面向流量的海底光纖系統脆弱性分析方法

吳元立，司光亞，羅　批，榮　明

(1.國防大學a.信息作戰與指揮訓練教研部；b.研究生院,北京 100091；2.總參總醫院信息中心,北京 100091)

?

面向流量的海底光纖系統脆弱性分析方法

吳元立1,2，司光亞1a，羅批1a，榮明1a

(1.國防大學a.信息作戰與指揮訓練教研部；b.研究生院,北京 100091；2.總參總醫院信息中心,北京 100091)

摘要:選擇網絡流量傳輸成本作為海底光纖系統的脆弱性測度指標，提出了一種基于雙層優化模型的海底光纖系統脆弱性分析方法，能夠識別出特定毀傷預算下的脆弱點，并能對受損情況下重新分布的網絡流量進行量化分析。最后，通過某假設地區的兩大海底光纖系統驗證了方法的有效性，探討了動態脆弱性的一些特征并給出了相應的保護策略。

關鍵詞：脆弱性分析；海底光纖；互聯網基礎設施；多商品網絡流

0引言

海底光纖系統承載著全球95%的語音和數據流量[1]，是互聯網和全球通信的骨干基礎設施，是重要的戰爭潛力目標。海底光纖系統主要由光纖著陸點、海底光纖、光纖分支節點組成，一個地區的海底光纖著陸點集合在一定程度上代表著一個地區的網絡邊界，通過海底光纖作為傳輸紐帶中轉該地區與外部網絡的國際流量。海底光纖系統的微小擾動或人為破壞會對整個互聯網造成重大影響，例如2006年的南海海域地震使得多條海底光纖發生中斷，致使附近國家和地區的網絡通信受到嚴重影響[2]。全球海底光纖系統由數百個單獨的海底光纖系統構成，是一個典型的復雜系統，如何分析海底光纖系統的脆弱性節點或邊并量化其毀傷效應，進而提供保護和優化策略是各國網絡安全決策者關心的重要問題，通過建模仿真手段來對其進行脆弱性分析也逐漸成為網絡安全領域的研究熱點[3-4]。

在網絡脆弱性研究方面，當前的互聯網脆弱性研究多是圍繞網絡的結構指標(如網絡聯通性)展開的，例如Albert等[5]人分別研究了隨機網絡和無標度網絡面對不同打擊條件下極大連通片尺寸與網絡規模之比、極大連通片平均最短路徑與節點移除比例的關系。這類研究側重從機理上發現不同性質網絡在結構上的脆弱性特征，對于網絡流量的動態行為及網絡結構受損后流量的重分布缺乏考慮。

網絡的服務能力不僅依賴于網絡拓撲結構，也取決于網絡流量的動態分布，一些研究者開始選擇流量作為脆弱性測度指標對陸上互聯網骨干網展開研究[5-8]，例如，文獻[5]建立了拓撲、路由和流量在內的多層次美國互聯網模型來評估互聯網基礎設施脆弱節點，把流經某一節點的流量大小作為節點的關鍵性測度指標，通過仿真手段計算了節點被移除后的網絡流重分布情況來分析網絡的脆弱性。近年來，美國在海底光纖脆弱性研究方面取得了一些進展，文獻[3]通過建立粗粒度的互聯網模型，給出了海底光纖在大洲級別的脆弱性分析方法但是該方法缺乏對局部重點地區的描述能力。文獻[4]通過搜集海底光纜的配置、著陸點、光纜系統容量等數據，應用Attacker-Defender模型[9]來分析海底光纖系統的脆弱性，但沒有給出著陸點毀傷的分析方法，并缺少對流量隨時間變化等特性的考慮。

本文在文獻[3]的基礎上，以網絡流量傳輸成本作為海底光纖系統的脆弱性測度指標，在國家間流量需求分配方法中引入時間因素，提出了一種新的面向流量的海底光纖系統脆弱性分析方法，該方法基于雙層優化模型，能夠計算出特定毀傷預算下海底光纖系統的脆弱性節點或邊集合，并能量化系統毀傷后重新分布的網絡流。

1脆弱性分析方法

1.1建模框架

海底光纖系統本質上是用來實現流量在地區之間的傳輸，海底光纖系統運營商追求流量傳輸效益的最大化，即把給定的流量需求以最小成本完成傳輸。本文選擇海底光纖系統的整體流量傳輸成本作為脆弱性測度指標，在特定的毀傷預算內，使得整體流量傳輸成本下降最多的節點或邊的集合稱為該毀傷預算下海底光纖系統的脆弱點集合。整體研究框架如圖1所示。

拓撲建模將目標區域中的多個獨立海底光纖系統的物理拓撲抽象成一個整體的邏輯拓撲網絡；流量需求生成算法SCFlow根據各國互聯網發展指數和時間因素生成節點間的流量需求矩陣；網絡自適應優化模型應用多商品網絡流理論配置流量需求在邏輯拓撲中的分配，追求網絡流傳送成本最小化；脆弱性分析模型在網絡自適應優化模型和毀傷預算R的基礎上計算出系統的脆弱點集合，追求網絡傳輸成本最大化。

1.2拓撲建模方法

提出一種海底光纖系統邏輯拓撲建模方法，通過將國家抽象成節點，使得各個單獨的海底光纖系統連接成覆蓋全球的整體網絡。在邏輯拓撲中，節點共分為3類，分別是國家節點、光纖著陸點節點、光纖分支節點。邊是有向邊，分為邏輯邊和物理邊兩類，物理邊代表實際的一段海底光纖，并受限于該條光纖的物理帶寬，邏輯邊沒有帶寬限制，用于連接國家和光纖著陸點，使得各個海底光纖形成整體網絡。以東非海底光纖系統為例，圖2給出了其不同的拓撲視角，在圖2b邏輯拓撲中，南非等國家節點抽象表達了南非等國的國內整體網絡，LD1-LD5表示5個不同的光纖著陸點，BU1-BU4表示該光纖系統中的4個分支單元，具有路由功能，邏輯拓撲中的物理邊用有向實線表示，邏輯邊用有向虛線表示。這種拓撲建模方法可將待研究區域的多個獨立的海底光纖系統通過國家和著陸點連接成為整體的邏輯拓撲網絡。

1.3網絡流量需求矩陣生成算法

雖然針對互聯網流量測量已有大量研究[10]，但是由于其復雜性，地區之間的流量強度還沒有定量的測量數據[11]。由于地區的互聯網發展水平與當地的互聯網人數和平均下載速度成正比，我們將互聯網發展水平定義為當地互聯網人數和平均下載速度的乘積。本文改進了文獻[4]的Gravity模型，通過綜合考慮互聯網流量的時間特性和地區間流量的雙向流動不對稱性，提出了網絡流量需求分配算法(SCFlow)

Ni=Hi*Si

(1)

(2)

(3)

(4)

在算法SCFlow中，式(1)計算某地區的互聯網發展水平；式(2)基于Gravity模型思想，在互聯網流量總量基礎上根據地區間互聯網用戶數量計算了地區之間交換的互聯網平均流量；式(3)計算地區間單向的流量分配策略，這里體現了流量雙向流動的不對稱特性，例如美國擁有大量的互聯網使用者和發達的互聯網基礎設施，而南非互聯網發展水平相對較弱，現實中從美國流向南非的互聯網流量(即南非從美國的下載量)要遠大于南非流向美國的流量；式(4)體現了互聯網流量的時間特性，地區的互聯網流量隨當地時間而呈周期性的曲線變化，根據t地區所在時區和UTC(世界協調時)時間計算某一時刻從s流向t的網絡流量，函數映射關系通過圖3所示的互聯網流量統計數據[12]擬合生成。

1.4網絡自適應優化模型

基于SCFlow算法，給出面向成本最優化的網絡自適應優化模型來解決全球海底光纖中的流量分配問題。

定義：點集合：設N為節點集合，Nc為國家節點的集合，Nt是海底光纖著陸點的集合,Nc是N的子集；邊集合：A為有向邊集合。

決策變量：

目標：

(5)

約束于：

(6)

(7)

(8)

(9)

(10)

(11)

(12)

1.5脆弱性分析模型

外部威脅可能會使得系統的部分組件失效，對海底光纖系統而言，可能受到威脅的組件包括海底光纖著陸點和海底光纖本身，當組件失效后會引起失效組件原來承載的流量進行重新分配或丟棄，進而造成系統整體流量傳輸成本上升和流量損失。本節基于文獻[5]提出的Attacker-Defender模型，提出了一種基于雙層優化模型的海底光纖系統脆弱性分析方法，該方法的本質是雙層max-min混合整數優化問題，其中，網絡自適應優化模型追求流量傳輸成本最小化，而外層的脆弱性分析模型旨在最大化這個最小值。

美軍繳獲的塔利班手冊上寫道：通過公開渠道可搜集到目標80%的情報[13]。事實上，telegeography等機構每年都會發布全球海底光纖系統的詳盡信息，因此，在脆弱性分析模型中假設脆弱性分析方擁有網絡的拓撲結構信息，其目標是選擇能給網絡的整體傳輸能力帶來最大破壞效果的一系列邊或節點的集合。在該方法中，假設某一條海底光纖的毀傷會使該條光纖喪失全部的流量傳輸能力，光纖著陸點的毀傷會使得該著陸點及相連光纖全部喪失流量傳輸能力。

額外數據：pi,j:邊(i,j)受損后傳輸單位流量所需支付的懲罰費用，單位為元/Gbps;n：毀傷預算，即允許被毀傷的邊或著陸點的數量上限，單位為個。

額外的決策變量：Xi,j:布爾變量，若邊(i,j)毀傷，則該值為1，否者為0;Xa:布爾變量，若著陸點a毀傷，則該值為1，并將使所有相連邊失效，否者為0;

目標：

(13)

約束于式(6)～(12)，

(14)

Xi,j=Xj,i,?i,j∈A

(15)

Xi,j∈{0,1},?i,j∈A

(16)

Xa∈{0,1},?a∈Nt

(17)

Xa=0,?a∈N-Nt

(18)

2實驗與討論

2.1實驗設計及數據來源

某假設區域有兩大海底光纖系統，分別為“一號海纜”和“二號海纜”，這兩大海底光纖系統連接著A-E 5個國家，是該大洋區域的核心網絡通道，相關信息見表1和圖4。實驗以這兩大海底光纖系統組成的整體網絡為例，設計了多個實驗展開脆弱性分析。

實驗基于Microsoft Visual Studio 2012環境開發，該海底光纖的邏輯拓撲、流量需求矩陣等數據保存在Access數據庫文件中，網絡自適應優化和脆弱性分析模型求解通過Google OR tools (http://code.google.com/p/or-tools/)實現。假設該區域中5個國家之間每秒鐘平均總流量需求為15Tbps，根據1.3節算法，可計算得出各國間平均流量需求矩陣F:

根據網絡拓撲建模方法和網絡自適應優化模型，可得到這兩大海底光纖系統對應的邏輯拓撲和相應的網絡鏈路負載狀態，如圖5所示，可以看出，部分光纖接近滿負載運行狀態。

2.2實驗

2.2.1平均流量脆弱性分析

本節不考慮時間因素，僅在平均流量的基礎上考察不同的毀傷預算和不同鏈路負載情況下邊阻斷對系統的影響，包括實驗1a和實驗1b兩個對比實驗，實驗1a中總流量需求為15 T，使得鏈路負載接近飽和狀態(見圖5)，實驗1b中將總流量需求調整為7.5 T，使得鏈路負載較輕，這與實際的海底光纖系統運行狀態較為吻合。

在結果的分析上，采用歸一化方式處理(見圖6)，橫坐標為毀傷預算，最大值為10，縱坐標選取了總損失流量百分比、AD間損失流量百分比和傳輸費用百分比3個指標在同一張圖表中表示，其中，傳輸費用百分比的分母固定為毀傷預算為10的傳輸費用，后續實驗依照此處理方式進行結果分析。由于A國和D國為該假設區域的兩大互聯網大國，所以選取AD間的損失流量百分比作為研究指標。

圖6給出了實驗1a和實驗1b在不同的毀傷預算下的流量及傳輸成本曲線，根據1.5節的脆弱性分析模型，表3給出了毀傷預算為1到5的情況下的系統脆弱點集合，其中，E前綴代表海底光纖，V前綴代表著陸點。結合圖6和表3可以看出：

從毀傷效益比方面，在實驗1a中，當毀傷預算由1提升到2時，毀傷效益比(總損失流量/毀傷預算)上升最快，可使得總損失流量從5%迅速上升到43%，而毀傷預算大于6時上升曲率較小。存在流量損失能力躍升緩坡，毀傷預算由2提升到3或由4提升到5均沒有造成總體流量損失的提升，僅僅只是輕微提高了總體傳輸費用，這是因為光纖系統對流量進行了重新路由，并且新的傳輸路徑帶寬能夠滿足流量傳輸的需求，但使得路徑傳輸距離變長，增加了傳輸總費用。可見整個光纖系統的重新路由能力是系統遭受毀傷的情況下保持傳輸能力的重要基礎，這符合文獻[4]得出的結論。

在脆弱性節點分析方面，實驗1a的拓撲結構中，C國僅有兩個海底光纖出口，且接近飽和狀態，作為流量大國的A國和D國均有3條以上海底光纖出口，因此在毀傷預算小于3的情況下，C國的主要進出口光纖受到毀傷會大量削弱甚至切斷C國與外界的流量傳輸；從圖6a也可以看出，在毀傷預算小于3的情況下，對AD間的流量沒有造成影響，而當毀傷預算達到4時，AD間的流量傳輸被完全阻斷，因為E14-15，E28-29，E27-25和E32-31這4條毀傷光纖均位于AD間的幾條主要路徑上，毀傷后將使A國和D國分屬兩個連通片，其流量傳輸在拓撲結構上完全被阻斷,但由于4個毀傷點相距數千公里，很難有攻擊者(恐怖組織或自然災害)具有這種能力，這種地理分布使得互聯網基礎設施具備了相當強的抗毀性，這與互聯網到目前為止還沒有發生過大尺度的癱瘓式斷網現象相一致。

實驗1b中鏈路負載較輕，這與現實中海底光纖系統運營狀態較為接近，毀傷預算為1時將不會造成整體流量的損失，只會使得流量被重新路由到更長的傳輸路徑上去，進而使運營費用由14.5%上升到15.5%，現實中海底光纖系統面臨的威脅多是小概率的地震等自然災害，這與現實中單獨發生的自然災害不會對全球互聯網造成嚴重影響的現象相一致。

從表3可以看出，隨著毀傷預算的改變，系統中的脆弱邊集合會發生改變，即毀傷預算小時對應的脆弱邊集合并不一定是毀傷預算大時對應的脆弱邊集合的子集，例如在實驗1b中，毀傷預算為1時的脆弱邊集合(E23-27)并不是毀傷預算為2時的脆弱邊集合(E10-15和E26-29)的子集。

2.2.2時變脆弱性分析

本節考慮時間因素對脆弱性的影響，分別選取UTC=20:00(實驗2a)和8:00(實驗2b)兩個時間點分析海底光纖系統的脆弱性，與2.2.1節一樣，本節也只分析脆弱邊的影響，總平均流量需求均為15 T。

實驗2a中，UTC=20:00，A，B，C，D和E的當地時間分別為2:00，3:00，13:00，13:00和2:00，根據2.3節TrafficByTime算法可得出總流量需求為14 741 G，AD間流量需求為4 341 G，各國瞬時流量系數(瞬時流量/平均流量)分別為0.35，0.35，1.65，1.65和0.35,可以看出A,B,E所在地區由于時間為凌晨，用戶下載流量較少，而C,D則由于在午后一點，下載較為活躍，可計算得到其流量需求矩陣F：

實驗2b中，UTC=8:00，A-E當地時間分別為14:00，15:00，1:00，1:00和14:00，根據1.3節TrafficByTime算法可得出總流量需求為21 060 G，AD間流量需求為4 449 G，各地瞬時流量系數(瞬時流量/平均流量)分別為2.48，2.0，0.47，0.47和2.48，可計算得到流量需求矩陣F：

根據2.5節的脆弱性分析模型，圖7給出了實驗2a和實驗2b在不同的毀傷預算下的流量及傳輸成本曲線，表4給出了毀傷預算為1到5的系統脆弱邊。

從圖7和表4可以看出，時間因素對系統脆弱性的影響是明顯的，由于流量分布的不同，同樣的毀傷預算下系統在不同時間的脆弱邊集合是不同的，例如，毀傷預算為2時，實驗2a的脆弱邊集合為E10-15和E26-29，而實驗2b的脆弱邊集合為E14-15和E32-31。當毀傷預算由0提升到2時，實驗2a的總流量損失比實驗2b躍升得更快。時間因素對系統脆弱性也是有限的，可以看出，當毀傷預算足夠多時(大于等于3)，會從結構上選擇使整體網絡連通性下降最多的目標，這與實驗1的系統脆弱邊集合基本是一致的。

2.2.3光纖和著陸點均可毀傷情況下脆弱性分析

本節研究對海底光纖系統中光纖和著陸點均可毀傷情況下系統的脆弱性(實驗3)，不考慮時間因素，設總平均流量需求為15 T，流量需求矩陣與實驗1a一致。根據1.5節的脆弱性分析模型，圖8給出了實驗3在不同的毀傷預算下的流量及傳輸成本曲線，表5給出了毀傷預算為1到5時的系統脆弱節點或脆弱邊集合。

可以看出，與實驗1a一樣，在毀傷預算較少(毀傷預算小于3)的情況下，C國的光纖著陸點受到毀傷會使得C國流量損失最大甚至與整體網絡脫離開，當毀傷預算增加時，流量吞吐最大的A國著陸點成為系統的脆弱點集合，例如，當毀傷預算為3時，A國所有的3個海底光纖著陸點均為打擊目標，且使整體流量損失達到65%。

同樣的毀傷預算情況下，著陸點的毀傷會使系統損失略大于光纖毀傷(實驗1a)造成的損失，因為著陸點毀傷后，其相連光纖也無法再傳送流量。各國的海底光纖著陸點是有限的，由于本文只選擇了兩個海底光纖系統作為實驗對象，每個光纖著陸點的連邊較少，當光纖系統足夠多時，每個光纖著陸點的光纖連邊數量較多，此時，海底光纖著陸點的毀傷會帶來系統損失的躍升。

3結語

通過上述基于實際數據的相關實驗分析，本文得到如下啟示：1)海底光纖系統的脆弱性是動態的，由拓撲結構、流量分布、時間等多種因素綜合決定。當毀傷預算較小時，隨時間變化的流量成為脆弱性的關鍵因素，而當毀傷預算足夠大時，結構連通性又成為影響系統脆弱性的主導因素。在系統脆弱點分析方面，當毀傷預算小且能夠對某重要區域流量構成封鎖時，該區域的著陸點或進出口海底光纖成為系統的脆弱點集合；當毀傷預算足夠時，支撐重要區域之間的連接路徑成為系統的脆弱點集合。2)海底光纖分布的廣域性和自身的魯棒性使得單個地點的自然災害不會對整體互聯網造成重大損失，而非國家性的恐怖組織不具備對跨大洋的多處海底光纖脆弱點進行打擊的能力，同時，具備這種打擊能力的大國由于全球性合作關系又不具備這種意愿，這使得海底光纖系統作為互聯網基礎設施具備了相當強的魯棒性，所以互聯網誕生以來還沒有經歷過全球范圍的斷網事故。3)增加海底光纖帶寬和流量的多路徑路由能力能有效提高網絡魯棒性，增加國家的光纖著陸點數量可有效提高國家的網絡抗封鎖能力。4)不同毀傷預算下的脆弱點集合不具備包含關系，若m>k，則毀傷預算為k時的脆弱點集合不一定是毀傷預算為m時的脆弱點集合的子集，這對有限預算下的防御方案制定有啟示作用。5)不同評估方法下測得的共性脆弱性節點成為國家需要重點保護的節點，但是海底光纖系統作為一個整體系統，對某地區重要的脆弱性節點很可能在遠洋或別國的控制范圍內，例如，實驗1a中當毀傷預算為4時造成了AD間網絡聯系的完全阻斷，這幾個脆弱點均在D、E近海，這對A國制定相應的保護策略造成了一定困難。

本文突破了以往的面向拓撲結構的脆弱性研究手段，針對重要的互聯網基礎設施——海底光纖系統，構建了支持毀傷后網絡流量重分布的海底光纖系統脆弱性分析方法，其研究方法和研究對象對中國互聯網基礎設施保護具有重要意義。

參考文獻:

[1]International Cable Protection Committee. About submarine telecommunications cables[DB/OL]. [2015-03-06]. http://www.iscpc.org/.

[2]International Cable Protection Committee. Submarine cable network security[DB/OL]. [2015-03-06].http://www.iscpc.org/.

[3]Omer M, Nilchiani R, Mostashari A. Measuring the Resilience of the Global Internet Infrastructure System[C]// The 3rd Annual IEEE International Systems Conference. Vancouver, Canada: IEEE, 2009:156-162.

[4]Crain J K. Assessing resilience in the global undersea cable infrastructure [D]. California: Naval Post Graduate School, 2012.

[5]Albert R, Jeong H, Barabási A-L. Error and attack tolerance of complex networks[J]. Nature, 2000, 406(6794): 378-382.

[6]Yan G, Eidenbenz S, Thulasidasan S, et al. Criticality analysis of Internet infrastructure[J]. Computer Networks, 2010, 54(7): 1169-1182.

[7]Cetinkaya E K, Broyles D, Dandekar A, et al. Modelling communication network challenges for future internet resilience, survivability, and disruption tolerance: a simulation-based approach[J]. Telecommunication Systems, 2013, 52(2): 751-766.

[8]Cetinkaya E K, Broyles D, Dandekar A, et al. A comprehensive framework to simulate network attacks and challenges[C]// Proceedings of the 2nd IEEE/IFIP international workshop on reliable networks design and modeling (RNDM). Moscow, Russia: IEEE, 2010: 538-544.

[9]Brown G, Carlyle M, Salmerón J, et al. Defending critical infrastructure[J]. Interfaces, 2006, 36(6): 530-544.

[10]Chang H, Roughan M, Uhlig S, et al. The many facets of Internet topology and traffic[J]. Networks and Heterogeneous Media, 2006, 1(4): 569-600.

[11]Leland W E, Taqqu M S, Willinger W, et al. On the self-similar nature of Ethernet traffic[C] //ACM SIGCOMM Computer Communication Review. San Francisco, Calif: ACM, 1993: 183-193.

[12]James Cook University. Internet accounting system[DB/OL]. [2014-12-30]. http://www.jcu.edu.au/internetaccounting/traffic/.

[13]Federation of American Scientists. Al qaeda training manual. federation of American scientists[DB/OL].[2015-03-06]. Http://www.fas.org/irp/world/.2006.8.1.

(責任編輯李進)

Vulnerability Analysis Method for Global Undersea Cable Infrastructure Based on Network Traffic

WU Yuanli1,2, SI Guangya1a, LUO Pi1a, RONG Ming1a

(1.a.The Department of Information Operation& Command Training; b.The graduate School, NDU of PLA, Beijing 100091, China ; 2.The Department of Information, The 309 Hospital of PLA, Beijing 100091, China)

Abstract：This paper chooses network traffic as the vulnerability metric for global undersea cable infrastructure and proposes a vulnerability analysis method based on bi-level optimization theory which can identify the most vulnerable parts of the system under specific damage budget and take quantitative analysis for the rerouted traffic because of the damaged parts. Finally, the vulnerability analysis method is verified with two undersea cable systems in a certain hypothesis region, and characteristics of the dynamic vulnerability and corresponding protection strategy are discussed.

Key words：vulnerability analyze; undersea cable system; internet infrastructure; multi-commodity flow

文章編號：1672—3813(2016)02—0014—08;

DOI:10.13306/j.1672-3813.2016.02.002

收稿日期：2015-05-02；修回日期：2015-12-23

基金項目：國家自然科學基金資助項目(U1435218，61273189，61403401，61174035)

作者簡介：吳元立(1985-)，男，遼寧遼陽人，博士研究生，工程師，主要研究方向為戰爭模擬、網絡建模仿真。

中圖分類號：TP393.4; TP393.08

文獻標識碼：A