多狀態(tài)有獎(jiǎng)馬爾可夫工業(yè)控制網(wǎng)絡(luò)可信測(cè)度研究

周森鑫，韓江洪，李 超，吳德成

（1.合肥工業(yè)大學(xué)計(jì)算機(jī)與信息學(xué)院 合肥 230009；2.安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院 蚌埠 233030）

1 引言

工業(yè)控制系統(tǒng)（industrial control systems,ICS）是實(shí)現(xiàn)工業(yè)生產(chǎn)自動(dòng)化的關(guān)鍵，是衡量一個(gè)國(guó)家工業(yè)水平的重要指標(biāo)。它是大型的、復(fù)雜的系統(tǒng)，除了實(shí)現(xiàn)控制功能外，它往往還具有信息處理、管理、決策等功能。當(dāng)前網(wǎng)絡(luò)化系統(tǒng)已成為國(guó)內(nèi)外自動(dòng)控制領(lǐng)域中的研究熱點(diǎn)。可以預(yù)計(jì)，未來的幾十年中，網(wǎng)絡(luò)化控制必將深刻地影響和推動(dòng)著控制理論及其應(yīng)用的發(fā)展。從理論上說，控制系統(tǒng)將要進(jìn)入集網(wǎng)絡(luò)化、軟件控制、現(xiàn)代傳感器技術(shù)為一體的復(fù)雜控制系統(tǒng)階段，工業(yè)控制網(wǎng)絡(luò)的可信技術(shù)研究即網(wǎng)絡(luò)控制系統(tǒng)的安全性、可控性、可生存性等相關(guān)理論研究也正在開展，為我國(guó)先進(jìn)控制系統(tǒng)的開發(fā)與應(yīng)用提供科學(xué)支撐。從應(yīng)用上說，可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的出現(xiàn)，必將大大推動(dòng)國(guó)家經(jīng)濟(jì)、社會(huì)、國(guó)防等領(lǐng)域的信息化應(yīng)用，促進(jìn)國(guó)家“以信息化帶動(dòng)工業(yè)化”的發(fā)展[1]。

據(jù)權(quán)威工業(yè)安全事件信息庫（repository of security incident,RISI）統(tǒng)計(jì)數(shù)據(jù)表明，截至目前，全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的安全事件。典型案例有2007年加拿大的一個(gè)水利控制系統(tǒng)SCADA（supervisory control and data acquisition,SCADA）遭到人為安裝惡意軟件，破壞了用于取水調(diào)度的控制計(jì)算機(jī)；2008年攻擊者入侵波蘭某城市的地鐵系統(tǒng)導(dǎo)致4節(jié)車廂脫軌；2010年Stuxnet病毒入侵伊朗布什爾核電站核反應(yīng)堆的ICS，嚴(yán)重威脅其安全運(yùn)營(yíng)；2011年美國(guó)伊利諾伊州城市供水系統(tǒng)的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA被黑客入侵，供水泵遭到破壞；2011年11月12日正在準(zhǔn)備測(cè)試的伊朗彈道導(dǎo)彈收到控制指令后突然爆炸引起國(guó)際社會(huì)廣泛關(guān)注，相關(guān)安全專家認(rèn)為造成這次事故的原因很可能是曾攻擊布什爾核電站工業(yè)控制系統(tǒng)的Stuxnet蠕蟲病毒；2011年7月23日溫州動(dòng)車事故造成重大財(cái)產(chǎn)缺失和人員傷亡。諸如此類的安全事故表明，工業(yè)控制系統(tǒng)的隱患是影響國(guó)家關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行的重要因素，甚至?xí){到國(guó)家安全戰(zhàn)略實(shí)施。我國(guó)工業(yè)和信息化部在2011年10月發(fā)布文件，要求加強(qiáng)國(guó)家主要工業(yè)領(lǐng)域基礎(chǔ)設(shè)施控制系統(tǒng)與SCADA系統(tǒng)的安全保護(hù)工作[2]。

2 可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全

工業(yè)控制系統(tǒng)是一種用于配水、污水凈化、供電、油氣輸送、設(shè)備制造、化工等領(lǐng)域的高度分布網(wǎng)絡(luò)，通常包含兩個(gè)子網(wǎng)絡(luò)：現(xiàn)場(chǎng)控制網(wǎng)絡(luò)（process control network,PCN）和企業(yè)網(wǎng)絡(luò)（enterprise network,EN），前者由控制器、開關(guān)轉(zhuǎn)換器、驅(qū)動(dòng)器和底層控制裝置構(gòu)成，后者由高層監(jiān)督節(jié)點(diǎn)和計(jì)算機(jī)設(shè)備構(gòu)成。PCN網(wǎng)絡(luò)包括SCADA和分布式控制系統(tǒng)。PCN的一個(gè)主要組成部分是控制服務(wù)器、主終端單元 （master terminal unit,MTU）、遠(yuǎn)程終端單元（remote terminal unit,RTU）、智能供電設(shè)備 （intelligent electronic device,IED）、可編程邏輯控制器 （programmable logic controller,PLC）、操作控制臺(tái)、人機(jī)界面（human-machine interface,HMI）和歷史數(shù)據(jù)記錄。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究 院 （National Institute of Standards and Technology,NIST）、電子電氣工程師協(xié)會(huì) （Institute of Electrical and Electronics Engineers,IEEE）、儀表系統(tǒng)與自動(dòng)化協(xié)會(huì)（Instrumentation Systems and Automation Society,ISA）、國(guó)際電工委員會(huì) （International Electrotechnical Commission,IEC）、工業(yè)自動(dòng)化開放網(wǎng)絡(luò)協(xié)會(huì) （Industrial Automation Open Networking Association,IAONA）等國(guó)際權(quán)威機(jī)構(gòu)各自提出了自己的ICS安全指南，建議將PCN和EN進(jìn)行隔離。防火墻是常用的隔離PCN和EN的工具，可以被配置用于阻攔不必要的服務(wù)、協(xié)議和端口，提供了較高層次的隔離。通過在防火墻前放置路由器完成簡(jiǎn)單的分組過濾任務(wù)，可以使得防火墻有能力進(jìn)行更復(fù)雜的任務(wù)如狀態(tài)過濾和代理服務(wù)等。在PCN和EN之間使用單個(gè)防火墻存在著嚴(yán)重的隱患，由于防火墻必需允許歷史數(shù)據(jù)記錄工具能夠便捷地訪問PCN，每項(xiàng)服務(wù)為了確保正確操作都要在防火墻上開個(gè)洞，在防火墻上配置過多特例會(huì)降低PCN-EN的分隔度，導(dǎo)致PCN開放并受到攻擊，這個(gè)問題的解決辦法是創(chuàng)建一個(gè)“非控制區(qū)”（demilitarized zone,DMZ）。DMZ部署框架包括3個(gè)區(qū)域：一個(gè)外圍區(qū)域包括EN，一個(gè)內(nèi)部區(qū)域包括PCN，還有一個(gè)DMZ包括數(shù)據(jù)記錄工具。編制嚴(yán)格的防火墻規(guī)則保證DMZ中的記錄器獨(dú)立訪問EN和PCN的內(nèi)容，這個(gè)記錄器能夠?yàn)镻CN提供數(shù)據(jù)，EN也能夠被允許訪問記錄器，在此基礎(chǔ)上防火墻屏蔽其他一切設(shè)備訪問PCN。大多數(shù)由EN發(fā)起的針對(duì)記錄器的攻擊不會(huì)影響到控制系統(tǒng)，最壞的情況是這些攻擊會(huì)沖擊到記錄器中的數(shù)據(jù)（如造成數(shù)據(jù)的丟失等）。

在PCN中部署成對(duì)的防火墻，并通過DMZ分隔的結(jié)構(gòu)，這個(gè)結(jié)構(gòu)簡(jiǎn)化了防火墻規(guī)則并清晰地區(qū)分了責(zé)任，使得PCN端的防火墻可以被控制部門管理，而EN端的防火墻由IT部門進(jìn)行管理，這種結(jié)構(gòu)倍受ICS推薦并在實(shí)踐中通過對(duì)防火墻的配置得以實(shí)現(xiàn)。有些機(jī)制用來處理控制系統(tǒng)中主機(jī)的安全問題，這些機(jī)制的一個(gè)示例是已經(jīng)在控制設(shè)備中實(shí)現(xiàn)的基于過程的安全控制（process-based security,PBS），它將訪問控制從基于用戶的模型轉(zhuǎn)化為基于行程，基于用戶模型中訪問控制依賴于用戶識(shí)別，在基于行程的安全模型中，被限定的行程將不能訪問非法資源，PBS減少了攻擊中權(quán)限的提升行為。

Hamed Okhravi、David M Nicol在參考文獻(xiàn)[3]中提出可信過程控制網(wǎng)絡(luò) （trusted process control network,TPCN）的體系如圖1所示，客戶端通過與網(wǎng)絡(luò)接入設(shè)備（network access device,NAD）通信來加入網(wǎng)絡(luò)，NAD利用EAP通過IEEE 802.1x協(xié)議驗(yàn)證客戶端設(shè)備的身份并將驗(yàn)證結(jié)果通過RADIUS協(xié)議發(fā)送到AAA服務(wù)器（身份認(rèn)證服務(wù)器、目錄服務(wù)器、審計(jì)服務(wù)器），AAA服務(wù)器返回一份屬性驗(yàn)證和恰當(dāng)?shù)腜VS地址列表?？蛻舳送ㄟ^各個(gè)PVS驗(yàn)證屬性，如果客戶端符合標(biāo)準(zhǔn)，驗(yàn)證的結(jié)果將通過HCAP發(fā)送到AAA服務(wù)器，如果客戶端缺失某些必要屬性，屬性修復(fù)服務(wù)器將為客戶端提供修復(fù)服務(wù)。目錄服務(wù)器檢測(cè)客戶所屬組和角色，利用所有PVS和目錄服務(wù)器返回的結(jié)果，AAA服務(wù)器檢測(cè)匹配客戶端訪問和通信的規(guī)則，并將這些規(guī)則發(fā)送至NAD。在此基礎(chǔ)上，客戶端被允許在NAD的監(jiān)視下實(shí)施通信。服務(wù)器管理策略是認(rèn)證范式和狀態(tài)驗(yàn)證列表，例如基于令牌認(rèn)證需要請(qǐng)求和利用反病毒服務(wù)器、補(bǔ)丁管理服務(wù)器和驅(qū)動(dòng)驗(yàn)證服務(wù)器進(jìn)行屬性驗(yàn)證，當(dāng)客戶端設(shè)備加入網(wǎng)絡(luò)時(shí)，NAD利用設(shè)備的身份與AAA服務(wù)器進(jìn)行通信。AAA服務(wù)器驗(yàn)證該設(shè)備并提供基于設(shè)備的安全模式規(guī)則的NAD，在此基礎(chǔ)上，NAD對(duì)所有入口和出口的流量應(yīng)用策略，例如一個(gè)配置通過驗(yàn)證的RTU設(shè)備可能與記錄器進(jìn)行通信，其他所有的通信則被阻攔。Hamed Okhravi、David M Nicol的可信工業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)和安全措施明確了可信工業(yè)控制網(wǎng)絡(luò)內(nèi)涵和研究對(duì)象，基本上解決了其安全屬性，但缺少可生存性和可控性研究，也沒給出安全性度量模型[3，4]。

圖1 可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)

3 多狀態(tài)有獎(jiǎng)馬爾可夫工業(yè)控制網(wǎng)絡(luò)可信測(cè)度模型

3.1 多狀態(tài)有獎(jiǎng)馬爾可夫理論

由兩個(gè)或兩個(gè)以上不同狀態(tài)構(gòu)成的系統(tǒng)，稱為多態(tài)系統(tǒng)（multi-state system，MSS）。多態(tài)系統(tǒng)所有可能的狀態(tài)集合劃分成可接受和不可接受兩個(gè)相互獨(dú)立的狀態(tài)子集合。當(dāng)系統(tǒng)處于可接受狀態(tài)子集時(shí)，認(rèn)定此時(shí)系統(tǒng)為正常態(tài)；當(dāng)系統(tǒng)進(jìn)入到不可接受狀態(tài)子集時(shí)，認(rèn)定此時(shí)系統(tǒng)進(jìn)入失敗態(tài)。根據(jù)數(shù)據(jù)統(tǒng)計(jì)分析或者實(shí)驗(yàn)數(shù)據(jù)可以得出狀態(tài)之間的轉(zhuǎn)移概率，從而得出一步狀態(tài)轉(zhuǎn)移概率矩陣A=|Aij|。多態(tài)系統(tǒng)的可接受狀態(tài)是以系統(tǒng)的輸出表現(xiàn)以及具體的閾值標(biāo)準(zhǔn)——期望水平來進(jìn)行衡量的。絕大多數(shù)時(shí)候，多態(tài)系統(tǒng)的表現(xiàn)必須達(dá)到或者超過設(shè)定的標(biāo)準(zhǔn)。一般來說，有獎(jiǎng)馬爾科夫模型可以理解為由狀態(tài)空間{1，2，…，K}以及一步狀態(tài)轉(zhuǎn)移概率矩陣A=|Aij|，i，j={1，2，…，K}組成的連續(xù)時(shí)間馬爾科夫鏈。假設(shè)當(dāng)隨機(jī)過程在任意時(shí)間單元處于狀態(tài)i，應(yīng)該給予整個(gè)系統(tǒng)適當(dāng)?shù)莫?jiǎng)勵(lì)報(bào)酬rii。同樣地，如果發(fā)生了從狀態(tài)i到狀態(tài)j的轉(zhuǎn)變，也應(yīng)該給予整個(gè)系統(tǒng)適當(dāng)?shù)膱?bào)酬rij，并且將所得的報(bào)酬rii和rij稱為獎(jiǎng)勵(lì)值。當(dāng)然這些獎(jiǎng)勵(lì)也可以表示負(fù)的意義，比如說需要表示的含義是進(jìn)入失敗狀態(tài)或者遭受懲罰的時(shí)候。模型最主要的任務(wù)是在特定初始條件下，找出系統(tǒng)從開始時(shí)間累積到瞬時(shí)時(shí)刻t的總期望獎(jiǎng)勵(lì)值。用Vi(t)來表示系統(tǒng)在狀態(tài)i為初始狀態(tài)的條件下到時(shí)刻t累積的總期望獎(jiǎng)勵(lì)值。

3.2 可信狀態(tài)空間劃分

從工業(yè)控制網(wǎng)絡(luò)的系統(tǒng)層次確定系統(tǒng)狀態(tài)總數(shù)，根據(jù)需求和輸出表現(xiàn)對(duì)系統(tǒng)劃定可信狀態(tài)和不可信狀態(tài)。設(shè)置系統(tǒng)需求函數(shù)W(t)、輸出函數(shù)G(t)，規(guī)定狀態(tài)劃分函數(shù)Φ(G(t),W(t))=G(t)-W(t)。當(dāng)Φ(G(t),W(t))≥0時(shí)，指定狀態(tài)為可信狀態(tài)；當(dāng)Φ(G(t),W(t))＜0時(shí)，指定狀態(tài)為不信狀態(tài)。如圖2所示，狀態(tài)1、2、4、5、6為可接受狀態(tài)，狀態(tài)3、7為不可接受狀態(tài)，陰影表示不可接受狀態(tài)。

圖2 可信狀態(tài)空間劃分

根據(jù)不同狀態(tài)之間的相互轉(zhuǎn)化，構(gòu)建多態(tài)系統(tǒng)狀態(tài)空間，并確定各自之間相互轉(zhuǎn)化的概率，規(guī)定λ為較好狀態(tài)至較差狀態(tài)的概率，μ為較差狀態(tài)返回較好狀態(tài)的概率。如λ23表示從狀態(tài)2到狀態(tài)3的概率，由圖2可知狀態(tài)2與狀態(tài)3比較好。根據(jù)狀態(tài)轉(zhuǎn)換圖以及各狀態(tài)轉(zhuǎn)移概率，得到一步轉(zhuǎn)移概率矩陣A=|Aij|。同時(shí)可根據(jù)復(fù)雜程度采用層次分析法對(duì)系統(tǒng)進(jìn)行層次分解，分別劃分子系統(tǒng)的狀態(tài)空間，例如系統(tǒng)中有交換機(jī)可針對(duì)它進(jìn)行狀態(tài)分解，這樣可避免狀態(tài)空間爆炸問題。

3.3 可信測(cè)度數(shù)學(xué)模型及其求解方法

多態(tài)系統(tǒng)瞬時(shí)可用性A(t)表示在任意t>0時(shí)刻系統(tǒng)處于可接受狀態(tài)的可能性大小，用概率表示。多態(tài)系統(tǒng)的平均可用性表示當(dāng)系統(tǒng)在時(shí)間間隔[0，t]中處于可接受態(tài)的可能性，可以有以下表示：

其中，前面提到，A(t)是瞬時(shí)可用性——在t>0的某一時(shí)刻狀態(tài)系統(tǒng)處于可接收狀態(tài)的概率：

為了計(jì)算，可在如下規(guī)則下確定獎(jiǎng)勵(lì)矩陣r的獎(jiǎng)勵(lì)值：

·所有與可接受態(tài)相關(guān)的獎(jiǎng)勵(lì)必須規(guī)定為1；

·所有不可接受態(tài)相關(guān)的獎(jiǎng)勵(lì)必須規(guī)定為0；

·無直接狀態(tài)轉(zhuǎn)換的狀態(tài)之間的獎(jiǎng)勵(lì)值必須為0。

VK(t)表示在狀態(tài)K為初始態(tài)的條件下，多態(tài)系統(tǒng)在時(shí)間間隔[0，t]中處于可接受狀態(tài)的累積獎(jiǎng)勵(lì)值。帶入獎(jiǎng)勵(lì)矩陣r，通過Howard微分方程解出累積值。解出微分方程以及得出VK(t)的值之后，多態(tài)系統(tǒng)的平均可信性也可以被表示成VK(t)/t，此時(shí)K為初始狀態(tài)。Howard微分方程如下：

設(shè)Nf(t)表示多態(tài)系統(tǒng)在時(shí)間間隔[0，t]內(nèi)的平均失敗次數(shù)，失敗可以理解成整個(gè)系統(tǒng)處于癱瘓狀態(tài)或者機(jī)構(gòu)失效，平均失敗次數(shù)這個(gè)指標(biāo)可以當(dāng)成是在時(shí)間間隔[0，t]內(nèi)多態(tài)系統(tǒng)完全處于不可接受狀態(tài)的次數(shù)。對(duì)于Nf(t)的計(jì)算，此時(shí)獎(jiǎng)勵(lì)矩陣的值就表示負(fù)的意義，由可接受態(tài)到不可接受態(tài)的所有獎(jiǎng)勵(lì)值都必須賦值為1，所有其他獎(jiǎng)勵(lì)值必須為0。由此得到失敗次數(shù)獎(jiǎng)勵(lì)矩陣，在這種情況下，平均累積獎(jiǎng)勵(lì)值VK(t)表示的含義為在時(shí)間間隔[0，t]內(nèi)進(jìn)入不可接受狀態(tài)的平均次數(shù)。同樣也可以借助Howard微分方程解出VK(t)，得出多態(tài)系統(tǒng)進(jìn)入不可修復(fù)態(tài)（失敗態(tài)）次數(shù)Nf(t)，其中Nf(t)=VK(t)，此時(shí)K為初始狀態(tài)。通過可用性和平均失敗次數(shù)歸一化處理可得出系統(tǒng)的可信度分析此模型可以看出Hamed Okhravi、David M Nicol的可信工業(yè)網(wǎng)絡(luò)體系構(gòu)和安全措施明顯降低了工業(yè)網(wǎng)絡(luò)系統(tǒng)從可接收狀態(tài)到不可接收狀態(tài)的轉(zhuǎn)移概率，因此有效提升了其可信度[5]。

3.4 計(jì)算實(shí)例及實(shí)驗(yàn)方法

以圖2為例，首先計(jì)算可靠性時(shí)可以先根據(jù)狀態(tài)空間寫出狀態(tài)轉(zhuǎn)換概率矩陣A和獎(jiǎng)勵(lì)矩陣rA(t)。

其中，C1=-(λ12+λ14);C2=-(μ21+λ23+λ25);C3=-μ32

因狀態(tài)1、2、4、5、6為可接受狀態(tài)，所以獎(jiǎng)勵(lì)矩陣中{r11=r22=r44=r55=r66=1}，狀態(tài)轉(zhuǎn)移矩陣如下：

根據(jù)Howard方程寫出微分方程組：

求解微分方程組即可得出不同初始狀態(tài)下系統(tǒng)的可用性A(t)。計(jì)算進(jìn)入失敗狀態(tài)的次數(shù)Nf(t)，其獎(jiǎng)勵(lì)矩陣rNf={r23=r57=r67=1}，其余為0。

進(jìn)入失敗態(tài)次數(shù)Howard微分方程組為：

求解微分方程組即可得出進(jìn)入失敗狀態(tài)的次數(shù)Nf(t)，通過系統(tǒng)的可用性A(t)和進(jìn)入失敗狀態(tài)的次數(shù)Nf(t)歸一化處理可求出系統(tǒng)的可信值[6,7]。

4 結(jié)束語

對(duì)工業(yè)網(wǎng)絡(luò)系統(tǒng)的可信屬性可用性、安全性、可控性及可生存性等研究已成為學(xué)術(shù)界研究熱點(diǎn)，也是工業(yè)領(lǐng)域迫切解決的問題。網(wǎng)絡(luò)系統(tǒng)安全性能的感知是解決網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，本文以工業(yè)控制網(wǎng)絡(luò)為研究對(duì)象提出可信工業(yè)控制網(wǎng)絡(luò)系統(tǒng)架構(gòu)，并基于此架構(gòu)研究有獎(jiǎng)馬可夫工業(yè)控制網(wǎng)絡(luò)可信度評(píng)估模型及其求解方法。該方法泛化后也可解決電信通信網(wǎng)絡(luò)系統(tǒng)和物聯(lián)網(wǎng)系統(tǒng)的類似可信度測(cè)量和評(píng)估。本文下一步將要研究的問題是網(wǎng)絡(luò)系統(tǒng)可信屬性界定及其相互之間關(guān)聯(lián)的定量關(guān)系，找出并優(yōu)化歸一化函數(shù)以提高測(cè)量精度[8]。

1 沈昌祥，張煥國(guó)，馮登國(guó).信息安全綜述.中國(guó)科學(xué)E輯，2007（2）Shen C X,Zhang H G,Feng D G.Information security overview.Science in China(Series E),2007(2)

2 Stouffer K，F(xiàn)alco J，Scarfone K.Guide to Industrial Control Systems(ICS)Security，NIST,2011

3 Okhravi H,Nicol M D.Application of trusted network technology to industrial control networks.International Journal of Critical Infrastructure Protection,2009(2)

4 卿斯?jié)h，周啟明，杜虹.可信計(jì)算研究進(jìn)展分析，電信科學(xué)，2011,27(1):11～15 Qing S H,Zhou Q M,Du H.Progress of research on trusted computing.Telecommunications Science,2011,27(1):11～15

5 Howard R.Dynamic Programming and Markov Processes.Cambridge,Massachusetts:MIT Press,1960

6 Karagiannis T,Papagiannaki K,Faloutsos M.Blinc:multilevel traffic classification in the dark.Proceedings of SIGCOMM'05,Philadelphia,Pennsylvania,USA,2005

7 Karagiannis T,Roido A,Aloutsos M,et al.Transport layer identification of P2P traffic.Proceedings of the 2004 ACM SIGCOMM Internet Measurement Conference,Taormina,Italy,2004

8 閆智，詹靜.面向行為可信的大數(shù)據(jù)安全系統(tǒng)形式化描述，電信科學(xué)，2014,30(7):32～38 Yan Z,Zhan J.Formal description of trusted behavior oriented security system for big data.Telecommunications Science,2014,30(7):32～38