宋锦平

（中国铁路太原局集团有限公司 信息技术所，太原 030013）

中国铁路客票发售和预订系统（简称：铁路客票系统）是承载我国铁路运输服务的国家关键基础设施，主要包括2个主中心、18个地区中心，并覆盖数千个车站[1]。各个地区中心承上启下，通过铁路数据网向主中心核心交换机上传数据；通过铁路数据网或专线下连各车站系统，形成了国铁集团级、铁路局集团公司级、车站级的三级架构。铁路客票系统的信息安全关乎国家安全、社会秩序和公众利益，因此，铁路客票系统的安全风险控制工作变得至关重要[2-4]。随着网络安全等级保护相关法律法规、技术标准的颁布与实施[5]，铁路客票系统的网络安全防护技术需要不断更新和完善，并且，更需要实时掌握其安全状态，评估网络安全事件发生的概率与风险，预测网络安全态势，辅助网络安全管理员制定针对性的防范措施，保障铁路客票系统安全可靠、稳定运行。

网络安全态势感知能够为管理员和决策者提供全面、直观的网络安全状况，是网络安全领域的重要安全风险控制技术[6-7]。针对铁路局集团公司客票发售和预订系统（简称：铁路局客票系统）难以全面把握网络安全态势问题，本文将网络安全态势感知技术应用于铁路局客票系统，综合利用大数据分析、人工智能、可视化等技术对其网络安全数据进行集中采集和特征提取，对其安全状态进行评分评级，从而实时感知可能存在的安全威胁，预测铁路局客票系统的安全态势。

1 铁路局客票系统网络安全态势感知

1.1 网络安全态势感知关键技术

网络安全态势感知就是通过监测网络中数据的变化，挖掘数据中隐藏的信息，发现网络中存在的安全问题。态势感知关键技术如下。

（1）数据采集。采集包括手机的网络流量、告警日志、设备参数等信息。

（2）特征处理。需要对大量的异构数据和不完整数据进行筛选、归并、补全，再进行特征处理，选择合适的特征作为态势感知的基础数据。

（3）态势评估。利用统计分析、机器学习或深度学习的方法，对当前网络状态进行评估。

（4）态势预测。与态势评估类似，对短时间内网络的安全态势进行预测。

（5）可视化呈现。将评估和预测的结果可视化地展现出来，为技术人员维护网络安全提供参考。

铁路局客票系统具有数据量大、高度异构性等特征[8-9]。从业务上看，铁路局客票系统以票务业务为核心，针对不同的旅客，提供标准化与个性化兼备的服务，以及多种票务延伸服务和相应的管理支撑[10]。铁路客票系统运行过程中产生的业务数据和日志数据及设备基础信息是网络安全态势感知的数据来源。

1.2 铁路局客票系统态势感知可视化

铁路局客票系统网络安全态势感知可视化，就是以购票业务为核心，展示当前网络态势对购票业务的影响，并对影响程度进行可视化标识[11-13]，为铁路局客票系统安全数据赋予表现力，使安全管理员和决策者能够从视觉上感受到当前铁路局客票系统的安全状态，为铁路运营管理、安全运营维护（简称：运维）等提供依据。

1.2.1 态势感知可视化的两个层面

1.6 缴费申报。这个申报主要是指依照每个企业的职工单位缴纳费用基数和个人的缴纳费用技术来计算这个月份应该缴纳的社会保险费用。每个单位都应该在计算完毕，经过本人签字之后进行上报。

铁路局客票系统承载各种客票核心业务、铁路局集团公司个性化业务，以及席位存根的数据服务，起到承上启下的作用。根据其业务架构，构建购票业务服务拓扑。将购票业务服务拓扑映射到铁路局客票系统网络拓扑，这样，在网络层面暴露的网络攻击行为就可以直接映射到对应的服务，帮助技术人员及时了解网络攻击可能会影响的服务，以及造成影响的程度。通过业务拓扑和网络拓扑的关联映射，从两个层面进行可视化网络态势感知。

（1）网络层面

在网络层面看网络拓扑、数据流等信息，并利用态势评估和预测技术得到当前的网络态势，对可能存在的网络攻击进行识别和溯源，将这些攻击信息可视化地展现出来。

（2）业务层面

利用业务拓扑和网络拓扑间的映射，将铁路局客票系统网络安全程度映射到业务拓扑，并对每一个服务的安全程度进行评级和标识。当某一区域的网络受到攻击时，受该网络影响的所有服务都将在业务拓扑图中显现出来，并根据影响程度作不同的区分。这样，决策者就可以根据这些信息，调整服务策略并安排相关人员解决问题。

1.2.2 铁路局客票系统安全感知架构

图1 铁路局客票系统安全态势感知架构

2 铁路局客票系统网络态势评估与预测

2.1 数据采集与特征提取

本文提出的态势感知采用多类型探针组合的方式，对铁路局客票系统内各类软/硬件资产进行数据采集。采集的对象包括但不限于车站窗口终端、自动售/检票机、互联网代售点，各类服务器与路由交换系统，以及网络安全基础防护设备等。

2.1.1 采集的数据内容

（1）流量数据

除了通用的网络协议外，铁路局客票系统中还存在工控相关控制协议及私有协议，利用铁路局客票系统安全态势感知流量探针提取旅客在购票过程中产生的网络报文数据，获取重要网络链路的流量状况，并进行病毒检测和入侵检测。

（2）系统和业务数据

铁路局客票系统在大量的主机设备中部署了复杂的业务应用。通过读取服务器、售/检票机等主机及数据库的操作日志、系统内设备告警信息、错误信息，实现系统数据的采集。铁路局客票系统资产管理以业务为引导，记录每一个业务行为所对应的服务、软件、硬件和人员。建立资产画像，画像信息包括但不限于以下内容：设备属性、生产厂商、设备型号、操作系统、已安装软件、主要服务端口号、资产位置、设备温度等。记录所有业务流程及其关联资产，根据企业的业务构建个性化的业务数据库，并建立业务拓扑与网络拓扑的映射，得到网络流程白名单。拒绝并记录所有不符合白名单的网络流程，达到防御未知攻击和业务态势感知的目的。铁路局客票系统业务行为的对应关系如图2所示。

2.1.2 特征提取

铁路局客票系统中大量有用的信息包含在多元异构的原始数据中，难以直接用于网络态势评估与预测，需要先对数据进行特征标定，特征选取的合理性决定了网络态势评估与预测的准确性。本文结合铁路局客票系统的网络架构，参考CICIDS2017网络安全公开数据集对原始数据进行了特征提取，选取的特征包括：物理层和应用层安全相关属性、网络连接的基本属性、时间尺度的数据统计特征、空间尺度的数据统计特征及正规业务流程等。

2.2 态势评估

安全态势评估是铁路局客票系统网络安全态势感知中至关重要的一环，准确地评估当前网络的安全态势，可以帮助管理员和决策者实时掌握网络运行状况。利用安全态势评估算法，从网络流量、系统日志和业务流程3个角度对铁路局客票系统进行网络安全评估，以此来描述当前网络的安全等级，并将结果提交给网络管理人员，辅助网络管理人员快速、准确地做出决策。

许多机器学习和深度学习的方法都可应用于安全态势的评估。由于单一算法的评估存在不稳定性，所以，本文采用随机森林、权重分析、贝叶斯网络、D-S证据理论、BP神经网络等[14-15]方法同时进行评估，统计评估结果，取其平均值，作为最终的铁路局客票系统网络安全态势评估结果。由于网络安全态势评估旨在为铁路局客票系统的安全性做出等级评定，对具体得分的精确度要求不高，通过多模型结合的形式，可以在牺牲一定的得分准确度的前提下降低评估结果的方差，提高模型稳定性。

2.3 态势预测

铁路局客票系统安全态势预测的基本过程是参考该系统历史和当前态势信息，利用合适的模型、算法，定性或定量预测可预见的未来一段时间内网络安全态势的发展变化趋势。需要对网络安全态势做出定性或定量的推断，并提醒管理部门和决策者及时做出调控。本文选用马尔科夫模型和长短期记忆网络对铁路局客票系统网络安全态势进行预测。

3 试用效果分析

将本文提出的网络安全态势感知技术试用于中国铁路太原局集团有限公司客票系统（简称：太原局客票系统），试用结果表明，该技术能够提升网络安全管理水平。在资产管理方面，可以更全面地了解客票业务与物理设施的关联，实现资产的统筹管理和网络安全问题可溯源；在网络安全态势方面，利用机器学习和深习度学习的手段，准确评估和预测太原局客票系统网络安全态势，及时提醒网络安全人员做好防护工作，避免恶意攻击造成的损失；在可视化方面，实现了业务安全可视化和网络安全可视化相结合。业务安全可视化为管理层提供客票业务的安全态势，帮助管理层在宏观上做出决策，防患于未然；网络安全可视化为技术人员提供太原局客票系统各网络单元的安全态势，辅助技术人员迅速采取措施，解决安全问题。

4 结束语

随着国家网络安全等级保护2.0相关法律法规、政策规范、技术标准的颁布与实施，对铁路局客票系统安全保障工作提出了更高的要求。铁路局客票系统在建设、运维和管理过程中，产生并积累了大量的数据，本文结合铁路局客票系统的特性，研究该系统数据的采集与预处理方法，给出了数据特征选取方案；结合铁路局客票系统购票业务，提出以购票业务为核心，从业务和网络两个层面实现铁路局客票系统安全态势感知可视化的方法；提出了多方案协同的态势感知评估和预测方案。本文研究的态势感知技术已试用于太原局客票系统，可为铁路局客票系统安全防护提供参考。