基于博弈论的天然气管网恐怖袭击脆弱性分析
黄丽达 , 陈建国 , 袁宏永 , 王岩     
清华大学 工程物理系, 公共安全研究院, 北京 100084
摘要:近年来,全球范围内的恐怖袭击事件愈演愈烈,恐怖势力开始蔓延至各个国家的中心城市。天然气管网作为城市中承载危险品的运输网络,极易成为袭击目标。基于此,该文对天然气管网的恐怖袭击脆弱性进行研究。为描述恐怖袭击事件中袭击者和防御者之间的对抗关系,以某市天然气管网为例,基于博弈理论和网络的最大流模型,建立天然气网络的攻防博弈模型,求解博弈双方策略的Nash均衡解,分析双方的最优策略选择。通过Monte Carlo模拟,分析随机攻击和最优策略攻击的差异。结果表明:对于最优策略攻击,攻击管道数目不同时最优攻击目标也不同,因此无法简单地给出各条管道受到恐怖袭击威胁的优先级,此外,绝大多数随机攻击对系统造成的损失很小。该研究可以为政府部门防范恐怖袭击提供决策支持。
关键词脆弱性    恐怖袭击    攻防博弈    天然气网络    最优化    
Terrorist attack vulnerability analysis of a natural gas network based on the Attacker-Defender game model
HUANG Lida, CHEN Jianguo, YUAN Hongyong, WANG Yan    
Institute of Public Safety Research, Department of Engineering Physics, Tsinghua University, Beijing 100084, China
Abstract: In recent years, terrorist attacks have become even more violent all over the world and terrorist forces have begun to spread to urban cities. Natural gas pipeline networks carrying hazardous materials in cities are easy targets for attacks. This study analyzes the vulnerability of a natural gas network to terrorist attacks. The adversary relationship between the attackers and defenders is modeled for a specfic natural gas transmission system using an attack-defense game based on game theory and the maximum-flow model of networks. The Nash equilibrium of the game strategy is used to analyze the optimal strategy choices of both parties. Monte Carlo simulations are used to compare the differences between random attacks and the optimal attack. The results show that the optimal attack targets differ for different numbers of pipelines, so it is impossible to rank the terrorist threat to pipelines. Additionally, most random attacks have little impact on the system. The conclusions in this paper can provide guidelines reference for government departments to mitigate the effects of terrorist attacks.
Key words: vulnerability     terrorist attacks     attacker-defender     natural gas network     optimization    

基础设施(infrastructure)泛指为社会生产和人民生活提供公共服务的物质工程设施,包括供水系统、天然气系统、供电系统、交通系统、通讯系统等。随着社会的日益发展,基础设施系统在社会经济中发挥的作用也越来越重要。然而,由于基础设施自身的关联性,一旦发生破坏将大面积蔓延,如2003年美国东北部地区和加拿大东部地区出现的大范围停电,造成1 400万人受灾,导致了严重的社会经济损失。近年来全球范围内的恐怖袭击事件愈演愈烈,恐怖势力开始蔓延至各个国家的中心城市。在这样的背景下,越来越多的人开始关注基础设施的恐怖袭击风险研究。

概率风险分析(probabilistic risk analysis, PRA)是研究基础设施恐怖袭击风险的一种常见方法[1-2],美国国土安全部(Department of Homeland Security, DHS)曾对此方法开展了广泛的研究[3]。PRA源于自然灾害和非蓄意事故风险分析,该方法认为“风险=威胁×脆弱性×后果(Risk=Threat×Vulnerability×Consequence)”。其中威胁指某种特定攻击的概率;脆弱性指该攻击成功的概率;后果指成功的攻击造成的损失,包括人员伤亡、经济损失等。PRA方法要求所有的概率作为静态输入,以基础设施为例,即要求系统某部件X受到袭击的概率已知,X在袭击下失效的条件概率已知。

越来越多的研究发现PRA方法无法模拟攻击者的智能行为[4-7],于是人们开始将目光转向博弈论方法。目前有不少学者基于博弈理论研究基础设施的恐怖袭击问题,他们采用的博弈模型有“攻击-防卫(attacker-defender)”模型[8-9]和“防卫-攻击-防卫(defender-attacker-defender)”模型[10-11]。这些模型广泛应用于各类基础设施系统,包括燃料供应网络[12]、运输网络[13-14]、电网[15-16]以及军事网络[17]等。

本文以天然气运输网络为例,基于攻击-防御博弈模型和网络的最大流模型进行建模,并利用对偶原理求解非线性最优化问题,给出网络的最优攻防决策,从而为政府部门提供天然气运输网络的建设和管理措施参考。

1 问题描述和数学建模 1.1 攻防博弈模型

假设恐怖分子在了解目标网络基本分布的情况下选择袭击方式,政府可以通过调整网络流量分布进行防御。双方的攻防博弈问题表示如下[14]

$ \mathop {\min }\limits_{x \in X} \mathop {\max }\limits_{y \in Y\left( x \right)} f\left( {x, y} \right). $ (1)

其中f(x, y)指系统的性能函数,对于本文研究的天然气运输系统,其性能函数表示系统的总流量。在攻击阶段,恐怖分子选择攻击方式xX, 使f(x)最小;在防御阶段,政府根据恐怖分子的攻击方式选择防御策略yY(x),使f(x, y)最大。这是一个两阶段序贯博弈问题,即Stackelberg博弈,该问题存在Nash均衡解。

1.2 数学建模

作为典型的网络流,天然气网络有以下特点:容量限制,即每条边容量有限;反对称性,即边的流向可以改变;流量平衡,即除源点和汇点外的任意节点,流入该节点的流量和等于流出该节点的流量和。最大流问题即在满足网络流性质的情况下,使源点到汇点的流量最大。网络中某些管道遭受袭击后,管理部门可以通过调节管道流向,使得网络的总流量最大。假设i, jN为网络中的节点,n=|N|为所有的节点数目;s, t分别为网络的源点和汇点;Ei, j之间的无向边集合,Ai指向j的有向弧集合。则模型的数学表达如下[14]

$ \mathop {\min }\limits_X \mathop {\max }\limits_Y {Y_{t, s}} - \sum\limits_{\left( {i, j} \right) \in E} {\left( {{v_{i, j}}{Y_{i, j}} + {v_{j, i}}{Y_{j, i}}} \right)} {X_{i, j}}; $ (2)
$ \begin{array}{l} {\rm{s}}{\rm{.t}}\\ \;\;\;\;\;\;\;\;\sum\limits_{\left( {i, j} \right) \in A} {{Y_{i, j}} - \sum\limits_{\left( {j, i} \right) \in A} {{Y_{j, i}}} = 0, \forall i, j \in N;} \end{array} $ (3)
$ 0 \le {Y_{i, {\rm{ }}j}} + {Y_{j, {\rm{ }}i}} \le {u_{i, {\rm{ }}j}}, \forall \left( {i, {\rm{ }}j} \right) \in E; $ (4)
$ {X_{i, {\rm{ }}j}} = {X_{j, {\rm{ }}i}}, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E; $ (5)
$ \sum\limits_{\left( {i, {\rm{ }}j} \right) \in E} {{X_{i, {\rm{ }}j}} \le {\rm{num\_attacks}} \times 2;} $ (6)
$ {X_{i, {\rm{ }}j}} \in \left\{ {0, 1} \right\}, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E. $ (7)

其中:Yi, j表示弧的流量;Yt, s表示汇点流向源点的虚拟流量,该值的引入是为了使所有节点满足式(3)。二进制变量Xi, j表示边是否被袭击,若Xi, j=1则遭受袭击,若为0则未受袭击;num_attacks表示遭受袭击的边的总数;uij表示边(i, j)能承载的最大流量;vij表示边(i, j)遭受袭击时单位流量的惩罚因子;vi, j=0表示流量通过受袭击的边时不会受到惩罚,即可认为该边无懈可击;0 < vi, j < 1表示流量通过受袭击的边时受到的惩罚小于获得的收益;vi, j > 1则表示流量通过受袭击的边时受到的惩罚大于获得的收益;本文选取vi, j=2。

上述min-max模型的内部(最大化)问题属于非线性优化问题,方便起见,本文将应用对偶原理求解。

1.3 模型求解

将内部最大化问题进行对偶转换后,等价问题如下所示:

$ \mathop {\max }\limits_{\alpha, \beta, X} \sum\limits_{\left( {i, j} \right) \in E} {{u_{i, j}}{\beta _{i, j}};} $ (8)
$ \begin{array}{l} {\rm{s}}{\rm{.t}}{\rm{.}}\\ \;\;\;{\alpha _i} - {\alpha _j} + {\beta _{i, {\rm{ }}j}} + {v_{i, {\rm{ }}j}}{X_{i, {\rm{ }}j}} \ge 0, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E; \end{array} $ (9)
$ {\alpha _j} - {\alpha _i} + {\beta _{j, {\rm{ }}i}} + {v_{j, {\rm{ }}i}}{X_{i, {\rm{ }}j}} \ge 0, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E; $ (10)
$ {\alpha _t} - {\alpha _s} + {\beta _{t, {\rm{ }}s}} \ge 1; $ (11)
$ {X_{i, {\rm{ }}j}} = {X_{j, {\rm{ }}i}}, \forall \left( {i, {\rm{ }}j} \right) \in E; $ (12)
$ \sum\limits_{\left( {i, {\rm{ }}j} \right) \in E} {{X_{i, {\rm{ }}j}} \le {\rm{num\_attacks}} \times 2;} $ (13)
$ {\alpha _s} = 0; $ (14)
$ {\beta _{i, {\rm{ }}j}} \ge 0, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E; $ (15)
$ {X_{i, {\rm{ }}j}} \in \left\{ {0, {\rm{ }}1} \right\}, {\rm{ }}\forall \left( {i, {\rm{ }}j} \right) \in E. $ (16)

式(9)—(11) 中关于α的约束都是两两差值,给所有的α同时增加一个常数仍然满足约束条件,即没有唯一解,因此本文引入αs=0作为补充约束[18]。上述对偶问题属于混合整数线性规划问题(mixed integer linear programming, ILP)。采用运筹优化软件LINGO,对上述ILP问题进行求解得到最优攻击方案$ \hat x $,将其代入$ \mathop {\max }\limits_{y \in Y\left( {\hat x} \right)} \left( {\hat x, y} \right) $,即可得到最优防御策略$ \hat y $,也为攻防博弈模型的平衡解。

2 实例计算 2.1 某天然气管网概况

图 1为某市天然气传输网络示意图。网络中共有265个节点,其中包括5个源点(门站)、185个传输节点(连接点)和75个汇点(输配站)。这些节点由339条线连接,包括6条高压A级管道(直径1 m)、48条高压B级管道(直径0.7 m)、194条次高压管道(直径0.5 m)和91条低压管道(直径0.3 m)。管道的承载能力与其直径相关,本文假设负载c=Dr,其中D指管道直径,r=2.5[19]

图 1 某市天然气运输网络

2.2 计算结果及分析

本文探讨袭击资源对袭击结果的影响。分别求解num_attacks=1, 2, …, 9时的min-max模型,可以得到随着攻击管道数目的增多,在最坏攻击情况下天然气运输网络的最大流量变化情况,如图 2所示,其中最大流量为相对大小,单位为1。结果表明:最坏攻击情况下,网络的最大流量和攻击管道数目之间近似呈线性关系,随着攻击管道数目的增多,网络的最大流量逐渐变小,当攻击数目为9时,网络的流量即可降为0。恐怖分子在最优攻击策略下,只需要攻击天然气运输网络中的9条管道,即可使整个网络瘫痪。

图 2 最坏攻击情况下天然气运输网络的最大流量变化

本文将图 2中拟合得到的曲线称为系统的恐怖袭击脆弱性曲线。图 3给出了3种典型的系统脆弱性曲线。由图 3可知,随着攻击数目的增多,性能曲线A的下降速度最慢,曲线C的下降速度最快。本文研究的天然气网络的脆弱性曲线与曲线B类似。为降低系统的脆弱性,应合理设计系统的结构并保留适当的冗余,使得系统的脆弱性曲线更接近于曲线A

图 3 典型的恐怖袭击脆弱性曲线

表 1给出了在不同的最坏攻击情况下,恐怖分子攻击的管道编号。可以看出,随着攻击管道数的增多,攻击管道的集合并不是简单的包含关系,即攻击数目为(k+1) 时攻击管道的集合并不一定包含攻击数目为k时攻击的所有管道。这一结果表明:简单给出各条管道受到恐怖袭击威胁优先级的想法是不可行的。此外,所有的最坏攻击策略都包括管道(80, 81),即该管道在整个网络中最为脆弱,在防御资源有限的情况下,政府部门应加强对该管道的布防。

表 1 不同的最坏攻击情况下攻击管道的编号
攻击数目 最大流量 攻击管道
0 89.194
1 69.194 (80, 81)
2 60.995 (80, 81) (261, 265)
3 49.194 (80, 81) (211, 212) (212, 265)
4 40.995 (80, 81) (211, 212) (212, 265) (258, 260)
5 32.796 (80, 81) (211, 212) (212, 265) (252, 253) (261, 265)
6 24.597 (80, 81) (211, 212) (212, 265) (252, 253) (261, 265) (131, 132)
7 16.398 (80, 81) (211, 212) (212, 265) (252, 253) (261, 265) (6, 7) (6, 11)
8 8.199 (80, 81) (211, 212) (212, 265) (252, 253) (261, 265) (131, 132) (6, 7) (6, 11)
9   0 (80, 81) (211, 212) (212, 265) (252, 253) (261, 265) (131, 132) (6, 7) (6, 11) (252, 258)

在实际恐怖袭击时,受到情报信息和掌握知识的限制,恐怖分子很可能采取随机攻击的方式。为了分析随机攻击和最佳策略攻击的差别,本文采用随机抽样的方法对攻击数目为1~9的9种攻击策略,分别进行10 000次模拟,模拟过程中假设每条边受到攻击的概率相同且彼此独立,结果如图 45所示。图 4给出了随机攻击和最优策略攻击的最大流量对比,图 5给出了不同攻击数目下随机攻击的结果分布。可以看出,大部分随机攻击对网络最大流量的影响较小。另外,随机攻击与最优策略攻击的结果存在差异:当攻击数目较小时,随机攻击可以达到或接近最优策略攻击的结果;随着攻击数目的增加,最优策略攻击与随机攻击的结果差异越来越大。这是因为攻击数目较小时,10 000次抽样几乎可以枚举所有可能的攻击策略,而随着攻击数目的增加,可能的攻击策略越来越多(攻击数目为4时,攻击策略有8.22×1010种),而只有极少数的策略能够达到或接近最优效果,因此抽样法很难模拟出最优攻击效果。

图 4 随机攻击和最优策略攻击的最大流量对比

图 5 随机攻击的结果

图 45的结果表明,随机攻击能够对网络造成巨大损失的可能性微乎其微,因此网络的结构信息对恐怖分子而言非常重要。政府部门必须将这些信息严加保密,以防被恐怖分子掌握利用。此外,Monte Carlo模拟方法计算量巨大而且很难快速找到系统的最优攻击策略,相比之下求解博弈模型更加迅速可靠。

3 结论

本文针对恐怖袭击下的天然气管网的脆弱性进行研究。基于博弈理论,对恐怖分子和政府部门双方之间的攻防博弈进行建模,通过求解Nash均衡解,分析双方的最优策略选择。基于上述工作,本文得出如下主要结论:1) 不同攻击资源下恐怖分子的最优攻击策略不同,政府部门无法给出天然气网络中各条管道受到恐怖袭击威胁的优先级。在防御资源有限的条件下应该重点防御在所有最优攻击策略中出现次数较多的管道。2) 绝大多数随机攻击对系统造成的损失很小,几乎可以忽略不计。因此天然气管网的结构信息对恐怖袭击的成功实施非常重要,政府部门需要对这些信息严加保密,以防被恐怖分子利用。本文使用的系统性能函数是最大流模型,适用于互联网、石油管道、物流运输网络等网络基础设施。未来可针对其他形式的系统性能函数给出更为普适的求解方法,下一步研究还可考虑在袭击发生前采取加固管网、增加设计冗余等防御措施,此时应当采用“防卫-攻击-防卫(D-A-D)”模型。

参考文献
[1] Garrick B J, Hall J E, Kilger M, et al. Confronting the risks of terrorism:Making the right decisions[J]. Reliability Engineering & System Safety, 2004, 86(2): 129–176.
[2] Ezell B C, Bennett S P, Von Winterfeldt D, et al. Probabilistic risk analysis and terrorism risk[J]. Risk Analysis, 2010, 30(4): 575–589. DOI:10.1111/risk.2010.30.issue-4
[3] Chertoff M. National Infrastructure Protection Plan[R]. Washington DC:Department of Homeland Security (DHS), 2009.
[4] Cox Jr L A T. Some limitations of "Risk=Threat×Vulnerability×Consequence" for risk analysis of terrorist attacks[J]. Risk Analysis, 2008, 28(6): 1749–1761. DOI:10.1111/risk.2008.28.issue-6
[5] Cox Jr L A T. Improving risk-based decision making for terrorism applications[J]. Risk Analysis, 2009, 29(3): 336–341. DOI:10.1111/risk.2009.29.issue-3
[6] Brown G G, Cox Jr L A T. How probabilistic risk assessment can mislead terrorism risk analysts[J]. Risk Analysis, 2011, 31(2): 196–204. DOI:10.1111/j.1539-6924.2010.01492.x
[7] Brown G G, Cox Jr L A T. Making terrorism risk analysis less harmful and more useful:Another try[J]. Risk Analysis, 2011, 31(2): 193–195. DOI:10.1111/j.1539-6924.2010.01563.x
[8] Brown G, Carlyle M, Salmeron J, et al. Analyzing the vulnerability of critical infrastructure to attack and planning defenses[C]//Tutorials in Operations Research:Emerging Theory, Methods, and Applications. San Francisco, CA, USA:Informs, 2005:102-123.
[9] Brown G, Carlyle M, Salmeron J, et al. Defending critical infrastructure[J]. Interfaces, 2006, 36(6): 530–544. DOI:10.1287/inte.1060.0252
[10] Alderson D L, Brown G G, Carlyle W M. Assessing and improving operational resilience of critical infrastructures and other systems[C]//Tutorials in Operations Research:Bridging Data and Decision. San Francisco, CA, USA:Informs, 2014:180-215.
[11] Alderson D L, Brown G G, Carlyle W M. Operational models of infrastructure resilience[J]. Risk Analysis, 2015, 35(4): 562–586. DOI:10.1111/risa.2015.35.issue-4
[12] Ileto J V. Improving Resiliency of the Petroleum Supply Chain for the Hawaiian Islands[D]. Monterey:Naval Postgraduate School, 2011.
[13] De la Cruz C F. Defending the Maritime Transport of Cargo for the Hawaiian Islands[D]. Monterey:Naval Postgraduate School, 2011.
[14] Alderson D L, Brown G G, Carlyle W M, et al. Sometimes there is no most-vital arc:Assessing and improving the operational resilience of systems[J]. Military Operations Research, 2013, 18(1): 21–37. DOI:10.5711/1082598318121
[15] Salmerom J, Wood K, Baldick R. Analysis of electric grid security under terrorist threat[J]. IEEE Transactions on Power Systems, 2004, 19(2): 905–912. DOI:10.1109/TPWRS.2004.825888
[16] Salmerom J, Wood K, Baldick R. Worst-case interdiction analysis of largescale electric power grids[J]. IEEE Transactions on Power Systems, 2009, 24(1): 96–104. DOI:10.1109/TPWRS.2008.2004825
[17] Long C. Analyzing the Resilience of the US Military Fuel Distribution System for Mainland Japan[D]. Monterey:Naval Postgraduate School, 2013.
[18] Ahuja R K, Magnanti T L, Orlin J B. Network Flows:Theory, Algorithms, and Applications[M]. Englewood Cliffs: Prentice Hall, 1993.
[19] Carvalho R, Buzna L, Bono F, et al. Robustness of trans-European gas networks[J]. Physical Review E, 2009, 80(1): 016106. DOI:10.1103/PhysRevE.80.016106