基于博弈論的預警衛星系統抗毀性研究

齊小剛，陳春綺，熊偉，劉立芳

（1. 西安電子科技大學 數學與統計學院，陜西 西安 710071; 2. 航天工程大學 復雜電子系統仿真技術國防科技重點實驗室，北京 101416; 3. 西安電子科技大學 計算機學院，陜西 西安 710071）

自1957年蘇聯成功發射第一顆人造地球衛星以來，人類進入航天時代，衛星被廣泛應用于科學探測和研究、天氣預報、通信、導航、軍事等領域。預警衛星，又稱為導彈預警衛星，是天基預警系統的核心組成部分，主要利用星上紅外探測器和可見光探測器，探測導彈尾焰及彈體輻射，跟蹤、識別導彈從發射到助推段、自由段和再入段的過程，測量來襲導彈的發射時間、發射地點、攻擊目標、飛行方向等參數，提供給地面攔截和反擊的各種信息，取得預警時間[1]。

目前空間領域競爭不斷加劇，以衛星為主體的航天系統將是一體化全球感知、全球交戰系統的核心，以美、俄為代表的國家已經認識到衛星系統特別是預警衛星系統在軍事活動中起到的重大作用[2]，在大力發展衛星的同時，也投入大量的精力研究反衛星武器，從這一方面來說，在保護己方衛星提高抗毀性的同時，利用反衛星武器來干擾、破壞乃至摧毀敵方預警衛星系統具有巨大的軍事價值和戰略意義。

因此，對于預警系統信息網絡來說，攻擊通常是不可避免的，考慮受到攻擊情況下的系統抗毀性有著重大意義。本文以天基紅外系統(spacebased infrared system，SBIRS)為主要研究對象，基于博弈論，區別于傳統的系統抗毀性，在攻擊/防御框架下將系統抗毀性分為攻擊者抗毀性和防御者抗毀性進行研究。

1 研究現狀

1.1 天基紅外系統(SBIRS)

天基紅外系統(SBIRS)是美國建造的逐步取代原有DSP衛星系統的下一代導彈預警和跟蹤系統，是由地球同步軌道衛星(GEO)、低軌道衛星(LEO)以及大橢圓軌道衛星(HEO)組成的復合型星座。SBIRS用來執行4項任務：導彈預警、導彈防御、技術情報和作戰空間特征描述[3]，是目前技術最先進的軍事紅外探測衛星，大大增強了美國的全球導彈預警能力。

SBIRS系統可分為3部分，即高軌道部分(SBIRS-high)，低軌道部分(SBIRS-low)和地面支持部分。

SBIRS-high由4顆GEO和2顆HEO衛星構成，SBIRS-GEO衛星主要用于探測和發現處于助推段的彈道導彈，SBIRS-HEO主要任務在于對北極地區的探測預警，將SBIRS的預警能力擴展到兩極地區。SBIRS最大的改進是采用了雙探測器方案，每顆衛星載有一臺高速掃描型探測器和高分辨率凝視型探測器。衛星工作時，掃描型探測器先對地球進行快速掃描，然后將探測到的數據提供給凝視型探測器。緊接著，凝視型探測器將目標畫面拉近放大，獲取詳細信息，進而確定是否發生導彈發射活動。雙探測器協調工作，共同完成任務，有效增強了 SBIRS探測彈道導彈的能力[4]。

SBIRS-low后更名為空間跟蹤和監視系統(STSS)，設想由分布于3個高度為1 600 km軌道的24顆衛星組成，衛星之間利用60 GHz的星間鏈路傳遞彈道導彈飛行中段的跟蹤信息，提供立體的探測，實現對彈道導彈和洲際導彈飛行全過程的持續跟蹤。通過與SBIRS-high的配合，為攔截導彈提供飛行軌跡及坐標。

地面支持部分由控制站、國外中繼地面站、可移動終端及相關的通信設備組成。

1.2 抗毀性

關于抗毀性一直以來并沒有形成統一的定義，抗毀性注重的是系統的關鍵部分遭受到攻擊或摧毀，系統的恢復性和適應性，并在此情況下仍能完成關鍵服務的能力[5]。

目前，針對預警衛星的抗毀性研究甚少，針對衛星網絡的抗毀性研究也局限于拓撲結構、路由方案、容量優化及星座架構等方面[6-9]。但是衛星網絡工作在極其復雜的空間環境中，衛星節點之間的星間鏈路在任意時刻都可能發生隨機故障，甚至遭受蓄意攻擊，從而導致性能下降甚至完全損壞，這一情況下的抗毀性很少受到關注。

2 攻防博弈論

2.1 網絡攻防博弈論

博弈論(game theory)是研究具有斗爭或競爭性質現象的數學理論和方法，其實質是從對抗雙方的角度出發，考慮各自的預期行為和實際行為，并研究它們的優化策略。博弈過程中，參與對抗的雙方都試圖尋找使得自己利益最大化的最合理的策略。

博弈論作為一種在競爭對抗環境下博弈參與方策略選擇的理論，其與網絡攻防行為所具有的目標對立性、非合作性以及策略依存性高度契合[10]。攻防雙方選擇各自的策略進行攻擊與防御，在實際的攻防博弈場景中，防御者采取的防御策略和攻擊者使用的攻擊策略，雙方均無法確定，例如防御者知道攻擊者可能的幾種攻擊類型但無法確定，造成了信息的不完全性，攻防雙方選取策略的過程可以看作不完全信息博弈過程。博弈圖如圖1所示。

圖 1 博弈圖Fig. 1 Game diagram

網絡攻防對抗過程，即是攻擊方對網絡系統中存在的脆弱性加以利用，為達到某種損害網絡系統的目標而采取一系列的攻擊行動；防御方針對網絡系統的性能要求及所遭受的攻擊而采取一系列的防御行動，整個對抗過程的實質就是博弈的過程[11]。在這一過程中，攻擊者的收益即為目標網絡的破壞程度，而防御者的收益為網絡正常運行滿足需求。網絡攻防博弈過程與傳統博弈過程的對應關系如圖2所示。

圖 2 博弈要素對應關系Fig. 2 Correspondence between game elements

2.2 預警衛星薄弱環節

衛星本身的一些特性使衛星比地面系統更容易遭受攻擊，且難以修復。

1)衛星軌道固定，易被探測。人造衛星是環繞地球在空間軌道上運行的無人航天器，一旦發射，只能沿著預定的軌道飛行，僅僅為躲避反衛星武器攻擊做微小變動都很困難，變軌更是需要付出極大代價。同時，衛星最主要的特點就是覆蓋面廣，但也使得地面上很容易觀測到衛星，通過雷達等探測儀器可以很輕易地獲得衛星的軌道參數。尤其是低軌預警衛星，軌道高度僅為1 600 km，一旦進入監視范圍，會被立刻探測。因此，會受到反衛星及動能反衛星武器的攻擊，被直接摧毀。

2)在激光武器攻擊下衛星的組件性能下降乃至失效。使用激光武器可以使得衛星的一些部件性能受損，當能量密度達到一定閾值時，能對衛星造成更迅速的破壞，導致衛星中高壓容器破裂、摧毀太陽能電池板、破壞表面熱控制材料、損毀衛星天線等。對于光電探測器，當照射激光超過最大負載值時，將發生飽和現象，無法正常工作，尤其是預警衛星搭載的探測器，為了探測到導彈尾焰，靈敏度極高，使得飽和所需的功率更低。

3)上下行及星間鏈路實時性要求高，易受干擾。預警衛星在探測到導彈的相關參數后，通過下行鏈路傳送給地面控制站，同時衛星也需要通過上行鏈路獲取指揮信息。在衛星工作時，星上數據處理系統會接收到大量數據并進行預處理，為了確保預警信息的實時性，必須建立高效的通信鏈路。正常情況下，由于無線通信易受干擾，鏈路會采用編碼、加密等技術來抵抗干擾與欺騙。但是，攻擊者利用與實際信號相同的頻率但功率較大的干擾信號來擾亂衛星通信，或者加大功率并模仿真實信號的特征，使得地面無法接受信息或接收到虛假信息，星間和星地間無法正常通信，從而影響預警性能。

4)低軌衛星需要組網才能完成全球覆蓋。SBIRS-low軌道高度僅為1 600 km，運行周期短。為了更好地全程持續跟蹤導彈飛行，必須組網才能實現對全球的覆蓋監視。SBIRS-low協同工作，才能進行對導彈的監視跟蹤，若對其中某些衛星實施攻擊導致其失效，將會破壞整個系統的預警能力。

3 系統抗毀性

3.1 影響抗毀性的因素

系統的可靠性一般被認為是：在規定的條件下，系統在給定時間段內執行所需功能的概率。因此，在條件相同時，兩個系統如果各方面均相同，則其有著相同的可靠性，即可靠性是靜態的。抗毀性與其看似十分相似但卻大有不同，抗毀性關注的是系統在受攻擊后繼續正常運行的概率，在攻擊/防御框架下，這一概率會受到以下幾個因素的影響：

1)攻擊者目標：干擾系統，完全禁用系統，對系統造成不可修復的最大損害等。

2)攻擊者資源：單次攻擊或者可重復攻擊，攻擊所采用的技術手段等。

3)攻擊策略：系統禁用則停止攻擊，攻擊所有組件，攻擊順序等。

4)防御者資源：第一次攻擊后是否及時做出反應，攔截攻擊的能力，虛假目標誤導攻擊等。

5)防御策略：隱藏目標使攻擊者無法接觸，改變傳輸方式等。

3.2 抗毀性博弈模型

基于上述研究，在攻擊/防御框架下，建立預警衛星的抗毀性問題博弈模型如下：

1)參與者：預警衛星系統攻擊者與防御者。①攻擊者：攻擊預警衛星系統，干擾、破壞和摧毀衛星節點，降低系統性能。如果預警系統無法完成預警任務，則認為攻擊成功。②防御者：保護預警衛星系統正常運行，最小化系統失效概率，完成既定的預警任務。

2)攻擊策略集：攻擊者選擇攻擊任意數量的衛星節點，以及攻擊順序和攻擊方式。

3)防御策略集：防御者采取最短路或者其他通信方式，選擇不同的預警模式。

4)攻擊者收益：預警衛星系統被破壞的程度。

5)防御者收益：預警衛星系統維持正常的預警性能。

6)攻擊方式：根據衛星受到攻擊的實際情況，將攻擊方式分為兩類：一是直接摧毀，衛星節點及相連的星間鏈路全部失效，對應于衛星受到的硬殺傷攻擊；二是衛星受到干擾，性能受到影響，抽象為飽和攻擊、篡改攻擊、刪除攻擊，對應于衛星受到的軟殺傷攻擊。

3.3 系統抗毀性

為了更好地從攻守雙方刻畫預警衛星系統抗毀性，將其分為防御者抗毀性和攻擊者抗毀性。定義如下：

定義1 防御者抗毀性是系統在攻擊下存活的概率。

定義2 攻擊者抗毀性是攻擊失敗的概率。

在3.2節博弈模型下，防御者為提高自身收益，會盡可能提升防御者抗毀性，而攻擊者為了最大可能禁用系統預警功能，會選擇合適的攻擊策略，提高攻擊成功的概率，降低攻擊者抗毀性。

在完全信息的情況下，防御者將采取最大化預警衛星系統預警能力的策略，而攻擊者也將針對這一策略進行攻擊，防御者抗毀性和攻擊者抗毀性在這種情況下一致，顯然，這是一種零和博弈，其中防御者收益的任何增加都是以攻擊者收益的減少為代價獲得的，反之亦然。因此，防御者不會選擇策略減少收益以使攻擊者受益，防御者沒有動力在當前完全信息背景下采取誤導攻擊者的舉動，納什均衡保持不變，攻防雙方堅持最佳策略。

但是預警衛星系統完全信息基本不可能實現，在不完全信息的情況下，防御者采取不同的通信方式使得最佳策略不同，而攻擊者不了解防御者策略，雙方均采取隨機策略。此時防御者和攻擊者的最佳收益不一致，博弈被認為是不穩定的并且納什均衡不適用。下面，以SBIRS-low為例，說明在不完全信息情況下，攻防雙方選擇的策略，以及防御者抗毀性和攻擊者抗毀性的不同。

圖3所示為SBIRS-low的網狀拓撲結構，3條軌道，每條軌道均勻分布8顆衛星，協同工作完成預警任務。衛星暴露于外太空，軌道及拓撲結構極易被攻擊方獲取，但是防御方采取的通信策略則是保密的，如路由算法、擁塞控制方案等，在這種情況下，可選擇的攻防策略如下。

圖 3 SBIRS-low拓撲結構Fig. 3 SBIRS-low topology

防御策略：在博弈過程中，防御方是率先做出決策的一方，防御方所采取的通信方式和預警模式，決定了每顆衛星在系統中的作用，也就確定了其在受到攻擊情況下失效的概率大小。防御者仍然選擇最佳策略，也就是使得攻擊時系統失效概率最低的策略，因為如果防御者網絡的抗毀性降低，將有利于攻擊者，與防御者的收益相矛盾。

此時防御者抗毀性與防御者選取的最佳策略有關。防御者在受到攻擊后，應該如何應對以提高自身抗毀性，是后續動態博弈的主要研究內容。

攻擊策略：考慮到有非常多的候選防御策略，保險起見，攻擊者應該攻擊衛星網絡的點割集，一旦完全禁用該點割集，無論防御者采取何種策略，網絡將無法連通，攻擊成功。雖然這可以被視為攻擊者采用的保守方法，但當攻擊者目標為完全禁用衛星網絡時，可以認為這是充分現實的。因此，攻擊者應該做出最佳的攻擊選擇。換句話說，攻擊者應該以攻擊成功的概率來定位點割集，并依據攻擊時可以繼續操作的概率來確定攻擊順序。

在SBIRS-low中，為了確保衛星網絡不連通，應該分別在每條軌道上選擇不相鄰的兩個衛星節點進行攻擊，從而使得網絡不連通。目前暫不考慮由于極地的存在導致在高緯度區域，衛星軌道間鏈路不存在的情況。

設pij(i為軌道編號，j為軌道內衛星編號)表示衛星LEO-i-j受到攻擊時失效的概率，則系統的攻擊者抗毀性為Pa=1-p1j1p1j2p2j3p2j4p3j5p3j6，攻擊者應該選擇使得Pa值最小衛星節點集合進行攻擊。同時在攻擊不同衛星節點成本一致的情況下，按照節點攻擊成功概率從小到大的順序進行攻擊，一旦某一個節點的攻擊失敗，則本次攻擊失敗并停止攻擊，攻擊者應該重新選擇攻擊策略，這一問題屬于動態博弈，本文暫不考慮。

此外，SBIRS系統主要依靠高軌衛星來探測導 彈的發射，因此在攻擊時可以首先考慮攻擊所在地區上空的GEO衛星，例如歐洲國家應選擇首先攻擊歐洲地區上空的GEO衛星。

4 性能測試與分析

4.1 博弈策略分析

使用STK搭建SBIRS系統的軌道模型，相關參數如表1所示。圖4展示了軌道模型的結果，圖4(a)中展示了SBIRS系統30顆衛星的軌道模型，圖4(b)是SBIRS-low的軌道模型，可以清楚地看到3個軌道面。在OPNET軟件中導入STK生成的軌道模型，在全球范圍內布置地面控制站。

表 1 SBIRS軌道參數Table 1 SBIRS orbital parameters

圖 4 軌道模型Fig. 4 Track model

由于SBIRS-low衛星運行周期短，拓撲時變，采取時間片方法，認為在一定的時間內，拓撲固定。路由算法采取最短路算法。仿真運行得到節點容量，如表2所示。

表 2 衛星節點容量(實驗1)Table 2 Satellite node capacity (Experiment 1)

采用節點容量來刻畫節點受到攻擊時失效的概率，節點容量越大，受到攻擊時更易造成擁塞和飽和現象，失效的概率越大，在系統中越重要。由表2中數據可知，SBIRS-high中的GEO和HEO衛星承擔著更加重要的作用，其中GEO重要性更高。在SBIRS-low中，由于衛星組網周期性運動，重要程度差別不大，但是仍然有著區別。軌道1中，LEO-1-2和LEO-1-3；軌道2中，LEO-2-3和LEO-2-5；軌道3中，LEO-3-2和LEO-3-3，承載了更多的容量，因此在受到攻擊時更容易失效。

1)如果完全信息情況下，雙方處于非合作博弈狀態，防御者采取最高效的路由方式傳輸數據，而攻擊者也根據該路由方式進行攻擊。防御者不會降低自己的傳輸效率，采取其余的路由方式來欺騙攻擊者，同時攻擊者也不會選擇攻擊其余節點降低攻擊成功的概率。

2)在不完全信息情況下，雙方都將采取自身收益最大的策略，無法達成納什均衡。根據表2數據，初步的攻防博弈策略如下：

防御者：防御者應加強對GEO衛星的保護，同時加大對SBIRS-low中承載容量更多節點的關注，根據節點的組件性能以及在網絡中的重要程度，選擇攻擊下失效概率低的節點傳輸數據，例如LEO-1-8、LEO-2-6和LEO-3-5，以提高系統防御者抗毀性。與此同時，防御者可以采取迂回的路由方式，改變節點受攻擊時失效的概率，設置虛假節點誤導攻擊者。

攻擊者：根據3.3節中描述，在成本一致的情況下，攻擊者應該首先攻擊GEO衛星。由于信息不完全，攻擊者無法得知防御者采取的路由方式，因此只能選擇使得SBIRS-low網絡不連通的攻擊策略。以實驗1的數據來刻畫失效概率，應選擇攻擊節點LEO-1-3、LEO-1-6、LEO-2-3、LEO-2-5、LEO-3-2和LEO-3-4來斷開SBIRS-low網絡，同時按照節點攻擊成功概率從小到大的順序進行攻擊，即最先攻擊LEO-3-4。其中為了滿足不相鄰節點，軌道1和軌道3中的節點做了相應調整。攻擊這些易于失效的節點，攻擊成功的概率變大，使得攻擊者抗毀性最小。

實驗1的仿真時間較短，得到的結果數據差異不顯著，實驗2延長了仿真時間，結果如表3所示。

表 3 衛星節點容量(實驗2)Table 3 Satellite node capacity (Experiment 2)

對比表2、3的數據，可以發現，在仿真時間增加后，GEO和HEO承載的數據量明顯區別于LEO，且GEO-2和GEO-4一直處于更加重要的位置。SBIRS-low系統中差距顯著，LEO-1-3明顯屬于重要節點，攻擊時極易失效，而LEO-3-5的失效概率則比較低。這些數據也進一步驗證了上述提出 的攻防策略。

4.2 模型分析

根據攻防對抗雙方的攻擊選擇策略可以看出，在非完全信息狀態下存在3種博弈的收益：

1)攻擊方對于防御方GEO、HEO和LEO所構成的預警系統完全不知情，因此在選擇攻擊位置時是完全隨機的，其收益為給防御方造成的損失在3種模式下的平均值。

根據實驗1表2中GEO、HEO和LEO所有節點的容量(數據包)，計算其平均值為76 990。實驗2表3中平均值為196 273。

2)攻擊方對于防御方GEO、HEO和LEO所構成的預警系統而言，其GEO和HEO的作用是部分知情的，因此在選擇攻擊位置時不是完全隨機的，其收益為給防御方GEO和HEO造成的損失的平均值。

根據實驗1表2中GEO和HEO節點的容量(數據包)，計算其平均值為112 339。實驗2表3中平均值為291 247。

3)攻擊方對于防御方GEO、HEO和LEO所構成的預警系統而言，其GEO的作用是部分知情的，因此在選擇攻擊位置時也不是完全隨機的，其收益為給防御方GEO造成的損失的平均值。

根據實驗1表2中GEO節點的容量(數據包)，計算其平均值為115 142。實驗2表3中平均值為298 441。

進而，可以獲得3種模式下，攻擊者隨機發起攻擊造成防御方的損失最大值為第3種情形，第1種情形最小。其中實驗1為115 142和76 990，實驗2為298 441和196 273。

兩種不完全信息下的網絡攻擊者對防御者攻擊帶來的攻擊收益(防御方損失)的優化百分比計算如下：實驗1為(115 142-76 990)/115 142=33.13%，實驗2為(298 441-196 273)/298 441=34.23%。因此，基于博弈論的網絡抗毀性指標優化后，可區別不同的不完全信息情況優化模型。

然而，在攻擊方對于防御方造成的攻擊收益為防御方的數據損失量均值的計算方式也不完全符合實際的情況，具體的損失還應該考慮攻擊者的成本和實施難度。

5 結束語

本文針對預警衛星系統，在攻擊/防御框架下，基于博弈論，利用不完全信息靜態博弈，將SBIRS系統的抗毀性分為攻擊者抗毀性和防御者抗毀性，區別于傳統僅對系統本身進行研究，分別從攻擊方和防御方對預警系統分析研究，提出攻防狀態下刻畫系統抗毀性的方式，并利用OPNET仿真平臺模擬衛星工作狀態，用衛星節點的容量大小來刻畫節點受攻擊時干擾及失效概率，提出了攻防雙方的初步策略，并分析了博弈模型，可進行相應優化。但是攻擊和防御并不是靜止不變的，雙方都需要根據當前情況來修正自己的策略，尤其是攻擊者將根據已經攻擊的結果結合攻擊成本等來重新選擇策略，這將是一個動態博弈的過程，如何準確的刻畫這一過程，并提出合理的攻防博弈策略是作者接下來的主要研究方向。