摘要
当今铁路系统已经成为了国家基础设施建设的重要组成部分,其中铁路信号系统中的列车控制系统(后简称列控系统)因其复杂性和重要性而面临着各种各样的网络威胁和风险。恶意攻击者可利用各种技术手段对铁路系统进行攻击和破坏,对社会治安造成严重危害。因此,保障铁路系统网络的安全稳定,对于确保人民群众的出行安全和国家安全至关重要。目前,传统安全防御手段,比如防火墙、入侵检测系统等已经难以胜任对高级威胁行为的检测和防御,而以行为为对象的思路成为了目前网络安全领域研究的重要方向。行为分析可以从攻击者的行为模式入手,通过收集和分析大量的行为数据,以辨识甚至预测网络安全事件。 本课题基于威胁建模方法与知识图谱技术,分别对铁路列控系统的网络威胁行为分析与检测问题进行了研究,主要工作与贡献如下: 首先,研究了一种新颖的威胁建模思路,即通过将威胁分析与系统业务行为深度结合,实现功能安全和网络安全两个关键属性的融合分析,为信息物理系统的安全研究提供了更全面的知识。基于这种思路,本文具体为轨道交通领域的网络安全研究设计了一个理论分析框架,以帮助工程师在系统生命周期的概念设计或实际运营阶段中辨识出常被忽视的隐藏在系统业务过程中的网络威胁。 其次,基于图数据库构建了一个铁路列控系统网络安全知识图谱,其包含了开源网络安全知识库图、实验室仿真列控实验环境图、通用网络安全威胁情报图、铁路系统安全威胁情报图(威胁分析方法建模结果)以及由多种关系构建而成的系统日志图,是一种融合了本文分析实验结果与外部已有研究成果的综合性模型。该模型旨在利用多维度的数据对铁路列控系统进行行为建模,为安全研究人员提供全局分析视角。 最后,针对构建的知识图谱模型进一步提出了一种威胁行为检测框架,此框架定义了低阶系统设备行为、中阶网络威胁行为和高阶业务异常行为,旨在借助图谱模型中的通用网络安全威胁情报和铁路系统安全威胁情报,按照自底向上或折返检测方式实现三种行为间的映射,即威胁检测。实验结果显示,此框架能有效地检测出知识图谱模型中隐藏在日志数据里的主要攻击行为,并提供可视化检测结果。
NETL