面向安全威脅的鐵路網絡防御策略研究

朱廣劼

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

當前，鐵路網絡攻擊行為在規模與攻擊手段上不斷升級，帶來的安全威脅日益嚴峻。針對鐵路網絡規模龐大、結構復雜度高、安全要求高等特點，基于動態攻防博弈模型，初步探討面向安全威脅的鐵路網絡防御策略。

1 網絡安全策略研究現狀

當前，關于網絡安全的研究已經從傳統的互聯網安全延伸到特定的網絡領域[1-3]。針對網絡安全問題，學術界以及工業界從技術和實際應用的角度研究關鍵信息基礎設施的特點，結合實際應用場景以及安全防護需求，給出工程上的安全防護方案或理論上的前期探索[4-8]。在網絡安全威脅研究方面，有學者對網絡攻擊行為進行宏觀建模并給出實際分析，通過建立宏觀網絡攻擊模型，提出社交網絡攻擊的傳播模型[9]。在網絡安全態勢感知方面，有學者根據惡意攻擊下的網絡設備受到的影響，提出態勢感知策略，利用KDD Cup99進行數據仿真，給出網絡安全感知效果。在電力系統領域，有研究人員在分析其信息物理系統模型的基礎上，對網絡攻擊建模，研究系統的脆弱性[3]。還有研究人員對拒絕服務攻擊下信息物理系統的脆弱環節進行預測與研判[10-11]。在風電系統領域，有研究人員針對系統網絡安全的控制與趨勢預測，利用攻擊樹的概念，分析系統中受到的安全威脅，研究攻擊防御對策，對攻擊樹葉子節點進行量化分析，給出安全威脅因素的入侵路徑[12]。

2 鐵路網絡系統復雜性特點與安全要求

作為我國關鍵行業之一，鐵路在完成貨物運輸、旅客服務等任務過程中，鐵路網絡系統發揮著關鍵作用，鐵路安全生產對網絡性能和安全均有較高要求。目前，鐵路在國內重點地區實現完全可達，要求鐵路網絡系統實現全面覆蓋，鐵路網絡所承載的應用種類多、數量大。由于各類應用的業務需求差別較大，導致鐵路網絡規模大、結構復雜，如執行運輸、列車調度等任務的應用要求閉合網絡結構，而旅客服務應用則要求接口開放、多終端接入。

3 面向鐵路網絡的層次動態攻防博弈模型

3.1 層次攻防博弈模型簡介

在解決復雜問題建模以及計算方面，復雜系統理論以及動態規劃模型給出一種可行的解決策略。隨著防護策略的可用性不斷增強以及博弈論的研究深入，有研究提出多層規劃模型[13]。

對于一個層次決策模型，根據其決策層的功能以及決策流程，表達式如下所示：

其中，xi(i=1,2,…,n)是每一層的決策變量，ri(x1,x2,…,xn)(i=1,2,…,n)表示第i層的決策函數；si(x1,x2,…,xn)(i=1,2,…,n)表示第i層決策函數需要滿足的約束條件。

由式（1）定義的層次決策模式采用從上至下的分層決策方式：（1）由在滿足第1層約束條件的前提下確定決策變量值x1；（2）由第2決策層即確定該層的決策變量值x2；（3）在此基礎上，依次由下一層分別確定各自的決策變量，最終完成本輪攻防博弈模型中的決策變量值求解。一輪決策過程完成后，根據實際決策效果，從上至下由上層根據下層的決策效果反饋進行相應的決策值調節，通過多次循環執行，使得整個系統達到最優化狀態。

3.2 面向鐵路網絡的層次動態攻防博弈模型

根據層次攻防博弈模型的構建思想，可按功能層次將面向鐵路網絡的動態攻防博弈模型的構建劃分為網絡防御與資源控制、攻擊方案以及攻擊造成的損失3個步驟：（1）在構建攻防博弈模型時，首先進行防御方案制定和防御資源分配，且需要考慮當前網絡實際情況，如防御資源限制等因素；（2）當攻擊者獲得防御策略部署及防御資源分配后，制定相應的攻擊效果最大化方案；（3）在攻擊者發起攻擊的基礎上，針對攻擊者的策略以及防御策略和資源分配，采取相應的措施來降低最終損失。

在防御策略部署及資源分配中，可考慮網絡防御者綜合已有的防御資源和可以執行的防御策略，以區域分布或地理位置分布的方式將防御資源部署在相應的運行系統中。在防御策略上，通過決策者調用防御資源，可以在網絡系統局部遭到攻擊后實現快速資源調動和支援響應。在防御策略部署和資源分配中，要在有限資源和防御策略的限制下最大程度保障網絡的運行。

非法用戶針對網絡防御策略制定攻擊方案，根據已有的防御資源和掌握的信息，盡可能最大化自身的攻擊效果。

在網絡遭到攻擊后，根據攻擊的形式及可能造成的后果來降低損失。在生成該層策略時，若通過優化已有的防御資源配置等方案仍然不能滿足網絡正常運行的要求時，應及時采取應急措施。在該層模型中，需要研究已有的資源分配和攻擊方案，通過合理的措施使攻擊造成的影響最小。

顯然，枝節的改革無補于大局。誠如有學者肯定其良好的愿望和一定的實際成效后指出：“它的改良主義的政治出發點、依賴地方政府和國內外社會力量資助的經費來源，及其所推行地區和所取得實際成效的局限性，相對于當時半殖民地半封建社會的國情背景和普遍貧窮的廣大農村，顯然不能成為鄉村建設派所期望的解決近代中國農村問題的有效途徑，更不能成為解決近代中國問題的根本之路?！盵34]

4 鐵路網絡3層攻防博弈模型及其求解方法

4.1 鐵路網絡3層動態攻防博弈模型的構建

鐵路網絡3層動態攻防博弈建模涉及防御方案制定以及防御資源分配、攻擊者實施攻擊和降低攻擊所造成的損失3個環節。

防御方案制定和防御資源分配：假設鐵路網絡內的攻擊目標有ND個，對于鐵路網絡內第i個攻擊目標，令Imin表示降低該目標被攻擊概率所需要的最小資源分配，Im表示該目標的實際資源分配，Pm(Im)表示該目標遭到攻擊的概率，則可以得：

其中，αm=-ln(qm0)/Imin。

根據實際防御中的防御資源調控，設防御資源的最大值為Itotal，防御資源分配需滿足以下約束條件：

針對具體防御方案，其遭到網絡攻擊后所造成的綜合損失定義為：

其中，PC,i表示第i個終端節點遭到攻擊后造成的損失。

該層的目標函數為：

其中，PC為該防御方案下，攻擊者在成功攻擊且防御者采取措施后造成的損失。

攻擊者選擇攻擊效果最大化的方案，而防御者則在遭到攻擊后采取最優化的措施來減少攻擊造成的損失。根據當前非法入侵者的實際情況，假設非法攻擊者已經掌握防御層的防御策略和防御資源分配，該層的目標函數可以表示為：

攻擊者采用非法入侵的方式，在一定程度上會引起網絡流量的變化，其約束條件表示為：

其中，μ是調節因子，可以根據已有的情況來設定，Qi表示第i個終端節點正常運行時的流量。

該層模型在研究防御策略以及攻擊者攻擊方式的基礎上，最大程度地降低攻擊所造成的損失，其目標函數為：

其中，PC,i表示第i個終端節點受到攻擊后造成的損失。非法入侵最直接的影響是引起網絡流量的變化，對流量進行約束可從源頭上實現對攻擊的識別，以及對現有資源誤差的建模，其約束條件可以表示為：

其中，PS,i表示入侵后的網絡流量，PD,i表示網絡正常運行時的流量，Qmax表示當前節點能夠容納的最大流量，λ是調節因子，表示由非法入侵者造成的流量與其造成的損失之間的關系，且λ∈R。

4.2 鐵路網絡3層動態攻防博弈模型求解方法

非線性多層模型的直接求解方式效率較低，且求解過程中收斂性較差。對于鐵路網絡，由于網絡節點有限，且防御資源與防御決策、攻擊方案等均有限，在攻擊方和防御方都采用對自身最優化的方式時，通過計算攻擊造成的損失并采取相應的防護措施，可達到兩者的平衡，即可求得相應的均衡解；求解流程見圖1所示。

圖1 鐵路網絡3層動態攻防博弈模型的求解流程

5 結束語

研究面向安全威脅的鐵路網絡防御策略，基于層次攻防博弈模型，提出鐵路網絡3層動態攻防博弈模型的構建方法，給出各層優化函數與求解流程。

今后需要結合鐵路網絡不同層次的具體防御資源配置與安全要求，研究制定具有針對性的可行求解策略。