赵剑 明 ，曾 鹏 ，袁 辉

(1.中国科学院沈阳自动化研究所 机器人学国家重点实验室，辽宁 沈阳110016；2.中国科学院网络化控制系统重点实验室，辽宁 沈阳 110016；3.中国科学院机器人与智能制造创新研究院，辽宁 沈阳110169；4.中国科学院大学，北京 100049；5.昌河飞机工业(集团)有限责任公司，江西 景德镇 333002)

0 引言

工 业 物 联 网(Industrial Internet of Things，IIoT)相较于传统的物联网更专注于工业应用的专业要求，例如制造、石油和天然气等相关行业[1-3]。工业物联网通过将具有感知能力的各类传感器、控制设备和各种无线通信等技术手段融入到工业生产的环境当中，极大地提高了生产效率，并有效控制资源消耗和生产成本。 智能控制设备和智能传感器是工业物联网中最常见的基本单元。 随着两化融合的深入，控制设备和传感器在数字化、网络化、智能化的推进中广泛使用，使得工业控制系统从封闭式孤岛运行模式转变为开放式互联运行模式。 工业物联网作为新一代工业控制系统的信息传输媒介，在将传统工业提升到智能化的新阶段同时，也面临着功能失效因素不断增多、信息威胁加速渗透、攻击手段复杂多样等新挑战。

在实际复杂的工业物联网络中， 动态攻击/修复的迭代模型是普遍而必要的一种网络方法[4-5]。 具体地说就是，在一段时期内，网络攻击者会对工业物联网络发起攻击，而网络的维护者在网络被攻击之后，会采取措施对网络进行修复，如此形成一个动态的攻击(或修复)的迭代过程。 相比于单一的网络攻击，这样的动态攻击(或修复)模型在现实中是更加实用及常见的。 对于攻击者来说，其目标是寻求一种恶意的攻击方式对工业物联网络发起攻击， 最大程度地对网络结构、性能、连接性等关键指标造成破坏；与此同时， 网络修复者的主要目的就是找到一种最佳的网络修复措施，恢复网络的正常功能，并且使得网络抵抗下一次的恶意攻击的能力增强。

目前，针对此方向的理论，文献[6]对输电系统在大停电事故后的重构优化问题展开了研究， 提出了一种离散粒子群优化算法获得最优目标网。 文献[7]对电力系统恢复控制问题中的网络重构展开研究，以寻找最短的加权送电路径为优化目标，将网络重构建模为一个寻找图的局部最小树问题，并计及各种约束，提出了最优送电路径的通用模型和智能优化算法解算模式。 文献[8]针对并行恢复对加快大停电后系统的恢复展开讨论，提出了一种新的基于复杂网络社团结构理论的恢复子系统划分算法，根据黑启动机组在电网中的分布情况以及电网自身特点来划分子系统，利用模块度指标来衡量划分结果的合理性，并根据各个子系统分裂出来的先后次序来确定子系统之间同步并列的先后次序。 该算法克服了传统方法无法衡量划分结果合理性、不能适当确定同步并联规则或策略的缺点。 文献[9]通过对负载调度、复合网关、集群、数据镜像等技术进行研究，将循环调度、地址映射、负载均衡集群和虚拟专用网技术结合起来，成功地构建了业务服务与业务处理系统独立处理的多级容灾网络，解决了物联网的分布式同步数据传输和高效访问问题，实现了物联网跨地域灾难恢复和大量并发接入快速响应的目标，提高了物联网数据服务和应用服务的安全性和连续性。 文献[10]提出了一种改进的高效智能容错算法(IEIFTA)，为物联网中的路径故障提供快速的路由恢复和网络拓扑重构，在IEIFTA 中，粒子的变异方向由多群进化方程确定，其多样性通过免疫机制得到改善，从而提高了算法的全局搜索能力和收敛速度。

虽然已有很多学者对工业物联网恢复和网络修复等问题开展了研究，但是大多数研究都是针对网络本身进行算法设计和考量，忽视了网络受到攻击异常的特征。 工业物联网修复问题需要考虑到网络攻击类型以及受到攻击的节点特征等方面的内容。因此，本文从该角度出发，在充分考虑攻击异常特征的前提下，对工业物联网修复方法展开了研究，提出了基于攻击异常特征的工业物联网修复方法，并在模型网络上对该方法进行了验证。 鉴于现有的工业物联网恢复和网络恢复等方面的研究中修复方式不灵活、修复效果不稳定等缺点，本文算法可以根据网络受到的不同攻击类型灵活调整修复策略，使得网络在面对不同类型的攻击时都能具有较好的修复效果。

1 工业物联网及攻击模型

针对工业物联网中智能控制设备和智能传感器之间传递信息构建的网络拓扑，构建一个由N 个节点组成的工业物联网。 考虑到工业物联网修复的可行性，本文工业物联网中的智能控制设备和智能传感器之间的连接都通过无线完成。 相较于传统有线网络，无线网络的拓扑结构更为灵活，同时也满足了新型工业系统的发展需求。 在本文的工业物联网中，每个智能控制设备或智能传感器代表网络拓扑中的一个节点，两个节点之间如有连接，则这两个节点之间有一条连边。 因此，可以将本文中的工业物联网定义为：G=(V，E)， 其中 G 表示工业物联网，V 表示网络中节点的集合，E 表示网络中连边的集合。然而，在工业物联网实际运行当中，各种设备大都暴露在复杂的开放环境中，一些极端环境(如恶劣天气、地震等)可能会造成某些节点的损坏，进而破坏工业物联网的结构和功能。 除了这类对网络结构的随机破坏，工业物联网还可能受到一些蓄意攻击，几乎任何支持无线的设备都有可能受到黑客攻击，从冰箱之类的厨房电器到军用无人机，不一而足。蓄意攻击的类型具体包括篡改消息、伪造、拒绝服务等，这些攻击者大都选取工业物联网中较为重要的节点进行攻击，进而对整个工业物联网的结构和功能造成严重的破坏。 本文将对工业物联网受到蓄意攻击后的修复方法进行深入研究。选取两类典型的节点重要性判断方法作为蓄意攻击确定目标的依据：度攻击和介数攻击。

(1)度攻击

度(degree)[11]是复杂网络理论中最简单的度量指标之一。 节点i 的度值(degi)表示该节点连边的数量，可用邻接矩阵A 进行定义：

作为一种蓄意攻击方法，度攻击方法将优先攻击度值更大的节点。 由于该方法只考虑节点的连边数量，所以即使在非常大规模的网络中，度攻击方法仍具有极高的运行效率，方便攻击者进行判断。

(2)介数攻击

介数[12]是复杂网络中另一个常用的度量指标。两个不相邻的节点之间的信息传递是依靠这两个节点之间的路径完成的。 一个节点的介数值描述了该节点在对整个网络信息传递方面的重要程度。 节点 i 的介数值(bi)可以定义为：

其中，nxy表示节点 x 和y 之间的最短路径数量，nxy(i)表示节点 x 和 y 之间这些最短路径中经过节点 i 的数量。 类似于度攻击方法，介数攻击优先攻击介数值较大的节点。 在工业物联网中，介数值最大的节点设备将在信息传递、系统运行中起到更重要的作用。在现实应用中，介数攻击通常比度攻击更有效，因此，介数攻击相较于度攻击更为常见。

攻击者在攻击工业物联网时可以有不同的攻击目标，本文讨论的工业物联网受到攻击和待修复的结构和功能指标为网络的连通性和网络平均效率。 连通性是网络结构和功能最重要的度量指标之一，最大连通片中包含的节点个数是衡量网络连通性程度的指标。 因此，本文将最大连通片中包含的节点个数作为评价指标评估修复算法的效果。如图1所示，在节点“4”受到攻击后，网络的最大连通片规模由 11 个节点变为 4 个节点。

图1 最大连通片示意图

网络平均效率是另一个重要的网络性能指标。由于网络中最短路径是定义在相互连通的节点之间，使得其在描述网络功能时不够准确。 网络平均效率作为最短路径的一种拓展，可以表示为：

根据该定义表达形式，当网络中整体最短路径长度都较小时，该网络具有较大平均效率，进而网络传输信息效率较强。 本文算法中将用网络平均效率判断备选连边的修复效果，构建新的连边。

2 算法设计

鉴于工业物联网在面对不同外界攻击时展现的鲁棒性差异较大，本文中的修复算法将在修复过程中针对不同攻击特征构建新的连边。

区域化管理是在各个行业领域中常见的管理方式。 受区域化管理概念的启发，本文的修复算法将再修复过程中对仍处于正常状态下的节点进行分类，并以不同类别的节点集合为一个修复单元，在不同的修复单元之间重构新的连边进而恢复网络结构和功能。 社团划分是复杂网络研究领域内最常见的节点分类算法，工业物联网物联节点通过社团划分算法可以对网络中通信较为紧密的节点群进行识别。 因此，本文将通过社团划分算法将网络进行划分，并以社团结构为修复单元重新建立新的连接，进而修复网络结构，恢复网络功能。该优化算法中网络以社团结构为单位进行修复，每个社团结构内的节点可以共享信息，社团的代表节点之间将进行更高一层的信息传递。 本文仿真验证部分中所用的社团划分算法为常用的Louvain 算法[13]。 Louvain算法是基于模块度的社区发现算法，该算法在效率和效果上都表现比较好，并且能够发现层次性的社区结构，其优化的目标是最大化整个图属性结构(社区网络)的模块度。 模块度定义为：

其中，Aij代表节点 i 和 j 之间边的权重；ki是所有与节点 i 相连的边的权重之和；ci是节点 i 的集群号；σ(ci，cj)函数表示若节点 i 和 j 同在一个集群里，则返回值为1，否则返回 0。

在本文算法中，新的连边只生成于网络不同的社团之间，每个社团只选取一个代表节点与其他社团之间构建一条新的连边。 在选取节点的过程中，考虑到加入新构建的连边后仍处于之前的受损环境下，选取节点和建立连边的环节应该关注到该环境下的攻击特征，使得修复后的网络在面对该类攻击时具有更强的鲁棒性。 如前文所述，工业物联网受到的攻击大致可以分为两类：随机攻击和蓄意攻击，其中蓄意攻击中较为常见的为度攻击和介数攻击。 因此，在本文的算法设计中，将针对随机攻击、度攻击、介数攻击这三种攻击方式进行设计。

随机攻击：在面对随机攻击时，由于无标度网络具有较强的鲁棒性，所以在构建连边时，本文将设定网络中度值更大的节点更有可能作为代表节点，使得修复后的网络具有更强的无标度网络特性。

度攻击：在面对度攻击时，网络中度值较大的节点将被优先攻击，因此在构建连边时，本文将通过缩小网络中各个节点之间度值的差异，设定网络中度值更小的节点更有可能作为代表节点，使得修复后的网络具有较弱的无标度特性。

介数攻击：在面对介数攻击时，网络中介数值较大的节点将被优先攻击，所以在构建连边时，本文将通过减少介数值较大的节点获得与其他节点更多的直接连接，设定网络中介数值更小的节点更有可能作为代表节点，使得修复后的网络各节点间的介数值差异更小。

确定了每个社团的代表节点之后，这些代表节点之间就可以生成备选新建连边，并且通过每条备选连边对网络结构和功能的改善程度(网络平均效率增值Delta(E))判断该连边的优化效果。 由于信息传递是工业物联网的重要功能，本文算法对评价指标——传统的网络平均效率增值进行改进，考虑了网络中节点信息流量。 算法中，设定网络信息流量修复效果加成系数为F。 对于每一条备选新连边可具有两种情况：生成于同一连通片内的两个社团之间和生成于不同连通片的两个社团之间。

(1)同一连通片

由于这类连边不会改变网络中连通区域的大小，因此对于这类连边，信息流量修复效果加成系数 F 为 1，则修复效果：

(2)不同连通片

分别设这两个不同的连通片中传递的信息流量为 f1和 f2。 由于在衡量网络拓扑结构和信息流量时都只观察连通区域数值较大的连通片，因此对于生成于不同连通片之间的连边，可定义其信息流量加成系数为：

然后将信息流量加成系数结合到网络平均效率增值中，则修复效果为：

本文算法中，每次重新建立的新连边为备选连边中修复效果值Recovery 最大的连边。 在限定网络最多生成连边数量后，基于以上步骤，就可以得到受到该类攻击后网络的修复策略，具体如图2 所示。

图2 算法流程示意图

3 仿真验证

本节将使用基于攻击异常特征的工业物联网修复方法，通过重新建立少量新的连边，对两个模型网络进行修复，恢复网络的结构和功能。 选取两类具有不同结构的模型网络进行仿真验证：BA 网络和 WS 网络。

BA 网络[14]：在该模型网络中，网络的构建共有两个步骤：

(1)以一个具有m0个节点的全连通网络为基础，每次生成一个新的节点，该节点与网络中现有节点间建立m(m≤m0)条新的连边。

(2)当新的节点选择现有节点构建新连边时，它与现有节点i 构建连接的概率为

在t 时刻，以上两个步骤可以构建一个具有N=t+m0个节点的网络。 在本节仿真验证中，设定节点总数 N 为 200，m 为 3。

WS 网络[15]：在该模型网络中，网络的构建共有两个步骤：

(1)以一个具有N 个节点的环形规则网络为基础，在该网络中每个节点都和它左右两边各个节点进行连接。

(2)随机重连，网络中的每个连边都以概率p 随机重新连接，即连边的一个端点保持不变，另一个端点作为网络中随机选择的节点。 它规定，任何两个不同的节点最多只能有一条连边，每个节点不能有连接到自己的连边。

在 WS 网络中，当 p=0 时为规则网络，当 p=1时为随机网络。 WS 网络的结构与参数的大小直接相关。 在本节仿真验证中，设定节点总数 N 为 200，邻居节点数量为 4，重连边的概率p 为 30%。

图3 展示了本文仿真验证中使用的BA 网络和WS 网络的网络拓扑。

图3 模型网络示意图

首先，在基于攻击异常特征的工业物联网修复方法中，需要提前设定重新建立的新连边数量。 对于具有不同结构的网络以及面对不同外界攻击时，修复所需要的连边数量是不同的。 本文中设定，新加入的连边保证该网络在修复后与受损前的网络密度保持一致。 这样的设定既能使网络受到外界攻击后避免因其连边数量过低导致的网络功能较受干扰前降低过多，同时也能保证不会因为加入数量过多的连边使其超过网络可容纳量。 考虑到工业物联网在实际运行中，大多数情况下受到攻击的节点规模不会很大，所以本节只关注当受到外界攻击节点数量在20%时，工业物联网结构和功能修复的效果如何。 在前文中提到，网络的连通性(即最大连通片包含节点数量) 为本文中评价修复效果的指标。此外，由于不同的网络修复方法的基本思想有差别(如新建连边、新建节点、恢复节点、恢复连边、调整网络流量等)，因此本文仿真实验中不考虑不同修复方式的算法之间的修复效果对比，仅通过实验说明本文算法在不同类型网络和不同攻击方式下修复的有效性。

图4 展示了模型网络在受到规模为0%～20%的外界攻击时网络连通性的变化情况，其中三角形曲线表示修复前的网络连通性，圆形曲线表示修复后的网络连通性，方形曲线表示模型网络在受到对应规模的外界攻击时保持前后网络密度不变需要加入的新连边数量。 从图中可以直观看到，不论是在BA 网络还是 WS 网络中，经过修复的模型网络的连通性均有显著提高。 值得注意的是，在随机攻击下，BA 网络和WS 网络具有较高的鲁棒性，攻击后的网络连通性基本不受影响。 在度攻击和介数攻击下，随着受到攻击节点的规模不断增大，本文算法的修复效果也显著增大，其中，在 BA 网络中，修复后的网络连通性较修复前可提高超过20%。通过仿真验证表明，在具有不同网络结构的工业物联网中，本文算法都可以得到较好的修复效果，恢复网络的结构和功能。

图4 修复效果图

4 结论

本文针对工业物联网在实际运行中易受攻击的现象，提出了一种基于攻击异常特征的工业物联网修复方法，通过对受攻击网络结构进行社团划分，并在社团之间根据不同的攻击异常特征重新构建少量新的连边，修复网络，恢复工业物联网的结构和功能。 仿真结果表明，本文算法在具有不同结构的工业物联网中都具有较好的修复效果，提高了网络的抗毁性，为工业物联网的安全稳定运行提供了一种理论方法。