基于系统动力学的网络空间信息防御体系能力分析*

朱 弘，王付明，杨 兵

(信息工程大学指挥军官基础教育学院，河南 郑州 450004)

“斯诺登”事件的持续曝光，以及伊拉克战争、叙利亚战争的陆续解密，都明确昭示军事斗争已不可阻挡地进入网络空间时代。在“积极防御”战略指导下，如何打赢网络空间信息防御作战，分析和优化网络空间信息防御体系能力就变得尤为重要。

系统动力学(SD，System Dynamics)是由美国福瑞斯特(Forrester)教授创立的研究系统反馈结构与行为的一门学科。它强调系统内部的动态结构与反馈机制对系统行为模式与特性的决定作用，它运用定性与定量相结合的分析方法，擅长处理多因素、高阶次、复杂时变系统的分析与处理问题［1-2］。本文运用系统动力学方法对网络空间信息防御体系能力进行分析研究。

网络空间信息防御体系，是在网络空间信息作战环境内，为阻止网络空间信息入侵，保证己方信息安全、信息系统稳定运行，通过采取有效措施，把相互联系、相互制约的信息防御构成诸要素聚合于一体形成的系统集合。

网络空间信息防御体系能力是网络空间信息防御体系实施网络空间信息防御作战时所具备或发挥的能力。它是以网络技术和信息技术为支撑和纽带，将网络空间信息防御体系内各组成系统相互融合，集成为一体，密切协同，形成的具有倍增效应的体系化作战能力。

1 网络空间信息防御体系结构

网络空间信息防御体系由指挥管理系统、网络侦察系统、网络预警系统、网络防护系统、入侵检测系统、应急响应系统、网络恢复系统、威慑反击系统、应用保障系统等9大系统组成。这9大系统按网络空间信息防御作战进程展开，实时联动，在网络空间信息防御统一策略指导下，融合成一个有机整体［3-5］。

指挥管理系统是网络空间信息防御体系的“大脑”，负责制定网络空间信息防御决心、拟制防御计划、组织管理防御进程、指挥协调防御行动并实时评估防御作战效果;网络侦察系统是网络空间信息防御体系的“耳目”，通过不间断地侦察网络空间的敌情变化，收集和整理敌方网络攻击情报;网络预警系统是网络空间信息防御体系的“哨兵”，通过实时侦测，识别威胁，评估态势，及时发出预警信息，化被动防御为主动防御;网络防护系统是网络空间信息防御体系的“长城”，通过采取伪装、控制、隔离、扫描等有效措施不断提高体系的安全防护系数，筑牢防护屏障;入侵检测系统是网络空间信息防御体系的“电子眼”，检测穿过网络防护系统进入体系内部的入侵信息、发现入侵行为，拦截网络攻击;应急响应系统是网络空间信息防御体系的“急救车”，对网络空间信息入侵做出及时回应，阻止、清除各类入侵;网络恢复系统是网络空间信息防御体系的“自救系统”，对遭受攻击破坏的系统和数据根据备份信息进行数据恢复和系统重构，提高体系抗毁性;威慑反击系统是网络空间信息防御体系的“铁拳”，应用网络攻击和实体打击手段对网络空间信息入侵之敌进行报复性反击，慑止其进一步攻击企图;应用保障系统是网络空间信息防御体系的“基石”，为网络空间信息防御体系提供所需的各类技术和装备保障支持。

网络空间信息防御体系的详细结构如图1所示。

图1 网络空间信息防御体系结构

2 网络空间信息防御体系能力系统动力学模型

网络空间信息防御体系能力发挥的最终目的是有效阻止敌方网络攻击以及消灭侵入到体系内部的网络病毒，恢复系统受病毒感染损坏的资源。网络空间信息防御体系能力分析目的是在网络空间信息对抗环境中，对网络空间信息防御体系能力构成要素发挥网络空间信息防御功能的程度和重要性进行衡量，找出关键要素和核心环节，防御弱点和防御要点，为更好地发挥网络空间信息防御体系能力提出改进措施。

网络空间信息攻击的样式有很多种，主要有通过窃取合法身份，然后假冒身份攻击;进行网络扫瞄，实施嗅探攻击;实施密码破译攻击;渗入我信息系统内部实施信息窃取、信息篡改、信息破坏、信息控制和信息伪造攻击;利用木马实施攻击;通过脚本实施入侵;对我重要防御节点实施信息、逻辑和物理破坏等。

本文以网络病毒分布式拒绝服务攻击为例，在分析前述构建的网络空间信息防御体系结构基础上，从影响网络空间信息防御能力生成和发挥的因素中选取关键变量42个，把侵入网络空间信息防御体系内网络病毒总数和体系受损资源数作为水平变量，引入网络病毒扩张速率、网络病毒消亡速率、资源受损率、资源恢复率等4个速率变量以及16个辅助变量、18常量和2个时间影子变量，以此建立网络空间信息防御体系能力系统动力学流图。具体如图2所示。

主要变量的含义及关系方程为:

1)体系内网络病毒总数。该变量指侵入网络空间信息防御体系内部尚未被消灭的病毒总数，是衡量系统安全程度的重要变量。其关系方程为

体系内网络病毒总数=INTEG(网络病毒扩张速率－网络病毒消亡速率，系统防御展开时体系内网络病毒总数的初始值X)。

2)网络病毒扩张速率。该变量指网络空间信息防御体系内部病毒增长的速率，受已侵入病毒的自我复制速率和外来病毒继续入侵速率影响。其关系方程为

网络病毒扩张速率=体系内网络病毒总数×病毒自我复制速率+病毒入侵速率。

3)网络病毒消亡速率。该变量指病毒被杀灭的速率，由于网络病毒自我消亡的速率周期较长，在此不作考虑。本文认为网络病毒消亡速率等于体系清除病毒的速率。其关系方程为:网络病毒消亡速率=体系内网络病毒总数/病毒存在时间。

图2 网络空间信息防御体系能力系统动力学流图

4)体系受损资源数。该变量指系统因感染病毒造成系统资源损坏的数目。其关系方程为

体系受损资源数=INTEG(资源受损率－资源恢复率，系统防御展开时体系受损资源数的初始值X)。

5)资源受损率。该变量指体系受损资源数增加的速率。其关系方程为

资源受损率=体系受损资源数/资源受损时间。

6)资源恢复率。该变量指体系受损资源恢复为正常资源的概率。其关系方程为

资源恢复率=体系受损资源数/资源恢复时间

由于篇幅所限，其他变量和关系方程不再介绍。

3 仿真算例

为了分析各变量在网络空间信息防御体系能力生成中的作用和地位，针对网络空间信息防御体系能力系统动力学流图，通过调整各变量的取值，看体系内网络病毒总数和体系受损资源数的变化曲线，剖析结果，可得关键变量和防御要点。

假设网络空间信息防御体系正常运行中突然遭受网络空间分布式拒绝服务攻击，病毒短时间内在网络空间信息防御体系内蔓延，网络空间信息防御体系在检测到信息攻击后，迅速启动应急预案，各系统在2s后开始组织起有效网络空间信息防御。给遭受网络攻击组织应急信息防御的体系赋予初值，见表1。

表1 仿真数据表

把采集的各个数据赋予所构建的网络空间信息防御系统动力学模型，运用Vensim PLE软件运行模型，可得各个变量的仿真结果，修改模型中一些关键变量的取值，仿真结果发生比较显著的变化，在确认变化的合理性后，分析相关变量对仿真结果的影响，可得系统模型运行中的重要规律。体系内网络病毒总数和体系受损资源数2个水平变量的变化曲线如图3和图4所示，两图中横坐标是网络空间信息防御的时间变化取值，纵坐标分别是体系内网络病毒总数和体系受损资源数的取值。

图3 网络空间信息防御体系网络病毒总数变化趋势

图3中，曲线1为模型取表1的各项初值时，网络空间信息防御体系内病毒变化曲线。依图3分析，网络空间信息防御体系内侵入的病毒在第40s前呈递增趋势，在第40s前后病毒增加达到高峰，从第40s往后病毒数目开始减少，在第96s处数目趋于0，96s后体系内病毒总数变为负数，表示系统的网络反击作用取得效果，已开始向敌方注入病毒。观察所构建模型的仿真结果，可以发现，网络空间信息防御系统动力学模型的病毒仿真曲线和实际分步式拒绝服服务攻击时网络空间信息防御体系中病毒的变化曲线是基本一致的，都是先增加后减少，最后在网络空间信息防御体系整体作用下，病毒数目趋于零。

图3中，曲线2为模型取表1的各项初值时，提高入侵检测能力的入侵检测准确性时体系内病毒的变化曲线。由曲线可知，网络空间信息防御体系内的病毒随着入侵检测准确性的提升而增幅减少，说明提高入侵检测能力的入侵检测准确性可以有效提高网络空间信息防御能力。曲线3为模型取表1的各项初值时，提高网络空间信息防御的技术更新改进系数时体系内病毒的变化曲线，由曲线可知，网络空间信息防御体系内的病毒随着技术更新改进系数的增加而增幅减少，说明提高技术更新改进系统可以有效提高网络空间信息防御能力。

体系资源受损是指网络空间信息防御资源因感染病毒而遭受损坏，资源受损越多，网络空间信息防御体系遭受的破坏越大，组织防御越难，如果核心数据遭到窃取和破坏，就意味着网络空间信息防御的失败。

图4 网络空间信息防御体系受损资源数变化趋势

图4中，曲线1为系统取表1的各项初值时，体系受损资源的变化曲线。由曲线可以看出，体系受损资源也呈先增加，后减少，最后归为零的正态变化趋势，和网络空间信息防御体系内病毒的变化曲线是非常相似的，说明体系受损资源和网络空间信息防御体系内病毒总数间存在正相关关系。但其高峰出现的时间在第66s左右，相对体系内病毒总数出现的时间向后推移。说明由于网络防护能力的发挥，一定程度上阻止了病毒的入侵，造成了高峰时刻的延迟。

曲线2、3分别为提升入侵检测能力的入侵检测准确性，提高网络空间信息防御的技术更新改进系数时体系受损资源数的变化曲线。各个变化曲线和其对应的网络空间信息防御体系内入侵病毒的变化曲线基本一致，证明了体系受损资源和网络空间信息防御体系内病毒总数间的正相关关系。曲线2、3的峰值差距较大，说明各个变量的影响不仅体现在体系受损资源的变化速率上，也体现在体系受损资源的最大值上。网络空间信息防御的技术更新改进系数对体系内受损资源的影响最大，其值提升越大，体系内受损资源增长越慢，峰值越低。

分析以上模型的仿真结果，可得以下结论:

1)网络空间信息防御整体能力的发挥依赖各系统能力的合成。网络空间信息防御是贯彻“主动防御”、“纵深防御”、“体系防御”思想的整体作战行动，其作战效果受系统整体功能发挥的影响。从仿真结果可知，在网络空间信息防御的初始阶段，系统防御明显处于被动局面，病毒大规模侵入，系统资源大批量损坏。此时，网络预警系统和入侵检测系统迅即启动，整个网络空间信息防御体系紧急展开防御行动，积极发挥各要素能力，在各能力的协同作用下，逐渐夺取主动，扭转被动局面，使系统资源逐渐修复，防御力量逐渐占据上风，最后在网络空间信息防御整体能力作用下，消灭所有入侵病毒，恢复所有受损资源。网络空间信息防御整体能力的发挥是以能够自组织、自适应、独立运行的各系统衍生能力的发挥为基础的。由于网络空间信息防御任务的连续性，各系统衍生的能力也相互影响，相互作用，最终合成为网络空间信息防御整体能力。

2)网络空间信息防御应急能力的提升重于平时能力的发挥。网络空间信息防御应急能力是组织网络空间信息防御时应急防护、应急响应、应急恢复、应急反击、应急保障等能力的合成，是在网络空间信息激烈对抗中展现防御能力的总称。网络空间信息防御平时能力是网络空间信息防御常规设计所具备的能力。网络空间信息防御应急能力是在网络空间信息防御平时能力的基础上升华的一种更高层次的能力，强度更强，程度更烈。从本文所构建的网络空间信息防御系统动力学模型及其仿真运行情况可以看出。网络空间信息防御不同于网络空间信息防护，前者具有显著的对抗性、突然性、高毁伤性等特征，网络攻击属于高技术攻击，常常出其不意发起攻击。此种情况下，组织网络空间信息防御必须充分发挥网络空间信息防御应急能力，快速决断决策、迅速响应恢复、有效防护反击，积极组织保障。保证网络空间信息防御应急能力的可靠发挥。

3)以技术更新改进系数为首的重点变量值得关注。从网络空间信息防御能力系统动力学模型和模型的仿真结果可以看出，一些重要变量对网络空间信息防御能力的生成和发挥有重要影响，积极提升这些重要变量对提高网络空间信息防御能力有重要意义。依据各个状态变量的变化趋势可以看出，技术更新改进系数是影响网络空间信息防御整体能力的首要变量，技术更新改进系数是网络空间信息防御中各项防御技术更新改进的指数，在激烈对抗的网络空间，技术对抗是最核心的对抗，组织网络空间信息防御必须有效提升技术更新改进系数。其他变量如入侵检测变量，决策变量，预警变量，防护变量也是影响网络空间信息防御能力生成和发挥的重要变量，它们的强弱影响网络空间信息防御体系整体能力的形成。

4 结束语

本文运用系统动力学方法对网络空间信息防御体系能力进行了仿真分析，通过研究，发掘出提高和改进网络空间信息防御体系能力的关键因素，对建设和提高网络空间信息防御体系能力有一定的积极意义。该研究目前还较为初步，对网络空间信息防御体系能力的认识和研究还有待深化。

［1］钟永光，贾晓菁，李旭，等.系统动力学［M］.北京:科学出版社，2009.

［2］谭跃进，等.系统工程原理［M］.北京:科学出版社，2010.

［3］郝桂英，等.一种基于主动防御网络安全模型的设计与实现［J］.微计算机信息，2006(8):88-89.

［4］杜晔，梁颖.网络信息对抗［M］.北京:北京邮电大学出版社，2011.

［5］王付明，朱弘，黄洋.基于解析结构模型的网络空间信息防御能力分析［J］.指挥控制与仿真，2014，34(6):36-39.