基于改进AHP‑GCM的机载网络安全风险评估方法与流程

本发明应用于新型机载网络安全风险评估领域，特别是涉及一种基于改进ahp-gcm的机载网络安全风险评估方法。

背景技术：

飞行安全是航空界永恒的主题，伴随着机载wi-fi加改装广泛实施以及航空机载电子飞行包(electronicflightbagsystem-efb)等便携式机载设备的重要应用，黑客接入攻击的风险越来越高；新型飞机采用了先进的综合模块化航电系统网络架构，打破了传统飞行控制网域，航空公司信息服务域，和机载娱乐域三者之间的物理隔离，甚至增加了互联网接入机载旅客娱乐网域的相关功能。

传统方法并不能完全对抗通过外部网络或设备影响机载控制域的风险。所以设计一种有效的面向新型机载网络安全的风险评估方法，是亟待解决的问题。这样的评估方法能直观反映新型机载网络的安全风险，让管理人员能够根据评估结果了解网络的安全性，并且提前制定出适当的防御或者修补策略，对新型机载网络安全有重要意义。

国内外学者针对网络的特点，探讨了许多风险评估的办法，这些方法虽然具体的实施手段和计算方法不同，但都遵循了基本的风险评估流程。根据计算方式上的不同，风险评估方法一般分为定性、定量以及定性与定量相结合三大类。

层次分析法(analytichierarchyprocess，简称ahp)，是在20世纪70年代中期由美国运筹学家托马斯·塞蒂(t.l.satty)正式提出的一种定性和定量相结合的系统化层次权重决策分析方法。该方法是一种系统性的分析方法，简单实用，所需的定量信息少，但是无法提供新的方案，定性因素大，并且指标多时统计量大。

灰色系统理论(greytheory)是邓聚龙教授在二十实际八十年代处首次提出。灰色聚类法这一灰色系统概念，根据“灰箱”概念拓广而来，是以灰数的白化函数生成为基础的一种聚类方法，该方法运算简洁，结论简明，但是指标多时精度较差，指标间的联系较少。

灰色聚类方法根据划分对象的不同可以分为灰色关联聚类和灰色白化权聚类，其中灰色白化权聚类包含三种评估：灰色定权聚类，灰色变权聚类和基于三角白化权函数的评估。

两种方法均是常用的网络风险评估方法，组合使用能够克服定性分析和定量评估分离的缺点，但层次分析法依赖于技术工程师经验，主观性较大；而且只针对风险点进行评估可能并不能全面分析网络的风险状况。

技术实现要素：

本发明要解决的技术问题是：本发明的目的是提供一种基于改进ahp-gcm的机载网络安全风险评估方法，该专利在分析新型机载网络架构的基础上确定其风险源与风险状态，然后基于层析分析法和灰色聚类法对风险源进行评估，最后对其威胁状态进行二次评估，综合两次评估对风险评估结果进行优化，防止单次评估结果偏差和不准确。

本发明为解决公知技术中存在的技术问题所采取的技术方案是：

一种基于改进ahp-gcm的机载网络安全风险评估方法，包括以下步骤：

步骤101、分析机载网络架构风险源；具体方法为：

所述机载网络架构包括飞机控制域、信息受信域、信息开放域、客舱网络域和公共网络域；所述机载网络架构的面向接口型总线的数据传输结构包括arinc429、arinc825、arinc664；

所述机载网络架构暴露的网络接口点包括网关与各网络域、各网络域之间；机载信息系统之间的网络数据交互点包括乘客界面、改装公司提供的软件平台、机载娱乐系统；机载信息系统与地面信息系统之间的网络数据交互方式包括电子飞行包、乘务操作pad；访问权限包括非法用户进入机载网络；所述机载网络架构的威胁状态包括：获取信息、篡改信息、利用服务、拒绝服务和提升权限非法操作；

步骤102、对风险源及其威胁状态分别确立评估指标体系；具体方法为：

首先对风险源建立评估指标体系：目标层为要达到的风险评估目标；属性层是风险概率、风险影响、不可控制性；方案层是风险源造成的威胁；

其次对风险源威胁状态建立评估指标体系：目标层为要达到的风险评估目标；属性层是保密性、完整性、可用性；第三层是在威胁状态的具体表现；

步骤103、对指标权重赋值并检验一致性；具体方法为：

由两位技术工程师对指标进行赋值，其中赋值的规则为：以上层某一元素为标准，对下层各指标相对于该元素的重要性进行两两比较，在已规定的标度中选择合适的值，建立判断矩阵：b1＝{bij}，b2＝{bij}；

为了获得各个指标之间比较的重要程度，每次取两个进行比较并采用saaty提出的标度法进行数值化，其中：bij＝1,bij＝1/bij(i,j＝1,2,…,n)

加权平均综合技术工程师意见，构造b^*＝{bij}，其中：

对构造的矩阵进行一致性检验，即计算修正的一致性指标：cr＝ci/ri，其中ci为一致性指标：ri为对比查找得到的平均随机一致性指标，判断条件是：

当矩阵不符合一致性要求时，通过更改一些比较值，任何重新检验；

当矩阵符合一致性要求时，则执行步骤104；

步骤104、求各层指标权重并归一化处理；具体步骤为：

计算相对权重：即被比较指标相对于上一层元素的重要程度，这种排序方式称为层次单排序；

当判断矩阵b^*通过一致性检验后，计算判断矩阵每一行元素的乘积mi：

用方根法得到归一化之前的权重

其中向量

将进行归一化处理，得到权重w，则：

w＝(w1,w2,…,wn)^t，

权重w即为所求的特征向量，其中：

计算第三层合成权重：合成权重是指某指标相对于最上层元素的权重，是自下而上通过和积法逐层计算得到的；对于与最上层直接关联的指标，其合成权重等于相对权重；否则等于该指标的相对权重和其上层关联元素的合成权重之积；

步骤105、划分风险等级即确定灰类；其具体步骤为：

将网络风险等级划分为5个风险等级，即5个灰类，由两位技术工程师进行打分，记作评估值ei(c1，c2，c3，c4，c5，c6)，计算得到评估矩阵d＝(dij)n*m，其中：

步骤106、建立白化权函数；构造白化权函数的具体方法为：

设有m个指标，s个灰类，n个对象，设xij(i＝1,2,…,n；j＝1,2,…,m)为对象i关于指标j的样本值，即实际值dij；

设称作k子类j指标的白化权函数：

①若只有两个转折点，则函数表示上限测度：

②若只有两个转折点，则函数表示下限测度；

③若的第二和第三个转折点重合，则函数表示适中测度：

步骤107、计算灰色聚类系数并判断所属灰类；具体步骤为：

设ηj(j＝1,2,…,m)是各聚类指标的权，其中ηj即为w；

设为对象i属于k灰类的灰色定权聚类系数，则为：

根据最大化原则作聚类分析得到对象i属于灰类k：

步骤108、基于以上步骤对风险源威胁状态进行二次评估；二次评估的具体方法与步骤101到步骤107相同。

进一步：第三层权重等于其相对权重wc和b层关联元素wi的合成权重之积：

本发明具有的优点和积极效果是：

该专利在分析新型机载网络架构的基础上确定其风险源与风险状态，然后基于层析分析法和灰色聚类法对风险源进行评估，最后对其威胁状态进行二次评估，综合两次评估对风险评估结果进行优化，防止单次评估结果偏差和不准确。

附图说明：

图1新型机载网络架构示意图；

图2改进的ahp-gcm方法设计流程；

图3新型机载网络安全风险评估体系一；

图4新型机载网络安全风险评估体系二；

图5上测限度白化权函数示意图；

图6下测限度白化权函数示意图；

图7适中测度白化权函数示意图。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下：

请参阅图1，图1显示了新型机载网络架构的设计模式：飞机控制域指关系到飞行安全和需要安保防护的目标系统的机载数据网络，它连接了包括航电核心系统，飞控、导航、动力、显示、通信等系统，主要为操纵飞机正常飞行和提供安全措施的机载系统。

信息受信域是低安全等级网络到高安全等级网络之间的一个过渡网络，作用主要是隔离内外网络，保证信息开放域到飞机控制域的网络通信安全。

信息开放域保证了机载网络与地面公共网络的通信安全，主要指信息系统与机外网络域的客舱网络域的连通网络。

客舱网络域连接客舱核心，机载娱乐和外部通信系统。

公共网络域属于非受信网络。

请参阅图2至图7，一种基于改进ahp-gcm的机载网络安全风险评估方法，包括以下步骤：

步骤101、分析新型机载网络架构风险源；具体方法为：

由于飞机机载数据网络与地面公共网络的安保等级不同，一般飞机主要分为飞机控制域，航空公司信息服务域，旅客信息和机载娱乐域；而新型飞机细分为飞机控制域，信息受信域，信息开放域，客舱网络域和公共网络域。

由于新型机载网络架构支持更多网络域的交互，从之前单一的面向接口型单工总线arinc429数据传输结构变成arinc429、arinc825、arinc664并存，因此暴露的风险源也大大增加：

暴露的网络接口点；机载信息系统之间的网络数据交互点；机载信息系统与地面信息系统之间的网络数据交互方式。其威胁状态也分别有不同的具体表现；

步骤102、对风险源及其威胁状态分别确立评估指标体系；上述确立评估指标体系的具体方法为：

首先对风险源建立评估指标体系：目标层即最高层为要达到的风险评估目标；属性层即第二层是风险概率、风险影响、不可控制性；第三层即方案层是风险源造成的威胁：网关与各网域接口点、各网域之间接口点、软件平台与机载娱乐系统数据交互点、乘务使用pad、电子飞行包(efb)，非法修改用户代码；

其次对风险源威胁状态建立评估指标体系：目标层为要达到的风险评估目标；属性层即第二层是保密性、完整性、可用性；第三层是在威胁状态的具体表现：获取信息、篡改信息、利用服务、拒绝服务、提升权限非法操作。

步骤103、对指标权重赋值并检验一致性；对指标权重赋值并检验一致性的具体方法为：

邀请两位技术工程师对指标进行赋值，其中赋值的规则为：以上层某一元素为标准，对下层各指标相对于该元素的重要性进行两两比较，在已规定的标度中选择合适的值，建立判断矩阵：b1＝{bij}，b2＝{bij}。

为了获得各个指标之间比较的重要程度，每次取两个进行比较并采用saaty提出的标度法进行数值化，其中：bij＝1,bij＝1/bij(i,j＝1,2,…,n)

加权平均综合技术工程师意见，构造b^*＝{bij}，其中：

对构造的矩阵要进行一致性检验，即计算修正的一致性指标：cr＝ci/ri，其中ci为一致性指标：ri为对比查找得到的平均随机一致性指标，判断条件是：

当矩阵不符合一致性要求时，需要更改一些比较值重新检验；

步骤104、求各层指标权重并归一化处理；求各层指标权重并进行归一化处理的具体步骤为：

计算相对权重：即被比较指标相对于上一层元素的重要程度，这种排序方式称为层次单排序；

层次单排序计算问题可以归结为计算判断矩阵的最大特征根及其特征向量的问题。但一般来说，判断矩阵的最大特征根和相应的特征向量并不需要较高的精确度。本文采取一种简单计算判断矩阵最大特征根及相应特征向量的方法：

当判断矩阵b^*通过一致性检验后，计算判断矩阵每一行元素的乘积mi：

用方根法得到归一化之前的权重

其中向量

将进行归一化处理，得到权重w，则：

w＝(w1,w2,…,wn)^t，

权重w即为所求的特征向量，其中：

计算第三层合成权重：合成权重是指某指标相对于最上层元素的权重，是自下而上通过和积法逐层计算得到的。对于与最上层直接关联的指标，其合成权重等于相对权重；否则等于该指标的相对权重和其上层关联元素的合成权重之积。

本文中第三层权重等于其相对权重wc和b层关联元素wi的合成权重之积：

步骤105、划分风险等级即确定灰类；其具体步骤为：

对网络风险等级进行划分，分为5个风险等级，即5个灰类，由两位技术工程师进行打分，记作评估值ei(c1，c2，c3，c4，c5，c6)，计算得到评估矩阵d＝(dij)n*m，其中：

步骤106、建立白化权函数；构造白化权函数的具体方法为：

设有m个指标，s个灰类，n个对象，设xij(i＝1,2,…,n；j＝1,2,…,m)为对象i关于指标j的样本值，即实际值dij；

设称作k子类j指标的白化权函数：

④若只有两个转折点，则函数表示上限测度：

⑤若只有两个转折点，则函数表示下限测度；

⑥若的第二和第三个转折点重合，则函数表示适中测度：

步骤107、计算灰色聚类系数并判断所属灰类；计算灰色聚类系数并判断所属灰类的具体步骤为：

设ηj(j＝1,2,…,m)是各聚类指标的权，本文中ηj即为w；

设为对象i属于k灰类的灰色定权聚类系数，则为：

根据最大化原则作聚类分析得到对象i属于灰类k：

步骤108、基于以上步骤对风险源威胁状态进行二次评估；二次评估的具体方法与步骤101到步骤107相同。

改进ahp-gcm方法的具体实施如下：

step1分析新型机载网络架构风险源

对新型机载网络架构的风险源进行分析归类，主要分为：暴露的网络接口点——网关与各网络域、各网络域之间(其中各网络域不包括飞机控制域)；机载信息系统之间的网络数据交互点——乘客界面、改装公司提供的软件平台、机载娱乐系统；机载信息系统与地面信息系统之间的网络数据交互方式——电子飞行包、乘务操作pad；访问权限——非法用户进入机载网络(修改可执行代码)。其威胁状态主要分为五种：获取信息、篡改信息、利用服务、拒绝服务和提升权限非法操作；改进ahp-gcm的方法设计流程图如图2所示；

step2对风险源及其威胁状态分别确立评估指标体系

首先对风险源建立评估指标体系：目标层即最高层为要达到的风险评估目标；属性层即第二层是风险概率、风险影响、不可控制性；第三层即方案层是风险源造成的威胁：网关与各网域接口点、各网域之间接口点、软件平台与机载娱乐系统数据交互点、乘务使用pad、电子飞行包(efb)，非法修改用户代码；如图3所示

其次对风险源威胁状态建立评估指标体系：目标层为要达到的风险评估目标；属性层即第二层是保密性、完整性、可用性；第三层是在威胁状态的具体表现：获取信息、篡改信息、利用服务、拒绝服务、提升权限非法操作；如图2所示；

step3对指标权重赋值并检验一致性

由技术工程师意见构造的判断矩阵如下：

加权平均后的矩阵为：

对矩阵b1进行一致性检验：

ri＝0.52,cr＝0.05154＜0.1

则满足一致性要求，同理，b2、b^*均满足。

step4求各层指标权重并归一化处理

矩阵b^*每行元素的乘积为：m1＝11.3136，m2＝0.0791，m3＝1.1150；方根法得到的权重为：

则

将进行归一化处理，得到第二层权重w为：

w＝(0.6048,0.1156,0.2796)^t，即b1，b2，b3权重分别为0.6048,0.1156，0.2796。

第三层权重等于其相对权重wc和b层关联元素wi的合成权重之积，其中相对权重wc为：

wc＝(0.3686,0.1469,0.0778,0.0778,0.1420,0.1869)^t；

则c层合成权重为：

step5划分风险等级即确定灰类

对网络风险等级进行划分，分为5个风险等级，即5个灰类，风险等级分别为低，较低，中，较高，高，对应的量化值为1，2，3，4，5。

根据技术工程师打分的评估值，计算得到评估矩阵d＝(dij)n*m：

step6建立白化权函数

设有m个指标，s个灰类，n个对象，即在本文中，m＝6，s＝5，n＝2；设xij(i＝1,2,…,n；j＝1,2,…,m)为对象i关于指标j的样本值，即实际值dij；

设称作k子类j指标的白化权函数，三种白化权函数表示如图5，图6，图7所示，则建立白化权函数如下：

step7计算灰色聚类系数并判断所属灰类

本文中各聚类指标的权ηj即为w，则ηj＝(0.6048，0.1156，0.2796)，那么灰色定权聚类系数为：

则技术工程师1对网络的聚类向量为：σ1＝(0.39520.55960.045200)，同理可得技术工程师2对网络的聚类向量为：σ2＝(0.59220.40780.063200)；

根据最大化原则作聚类分析，即：

k＝1，从而确定该新型机载网络安全风险所属灰类即风险等级为第一类，即“低”风险。

step8基于以上步骤对风险源威胁状态进行二次评估

对图4进行step1到step7的分析计算步骤得到合成权重为：

得到的灰色定权聚类向量为：σ1＝(00.10020.27860.62120)，

σ2＝(00.10020.06320.56750.2732)。

根据最大化原则作聚类分析，即：

从而确定该新型机载网络安全风险所属灰类即风险等级为第4类，即“较高”风险。

由以上分析评估可知，根据风险源的风险概率，影响，不可控制性以及造成的威胁建立指标体系，得到的新型机载网络的安全风险等级是“低”，但是再分析威胁状态，发现风险等级为“较高”。

如果风险评估人员只根据前者就给出风险评估结论，工作人员很有可能会忽视这些风险因素带来的严重后果。只有将风险源的威胁及其威胁状态结合起来，构造两个评估指标体系，才能给出更合理更全面的风险评估结果。

以上对本发明的实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。