摘要
目前有组织、有目的的网络攻击愈加明显,其中高级持续威胁(AdvancedPersistentThreat,APT)备受关注。其不断向党政机关、科研单位等各重要行业领域渗透,传统认知中相对封闭的列车运行控制系统(ChineseTrainControlSystem,CTCS)也面临这方面的威胁。一方面随着列控系统信息一体化的发展,面临的攻击面不断扩大,威胁风险不断增加。另一方面高级持续威胁APT攻击具备高度的隐蔽性、长期的潜伏性、极高的威胁性。导致源自列控系统的内部蓄意攻击和历史重大漏洞利用较难防范,严重影响铁路运输的行车安全和运输效率,直接干扰社会稳定秩序。 知识图谱本质是一个具有属性的实体通过关系链接而成的网状知识库。节点表示现实世界的实体,实体间的各种语义关系构成网络中的边。知识图谱在网络安全领域应用优势明显,随着网络威胁信息的动态演变,构造的网络安全本体具备动态适应性和良好的可扩展性,图形化的信息更容易被理解。 因此结合列控系统网络安全的困境与知识图谱的优势,构建列控系统网络安全知识图谱。该知识图谱结合已有的网络安全方面和列控系统方面的知识,形成复杂的语义网络。它将已检测到的攻击事实和潜在的攻击路径关联起来,及时反馈当前攻击活动的阶段和缓解策略,提高列控系统网络安全主动防御的能力。本文主要工作如下。 1.简述CTCS-3级列控系统的架构,分析了系统内部脆弱性。基于STPA-Sec方法对列控系统进行细致化的威胁场景辨识,得到从安全约束到系统级事故的知识链路,构建了列控系统威胁场景知识库。 2.在粗细两个粒度水平实现列控系统APT攻击威胁识别。粗粒度水平,实时动态监控系统内的异常事件流,基于网络分析存储库实现异常事件到攻击战术、技术和过程(Tactics,TechniquesandProcedures,TTPs)的映射,经过后续统计分析,缩小了威胁检测范围,确定了主机威胁评分,结果以热力图和折线图进行展示。细粒度水平,通过凝聚层次聚类Ward方法,利用技术之间的相关性学习攻击意图,聚类指标为技术之间的Phi相关距离。在严格的95%置信水平下,得到合适的攻击集群值。最后基于标准互信息(NormalizedMutualInformation,NMI)验证了攻击集群划分的有效性,所得攻击集群显示出较高的可预测性。 3.确立了列控系统网络安全知识图谱本体模型和所需的知识堆栈,抽取可用的知识节点,连接形成可理解的语义网络。实现列控系统威胁场景知识库与用网络安全知识库的融合,绘制13幅实体属性图展示如何将节点可靠的连接。并基于知识图谱验证了最可能技术关联算法和攻击集群预警算法的有效性。
NETL