軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度研究

武志鋒，王冬海

（中國電子科技集團公司電子科學研究院，北京 100041）

1 引言

仿真系統(tǒng)是否可信，在多大程度上可信，是仿真用戶最關(guān)心的問題。這個問題也被稱為仿真的可信度問題[1]。只有保證仿真的正確性和可信度，最終得到的仿真結(jié)果才具有實際應用的價值和意義，缺乏足夠可信度的仿真是沒有意義的。

由于仿真系統(tǒng)研究對象的復雜性，仿真可信度研究的方法也是很復雜的，一般有模糊綜合評判法、層次分析法、評分比較法和專家評定法等分析方法。對于一個復雜的仿真系統(tǒng)，要給出其仿真可信度的度量方法，需要對具體的問題進行具體的分析。謝紅衛(wèi)[8]運用現(xiàn)代譜估計方法于仿真可信性研究中，該方法適合于對系統(tǒng)動態(tài)性能進行分析，是一種統(tǒng)計檢驗方法。郭巍等[2]提出了用相似理論來討論仿真的可信度，將相似理論作為仿真建模、模型確認、驗證與認定的基礎(chǔ)理論，該法最大的局限在于相似元的相似程度值不好確定。肖斌[3]提出了在相似理論的基礎(chǔ)上，運用AHP法對仿真模型的相似度進行評定的思路。

自頂向下逐步求精是復雜大系統(tǒng)仿真分析的一種有效手段。軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)是一個復雜的仿真系統(tǒng)，它由很多子系統(tǒng)組成，每個子系統(tǒng)又由更細的子系統(tǒng)組成。考慮到軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)的層次結(jié)構(gòu)特點和在仿真評估中存在的利用專家知識和歷史經(jīng)驗的需求，同時考慮目前我們的項目中已取得的、關(guān)于校核、驗證和確認 (VV&A：verification，validation and accreditation)的工作成果，本文認為最合適的軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)的可信度評估方法是層次分析法(AHP)。本文結(jié)合AHP的決策思想，把與仿真可信度有關(guān)的評估元素通過劃分層次后并計算權(quán)重，將人們的思維過程和主觀判斷數(shù)學化，建立起一種復雜仿真系統(tǒng)可信度評估的綜合算法模型，最終得到整個軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)的可信度。

2 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度評估的層次分析法研究

AHP首先是由美國運籌學家T.L.Satty在70年代提出的一種多目標、多準則的決策分析方法。它特別適用于處理多目標、多層次的復雜大系統(tǒng)問題和難以完全用定量方法來分析與決策的社會系統(tǒng)工程的復雜問題。它可以將人們的主觀判斷用數(shù)量形式來表達和處理，是一種定性與定量相結(jié)合的決策分析方法。它體現(xiàn)了人們決策的基本思維特征，即分解-判斷-綜合，這也是系統(tǒng)仿真可信性評估的基本過程[5]。

利用AHP法進行可信度評估可分為5個步驟：

1)建立層次結(jié)構(gòu)評價指標體系模型；

2)構(gòu)造判斷矩陣；

3)計算權(quán)重；

4)進行一致性檢驗；5)計算可信度。

2.1 仿真系統(tǒng)可信度層次結(jié)構(gòu)評價指標體系模型

在仿真系統(tǒng)可信性評估中，一般將系統(tǒng)劃分為3個等級層次：最高層表示層次分析法所要達到的仿真系統(tǒng)可信度的總目標；中間層為指標層，是評價的主指標體系，即決定系統(tǒng)仿真可信度的主要因素；最低層為子指標層，是對主評價指標的具體化。利用層次分析法來計算可信度的具體指標分級流程如圖1所示。

圖1 仿真系統(tǒng)層次結(jié)構(gòu)評價指標結(jié)構(gòu)圖

2.2 仿真可信度綜合算法模型

下面針對AHP法進行可信度評估的5個步驟，建立基于AHP法分析可信度的基本算法，該算法具體如下：

2.2.1 構(gòu)造判斷矩陣

建立仿真系統(tǒng)的層次模型后，針對上一層次某元素，對每一層次的各個因素的相對重要性進行兩兩比較，構(gòu)造每一層的判斷矩陣，判斷矩陣的元素是判斷該層某兩個元素相對上一層某元素的重要性比值，比重的結(jié)果用標度表示后可形成一個矩陣，即為判斷矩陣。假設(shè)A層元素Ai與下一層n個元素B1，B2，…Bn有聯(lián)系，構(gòu)造下面的判斷矩陣A；并針對判斷矩陣的準則向?qū)＜曳磸驮儐?，同時給出兩個元素重要性指標標度表，如表1所示。

其中aij為對Ai而言，Bi與Bj相對重要性的數(shù)

當CI＜0時，認為判斷矩陣的一致性是可以接受的，CI＞0時，認為判斷矩陣不符合一致性要求，需要對該判斷矩陣進行重新修正。

當隨機一致性比率CR滿足條件：值表示。

表1 重要性指標標度表

2.2.2 層次單排序

對于專家填寫后的判斷矩陣，利用一定的數(shù)學方法進行層次排序，單排序是指每一個判斷矩陣各因素針對其準則的相對權(quán)重。而具有正反特性的判斷矩陣有模最大的正實數(shù)特征值λmax，其對應特征正向量ω歸一化的特征向量W=[ω1，ω2，…ωn]T，反映了n個因素B1，B2，…Bn對目標Ai中所占的比重，稱為因素B1，B2，…Bn對目標Ai的權(quán)重向量。故層次單排序問題可歸結(jié)求解方程Aω=λmaxω的問題，求出A的最大特征值λmax和特征向量ω。其中，ω歸一化后就是待尋找的各因素相對重要性的權(quán)重向量，歸一化特征向量的分量即是相應元素單排序的權(quán)值：

并且

特征根的計算可以采用冪法，精度要求不高時可以采用和法、根法、積法等，在本文仿真可信度評估中，采用了冪法[7]求正矩陣的最大特征值及對應的特征向量，其算法步驟如下：

a）初始化：取與判斷矩陣同階的正規(guī)化的初始向量：

循環(huán)變量k=0，例如，如果權(quán)重相同，則向量ω（0）可?。?/p>

b）循環(huán)計算：

歸一化處理：

對于事先給定ε，判斷下式是否成立：

若成立，則ω=ωk+1為求得的特征向量，并轉(zhuǎn)入（5）計算判斷矩陣的最大特征值，否則返回式（1）繼續(xù)計算。c）計算判斷矩陣最大特征根：

2.2.3 一致性檢驗

在層次排序中，由于判斷矩陣A是人為因素將定性思維定量化的結(jié)果，很難給出精確的比較判斷，因而導致判斷矩陣并非具有一致性；但從人類認識規(guī)律看，一個正確的判斷矩陣重要性排序是有一定邏輯規(guī)律的，因此，在實際中要求判斷矩陣滿足大體上的一致性，需進行一致性檢驗。

首先需要計算出它的一致性指標CI=（λmax-n）/（n-1）；然后，查表確定相應的平均隨機一致性指標RI，據(jù)判斷矩陣不同階數(shù)查下表2，得到平均隨機一致性指標RI。時，判斷矩陣具有滿意的一致性。

表2 平均隨機一致性指標RI表

如果判斷矩陣沒有通過一致性檢驗，則需要修改判斷矩陣中各項的賦值，下面簡單地介紹一種方法：

1）將判斷矩陣中第n列系數(shù)歸1；

2）觀察各縱列中數(shù)據(jù)是否相近，如果某列中有些數(shù)據(jù)互不相近，則可從物理意義上進行推敲，給以適當?shù)男拚?/p>

3）如果各列在同一行上出現(xiàn)偏大或偏小的情況，則可修正該行最后一列元素的賦值；2.2.4仿真系統(tǒng)可信度的計算

按照加權(quán)求和方法，計算主指標因素可信度Sj（j=1，2，3……m）為：

式（6）中：m——子系統(tǒng)模塊的個數(shù)；Sjk——子系統(tǒng)模塊的可信度；

Wjk——子系統(tǒng)模塊的權(quán)重值。

最后計算系統(tǒng)可信度的總指標S：

通過以上的研究，實現(xiàn)了對復雜仿真系統(tǒng)中各節(jié)點的仿真可信度進行評估的算法設(shè)計。

3 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度評估研究

軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)主要由網(wǎng)絡(luò)環(huán)境仿真、業(yè)務仿真和攻擊仿真等組成部分。網(wǎng)絡(luò)環(huán)境仿真部分由仿真子系統(tǒng)和實物子系統(tǒng)組成，通過仿真子系統(tǒng)中的仿真基礎(chǔ)網(wǎng)絡(luò)平臺、部分安全防護功能仿真模塊以及實物子系統(tǒng)中的安全功能樣機構(gòu)建完整的安全防護體系，為業(yè)務仿真系統(tǒng)的仿真業(yè)務數(shù)據(jù)提供運行環(huán)境；業(yè)務仿真部分由業(yè)務生成子系統(tǒng)和業(yè)務加載子系統(tǒng)構(gòu)成，業(yè)務生成子系統(tǒng)負責將實際業(yè)務抽象成半實物仿真系統(tǒng)所需的業(yè)務背景，通過數(shù)據(jù)的輸入，生成各種業(yè)務想定，存入數(shù)據(jù)庫。業(yè)務加載子系統(tǒng)負責將想定按時間序列動態(tài)加載到半實物仿真系統(tǒng)；攻擊仿真部分主要由攻防對抗子系統(tǒng)、攻擊行為表達子系統(tǒng)、攻擊仿真子系統(tǒng)組成，主要通過對攻防對抗技術(shù)的研究和驗證，利用仿真技術(shù)將攻防手段引入到半實物模擬仿真系統(tǒng)中，為安全仿真提供攻擊仿真原型。

3.1 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)層次結(jié)構(gòu)

在軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度評估中，最終需要得到軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)的仿真可信度。通過分析，最高層表示AHP所要達到的軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度的總目標。中間層為準則層，是評價的主準則體系，即決定軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)仿真可信度的主要因素，需要考慮的主要準則因素有3個，即網(wǎng)絡(luò)環(huán)境仿真、業(yè)務仿真、攻擊仿真的可信度。此外，還必須考慮網(wǎng)絡(luò)邊界防護仿真、數(shù)據(jù)安全傳輸仿真、系統(tǒng)身份認證仿真、業(yè)務生成仿真、業(yè)務加載仿真、攻擊仿真生成、攻擊仿真加載以及攻擊仿真效果的可信度，從相互關(guān)系上分析，這些因素隸屬于主要準則，因此放在下一層次考慮，并且分屬于不同的準則。最低層為措施層，是對主評價準則的具體化，是決定軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)仿真可信度的最直接的具體因素。

將各個層次的因素按其上下關(guān)系并以A，B，C…編號后構(gòu)成的軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)指標層次結(jié)構(gòu)如圖2所示。

圖2 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)指標層次結(jié)構(gòu)

其中：A層為最高層（總目標層），B層為中間層（準則層），C層為次中間層（子準則層），D層為最低層（措施層）。

3.2 構(gòu)造判斷矩陣

軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)同一層次的各功能模塊的可信度因素關(guān)于上一層次中某功能模塊的可信度因素的相對重要性進行兩兩比較，再通過專家對軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)各組成因素打分，并比較互相關(guān)聯(lián)因素之間的相對重要性，從最底層D層開始，對于業(yè)務生成仿真可信度，認為實際業(yè)務仿真建模模塊、業(yè)務參數(shù)設(shè)置模塊、生成業(yè)務想定模塊和業(yè)務想定入庫模塊這四個量的可信度對構(gòu)建業(yè)務生成仿真可信度起到相同的影響。故建立的判斷矩陣為：

C1-D(D1～D4)的判斷矩陣為：

同理，C5-D(D13-D16)、C7-D(D20-D23)的判斷矩陣也為A1。從下到上依次類推，C2-D(D5-D7)、 C3-D(D8-D10)、 C6-D(D17-D19)、C8-D(D24-D26)、C9-D(D27-D29)有相同的判斷矩陣，都為：

C4-D(D11-D12)與 B2-C(C5-C6)的判斷矩陣分別為：

B1-C(C1-C4)與 B3-C(C7-C9)的判斷矩陣分別為：

3.3 可信度權(quán)重計算和一致性檢驗

采用 “冪法”計算各因素的權(quán)重并進行一致性檢驗可得：

A1對應的特征值與權(quán)重分別為：

利用前面的公式得到一致性檢驗結(jié)果為：CI=0，RI=0.891，CR=0＜0.1，滿足一致性。A2對應的特征值與權(quán)重分別為：

一致性檢驗結(jié)果為：CI=0，RI=0.520，CR=0＜0.1，滿足一致性。

A3對應的特征值與權(quán)重分別為：

一致性檢驗結(jié)果為：CI=0，RI=0，CR=0＜0.1，滿足一致性。

A4對應的特征值與權(quán)重分別為：

一致性檢驗結(jié)果為：CI=0，RI=0，CR=0＜0.1，滿足一致性。

A5對應的特征值與權(quán)重分別為：

利用前面的公式得到一致性檢驗結(jié)果為：CI=0.071 8，RI=0.891，CR=0.08＜0.1，滿足一致性。

A6對應的特征值與權(quán)重分別為：一致性檢驗結(jié)果為：CI=0.026 8，RI=0.520，CR=0.05＜0.1，滿足一致性。

A7對應的特征值與權(quán)重分別為：一致性檢驗結(jié)果為：CI=0.018 3，RI=0.52，CR=0.04＜0.1，滿足一致性。

3.4 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)可信度的計算

軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)中由于層次結(jié)構(gòu)底層的功能子模塊具有相對獨立的數(shù)學模型或仿真結(jié)果輸出，因此其仿真可信度的評估較為簡單。根據(jù)元素性質(zhì)的不同，可以采用統(tǒng)計分析，統(tǒng)計模擬的結(jié)果，并與試驗資料進行比較，用秩和檢驗、t檢驗等方法獲得仿真可信性的置信度[6]；對于那些不易定量統(tǒng)計的模擬結(jié)果，可專家打分的方法進行綜合而得到可信性的置信度，但均須經(jīng)過仿真專家一致認同。經(jīng)專家反復對各個模塊綜合分析，得出認可的軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)底層功能模塊的置信度Sij的統(tǒng)計結(jié)果如表3(為簡便表3只列出部分值)，其余功能模塊可信度D16-D29為：92%，94%，95%，93%，91%，94%，92%，95%，91%，96%，92%，93%，94%，91%。

表3 軍工網(wǎng)絡(luò)安全模擬仿真系統(tǒng)底層功能模塊可信度

根據(jù)式 (6)及A1，A2，A3對應的權(quán)重并結(jié)合表3，就可計算出上一層C層的可信度值如下表4：

表4 C層元素可信度

同理，根據(jù)式 (6)及A4，A5，A6對應的權(quán)重并結(jié)合表4，就可計算出B1，B2，B3的可信度分別為：93.9%，93.4%，93.0%。

然后，按照加權(quán)求和辦法，從底層功能模塊D開始逐層向上，獲得整個仿真系統(tǒng)的可信度。最后根據(jù)（7）及A7對應的權(quán)重可算得軍工網(wǎng)絡(luò)安全仿真系統(tǒng)的仿真可信度為93.6%，通過進行多次軍工網(wǎng)絡(luò)安全仿真系統(tǒng)的仿真試驗，然后與實際的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)比較，實際情況表明仿真結(jié)果與實際數(shù)據(jù)結(jié)果基本一致，表明系統(tǒng)具有較高的可信度。

4 結(jié)束語

本文利用定性和定量相結(jié)合的AHP方法來確定軍工網(wǎng)絡(luò)安全仿真系統(tǒng)可信度評估因素的權(quán)重，利用加權(quán)平均逐級計算各層可信度的方法。本文給出的綜合算法模型結(jié)合了定性和定量比較科學合理且易實現(xiàn)，可以方便地計算仿真可信度。但層次分析也存在一定的缺憾，即權(quán)值和底層指標可信度的確定都不同程度地依賴專家經(jīng)驗，這不可避免地包含人為主觀因素[7]。因此，仿真系統(tǒng)可信性評估方法還需要不斷地研究和探索。

[1]焦鵬，查亞兵.層次分析法在制導仿真系統(tǒng)可信度評估中的應用 [J].計算機仿真，2005，22（9）：68-72.

[2]郭巍，李云芝，姜振東.用相似理論討論仿真的可信度[J].系統(tǒng)仿真學報，1999（2）：113-115.

[3]肖斌.計算機仿真系統(tǒng)的可信度評估 [J].計算機仿真，2000，17（4）： 18-20.

[4]王冬海，雷璟，司瑞斌.網(wǎng)絡(luò)信息安全模擬仿真評估方案研究 [J].中國電子科學研究院學報，2006，（2）：171-178.

[5]張淑麗，楊遇峰，關(guān)世義.導彈仿真系統(tǒng)可信度評估的層次分析法 [J].戰(zhàn)術(shù)導彈技術(shù)，2005，1（1）：23-28.

[6]盧志忠，李鋒，袁贛南.基于層次分析法的航行模擬器仿真可信度研究 [J].計算機仿真.2008，（3）：90-94.

[7]徐士良.數(shù)值方法與計算機實現(xiàn) [M].北京：清華大學出版社，2006.218-225.

[8]李鵬波，謝紅衛(wèi).現(xiàn)代譜估計方法在仿真可信性研究中的應用 [J].計算機仿真，1999，16（1）：45-48.