《Entropy》:Cyber Defense Effectiveness Evaluation for ICS Under Uncertainty: A Dynamic Bayesian Network Approach with Information Entropy
编辑推荐:
工业控制系统(Industrial Control Systems,ICS)中的主动防御规划受到两种相互交织的不确定性的严重制约:认知不确定性(epistemic uncertainty),源于防御者对系统状态的可观测性有限以及对攻击者策略的不完全了解;以及偶
工业控制系统(Industrial Control Systems,ICS)中的主动防御规划受到两种相互交织的不确定性的严重制约:认知不确定性(epistemic uncertainty),源于防御者对系统状态的可观测性有限以及对攻击者策略的不完全了解;以及偶然不确定性(aleatoric uncertainty),源于状态转移的随机性以及扰动通过设备间依赖关系的传播。这些因素极大地复杂化了防御策略部署前的定量评估。为应对这一挑战,本研究提出一种基于动态贝叶斯网络(Dynamic Bayesian Network,DBN)的框架,该框架显式建模四种不确定性来源。在该框架内,效能差异的期望与其信息熵(information entropy)相耦合,以共同量化预期性能与预测不确定性。一个典型变电站自动化系统的案例研究,辅以系统性的消融实验,表明该框架能够有效区分防御策略的相对效能。在条件概率表(Conditional Probability Tables,CPTs)中高达15%的噪声下,该框架仍能保持稳健的评估结果。消融实验进一步量化了可观测性、依赖传播和攻击者策略各自对预测不确定性的贡献,并揭示了认知不确定性与偶然不确定性之间非平凡的耦合关系。这项研究为ICS中面向韧性的网络防御规划提供了理论和方法支持。
# 基于动态贝叶斯网络与信息熵的ICS网络防御效能评估研究解读
## 研究背景与问题
工业控制系统(Industrial Control Systems,ICS)是能源、水利和交通等关键基础设施的核心,其安全性直接关系到公共安全。随着工业物联网技术的广泛采用,针对ICS的网络威胁已从简单攻击演变为多阶段、目标明确的渗透和集成式网络物理攻击(如Stuxnet和2015年乌克兰电网攻击),攻击频率和严重程度持续上升。与常规IT系统不同,ICS在遭受攻击后的恢复往往不可逆或成本极高,因此主动防御规划——在冲突前阶段评估和优化策略——比事后分析更为关键。然而,这一任务从根本上受到两个相互交织的挑战的制约:(i)防御者观察和了解攻击者策略时的视角偏差(认知不确定性,epistemic uncertainty),以及(ii)由攻防交互和设备依赖关系驱动的系统状态演化固有的随机性(偶然不确定性,aleatoric uncertainty)。现有研究方法主要集中于三个方向:概率性与动态风险评估、攻防建模与博弈论方法、以及不确定性量化。然而,这些方法存在三个关键空白:大多数框架假设完全信息,未能建模观测状态与真实系统状态之间的差异(即认知不确定性);现有方法孤立处理认知或偶然不确定性,缺乏在单个时间概率模型中联合建模两者的框架;当前方法依赖期望值或方差来表征效能结果,但这些指标与系统状态的数值编码相关,不能提供独立于编码的预测不确定性度量。核心问题因此是:如何在视角偏差(认知不确定性)和状态演化(偶然不确定性)的双重约束下,实现ICS冲突前场景中防御策略效能的准确、风险感知评估,同时提供一种独立于编码的总体预测不确定性度量?
## 研究内容与结论
研究人员提出了一种基于动态贝叶斯网络(DBN)的评估框架,该框架基于一个关键洞察:在不确定性下,防御效能评估不再是计算两个已知状态之间的确定性差异,而是将当前和未来状态均视为随机变量——前者由于部分可观测性,后者由于未知的攻击者策略和状态演化的随机性。问题因此转化为在给定防御者观测和所选策略条件下,对连续状态的联合分布进行表征。这一公式直接映射到DBN的推理结构上,为评估框架提供了原理性和计算可行性基础。主要贡献包括:提出联合DBN框架用于双重不确定性表示,同时嵌入防御者的部分可观测性和对攻击者策略的不完全知识(认知不确定性),并建模动态状态演化和设备间依赖传播(偶然不确定性);提出双指标方法,将期望效能差异与其预测分布的信息熵耦合,作为预测不确定性的伴随度量。案例研究在典型变电站自动化系统上进行,辅以系统性的消融实验和CPT噪声鲁棒性分析。结果表明:该框架能有效区分防御策略的相对效能,并揭示违背常规设备中心直觉的结构依赖关系;在CPT中高达15%的噪声下,评估结果保持稳健;消融实验量化了可观测性、依赖传播和攻击者策略各自对预测不确定性的贡献,并发现认知不确定性可以部分掩盖偶然变异性的真实程度,减少认知不确定性会暴露出潜在的偶然变异性。这些结果为ICS中面向韧性的网络防御规划提供了理论和方法基础。论文发表在《Entropy》。
## 关键技术方法
研究人员使用了以下主要关键技术方法:**动态贝叶斯网络(DBN)** 用于统一建模认知不确定性(通过嵌入防御者部分可观测性和对攻击者策略的不完全知识)和偶然不确定性(通过建模动态状态演化和设备间依赖传播);**双指标评估方法** 将效能差异的期望与信息熵耦合,以同时量化预期性能和预测不确定性; **CPT噪声鲁棒性分析** 通过向四种类型CPT(先验分布、观测似然、攻击者策略模型、状态转移概率)注入高达15%的相对噪声,验证评估框架的稳定性; **消融实验** 分别移除观测不确定性(通过替换为恒等映射)、设备间依赖传播(通过使各设备状态条件独立)以及改变攻击者策略确定程度,以隔离各不确定性来源的个体贡献。案例研究基于一个变电站自动化系统(网络拓扑包含网络隔离层、调度控制层、变电站层和现场设备层),使用模拟生成的CPT进行验证。
## 研究结果
### 3.4.1 防御策略评估与消融研究
通过模拟防御者在不同观测状态和威胁场景下的决策过程,系统分析防御策略效果。在未知攻击条件下,框架能清晰区分策略:无防御基准线期望效能最低,联合策略(同时保护防火墙和SCADA服务器,或同时保护IDS和通信网关)期望效能最高。值得注意的是,保护网络交换机的单一设备策略(权重中等)表现优于保护更高权重设备(SCADA服务器、防火墙)的策略,这揭示了设备在依赖网络中的结构位置可放大其保护收益。在异常场景下,最优策略高度依赖于当前系统状态:防火墙轻微异常时直接针对该异常的防御策略期望效能最高;SCADA服务器严重异常时,保护防火墙的策略反而优于直接修复SCADA服务器的策略,表明在紧密耦合的ICS中,保护网络边界瓶颈的全局收益可能超过修复最严重受损设备的局部收益。联合策略的效能增益分析发现,在SCADA服务器严重异常场景下,防火墙-SCADA组合策略出现适度协同效应(联合增益超过单个增益之和约4.5%),该协同源于两个策略通过ICS依赖网络的互补作用。期望与熵的排名比较显示,在异常观测下,两者排名显著分歧:期望排名高的策略可能带来高预测不确定性,为风险规避型防御者提供了权衡依据。
### 3.4.2 CPT噪声鲁棒性分析
通过独立扰动四类CPT(先验分布、观测似然、攻击者策略模型、状态转移概率),在15%噪声水平下,期望的相对偏差保持在±2.5%以内,熵的相对偏差保持在±1.5%以内,表明框架具有良好的鲁棒性。观测似然在低到中等扰动幅度下对期望影响最强,而攻击者策略模型在高扰动幅度下成为主要误差源。先验分布和状态转移概率的影响始终最弱。这一结果表明,准确的观测建模(而非假设全局全知视角)和攻击者行为的细致刻画对评估可靠性至关重要。
### 3.5 计算性能
离线预计算单时间步效能表随设备数量线性扩展,对于12个设备(4状态)约需51秒和64MB内存。在线评估时间与后验分布非零概率条目数线性相关,即使处理1000万个非零条目也仅需约5秒。框架特定计算开销可忽略,主要计算瓶颈在于DBN推理本身。
## 总结与讨论
研究人员通过消融实验量化了每个建模组件的贡献,并揭示了更深的非可加性耦合:认知不确定性(无论是来自未知攻击者策略还是不完美的状态观测)引入了一种对异质风险路径的边际化(或平均化)操作,这可以掩盖偶然变异性的真实程度。例如,确定性地固定攻击为最坏情况(全攻击)产生的预测熵高于对未知攻击策略进行边际化;在异常系统状态下,用完美状态知识替代有噪声观测反而增加了预测熵。这些现象表明,认知不确定性和偶然不确定性并非简单叠加,而是通过模型的概率结构相互作用。认知不确定性可以作为一种阻尼机制,部分隐藏偶然变异性的真实程度。因此,单独处理任一来源的框架会系统地扭曲风险评估。研究人员还论证了选择信息熵作为伴随指标的合理性:熵独立于系统状态的数值编码,并且在消融实验中能诊断方差无法揭示的结构性变化。在异常观测下,熵的排名与期望排名显著不同,表明熵提供了期望值评估无法捕捉的决策相关信息。最后,研究人员讨论了参数获取的可行性(通过历史数据学习、威胁情报、漏洞数据库、测试床实验等途径),并概述了实际部署工作流程(五步骤:DBN构建与维护、CPT指定、效能函数与离线预计算、在线评估、定期模型维护)。论文总结指出,该框架为ICS中面向韧性的网络防御规划提供了理论和方法支持。
