郭梓萌，朱廣劼，徐洪蘋(píng)

（1. 中國(guó)鐵道科學(xué)研究院 研究生部，北京 100081；2. 中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081；3. 中國(guó)鐵路哈爾濱局集團(tuán)有限公司 科技和信息化部，哈爾濱 150006）

隨著我國(guó)鐵路信息化進(jìn)程的不斷推進(jìn)，上網(wǎng)、上云企業(yè)的數(shù)據(jù)量屢創(chuàng)新高，基于新技術(shù)的應(yīng)用系統(tǒng)層出不窮，顯著提升了鐵路工作人員的工作效率，同時(shí)，也對(duì)信息系統(tǒng)的安全性提出了全新的要求。近年來(lái)，網(wǎng)絡(luò)攻防雙方不斷博弈，新型網(wǎng)絡(luò)攻擊手段逐漸轉(zhuǎn)向以零日攻擊為代表的專業(yè)性強(qiáng)、頻次低、隱蔽性高、更難以防備的攻擊模式，同時(shí)，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)本身的未知漏洞，發(fā)掘后門(mén)和針對(duì)性攻擊更是屢見(jiàn)不鮮。傳統(tǒng)的網(wǎng)絡(luò)防御模式依賴先驗(yàn)性知識(shí)，如病毒庫(kù)、漏洞庫(kù)等，難以應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊，因此，要解決傳統(tǒng)網(wǎng)絡(luò)防御存在的滯后性、脆弱性等問(wèn)題，需要探究新手段，研究新方法。

傳統(tǒng)的被動(dòng)防御思想是當(dāng)系統(tǒng)遭受攻擊后，對(duì)已實(shí)施的攻擊進(jìn)行比對(duì)和分析等處理，而主動(dòng)防御思想則是通過(guò)增強(qiáng)系統(tǒng)自身抗攻擊性，在攻擊發(fā)生前對(duì)攻擊進(jìn)行處理。鄔江興基于主動(dòng)防御思想，提出了獨(dú)創(chuàng)的擬態(tài)防御技術(shù)[1-3]。本文總結(jié)擬態(tài)防御相關(guān)的研究?jī)?nèi)容，概述國(guó)內(nèi)擬態(tài)防御基本思想和理論算法研究現(xiàn)狀，根據(jù)鐵路實(shí)際需求和網(wǎng)絡(luò)安全現(xiàn)狀，提出基于設(shè)備和應(yīng)用的網(wǎng)絡(luò)安全擬態(tài)改造思路，為提升鐵路主動(dòng)防御能力提供技術(shù)支持。

1 擬態(tài)防御概述

為能更好地應(yīng)對(duì)未知的網(wǎng)絡(luò)威脅，不依賴先驗(yàn)性知識(shí)的主動(dòng)防御技術(shù)逐漸成為網(wǎng)絡(luò)安全防御領(lǐng)域的研究焦點(diǎn)。主動(dòng)防御是指通過(guò)一定的技術(shù)手段，在系統(tǒng)遭受攻擊并造成損失前就對(duì)攻擊進(jìn)行攔截處理的一種防御思想。通過(guò)主動(dòng)防御，系統(tǒng)能及時(shí)地避免、轉(zhuǎn)移、降低攻擊風(fēng)險(xiǎn)。目前，基于主動(dòng)防御思想的防御技術(shù)有入侵容忍、蜜罐、移動(dòng)目標(biāo)防御、零信任架構(gòu)、可信計(jì)算等[4]，技術(shù)對(duì)比如表1所示。

表1 基于主動(dòng)防御思想的部分技術(shù)對(duì)比

現(xiàn)有的主動(dòng)防御手段缺乏應(yīng)對(duì)因系統(tǒng)本身的漏洞、后門(mén)等產(chǎn)生的未知安全風(fēng)險(xiǎn)和不確定性攻擊的能力。擬態(tài)防御的出現(xiàn)彌補(bǔ)了這一短板，其核心目的是使系統(tǒng)在應(yīng)對(duì)完全未知的攻擊手段、途徑、目的的情況下，通過(guò)基于擬態(tài)防御思想的動(dòng)態(tài)異構(gòu)冗余（DHR，Dynamic Heterogeneous Redundancy）體系架構(gòu)，使攻擊“無(wú)效化”，進(jìn)而提升系統(tǒng)的安全性和可用性。

1.1 擬態(tài)防御原理

擬態(tài)防御的核心思想是將輸入系統(tǒng)的數(shù)據(jù)信息交由不同的執(zhí)行體進(jìn)行處理，不同執(zhí)行體架構(gòu)、邏輯等存在異構(gòu)，由于網(wǎng)絡(luò)攻擊行為是針對(duì)某類系統(tǒng)存在的漏洞進(jìn)行攻擊，所以多個(gè)不同的系統(tǒng)對(duì)于同一輸入信息進(jìn)行處理后，輸出的信息應(yīng)是多數(shù)正確的，對(duì)這些信息進(jìn)行擇多表決，就可保證經(jīng)過(guò)擬態(tài)處理后的輸出信息的正確性。

擬態(tài)防御的經(jīng)典模型是DHR模型，如圖1所示。由擬態(tài)括號(hào)確定了擬態(tài)界，擬態(tài)左括號(hào)由輸入代理及分發(fā)器組成，擬態(tài)右括號(hào)由輸出代理及表決器組成。系統(tǒng)數(shù)據(jù)從擬態(tài)左括號(hào)輸入，交由分發(fā)器分發(fā)給上線運(yùn)行的異構(gòu)執(zhí)行體，由不同執(zhí)行體對(duì)該輸入信息進(jìn)行處理，并將不同的輸出信息匯總至表決器，表決器依據(jù)表決算法進(jìn)行信息處理，輸出結(jié)果，將存在異常的執(zhí)行體反饋至調(diào)度器，并根據(jù)調(diào)度算法對(duì)執(zhí)行體進(jìn)行上下線調(diào)度。

圖1 擬態(tài)防御DHR模型

1.2 擬態(tài)防御算法

在擬態(tài)防御體系中，執(zhí)行體是異構(gòu)性的基礎(chǔ)，調(diào)度算法是異構(gòu)性的核心，表決算法決定了最終輸出的正確與否，對(duì)擬態(tài)防御算法的討論一般基于上述兩種算法。

通過(guò)衡量算法的核心調(diào)度指標(biāo)、調(diào)度時(shí)機(jī)及其適用性，可對(duì)擬態(tài)防御調(diào)度算法進(jìn)行分類，調(diào)度算法列表如表2所示。調(diào)度算法主要負(fù)責(zé)執(zhí)行體的上下線，回答在各類情況下如何調(diào)度這一問(wèn)題。調(diào)度時(shí)機(jī)一般分為3種：（1）依據(jù)算法執(zhí)行周期調(diào)度；（2）當(dāng)執(zhí)行體異常時(shí)收集反饋信息綜合判斷，執(zhí)行異常反饋調(diào)度或異常累計(jì)觸發(fā)調(diào)度；（3）依據(jù)博弈論執(zhí)行調(diào)度。調(diào)度指標(biāo)有依據(jù)正態(tài)分布等隨機(jī)算法隨機(jī)選擇、執(zhí)行體相似度判斷、執(zhí)行體異構(gòu)度判斷、依據(jù)調(diào)度歷史信息判斷、基于歷史信息及執(zhí)行體原始屬性等對(duì)執(zhí)行體置信度或是勝任系數(shù)進(jìn)行判斷、裁決器的裁決結(jié)果反饋等。不同的業(yè)務(wù)需求也限制著調(diào)度算法的具體設(shè)計(jì)。

表2 擬態(tài)防御調(diào)度算法

表決算法多與調(diào)度算法相互配合，基本的表決算法采用大數(shù)判決法進(jìn)行多數(shù)一致性表決，或可參考調(diào)度算法的執(zhí)行體異構(gòu)度、歷史調(diào)度信息等進(jìn)行綜合裁決。

2 鐵路信息系統(tǒng)網(wǎng)絡(luò)防御體系分析

2.1 鐵路信息系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)狀

鐵路信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)經(jīng)過(guò)多年發(fā)展，基本建成了“五網(wǎng)三級(jí)”的鐵路縱深防御體系，其中，“五網(wǎng)”指綜合信息網(wǎng)、資金網(wǎng)、客票專網(wǎng)、調(diào)度指揮專網(wǎng)、旅客服務(wù)網(wǎng)；“三級(jí)”指中國(guó)國(guó)家鐵路集團(tuán)有限公司（簡(jiǎn)稱：國(guó)鐵集團(tuán)）級(jí)、鐵路局集團(tuán)公司級(jí)和站段級(jí)。鐵路主數(shù)據(jù)中心建成投入使用及鐵路綜合信息網(wǎng)一體化保障工程、鐵路網(wǎng)絡(luò)安全調(diào)度指揮中心的建設(shè)實(shí)施使得鐵路網(wǎng)絡(luò)安全防御能力有了進(jìn)一步提升。鐵路信息系統(tǒng)目前雖已具備縱深防御能力，但在應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊、未知攻擊和未知漏洞方面還存在問(wèn)題，具體如下。

（1）主動(dòng)防御能力薄弱。隨著網(wǎng)絡(luò)空間安全威脅水平的不斷提高，鐵路綜合信息網(wǎng)的互聯(lián)網(wǎng)邊界和核心區(qū)域均采用傳統(tǒng)的被動(dòng)防御手段，包括部署核心防火墻、入侵檢測(cè)設(shè)備等，已經(jīng)不能適用于以專業(yè)性更強(qiáng)、針對(duì)性更高為特點(diǎn)的一系列新型網(wǎng)絡(luò)空間安全威脅。

（2）部分網(wǎng)絡(luò)安全防護(hù)技術(shù)落后。通過(guò)鐵路信息網(wǎng)一體化保障工程建立了安全態(tài)勢(shì)感知平臺(tái)、電子統(tǒng)一身份認(rèn)證平臺(tái)、數(shù)據(jù)安全風(fēng)險(xiǎn)分析平臺(tái)等，但鐵路信息系統(tǒng)既有的安全措施部署較早，技術(shù)落后，部分設(shè)備日趨老化，缺少安全監(jiān)測(cè)預(yù)警和威脅情報(bào)分析的能力。

（3）專用信息網(wǎng)防護(hù)技術(shù)單一。當(dāng)前的專用信息網(wǎng)主要以采用防火墻、身份認(rèn)證和防病毒等傳統(tǒng)安全產(chǎn)品為主，針對(duì)外部攻擊進(jìn)行防護(hù)，缺少針對(duì)內(nèi)部越權(quán)和漏洞攻擊的防護(hù)手段。

2.2 擬態(tài)防御應(yīng)用必要性分析

擬態(tài)防御可較好地解決鐵路系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)存的部分問(wèn)題。

（1）補(bǔ)短板。擬態(tài)防御打破了傳統(tǒng)的被動(dòng)防御思路，通過(guò)DHR模型增強(qiáng)了信息系統(tǒng)的內(nèi)生安全，實(shí)現(xiàn)不依賴先驗(yàn)性知識(shí)對(duì)未知網(wǎng)絡(luò)攻擊進(jìn)行及時(shí)、有效的主動(dòng)防御，可有效彌補(bǔ)鐵路主動(dòng)防御能力薄弱的問(wèn)題。

（2）效率高。擬態(tài)防御通過(guò)對(duì)已有構(gòu)件的異構(gòu)組合來(lái)提升整體安全性，改造效率高、成本低。

（3）適用性強(qiáng)。擬態(tài)防御思想可泛化使用在設(shè)備、服務(wù)器架構(gòu)、網(wǎng)絡(luò)系統(tǒng)等各個(gè)層面，可分批次、分層上線使用。

3 鐵路信息系統(tǒng)擬態(tài)防御改造探討

為提升鐵路應(yīng)對(duì)未知風(fēng)險(xiǎn)的能力，增強(qiáng)鐵路主動(dòng)防御水平，本文開(kāi)展了鐵路信息系統(tǒng)的擬態(tài)改造方案研究。以鐵路綜合信息網(wǎng)中的外部服務(wù)網(wǎng)為改造對(duì)象，提出部分設(shè)備改造、整體網(wǎng)絡(luò)架構(gòu)改造和應(yīng)用系統(tǒng)改造3種擬態(tài)防御改造思路，原始網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 外部服務(wù)網(wǎng)原始網(wǎng)絡(luò)架構(gòu)示意

3.1 部分設(shè)備擬態(tài)改造

目前，針對(duì)交換機(jī)和路由器設(shè)備的擬態(tài)改造方法已較為成熟。擬態(tài)交換機(jī)通過(guò)虛擬化和多樣化編譯技術(shù)，在CPU、操作系統(tǒng)、協(xié)議棧層面構(gòu)建功能等價(jià)的異構(gòu)執(zhí)行體。擬態(tài)路由器采用分布式架構(gòu)，由業(yè)務(wù)單元（SU）、主控單元（MCU）、計(jì)算單元（CU）構(gòu)成。

部分設(shè)備擬態(tài)改造主要指對(duì)位于網(wǎng)絡(luò)邊界和核心的部分傳統(tǒng)防護(hù)設(shè)備進(jìn)行改造，采用擬態(tài)設(shè)備直接替換原有設(shè)備。如圖3所示，采用擬態(tài)交換機(jī)替換了外部服務(wù)網(wǎng)中原有的交換機(jī)。

圖3 外部服務(wù)網(wǎng)部分設(shè)備擬態(tài)改造示意

鐵路領(lǐng)域部分設(shè)備擬態(tài)改造主要對(duì)鐵路信息系統(tǒng)核心交換機(jī)進(jìn)行擬態(tài)改造，分為設(shè)備更換、參數(shù)配置、聯(lián)調(diào)聯(lián)試及系統(tǒng)性測(cè)試等幾個(gè)階段，改造完成后，可有效提升鐵路網(wǎng)絡(luò)系統(tǒng)防御能力，彌補(bǔ)現(xiàn)有鐵路網(wǎng)絡(luò)安全防御無(wú)法應(yīng)對(duì)針對(duì)核心交換機(jī)設(shè)備的后門(mén)、漏洞等進(jìn)行未知攻擊這一短板。

3.2 整體網(wǎng)絡(luò)架構(gòu)擬態(tài)改造

對(duì)部分設(shè)備進(jìn)行擬態(tài)改造可提高局部網(wǎng)絡(luò)的安全性，但要提升整體網(wǎng)絡(luò)的內(nèi)生安全，需要由點(diǎn)及面地?cái)U(kuò)大擬態(tài)化改造范圍，以整體網(wǎng)絡(luò)為改造對(duì)象。整體網(wǎng)絡(luò)架構(gòu)主要是對(duì)外部服務(wù)網(wǎng)的交換機(jī)、防火墻、路由器等現(xiàn)有網(wǎng)絡(luò)安全設(shè)備進(jìn)行擬態(tài)設(shè)備替換，如圖4所示。

圖4 應(yīng)用系統(tǒng)擬態(tài)改造示意

實(shí)現(xiàn)傳統(tǒng)基礎(chǔ)設(shè)備到擬態(tài)網(wǎng)絡(luò)產(chǎn)品的整體升級(jí)換代，發(fā)揮擬態(tài)技術(shù)優(yōu)勢(shì)，賦能網(wǎng)絡(luò)安全。改造方案完成后，基本建成基于擬態(tài)防御思想的內(nèi)生安全架構(gòu)，創(chuàng)新性改變存儲(chǔ)系統(tǒng)的功能結(jié)構(gòu)和運(yùn)行環(huán)境，有效抑制和管控軟硬件隨機(jī)性失效產(chǎn)生的安全風(fēng)險(xiǎn)，阻斷利用未知漏洞和后門(mén)的攻擊行為，有效防止數(shù)據(jù)泄露和數(shù)據(jù)篡改。與部分設(shè)備改造相比，整體網(wǎng)絡(luò)改造的難度加大、周期延長(zhǎng)。

3.3 應(yīng)用系統(tǒng)擬態(tài)改造

要實(shí)現(xiàn)全網(wǎng)絡(luò)的擬態(tài)化改造升級(jí)，就要在現(xiàn)有設(shè)備的擬態(tài)化替代之外，充分考慮網(wǎng)絡(luò)系統(tǒng)實(shí)際狀況。在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的各個(gè)方面時(shí)，考慮擬態(tài)防御思想，針對(duì)安全等級(jí)較高、易受網(wǎng)絡(luò)滲透攻擊的系統(tǒng)，將DHR納入系統(tǒng)設(shè)計(jì)的基本要求中，對(duì)需要進(jìn)行擬態(tài)防護(hù)的系統(tǒng)參考DHR模型進(jìn)行詳細(xì)設(shè)計(jì)。

本文以某鐵路互聯(lián)網(wǎng)應(yīng)用系統(tǒng)為例給出系統(tǒng)擬態(tài)改造方案，如圖5所示。系統(tǒng)數(shù)據(jù)由規(guī)則引擎組件讀入后交由分發(fā)器分發(fā)至上線運(yùn)行的各個(gè)異構(gòu)執(zhí)行體。依據(jù)互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)處理流程進(jìn)行分層次處理后，匯總至表決器進(jìn)行表決輸出。在數(shù)據(jù)處理過(guò)程中，調(diào)度器依據(jù)系統(tǒng)運(yùn)行狀況、表決器反饋或內(nèi)置算法等，在異構(gòu)執(zhí)行體池的執(zhí)行體集中對(duì)異構(gòu)執(zhí)行體進(jìn)行上下線調(diào)度控制，保證系統(tǒng)安全性。

圖5 外部服務(wù)網(wǎng)整體網(wǎng)絡(luò)架構(gòu)擬態(tài)改造示意

系統(tǒng)擬態(tài)改造主要包括擬態(tài)界選取、擬態(tài)防御組件適配和異構(gòu)執(zhí)行體選取3個(gè)主要步驟。

3.3.1 擬態(tài)界選取

擬態(tài)設(shè)計(jì)應(yīng)對(duì)所要進(jìn)行擬態(tài)防護(hù)的系統(tǒng)進(jìn)行攻擊面分析，選取合適的擬態(tài)界，進(jìn)而確定擬態(tài)左括號(hào)和擬態(tài)右括號(hào)的具體防護(hù)范圍?，F(xiàn)有的鐵路信息系統(tǒng)架構(gòu)可分為4類：?jiǎn)误w架構(gòu)、分布式架構(gòu)、微服務(wù)架構(gòu)和云服務(wù)架構(gòu)。

需要進(jìn)行擬態(tài)改造的鐵路互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的架構(gòu)屬于單體架構(gòu)，單體架構(gòu)是典型的三級(jí)架構(gòu)，由前端、業(yè)務(wù)邏輯層和數(shù)據(jù)庫(kù)層構(gòu)成，外部攻擊多是通過(guò)前端侵入，影響業(yè)務(wù)邏輯層，竊取數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)，因此，其擬態(tài)界應(yīng)包括前后端數(shù)據(jù)接口、整個(gè)業(yè)務(wù)邏輯層及后端數(shù)據(jù)庫(kù)。

3.3.2 擬態(tài)防御組件適配

在確定了擬態(tài)界的具體防護(hù)范圍后，應(yīng)考慮擬態(tài)防御組件適配問(wèn)題，主要包括分發(fā)器、表決器和調(diào)度器。分發(fā)器負(fù)責(zé)對(duì)輸入擬態(tài)界的數(shù)據(jù)信息進(jìn)行分發(fā)處理，為保證分發(fā)和裁決的數(shù)據(jù)包的有序性，需要在每一個(gè)請(qǐng)求報(bào)文中添加標(biāo)簽信息，使每個(gè)擬態(tài)組件模塊可識(shí)別出請(qǐng)求的序列，同時(shí)，需要考慮多個(gè)執(zhí)行體并發(fā)執(zhí)行時(shí)的同步問(wèn)題；表決器負(fù)責(zé)對(duì)執(zhí)行體調(diào)用后的結(jié)果進(jìn)行歸一化處理和正確性抉擇，同時(shí)負(fù)責(zé)執(zhí)行體異常判斷和異常反饋，其依賴的表決算法的設(shè)計(jì)和選取決定了擬態(tài)系統(tǒng)輸出的正確性；調(diào)度器是擬態(tài)防御的核心模塊，負(fù)責(zé)綜合表決器的反饋信息和調(diào)度算法執(zhí)行信息，控制執(zhí)行體的調(diào)度上下線，并將相應(yīng)執(zhí)行體信息重新反饋至分發(fā)器。

3.3.3 異構(gòu)執(zhí)行體選取

互聯(lián)網(wǎng)應(yīng)用可在數(shù)據(jù)庫(kù)管理軟件、中間件、執(zhí)行腳本及操作系統(tǒng)4層實(shí)現(xiàn)擬態(tài)改造，可用于實(shí)現(xiàn)異構(gòu)的執(zhí)行體集如表3所示。

表3 擬態(tài)執(zhí)行體集

對(duì)系統(tǒng)進(jìn)行擬態(tài)改造可以極大地提升系統(tǒng)的內(nèi)生安全性，但同時(shí)也要考慮擬態(tài)改造對(duì)實(shí)際應(yīng)用系統(tǒng)的性能、吞吐量等方面的影響，需要分析具體情況，制定相應(yīng)改造措施。

4 結(jié)束語(yǔ)

鐵路信息系統(tǒng)的網(wǎng)絡(luò)防御體系不斷完善，逐步形成分類分級(jí)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，針對(duì)大規(guī)模網(wǎng)絡(luò)攻擊已有較好的防御手段。但網(wǎng)絡(luò)攻擊手段仍在不斷更新，需要不斷學(xué)習(xí)新的防御思想，改進(jìn)、完善現(xiàn)有的防御體系，從而更好地應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊。本文對(duì)擬態(tài)防御技術(shù)的基本原理和核心算法進(jìn)行了簡(jiǎn)要介紹，分析了鐵路系統(tǒng)網(wǎng)絡(luò)防御體系現(xiàn)狀，指出進(jìn)行擬態(tài)改造的必要性，探討了鐵路網(wǎng)絡(luò)擬態(tài)改造應(yīng)用的基本思路，對(duì)提升鐵路主動(dòng)防御能力具有參考意義。