錢文海，張 勃，周晶晶，薛朝輝

（中國人民公安大學 信息網(wǎng)絡(luò)安全學院，北京 100038）

0 引 言

實物保護系統(tǒng)（PPS）是一套完整的物理保護措施，主要具有4個基本功能：進入控制、入侵檢測、延遲敵手和響應(yīng)入侵行為，目的是為了有效保護核設(shè)施防止惡意行為的完成。1970年，SNL開發(fā)了一名為“敵方序列中斷估計EASI（Estimation of Adversary Sequence Interruption）”的PPS效能評估方法，通過計算檢測、延遲、響應(yīng)和通信性能值，得出敵手某一條路徑的中斷概率，從而評估實物保護系統(tǒng)面臨的安全風險。首先，對實物保護系統(tǒng)建立入侵序列圖；其次，對探測、延遲、響應(yīng)和通信進行分析；最后，計算中斷入侵的可能性。雖然EASI模型一次只能分析單條入侵路徑，但可以定量地描述在特定路徑中改變實物防護參數(shù)所產(chǎn)生的影響，能夠快速對量化數(shù)據(jù)進行計算，分析該路徑實物保護系統(tǒng)中各模塊與時間之間的關(guān)系。SNL在EASI模型基礎(chǔ)上開發(fā)了 SAVI（Systematic Analysis of Vulnerability to Intrusion）評估軟件，使用EASI算法預測系統(tǒng)性能，對所有入侵路徑進行全方位的分析，實現(xiàn)對10條最薄弱的路徑進行排列計算。2006年，SNL開發(fā)了一個惡意入侵基礎(chǔ)設(shè)施的模型，該模型使用了系統(tǒng)結(jié)構(gòu)的網(wǎng)絡(luò)表示和敵手入侵過程和策略的馬爾可夫模型。胡瑞敏通過尋優(yōu)方法找到薄弱路徑，利用熵理論計算節(jié)點防護性能進行系統(tǒng)評估；Subil等人提出了一種隨機使用攻擊圖定義一套補充的量化指標來描述網(wǎng)絡(luò)攻擊的過程，將入侵序列圖轉(zhuǎn)為吸收馬爾可夫鏈，用于網(wǎng)絡(luò)系統(tǒng)的安全量化；王洪萍等通過改進入侵序列圖將關(guān)鍵基礎(chǔ)設(shè)施轉(zhuǎn)化為安防網(wǎng)絡(luò)，再經(jīng)過失效模式計算所有路徑的風險值，從而確定薄弱路徑；劉宇在實物保護系統(tǒng)中引入系統(tǒng)動力學方法，構(gòu)建人防、物防、技防、安全管理、響應(yīng)等五維影響因子關(guān)系圖；王清清從探測、延遲、響應(yīng)3方面量化系統(tǒng)的有效性、響應(yīng)能力以及延遲能力，發(fā)現(xiàn)薄弱路徑和薄弱環(huán)節(jié)。上述實物保護系統(tǒng)效能的定量評估方法都是以路徑為單位分析系統(tǒng)效能。針對此問題，本文提出一種以分析保護元件重要性的節(jié)點分析方法，不考慮入侵行為，僅以概率為特征描述行為的成功與失敗，從而確定關(guān)鍵節(jié)點，進而分析整體系統(tǒng)的效能。本文首先對EASI模型和馬爾可夫鏈進行了簡要介紹，采用國際原子能機構(gòu)研究所核設(shè)施數(shù)據(jù)進行分析。

1 基于馬爾可夫鏈與EASI模型的實物保護系統(tǒng)效能評估方法

1.1 EASI模型的計算方法

EASI模型的核心思想是通過計算探測、延遲和所需的響應(yīng)與警報成功概率等數(shù)據(jù)，定量的分析系統(tǒng)攔截入侵者入侵成功的可能性。保護元件探測的入侵概率為P（D），式（1）。

其中，P（D）為敵方入侵活動被傳感器探測到的概率；P（D）為傳感器將探測到的入侵活動轉(zhuǎn)換為報警信息的概率；P（D）為傳感器正確報警的概率。

探測延遲與響應(yīng)之間的關(guān)系如圖1所示。T為第一個警報之前的時間；T為有效警報的時間；T為響應(yīng)力量中斷入侵行為的時間；T為入侵完成時間。為使PPS完成保護任務(wù)，應(yīng)使T＞T。

Sandia測試已經(jīng)表明時間的標準偏差可以保守估計為平均值的30%，這些假設(shè)同樣適用于延遲時間，即標準偏差與每個平均時間有關(guān)，而且標準偏差可以近似使用平均值的±30%。

通過對Sandia National Laboratries設(shè)計和實現(xiàn)的系統(tǒng)的評估表明，大多數(shù)的系統(tǒng)的警報復核概率P（C）至少為0.95。響應(yīng)力量的通知被稱為警報P（A），警報的可能性為式（2）：

圖1 探測延遲與響應(yīng)的關(guān)系Fig.1 Relationship between probe delay and response

在只有單個探測感應(yīng)器或其他探測方法的情況下，中斷入侵的可能為式（3）：

入侵行動的發(fā)生由一個起點、一系列的探測傳感器、障礙延遲及一個終點組成。障礙延遲是入侵必須完成的任務(wù)。如果當一個傳感器從探測到入侵行動直到完成時的時間，是中斷力量的響應(yīng)時間，則遏制敵方的必要條件是延遲時間（TR）必須大于中斷響應(yīng)時間（R F T），式（4）：

隨機變量TR和R F T是獨立且符合正態(tài)分布的，則隨機變量X也符合正態(tài)分布，式（5）：

因為這個方法考慮了入侵的剩余時間，入侵路線中p點的延遲時間E（TR）要考慮到終點路徑的每個保護元件的延遲時間。由于每個保護元件的突破時間和保護元件間的通過時間是隨機變量，所以從任意點p點到終點n的期望時間為式（9）：

其中，E（TAD）為在p點的偵測時間，E（T）為入侵任務(wù)i的預計執(zhí)行時間。

如果探測和延遲都存在一個組件中，探測將會發(fā)生在延遲之前、延遲結(jié)束后或兩者之間。當位置為時，延遲時間使用平均延遲時間確定；當位置為時，延遲時間設(shè)為0；當位置為M時，延遲時間是平均值的一半，則有式（10）：

假設(shè)每個任務(wù)是獨立的，其余的點和終端點之間的路徑時間的方差，式（11）：

對于兩個或更多的探測器，基于類似推理的（）的通用公式為式（13）：

1.2 吸收馬爾可夫鏈的應(yīng)用

公式（5）中是恒定值，并且需要在每個保護元件處計算剩余時間（）。對于的計算，本文提出了一種利用Floyd最短路徑算法計算入侵最短路徑，以此反推入侵剩余時間的最小值。詳細計算過程如下：

以延遲時間建立一個帶權(quán)有向圖，并用鄰接矩陣［］［］表示，矩陣中的數(shù)字表示節(jié)點之間的距離，若節(jié)點相互之間不可到達，則用∞表示。此時的鄰接矩陣表示的是節(jié)點之間不經(jīng)過其他節(jié)點直接連通的距離，之后逐步在節(jié)點之間路徑加入節(jié)點作為中轉(zhuǎn)站，比較［］［］和［］［1］［1］［］的大小，將最小值作為新的［］［］的值。

每迭代一次矩陣更新一次，此時可得從每個保護元件到入侵結(jié)束的最短路徑，并根據(jù)此路徑由公式（8）可計算每個保護元件的（），進而由公式（2）與公式（3）計算得出每個保護元件的中斷概率矩陣。

將矩陣作為馬爾可夫鏈吸收態(tài)的原始輸入矩陣，其中馬爾科夫鏈的狀態(tài)轉(zhuǎn)移矩陣為式（14）：

其中，為中斷概率的狀態(tài)轉(zhuǎn)移概率矩陣；為單位矩陣；為過渡態(tài)到吸收態(tài)的狀態(tài)轉(zhuǎn)移概率矩陣，并且吸收態(tài)不可轉(zhuǎn)為過渡態(tài)，故矩陣左下角為0矩陣。

（）表示經(jīng)過步轉(zhuǎn)換的狀態(tài)轉(zhuǎn)移概率矩陣，則有式（15）：

向量中的元素值表示從當前狀態(tài)出發(fā)到達吸收態(tài)的平均轉(zhuǎn)移次數(shù)。

2 基于馬爾可夫鏈EASI模型的實物保護系統(tǒng)效能評估方法分析過程

通過利用馬爾可夫鏈吸收態(tài)找到系統(tǒng)關(guān)鍵節(jié)點，通過提升節(jié)點探測概率或增加延長時間，在一定程度上提升了系統(tǒng)整體防護效能。

2.1 建立入侵序列圖

評估數(shù)據(jù)根據(jù)國際原子能機構(gòu)研究所提供的核設(shè)施數(shù)據(jù)進行實驗，根據(jù)數(shù)據(jù)建立核設(shè)施場地的布局如圖2所示。

圖2 核設(shè)施場地的布局Fig.2 Layout of nuclear facility site

根據(jù)圖2建立該核設(shè)施入侵序列圖，如圖3所示。圖3中保護元件的相關(guān)探測概率與延遲時間見表1。

圖3 核設(shè)施入侵序列圖Fig.3 Sequence diagram of nuclear facility intrusion

表1中延時類型分為B、M、E 3種。B表示在延遲起作用前探測到入侵；M表示在延遲中時探測到入侵；E表示在延遲結(jié)束后探測到入侵。根據(jù)SNL實驗室確定標準差為的30%，成功報警概率為95%，警衛(wèi)的平均響應(yīng)時間為700 s。

表1 各區(qū)域和保護元件探測和延時信息Tab.1 Detection and delay information for each zone and protection element

2.2 基于馬爾科夫鏈計算關(guān)鍵節(jié)點

以延遲為邊權(quán)值，利用floyd計算得出敵手處于每個保護元件時的入侵最短路徑，從而得出所剩入侵最短時間，為定植，則每個保護元件的最小值與（）見表2：

表2 保護元件的最小TR值與P（R｜A）Tab.2 The smallest TR values of protection device and the P（R｜A）

根據(jù)式（3），此時敵手處于每個保護元件時的中斷概率為：

矩陣M表示保護元件失效期望，期望越高此保護元件重要性越高，根據(jù)矩陣M可知最重要的保護元件依次為18-14-8-4。在實物保護中，同等重要程度的保護元件越靠進入侵起點的保護元件重要性越高，從入侵模型來看，4、8、14、18是敵手必須擊敗的領(lǐng)域。

對于此PPS，有90條入侵路徑。如果敵手的初始入侵區(qū)域不確定，則敵手路徑將增加更多。

從T矩陣可以看出，在不同的初始區(qū)域，敵手到達目標的期望路徑長度有很大的不同。平均攻擊長度為4.7222，這意味著對手需要擊敗4.7222個保護元素才能完成入侵任務(wù)。

計算從每個保護元件選擇目標狀態(tài)的概率：

B矩陣表示敵手從保護元件（非吸收狀態(tài)）侵入時的目標選擇的概率。由于此PPS只有一個吸收態(tài)，故選擇概率為1。

此時計算得出實物保護系統(tǒng)中的關(guān)鍵保護元件節(jié)點為4，因此應(yīng)首先考慮改進保護元件4來提升實物保護系統(tǒng)防護能力。

2.3 基于EASI計算中斷概率

改進前根據(jù)EASI模型計算最薄弱路徑中斷概率見表3。

表3 改進前最薄弱路徑中斷概率Tab.3 Probability of weakest path interruption before improvement

將保護元件4的探測概率從0.02提高至0.6后，其中斷概率見表4。

表4 改進后最薄弱路徑中斷概率Tab.4 Improved weakest path interrupt probability

改進后最薄弱路徑中斷概率可提升4.12個百分點。全部路徑的中斷概率與提升前后對比如圖4所示，其中路徑中斷概率最少提升0.3個百分點，最大提升5.37個百分點，全路徑中斷概率平均提升2.78個百分點。

圖4 升級前后攔截概率對比Fig.4 Comparison of intercept probability before and after upgrade

升級PPS的保護元件或采取保護措施以提升PPS的防護效能時，可能花費高昂的成本才能使防護性能提高幾個百分點，但找到關(guān)鍵的保護元件，采取特定的針對措施提升保護元件的效能，可以實現(xiàn)以較小的花費達到理想的結(jié)果。本文方法可以科學找出系統(tǒng)關(guān)鍵保護元件，提升實物保護系統(tǒng)的整體防護能力。

3 結(jié)束語

針對實物保護系統(tǒng)定量評估的不足，本文提出了一種基于馬爾可夫鏈與EASI模型相結(jié)合的實物保護系統(tǒng)效能評估方法。首先，根據(jù)實物保護系統(tǒng)建立敵手入侵序列圖，利用floyd算法計算每個保護元件到入侵終點的最短路徑，考慮到敵手入侵的復雜過渡難以分析，則以非中斷概率作為轉(zhuǎn)移矩陣計算轉(zhuǎn)移概率得出重要節(jié)點，以提升節(jié)點效能分析整體PPS效能的提升度，考慮到PPS防護節(jié)點的關(guān)鍵性，以最小的效能比實現(xiàn)整體防護性能的升級。通過在國際原子能機構(gòu)研究所公開的場景和數(shù)據(jù)上評估計算，找到關(guān)鍵的保護元件，采取特定的針對措施提升保護元件的效能。相比于傳統(tǒng)路徑分析方法，通過對關(guān)鍵保護原件的升級可大幅度提升整體防護系統(tǒng)的防護效能，在提高PPS的防護性能同時很大程度上節(jié)約了成本。該方法可以幫助設(shè)計與管理人員快速發(fā)現(xiàn)系統(tǒng)薄弱點，為系統(tǒng)防護升級提供參考依據(jù)。