment, generation of plans, execution of plans, and generation of problem reports, which provided a new approach for the construction of a digital platform for railway network environment security emergency plans.
  • 随着互联网技术的不断发展,互联网中存在的恶意攻击行为日益增多,在服务器及应用系统受到攻击或威胁时,如何对攻击行为进行检测溯源、如何快速有效地恢复数据使系统正常运行,是网络安全应急预案需要解决的主要问题。近年来, 全球许多行业频繁发生的数据泄露、勒索攻击、高级持续威胁攻击等事件为各企/事业单位敲响了警钟。为了应对网络安全威胁,我国在积极制定和完善网络安全相关机制,推出了《国家网络安全事件应急预案》[1-2],同时,建立了国家网络安全应急预案管理中心、全国信息安全应急响应平台和国家信息安全技术应急响应中心等机构。

    政府部门、互联网企业也相继制定了各种网络安全应急预案。但是,这些预案的主要内容大多以自然语言编写[3],仅能供专业工程师参考并进行人工应急操作,无法通过终端设备、服务器、网络设备和安全设备等进行智能辅助决策或自动执行应急操作,因此,若想通过计算机自动、智能地执行网络安全应急预案,需要将应急预案中的自然语言部分转化为计算机能够理解的数据格式;同时,需要处理计算机生成的告警信息,通过告警信息进行智能决策,自动判断风险等级[4-5],从而生成合适的应急预案并自动执行,这些问题也是本文网络安全应急预案数字化平台的主要研究内容。

    中国铁路客票发售和预订系统(简称:客票系统)是目前全球规模最大的票务交易系统之一和铁路客运业务的重要生产系统之一,也是铁路客运生产秩序和业务发展的基础。因此,客票系统的网络安全应急预案管理是重中之重。

    本文依据中国国家铁路集团有限公司(简称:国铁集团)发布的《铁路网络与信息安全事故应急预案》,以及12306科创中心编写的《客票系统及网络安全应急预案》,建设网络安全应急预案数字化平台,其组成如图1所示。

    图  1  铁路网络安全应急预案数字化平台组成

    应急预案数据采集处理模块主要采集4种数据,包括初始日志数据、风控数据、运营维护(简称:运维)操作手册数据和应急预案数据[6]

    (1)初始日志数据包括系统日志数据、安全设备日志数据、网络设备日志数据和流量行为数据等;

    (2)风控数据指已知的铁路风控系统所能提供的风控告警数据,包括告警事件类别、告警事件等级和告警事件描述。

    (3)运维操作手册数据包括各类安全设备、网络设备、存储设备和系统等命令行级操作手册数据,此外还包括网络安全攻击的处置方案。其提取方法是将运维操作的每个步骤分割为不可再分割的原子操作,作为最小操作单位,如查看日志、查看用户权限、导出日志、删除日志和卸载网卡等。

    (4)应急预案数据包括本企业网络安全应急预案和其他行业网络安全应急预案,将应急预案的每一个小标题作为最小单位提取并保存,如事件类型定义、事件处置流程和事件负责人员等。

    该模块负责应急预案的存储和管理,同时,结合告警信息生成应急预案,可以针对不同网络安全事件给出不同应急预案。通过对应急预案数据采集处理模块收集的数据的分析,基于学习模型进行判断,识别风险等级和风险类别,依据风险等级生成对应的网络安全应急预案和应急处置报告,实现应急预案和应急处置报告的自动生成。

    基于风险等级和风险类别,在固定模板的情况下,根据各个不同应急预案的模块进行组合,将来自于不同铁路局集团公司的应急预案升级、更新成具有针对性的高效应急预案。应急预案的处置模块还会联动具体的执行操作手册,便于之后的应急处置。

    应急预案执行模块负责关联操作手册,并针对应急预案生成可执行的命令,同时,通过钉钉企业级智能移动办公平台、短信通知相关部门。

    根据已形成的应急预案,联动安全事件设备所属的相应部门和执行单位,同时,将应急预案操作手册同步发送到执行单位的工程师。另外,此模块会根据执行单位的硬件条件和使用场景,执行相应的应急操作手册。

    如果需要联动执行单位的安全设备,如态势感知,防火墙等,也可形成一键执行命令,通过具有相应权限的工程师判断后执行操作,该模块也将生成新的应急预案,以素材形式导入到应急预案数据采集处理模块中,并将其当作新的处置事件反馈记录在报告中。

    铁路网络安全应急预案数字化平台包含从初始数据开始检测到现发现异常、评估风险、生成预案、执行预案、生成报告等流程,如图2所示。

    图  2  平台工作流程

    (1) 收集风控数据、流量告警、初始日志数据、运维操作手册数据和应急预案数据,将收集到的初始日志数据进行解析和异常检测,并将风控异常数据、流量告警和日志的异常检测结果进行风险识别和风险标记。

    (2) 将上一阶段的风险标记结果,进行预案数据模块化处理存储并关联相应安全事件,同时通过应急预案管理生成模块自动生成对应具体安全事件的应急预案模版和应急响应报告模版,并将其中应急响应处置内容联动相应的执行操作手册。

    (3) 当触发安全事件之后,将相应应急预案和执行手册一并发给执行工程师和业务责任人,同时将告警信息和应急响应报告发送给相应单位负责人。

    铁路网络安全应急预案数字化平台具有以下4个功能:铁路网络中的网络安全监控、网络安全应急管理、网络安全应急响应和网络安全信息共享。

    铁路网络安全监控主要通过对风控信息数据、流量告警和初始日志数据的异常检测来监控网络环境中的威胁情况和安全隐患。同时支持对数据的可视化分析,其部分监控可视化界面如图3所示。

    图  3  铁路网络安全监控可视化界面

    铁路网络安全应急管理主要包括问题上报、报告模板的自动化生成、网络安全事件预警、联动操作手册、铁路内相同问题同向对比、网络安全薄弱点相关联等功能,实现对安全事件的录入、分析、上报、溯源和整改的全方面管理。

    铁路网络安全应急响应包括对网络日志检测、应急方案更新、相应手册联动更新、网络安全攻击事件的预警、应急预案的自动化生成、应急组织及时通知和应急网络资源联动响应;制定协同处置流程,以书面报告的形式将防范和改进措施记录并留存,报上级有关部门和相应负责人,做好过程记录;定时更新安全事件处置方式,漏洞修复方案和各类相近环境的网络应急处置方案,形成专业的知识库,提高铁路网络安全环境评估和方案论证的能力,提升铁路内对网络安全的应急处置能力。

    铁路网络安全信息共享主要实现铁路内网络风险信息的共享,实现各个铁路局集团公司、国铁集团和铁科院的安全信息共享,提升各个节点的安全应急能力。为确保信息安全,避免信息泄露,具备身份认证、单点登录、权限控制、信息安全和安全管理等功能。

    本文采用基于机器学习的日志异常检测技术,并设计基于日志组和基于日志序列2种不同维度的异常检测方法。

    初始日志一般是非结构化或半结构化的数据,因此在检测前需要对其进行一定的解析工作,提取出日志数据中包含的关键字、变量并将其结构化。日志数据的检测流程包含3个部分:日志解析、行为特征提取、异常行为检测。以某些日志数据为例,其解析流程如图4所示。

    图  4  日志预处理解析流程

    对日志数据进行编码、分词、空格替换、删除特殊符号等预处理操作,并使用FT-Tree算法对日志进行解析[7],构建日志模板树,并筛选出日志模板以外的变量数据。每个日志模板都代表一种类型的日志事件,对每类事件赋予一个事件id,就可以将日志序列转化为事件向量,便于后续异常检测工作的进行。

    基于日志组的异常检测主要检测各时间段下日志类型和数量的分布。需要按固定的时间片段将日志分成不同的组,本文采用滑动窗口的思想,设窗口大小为T 条日志(T 为单个窗口的日志条数),并将日志组按窗口大小T 进行滑动,考虑到窗口边缘可能存在被切分的连贯事件序列,每次切分日志组后将窗口向后滑动半个窗口大小T,保证位于窗口边缘的日志下次分组时处于日志组的中间位置。

    得到切分的日志组后,对每个日志组,统计其各类型事件id数量,形成日志组各事件数量特征向量。并通过主成分分析法,对特征向量序列进行标准化、归一化、降维操作,得到日志事件与事件数量特征在低维度的投影,并计算平方预测误差。给定事件向量 x,其平方预测误差计算方法如下:

    {\text{S}}PE({\boldsymbol{x}}) = {{\boldsymbol{x}}^T}({\boldsymbol{I}} - P{P^T}){\boldsymbol{x}} (1)

    其中, I 为单位矩阵、P 为负荷矩阵。给定置信度后可计算其控制限[8],若平方预测误差超过控制限,则认为该日志组存在异常。

    各种服务和进程的执行,都存在一定的逻辑,并可以体现为不同行为的事件序列、计数序列特征,这些特征都隐藏在海量日志数据中,每条日志都可能是某个服务或进程执行中一部分操作的体现,因此需要关联日志上下文,对日志序列进行检测,判断其是否符合正常的行为流程。

    本文通过关联分析的方法检测日志序列是否存在异常,根据进程pid、用户名等特征对日志进行分类,并将其按一定长度切分为日志序列。通过Apriori算法计算各日志序列的关联规则集[9],构成正常行为规则库。在对日志序列进行异常检测时,同样先计算该日志序列的规则集,计算其与规则库中正常规则集的相似/偏离程度。关联规则以E: X->Y的形式表现,其中XY均为某一项集(由两个或多个项组成的集合)的子集且XY的交集非空,给定2个规则相同且支持度s、置信度c不同的关联规则E1E2,其相似度计算公式为:

    s(E:{{X}} - > {{Y}}) = \frac{{num(({{X}} \cup {{Y}}) \subseteq D)}}{{num(D)}} (2)
    c(E:{{X}} - > {{Y}}) = \frac{{s({{X}} \cup {{Y}})}}{{s({{X}})}} (3)
    {\text{Sim}}({E_1},{E_2}) = \max \left( {0,1 - \max \left( {\frac{{\left| {{s_1} - {s_2}} \right|}}{{{s_1}}},\frac{{\left| {{c_1} - {c_2}} \right|}}{{{c_1}}}} \right)} \right) (4)

    其中,D为数据集,s1s2为关联规则E1E2的支持度,c1c2为关联规则E1E2的置信度。当两个关联规则不同时,其相似度为0。由多个关联规则构成的集合称为规则集,基于关联规则的相似度,计算给定规则集R1R2的相似度:

    {\text{Sim}}({{{R}}_1},{{{R}}_2}) = \frac{{{\delta ^2}}}{{\left| {{{{R}}_1}} \right|\left| {{{{R}}_2}} \right|}} (5)

    其中,\delta 为两个规则集中各关联规则的相似度。本文通过相似度计算,分析日志序列与系统正常行为的偏离程度,当偏离程度超过一定阈值时,则认为该日志序列存在异常。

    网络安全应急预案数字化平台可实现对铁路各安全系统的数据整合,进行有效利用与分析,识别风险,并针对安全事件自动生成网络安全应急预案。能够完成对安全事件处置的实时更新。实现高效快速处置网络安全事件,提高铁路网络安全应急能力。

  • 图  1   铁路网络安全应急预案数字化平台组成

    图  2   平台工作流程

    图  3   铁路网络安全监控可视化界面

    图  4   日志预处理解析流程

  • [1] 宫亚峰. 坚守最后防线, 做好网络安全应急工作 [J]. 中国信息安全,2017(7):37-40. DOI: 10.3969/j.issn.1674-7844.2017.07.020
    [2] 袁 胜. 新形势下更需加强网络安全应急管理 [J]. 中国信息安全,2020(3):26-27.
    [3] 师 越,师海忠. 自然语言是正则语言 [J]. 计算机科学,2014,41(11A):51-54.
    [4] 荣晓燕,朱 岩. 政务网络安全事件应急预案体系建设实践 [J]. 信息安全研究,2019,5(5):377-382. DOI: 10.3969/j.issn.2096-1057.2019.05.003
    [5] 崔 浩. 公安应急预案数字化管理平台的设计与实现[D]. 北京: 中国人民公安大学, 2019.
    [6] 杨晓峰. 基于机器学习的Web安全检测方法研究[D]. 南京: 南京理工大学, 2011.
    [7]

    Zhang S L, Meng W B, Bu J H, et al. Syslog processing for switch failure diagnosis and prediction in datacenter networks[C]//Proceedings of the IEEE/ACM 25th International Symposium on Quality of Service, 14-16 June 2017, Vilanova i la Geltrú, Spain. New York, USA: IEEE, 2017. 1-10.

    [8]

    Jackson J E, Mudholkar G S. Control procedures for residuals associated with principal component analysis [J]. Technometrics, 1979, 21(3): 341-349. DOI: 10.1080/00401706.1979.10489779

    [9]

    Borgelt C, Kruse R. Induction of association rules: Apriori implementation[M]//Härdle W, Rönz B. Compstat: Proceedings in Computational Statistics. Heidelberg: Physica, 2002. 395-400.

  • 期刊类型引用(4)

    1. 郭晨. 铁路应急响应机制建设与完善策略研究. 汽车周刊. 2025(02): 189-191 . 百度学术
    2. 魏长水,王震华,程浩宇. 面向铁路网络安全风险的监控预警系统研究. 网络安全技术与应用. 2024(05): 101-104 . 百度学术
    3. 王田芙蓉,李加莲,念军伟. 应急响应程序时效性评估方法研究. 科技促进发展. 2024(04): 304-314 . 百度学术
    4. 肖思宇,陈彦茹. 基于机器学习的应急事件安全风险评估与预测方法研究. 现代职业安全. 2024(09): 93-95 . 百度学术

    其他类型引用(1)

图(4)
计量
  • 文章访问数:  118
  • HTML全文浏览量:  39
  • PDF下载量:  42
  • 被引次数: 5
出版历程
  • 收稿日期:  2022-12-20
  • 刊出日期:  2023-06-24

目录

/

返回文章
返回