基于改進AHP?GCM的機載網絡安全風險評估方法與流程

本發明應用于新型機載網絡安全風險評估領域，特別是涉及一種基于改進ahp-gcm的機載網絡安全風險評估方法。

背景技術：

飛行安全是航空界永恒的主題，伴隨著機載wi-fi加改裝廣泛實施以及航空機載電子飛行包(electronicflightbagsystem-efb)等便攜式機載設備的重要應用，黑客接入攻擊的風險越來越高；新型飛機采用了先進的綜合模塊化航電系統網絡架構，打破了傳統飛行控制網域，航空公司信息服務域，和機載娛樂域三者之間的物理隔離，甚至增加了互聯網接入機載旅客娛樂網域的相關功能。

傳統方法并不能完全對抗通過外部網絡或設備影響機載控制域的風險。所以設計一種有效的面向新型機載網絡安全的風險評估方法，是亟待解決的問題。這樣的評估方法能直觀反映新型機載網絡的安全風險，讓管理人員能夠根據評估結果了解網絡的安全性，并且提前制定出適當的防御或者修補策略，對新型機載網絡安全有重要意義。

國內外學者針對網絡的特點，探討了許多風險評估的辦法，這些方法雖然具體的實施手段和計算方法不同，但都遵循了基本的風險評估流程。根據計算方式上的不同，風險評估方法一般分為定性、定量以及定性與定量相結合三大類。

層次分析法(analytichierarchyprocess，簡稱ahp)，是在20世紀70年代中期由美國運籌學家托馬斯·塞蒂(t.l.satty)正式提出的一種定性和定量相結合的系統化層次權重決策分析方法。該方法是一種系統性的分析方法，簡單實用，所需的定量信息少，但是無法提供新的方案，定性因素大，并且指標多時統計量大。

灰色系統理論(greytheory)是鄧聚龍教授在二十實際八十年代處首次提出。灰色聚類法這一灰色系統概念，根據“灰箱”概念拓廣而來，是以灰數的白化函數生成為基礎的一種聚類方法，該方法運算簡潔，結論簡明，但是指標多時精度較差，指標間的聯系較少。

灰色聚類方法根據劃分對象的不同可以分為灰色關聯聚類和灰色白化權聚類，其中灰色白化權聚類包含三種評估：灰色定權聚類，灰色變權聚類和基于三角白化權函數的評估。

兩種方法均是常用的網絡風險評估方法，組合使用能夠克服定性分析和定量評估分離的缺點，但層次分析法依賴于技術工程師經驗，主觀性較大；而且只針對風險點進行評估可能并不能全面分析網絡的風險狀況。

技術實現要素：

本發明要解決的技術問題是：本發明的目的是提供一種基于改進ahp-gcm的機載網絡安全風險評估方法，該專利在分析新型機載網絡架構的基礎上確定其風險源與風險狀態，然后基于層析分析法和灰色聚類法對風險源進行評估，最后對其威脅狀態進行二次評估，綜合兩次評估對風險評估結果進行優化，防止單次評估結果偏差和不準確。

本發明為解決公知技術中存在的技術問題所采取的技術方案是：

一種基于改進ahp-gcm的機載網絡安全風險評估方法，包括以下步驟：

步驟101、分析機載網絡架構風險源；具體方法為：

所述機載網絡架構包括飛機控制域、信息受信域、信息開放域、客艙網絡域和公共網絡域；所述機載網絡架構的面向接口型總線的數據傳輸結構包括arinc429、arinc825、arinc664；

所述機載網絡架構暴露的網絡接口點包括網關與各網絡域、各網絡域之間；機載信息系統之間的網絡數據交互點包括乘客界面、改裝公司提供的軟件平臺、機載娛樂系統；機載信息系統與地面信息系統之間的網絡數據交互方式包括電子飛行包、乘務操作pad；訪問權限包括非法用戶進入機載網絡；所述機載網絡架構的威脅狀態包括：獲取信息、篡改信息、利用服務、拒絕服務和提升權限非法操作；

步驟102、對風險源及其威脅狀態分別確立評估指標體系；具體方法為：

首先對風險源建立評估指標體系：目標層為要達到的風險評估目標；屬性層是風險概率、風險影響、不可控制性；方案層是風險源造成的威脅；

其次對風險源威脅狀態建立評估指標體系：目標層為要達到的風險評估目標；屬性層是保密性、完整性、可用性；第三層是在威脅狀態的具體表現；

步驟103、對指標權重賦值并檢驗一致性；具體方法為：

由兩位技術工程師對指標進行賦值，其中賦值的規則為：以上層某一元素為標準，對下層各指標相對于該元素的重要性進行兩兩比較，在已規定的標度中選擇合適的值，建立判斷矩陣：b1＝{bij}，b2＝{bij}；

為了獲得各個指標之間比較的重要程度，每次取兩個進行比較并采用saaty提出的標度法進行數值化，其中：bij＝1,bij＝1/bij(i,j＝1,2,…,n)

加權平均綜合技術工程師意見，構造b^*＝{bij}，其中：

對構造的矩陣進行一致性檢驗，即計算修正的一致性指標：cr＝ci/ri，其中ci為一致性指標：ri為對比查找得到的平均隨機一致性指標，判斷條件是：

當矩陣不符合一致性要求時，通過更改一些比較值，任何重新檢驗；

當矩陣符合一致性要求時，則執行步驟104；

步驟104、求各層指標權重并歸一化處理；具體步驟為：

計算相對權重：即被比較指標相對于上一層元素的重要程度，這種排序方式稱為層次單排序；

當判斷矩陣b^*通過一致性檢驗后，計算判斷矩陣每一行元素的乘積mi：

用方根法得到歸一化之前的權重

其中向量

將進行歸一化處理，得到權重w，則：

w＝(w1,w2,…,wn)^t，

權重w即為所求的特征向量，其中：

計算第三層合成權重：合成權重是指某指標相對于最上層元素的權重，是自下而上通過和積法逐層計算得到的；對于與最上層直接關聯的指標，其合成權重等于相對權重；否則等于該指標的相對權重和其上層關聯元素的合成權重之積；

步驟105、劃分風險等級即確定灰類；其具體步驟為：

將網絡風險等級劃分為5個風險等級，即5個灰類，由兩位技術工程師進行打分，記作評估值ei(c1，c2，c3，c4，c5，c6)，計算得到評估矩陣d＝(dij)n*m，其中：

步驟106、建立白化權函數；構造白化權函數的具體方法為：

設有m個指標，s個灰類，n個對象，設xij(i＝1,2,…,n；j＝1,2,…,m)為對象i關于指標j的樣本值，即實際值dij；

設稱作k子類j指標的白化權函數：

①若只有兩個轉折點，則函數表示上限測度：

②若只有兩個轉折點，則函數表示下限測度；

③若的第二和第三個轉折點重合，則函數表示適中測度：

步驟107、計算灰色聚類系數并判斷所屬灰類；具體步驟為：

設ηj(j＝1,2,…,m)是各聚類指標的權，其中ηj即為w；

設為對象i屬于k灰類的灰色定權聚類系數，則為：

根據最大化原則作聚類分析得到對象i屬于灰類k：

步驟108、基于以上步驟對風險源威脅狀態進行二次評估；二次評估的具體方法與步驟101到步驟107相同。

進一步：第三層權重等于其相對權重wc和b層關聯元素wi的合成權重之積：

本發明具有的優點和積極效果是：

該專利在分析新型機載網絡架構的基礎上確定其風險源與風險狀態，然后基于層析分析法和灰色聚類法對風險源進行評估，最后對其威脅狀態進行二次評估，綜合兩次評估對風險評估結果進行優化，防止單次評估結果偏差和不準確。

附圖說明：

圖1新型機載網絡架構示意圖；

圖2改進的ahp-gcm方法設計流程；

圖3新型機載網絡安全風險評估體系一；

圖4新型機載網絡安全風險評估體系二；

圖5上測限度白化權函數示意圖；

圖6下測限度白化權函數示意圖；

圖7適中測度白化權函數示意圖。

具體實施方式

為能進一步了解本發明的發明內容、特點及功效，茲例舉以下實施例，并配合附圖詳細說明如下：

請參閱圖1，圖1顯示了新型機載網絡架構的設計模式：飛機控制域指關系到飛行安全和需要安保防護的目標系統的機載數據網絡，它連接了包括航電核心系統，飛控、導航、動力、顯示、通信等系統，主要為操縱飛機正常飛行和提供安全措施的機載系統。

信息受信域是低安全等級網絡到高安全等級網絡之間的一個過渡網絡，作用主要是隔離內外網絡，保證信息開放域到飛機控制域的網絡通信安全。

信息開放域保證了機載網絡與地面公共網絡的通信安全，主要指信息系統與機外網絡域的客艙網絡域的連通網絡。

客艙網絡域連接客艙核心，機載娛樂和外部通信系統。

公共網絡域屬于非受信網絡。

請參閱圖2至圖7，一種基于改進ahp-gcm的機載網絡安全風險評估方法，包括以下步驟：

步驟101、分析新型機載網絡架構風險源；具體方法為：

由于飛機機載數據網絡與地面公共網絡的安保等級不同，一般飛機主要分為飛機控制域，航空公司信息服務域，旅客信息和機載娛樂域；而新型飛機細分為飛機控制域，信息受信域，信息開放域，客艙網絡域和公共網絡域。

由于新型機載網絡架構支持更多網絡域的交互，從之前單一的面向接口型單工總線arinc429數據傳輸結構變成arinc429、arinc825、arinc664并存，因此暴露的風險源也大大增加：

暴露的網絡接口點；機載信息系統之間的網絡數據交互點；機載信息系統與地面信息系統之間的網絡數據交互方式。其威脅狀態也分別有不同的具體表現；

步驟102、對風險源及其威脅狀態分別確立評估指標體系；上述確立評估指標體系的具體方法為：

首先對風險源建立評估指標體系：目標層即最高層為要達到的風險評估目標；屬性層即第二層是風險概率、風險影響、不可控制性；第三層即方案層是風險源造成的威脅：網關與各網域接口點、各網域之間接口點、軟件平臺與機載娛樂系統數據交互點、乘務使用pad、電子飛行包(efb)，非法修改用戶代碼；

其次對風險源威脅狀態建立評估指標體系：目標層為要達到的風險評估目標；屬性層即第二層是保密性、完整性、可用性；第三層是在威脅狀態的具體表現：獲取信息、篡改信息、利用服務、拒絕服務、提升權限非法操作。

步驟103、對指標權重賦值并檢驗一致性；對指標權重賦值并檢驗一致性的具體方法為：

邀請兩位技術工程師對指標進行賦值，其中賦值的規則為：以上層某一元素為標準，對下層各指標相對于該元素的重要性進行兩兩比較，在已規定的標度中選擇合適的值，建立判斷矩陣：b1＝{bij}，b2＝{bij}。

為了獲得各個指標之間比較的重要程度，每次取兩個進行比較并采用saaty提出的標度法進行數值化，其中：bij＝1,bij＝1/bij(i,j＝1,2,…,n)

加權平均綜合技術工程師意見，構造b^*＝{bij}，其中：

對構造的矩陣要進行一致性檢驗，即計算修正的一致性指標：cr＝ci/ri，其中ci為一致性指標：ri為對比查找得到的平均隨機一致性指標，判斷條件是：

當矩陣不符合一致性要求時，需要更改一些比較值重新檢驗；

步驟104、求各層指標權重并歸一化處理；求各層指標權重并進行歸一化處理的具體步驟為：

計算相對權重：即被比較指標相對于上一層元素的重要程度，這種排序方式稱為層次單排序；

層次單排序計算問題可以歸結為計算判斷矩陣的最大特征根及其特征向量的問題。但一般來說，判斷矩陣的最大特征根和相應的特征向量并不需要較高的精確度。本文采取一種簡單計算判斷矩陣最大特征根及相應特征向量的方法：

當判斷矩陣b^*通過一致性檢驗后，計算判斷矩陣每一行元素的乘積mi：

用方根法得到歸一化之前的權重

其中向量

將進行歸一化處理，得到權重w，則：

w＝(w1,w2,…,wn)^t，

權重w即為所求的特征向量，其中：

計算第三層合成權重：合成權重是指某指標相對于最上層元素的權重，是自下而上通過和積法逐層計算得到的。對于與最上層直接關聯的指標，其合成權重等于相對權重；否則等于該指標的相對權重和其上層關聯元素的合成權重之積。

本文中第三層權重等于其相對權重wc和b層關聯元素wi的合成權重之積：

步驟105、劃分風險等級即確定灰類；其具體步驟為：

對網絡風險等級進行劃分，分為5個風險等級，即5個灰類，由兩位技術工程師進行打分，記作評估值ei(c1，c2，c3，c4，c5，c6)，計算得到評估矩陣d＝(dij)n*m，其中：

步驟106、建立白化權函數；構造白化權函數的具體方法為：

設有m個指標，s個灰類，n個對象，設xij(i＝1,2,…,n；j＝1,2,…,m)為對象i關于指標j的樣本值，即實際值dij；

設稱作k子類j指標的白化權函數：

④若只有兩個轉折點，則函數表示上限測度：

⑤若只有兩個轉折點，則函數表示下限測度；

⑥若的第二和第三個轉折點重合，則函數表示適中測度：

步驟107、計算灰色聚類系數并判斷所屬灰類；計算灰色聚類系數并判斷所屬灰類的具體步驟為：

設ηj(j＝1,2,…,m)是各聚類指標的權，本文中ηj即為w；

設為對象i屬于k灰類的灰色定權聚類系數，則為：

根據最大化原則作聚類分析得到對象i屬于灰類k：

步驟108、基于以上步驟對風險源威脅狀態進行二次評估；二次評估的具體方法與步驟101到步驟107相同。

改進ahp-gcm方法的具體實施如下：

step1分析新型機載網絡架構風險源

對新型機載網絡架構的風險源進行分析歸類，主要分為：暴露的網絡接口點——網關與各網絡域、各網絡域之間(其中各網絡域不包括飛機控制域)；機載信息系統之間的網絡數據交互點——乘客界面、改裝公司提供的軟件平臺、機載娛樂系統；機載信息系統與地面信息系統之間的網絡數據交互方式——電子飛行包、乘務操作pad；訪問權限——非法用戶進入機載網絡(修改可執行代碼)。其威脅狀態主要分為五種：獲取信息、篡改信息、利用服務、拒絕服務和提升權限非法操作；改進ahp-gcm的方法設計流程圖如圖2所示；

step2對風險源及其威脅狀態分別確立評估指標體系

首先對風險源建立評估指標體系：目標層即最高層為要達到的風險評估目標；屬性層即第二層是風險概率、風險影響、不可控制性；第三層即方案層是風險源造成的威脅：網關與各網域接口點、各網域之間接口點、軟件平臺與機載娛樂系統數據交互點、乘務使用pad、電子飛行包(efb)，非法修改用戶代碼；如圖3所示

其次對風險源威脅狀態建立評估指標體系：目標層為要達到的風險評估目標；屬性層即第二層是保密性、完整性、可用性；第三層是在威脅狀態的具體表現：獲取信息、篡改信息、利用服務、拒絕服務、提升權限非法操作；如圖2所示；

step3對指標權重賦值并檢驗一致性

由技術工程師意見構造的判斷矩陣如下：

加權平均后的矩陣為：

對矩陣b1進行一致性檢驗：

ri＝0.52,cr＝0.05154＜0.1

則滿足一致性要求，同理，b2、b^*均滿足。

step4求各層指標權重并歸一化處理

矩陣b^*每行元素的乘積為：m1＝11.3136，m2＝0.0791，m3＝1.1150；方根法得到的權重為：

則

將進行歸一化處理，得到第二層權重w為：

w＝(0.6048,0.1156,0.2796)^t，即b1，b2，b3權重分別為0.6048,0.1156，0.2796。

第三層權重等于其相對權重wc和b層關聯元素wi的合成權重之積，其中相對權重wc為：

wc＝(0.3686,0.1469,0.0778,0.0778,0.1420,0.1869)^t；

則c層合成權重為：

step5劃分風險等級即確定灰類

對網絡風險等級進行劃分，分為5個風險等級，即5個灰類，風險等級分別為低，較低，中，較高，高，對應的量化值為1，2，3，4，5。

根據技術工程師打分的評估值，計算得到評估矩陣d＝(dij)n*m：

step6建立白化權函數

設有m個指標，s個灰類，n個對象，即在本文中，m＝6，s＝5，n＝2；設xij(i＝1,2,…,n；j＝1,2,…,m)為對象i關于指標j的樣本值，即實際值dij；

設稱作k子類j指標的白化權函數，三種白化權函數表示如圖5，圖6，圖7所示，則建立白化權函數如下：

step7計算灰色聚類系數并判斷所屬灰類

本文中各聚類指標的權ηj即為w，則ηj＝(0.6048，0.1156，0.2796)，那么灰色定權聚類系數為：

則技術工程師1對網絡的聚類向量為：σ1＝(0.39520.55960.045200)，同理可得技術工程師2對網絡的聚類向量為：σ2＝(0.59220.40780.063200)；

根據最大化原則作聚類分析，即：

k＝1，從而確定該新型機載網絡安全風險所屬灰類即風險等級為第一類，即“低”風險。

step8基于以上步驟對風險源威脅狀態進行二次評估

對圖4進行step1到step7的分析計算步驟得到合成權重為：

得到的灰色定權聚類向量為：σ1＝(00.10020.27860.62120)，

σ2＝(00.10020.06320.56750.2732)。

根據最大化原則作聚類分析，即：

從而確定該新型機載網絡安全風險所屬灰類即風險等級為第4類，即“較高”風險。

由以上分析評估可知，根據風險源的風險概率，影響，不可控制性以及造成的威脅建立指標體系，得到的新型機載網絡的安全風險等級是“低”，但是再分析威脅狀態，發現風險等級為“較高”。

如果風險評估人員只根據前者就給出風險評估結論，工作人員很有可能會忽視這些風險因素帶來的嚴重后果。只有將風險源的威脅及其威脅狀態結合起來，構造兩個評估指標體系，才能給出更合理更全面的風險評估結果。

以上對本發明的實施例進行了詳細說明，但所述內容僅為本發明的較佳實施例，不能被認為用于限定本發明的實施范圍。凡依本發明申請范圍所作的均等變化與改進等，均應仍歸屬于本發明的專利涵蓋范圍之內。