基于層次分析的信息物理網絡多維攻擊損毀評估

洪晟 岳天羽 李新建

(1. 北京航空航天大學 網絡空間安全學院, 北京 100083; 2. 湖北中煙工業有限責任公司, 武漢 430040)

信息物理網絡是一個由各種不同類型和規模、獨立運行和管理的計算機網絡連接組成的互聯物理網絡,其順應了信息集成管理和控制一體化的發展趨勢與需求,被廣泛應用于能源、交通、市政、食品和航空航天等關系國計民生的重要行業和領域,密切關聯著人們的生產生活,同時也關系國家發展的命脈。 除此之外,信息物理網絡依托各類應用程序攜帶了大量的數據、資源和服務,如互鏈接的超文本文檔、電子郵件、微博與視頻等應用均通過信息物理網絡實現信息共享,隨著全球范圍網絡攻擊事件的不斷增多,信息物理網絡也成為國家級黑客攻擊的重點目標,網絡戰已成為軍事斗爭的新形態,各國圍繞網絡戰紛紛展開激烈較量和爭奪。

由于信息物理網絡表現出的多重互聯、交叉連接及約束較少的特點,當網絡中一個或少數幾個實體節點或連接路徑遭受攻擊時,攻擊會通過實體節點的連接關系向其他實體節點擴散傳播,形成規模性的攻擊失效連鎖反應,如瞬時爆發及持續性的網絡震蕩、計算中斷及服務拒止等現象,甚至產生災難性的影響。

近年來,由于信息物理網絡系統遭到病毒、攻擊等導致網絡失效連鎖反應并造成巨大影響的案例數不勝數。 2010 年“震網事件”爆發,黑客利用Windows 系統中的多個漏洞來突破網絡物理限制,釋放“震網”病毒攻擊伊朗鈾濃縮基地信息控制網絡,使至少五分之一的離心機被迫關閉[1]。2015 年12 月,黑客利用“BlackEnergy”惡意軟件在烏克蘭電力信息網絡系統中植入病毒,導致烏克蘭70 萬戶家庭斷電,給人民的生產生活帶來巨大影響[2]。 2017 年5 月,“永恒之藍”勒索病毒爆發,“永恒之藍”利用Windows 系統的遠程代碼執行漏洞獲取系統最高權限,烏克蘭、俄羅斯、西班牙、法國與英國等多國的政府、銀行、電力系統、通信系統、能源企業與機場等重要基礎設施信息網絡均遭遇到襲擊[3]。 2018 年8 月,臺積電公司生產園區控制信息網絡遭大規模病毒攻擊,使其大部分生產車間全線停工,且對全球的高性能計算芯片交付造成了很大影響,造成高達17.4 億元的損失。 2020 年9 月,智利國家銀行由于被惡意郵件在銀行信息網絡中安插后門,遭到勒索軟件攻擊,加密了銀行內網中大部分服務工作站。

由此可見,大量黑客借助郵件、微博、視頻、網頁等網絡應用攻擊信息物理網絡致使網絡大范圍連鎖失效已經成為危害信息物理網絡的主要問題,為了能更好地分析度量網絡攻擊對信息物理網絡所造成的危害,判斷信息物理網絡遭受攻擊后的網絡損毀程度,需要對信息物理網絡進行攻擊損毀評估。

本文分析了信息物理網絡攻擊損毀評估的發展現狀;從物理層、規則層、服務層3 個不同層次維度構建了信息物理網絡多維攻擊損毀評估架構;將“穩定性”、“可用性”與“可控性”網絡屬性融入信息物理網絡攻擊損毀評估中;建立了信息物理網絡多維攻擊損毀評估模型并進行了案例實驗分析。

1 信息物理網絡攻擊損毀評估發展

目前,對于信息物理網絡損毀評估主要分為2 方面:①對網絡攻擊損毀評估指標的研究;②對網絡攻擊損毀評估方法的研究。

在網絡攻擊損毀評估指標研究方面, Shi等[4]分析了網絡空間的影響,提出了基于模糊綜合評價法的網絡攻擊損毀評價指標體系。 Lin等[5]通過提出了一個高級持續威脅(APT)攻擊下的評價指標體系,通過該指標體系量化APT 攻擊損毀效果。 鮮明等[6]提出了建立“目標-屬性-指標”層次結構的信息網絡損毀評估指標體系,通過分層分析、綜合評估的方法,增強了信息網絡損毀效果評估的系統性和實用性。 汪生和孫樂昌[7]從攻擊者的角度出發,對信息物理網絡損毀評估指標體系進行了改進,采用狀態遷移分析技術,提升了評估過程中的可控性和規范性。 趙博夫和殷肖川[8]從破壞效果、信息獲取及控制能力3 個方面,建立了攻擊損毀評估指標體系,利用層次分析法(AHP)灰色理論對網絡攻擊損毀進行評估。 胡影等[9]提出了原子指標的概念,通過對攻擊庫的研究,根據原子功能提煉信息物理網絡損毀評估指標,增強了評估方法的適用性。 Niu等[10]對無線信息網絡攻擊干擾損毀評價指標進行了研究,采用網絡劃分率作為評價指標。

在網絡攻擊損毀評估方法研究方面,劉進等[11]采用層次分析法,通過專家層層打分進行信息物理網絡損毀評估計算,提高了評估的準確性。Maciel 等[12]通過層次建模方法對物聯網系統在DDoS 攻擊下的影響進行了評估。 李雄偉等[13]將模糊理論引入信息網絡攻擊效果評估領域,提出基于模糊綜合評價法的評估模型,簡化了計算的復雜度。 Chai 等[14]采用間接變權法計算權值,采用模糊變權綜合評價方法,進行網絡攻擊損毀評估。 鐘遠和郝建國[15]提出基于網絡熵的信息物理網絡攻擊效果評估方法,從一定程度上緩解了網絡損毀評估的主觀性,但存在誤差較大的情況。戴方芳等[16]在網絡熵的基礎上提出基于二維熵分量的K 均值信息網絡攻擊效果評估方法,可以更高效地處理評估數據,得出評估結果。 曾偉淵[17]通過分析各種熵差的計算方法,提出了一種基于網絡“熵差”的攻擊損毀評估方法。 魏興[18]將模糊層次分析法與熵權法權值的接近度作為權重準確性依據,以模糊層次權重趨勢為基準確定賦權方法,建立了基于接近度賦權的網絡攻擊損毀評估模型。 Jajodia 等[19]將灰色理論用于評估計算信息網絡損毀效果,增強了損毀評估各指標之間的關聯性。 Lim 等[20]提出了一種二階段數學優化模型,通過二階段隨機整數規劃建立網絡損傷評估優化模型。 郭琳茜[21]綜合考慮攻擊復雜性與攻擊損毀之間的關聯,將網絡分析法與層次分析法相結合,提出了基于變權逼近理想解排序方法的網絡攻擊損毀評估模型。 賈薇等[22]針對無線信息網絡,提出了一種基于攻擊樹的網絡攻擊損毀評估方法。

上述對信息物理網絡攻擊損毀評估的方法均從信息物理網絡整體網絡安全的角度出發,即利用完整性、可靠性及可用性作為評估屬性,沒有充分考慮信息物理網絡應用(如郵件、微博、視頻、網頁等)遭受攻擊時的損毀特性,無法從信息物理網絡本質架構特性上進行攻擊損毀評估。

本文從信息物理網絡架構特性出發,面對信息物理網絡遭受攻擊及攻擊擴散傳播過程,提出對信息物理網絡進行分層分析,從物理層、規則層、服務層3 個不同層次維度進行網絡攻擊損毀評估,并將信息物理網絡的“穩定性”、“可用性”與“可控性”等網絡屬性融入其3 個不同層次維度的攻擊損毀評估模型中,構建一種信息物理網絡多維攻擊損毀評估模型。

2 信息物理網絡多維攻擊損毀評估架構

鑒于信息物理網絡郵件、微博、視頻等應用的特點,并參考黃寧和伍志韜[23]對網絡可靠性評估提出的3 層評估模型,將信息物理網絡分為物理層、規則層、服務層3 個維度,從信息物理網絡的3 個維度進行信息物理網絡的多維度攻擊損毀評估,信息物理網絡多維攻擊損毀評估架構如圖1 所示。

圖1 信息物理網絡多維攻擊損毀評估架構Fig.1 Framework for multidimensional attack damage assessment of cyber-physical systems

這種維度劃分能夠很好地對郵件、微博、視頻等信息物理網絡應用的功能進行表述。 物理層構建了信息物理網絡的基礎物理層面部分,包括了網絡中節點硬件管理和網絡拓撲規劃等內容;規則層是鏈接物理層面和服務層面的關鍵,包括了網絡傳輸設置、網絡協議配置和設備使用配置等內容,決定了網絡數據的傳輸、分發與處理;而服務層直接面向網絡用戶,包括了網絡軟件應用的運行和網絡數據的計算轉化等內容。

在進行了信息物理網絡物理層、規則層、服務層3 個維度的劃分后,基于每一維度的攻擊損毀評估指標,形成每一維度相應的攻擊損毀評估的網絡屬性,通過層次分析法對各網絡屬性及相關加權融合,建立信息物理網絡物理層、規則層、服務層3 個維度的多維攻擊損毀評估模型。

3 信息物理網絡多維攻擊損毀評估屬性

3.1 物理層維度

對于信息物理網絡物理層面,在遭受網絡攻擊后會出現網絡中被攻擊節點失效,并且失效將會向其他節點傳播擴散,進而導致網絡失效節點數量增加,網絡節點間連接減少,網絡整體連通性下降。 因此,對信息物理網絡物理層面的評估主要評估網絡的拓撲穩定性、連通可用性及失效可控性屬性。

3.1.1 拓撲穩定性

信息物理網絡遭受攻擊后會產生節點失效,而失效節點也會進一步擴散傳播,進而破壞整個網絡的拓撲結構,通過尋找網絡中最大連通子圖,計算信息物理網絡在遭受攻擊下的拓撲連通性,可表示為

式中:g為網絡拓撲連通性;N為網絡中總節點數;NG為網絡中最大連通子圖節點數。

隨著攻擊的擴散傳播,網絡的拓撲結構不斷發生變化,最大連通子圖也隨之改變,拓撲連通性也不斷變化。 因此,本文基于網絡的拓撲連通性,采用拓撲穩定性來表示攻擊對網絡的拓撲結構損害的程度,拓撲穩定性可表示為

式中:Sg為網絡的拓撲穩定性;ˉg為網絡中拓撲連通性的平均值;n為對網絡拓撲的觀測記錄次數。

3.1.2 連通可用性

在信息物理網絡的物理層維度中,其可用性評估的重點在于網絡中節點與網絡連邊可用與否。 因此,運用連通可用性來評估網絡攻擊對信息物理網絡物理層可用性的影響,連通可用性可表示為

式中:Ac為網絡的連通可用性;g0為網絡拓撲連通性閾值,認為只有當網絡當前連通性大于g0時,網絡才處于可用狀態;P為概率。

連通可用性表示網絡拓撲連通性大于閾值的可用狀態的概率,但對單個時間的網絡連通可用性計算存在較大的隨機。 因此,采用長時間T內的求和平均值來表示網絡連通可用性:

式中:MTBF(即Tg＞g0)為網絡連通可用的時間;MTTR(即Tg≤g0)為網絡連通不可用的時間。

3.1.3 失效可控性

信息物理網絡在受到攻擊后,相較于未受攻擊時的網絡失效率λ大大增加,運用網絡熵的原理和計算方法,失效率λ增加,網絡中熵值增加,網絡的不可控性增大。 通過熵計算,計算信息物理網絡失效可控性來評估網絡攻擊損毀,其計算式為

式中:Hλ為網絡失效可控性,當失效率λ越大時,網絡失效可控性Hλ越小。

3.2 規則層維度

信息物理網絡的規則層主要負責網絡協議配置、網絡設備配置和網絡運行規則的制定。 在網絡受到攻擊后,主要影響網絡傳輸時延、網絡節點轉發速率、網絡傳輸丟包、網絡傳輸誤碼與網絡傳輸流量等指標。 因此,在對信息物理網絡規則層的攻擊損毀評估中主要考慮網絡的傳輸穩定性、丟包可用性及誤碼可控性屬性。

3.2.1 傳輸穩定性

在規則層中,網絡遭受攻擊會影響網絡傳輸時延,傳輸時延指數據通過網絡連接,從一個節點發送到另一個節點所需的時間,網絡傳輸時延計算式為

式中:s為傳輸距離;vt為網絡傳輸速率; DB 為傳輸網絡數據大小;spsr表示網絡節點收發數據速率。

同物理層維度一樣,本文基于網絡傳輸時延,采用傳輸穩定性來表示攻擊對網絡規則層維度損毀程度,網絡傳輸穩定性為

式中:SD為網絡傳輸穩定性;ˉD為網絡傳輸時延的平均值。

3.2.2 丟包可用性

在規則層維度,攻擊還會影響到信息物理網絡的丟包率,因此,采用丟包可用性來評估網絡攻擊對信息物理網絡規則層可用性的影響。 設置丟包率閾值L0,當實時丟包率L大于或等于閾值時,認為網絡損毀嚴重,無法正常使用,反之則認為網絡可以正常使用運行。 丟包可用性Aloss為

基于概率計算對式(10)進一步變形,得到公式如下:

式中:MUTloss為網絡丟包可用時間;MDTloss為網絡丟包不可用時間。

3.2.3 誤碼可控性

在受到攻擊后,信息物理網絡在傳輸數據時誤碼會大大增加,基于誤碼率來表示信息物理網絡的可控性,誤碼率計算式為

式中:B為單位時間傳輸的總數據量;Be為單位時間傳輸的誤碼數據量。

運用網絡熵的原理和計算方法,隨著網絡中誤碼率SER 的增加,網絡熵值增加,從而網絡的不可控性增大。 通過熵計算,計算信息物理網絡誤碼可控性來評估網絡攻擊損毀,其計算式為

式中:HSER為網絡誤碼可控性,當誤碼率SER 越大時,網絡誤碼可控性HSER越低。

3.3 服務層維度

在信息物理網絡的服務層面,主要功能是對外界用戶操作請求給與響應,當信息物理網絡遭受網絡攻擊后,網絡對用戶請求的響應將會受到影響,并且網絡應用服務所面臨的風險會大大增加,網絡提供的應用業務也會受到影響,可用性降低甚至無法使用。 因此,在信息物理網絡服務層面的攻擊損毀評估中主要分析網絡的響應穩定性、業務可用性及風險可控性屬性。

3.3.1 響應穩定性

在服務層中,攻擊會影響網絡對用戶請求業務的響應,以響應時間為例,服務響應時間計算如下:

3.3.2 業務可用性

對于信息物理網絡服務層維度,其可用性主要在于網絡對用戶所請求業務響應的可用與否,因此,采用業務響應時間來計算業務可用性。 網絡業務可用性計算式為

式中:RES0為網絡業務響應時間閾值;ρ為響應抖動比例。

通常采用可用性原則取標準正態分布,認為當網絡當前響應時間小于抖動的響應時間閾值RES0時,網絡處于可用狀態。

同物理層、規則層維度一樣,對單個時間的網絡業務可用性計算存在較大的隨機性,因此,采用長時間T內的求和平均值來表示網絡的業務可用性:

式中:MUTRES為網絡業務可用時間;MDTRES為網絡業務不可用時間。

3.3.3 風險可控性

在信息物理網絡服務層維度,用戶請求的網絡業務服務本身就存在一定的風險值,而在遭受網絡攻擊后業務服務風險值會增大,本文采用風險值來計算信息物理網絡服務層的可控性,風險值R計算式為

式中:p為風險頻率;h為風險損失。

運用網絡熵的原理和計算方法,網絡遭受攻擊,網絡風險值R增加,網絡的熵值增加,從而網絡不可控性增大。 通過熵計算,計算信息物理網絡風險可控性來評估網絡攻擊損毀,其表示為

式中:HR為網絡風險可控性,當風險值R越大時,網絡風險可控性HR越小。

4 信息物理網絡多維攻擊損毀評估模型

信息物理網絡多維攻擊損毀評估模型如圖2所示。

圖2 信息物理網絡多維攻擊損毀評估模型Fig.2 Model for multidimensional attack damage assessment of cyber-physical systems

通過建立對郵件、微博、視頻、網頁等信息物理網絡及應用網絡攻擊行為全面跟蹤、記錄、描述與分析的機制,分析受到攻擊后信息物理網絡連通子圖、誤碼率、丟包率、時延、響應時間等網絡性能指標的變化,根據第3 節所提出的計算公式計算出信息物理網絡物理層、規則層、服務層3 個維度的網絡穩定性、可用性、可控性屬性。 如圖3 所示,采用層次分析法按照“目標-維度-屬性”的原則對攻擊毀損評估問題逐層進行分析。 目標層是信息物理網絡攻擊毀損評估結果;維度層是信息物理網絡物理層、規則層、服務層3 個不同評估維度;屬性層為信息物理網絡不同層次維度的攻擊毀損評估屬性,包括穩定性、可用性與可控性。 所使用層次分析法中不出現指標層,網絡相關性能指標依據第3 節所提出的計算公式分別計算信息物理網絡物理層、規則層、服務層3 個維度的網絡穩定性、可用性、可控性屬性。

圖3 基于層次分析法的網絡攻擊損毀評估Fig.3 Network attack damage assessment based on analytic hierarchy process

首先,通過層次分析法得到物理層、規則層、服務層各維度的相對權重。 接著,通過權重系數的復合計算各個網絡屬性相對于最終攻擊損毀評估的絕對權重。 隨后,采用加權融合計算信息物理網絡物理層、規則層、服務層3 個維度的攻擊損毀評估結果及信息物理網絡整體的攻擊損毀評估結果。 最后,依據信息物理網絡在不同攻擊場景下的毀損評估結果,將信息物理網絡損毀情況劃分為輕微損毀、輕度損毀、較大損毀、嚴重損毀4個級別。

5 案例分析

案例所研究的信息物理網絡架構如圖4所示。

圖4 信息物理網絡架構Fig.4 Architecture of cyber-physical systems

通過模擬信息物理網絡遭受分布式拒絕服務(DDoS)攻擊后的網絡狀態數據變化,監測記錄并計算出網絡中網絡拓撲、失效節點、失效率、丟包率、傳輸時延、誤碼率、風險值等指標值,隨后依據第3 節所給出的信息物理網絡物理層、規則層、服務層3 個維度的屬性計算公式計算相應的網絡攻擊損毀評估屬性,計算出的各屬性如表1 和圖5所示。

從表1 和圖5 中可以看出,DDoS 攻擊在服務層中業務可用性的損毀程度最大,這是由于DDoS攻擊不斷進行服務訪問,使得正常業務使用受到極大影響。 而在規則層中,同樣由于DDoS 攻擊導致的大量設備不斷訪問網絡系統,使得網絡中存在大量用戶不斷上下線并發送數據,數據互相干擾,從而在網絡傳輸中形成大量亂碼,使得誤碼可控性損毀程度加大。

表1 網絡攻擊損毀評估屬性Table 1 Attributes for network attack damage assessment %

圖5 網絡多維攻擊損毀評估展現Fig.5 Display of network multidimensional attack damage assessment

采用層次分析法計算信息物理網絡多維攻擊損毀評估模型中屬性與維度層的相對權值。利用加權融合得到信息物理網絡物理層、規則層、服務層3 個維度的攻擊損毀評估結果如圖6所示。

圖6 信息物理網絡多維攻擊損毀評估結果Fig.6 Results of multidimensional attack damage assessment of cyber-physical systems

從圖6 中可以看出,信息物理網絡遭受網絡攻擊后,物理層、規則層、服務層的損毀評估結果分別為89. 32%、87. 67%、77. 08%,該值表示網絡完好程度。 可以看出,服務層受攻擊損毀最為嚴重,物理層損毀最輕,這是因為服務層需要基于物理層與規則層來為用戶提供服務業務,因此,其損毀程度會受到下兩層的影響,所以其損毀程度最高。 此外DDoS 攻擊是通過大量設備對網絡協同進行不斷的服務訪問,從而消耗網絡服務資源,致使網絡癱瘓,無法響應正常應用服務,由于DDoS 攻擊的主要是服務層面,評估結果中服務層的損毀程度最高,與攻擊方式相符合。 最后,可以計算得到信息物理網絡整體的攻擊損毀評估結果,如圖7 所示。

圖7 信息物理網絡整體攻擊損毀評估結果Fig.7 Results of overall attack damage assessment of cyber-physical systems

6 結 論

信息物理網絡在國家能源、交通、通信、社交與航空航天等領域都有廣泛應用,并且由于信息物理網絡存在多重互聯、交叉連接與約束較少的特點,已成為各國網絡戰攻擊的重要目標,因此,對信息物理網絡遭受攻擊后的攻擊損毀評估至關重要。 本文基于現有的網絡攻擊評估研究,提出信息物理網絡多維攻擊損毀評估模型,具有如下優點:

1) 本文方法構建了信息物理網絡多維攻擊損毀評估架構,基于信息物理網絡協議架構,從物理層、規則層、服務層3 個維度進行網絡攻擊損毀評估分析。

2) 本文方法建立了信息物理網絡多維攻擊損毀評估模型,在物理層、規則層、服務層3 個不同維度中分別采用穩定性、可用性、可控性屬性進行評估,運用層次分析法得出3 個維度及信息物理網絡整體的攻擊損毀評估結果。

3) 本文方法對提出的評估屬性,拓撲穩定性、連通可用性、失效可控性、傳輸穩定性、丟包可用性、誤碼可控性、響應穩定性、業務可用性與風險可控性均給出了具體計算公式,能更好地對信息物理網絡攻擊損毀評估進行定量分析。