Cyber攻擊下韌性信息服務云環境能力評估

丁 峰,周 芳,趙 鑫,于 靖

(中國電子科技集團公司第二十八研究所信息系統工程重點實驗室,江蘇 南京 210007)

0 引 言

隨著信息系統進入網絡中心化建設階段以及云計算、大數據、Cyber對抗等技術發展,使全域一體化聯合作戰對信息服務云環境提出了更高的要求,必須以“持續保障任務完成”為基礎,建設和發展能夠更好地服務于多樣化任務需求且適應快速多變、對抗激烈戰場環境的韌性信息服務云環境。

韌性信息服務云環境是在繼承和發展共用信息基礎設施的基礎上,引入新的理念、模式和技術手段等,使其更具靈活、適變、抗毀等韌性能力特征[1-2]:能夠更好地實現各類基礎資源的匯聚,根據不同任務背景動態組建任務系統、獲取相關保障信息等,支撐快速形成遂行海空聯合作戰等多樣化戰場任務的能力。同時,在遭受部分節點失效、癱瘓、毀傷的情況能夠降級運行,可識別和預測影響任務執行的各種異常,快速采取主動響應控制措施與策略,保障核心任務的完成。

韌性信息服務云環境作為分布在網絡上,覆蓋多級信息服務體系,是一個系統之系統,其試驗評估的復雜性和難點不僅在于其組成要素眾多,信息交互關系、控制關系復雜;更在于對其核心任務保障能力的評估驗證,需要與聯合態勢感知、聯合指揮決策等核心任務相結合,需要在攻擊或擾動條件下持續保障核心任務的完成。為此,因此亟需開展韌性信息服務云環境的任務保障能力評估做研究,建立韌性能力的指標體系、評估模型,指導韌性信息服務云環境能力的構建。

本文從韌性信息服務云環境持續保障核心任務完成的角度,提出了韌性信息服務云環境的“預防/抵御、降級(吸收擾動)和恢復運行”三階段的韌性過程,分別從吸收擾動和恢復運行階段,提出了容忍度、任務波動率、能力恢復時間等瞬態類度量指標,建立了各類指標的計算方法。最后,以韌性信息服務云環境保障的區域聯合防空任務為典型案例,驗證了不同規模的引導資源毀傷條件下云環境任務保障能力。

1 相關研究

所謂韌性,是指系統為應對各種擾動、變化而呈現的一種能力或品質特性,即系統對來自自然或人為事件的干擾進行預測、抵抗、吸收、反應,適應并恢復的能力。信息服務云環境指依托基礎設施,整合網絡中各種信息、數據和軟件資源,構建含計算存儲設施、平臺、軟件、數據共享的云服務環境。而韌性信息服務云環境要求在遭受Cyber攻擊、物理毀傷與節點失效后,能夠識別異常事件,采用響應控制策略,消除或減緩攻擊或失效等對系統任務的影響。

目前,國外對韌性能力評估研究的大致思路是基于“韌性三角”概念提出了相關的韌性能力評估指標度量方法[1],代表性的包括韌性R4指標框架:魯棒性、冗余度、資源準備度、快速性。文獻[2]從系統工程和系統架構的角度出發所定義的韌性系統的4個屬性:容量、容忍、靈活性、元素間相互協作。MITRE公司[3]在其發布的《Cyber韌性度量》白皮書中,從協同防御、冗余備份、自適應響應、分析監控、欺騙、權限控制等韌性實踐的角度,給出其中具有代表性的指標100余項。

美國George Mason University 的Mark Andrew Pflanz等人提出一種指揮控制系統結構韌性度量方法[4],采用Petri網描述指揮控制系統結構,提出3種韌性能力度量屬性:容量、容忍度、靈活性。美國佐治亞大學Michael Balchanos[5-6]等人為建立高強度、有效、適應性強的系統,提出了基于度量分析的韌性系統工程評估框架,從吸收擾動、恢復、自適應調整能力建立系統韌性能力度量指標,涵蓋平均恢復率、恢復周期、平均降級率等。文獻[7-8]從系統識別、脆弱性分析、韌性目標設置、韌性能力、韌性分析等方面,建立了一套韌性能力評估框架。美國海軍研究生院[9]提出一種基于拓撲生成、分析、仿真與試驗的網絡韌性能力評估方法,旨在提高未來互聯網的韌性與生存能力。文獻[10]將Cyber系統韌性過程劃分為4個階段:預防、吸收擾動、恢復與自適應調整階段,從4個階段給出了系統韌性矩陣描述。文獻[11-13]提出一種級聯失效下的復雜系統韌性度量描述方法,建立一種處理互連系統韌性的建模框架。文獻[14-15]介紹一種基于仿真的韌性策略影響方法,提出的系統韌性衡量指標包括:故障恢復時間、失效節點重啟時間、故障發生后從數據庫中讀取檢查點時間等。文獻[16]針對Cyber生態系統安全與韌性能力評估問題,建立了基于度量分析的韌性評估架構。此外,文獻[17-25]分別針對城市關鍵基礎設施、生態系統、社會系統、網絡安全管理系統的韌性度量問題,給出了各自領域內韌性概念內涵,介紹了韌性能力度量指標與準則。

國內在韌性能力評估方面,主要側重于網絡結構層面的韌性研究。文獻[26]從根據彈性階段化分的角度,從主動響應性、魯棒抗毀性、靈活適應系統、動態涌現性等方面定義了網絡化信息系統彈性度量指標,未涉及通信網絡、計算與存儲資源等彈性要素。文獻[27]提出基于任務能力的指揮信息系統超網絡彈性度量方法,建立涵蓋整體彈性能力、吸收擾動能力、快速恢復能力等指標的度量模型,其本質是基于拓撲結構來度量網絡彈性,未涉及系統服務、業務功能等層面的彈性。文獻[28]借鑒材料學中彈性思想,提出了一種基于“應力-應變”計算模型的商用云環境彈性能力測量方法,建立了計算資源性能、請求響應能力變化率等度量指標,側重于云環境即基礎設施即服務(infrastructure as a service,IaaS)層韌性能力度量,未涉及云環境平臺即服務(platform as a service,PaaS)、軟件即服務(soft as a service,SaaS)的韌性度量。

2 信息服務云環境韌性過程和要素

韌性信息服務云環境任務持續保障能力是指信息服務云環境在遭受Cyber攻擊和多種作戰任務同時保障的條件下,維持和持續保障作戰任務完成的能力。為度量韌性信息服務云環境任務持續保障能力,需先建立信息服務云環境在攻擊或擾動后的韌性過程模型,分為4個階段:預防階段、降級階段、恢復運行階段和自適應調整階段,如圖1所示。在預防階段,采用主動預防措施提高系統防護等級來防護或阻止攻擊,避免可能的擾動帶來的毀傷。在降級階段為擾動或攻擊條件下,導致韌性信息服務云環境的整體降級。恢復運行階段:監測到異常或故障后,通過資源彈性擴容、服務遷移、服務器切換等響應控制策略,使韌性信息服務云環境能力恢復到穩定狀態。自適應調整階段將根據系統任務的變化重新規劃系統資源,進行系統結構自適應重組。

圖1 4個階段的信息服務云環境韌性過程Fig.1 Four phase of information service cloud environment resilience process

圖1中,T0為韌性信息服務云環境開始遭受Cyber攻擊或出現內部故障的時刻;TC為開始恢復的時刻;Tstab為韌性信息服務云環境恢復到穩定態的時刻;Vn為韌性信息服務云環境處于初始運行狀態時的指標值;Vmin為韌性信息服務云環境從降級向恢復過渡時的指標值;VT為韌性信息服務云環境指標的閾值;Vtr為云環境恢復后的性能指標值;Cd=Vn-Vmin為降級容量;Cb=Vn-VT為緩沖容量;Cred=Vmin-VT為剩余容量;Crec=Vtr-Vmin為恢復容量。

根據上述三階段的信息服務云環境韌性過程,從韌性信息服務云環境體系運行能力、任務持續保障能力兩個維度,提出了3類韌性信息服務云環境的能力:吸收擾動、適應與恢復能力,作為韌性信息服務云環境能力評估要素。

2.1 吸收擾動能力

韌性信息服務云環境在遭受Cyber攻擊/擾動后,攻擊/擾動在內部蔓延,韌性信息服務云環境仍能穩定運行與保障任務完成的能力,該能力主要體現在能力降級程度、能力降級速率等方面。

2.2 適應能力

韌性信息服務云環境能夠主動預防威脅、及時識別威脅,采用冗余接替、服務遷移、數據備份等響應策略進行動態調整,主要體現為:異常分析與識別以及異常發生后響應策略生成與響應行動控制等能力。

2.3 恢復能力

在執行自適應行動控制策略與措施后,韌性信息服務云環境的能力恢復以及持續保障任務完成的能力,主要體現為能力恢復程度、恢復時效性以及恢復代價。

3 韌性信息服務云環境能力評估模型

依據信息服務云環境韌性要素的分析,本文從吸收擾動能力、恢復運行能力兩方面,圍繞著降級與恢復的時間、能力波動的角度,提出韌性信息服務云環境任務持續保障能力的度量指標。

3.1 吸收擾動能力度量

吸收擾動能力反映了韌性信息服務云環境在遭受攻擊或擾動條件下,能夠持續維持一定能力輸出的程度。從能力降級程度與時間兩個方面,提出了能力降級率、抗毀頑存時間兩類度量指標。

3.1.1 能力降級率

能力降級率指韌性信息服務云環境在遭受攻擊后其能力降低至最低性能水平Vmin與遭受攻擊前能力V0的偏離程度。根據云環境體系架構組成,提出了IaaS層、PaaS層、SaaS層能力降級率指標。

(1) IaaS層能力降級率指標

IaaS層提供計算、存儲和網絡資源的的虛擬化與按需調用的能力,能夠對各類資源進行統一管理和調用。提出的IaaS層度量指標涵蓋:計算能力降級率ComRP、網絡處理能力降級率NetRP,其中,ComRP評估模型為

式中,Velatt、Vel0分別表示遭受攻擊后計算資源的處理速度；Mematt、Mem0分別對應著計算資源的存儲容量；Timeatt、Time0分別對應著計算資源處理時間；w1、w2、w3為權重。

網絡處理能力降級率采用遭受攻擊前后網絡傳輸帶寬的變化來度量,表示為

式中，INbw、IN0分別為攻擊前后入方向帶寬；OUTbw、OUT0為出方向帶寬。

(2) PaaS層能力降級率指標

PaaS層能力體現為服務的注冊、發現、組合、遷移與協調調度等方面,實現容器的抗毀遷移、資源彈性擴展和服務請求重定向。提出的PaaS層指標涵蓋:服務部署能力降級率SerDepP、數據庫訪問能力降級率DataAccP,計算模型為

(3) SaaS層能力降級率指標

SaaS層能力體現為信息搜索、信息目錄、信息定制與分發等能力,實現信息靈活高效的引接、組織、分發和共享。提出的SaaS層指標涵蓋:服務響應處理能力降級率SerSolveP,計算模型為

式中,SaaS服務涵蓋聯合態勢接入管理、態勢綜合處理、態勢訂閱分發、態勢顯示、方案籌劃、計劃擬制等應用服務。

3.1.2 抗毀頑存時間

抗毀頑存時間指韌性信息服務云環境從開始遭受攻擊至其能力降低最低性能水平的時間間隔,其計算模型為

ΔTR=TRec-T0

式中,ΔTR為抗毀頑存時間;T0為攻擊/擾動開始時刻;TRec為韌性信息服務云環境性能降級至最低閥值的時刻。從IaaS層、PaaS層與SaaS層能力組成的角度,分別定義了計算處理能力、網絡處理能力、數據庫訪問能力、服務響應處理能力毀頑存時間。

3.2 適應能力度量

適應能力用于衡量韌性信息服務云環境面向復雜威脅環境下異常識別與自適應響應控制等能力。本文從異常識別、響應策略生成能力,建立韌性信息服務云環境適應能力度量指標。

3.2.1 異常識別能力

異常識別能力反映韌性信息服務云環境遭受攻擊后,檢測與識別異常的能力,建立度量指標涵蓋:異常識別類別、異常識別率、異常識別時間與異常識別準確度。

(1)異常識別類別ERType:衡量在一段時間內可識別的異常事件的種類,涵蓋過載異常、流量異常、失效異常等,其評估模型為

ERType=FEnc(x過載異常,x流量異常,x失效異常)

(2)異常識別時間ERT:從發現到識別異常事件的所耗費的時間,其評估模型為

ERT=ERTRec-SCTgen

式中,ERTRec、SCTgen分別表示異常事件產生時刻、識別出異常事件時刻。

(3)異常識別率ERP:指一段時間內成功檢測的異常事件占所有事件的比例,其評估為

式中,EN(ti)、ERN(ti)表示在ti時間段內異常總量、識別的異常數量。

(4)異常識別準確度:衡量異常識別結果與真實事件的符合程度。

3.2.2 響應策略生成能力

響應策略生成能力用于衡量韌性信息服務云環境在監測到異常事件后,快速生成響應策略的能力。建立的響應策略生成能力度量指標涵蓋:策略生成周期、策略生成方式。

(1)策略生成周期:指從監測到異常事件后到生成響應控制策略的時間間隔。

(2)策略生成方式:指生成自適應響應控制策略的模式或方法,包括臨機生成、策略匹配方式。

3.3 恢復能力度量

恢復能力反映了韌性信息服務云環境在經歷擾動后,能夠部分或全部恢復初始運行狀態的能力。從恢復質量和效率方面,建立了能力恢復時間、能力恢復率、任務完成波動率等度量指標。

3.3.1 能力恢復時間

能力恢復時間是從恢復運行的角度,衡量韌性信息服務云環境采用節點備份與接替、服務遷移等響應控制策略后,云環境能力恢復快慢程度,其計算模型為

ΔResT=Tstab-Trec

式中,ΔResT為能力恢復時間;Tstab、Trec分別為韌性信息服務云環境能力開始恢復、恢復至穩定狀態時刻。以態勢處理能力為例,記韌性信息服務云環境開始遭受拒絕服務攻擊的時刻為Tatt,導致態勢生成時間延長,監測到異常后采用資源擴容、服務遷移策略等,態勢處理能力開始恢復時刻為Trec(situ),恢復至穩定運行時刻為Tstab(situ),則態勢處理能力恢復時間ΔST(situ)計算模型為

ΔST(situ)=Tstab(situ)-Trec(situ)

3.3.2 能力恢復率

能力恢復率指韌性信息服務云環境遭受攻擊后,采用自適應響應恢復控制策略調整后,相比初始能力的恢復程度,其計算模型為

式中,Cap0、Capstab分別為韌性信息服務云環境初始運行能力、擾動后恢復至穩定狀態時能力。分別從IaaS層、PaaS層、SaaS層實例化能力恢復率指標,涵蓋計算能力恢復率、網絡處理能力、服務響應能力恢復率、數據訪問能力恢復率、態勢處理能力恢復率、態勢訂閱分發能力恢復率等。

3.3.3 任務完成波動率

任務完成波動率是從恢復系統任務完成的角度,度量韌性信息服務云環境在遭受擾動后任務完成度Taskstab相比初始任務完成度Task0的波動比率,其計算模型為

以指揮引導任務為例,提出了指揮引導任務完成波動率度量指標,其內涵指系統引導資源毀傷后指揮引導能力的波動程度,計算模型為

式中,TaskP為指揮引導任務完成波動率；n=1,2,…,n為指揮引導數量。

4 仿真實驗

以韌性信息服務云環境保障聯合防空作戰任務為背景,通過韌性信息服務云環境原型系統的構建和運行,驗證其在Cyber攻擊下核心任務保障能力,能夠在攻擊或擾動發生后仍然持續保障系統核心任務運行。實驗環境如圖2所示。

圖2 實驗環境組成Fig.2 Composition of experimental environment

韌性信息服務云環境原型系統包括各級信息服務中心,主要由資源管理服務、共性服務、核心任務保障等模塊組成,其上部署通用功能服務,能夠適應多樣化任務要求,在遭受Cyber攻擊、物理毀傷,發生節點失效、故障情況下,保障核心任務的完成。

Cyber威脅模擬用于模擬服務器宕機、網絡節點與鏈路毀傷、服務中斷等Cyber威脅行為,為信息服務云環境韌性能力評估試驗環境注入威脅事件,觸發云環境韌性機制的運轉,支撐云環境資源節點毀傷條件下韌性能力試驗開展。

戰場劇情生成、仿真試驗控制為韌性信息服務云環境提供戰場自然環境與客觀兵力模擬、仿真試驗控制和管理功能,驅動韌性試驗運行。

情報、指控與武器平臺模擬將作為韌性信息服務云環境配試系統,為韌性信息服務云環境提供情報模擬、作戰計劃生成、指令下達、火力打擊等功能。

為有效驗證信息服務云環境的韌性能力,本文選取任務完成波動率指標開展實驗。

實驗參數:設置5個航空兵指揮所,部署運行在虛擬機上,每個指揮所的引導容量為20批,具體如表1所示。

表1 實驗參數Table 1 Experimental parameters

下面采用Cyber威脅模擬工具編輯威脅事件,依次模擬拒絕服務攻擊、虛擬機宕機、計算資源過載攻擊等攻擊事件,使得航空兵指揮所模擬器處理能力逐漸下降,隨著攻擊強度的增大,指揮所無法正常完成引導任務。在檢測到航空兵指揮所資源處理異常后,采用引導任務接替、主備切換策略,由上級指揮所接替毀傷資源完成引導任務,使得指揮引導任務完成率波動率逐漸下降。

圖3為不同規模資源毀傷條件下指揮引導任務完成波動率的仿真實驗結果。

圖3 不同數量引導資源毀傷條件下的實驗結果Fig.3 Experimental results of resource destruction under different quantities

圖4給出不同數量的航空兵指揮所毀傷后,指揮引導任務完成波動率實驗結果。

根據上述實驗結果可知,當1個引導資源毀傷后,其引導任務可由其他資源接替完成,此時任務完成波動率為0;當4個引導資源同時毀傷后,任務完成波動率為29%,與預期結果一致。因此,為了有效降低指揮引導任務完成波動率,可依據韌性能力評估結果和毀傷對象類型,給出韌性能力提升的優化調整控制策略。其中,針對計算資源毀傷對象,可通過計算/存儲資源彈性擴容、負載均衡、虛擬機遷移等優化調整控制策略,提升信息系統服務云環境韌性能力。針對網絡資源的毀傷對象,可采用路由重定向、拓撲動態調整、流量受限等控制策略,提升其韌性能力。針對服務資源毀傷對象,采用服務遷移、接替、負載均衡等策略,提升其韌性能力。針對情報處理、指揮所等毀傷對象,將可采用資源冗余部署/主備切換、友鄰/上下級任務接替、任務再規劃(任務重新分配、資源重規劃)等韌性策略,在系統資源故障或毀傷不可避免的條件下,提升韌性信息云環境持續保障任務完成的能力。

圖4 不同規模資源毀傷下任務完成波動率Fig.4 Task completion volatility under different scales of damage

5 結束語

面向任務保障的韌性信息服務云環境能力評估是一項全新、復雜的工程,涉及到信息服務云環境韌性能力的度量標準如何建立、遭受的Cyber攻擊/威脅如何量化、采用何種自適應響應控制策略與措施等因素。本文從韌性信息服務云環境的降級運行與恢復運行兩階段出發,從降級能力和恢復運行能力兩方面,提出了面向任務保障能力的韌性信息服務云環境能力評估指標體系和指標計算方法;通過設置不同攻擊強度的Cyber威脅,不僅驗證了任務保障能力評估模型的有效性,而且可為提升和優化信息服務云環境韌性能力奠定基礎。