面向安全威脅的鐵路網(wǎng)絡(luò)防御策略研究

朱廣劼

（中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司 電子計(jì)算技術(shù)研究所，北京 100081）

當(dāng)前，鐵路網(wǎng)絡(luò)攻擊行為在規(guī)模與攻擊手段上不斷升級(jí)，帶來的安全威脅日益嚴(yán)峻。針對(duì)鐵路網(wǎng)絡(luò)規(guī)模龐大、結(jié)構(gòu)復(fù)雜度高、安全要求高等特點(diǎn)，基于動(dòng)態(tài)攻防博弈模型，初步探討面向安全威脅的鐵路網(wǎng)絡(luò)防御策略。

1 網(wǎng)絡(luò)安全策略研究現(xiàn)狀

當(dāng)前，關(guān)于網(wǎng)絡(luò)安全的研究已經(jīng)從傳統(tǒng)的互聯(lián)網(wǎng)安全延伸到特定的網(wǎng)絡(luò)領(lǐng)域[1-3]。針對(duì)網(wǎng)絡(luò)安全問題，學(xué)術(shù)界以及工業(yè)界從技術(shù)和實(shí)際應(yīng)用的角度研究關(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)，結(jié)合實(shí)際應(yīng)用場(chǎng)景以及安全防護(hù)需求，給出工程上的安全防護(hù)方案或理論上的前期探索[4-8]。在網(wǎng)絡(luò)安全威脅研究方面，有學(xué)者對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行宏觀建模并給出實(shí)際分析，通過建立宏觀網(wǎng)絡(luò)攻擊模型，提出社交網(wǎng)絡(luò)攻擊的傳播模型[9]。在網(wǎng)絡(luò)安全態(tài)勢(shì)感知方面，有學(xué)者根據(jù)惡意攻擊下的網(wǎng)絡(luò)設(shè)備受到的影響，提出態(tài)勢(shì)感知策略，利用KDD Cup99進(jìn)行數(shù)據(jù)仿真，給出網(wǎng)絡(luò)安全感知效果。在電力系統(tǒng)領(lǐng)域，有研究人員在分析其信息物理系統(tǒng)模型的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)攻擊建模，研究系統(tǒng)的脆弱性[3]。還有研究人員對(duì)拒絕服務(wù)攻擊下信息物理系統(tǒng)的脆弱環(huán)節(jié)進(jìn)行預(yù)測(cè)與研判[10-11]。在風(fēng)電系統(tǒng)領(lǐng)域，有研究人員針對(duì)系統(tǒng)網(wǎng)絡(luò)安全的控制與趨勢(shì)預(yù)測(cè)，利用攻擊樹的概念，分析系統(tǒng)中受到的安全威脅，研究攻擊防御對(duì)策，對(duì)攻擊樹葉子節(jié)點(diǎn)進(jìn)行量化分析，給出安全威脅因素的入侵路徑[12]。

2 鐵路網(wǎng)絡(luò)系統(tǒng)復(fù)雜性特點(diǎn)與安全要求

作為我國(guó)關(guān)鍵行業(yè)之一，鐵路在完成貨物運(yùn)輸、旅客服務(wù)等任務(wù)過程中，鐵路網(wǎng)絡(luò)系統(tǒng)發(fā)揮著關(guān)鍵作用，鐵路安全生產(chǎn)對(duì)網(wǎng)絡(luò)性能和安全均有較高要求。目前，鐵路在國(guó)內(nèi)重點(diǎn)地區(qū)實(shí)現(xiàn)完全可達(dá)，要求鐵路網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)全面覆蓋，鐵路網(wǎng)絡(luò)所承載的應(yīng)用種類多、數(shù)量大。由于各類應(yīng)用的業(yè)務(wù)需求差別較大，導(dǎo)致鐵路網(wǎng)絡(luò)規(guī)模大、結(jié)構(gòu)復(fù)雜，如執(zhí)行運(yùn)輸、列車調(diào)度等任務(wù)的應(yīng)用要求閉合網(wǎng)絡(luò)結(jié)構(gòu)，而旅客服務(wù)應(yīng)用則要求接口開放、多終端接入。

3 面向鐵路網(wǎng)絡(luò)的層次動(dòng)態(tài)攻防博弈模型

3.1 層次攻防博弈模型簡(jiǎn)介

在解決復(fù)雜問題建模以及計(jì)算方面，復(fù)雜系統(tǒng)理論以及動(dòng)態(tài)規(guī)劃模型給出一種可行的解決策略。隨著防護(hù)策略的可用性不斷增強(qiáng)以及博弈論的研究深入，有研究提出多層規(guī)劃模型[13]。

對(duì)于一個(gè)層次決策模型，根據(jù)其決策層的功能以及決策流程，表達(dá)式如下所示：

其中，xi(i=1,2,…,n)是每一層的決策變量，ri(x1,x2,…,xn)(i=1,2,…,n)表示第i層的決策函數(shù)；si(x1,x2,…,xn)(i=1,2,…,n)表示第i層決策函數(shù)需要滿足的約束條件。

由式（1）定義的層次決策模式采用從上至下的分層決策方式：（1）由在滿足第1層約束條件的前提下確定決策變量值x1；（2）由第2決策層即確定該層的決策變量值x2；（3）在此基礎(chǔ)上，依次由下一層分別確定各自的決策變量，最終完成本輪攻防博弈模型中的決策變量值求解。一輪決策過程完成后，根據(jù)實(shí)際決策效果，從上至下由上層根據(jù)下層的決策效果反饋進(jìn)行相應(yīng)的決策值調(diào)節(jié)，通過多次循環(huán)執(zhí)行，使得整個(gè)系統(tǒng)達(dá)到最優(yōu)化狀態(tài)。

3.2 面向鐵路網(wǎng)絡(luò)的層次動(dòng)態(tài)攻防博弈模型

根據(jù)層次攻防博弈模型的構(gòu)建思想，可按功能層次將面向鐵路網(wǎng)絡(luò)的動(dòng)態(tài)攻防博弈模型的構(gòu)建劃分為網(wǎng)絡(luò)防御與資源控制、攻擊方案以及攻擊造成的損失3個(gè)步驟：（1）在構(gòu)建攻防博弈模型時(shí)，首先進(jìn)行防御方案制定和防御資源分配，且需要考慮當(dāng)前網(wǎng)絡(luò)實(shí)際情況，如防御資源限制等因素；（2）當(dāng)攻擊者獲得防御策略部署及防御資源分配后，制定相應(yīng)的攻擊效果最大化方案；（3）在攻擊者發(fā)起攻擊的基礎(chǔ)上，針對(duì)攻擊者的策略以及防御策略和資源分配，采取相應(yīng)的措施來降低最終損失。

在防御策略部署及資源分配中，可考慮網(wǎng)絡(luò)防御者綜合已有的防御資源和可以執(zhí)行的防御策略，以區(qū)域分布或地理位置分布的方式將防御資源部署在相應(yīng)的運(yùn)行系統(tǒng)中。在防御策略上，通過決策者調(diào)用防御資源，可以在網(wǎng)絡(luò)系統(tǒng)局部遭到攻擊后實(shí)現(xiàn)快速資源調(diào)動(dòng)和支援響應(yīng)。在防御策略部署和資源分配中，要在有限資源和防御策略的限制下最大程度保障網(wǎng)絡(luò)的運(yùn)行。

非法用戶針對(duì)網(wǎng)絡(luò)防御策略制定攻擊方案，根據(jù)已有的防御資源和掌握的信息，盡可能最大化自身的攻擊效果。

在網(wǎng)絡(luò)遭到攻擊后，根據(jù)攻擊的形式及可能造成的后果來降低損失。在生成該層策略時(shí)，若通過優(yōu)化已有的防御資源配置等方案仍然不能滿足網(wǎng)絡(luò)正常運(yùn)行的要求時(shí)，應(yīng)及時(shí)采取應(yīng)急措施。在該層模型中，需要研究已有的資源分配和攻擊方案，通過合理的措施使攻擊造成的影響最小。

顯然，枝節(jié)的改革無補(bǔ)于大局。誠(chéng)如有學(xué)者肯定其良好的愿望和一定的實(shí)際成效后指出：“它的改良主義的政治出發(fā)點(diǎn)、依賴地方政府和國(guó)內(nèi)外社會(huì)力量資助的經(jīng)費(fèi)來源，及其所推行地區(qū)和所取得實(shí)際成效的局限性，相對(duì)于當(dāng)時(shí)半殖民地半封建社會(huì)的國(guó)情背景和普遍貧窮的廣大農(nóng)村，顯然不能成為鄉(xiāng)村建設(shè)派所期望的解決近代中國(guó)農(nóng)村問題的有效途徑，更不能成為解決近代中國(guó)問題的根本之路?！盵34]

4 鐵路網(wǎng)絡(luò)3層攻防博弈模型及其求解方法

4.1 鐵路網(wǎng)絡(luò)3層動(dòng)態(tài)攻防博弈模型的構(gòu)建

鐵路網(wǎng)絡(luò)3層動(dòng)態(tài)攻防博弈建模涉及防御方案制定以及防御資源分配、攻擊者實(shí)施攻擊和降低攻擊所造成的損失3個(gè)環(huán)節(jié)。

防御方案制定和防御資源分配：假設(shè)鐵路網(wǎng)絡(luò)內(nèi)的攻擊目標(biāo)有ND個(gè)，對(duì)于鐵路網(wǎng)絡(luò)內(nèi)第i個(gè)攻擊目標(biāo)，令I(lǐng)min表示降低該目標(biāo)被攻擊概率所需要的最小資源分配，Im表示該目標(biāo)的實(shí)際資源分配，Pm(Im)表示該目標(biāo)遭到攻擊的概率，則可以得：

其中，αm=-ln(qm0)/Imin。

根據(jù)實(shí)際防御中的防御資源調(diào)控，設(shè)防御資源的最大值為Itotal，防御資源分配需滿足以下約束條件：

針對(duì)具體防御方案，其遭到網(wǎng)絡(luò)攻擊后所造成的綜合損失定義為：

其中，PC,i表示第i個(gè)終端節(jié)點(diǎn)遭到攻擊后造成的損失。

該層的目標(biāo)函數(shù)為：

其中，PC為該防御方案下，攻擊者在成功攻擊且防御者采取措施后造成的損失。

攻擊者選擇攻擊效果最大化的方案，而防御者則在遭到攻擊后采取最優(yōu)化的措施來減少攻擊造成的損失。根據(jù)當(dāng)前非法入侵者的實(shí)際情況，假設(shè)非法攻擊者已經(jīng)掌握防御層的防御策略和防御資源分配，該層的目標(biāo)函數(shù)可以表示為：

攻擊者采用非法入侵的方式，在一定程度上會(huì)引起網(wǎng)絡(luò)流量的變化，其約束條件表示為：

其中，μ是調(diào)節(jié)因子，可以根據(jù)已有的情況來設(shè)定，Qi表示第i個(gè)終端節(jié)點(diǎn)正常運(yùn)行時(shí)的流量。

該層模型在研究防御策略以及攻擊者攻擊方式的基礎(chǔ)上，最大程度地降低攻擊所造成的損失，其目標(biāo)函數(shù)為：

其中，PC,i表示第i個(gè)終端節(jié)點(diǎn)受到攻擊后造成的損失。非法入侵最直接的影響是引起網(wǎng)絡(luò)流量的變化，對(duì)流量進(jìn)行約束可從源頭上實(shí)現(xiàn)對(duì)攻擊的識(shí)別，以及對(duì)現(xiàn)有資源誤差的建模，其約束條件可以表示為：

其中，PS,i表示入侵后的網(wǎng)絡(luò)流量，PD,i表示網(wǎng)絡(luò)正常運(yùn)行時(shí)的流量，Qmax表示當(dāng)前節(jié)點(diǎn)能夠容納的最大流量，λ是調(diào)節(jié)因子，表示由非法入侵者造成的流量與其造成的損失之間的關(guān)系，且λ∈R。

4.2 鐵路網(wǎng)絡(luò)3層動(dòng)態(tài)攻防博弈模型求解方法

非線性多層模型的直接求解方式效率較低，且求解過程中收斂性較差。對(duì)于鐵路網(wǎng)絡(luò)，由于網(wǎng)絡(luò)節(jié)點(diǎn)有限，且防御資源與防御決策、攻擊方案等均有限，在攻擊方和防御方都采用對(duì)自身最優(yōu)化的方式時(shí)，通過計(jì)算攻擊造成的損失并采取相應(yīng)的防護(hù)措施，可達(dá)到兩者的平衡，即可求得相應(yīng)的均衡解；求解流程見圖1所示。

圖1 鐵路網(wǎng)絡(luò)3層動(dòng)態(tài)攻防博弈模型的求解流程

5 結(jié)束語

研究面向安全威脅的鐵路網(wǎng)絡(luò)防御策略，基于層次攻防博弈模型，提出鐵路網(wǎng)絡(luò)3層動(dòng)態(tài)攻防博弈模型的構(gòu)建方法，給出各層優(yōu)化函數(shù)與求解流程。

今后需要結(jié)合鐵路網(wǎng)絡(luò)不同層次的具體防御資源配置與安全要求，研究制定具有針對(duì)性的可行求解策略。