彭 浩， 闞 哲， 趙丹丹， 許光全， 吳松洋

(1. 浙江師范大學 數(shù)學與計算機科學學院 浙江 金華 321004； 2. 上海市信息安全綜合管理技術研究重點實驗室 上海 200240； 3. 公安部第三研究所 上海 201204；4.天津大學 計算機科學與技術學院 天津 300072)

0 引言

近年來，隨著嵌入式系統(tǒng)、通信網(wǎng)絡、泛在計算等技術[1]的不斷發(fā)展，人類社會已進入以數(shù)字化、網(wǎng)絡化和智能化為特征的信息化時代，信息感知、泛在計算和管理調控等技術的不斷融合，實現(xiàn)了物理空間和信息空間的互聯(lián)互通和深度融合，最終產(chǎn)生信息物理系統(tǒng)(cyber-physical system，CPS)[2-3]. CPS的概念在2006年由Jones[4]提出，并很快引起了廣泛的關注與研究.2014年10月，中德雙方舉行的第三輪中德政府磋商后發(fā)表的《中德合作行動綱要》[5]中宣布，兩國將開展“工業(yè)4.0”合作，而工業(yè)4.0的核心就是構建CPS架構.中國在最近突出強調了推動新型工業(yè)化、信息化、城鎮(zhèn)化、農(nóng)業(yè)現(xiàn)代化的同步發(fā)展，工業(yè)和信息化部聯(lián)合中國電子技術標準研究院，聯(lián)合印發(fā)了《信息物理系統(tǒng)白皮書(2017)》[6].可以看出，CPS系統(tǒng)越來越支撐全球信息化和工業(yè)化的深度融合，受到各國的重視和發(fā)展.

CPS系統(tǒng)提供了物理空間、信息空間深度融合的智能信息服務平臺，目前廣泛用于智能電網(wǎng)、通信網(wǎng)絡、石油石化、核能、交通運輸?shù)汝P鍵基礎設施領域[7-9].隨著通信、計算與控制技術的交叉融合，CPS系統(tǒng)表現(xiàn)出一類新的信息安全問題[10-13]，即網(wǎng)絡攻擊不再局限于信息領域，也能夠通過攻擊遠程終端單元(remote terminal unit，RTU)、可編程邏輯控制器(programmable controller，PLC)等終端設備實現(xiàn)物理破壞.在CPS系統(tǒng)中，由于信息空間和物理空間的相互融合，攻擊者可能基于信息空間攻擊物理空間，其破壞程度之大、危險系數(shù)之高，往往是CPS設計者和管理者始料未及，任何針對CPS的攻擊一旦得逞，后果都將不堪設想.為此，如何保障CPS系統(tǒng)安全、穩(wěn)定、連續(xù)、可靠地運行，并對其進行安全風險評估變得十分重要.

近年來，國內外學者圍繞上述問題對CPS系統(tǒng)的攻擊失效和安全評估問題展開了研究.傳統(tǒng)可靠性的分析方法“故障樹分析”[14-15]，被用于智能交通、電力系統(tǒng)[16-17]等CPS系統(tǒng)的安全評估中，但沒有考慮CPS系統(tǒng)中信息網(wǎng)絡和物理網(wǎng)絡的耦合關系引起的衍生失效問題，而CPS系統(tǒng)失效具有很強的級聯(lián)失效特性.高洋[18]和Chen[19]等考慮了CPS系統(tǒng)的級聯(lián)失效特性，并基于相互依賴網(wǎng)絡理論，對該失效過程進行了仿真和驗證，給出了CPS系統(tǒng)遭受隨機攻擊下的安全評估模型，但該模型主要依賴于隨機攻擊的場景進行分析與驗證，并沒有考慮其他的攻擊策略.但在實際的信息物理系統(tǒng)中，系統(tǒng)遭受到的攻擊類型，往往是目的性很強的蓄意攻擊[20-21],并給CPS系統(tǒng)帶來很大的級聯(lián)失效風險[22-23].可以看出，上述針對信息物理系統(tǒng)的安全評估方法，主要從單一網(wǎng)絡的屬性或單一的隨機攻擊等視角進行分析研究，缺乏對現(xiàn)實中的蓄意攻擊下，信息物理系統(tǒng)的級聯(lián)失效過程和安全評估等進行有效分析.

基于上述分析，本文對現(xiàn)有的信息物理系統(tǒng)進行有效建模；在此基礎上，探討了蓄意攻擊策略下系統(tǒng)的級聯(lián)失效過程；并通過仿真對比實驗，給出影響信息物理系統(tǒng)安全性的主要評估要素；最后對本文的研究工作進行總結，并給出下一步的工作展望.

1 相關模型與概念

現(xiàn)實中的信息物理系統(tǒng)是由各種各樣的網(wǎng)絡構成，通常是由信息網(wǎng)絡和物理網(wǎng)絡組成.通過對現(xiàn)實中的信息物理系統(tǒng)實例進行分析，建立符合信息物理系統(tǒng)特性的模型.這里我們將分析現(xiàn)實中的信息物理系統(tǒng)及其攻擊的類型，對現(xiàn)實中的網(wǎng)絡攻擊方式進行建模，最后我們將簡單介紹信息物理系統(tǒng)中的一些基本概念.

1.1 網(wǎng)絡模型

本文主要是針對信息物理系統(tǒng)的失效問題進行研究與分析.通過研究與分析生活中一些信息物理系統(tǒng)的實例，可以得知組成信息物理系統(tǒng)的兩個網(wǎng)絡的節(jié)點數(shù)量一般是不相同的.在信息物理系統(tǒng)中，通信網(wǎng)絡的節(jié)點數(shù)量多于物理網(wǎng)絡中的節(jié)點數(shù)量，因此我們建立了節(jié)點數(shù)量不同的兩個網(wǎng)絡，用A表示通信網(wǎng)絡，用B表示物理網(wǎng)絡.為了對信息物理系統(tǒng)可靠性進行定性分析，在本文中我們假設兩個網(wǎng)絡間節(jié)點的連接為等比連接，即網(wǎng)絡B中的每一個節(jié)點與網(wǎng)絡A中節(jié)點連接的數(shù)量相同，并規(guī)定NA∶NB=3∶1，即網(wǎng)絡B中的一個節(jié)點與網(wǎng)絡A中的3個節(jié)點連接，而且這種連接是完全隨機的，網(wǎng)間連接和網(wǎng)內連接是沒有任何關系的. 在本文中，我們用NA表示通信網(wǎng)絡中節(jié)點的數(shù)量，用NB表示物理網(wǎng)絡中節(jié)點的數(shù)量.不失一般性，我們假定這里兩個網(wǎng)絡都服從隨機網(wǎng)絡的網(wǎng)絡分布特性.

由前面的分析得知，實際中的信息物理系統(tǒng)，受到攻擊的類型往往是蓄意的、有目的性的攻擊，該類型的攻擊對信息物理系統(tǒng)的影響和危害較大，很容易造成信息物理系統(tǒng)級聯(lián)失效的衍生效應.因此，這里主要研究蓄意攻擊下CPS系統(tǒng)的安全性問題，在本文中，我們用基于概率方程的方式來模擬蓄意攻擊過程.

1.2 基本概念

在前述建模過程中，信息物理系統(tǒng)中的一個網(wǎng)絡受到攻擊后，由于兩個網(wǎng)絡之間相互耦合，A網(wǎng)絡中節(jié)點的失效會使B網(wǎng)絡中的節(jié)點失效，B網(wǎng)絡中節(jié)點的失效又會反過來使A網(wǎng)絡中的節(jié)點失效，這個過程會迭代進行，這種現(xiàn)象我們稱之為級聯(lián)失效.級聯(lián)失效會在下面兩種情況下停止，一種是組成耦合系統(tǒng)的兩個網(wǎng)絡完全崩潰，不能保持基本功能；另一種是兩個網(wǎng)絡中都沒有節(jié)點被刪除，達到一種穩(wěn)態(tài)，這時耦合系統(tǒng)還保持基本的功能.級聯(lián)失效的過程，是信息物理系統(tǒng)遭受攻擊后表現(xiàn)出的一種很重要的特性，與單個網(wǎng)絡遭受攻擊后節(jié)點失效過程完全不同.

當信息物理系統(tǒng)中的一個網(wǎng)絡受到攻擊以后，網(wǎng)絡會分裂成一個較大的簇和一些比較小的簇，我們規(guī)定只有滿足下面兩個條件的節(jié)點才能保持功能[22-24].

1) 當前網(wǎng)絡中的節(jié)點必須與另一個網(wǎng)絡中的節(jié)點連接.

2) 節(jié)點必須在最大連通簇集合內.

滿足上述兩個條件的節(jié)點稱之為功能節(jié)點.功能節(jié)點是網(wǎng)絡中很重要的節(jié)點，受到攻擊后，只有當功能節(jié)點還存在時，網(wǎng)絡才能保持基本功能，當網(wǎng)絡中沒有功能節(jié)點就說明網(wǎng)絡已經(jīng)完全崩潰.

2 理論分析

在本節(jié)中我們建立了一個數(shù)學框架，來分析信息物理系統(tǒng)在蓄意攻擊下的安全性，這個框架是解決蓄意攻擊的理論基礎. 我們通過一定的數(shù)學分析將蓄意攻擊轉化為隨機攻擊，然后按照分析隨機攻擊級聯(lián)失效的理論來研究耦合系統(tǒng)遭受目標攻擊后的級聯(lián)失效.

2.1 蓄意攻擊的轉化

文獻[25]中提出了一個概率方程來表示節(jié)點去除的概率，我們用Wα(ki)表示在初始蓄意攻擊的情況下度數(shù)為k的節(jié)點i失效的概率,

(1)

由式(1)可以看到，當α<0的時候，公式就無意義，因此節(jié)點度數(shù)為0 的節(jié)點就必須被排除，但是在現(xiàn)實的耦合系統(tǒng)中度數(shù)為0的節(jié)點是存在的，因此為了研究的一般性，我們對上面的方程進行改進，得到

(2)

當α<0的時候，度數(shù)高的節(jié)點被保護，度數(shù)低的節(jié)點有較高的失效概率；當α>0的時候，度數(shù)低的節(jié)點被保護，度數(shù)高的節(jié)點有較高的失效概率；當α=0的時候，所有的節(jié)點具有相同的失效概率，就是隨機失效.當α→+∞的時候，節(jié)點按照節(jié)點的度的高低順序依次被刪除，相反，當α→-∞時，節(jié)點刪除的順序為從低到高依次被刪除.

將蓄意攻擊轉化為隨機攻擊的主要思想是找到一個等價的網(wǎng)絡A′.當蓄意攻擊發(fā)生后，我們刪除了比例為(1-p)的節(jié)點，但是我們把剩余節(jié)點中導致失效的節(jié)點的邊保留下來，接下來我們主要是求出剩余節(jié)點的度分布Pp(k).用Ap(k)表示剩余節(jié)點中度數(shù)為k的節(jié)點的數(shù)量，可以得到

(3)

當另一個節(jié)點去除的時候，Ap(k)的值為

(4)

當N→∞時，式(4)對p求導得

(5)

結合式(3)和式(5)可得

(6)

(7)

(8)

因此Pp(k)的生成函數(shù)為

(9)

由于網(wǎng)絡A中的連接是隨機的，在剩余節(jié)點中邊的刪除概率等于剩余節(jié)點中邊的數(shù)量與原始網(wǎng)絡中邊的數(shù)量比值：

(10)

其中：〈k〉是原始網(wǎng)絡的平均度，〈k(p)〉是蓄意攻擊后剩余網(wǎng)絡中節(jié)點的平均度.我們運用文獻[27]中的方法可以求得剩余節(jié)點的生成函數(shù),

(10)

(11)

接下來運用隨機攻擊的分析過程來繼續(xù)分析蓄意攻擊下的級聯(lián)失效，主要是用生成函數(shù)和滲流理論對級聯(lián)失效的迭代過程進行詳細數(shù)理分析，分析每一步失效后網(wǎng)絡中功能節(jié)點的數(shù)量占原網(wǎng)絡中節(jié)點總數(shù)的比值.網(wǎng)絡A′的生成函數(shù)已經(jīng)在前面式(11)求得，根據(jù)網(wǎng)絡A′的生成函數(shù)我們可以求得剩余節(jié)點的度的分布生成函數(shù),

(12)

當網(wǎng)絡A′受到隨機攻擊刪除(1-p)比例的節(jié)點后，網(wǎng)絡中剩余節(jié)點的度分布會發(fā)生變化，相應的度分布的生成函數(shù)也會變化.網(wǎng)絡A′受到隨機攻擊而被去除節(jié)點后，網(wǎng)絡中剩余節(jié)點的數(shù)量是N′A1=p·NA.其中功能節(jié)點的數(shù)量即最大連通簇中的節(jié)點數(shù)量與原始網(wǎng)絡中節(jié)點數(shù)量的比值是

(13)

其中：fA是關于p的函數(shù)，滿足

(14)

在網(wǎng)絡B中可以得到與上述相似的理論，運用上述理論我們可以詳細分析每一步的級聯(lián)失效.運用生成函數(shù)的方法可以得到級聯(lián)失效的迭代方程，在下一節(jié)中列出具體分析過程.

2.2 網(wǎng)絡A′中的隨機失效

根據(jù)前面的分析，我們已經(jīng)把蓄意攻擊轉化為隨機攻擊.在初始攻擊時，網(wǎng)絡A′發(fā)生隨機失效，我們假設有(1-p)比例的節(jié)點因受到攻擊而失效，可以求得剩余節(jié)點的數(shù)量為

N′A1=p·NA=μ′1·NA，

(15)

其中：μ′1是刪除(1-p)比例的節(jié)點后剩余節(jié)點的數(shù)量與原始網(wǎng)絡中節(jié)點數(shù)量的比值，由式(15)可以得到μ′1=p.根據(jù)前面的分析可以知道在N′A1中屬于最大連通簇的節(jié)點數(shù)量是

NA1=gA(μ′1)·N′A1=μ′1·gA(μ′1)·NA=μ1·NA，

(16)

從式(16)中可以得到經(jīng)過第一次失效后，保持功能的節(jié)點數(shù)量與原始網(wǎng)絡中節(jié)點的比值為

μ1=μ′1·gA(μ′1).

(17)

2.3 網(wǎng)絡B中節(jié)點的級聯(lián)失效

由于信息物理系統(tǒng)的耦合性，網(wǎng)絡B中節(jié)點的功能依賴網(wǎng)絡A′中的節(jié)點，因此網(wǎng)絡B中的節(jié)點會因網(wǎng)絡A′中節(jié)點的失效而失效.由于網(wǎng)絡B中的每一個節(jié)點與網(wǎng)絡A′中3個節(jié)點連接，而且網(wǎng)絡間的連接是隨機的，因此可以得到網(wǎng)絡B中有依賴關系的節(jié)點數(shù)量,

(18)

(19)

與2.2節(jié)分析相似，我們可以求得在N′B2中屬于最大連通簇的節(jié)點的數(shù)量是

NB2=gB(μ′2)·N′B2=μ′2·gB(μ′2)·NB=μ2·NB，

(20)

從式(20)可得

μ2=μ′2·gB(μ′2).

(21)

2.4 網(wǎng)絡A′中節(jié)點的失效

經(jīng)過2.2和2.3兩小節(jié)對級聯(lián)失效的分析后，可以得到網(wǎng)絡A′剩余節(jié)點中具有依賴關系的節(jié)點的數(shù)量.根據(jù)2.2節(jié)的隨機失效，我們可以得知網(wǎng)絡B中的一個節(jié)點可能與網(wǎng)絡A′中的1個、2個或3個節(jié)點連接，也可能不與網(wǎng)絡A′中的任何節(jié)點連接.在表1中我們列出了各種連接數(shù)量在原始網(wǎng)絡中所占的比例.

表1 網(wǎng)絡B中依賴節(jié)點數(shù)量所占的比例Tab.1 The proportion of the number of dependent nodes in network B

根據(jù)我們對耦合系統(tǒng)的建模，可以知道網(wǎng)內連接和網(wǎng)間連接沒有任何關系，完全是隨機的，因此網(wǎng)絡A′中有依賴關系的節(jié)點數(shù)量為

(22)

所以N′A3=μ1·gB(μ′2)·NA.從NA1到N′A3，可以得到NA1-N′A3=(1-gB(μ′2))·NA1.

根據(jù)文獻[27]中的理論，由于在初始階段刪除的節(jié)點不屬于NB2、NA1和N′A1，因此從NA1中移除的節(jié)點等于從N′A1中移除相同比例的節(jié)點，所以NA1-N′A3=(1-gB(μ′2))·NA1=(1-gB(μ′2))·N′A1.總的移除的節(jié)點占原始網(wǎng)絡A′的比例為

1-μ′1+(1-gB(μ′2))·μ′1=1-μ′1·gB(μ′2).

(23)

從公式(23)可得μ′3=μ′1·gB(μ′2)，因此在N′A3中屬于最大連通簇的節(jié)點數(shù)量為

NA3=μ′3·gA(μ′3)·NA=μ3·NA，μ3=μ′3·gA(μ′3).

2.5 網(wǎng)絡B的進一步失效

由于信息物理系統(tǒng)的耦合性，網(wǎng)絡B中的節(jié)點會因2.4節(jié)中網(wǎng)絡A′中節(jié)點的失效而失效.用與2.2節(jié)相似的方法，可以求得網(wǎng)絡B中剩余節(jié)點中具有依賴關系的節(jié)點的數(shù)量

(24)

從NB2到N′B4，可得

(25)

與2.4節(jié)分析過程一樣，

(26)

因此，網(wǎng)絡B中總的失效的節(jié)點數(shù)量為

(27)

所以

(28)

在N′B4中屬于最大連通簇的節(jié)點數(shù)量為：

NB4=μ′4·gB(μ′4)·NB，

(29)

μ4=μ′4·gB(μ′4).

(30)

根據(jù)前面分析級聯(lián)失效過程的方法，可以知道每一步級聯(lián)失效后網(wǎng)絡中節(jié)點的數(shù)量，用式(31)表示,

(31)

其中：μ′1=p，下面我們找到一種方法對式(31)進行詳細分析，進而求得臨界閾值.

3 實驗仿真及分析

在本節(jié)中，我們主要對前面得到的式(31)進行分析求解，并通過仿真實驗對結果進行驗證.

3.1 方程求解

對于耦合系統(tǒng)的級聯(lián)失效，雖然我們不知道級聯(lián)失效具體在哪一步停止，但是當級聯(lián)失效停止的時候網(wǎng)絡不會再失效.因此可得

(32)

為了方便分析級聯(lián)失效的迭代公式，定義變量x、y滿足方程組

(33)

因此式(31)可以用式(34)表示

(34)

對式(34)消元，可得

x=p·gB[p·((x·gA(x))3-3·x·gA(x)+3)·gA(x)].

(35)

對于一些常見的網(wǎng)絡，比如隨機網(wǎng)絡和無標度網(wǎng)絡，這個方程式的求解是比較困難的，因此我們用畫圖的方式來求近似解.首先把式(35)寫成

(36)

然后根據(jù)式(36)在圖中把這兩條線畫出來，兩條線相切的時候就是方程(34)的解，我們把求出來的解稱為臨界閾值pc.具體如圖1所示.從圖1a可以看到，設定3個不同的p值，通過計算曲線與直線之間的距離可以得到比較精確的理論解.從圖1a可以求得α=1時，pc=0.514，其中α是概率方程中的參數(shù). 從圖1a可以看到當p值小于臨界閾值0.514時，曲線與直線在(0,1]區(qū)間內沒有交點，當?shù)扔谂R界閾值pc時，曲線與直線相切，當p值大于臨界閾值pc時，曲線與直線有兩個交點.用與圖1a中相同的方法我們可以求得α=2時，pc=0.578.圖1中的b圖與a圖具有相似的規(guī)律.至此我們已經(jīng)求得耦合系統(tǒng)遭受蓄意攻擊時的臨界閾值，為了確保結果的正確性，我們會通過仿真實驗來驗證結果的正確性.

圖1 對方程(36)的求解Fig.1 Solution of equation (36)

3.2 實驗驗證及分析

接下來我們對結果進行驗證，主要是通過數(shù)值模擬來驗證結果的正確性.首先創(chuàng)建兩個隨機網(wǎng)絡，網(wǎng)絡的節(jié)點數(shù)量分別為12 000和4 000，然后按照前面所描述的模型，使兩個網(wǎng)絡連接在一起，即網(wǎng)絡A中的3個節(jié)點隨機與網(wǎng)絡B中的1個節(jié)點連接，而且這種連接方式是完全隨機的.這樣我們就使兩個網(wǎng)絡耦合在一起，用前面提出的概率方程表示蓄意攻擊，即根據(jù)概率方程來確定每一個節(jié)點失效的概率.在模擬級聯(lián)失效的過程中，每一步級聯(lián)失效后節(jié)點的數(shù)量會被保存在文件里，方便對數(shù)據(jù)進行分析.當組成耦合網(wǎng)絡的兩個網(wǎng)絡中都沒有節(jié)點被刪除，就認為級聯(lián)失效已經(jīng)停止.當級聯(lián)失效停止的時候,我們會統(tǒng)計每一次級聯(lián)失效結束時耦合系統(tǒng)中的兩個網(wǎng)絡剩余節(jié)點的數(shù)量.

圖2中的橫坐標表示網(wǎng)絡受到蓄意攻擊后沒有被攻擊的節(jié)點數(shù)量與原始網(wǎng)絡中的節(jié)點數(shù)量的比值，受到攻擊的節(jié)點的比例為(1-p)，縱坐標表示級聯(lián)失效停止的時候兩個網(wǎng)絡中剩余節(jié)點的比例.在圖2a中，取α=1，組成耦合系統(tǒng)的兩個網(wǎng)絡的節(jié)點平均度為〈k〉=4;在圖2b中，取α=2，其余與圖2a中的條件一樣.對比圖2a和圖2b可以發(fā)現(xiàn),當α增大，臨界閾值pc也在增大，說明網(wǎng)絡的可靠性降低了.α的增大說明網(wǎng)絡中度比較大的節(jié)點受到攻擊的概率在增大，因此網(wǎng)絡的可靠性降低，實驗結果與預期的結果一致，說明我們的結論是正確的.圖2c中取α=1，〈k〉=6，對比圖2a和圖2c可以看到,隨著節(jié)點度的增大，臨界閾值pc在減小，臨界閾值的減小說明耦合系統(tǒng)的可靠性在增強.我們知道當網(wǎng)絡的度增大說明網(wǎng)絡之間的連接越來越緊密，因此網(wǎng)絡的可靠性會增大，實驗結果與我們的預期結果一致，進一步驗證了結論的正確性.在模擬級聯(lián)失效的過程中，為了確保實驗的正確性，我們對每一個p值重復進行了50次實驗，然后取平均值，而且在臨界閾值附近多取了兩組p值，可以更好地觀察在臨界閾值附近耦合系統(tǒng)的可靠性.

從圖2中可以看到，當級聯(lián)失效停止的時候，耦合系統(tǒng)中的一個網(wǎng)絡完全崩潰，另一個網(wǎng)絡也一定會完全崩潰，同樣當一個網(wǎng)絡存在一部分功能節(jié)點，另一個網(wǎng)絡也會存在一部分功能節(jié)點，而且功能節(jié)點的數(shù)量與p值成正比.從圖2中還可以看到，當p值小于臨界閾值pc的時候，耦合系統(tǒng)完全崩潰，當p的取值大于臨界閾值的時候，耦合系統(tǒng)中的兩個網(wǎng)絡都會存在一部分功能節(jié)點，即耦合系統(tǒng)還保存基本的功能，當p的取值在臨界閾值附近的時候，耦合系統(tǒng)可能完全崩潰，也可能保存有基本的功能，又一次驗證了我們結論的正確性.

在圖2中的臨界閾值附近，即黑色箭頭所表示的位置，可以看到當p的取值大于臨界閾值的時候，兩個網(wǎng)絡的變化趨勢接近直線上升，這種現(xiàn)象表示當p值大于臨界閾值的時候耦合系統(tǒng)不會完全崩潰.從圖2可以看到上面的曲線表示的是B中剩余的節(jié)點所占的比例，下面的曲線表示網(wǎng)絡A中剩余的節(jié)點所占的比例.由于網(wǎng)絡攻擊發(fā)生在網(wǎng)絡A中，我們可以看到網(wǎng)絡A中的節(jié)點所占的比例總是低于網(wǎng)絡B中的節(jié)點所占的比例.這是網(wǎng)絡B中的1個節(jié)點與網(wǎng)絡A中的3個節(jié)點相連接的關系導致，因此網(wǎng)絡B中的節(jié)點會受到一定程度的保護.對于現(xiàn)實中一些比較重要的耦合系統(tǒng)，我們可以把一些關鍵的節(jié)點連接多條依賴邊進行保護，來提高耦合系統(tǒng)的可靠性.

圖2 網(wǎng)絡中剩余節(jié)點的比例Fig.2 The fraction of survivals in both networks

在圖3中我們在臨界閾值附近選取多個值進行比較分析，其中縱坐標Pn表示級聯(lián)失效停止的時候最大連通簇存在的概率.例如，在α=1、〈k〉=4、臨界閾值pc=0.514的時候，在[0.50,0.56]區(qū)間內每隔0.005取一個點，每個點進行50次實驗，統(tǒng)計耦合系統(tǒng)沒有完全崩潰的次數(shù)，最后把得到的數(shù)據(jù)用圖3a表示. 圖3b中取α=2，用與圖3a相同方法驗證. 從圖3中我們可以看到,耦合系統(tǒng)的節(jié)點數(shù)量從小到大依次遞增，隨著節(jié)點數(shù)量的增加,曲線越來越靠近臨界閾值，臨界閾值用黑色箭頭表示，當節(jié)點的數(shù)量足夠大的時候,曲線會在臨界閾值附近產(chǎn)生一階相變，與在單個網(wǎng)絡中的二階相變是完全不同的.

圖3 耦合系統(tǒng)沒有完全崩潰的概率Fig.3 The probability of having a giant component

圖4 pc與α之間的關系Fig.4 The relationship between pc and α

圖4是對比不同α情況下，臨界閾值的變化情況，α的取值為-1、0、1、2，對于每一個α的取值,用上述理論分別求出對應的臨界閾值，為了比較pc和α之間的關系，規(guī)定在這4種α取值下的耦合系統(tǒng)的平均度相同，平均度的取值都為〈k〉=4，具體變化趨勢如圖4表示.圖4中橫坐標是概率方程的參數(shù)α，縱坐標是臨界閾值pc，從圖4中可以看到臨界閾值pc和概率方程的參數(shù)α成正比關系，隨著α的增大pc的值也在不斷增大.

4 結束語

信息物理系統(tǒng)是一個在探索中的、非常有發(fā)展前景的研究領域，引起國內外學者對該領域的廣泛關注.目前對該領域的研究，主要聚焦在將網(wǎng)絡技術、控制技術、通信技術和物理學、網(wǎng)絡科學、社會學等相關領域知識相結合，以完善信息物理系統(tǒng)的理論框架，并對信息物理系統(tǒng)的安全性、自治性和高性能進行研究.

本文針對信息物理系統(tǒng)進行安全評估，是保證CPS安全、穩(wěn)定、連續(xù)運行的基礎.本文提出了信息物理系統(tǒng)的分析模型和安全評估指標，在蓄意攻擊策略下，考慮了信息物理系統(tǒng)對該攻擊行為的級聯(lián)失效過程.在安全估計的度量中，考慮了影響信息物理系統(tǒng)安全性的主要因素，并基于仿真實驗給出了對比分析的驗證.下一步的研究工作，將進一步優(yōu)化該模型，提高安全評估模型在大規(guī)模信息物理系統(tǒng)中的應用效率；同時在確定影響級聯(lián)失效的評估要素上，提高分析的成功率，從而實現(xiàn)失效的最小成本修復.