多狀態(tài)有獎馬爾可夫工業(yè)控制網(wǎng)絡(luò)可信測度研究

周森鑫，韓江洪，李 超，吳德成

（1.合肥工業(yè)大學(xué)計算機與信息學(xué)院 合肥 230009；2.安徽財經(jīng)大學(xué)管理科學(xué)與工程學(xué)院 蚌埠 233030）

1 引言

工業(yè)控制系統(tǒng)（industrial control systems,ICS）是實現(xiàn)工業(yè)生產(chǎn)自動化的關(guān)鍵，是衡量一個國家工業(yè)水平的重要指標。它是大型的、復(fù)雜的系統(tǒng)，除了實現(xiàn)控制功能外，它往往還具有信息處理、管理、決策等功能。當(dāng)前網(wǎng)絡(luò)化系統(tǒng)已成為國內(nèi)外自動控制領(lǐng)域中的研究熱點。可以預(yù)計，未來的幾十年中，網(wǎng)絡(luò)化控制必將深刻地影響和推動著控制理論及其應(yīng)用的發(fā)展。從理論上說，控制系統(tǒng)將要進入集網(wǎng)絡(luò)化、軟件控制、現(xiàn)代傳感器技術(shù)為一體的復(fù)雜控制系統(tǒng)階段，工業(yè)控制網(wǎng)絡(luò)的可信技術(shù)研究即網(wǎng)絡(luò)控制系統(tǒng)的安全性、可控性、可生存性等相關(guān)理論研究也正在開展，為我國先進控制系統(tǒng)的開發(fā)與應(yīng)用提供科學(xué)支撐。從應(yīng)用上說，可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的出現(xiàn)，必將大大推動國家經(jīng)濟、社會、國防等領(lǐng)域的信息化應(yīng)用，促進國家“以信息化帶動工業(yè)化”的發(fā)展[1]。

據(jù)權(quán)威工業(yè)安全事件信息庫（repository of security incident,RISI）統(tǒng)計數(shù)據(jù)表明，截至目前，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的安全事件。典型案例有2007年加拿大的一個水利控制系統(tǒng)SCADA（supervisory control and data acquisition,SCADA）遭到人為安裝惡意軟件，破壞了用于取水調(diào)度的控制計算機；2008年攻擊者入侵波蘭某城市的地鐵系統(tǒng)導(dǎo)致4節(jié)車廂脫軌；2010年Stuxnet病毒入侵伊朗布什爾核電站核反應(yīng)堆的ICS，嚴重威脅其安全運營；2011年美國伊利諾伊州城市供水系統(tǒng)的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA被黑客入侵，供水泵遭到破壞；2011年11月12日正在準備測試的伊朗彈道導(dǎo)彈收到控制指令后突然爆炸引起國際社會廣泛關(guān)注，相關(guān)安全專家認為造成這次事故的原因很可能是曾攻擊布什爾核電站工業(yè)控制系統(tǒng)的Stuxnet蠕蟲病毒；2011年7月23日溫州動車事故造成重大財產(chǎn)缺失和人員傷亡。諸如此類的安全事故表明，工業(yè)控制系統(tǒng)的隱患是影響國家關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運行的重要因素，甚至?xí){到國家安全戰(zhàn)略實施。我國工業(yè)和信息化部在2011年10月發(fā)布文件，要求加強國家主要工業(yè)領(lǐng)域基礎(chǔ)設(shè)施控制系統(tǒng)與SCADA系統(tǒng)的安全保護工作[2]。

2 可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全

工業(yè)控制系統(tǒng)是一種用于配水、污水凈化、供電、油氣輸送、設(shè)備制造、化工等領(lǐng)域的高度分布網(wǎng)絡(luò)，通常包含兩個子網(wǎng)絡(luò)：現(xiàn)場控制網(wǎng)絡(luò)（process control network,PCN）和企業(yè)網(wǎng)絡(luò)（enterprise network,EN），前者由控制器、開關(guān)轉(zhuǎn)換器、驅(qū)動器和底層控制裝置構(gòu)成，后者由高層監(jiān)督節(jié)點和計算機設(shè)備構(gòu)成。PCN網(wǎng)絡(luò)包括SCADA和分布式控制系統(tǒng)。PCN的一個主要組成部分是控制服務(wù)器、主終端單元 （master terminal unit,MTU）、遠程終端單元（remote terminal unit,RTU）、智能供電設(shè)備 （intelligent electronic device,IED）、可編程邏輯控制器 （programmable logic controller,PLC）、操作控制臺、人機界面（human-machine interface,HMI）和歷史數(shù)據(jù)記錄。美國國家標準與技術(shù)研究 院 （National Institute of Standards and Technology,NIST）、電子電氣工程師協(xié)會 （Institute of Electrical and Electronics Engineers,IEEE）、儀表系統(tǒng)與自動化協(xié)會（Instrumentation Systems and Automation Society,ISA）、國際電工委員會 （International Electrotechnical Commission,IEC）、工業(yè)自動化開放網(wǎng)絡(luò)協(xié)會 （Industrial Automation Open Networking Association,IAONA）等國際權(quán)威機構(gòu)各自提出了自己的ICS安全指南，建議將PCN和EN進行隔離。防火墻是常用的隔離PCN和EN的工具，可以被配置用于阻攔不必要的服務(wù)、協(xié)議和端口，提供了較高層次的隔離。通過在防火墻前放置路由器完成簡單的分組過濾任務(wù)，可以使得防火墻有能力進行更復(fù)雜的任務(wù)如狀態(tài)過濾和代理服務(wù)等。在PCN和EN之間使用單個防火墻存在著嚴重的隱患，由于防火墻必需允許歷史數(shù)據(jù)記錄工具能夠便捷地訪問PCN，每項服務(wù)為了確保正確操作都要在防火墻上開個洞，在防火墻上配置過多特例會降低PCN-EN的分隔度，導(dǎo)致PCN開放并受到攻擊，這個問題的解決辦法是創(chuàng)建一個“非控制區(qū)”（demilitarized zone,DMZ）。DMZ部署框架包括3個區(qū)域：一個外圍區(qū)域包括EN，一個內(nèi)部區(qū)域包括PCN，還有一個DMZ包括數(shù)據(jù)記錄工具。編制嚴格的防火墻規(guī)則保證DMZ中的記錄器獨立訪問EN和PCN的內(nèi)容，這個記錄器能夠為PCN提供數(shù)據(jù)，EN也能夠被允許訪問記錄器，在此基礎(chǔ)上防火墻屏蔽其他一切設(shè)備訪問PCN。大多數(shù)由EN發(fā)起的針對記錄器的攻擊不會影響到控制系統(tǒng)，最壞的情況是這些攻擊會沖擊到記錄器中的數(shù)據(jù)（如造成數(shù)據(jù)的丟失等）。

在PCN中部署成對的防火墻，并通過DMZ分隔的結(jié)構(gòu)，這個結(jié)構(gòu)簡化了防火墻規(guī)則并清晰地區(qū)分了責(zé)任，使得PCN端的防火墻可以被控制部門管理，而EN端的防火墻由IT部門進行管理，這種結(jié)構(gòu)倍受ICS推薦并在實踐中通過對防火墻的配置得以實現(xiàn)。有些機制用來處理控制系統(tǒng)中主機的安全問題，這些機制的一個示例是已經(jīng)在控制設(shè)備中實現(xiàn)的基于過程的安全控制（process-based security,PBS），它將訪問控制從基于用戶的模型轉(zhuǎn)化為基于行程，基于用戶模型中訪問控制依賴于用戶識別，在基于行程的安全模型中，被限定的行程將不能訪問非法資源，PBS減少了攻擊中權(quán)限的提升行為。

Hamed Okhravi、David M Nicol在參考文獻[3]中提出可信過程控制網(wǎng)絡(luò) （trusted process control network,TPCN）的體系如圖1所示，客戶端通過與網(wǎng)絡(luò)接入設(shè)備（network access device,NAD）通信來加入網(wǎng)絡(luò)，NAD利用EAP通過IEEE 802.1x協(xié)議驗證客戶端設(shè)備的身份并將驗證結(jié)果通過RADIUS協(xié)議發(fā)送到AAA服務(wù)器（身份認證服務(wù)器、目錄服務(wù)器、審計服務(wù)器），AAA服務(wù)器返回一份屬性驗證和恰當(dāng)?shù)腜VS地址列表。客戶端通過各個PVS驗證屬性，如果客戶端符合標準，驗證的結(jié)果將通過HCAP發(fā)送到AAA服務(wù)器，如果客戶端缺失某些必要屬性，屬性修復(fù)服務(wù)器將為客戶端提供修復(fù)服務(wù)。目錄服務(wù)器檢測客戶所屬組和角色，利用所有PVS和目錄服務(wù)器返回的結(jié)果，AAA服務(wù)器檢測匹配客戶端訪問和通信的規(guī)則，并將這些規(guī)則發(fā)送至NAD。在此基礎(chǔ)上，客戶端被允許在NAD的監(jiān)視下實施通信。服務(wù)器管理策略是認證范式和狀態(tài)驗證列表，例如基于令牌認證需要請求和利用反病毒服務(wù)器、補丁管理服務(wù)器和驅(qū)動驗證服務(wù)器進行屬性驗證，當(dāng)客戶端設(shè)備加入網(wǎng)絡(luò)時，NAD利用設(shè)備的身份與AAA服務(wù)器進行通信。AAA服務(wù)器驗證該設(shè)備并提供基于設(shè)備的安全模式規(guī)則的NAD，在此基礎(chǔ)上，NAD對所有入口和出口的流量應(yīng)用策略，例如一個配置通過驗證的RTU設(shè)備可能與記錄器進行通信，其他所有的通信則被阻攔。Hamed Okhravi、David M Nicol的可信工業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)和安全措施明確了可信工業(yè)控制網(wǎng)絡(luò)內(nèi)涵和研究對象，基本上解決了其安全屬性，但缺少可生存性和可控性研究，也沒給出安全性度量模型[3，4]。

圖1 可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

3 多狀態(tài)有獎馬爾可夫工業(yè)控制網(wǎng)絡(luò)可信測度模型

3.1 多狀態(tài)有獎馬爾可夫理論

由兩個或兩個以上不同狀態(tài)構(gòu)成的系統(tǒng)，稱為多態(tài)系統(tǒng)（multi-state system，MSS）。多態(tài)系統(tǒng)所有可能的狀態(tài)集合劃分成可接受和不可接受兩個相互獨立的狀態(tài)子集合。當(dāng)系統(tǒng)處于可接受狀態(tài)子集時，認定此時系統(tǒng)為正常態(tài)；當(dāng)系統(tǒng)進入到不可接受狀態(tài)子集時，認定此時系統(tǒng)進入失敗態(tài)。根據(jù)數(shù)據(jù)統(tǒng)計分析或者實驗數(shù)據(jù)可以得出狀態(tài)之間的轉(zhuǎn)移概率，從而得出一步狀態(tài)轉(zhuǎn)移概率矩陣A=|Aij|。多態(tài)系統(tǒng)的可接受狀態(tài)是以系統(tǒng)的輸出表現(xiàn)以及具體的閾值標準——期望水平來進行衡量的。絕大多數(shù)時候，多態(tài)系統(tǒng)的表現(xiàn)必須達到或者超過設(shè)定的標準。一般來說，有獎馬爾科夫模型可以理解為由狀態(tài)空間{1，2，…，K}以及一步狀態(tài)轉(zhuǎn)移概率矩陣A=|Aij|，i，j={1，2，…，K}組成的連續(xù)時間馬爾科夫鏈。假設(shè)當(dāng)隨機過程在任意時間單元處于狀態(tài)i，應(yīng)該給予整個系統(tǒng)適當(dāng)?shù)莫剟顖蟪阹ii。同樣地，如果發(fā)生了從狀態(tài)i到狀態(tài)j的轉(zhuǎn)變，也應(yīng)該給予整個系統(tǒng)適當(dāng)?shù)膱蟪阹ij，并且將所得的報酬rii和rij稱為獎勵值。當(dāng)然這些獎勵也可以表示負的意義，比如說需要表示的含義是進入失敗狀態(tài)或者遭受懲罰的時候。模型最主要的任務(wù)是在特定初始條件下，找出系統(tǒng)從開始時間累積到瞬時時刻t的總期望獎勵值。用Vi(t)來表示系統(tǒng)在狀態(tài)i為初始狀態(tài)的條件下到時刻t累積的總期望獎勵值。

3.2 可信狀態(tài)空間劃分

從工業(yè)控制網(wǎng)絡(luò)的系統(tǒng)層次確定系統(tǒng)狀態(tài)總數(shù)，根據(jù)需求和輸出表現(xiàn)對系統(tǒng)劃定可信狀態(tài)和不可信狀態(tài)。設(shè)置系統(tǒng)需求函數(shù)W(t)、輸出函數(shù)G(t)，規(guī)定狀態(tài)劃分函數(shù)Φ(G(t),W(t))=G(t)-W(t)。當(dāng)Φ(G(t),W(t))≥0時，指定狀態(tài)為可信狀態(tài)；當(dāng)Φ(G(t),W(t))＜0時，指定狀態(tài)為不信狀態(tài)。如圖2所示，狀態(tài)1、2、4、5、6為可接受狀態(tài)，狀態(tài)3、7為不可接受狀態(tài)，陰影表示不可接受狀態(tài)。

圖2 可信狀態(tài)空間劃分

根據(jù)不同狀態(tài)之間的相互轉(zhuǎn)化，構(gòu)建多態(tài)系統(tǒng)狀態(tài)空間，并確定各自之間相互轉(zhuǎn)化的概率，規(guī)定λ為較好狀態(tài)至較差狀態(tài)的概率，μ為較差狀態(tài)返回較好狀態(tài)的概率。如λ23表示從狀態(tài)2到狀態(tài)3的概率，由圖2可知狀態(tài)2與狀態(tài)3比較好。根據(jù)狀態(tài)轉(zhuǎn)換圖以及各狀態(tài)轉(zhuǎn)移概率，得到一步轉(zhuǎn)移概率矩陣A=|Aij|。同時可根據(jù)復(fù)雜程度采用層次分析法對系統(tǒng)進行層次分解，分別劃分子系統(tǒng)的狀態(tài)空間，例如系統(tǒng)中有交換機可針對它進行狀態(tài)分解，這樣可避免狀態(tài)空間爆炸問題。

3.3 可信測度數(shù)學(xué)模型及其求解方法

多態(tài)系統(tǒng)瞬時可用性A(t)表示在任意t>0時刻系統(tǒng)處于可接受狀態(tài)的可能性大小，用概率表示。多態(tài)系統(tǒng)的平均可用性表示當(dāng)系統(tǒng)在時間間隔[0，t]中處于可接受態(tài)的可能性，可以有以下表示：

其中，前面提到，A(t)是瞬時可用性——在t>0的某一時刻狀態(tài)系統(tǒng)處于可接收狀態(tài)的概率：

為了計算，可在如下規(guī)則下確定獎勵矩陣r的獎勵值：

·所有與可接受態(tài)相關(guān)的獎勵必須規(guī)定為1；

·所有不可接受態(tài)相關(guān)的獎勵必須規(guī)定為0；

·無直接狀態(tài)轉(zhuǎn)換的狀態(tài)之間的獎勵值必須為0。

VK(t)表示在狀態(tài)K為初始態(tài)的條件下，多態(tài)系統(tǒng)在時間間隔[0，t]中處于可接受狀態(tài)的累積獎勵值。帶入獎勵矩陣r，通過Howard微分方程解出累積值。解出微分方程以及得出VK(t)的值之后，多態(tài)系統(tǒng)的平均可信性也可以被表示成VK(t)/t，此時K為初始狀態(tài)。Howard微分方程如下：

設(shè)Nf(t)表示多態(tài)系統(tǒng)在時間間隔[0，t]內(nèi)的平均失敗次數(shù)，失敗可以理解成整個系統(tǒng)處于癱瘓狀態(tài)或者機構(gòu)失效，平均失敗次數(shù)這個指標可以當(dāng)成是在時間間隔[0，t]內(nèi)多態(tài)系統(tǒng)完全處于不可接受狀態(tài)的次數(shù)。對于Nf(t)的計算，此時獎勵矩陣的值就表示負的意義，由可接受態(tài)到不可接受態(tài)的所有獎勵值都必須賦值為1，所有其他獎勵值必須為0。由此得到失敗次數(shù)獎勵矩陣，在這種情況下，平均累積獎勵值VK(t)表示的含義為在時間間隔[0，t]內(nèi)進入不可接受狀態(tài)的平均次數(shù)。同樣也可以借助Howard微分方程解出VK(t)，得出多態(tài)系統(tǒng)進入不可修復(fù)態(tài)（失敗態(tài)）次數(shù)Nf(t)，其中Nf(t)=VK(t)，此時K為初始狀態(tài)。通過可用性和平均失敗次數(shù)歸一化處理可得出系統(tǒng)的可信度分析此模型可以看出Hamed Okhravi、David M Nicol的可信工業(yè)網(wǎng)絡(luò)體系構(gòu)和安全措施明顯降低了工業(yè)網(wǎng)絡(luò)系統(tǒng)從可接收狀態(tài)到不可接收狀態(tài)的轉(zhuǎn)移概率，因此有效提升了其可信度[5]。

3.4 計算實例及實驗方法

以圖2為例，首先計算可靠性時可以先根據(jù)狀態(tài)空間寫出狀態(tài)轉(zhuǎn)換概率矩陣A和獎勵矩陣rA(t)。

其中，C1=-(λ12+λ14);C2=-(μ21+λ23+λ25);C3=-μ32

因狀態(tài)1、2、4、5、6為可接受狀態(tài)，所以獎勵矩陣中{r11=r22=r44=r55=r66=1}，狀態(tài)轉(zhuǎn)移矩陣如下：

根據(jù)Howard方程寫出微分方程組：

求解微分方程組即可得出不同初始狀態(tài)下系統(tǒng)的可用性A(t)。計算進入失敗狀態(tài)的次數(shù)Nf(t)，其獎勵矩陣rNf={r23=r57=r67=1}，其余為0。

進入失敗態(tài)次數(shù)Howard微分方程組為：

求解微分方程組即可得出進入失敗狀態(tài)的次數(shù)Nf(t)，通過系統(tǒng)的可用性A(t)和進入失敗狀態(tài)的次數(shù)Nf(t)歸一化處理可求出系統(tǒng)的可信值[6,7]。

4 結(jié)束語

對工業(yè)網(wǎng)絡(luò)系統(tǒng)的可信屬性可用性、安全性、可控性及可生存性等研究已成為學(xué)術(shù)界研究熱點，也是工業(yè)領(lǐng)域迫切解決的問題。網(wǎng)絡(luò)系統(tǒng)安全性能的感知是解決網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，本文以工業(yè)控制網(wǎng)絡(luò)為研究對象提出可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)架構(gòu)，并基于此架構(gòu)研究有獎馬可夫工業(yè)控制網(wǎng)絡(luò)可信度評估模型及其求解方法。該方法泛化后也可解決電信通信網(wǎng)絡(luò)系統(tǒng)和物聯(lián)網(wǎng)系統(tǒng)的類似可信度測量和評估。本文下一步將要研究的問題是網(wǎng)絡(luò)系統(tǒng)可信屬性界定及其相互之間關(guān)聯(lián)的定量關(guān)系，找出并優(yōu)化歸一化函數(shù)以提高測量精度[8]。

1 沈昌祥，張煥國，馮登國.信息安全綜述.中國科學(xué)E輯，2007（2）Shen C X,Zhang H G,Feng D G.Information security overview.Science in China(Series E),2007(2)

2 Stouffer K，F(xiàn)alco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security，NIST,2011

3 Okhravi H,Nicol M D.Application of trusted network technology to industrial control networks.International Journal of Critical Infrastructure Protection,2009(2)

4 卿斯?jié)h，周啟明，杜虹.可信計算研究進展分析，電信科學(xué)，2011,27(1):11～15 Qing S H,Zhou Q M,Du H.Progress of research on trusted computing.Telecommunications Science,2011,27(1):11～15

5 Howard R.Dynamic Programming and Markov Processes.Cambridge,Massachusetts:MIT Press,1960

6 Karagiannis T,Papagiannaki K,Faloutsos M.Blinc:multilevel traffic classification in the dark.Proceedings of SIGCOMM'05,Philadelphia,Pennsylvania,USA,2005

7 Karagiannis T,Roido A,Aloutsos M,et al.Transport layer identification of P2P traffic.Proceedings of the 2004 ACM SIGCOMM Internet Measurement Conference,Taormina,Italy,2004

8 閆智，詹靜.面向行為可信的大數(shù)據(jù)安全系統(tǒng)形式化描述，電信科學(xué)，2014,30(7):32～38 Yan Z,Zhan J.Formal description of trusted behavior oriented security system for big data.Telecommunications Science,2014,30(7):32～38