基于攻擊意圖的工業網絡抗毀性評價研究*

趙劍明，曾 鵬，王天宇

(1.中國科學院沈陽自動化研究所機器人學國家重點實驗室，遼寧 沈陽 110016；2.中國科學院網絡化控制系統重點實驗室，遼寧 沈陽 110016；3.中國科學院機器人與智能制造創新研究院，遼寧 沈陽 110169；4.中國科學院大學，北京 100049)

0 引言

當下，工業網絡(Industrial Wireless Internet)作為先進制造業的核心，已經廣泛應用于工廠自動化、供應鏈管理、設備監測等領域[1-3]。然而，隨著工業物聯網(Industrial Internet of Things，IIoT)技術的迅猛發展，安全問題逐漸浮現，成為制約其進一步發展的主要瓶頸之一。工業物聯網系統中涉及的大量設備、傳感器和網絡架構，為潛在的攻擊者提供了可乘之機，可能導致生產中斷、數據泄露、設備損壞等嚴重后果。工業物聯網中常見的安全威脅包括[4-8]：

(1)設備漏洞和弱點：IIoT系統中的設備和傳感器可能存在未修補的漏洞和弱點，攻擊者可以利用這些漏洞來獲取非法訪問、控制設備，或者干擾設備正常運行。

(2)惡意軟件和病毒：攻擊者可以通過惡意軟件和病毒感染IIoT系統，從而損壞設備、竊取數據或干擾生產流程。

(3)網絡攻擊：IIoT系統的網絡通信可能受到各種網絡攻擊，如DDoS(分布式拒絕服務)攻擊、入侵、劫持等，從而導致網絡不穩定或癱瘓。

(4)供應鏈攻擊：攻擊者可能通過操縱供應鏈中的元件或設備，在制造過程中引入惡意代碼或漏洞，從而影響整個生產流程和產品質量。

(5)未經授權的訪問和權限提升：攻擊者可能通過竊取憑證、密碼破解等手段獲取未經授權的訪問權限，從而操縱設備、更改配置或篡改數據。

(6)物理攻擊：IIoT系統中的物理設備和傳感器可能受到物理攻擊，如破壞、劫持等，進而干擾生產過程。

(7)人為因素：內部員工的不慎操作、錯誤配置或惡意行為也可能成為IIoT系統的安全威脅來源。

安全風險測度是安全風險評估的基礎，是衡量工業物聯網安全運行狀態的重要指標[9-10]。通過監測風險指標，可以及早發現異常情況，采取措施阻止潛在的攻擊。因此，深入研究基于攻擊意圖的工業物聯網安全風險測度，不僅對于保障工業系統的正常運行和信息資產的安全，也對于維護整個制造業的穩定和可持續發展具有重要意義。

現有針對工業物聯網網絡拓撲結構測度大都僅從單個方面對工業物聯網結構或功能的安全風險進行描述[11-12]，然而任何一個度量指標都無法全面地表示工業物聯網狀態。鑒于現有工業物聯網網絡拓撲安全風險測度的不足，本文將基于不同攻擊者的意圖，從攻擊目標的角度，更加準確地對安全風險進行針對性的評估，使得該測度能夠刻畫工業物聯網在面對復雜外界攻擊下的安全風險。

1 工業物聯網安全風險測度相關研究

工業物聯網的快速發展為工業生產帶來了許多便利，但同時也引入了各種安全風險。近年來，已經有很多學者利用復雜網絡理論對工業物聯網的安全風險進行研究[13-15]，在該理論模型下，工業物聯網的網絡拓撲可由N個節點組成，其中每個節點代表工業物聯網中的智能設備及傳感器，工業物聯網網絡拓撲中如果兩個節點之間有連線，則表示這兩個節點所代表的設備或傳感器之間存在數據交互?；谝陨险f明，本文中的工業物聯網可定義為：G=(V，E)，其中G表示工業物聯網網絡拓撲，V表示工業物聯網網絡拓撲中的節點集合，E表示工業物聯網網絡拓撲中的連邊集合。在以上描述的網絡模型下，當受到相同外界攻擊時，工業物聯網所受到的安全風險在不同的性能指標考慮下是不同的，且差異較大?，F有研究已從多個角度對網絡拓撲的安全風險測度展開討論：

(1)連通性[16]

連通性可以描述工業物聯網中節點之間數據交換可達范圍。網絡拓撲連通性是指一個網絡中各個節點之間是否存在有效的通信路徑，使得信息能夠在節點之間傳輸，而不會遇到不可達的情況。通信路徑可以是直接的，也可以經過一些中間節點，但最終要能夠從一個節點到達另一個節點。網絡拓撲連通性是網絡設計和管理中非常重要的概念，因為它直接影響了網絡的可用性、穩定性等性能。網絡結構的連通性通常由網絡中的最大連通子圖所包含的節點數量規模(GCsize)表示：

GCsize=N(Giant_component)/N×100%

(1)

其中，N(Giant_component)表示最大連通片中所包含的節點數量，N表示初始網絡中所包含的節點總數。

(2)網絡平均效率[17]

網絡拓撲平均效率是一個用于衡量計算機網絡性能的指標，它反映了網絡中數據傳輸的效率程度。這個指標主要用于分析和評估網絡的整體性能，特別是在大規模網絡中，如互聯網或分布式系統中，對于數據包傳輸和通信效率的評估非常重要。網絡平均效率(AE)可表示為：

(2)

其中，dij表示節點i和j之間的最短路徑長度，N表示網絡中所包含的節點總數。

(3)崩潰閾值[18]

網絡崩潰閾值是指網絡中的一個臨界點或條件，當網絡的某種特定性能或功能達到或超過這個臨界點時，網絡會出現嚴重的故障或崩潰。在工業物聯網中，少部分節點失效后，其他連通子網仍能夠維持系統功能的正常運行，因此，在評價整體網絡性能時，僅關注最大連通子網具有一定的局限性。網絡崩潰閾值(Crash Threshold，CT)可定義為，能夠使整個系統某項功能指標崩潰的最小失效節點數量，它表示系統面對外界安全風險時的抵抗能力，即網絡崩潰閾值越大，網絡抵抗外界安全風險的能力越強，具體可表示為：

CT=CN(ai)/N×100%

(3)

其中，ai表示某種類型的外界安全風險，CN(ai)表示在此類安全風險下網絡崩潰時的失效節點數量，N表示初始網絡中所包含的節點總數。

通過對現有相關安全風險測度的研究可以發現，目前學者們大都從某一個或者幾個角度對網絡整體性能指標進行評價，暫未從攻擊者的角度出發評價系統受到的安全風險。隨著攻擊者目標的改變，系統性能受到影響的角度也發生改變，如果在評價系統整體安全風險的過程中始終采用單一的評價標準，會嚴重影響對系統安全風險評估的準確性和有效性。因此，本文將基于攻擊者的意圖，研究工業物聯網的安全風險測度，為工業物聯網的系統設計、恢復等技術提供理論支撐。

2 基于攻擊意圖的安全風險測度

2.1 攻擊意圖問題描述

工業物聯網通常面臨各種安全風險，現實中的復雜系統所受到的攻擊可以分為兩大類——隨機攻擊和蓄意攻擊。這兩種攻擊類型具有不同的特點，對于系統的安全和穩定構成了不同的威脅。

隨機攻擊是指沒有特定目標或動機的攻擊行為。這類攻擊通常是由自動化程序或計算機病毒發起的，其目的可能只是尋找系統的弱點，而無意于竊取敏感信息或破壞特定數據。因為隨機攻擊的攻擊意圖不確定，系統所受影響不可根據攻擊意圖進行判斷，所以針對隨機攻擊對工業物聯網系統造成的安全風險應該從系統性能的多個維度度量指標進行綜合評價。

區別于隨機攻擊的不確定性，蓄意攻擊是有目的和動機的攻擊行為。攻擊者在蓄意攻擊中通常會選擇特定的對象，并追求明確的利益或目標。因為蓄意攻擊的攻擊意圖通常比較固定，系統所受影響一般都同攻擊意圖強相關，所以針對蓄意攻擊對工業物聯網系統造成的安全風險應該從攻擊意圖的角度針對性地進行評估。

通過對工業物聯網通常情況下所受的外界安全風險進行統計，蓄意攻擊可大致分為兩類攻擊意圖：(1) 旨在降低工業物聯網系統物聯范圍的攻擊；(2) 旨在降低工業物聯網系統物聯效率的攻擊。在復雜網絡理論中，已有較多研究對蓄意攻擊類型進行分析，其中針對以上兩類攻擊意圖的最為典型的度量指標分別為第1節中所介紹的網絡最大連通子圖所包含的節點數量規模(GCsize)和網絡平均效率(AE)。在面對相同外界攻擊時，不同度量指標下系統所受到的安全風險的評估值會有很大差異。例如在圖1中，當兩個節點受到外界攻擊時，工業物聯網結構由上圖變為下圖，分別從物聯范圍和物聯效率兩個方面對該系統所受到的外界攻擊進行評估。通過計算可得，該網絡最大連通子圖所包含的節點數量規模(GCsize)從16變為了6，下降了62.5%；而網絡平均效率(AE)從0.425變為了0.213，下降了50%。不論是從度量數值還是直觀上都可以發現，受到攻擊后，該工業物聯網系統被分割成了3個連通子系統，最大物聯范圍受到了較為嚴重的影響，而從物聯效率方面考慮，雖然每個子系統內的節點之間物聯通信并未受到較大影響，但是子系統之間已完全斷開連接，不可進行物聯通信，而從單個測度指標來看物聯效率變化率(50%)卻小于物聯范圍變化率(62.5%)。

針對外界攻擊的攻擊意圖，建立具有針對性、指向性的度量指標是現階段亟需解決的問題。然而，在工業物聯網實際運行中，由于越來越多智能設備的接入，整體網絡系統規模近年來急劇增大，分布區域范圍越來越廣，通常情況下，一個大規模的工業網絡可能同時受到來自多個敵方的攻擊。在此背景下，單一通過某種度量指標對工業網絡的抗毀性進行評估顯然是不全面的。因此，本文通過識別多種攻擊類型及其潛在影響，構建了一個綜合性的抗毀性評價模型。

2.2 抗毀性評價方法

本方法首先基于所受外界攻擊的不同類型對工業網絡系統進行區域劃分，按照各區域對全局影響的大小對不同區域的安全風險影響力進行賦值；然后，在不同攻擊類型的區域內，根據攻擊意圖對該區域的抗毀性進行評估并得到標準化的評估值；最后，將各區域的評估值按照安全風險影響力進行加權求和得到該工業網絡整體的抗毀性值。本方法與傳統抗毀性評價方法的區別在于區域劃分并進行安全風險影響力賦值。圖2描述了基于攻擊意圖的工業網絡抗毀性評價模型的具體流程。整體上來講，抗毀性評價模型可分為三個模塊：(1)區域劃分并進行安全風險影響力賦值；(2)對每個劃分區域根據攻擊意圖進行抗毀性評估；(3)將各區域評估值標準化后進行整合得到全局的抗毀性評價值。

圖2 抗毀性評價模型

模塊一：區域劃分并進行安全風險影響力賦值。

因為在實際場景中外界攻擊規模一般不會超過50%，所以在構建度值、介數值序列時，本文只選取前50%的節點集合作為Jaccard計算中的序列集。接著，將網絡中受到安全風險的節點序列分別與度值序列和介數值序列做Jaccard相似度計算，當相似度值低于0.5時，則為同一劃分。將工業網絡運行過程中面對的典型外界攻擊歸類為度攻擊、介數攻擊、隨機攻擊三種，然后將每個物聯網劃分對應的物聯通信連邊個數比值作為不同攻擊意圖的風險指標數值的比例，即設度攻擊、介數攻擊、隨機攻擊對應的工業網絡劃分中包含的物聯連邊個數分別是l1、l2、l3，則該劃分受到攻擊意圖對應的抗毀性評價的權值比例為l1：l2：l3。假設度攻擊、介數攻擊、隨機攻擊下的抗毀性評價值分別為EDeg、EBetw、ERand，工業網絡總抗毀性評價值為EGlob，則可得：

(4)

模塊二：對每個劃分區域根據攻擊意圖進行抗毀性評價。

度攻擊、介數攻擊、隨機攻擊，這三種外界攻擊類型所對應的攻擊意圖分別為工業網絡物聯范圍、工業網絡物聯效率、綜合影響。根據復雜網絡科學中對相關評估指標的描述和定義，本文定義最大連通子圖所包含的節點數量規模(GCsize)、網絡平均效率(AE)、以上二者的平均值分別作為工業網絡物聯范圍、工業網絡物聯效率、綜合影響的評價指標。因此，可以得到：

MDeg=GCsize=N(Giant_component)/N×100%

(5)

(6)

(7)

(8)

(9)

(10)

其中，S代表式子∑(A(rand)=L(A(Deg)))+ ∑(A(rand)=L(A(Betw)))。A(attack)表示在attack類型攻擊下的按照攻擊順序排序的節點集合，G(N，L，A)表示一個具有節點集合N、連邊集合L在受到攻擊A時的受損網絡，Amax和Amin分別表示受到攻擊的最大和最小范圍比例，L(A(attack))表示在attack類型攻擊下的按照攻擊順序排序的節點集合的前50%，dij表示節點i和j之間的最短路徑長度。

模塊三：將各區域評估值標準化后進行整合得到全局抗毀性評價值。

在模塊一和模塊二中，討論了工業網絡總抗毀性評價值EGlob的計算公式，并且定義了計算公式中的每個元素如何賦值。然而，根據前文中介紹的最大連通子圖所包含的節點數量規模(GCsize)和網絡平均效率(AE)的定義，這兩個指標的數值并不在同一個數量級，為了使得EGlob的計算公式具有實際意義，需要將最大連通子圖所包含的節點數量規模(GCsize)和網絡平均效率(AE)轉化為同一數量級后，再進行不同權值下的求和計算。數據標準化是將數值轉化為相同數量級的典型算法之一。本文使用數據標準化中的歸一化方法，將數據壓縮在0～1范圍內，具體的歸一化計算公式為：

(11)

根據以上歸一化計算公式，當某數據剛好為最小值時，則歸一化后為0；如果數據剛好為最大值，則歸一化后為1。根據最大連通子圖所包含的節點數量規模(GCsize)和網絡平均效率(AE)兩個指標的定義，本文模型中設定GCsizemax為初始網絡中的節點數量，AEmax為0.5(0.5表示網絡結構為全連接網絡)。

按照以上抗毀性評價模型的描述，可以根據工業網絡面對的外界安全風險類型及分布特點，針對性地計算出系統的抗毀性評價值。

3 仿真實驗

本節將建立幾個具有典型網絡結構特征的工業網絡模型，并在這些模型上分別利用傳統的單一抗毀性評價方法和本文提出的抗毀性評價模型對不同類型的外界攻擊進行評估。通過數據對比可以發現，相較于其他傳統的單一抗毀性評價數值，本文模型的評估數值具有較明顯的差異，說明本文模型可以有效對現有的工業網絡抗毀性評價過程進行理論支撐和補充。

3.1 實驗數據說明

為了驗證本文算法的普適性、有效性，本節使用了兩類具有不同結構的模型網絡(BA和WS網絡)作為工業網絡的劃分單元進行模型驗證。

(1)BA網絡構建

①首先構建一個基于m0個節點的全連通網絡，然后在m0個節點的基礎上進行網絡擴充，每一次擴充一個新的節點，并在這個節點與已存在的節點之間創建m(m≤m0)條新的連邊。

在t時刻，以上兩個步驟可以構建一個具有N=t+m0個節點的網絡。在本節仿真驗證中，設定節點總數N為200和500，m為3。

(2)WS網絡構建

②隨機重連。網絡中的每個連邊都以概率p隨機重新連接，即連邊的一個端點保持不變，另一個端點作為網絡中隨機選擇的節點。任何兩個不同的節點最多只能有一條連邊，每個節點不能有連接到自己的連邊。

在WS網絡中，當p=0時為規則網絡，當p=1時為隨機網絡。WS網絡的結構與參數的大小直接相關。在本節仿真驗證中，設定節點總數N為200和500，鄰居節點數量為4，重連邊的概率p為30%。

圖3分別對四個工業網絡模型進行了可視化。這里使用的網絡可視化方法為Fruchterman-Reingold力引導布局算法。表1展示了這兩個現實網絡的度量指標統計值，其中Avg.Deg表示網絡平均度值，Avg.Betw表示網絡平均介數值，ASPL表示網絡平均最短路徑長度，CC表示網絡平均聚類系數，community表示網絡所含社團數目，通過這些度量指標數值，可以初步掌握網絡的結構特性。從表1中統計值和圖3可見，這兩種網絡在結構上存在著巨大的差異，并可將其應用于不同結構的網絡上。

表1 模型網絡劃分的統計參數

圖3 模型網絡劃分結構可視圖注：200BA(3)表示具有200個節點、生成參數為3的BA網絡，其他網絡名稱構成類似。

為了符合本文研究對象——工業網絡的結構特點(通常在某一工段區域內物聯節點連接較為緊密，工段之間連接較少，此處的工段也可理解為前文中提到的工業網絡劃分)，在得到4個模型網絡劃分后，需要在不同劃分之間構建若干條連接，形成一個整體的工業網絡模型，如圖4所示。

圖4 總體工業網絡示意圖

3.2 實驗結果

為了驗證本文提出的抗毀性評價模型在面對不同類型的外界攻擊時的有效性，本節在總體模型工業網絡中假設6種不同組合的外界攻擊場景，如表2所示。

表2 模型工業網絡面對的不同攻擊場景

為了驗證本文提出的抗毀性評價方法相較于傳統基于單一固定指標的抗毀性評價方法的區別，分別使用三種傳統的抗毀性評價方法，即針對物聯范圍的抗毀性評價方法、針對物聯效率的抗毀性評價方法、針對綜合影響的抗毀性評價方法[19]，對圖4所示的總體模型工業網絡在面對表2描述的6種具有不同外界攻擊特征的抗毀性進行評估，并與本文的抗毀性評價方法進行對比。

分別按照不同子網劃分的安全風險意圖對該區域內的物聯節點進行攻擊，攻擊規模為0～50%，通過分析不同網絡節點在不同環境下的抗毀性評估結果及數值變化，比較分析所建立的抗毀性評價模型的效果。

由圖5中曲線趨勢可以看到，傳統的抗毀性評價方法由于物聯效率(網絡平均效率)的計算公式及其實際意義的限制，該數值在整個區間內相應較低，而物聯范圍(連通性)則始終處于較高數值區間，隨機意圖的抗毀性評價方法的數值處于以上二者之間，這三種抗毀性評價方法在該工業網絡模型中對安全風險描述的變化趨勢在6種場景下較為相似。在同一物聯網絡面對相同外界攻擊場景的情況下，隨著攻擊的持續進行，系統的抗毀性評價值持續降低，而不同的外界攻擊場景對抗毀性刻畫值的影響較小。以上現象表明，在相同工業網絡系統和相同外界攻擊下，本文方法評價值在全攻擊范圍內比現有方法更加穩定，說明本文提出的抗毀性評價方法受攻擊影響較小，能夠支持未知范圍攻擊下的系統抗毀性溯源，計算結果可以輔助拓撲重構決策。

圖5 抗毀性評價效果

如上所述，上述抗毀性評估數值只能評價針對某一攻擊規模的安全抗毀性，不能直觀地在不同的外界攻擊場景下做全范圍攻擊規模的方法對比。在復雜網絡領域，已經有很多學者從連接度的角度給出了網絡的全局抗毀性的定量描述。同一網絡系統受到不同外部攻擊時，其整體抗毀能力也各不相同。在遭受外界攻擊時，網絡的整體抗毀性值定義為[20]：

(12)

其中A表示網絡中受攻擊節點的規模，GCsize(A)表示在此攻擊下的網絡最大連通片規模。由定義可知，該指標可以描述一系列規模的外界攻擊下的系統整體抗毀性。

為了更好地說明各個抗毀性評價方法在全域受攻擊節點數目區間上的評估效果，本節計算了每個抗毀性評價方法在整個區間上的累積評估效果，該累積效果由每條曲線與坐標軸圍成的面積表示，分別為EDeg、EBetw、ERand。表3展示了在表2描述的6種外界安全風險類型下，總體模型工業網絡根據不同抗毀性評價方法計算得到的累積數值。通過對表3中的數值進行比較分析可以發現，傳統的抗毀性評價方法在刻畫不同外界攻擊場景的抗毀性時，數值波動較小，數值波動范圍最低的物聯效率刻畫值波動區間僅為0.02。本文提出的基于攻擊意圖的工業網絡抗毀性評價方法相較于傳統方法，評價值更具區分度，相對于傳統方法突出描述抗毀性差異，并反映是否遭受不同類型外界攻擊的影響。本研究成果可以為工業網絡抗毀性評價提供新的理論支撐和評價依據。

綜上所述，隨機攻擊和蓄意攻擊在特點和動機上存在顯著差異，了解這些差異對于建立有效的網絡和系統安全策略至關重要。防范隨機攻擊需要重點關注漏洞修補、入侵檢測和自動化安全措施。而對抗蓄意攻擊則需要更復雜的安全措施，包括威脅情報分享、高級入侵檢測系統和專業化的安全團隊來追蹤和應對攻擊者的行為。在不斷演化的網絡威脅環境中，理解這兩種攻擊類型的特點對于確保系統的安全至關重要。

4 結論

本文探討了工業網絡中的安全問題，以攻擊意圖為研究核心，進行了一項系統性的抗毀性評價方法研究。為了更好地了解和解決工業網絡面臨的威脅，本文分析了已知攻擊案例，從中識別出了多種攻擊類型及其可能引發的潛在影響?；趯粢鈭D的深入了解，本文進一步構建了一個綜合性的抗毀性評價模型，與傳統的抗毀性評價模型相比，該模型特別考慮了攻擊的潛在意圖。這一考量不僅僅是對攻擊發生的可能性進行評估，還包括了攻擊可能造成的影響范圍以及可能引發的后果。為了更準確地衡量不同類型攻擊的威脅程度，本文方法為每種攻擊行為賦予了相應的權重，綜合考慮了攻擊的多方面因素。仿真實驗結果表明，相較于傳統方法，本文提出的抗毀性評價模型在評估不同外界攻擊場景的抗毀性時，可以更加顯著地體現出抗毀性的差異，本研究成果可以為工業網絡抗毀性評價提供新的理論支撐和評價依據，也為未來的研究工作提供了有力的支撐。