钱文海，张 勃，周晶晶，薛朝辉

（中国人民公安大学 信息网络安全学院，北京 100038）

0 引 言

实物保护系统（PPS）是一套完整的物理保护措施，主要具有4个基本功能：进入控制、入侵检测、延迟敌手和响应入侵行为，目的是为了有效保护核设施防止恶意行为的完成。1970年，SNL开发了一名为“敌方序列中断估计EASI（Estimation of Adversary Sequence Interruption）”的PPS效能评估方法，通过计算检测、延迟、响应和通信性能值，得出敌手某一条路径的中断概率，从而评估实物保护系统面临的安全风险。首先，对实物保护系统建立入侵序列图；其次，对探测、延迟、响应和通信进行分析；最后，计算中断入侵的可能性。虽然EASI模型一次只能分析单条入侵路径，但可以定量地描述在特定路径中改变实物防护参数所产生的影响，能够快速对量化数据进行计算，分析该路径实物保护系统中各模块与时间之间的关系。SNL在EASI模型基础上开发了 SAVI（Systematic Analysis of Vulnerability to Intrusion）评估软件，使用EASI算法预测系统性能，对所有入侵路径进行全方位的分析，实现对10条最薄弱的路径进行排列计算。2006年，SNL开发了一个恶意入侵基础设施的模型，该模型使用了系统结构的网络表示和敌手入侵过程和策略的马尔可夫模型。胡瑞敏通过寻优方法找到薄弱路径，利用熵理论计算节点防护性能进行系统评估；Subil等人提出了一种随机使用攻击图定义一套补充的量化指标来描述网络攻击的过程，将入侵序列图转为吸收马尔可夫链，用于网络系统的安全量化；王洪萍等通过改进入侵序列图将关键基础设施转化为安防网络，再经过失效模式计算所有路径的风险值，从而确定薄弱路径；刘宇在实物保护系统中引入系统动力学方法，构建人防、物防、技防、安全管理、响应等五维影响因子关系图；王清清从探测、延迟、响应3方面量化系统的有效性、响应能力以及延迟能力，发现薄弱路径和薄弱环节。上述实物保护系统效能的定量评估方法都是以路径为单位分析系统效能。针对此问题，本文提出一种以分析保护元件重要性的节点分析方法，不考虑入侵行为，仅以概率为特征描述行为的成功与失败，从而确定关键节点，进而分析整体系统的效能。本文首先对EASI模型和马尔可夫链进行了简要介绍，采用国际原子能机构研究所核设施数据进行分析。

1 基于马尔可夫链与EASI模型的实物保护系统效能评估方法

1.1 EASI模型的计算方法

EASI模型的核心思想是通过计算探测、延迟和所需的响应与警报成功概率等数据，定量的分析系统拦截入侵者入侵成功的可能性。保护元件探测的入侵概率为P（D），式（1）。

其中，P（D）为敌方入侵活动被传感器探测到的概率；P（D）为传感器将探测到的入侵活动转换为报警信息的概率；P（D）为传感器正确报警的概率。

探测延迟与响应之间的关系如图1所示。T为第一个警报之前的时间；T为有效警报的时间；T为响应力量中断入侵行为的时间；T为入侵完成时间。为使PPS完成保护任务，应使T＞T。

Sandia测试已经表明时间的标准偏差可以保守估计为平均值的30%，这些假设同样适用于延迟时间，即标准偏差与每个平均时间有关，而且标准偏差可以近似使用平均值的±30%。

通过对Sandia National Laboratries设计和实现的系统的评估表明，大多数的系统的警报复核概率P（C）至少为0.95。响应力量的通知被称为警报P（A），警报的可能性为式（2）：

图1 探测延迟与响应的关系Fig.1 Relationship between probe delay and response

在只有单个探测感应器或其他探测方法的情况下，中断入侵的可能为式（3）：

入侵行动的发生由一个起点、一系列的探测传感器、障碍延迟及一个终点组成。障碍延迟是入侵必须完成的任务。如果当一个传感器从探测到入侵行动直到完成时的时间，是中断力量的响应时间，则遏制敌方的必要条件是延迟时间（TR）必须大于中断响应时间（R F T），式（4）：

随机变量TR和R F T是独立且符合正态分布的，则随机变量X也符合正态分布，式（5）：

因为这个方法考虑了入侵的剩余时间，入侵路线中p点的延迟时间E（TR）要考虑到终点路径的每个保护元件的延迟时间。由于每个保护元件的突破时间和保护元件间的通过时间是随机变量，所以从任意点p点到终点n的期望时间为式（9）：

其中，E（TAD）为在p点的侦测时间，E（T）为入侵任务i的预计执行时间。

如果探测和延迟都存在一个组件中，探测将会发生在延迟之前、延迟结束后或两者之间。当位置为时，延迟时间使用平均延迟时间确定；当位置为时，延迟时间设为0；当位置为M时，延迟时间是平均值的一半，则有式（10）：

假设每个任务是独立的，其余的点和终端点之间的路径时间的方差，式（11）：

对于两个或更多的探测器，基于类似推理的（）的通用公式为式（13）：

1.2 吸收马尔可夫链的应用

公式（5）中是恒定值，并且需要在每个保护元件处计算剩余时间（）。对于的计算，本文提出了一种利用Floyd最短路径算法计算入侵最短路径，以此反推入侵剩余时间的最小值。详细计算过程如下：

以延迟时间建立一个带权有向图，并用邻接矩阵［］［］表示，矩阵中的数字表示节点之间的距离，若节点相互之间不可到达，则用∞表示。此时的邻接矩阵表示的是节点之间不经过其他节点直接连通的距离，之后逐步在节点之间路径加入节点作为中转站，比较［］［］和［］［1］［1］［］的大小，将最小值作为新的［］［］的值。

每迭代一次矩阵更新一次，此时可得从每个保护元件到入侵结束的最短路径，并根据此路径由公式（8）可计算每个保护元件的（），进而由公式（2）与公式（3）计算得出每个保护元件的中断概率矩阵。

将矩阵作为马尔可夫链吸收态的原始输入矩阵，其中马尔科夫链的状态转移矩阵为式（14）：

其中，为中断概率的状态转移概率矩阵；为单位矩阵；为过渡态到吸收态的状态转移概率矩阵，并且吸收态不可转为过渡态，故矩阵左下角为0矩阵。

（）表示经过步转换的状态转移概率矩阵，则有式（15）：

向量中的元素值表示从当前状态出发到达吸收态的平均转移次数。

2 基于马尔可夫链EASI模型的实物保护系统效能评估方法分析过程

通过利用马尔可夫链吸收态找到系统关键节点，通过提升节点探测概率或增加延长时间，在一定程度上提升了系统整体防护效能。

2.1 建立入侵序列图

评估数据根据国际原子能机构研究所提供的核设施数据进行实验，根据数据建立核设施场地的布局如图2所示。

图2 核设施场地的布局Fig.2 Layout of nuclear facility site

根据图2建立该核设施入侵序列图，如图3所示。图3中保护元件的相关探测概率与延迟时间见表1。

图3 核设施入侵序列图Fig.3 Sequence diagram of nuclear facility intrusion

表1中延时类型分为B、M、E 3种。B表示在延迟起作用前探测到入侵；M表示在延迟中时探测到入侵；E表示在延迟结束后探测到入侵。根据SNL实验室确定标准差为的30%，成功报警概率为95%，警卫的平均响应时间为700 s。

表1 各区域和保护元件探测和延时信息Tab.1 Detection and delay information for each zone and protection element

2.2 基于马尔科夫链计算关键节点

以延迟为边权值，利用floyd计算得出敌手处于每个保护元件时的入侵最短路径，从而得出所剩入侵最短时间，为定植，则每个保护元件的最小值与（）见表2：

表2 保护元件的最小TR值与P（R｜A）Tab.2 The smallest TR values of protection device and the P（R｜A）

根据式（3），此时敌手处于每个保护元件时的中断概率为：

矩阵M表示保护元件失效期望，期望越高此保护元件重要性越高，根据矩阵M可知最重要的保护元件依次为18-14-8-4。在实物保护中，同等重要程度的保护元件越靠进入侵起点的保护元件重要性越高，从入侵模型来看，4、8、14、18是敌手必须击败的领域。

对于此PPS，有90条入侵路径。如果敌手的初始入侵区域不确定，则敌手路径将增加更多。

从T矩阵可以看出，在不同的初始区域，敌手到达目标的期望路径长度有很大的不同。平均攻击长度为4.7222，这意味着对手需要击败4.7222个保护元素才能完成入侵任务。

计算从每个保护元件选择目标状态的概率：

B矩阵表示敌手从保护元件（非吸收状态）侵入时的目标选择的概率。由于此PPS只有一个吸收态，故选择概率为1。

此时计算得出实物保护系统中的关键保护元件节点为4，因此应首先考虑改进保护元件4来提升实物保护系统防护能力。

2.3 基于EASI计算中断概率

改进前根据EASI模型计算最薄弱路径中断概率见表3。

表3 改进前最薄弱路径中断概率Tab.3 Probability of weakest path interruption before improvement

将保护元件4的探测概率从0.02提高至0.6后，其中断概率见表4。

表4 改进后最薄弱路径中断概率Tab.4 Improved weakest path interrupt probability

改进后最薄弱路径中断概率可提升4.12个百分点。全部路径的中断概率与提升前后对比如图4所示，其中路径中断概率最少提升0.3个百分点，最大提升5.37个百分点，全路径中断概率平均提升2.78个百分点。

图4 升级前后拦截概率对比Fig.4 Comparison of intercept probability before and after upgrade

升级PPS的保护元件或采取保护措施以提升PPS的防护效能时，可能花费高昂的成本才能使防护性能提高几个百分点，但找到关键的保护元件，采取特定的针对措施提升保护元件的效能，可以实现以较小的花费达到理想的结果。本文方法可以科学找出系统关键保护元件，提升实物保护系统的整体防护能力。

3 结束语

针对实物保护系统定量评估的不足，本文提出了一种基于马尔可夫链与EASI模型相结合的实物保护系统效能评估方法。首先，根据实物保护系统建立敌手入侵序列图，利用floyd算法计算每个保护元件到入侵终点的最短路径，考虑到敌手入侵的复杂过渡难以分析，则以非中断概率作为转移矩阵计算转移概率得出重要节点，以提升节点效能分析整体PPS效能的提升度，考虑到PPS防护节点的关键性，以最小的效能比实现整体防护性能的升级。通过在国际原子能机构研究所公开的场景和数据上评估计算，找到关键的保护元件，采取特定的针对措施提升保护元件的效能。相比于传统路径分析方法，通过对关键保护原件的升级可大幅度提升整体防护系统的防护效能，在提高PPS的防护性能同时很大程度上节约了成本。该方法可以帮助设计与管理人员快速发现系统薄弱点，为系统防护升级提供参考依据。