铁路网络空间可视化实现路径分析

2021-12-06杨轶杰朱广劼

铁路计算机应用 2021年11期

杨轶杰，朱广劼，司群，杨文

（中国铁道科学研究院集团有限公司电子计算技术研究所，北京 100081）

网络空间是当前继海、陆、空、天之后的新型主权空间，在空间秩序构建、安全防护建设、空间主权维护等方面有重要意义。铁路网络空间作为铁路行业正常生产的关键支撑，其安全防护与秩序构建不仅包括传统的安全防护能力，还要随着安全生产的需求进行更新，在安全防护上实现实时、积极和直接的响应，最终实现铁路网络空间可视化。

1 网络空间可视化研究现状

网络空间可视化研究相对成熟的是网络空间资源测绘[1-2]，通过对网络空间的元素进行属性判别、融合分析，完成资源的可视化。代表性研究有美国国防部高级研究计划局的“X计划”、美国国土安全部的“SHINE计划”，以及美国国家安全局的“藏宝图计划”。相应地，企业级网络空间测绘针对实际需求开展了相关产品的研发工作。高春东等人[2]研究了信息化管理的基本架构和系统实现策略，解决了互联网地图的信息化管理与可视化问题。杨帆等人[3]从框架理论的角度研究了互联网信息可视化的特点，对网络空间可视化的优势与劣势展开了分析。王爽等人[4]研究了空间可视化过程中网络核密度估计方法，解决了可视化元素的分布热点、密度和趋势问题。李琪等人[5]在铁路背景下，研究了信息化资产知识图谱绘制，解决了铁路信息化资产分类的问题，为网络空间可视化提供了基础。王启东[6]提出了自适应安全铁路网络安全架构思路，形成了体系化的建设模式，解决了铁路网络空间可视化落实哪些应用的问题。以上研究没有从事件关联的角度对网络空间开展可视化策略研究，也没有从整体的角度描述网络空间可视化。而屈蕾蕾等人[7]研究了涌现视角下的网络安全挑战，提出了未来网络安全方向的基本模型和理论基础，为铁路网络空间可视化研究提供了参考。

铁路网络空间面临的态势也随着网络发展逐步严峻。（1）铁路网络空间态势感知日益复杂，在态势感知手段上呈现手段多样化、感知时间随机化等特点。随着铁路业务量的不断增加，感知对象也在快速增加，从传统的路由器、交换机、主机等发展到局域网、虚拟机、云主机等设备。（2）铁路网络空间数据信息的增加进一步导致了信息数据的不确定性，传统的数据处理方式已经不能快速展示网络空间的性能，在网络空间可视化上存在响应不及时、处理效率低等问题。

本文针对已有研究的不足及铁路网络空间可视化的要求，研究铁路网络空间元素的关联性及理论基础，提出铁路网络空间可视化路径，并介绍了网络空间可视化应用。

2 铁路网络空间可视化路径实现

空间是使物质以一定的格式与布局模式不断积累与认知分布的过程[2,8]，这个过程是从无序分布到有序分布的渐进转变。网络空间是网络存在并经过发展后的产物。与传统意义上的空间概念类似，网络空间是网络设备及网络拓扑广延性的表现。网络空间研究的是网络结构可达性与网络内时空分布的规律，针对网络性能、拓扑结构、态势感知及实时网络需求展开定向研究。网络空间可视化则是在网络拓扑结构研究的基础上，面向网络空间内态势感知复杂化、数据关系多维化，研究网络设施、业务数据、信息传播关联性的分布规律、时空演变过程，侧重于描述对象之间的特征与机理归纳[9]。

2.1 网络空间可视化理论基础

2.1.1 网络空间拓扑学

网络空间拓扑学是构建网络的理论基础，从结构上分为逻辑拓扑重构和应用拓扑重构。逻辑拓扑重构算法是逻辑拓扑重构的重要内容，其主要目的是发现网络中的设备、人员、数据流及子网络结构，并显示网络中设备、人员、数据流之间的关系。

在逻辑拓扑重构中，常用的算法是距离矢量算法，该算法通过跳数统计网络内设备之间的路由距离。另外，距离矢量算法还可以用于人员、数据等参与网络空间架构的元素关系分析，这也是网络空间可视化的第一步。

本文将距离矢量算法用于网络空间元素的拓扑构建，其在网络空间可视化的逻辑流程如图1所示。

图1 距离矢量算法在网络空间可视化的逻辑流程

2.1.2 随机优化

随机优化理论在网络空间可视化中常用的算法有梯度下降算法、拉格朗日乘数法和贝叶斯估计算法。随机优化在铁路网络空间可视化中的理论支撑主要包括：网络空间拓扑关系的优化表达、网络要素表达中对网络信息流的优化、快速提取信息流中网络空间可视化的关键数据、优化表达路径、铁路网络空间可视化展示等。

铁路网络态势感知对网络的数据流进行态势数据提取，并对不同时间、不同重要程度的数据进行表达顺序优化，实现对可视化路径的最优化安排，实时显示当前态势。

随机优化理论以网络空间数据为基础，利用数据梯度下降法快速发现态势变化最快的因素，进行最优化策略推导，借助溯源算法开展网络安全之间源头的估计。

随机优化理论在网络空间可视化的逻辑流程如图2所示。

图2 随机优化理论在网络空间可视化中的逻辑流程

2.1.3 数据分析

数据分析在网络空间可视化中常用的算法是回归分析算法，包括线性回归、非线性回归、局部加权线性回归等。数据分析是铁路网络空间可视化的重要步骤，主要包括可视化过程的拓扑关系分析，在动态变化过程中预测网络空间可视化元素的分布特征，提前部署网络存储资源及展示区域。

以铁路网络态势可视化为例，铁路网络态势可视化感知需要对铁路网络拓扑数据关系实际分析及对可视化的关键要素进行分析，例如数据流、信息流、人员分布等，为态势感知可视化做最终准备。数据分析在铁路网络空间可视化的逻辑流程如图3所示。

图3 数据分析在网络空间可视化中的逻辑流程

2.1.4 数据同步

数据同步在网络空间可视化中优化数据通信量，提高网络空间可视化过程中的数据传输效率，可用于网络空间可视化的全过程。数据同步通过数据切割生成校验码，并对交换切割数据块的检索校验码进行交换，匹配目标数据块。

铁路网络空间可视化过程确认已经搜集的制订数据是否需要切割的验证，若需要则进行切割；给出自身的校验码，并对同一时刻、同一区域的数据进行匹配，完成可视化数据的综合处理。数据同步在网络空间可视化的架构如图4所示。

图4 数据同步在网络空间可视化的架构

2.2 铁路网络空间可视化技术路径

2.2.1 铁路网络空间的可视化

与互联网空间相比，铁路网络空间具有数据相对集中、网络元素种类多、数据产生集中度较高等特点。铁路网络空间可视化可以实现铁路网络性能的全监控，对网络态势开展预警，提高网络事件的响应速度。

铁路网络空间可视化以铁路网络为研究对象，包括网络硬件设备管理、软件资源应用分析，抓取、搜集和管理铁路网络内的数据，完成可视化表达。通过构建铁路网络空间与实际环境的映射关系，在铁路网络空间内重新定义传统事件、资源的概念，构建铁路网络空间可视化语言、模型及方法体系，为铁路生产提供直观、实时的网络映射关系，并根据实际需求分析网络事件的关联性与演变规律。

2.2.2 铁路网络空间可视化架构

以不同的管理等级和方式为标准，铁路网络空间分为中国国家铁路集团有限公司（简称：国铁集团）级、铁路局集团公司级和站段级。铁路网络可视化架构如图5所示。

图5 铁路网络可视化实现架构

图5以铁路系统实际结构为依托，分为站段—铁路局集团公司—国铁集团的三级网络，并根据网络的部署结构与业务需要，在网络空间可视化上将铁路网络拓扑结构分为铁路局集团公司管辖范围内拓扑与全国铁路系统拓扑。针对铁路网络空间可视化需求上的理论支撑，网络拓扑又进一步抽象为随机优化理论、数据分析、网络拓扑学等。

铁路网络空间可视化的技术路径指的是将铁路网络拓扑、铁路数据流、信息流、设备分布、性能显示等可视化手段进行有机结合。如图6所示，除了前文讨论的理论基础外，铁路网络空间可视化的技术路径还包括事件关系分析、可视化要素融合、功能可视化等。

图6 铁路网络空间可视化技术路径

2.2.3 事件关系分析

事件关系分析是铁路网络空间可视化的关键环节，通过对网络事件关系提取，实现事件的有效管理。对各个事件行为主体之间的关系，以及本次事件在网络可视化中所起作用的分析，能够为可视化要素提供支持。

随着人工智能技术的应用，以神经网络、深度学习等算法为代表的分析技术将应用于事件关系提取，从事件发生的时间、地理位置、网络空间位置等不同维度进行关联性分析，以获得铁路网络空间内事件可视化展示的属性。这些属性包括物理域上所属的铁路局集团公司、站段，以及网络域上所属的层次结构位置，例如铁路的外部服务网、内部服务网和安全生产网。

事件关系分析根据可视化的功能需求，借助拓扑重构算法，对事件主体之间的关系、各个事件所处的业务环境和地理环境进行分析，构建3层网络架构之间的关系列表。时间关系分析的目的是弥补现有的铁路网络整体管理上存在的范围小、资源分散等不足。

2.2.4 可视化要素融合

可视化要素融合是在事件关系分析的基础上，对铁路网络空间、铁路具体位置等多个事件的要素、多元异构数据进行整合与存储，涉及的主要技术包括：（1）可视化展示事件数据与铁路地理位置的匹配技术；（2）可视化展示事件数据特征分析与知识图谱构建技术。可视化要素以铁路网络空间、地理位置及人员大数据为基础，建立深度关系链。

以铁路网络态势感知为例，铁路网络态势感知要素融合进行单个网络态势要素分析，包括网络流量、网络设备运行状态及网络行为有无异常。在此基础上，可视化要素融合还需要考虑单个要素之间的匹配，运用数据同步处理中生成的校验码，根据时间、地点、实际需求等开展数据匹配，并完成可视化要素的重要程度及展示顺序分析。铁路网络态势感知选择重要程度高及符合时间展示顺序的要素进行关系构建，完成具体功能构建。

铁路网络空间可视化要素融合流程如图7所示。

图7 可视化要素融合流程

2.2.5 功能可视化

功能可视化是铁路网络空间可视化的最终阶段，在事件关系分析和可视化要素融合的基础上，根据网络空间可视化的要求，进行铁路网路空间可视化呈现：根据不同要求，分别进行网络拓扑关系展示、态势感知等。铁路网络空间可视化功能构建包括铁路网络安全态势感知、网络事件预测及应急响应处置等。

3 铁路网络空间可视化的应用

3.1 铁路网络安全态势感知

铁路网络空间可视化的应用价值是实现铁路网络安全态势感知，通过采集监测铁路内外服务网流量、安全设备日志、重要信息系统资产普查等安全数据，实现铁路网络空间可视化。

铁路网络安全态势感知包括：实时数据监测、安全态势感知、情报信息，其架构如图8所示。

图8 铁路网络安全态势感知架构

3.1.1 实时数据监测

实时监测系统主要用于管理平台数据采集设备集群的各类安全监测设备及策略和任务，能及时发现、识别网络攻击威胁，监测恐怖组织、黑客组织、不法分子等的攻击活动、攻击行为、攻击方法；监测国铁集团及各铁路局集团公司重点保护对象所受的攻击、威胁、破坏、窃密、渗透等情况，为快速处置、通报预警等系统提供基础支撑。

3.1.2 安全态势感知

安全态势感知是以网络安全事件与网络行为数据为基础，基于多维态势可视化技术，对国铁集团及各铁路局集团公司相关安全信息进行汇聚融合，形成围绕人、物、地、事、关系的多维视图，从不同视角出发感知全路网络安全态势。感知维度包括总体态势、资产态势、隐患态势、攻击态势、事件态势、通报态势等。

3.1.3 情报信息

情报信息主要包括：（1）根据情报侦察等方法获取的恐怖组织、黑客组织、不法分子等的情报信息；（2）攻击方法手段、攻击目标等重要情报信息；（3）重要行业部门报送的情报信息；（4）第三方收集报送的情报信息；（5）上级部门下发的情报信息；（6）下级报送的情报信息；（7）通过其他模块汇聚的情报信息。

3.2 铁路网络事件预警与响应

铁路网络安全事件预警与响应是铁路网络空间可视化的又一个应用。作为铁路网络事件的事前和事中处理方式，铁路网络事件预警和响应通过采集铁路网络数据，经过事件关系分析、可视化要素融合，提供基于网络监测数据的处理能力。铁路网络事件预警与响应包括通报预警、快速处置、追踪溯源、指挥调度、监督管理等功能，其架构如图9所示。

3.2.1 通报预警

通报预警是根据威胁感知、实时监测、追踪溯源、情报信息等模块获取的态势、趋势、攻击、威胁、风险、隐患等情况，利用通报预警模块汇总、分析、研判，及时将情况上报上级部门、通报相关部门、下达执行部门，进行预警及快速处置。

3.2.2 快速处置

根据安全监测发现的网络攻击、重大安全隐患等情况及相关部门通报的情况，下达网络安全事件快速处置指令。指令接收部门按照处置要求和规范进行事件处置，及时消除影响和危害，开展现场勘察，留存证据，快速恢复。事件处置、现场勘察等资料及时建档、归档并入库。

3.2.3 追踪溯源

追踪溯源采用大数据存储分析中心提供的计算能力和分析模型，基于用户掌握的各类数据，对安全事件进行追踪溯源。追踪溯源在发生网络攻击事件或有线索情况下，对攻击者及其使用的攻击手法、攻击途径、攻击资源、攻击位置、攻击后果等进行追踪溯源和拓展分析。追踪溯源依托于大数据存储分析平台的基本功能，采用大数据分析方法与机器学习算法进行溯源。

3.2.4 调度指挥

在重大安保活动期间（如护网行动），调度指挥协助安保作战指挥，有效组织、调配活动参与人员，例如，各铁路局集团公司单位、技术支撑单位、安全专家、安全厂商、电信基础运营商等。当某铁路局集团公司自查发现存在安全隐患或者监测出安全事件，可以将事件上报到调度指挥平台。调度指挥平台对相应事件进行通报预警、发起专项处置，保障系统的正常运行。

3.2.5 监督管理

监督管理能够基于安全检测、态势感知等技术手段对铁路行业信息网络中的基础设施、重要信息系统、数据安全、计算环境安全防护工作进行监督，对铁路行业内部等级保护、通报预警等工作进行管理。