随着信息技术在人们生活与工业生产等领域的大量应用,计算机网络规模也随之不断地拓展,延伸到各行各业中去。在国家的基础行业中,铁路行业承载着人民出行,物流运输等巨大的基础性作用,其网络系统中也大量使用着信息化设备来执行整个铁路的调度、运行等业务。然而在信息技术蓬勃发展的同时,当前网络环境中的安全形势也变得复杂严峻,对网络造成了巨大的威胁。铁路行业因其关系着国计民生的基础性作用,其信息系统更易遭受有组织、目的性更强、隐匿性更高的网络威胁。检测铁路调度系统中的主机威胁将更具现实意义。现有威胁检测技术多以威胁指标或规则进行检测,对于“Living off the land”的威胁策略检测作用不再明显。关注于主机中的威胁行为,利用主机事件日志对行为的记录,找出行为之间的内在联系,从而发现其中的威胁模式,对于铁路调度系统的安全防护提供了新的思路。针对这种情况,本论文研究关注于铁路调度系统下终端主机的威胁检测技术。论文中包含的工作内容如下:1、设计了基于Sysmon事件日志的铁路调度系统主机安全威胁检测模型。利用Sysmon日志工具记录的事件行为日志,解析出日志实体,提取实体间关系特征。结合复杂网络图的理论,以日志实体做点集,关系特征为边集建立无向图;在此基础上使用集成学习XGBoost算法对图中边权重进行分配,最后应用社区发现Louvain算法,发现日志社区图中的恶意威胁社区。使用ATT&CK组织提供的威胁模拟数据集及实验室高铁仿真平台收集的日志数据进行验证。利用Python及相应的科学工具包实现上述模型及实验过程。2、基于Beats系列数据采集器、Logstash、Elasticsearch等开源工具设计并搭建了数据采集子系统及存储平台。负责从铁路调度系统业务终端主机中采集主机行为日志,通过Logstash的集中过滤融合存储到Elastic平台中。3、基于Spring Boot、Vue等框架设计并实现了Web服务子系统,作为系统与用户的交互窗口,为用户提供威胁实例管理、主机日志社区图展示与存储平台管理等功能。最后对系统进行功能性验证与测试,能够完成预期功能结果。