復雜系統脆弱性綜合分析方法*

張旺勛，李　群，王維平，李海兵

(國防科技大學 信息系統與管理學院， 湖南 長沙　410073)

?

復雜系統脆弱性綜合分析方法*

張旺勛，李群，王維平，李海兵

(國防科技大學 信息系統與管理學院， 湖南 長沙410073)

摘要：為全面識別復雜系統中的脆弱點，科學評價其脆弱性，針對純拓撲脆弱性分析方法的不足，在考慮非拓撲因素條件下，提出一種結合復雜網絡技術和效能評估技術的復雜系統脆弱性綜合分析方法，從拓撲結構和非拓撲因素兩方面全面分析復雜系統的脆弱性。以復雜網絡的中心性指標為基礎，通過廣義指標法進行拓撲脆弱性分析；借鑒概率風險評價理論，從易攻性和易壞性兩個方面對非拓撲脆弱性進行評價；通過對兩者結果的綜合得到總的脆弱性分析結果。示例結果表明：拓撲和非拓撲分析的結果有交集但又有所區別，兩者密切相關且互為補充，并能共同篩選出復雜系統中的關鍵環節。較之純粹的拓撲結構分析，綜合分析得到的結果更為全面。

關鍵詞：復雜系統；脆弱性；復雜網絡；效能評估；拓撲

脆弱性表示系統容易受到攻擊或容易被破壞的趨勢，描述系統的不完美性、缺陷性或容易受到破壞的性能；而脆弱點是系統中比較薄弱的、有缺陷的節點或鏈路，一旦失效將造成嚴重后果[1-2]。

復雜系統一般由眾多子系統和關系鏈路組成，其中一些關鍵核心節點或鏈路即脆弱點一旦失效、發生故障或被攻擊，整個系統可能癱瘓。從攻防對抗的角度，軍事復雜系統中的脆弱點具有至關重要的軍事和戰略價值，一般是敵方首選的攻擊對象，也是己方防護的要點。同時脆弱性研究對能源、航天、生態等民用領域同樣具有重要價值[1, 3-4]。

當前關于復雜系統重要節點、重要鏈路的挖掘大多是針對拓撲結構的[5-6]，但節點或鏈路的重要性顯然不僅與它在網絡中的拓撲位置有關，還與其功能、角色、物理位置等屬性有關。雖然系統的拓撲結構決定了其功能，但研究表明純拓撲結構的分析方法忽視了系統的物理屬性、運行特征等信息，不能把握其他有關系統安全性的重要方面[7]，單獨依靠拓撲結構模型并不能為系統的脆弱性分析提供充足的信息[8]，甚至可能會產生錯誤的結論[9]。因此，不能僅依賴拓撲結構分析進行評價或決策，而需要將其與其他建模方法結合，兼顧功能、邏輯關系等非拓撲層面的因素[10]，從而提供更全面綜合的評價結果和決策支持[11]。

為此，張旺勛等從復雜系統的拓撲結構和非拓撲因素兩方面，分析不同節點和鏈路的重要度，識別網絡中的關鍵節點和鏈路，篩選出網絡的脆弱點，并根據脆弱點的數量、威脅程度等給出總體的脆弱性評價。

1分析框架

為更全面科學地研究復雜系統的脆弱性，結合前文的現狀分析和定義描述，考慮非拓撲因素的脆弱性分析。目的是從脆弱性相關的拓撲結構和非拓撲因素出發，結合復雜網絡理論和其他效能評估分析技術，找出體系中最重要的節點和邊，并對體系脆弱性進行度量和評價，基于此提出了基于復雜網絡-綜合效能評估(Complex Networks & Comprehensive Effectiveness Assessment，CNEA)的復雜系統系脆弱性綜合分析方法，分析框架如圖1所示。

圖1　復雜系統脆弱性綜合分析框架Fig.1　Framework for comprehensive vulnerability analysis of complex systems

復雜系統脆弱性分析包括面向拓撲結構的分析和面向非拓撲結構的分析。其中拓撲結構表示與體系中組分系統的功能、角色、形狀、大小等細節無關，僅與系統之間有無聯系相關的，用點和線描述的體系結構圖。面向拓撲結構的脆弱性分析，主要根據復雜網絡理論即方法的CN部分，通過相關的拓撲統計特征和方法來篩選系統中的關鍵節點和關系[5, 12]。非拓撲結構的脆弱性，則根據體系脆弱性的定義，考慮除拓撲結構以外的與“易受攻擊、易被破壞”相關的因素，如功能角色對使命任務或關鍵能力的重要性、被攻擊或失效的難易程度和概率、失效后對系統的影響程度等。面向非拓撲結構的脆弱性分析，主要以多指標的綜合效能評估方法為主[4]，即方法的EA部分。

需要說明的是，面向拓撲結構的脆弱性分析和面向非拓撲結構的脆弱性分析分別代表了脆弱性的不同方面，考慮的是不同因素：非拓撲分析較全面，但具有一定的主觀性，拓撲分析更為客觀，但不夠全面。但兩者并不矛盾，而是相互補充的，方向一致的。只有綜合考慮，才能得到全面合理的結論。

2分析方法

2.1基于復雜網絡的拓撲脆弱性分析

復雜網絡為網絡脆弱性研究引入了新的概念和方法，建立了拓撲結構和網絡脆弱性的聯系[13]。通過復雜網絡的相關理論，研究面向拓撲結構的體系脆弱性分析方法。

常見的評價重要節點和邊的拓撲指標有很多種，其中中心性指標是直接反映網絡各節點和鏈路相對重要性的因素，包括度中心性、介數中心性、特征向量中心性等[14]。

脆弱節點挖掘方面，以節點度中心性CD(vi)、介數中心性CB(vi)、特征向量中心性CX(vi)3個指標為基礎，通過廣義指標法將3個指標通過加權聚合得到一個總的重要度值，具體方法如下：

1)用S1,S2,S3分別表示由所有節點的節點度中心性、介數中心性和特征向量中心性按照數值從大到小排序組成的數值序列，分別用Mx1=max{CD(vi)}，Mx2=max{CB(vi)}，Mx3=max{CX(vi)}表示其中的最大值。

3)對所有節點，其總得分w(vi)的計算公式為：

(1)

4)為便于與之后的邊重要度綜合處理，對所有節點的總得分歸一化，得到最終的節點重要度W(vi)，其計算公式為：

W(vi)=w(vi)/max{w(vi)}

(2)

脆弱邊方面，以邊介數中心性為評判標準，其重要度計算方法如下：

1)用S4表示由邊的介數中心性按照數值從大到小的排序組成的數值序列，并記最大值為Mx4=max{CB(ei,j)}。

2)根據最大值，對所有邊的介數中心性歸一化，邊的重要度記為：

(3)

根據重要度指標，則可以計算系統的脆弱性。但前提是該系統要是拓撲結構脆弱的，下面給出復雜系統拓撲脆弱的定義。

定義1(復雜系統拓撲脆弱)用M和N分別表示復雜系統拓撲結構中邊和節點的總數；S1,S2,S3分別表示所有節點的節點度中心性、介數中心性和特征向量中心性按照數值從大到小的排序，S4表示所有邊的介數中心性照數值從大到小的排序，用St(t=1,2,3,4)表示上述4個序列，Gt表示St序列中取值的個數，且Gt≤N。那么，復雜系統是拓撲脆弱的，必須滿足條件1或者同時滿足條件2與條件3。

1)M≤N-1；

2)?t0∈{1,2,3,4}，使得Gt0>1；

條件1拓撲結構中的邊數量較少，僅有1個節點或1條邊異常，將導致孤立點出現或體系不連通。這種網絡是拓撲脆弱的。

條件2表明從拓撲結構角度，體系中的節點或邊是有差異的。

條件3在條件2的基礎上，若某個拓撲統計值體現了網絡的差異性，且有兩種取值，則至少較大值A要比較小值B大η倍(η與具體系統的具體任務場景相關)，此時取值為A的點或邊為脆弱點，網絡是拓撲脆弱的。若有兩個以上取值，則多個取值最少存在一個很明顯的拐點A，此時取值大于A的點或邊為脆弱點，網絡是拓撲脆弱的。若所有拓撲統計差異不大，即沒有特別與眾不同的關鍵點或邊，則網絡也不是拓撲脆弱的。同樣這個“拐點”與具體武器裝備體系的具體任務場景相關。

定義復雜系統拓撲脆弱性VT為：

(4)

2.2基于效能評估的非拓撲脆弱性分析

從節點的功能、分類、運行等非拓撲方面考察復雜系統中子節點和通信鏈路的重要性，篩選系統的關鍵環節并評價其脆弱性。

復雜系統非拓撲信息的多樣性、復雜性使得面向非拓撲因素的脆弱性分析面臨眾多困難，如系統類型多樣、指標參數差異較大、歷史數據不足、定量化數據較少等，從而非拓撲脆弱性分析應該以專家經驗法、層次分析法、模糊評估方法等[15]定性半定性或模糊方法為主。

根據脆弱性定義，節點或鏈路即薄弱環節的篩選需要從易受攻擊或失效、易被破壞兩方面考慮。從而將脆弱性角度出發的節點或鏈路關鍵程度評價的頂層指標記為Li，其主要受易攻性Pa和嚴重性Se兩方面指標的影響。

易攻性Pa指節點或鏈路被破壞或摧毀的發生概率和難易程度，該指標與其在復雜系統中的地位、攻擊實施成本、攻擊技術水平以及現有的防護水平等因素有關。

易壞性Se指節點或鏈路被破壞摧毀后對整個復雜系統造成的影響，與該節點或鏈路被破壞后造成的性能降階、影響時間、影響范圍等相關。

系統或鏈路越容易被摧毀且摧毀后的影響越嚴重，則這個地方就是復雜系統的重要薄弱環節。若將易毀性分為極易、容易、困難、特難四個等級，嚴重性分為災難、嚴重、輕度、輕微四個等級。鏈路或節點的重要度可以根據這兩者的級別組合得到，一種較簡單直觀的算法是根據兩者的乘積得到。

Li=Pa×Se

(5)

當然，還可以通過更詳細的指標分解，由下層具體的指標聚合得到易攻性和嚴重性指標，此處不再贅述。表1給出了根據乘積方法計算得到的不同易毀性和嚴重性組合得到的重要度數值，數值越高表示該節點或鏈路在系統中越薄弱、越關鍵，是防護的重點。

表1　非拓撲重要度評價表

根據上述指標獲取到節點或鏈路的重要度之后，根據定義2和定義3識別哪些是脆弱點，并判斷復雜系統是否為非拓撲脆弱的。

定義2(復雜系統非拓撲脆弱)復雜系統稱為非拓撲脆弱的，須滿足以下三個條件之一。

1)?ob∈V∪E，Pa(ob)=極易；

2)?ob∈V∪E，Se(ob)=災難；

3)?ob∈V∪E，Li(ob)≥8。

其中：V和E分別表示復雜系統中的節點集合和鏈路(關系)集合；ob表示任意的節點或鏈路(關系)。這三個條件是“或”的關系，即只需滿足任意一個，則可以判定該節點或鏈路是非拓撲脆弱的。

同時根據定義2，給出節點或鏈路是否為脆弱點的判斷定義3。

定義3(非拓撲脆弱點)復雜系統中的節點或鏈路ob稱為非拓撲脆弱點，須滿足以下三個條件之一。

1)Pa(ob)=極易；

2)Se(ob)=災難；

3)Li(ob)≥8。

定義復雜系統的非拓撲脆弱性為：

(6)

2.3脆弱性綜合分析

2.1～2.2節分別從拓撲結構和非拓撲結構兩方面分析了系統脆弱性。本節對這兩部分的結果進行綜合，給出系統總的脆弱性評價。

2.3.1脆弱點篩選

記根據拓撲結構篩選出來的節點集合和鏈路集合分別為TNS和TES；非拓撲評價得出的重要節點與鏈路的集合分別為CNS和CES，則綜合網絡拓撲結構和非拓撲結構的功能、屬性等篩選出來的重要節點和重要鏈路集合分別記為VNS和VES，且有：

VNS=TNS∪CNS

(7)

VES=TES∪CES

(8)

2.3.2脆弱性評價

根據拓撲結構和非拓撲綜合評價得到的脆弱性分別代表了脆弱性的兩個不同方面，前者(ST)是純粹從拓撲抗毀性出發的；后者(SC)則考慮角色功能、分類等非拓撲信息。對于這兩個指標的處理，可以根據指標綜合方法將兩者融合得到一個指標，即NS=k1ST+k2SC；或者根據木桶原理取最薄弱的(最大值)得到一個總的評價值，即NS=max(ST,SC)；亦或是由兩者組成的綜合安全性向量表示，即NS=[ST,SC]。具體分析過程中，分析者可以根據需要選擇不同的方法。

3示例分析

以美軍的彈道導彈防御系統(Ballistic Missile Defense System，BMDS)為例，對提出的CNEA方法進行演示驗證。

BMDS并無固定結構，它通過若干指控節點將一系列傳感器和攔截武器集成為一個整體。理論上，BMDS允許范圍內任何傳感器與任何攔截武器關聯[16]。根據BMDS的現狀和網絡化防空的發展趨勢[17-18]，分析中心化和網絡化兩種不同結構下BMDS(分別記為A-BMDS和B-BMDS)的脆弱性。

用無向網絡表示兩種不同的結構，分別如圖2和圖3所示，節點代表S1～S11不同的系統，包括指控節點以及不同防御階段的傳感器節點和火力節點；邊表示系統之間的情報、指控、協同等關系。

圖2　A交互關系圖Fig.2　Interaction relationships of A

圖3　B交互關系圖Fig.3　Interaction relationships of B

根據前文給出的脆弱性分析方法及計算公式，中心化BMDS和網絡化BMDS脆弱點、拓撲脆弱性(VT)、非拓撲脆弱性(VNT)等的分析和比較結果如表2和圖4所示。

表2　脆弱性分析結果

圖4　兩種結構脆弱性數據比較Fig.4　Vulnerability compare between A and B

根據上述數據可知：

1)從脆弱性角度考察，B明顯優于A：B中脆弱節點和脆弱邊的數量比例明顯少于A；B的拓撲脆弱性和非拓撲脆弱性都明顯小于A。

2)由于側重點不同，拓撲和非拓撲分析的結果是有所區別的；同時由于結構和功能的關聯關系，兩個角度篩選出的結果是有交集的，并且結果較為接近的。

3)拓撲分析和非拓撲分析密切相關且互為補充，共同篩選出復雜系統中的關鍵環節，較之純粹的拓撲結構分析，綜合分析得到的結果更為全面。

4結論

針對純拓撲脆弱性分析的不足，提出一種結合復雜網絡技術和綜合效能評估技術的復雜系統脆弱性綜合分析方法。

1)明確了復雜系統脆弱性綜合分析的基本概念，提出了脆弱性分析的思路框架。

2)提出了基于復雜網絡理論的復雜系統拓撲脆弱性分析方法。從拓撲結構角度篩選復雜系統中的關鍵節點和鏈路，并通過指標對拓撲脆弱性進行評價。

3)借鑒系統安全性評價中有關風險發生概率和風險后果的處理方法，提出了基于綜合效能評估的非拓撲脆弱性分析方法，通過易攻性和易壞性兩個指標及其乘積來評價節點或鏈路的重要程度。

4)根據拓撲脆弱性和非拓撲脆弱性的辯證關系，綜合篩選出復雜系統的關鍵節點和鏈路，并得到了總的脆弱性結果。

5)以BMDS系統為例，對比了兩種不同結構BMDS的脆弱性，結果符合軍事理論常識和現實，驗證了CNEA方法的科學性。

參考文獻(References)

[1]王博. 復雜電力系統安全風險及脆弱性評估方法研究[D]. 武漢: 華中科技大學, 2011.

WANG Bo. Research on security risk and vulnerability assessment method for complicated power system[D]. Wuhan: Huazhong University of Science and Technology,2011.(in Chinese)

[2]張怡, 趙凱, 來犇. 警報關聯圖：一種網絡脆弱性量化評估的新方法[J]. 國防科技大學學報, 2012, 34(3): 109-112.

ZHANG Yi, ZHAO Kai, Lai Ben. Alert correlation graph: a novel method for quantitative vulnerability assessment[J]. Journal of Nation University of Defense Technology, 2012, 34(3): 109-112. (in Chinese)

[3]Zhang W X, Hou H T, Li Q, et al. Vulnerability analysis of the global navigation satellite systems from the information flow perspective[C]//Proceedings of 6th International Conference on Information Management, Innovation Management and Industrial Engineering, Xi′an, IEEE, 2013： 263-267.

[4]鄒君. 湖南生態水資源系統脆弱性評價及其可持續開發利用研究[D]. 長沙: 湖南師范大學, 2010.ZOU Jun. Vulnerability evaluation and its sustainable utilization of eco-water resource system in Hunan province[D]. Changsha: Hunan Normal University, 2010. (in Chinese)

[5]吳俊. 復雜網絡拓撲結構抗毀性研究[D]. 長沙: 國防科學技術大學, 2008.

WU Jun. Study on invulnerability of complex network topologies[D]. Changsha: National University of Defense Technology, 2008. (in Chinese)

[6]郭世澤, 陸哲明. 復雜網絡基礎理論[M]. 北京: 科學出版社, 2012: 63.

GUO Shize, LU Zheming. The basics of complex networks[M]. Beijing: Science Press, 2012: 63. (in Chinese)

[7]Bompard E, Napoli R, Xue F. Extended topological approach for the assessment of structural vulnerability in transmission networks[J]. IET Generation, Transmission & Distribution, 2010, 4 (6): 716-724.

[8]Hines P, Cotilla-Sanchez E, Blumsack S. Do topological models provide good information about vulnerability in electric power networks?[J]. Chaos, 2010, 20 (3): 033122.

[9]Hines P, Cotilla-Sanchez E, Blumsack S. Topological models and critical slowing down: two approaches to power system blackout risk analysis[C] //Proceedings of 44th Hawaii International Conference on System Sciences, Hawaii, IEEE, 2011: 1-10.

[10]金偉新. 體系對抗復雜網絡建模與仿真[M]. 北京: 電子工業出版社, 2010.JIN Weixin. SoS-Ops M&S based on the complex network[M]. Beijing: Electronic Industry Press, 2010. (in Chinese)

[11]Ouyang M. Review on modeling and simulation of interdependent critical infrastructure systems[J]. Reliability Engineering & System Safety, 2014, 121(1): 43-60.

[12]王智源, 丁澤中, 胡廣水. 軍事通信網絡拓撲結構抗毀性仿真[J]. 計算機系統應用, 2010, 19 (12): 109-113.

WANG Zhiyuan, DING Zezhong, HU Guangshui. Invulnerability simulation of military communication networks topology[J]. Journal of Computer Applications, 2010, 19(12): 109-113. (in Chinese)

[13]Guo C, Zhao Z D, Hill D J,et al. Attack structural vulnerability of power grids: a hybrid approach based on complex networks[J]. Physica A: Statistical Mechanics and its Applications, 2010, 389(3): 595-603.

[14]何大韌, 劉宗華, 汪秉宏. 復雜系統與復雜網絡[M]. 北京: 高等教育出版社, 2009.

HE Daren, LIU Zonghua, WANG Binghong. Complex system and complex network[M]. Beijing: Higher Education Press,2009. (in Chinese)

[15]石福麗, 方志剛, 楊峰, 等. 基于仿真的潛艇裝備作戰能力ANP冪指數評估方法[J]. 國防科技大學學報, 2011, 33 (4): 168-174.

SHI Fuli, FANG Zhigang, YANG Feng, et al. ANP power index evaluation method for operational capability of submarine equipment based on simulation[J]. Journal of National University of Defense Technology, 2011, 33 (4): 168-174. (in Chinese)

[16]Redmond P J. A system of systems interface hazard analysis technique[D]. USA: Naval Postgraduate School, 2007.

[17]唐蘇妍. 網絡化防空導彈體系動態攔截聯盟形成機制與方法研究[D]. 長沙: 國防科學技術大學, 2011.

TANG Suyan. Research on dynamic interception coalition formation mechanism and method in networked air defense missile systems[D]. Changsha: National University of Defense Technology, 2011. (in Chinese)

[18]朱智, 雷永林, 朱寧, 等. 面向網絡化防空反導體系的可組合建模框架[J]. 國防科技大學學報, 2014, 36 (5): 186-190.

ZHU Zhi, LEI Yonglin, ZHU Ning,et al. Composable modeling frameworks oriented networked air & missile defense systems[J]. Journal of National University of Defense Technology, 2014, 36 (5): 186-190. (in Chinese)

doi:10.11887/j.cn.201602025

*收稿日期：2015-03-26

基金項目：國家自然科學基金資助項目(91024015)

作者簡介：張旺勛(1985—)，男，陜西韓城人，博士研究生，E-mail：zhangwangxun2010@163.com；王維平(通信作者)，男，教授，博士，博士生導師，E-mail：wang.wp2010@gmail.com

中圖分類號：TN967.1

文獻標志碼：A

文章編號：1001-2486(2016)02-150-06

Comprehensive analysis method for vulnerability of complex systems

ZHANG Wangxun, LI Qun, WANG Weiping, Li Haibing

(College of Information System and Management, National University of Defense Technology, Changsha 410073, China)

Abstract：In order to identify vulnerable points in complex system roundly and assess its vulnerability scientifically, to improve the insufficiency of the pure topological methods, an analysis method integrated complex network theories and effectiveness assessment technologies was proposed, which considers both the topological and non-topological factors of vulnerability. Based on centricity measurements of complex network, a generalized indicators method was used for topological vulnerability analysis. Referring to the probability risk assessment theory, non-topological vulnerability was analyzed from susceptibility and brittleness. Then the final vulnerability results were integrated from the former two results. The demonstration results show that there is an intersection set but also some differences between topological and non-topological analysis. These two aspects of vulnerability are correlative and complementary close, they both contribute to the screening of critical points and links in a complex system, and compared to purely topological study, conclusions from integrated analysis were more comprehensive.

Key words：complex system; vulnerability; complex network; effectiveness assessment; topology

http://journal.nudt.edu.cn