基于威脅狀態(tài)的新型機載網(wǎng)絡(luò)安全風(fēng)險評估改進(jìn)模型

李國 李靜雯 王靜 徐俊潔 王鵬

關(guān)鍵詞： 風(fēng)險評估; 機載網(wǎng)絡(luò)安全; 風(fēng)險源; 威脅狀態(tài); 層次分析法; 灰色定權(quán)聚類法

中圖分類號： TN915.08?34; TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)識碼： A ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）02?0041?05

A security risk assessment improved model based on threat status

for new airborne networks

LI Guo1， LI Jingwen1， WANG Jing1， XU Junjie1， WANG Peng2

（1. School of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Tianjin Key Laboratory for Civil Aircraft Airworthiness and Maintenance， Civil Aviation University of China， Tianjin 300300， China）

Abstract： The wide application of various portable airborne equipments in new aircrafts makes the interconnection and interoperability between various network domains inside aircrafts enhanced， but it also exposes more and more risk sources. The traditional airborne network security risk assessment methods can only handle the isolated risk sources of general networks， and are not effectively suitable for highly?connected and complex new aviation airborne network environments. In allusion to the problem that a single risk source analysis may not be able to determine the risk level， an improved model for calculating risk levels based on threat status and risk sources is proposed， so as to accurately assess the security risk status of new aviation airborne networks. The risk sources and threat status of the new airborne network architecture are analyzed. The analytic hierarchy process is used to construct two index systems. The grey fixed?weight clustering method is adopted to calculate the coefficient of fixed?weight clustering. The two assessment results are combined to determine the risk level of the airborne network. The experimental results show that the assessment result is consistent with the actual risk status of the airborne network， and the proposed model is an effective security risk assessment method for new aviation airborne networks.

Keywords： risk assessment; airborne network security; risk source; threat status; analytic hierarchy process; grey fixed?weight clustering method

0 ?引 ?言

飛行安全是航空界永恒的主題，伴隨著機載WiFi加改裝的廣泛實施以及航空機載電子飛行包（Electronic Flight Bag）等便攜式機載設(shè)備的廣泛應(yīng)用，令黑客接入攻擊的風(fēng)險越來越高;新型機載網(wǎng)絡(luò)采用了先進(jìn)的綜合模塊化航電系統(tǒng)網(wǎng)絡(luò)架構(gòu)，具有資源高度共享，數(shù)據(jù)高度融合和軟件高度密集等特點，支持更多網(wǎng)絡(luò)域的交互，包括機載數(shù)據(jù)網(wǎng)絡(luò)與公共網(wǎng)絡(luò)、信息開放網(wǎng)絡(luò)建立無數(shù)的數(shù)據(jù)通信，允許單用戶或多用戶（機組）完成不同任務(wù)，甚至有時多個用戶被授權(quán)訪問體統(tǒng)數(shù)據(jù)，與傳統(tǒng)航空機載網(wǎng)絡(luò)結(jié)構(gòu)大不相同[1?2]。傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險評估方法只單純分析通用網(wǎng)絡(luò)現(xiàn)有的風(fēng)險點[3?4]，并不能夠很好地解決高度互聯(lián)的新型機載網(wǎng)絡(luò)環(huán)境所存在的風(fēng)險評估問題：只單次分析風(fēng)險源，忽略風(fēng)險源之間互相影響造成的威脅狀態(tài);風(fēng)險源等因素評價標(biāo)準(zhǔn)各不相同，邊界難以確定統(tǒng)一。因此從新型機載網(wǎng)絡(luò)各網(wǎng)域交互以及風(fēng)險源的特點出發(fā)，挖掘其風(fēng)險源與威脅狀態(tài)的行為模式，設(shè)計一種能有效確定新型機載網(wǎng)絡(luò)風(fēng)險狀況的風(fēng)險評估方法，是亟待解決的問題。

針對新型機載網(wǎng)絡(luò)的特性，可參考的評估方法有：張雙等人提出一種適用于機載系統(tǒng)的安保風(fēng)險評估方法，給出針對整個機載系統(tǒng)的安保風(fēng)險評估過程，但沒有針對機載網(wǎng)絡(luò)安全的風(fēng)險進(jìn)行具體分析和計算，沒有得到量化的評估結(jié)果[4];李林等人采用層次分析法對各層指標(biāo)權(quán)重進(jìn)行量化，結(jié)合逼近理想解排序方法計算風(fēng)險值，評估無線網(wǎng)絡(luò)的安全狀況，該方法易于操作但未考慮風(fēng)險之間的相互關(guān)系，并不適用于復(fù)雜的機載網(wǎng)絡(luò)安全環(huán)境[5];趙冬梅等人提出一種信息系統(tǒng)的綜合風(fēng)險評估模型，采用層次分析法和模糊邏輯法計算風(fēng)險因素的風(fēng)險值;雖然引入信息熵計算整個系統(tǒng)的綜合風(fēng)險度，但風(fēng)險值的計算仍過分依賴于專家經(jīng)驗[6]。針對新型航空機載網(wǎng)絡(luò)的特點和上述方法存在的不足，引入威脅狀態(tài)的分析對網(wǎng)絡(luò)安全風(fēng)險狀況進(jìn)行輔助判斷;并通過對白化數(shù)據(jù)的灰化處理，降低了不同的評價標(biāo)準(zhǔn)邊界對評估結(jié)果的影響;模型能夠彌補單次評估無法確定風(fēng)險等級的不足，提高了評估的準(zhǔn)確性和魯棒性。

1 ?方法概述

1.1 ?層析分析法

層次分析法是一種定性和定量相結(jié)合的系統(tǒng)化層次權(quán)重決策分析方法[7?8]。利用該方法進(jìn)行指標(biāo)權(quán)重的賦值簡單實用，所需的定量信息少，為接下來的風(fēng)險值的計算提供了基礎(chǔ)，具體實現(xiàn)步驟如下：

1） 構(gòu)建評價指標(biāo)體系，一般分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層三部分。

2） 專家打分建立判斷矩陣[B*=bij]，并檢驗一致性。其中[bij]是以上層某一元素為標(biāo)準(zhǔn)，下層各指標(biāo)相對于該元素的重要性，采用Saaty提出的標(biāo)度法進(jìn)行兩兩比較得到，如表1所示。

3） 計算相對權(quán)重及合成權(quán)重。相對權(quán)重即被比較元素相對于上一層的重要程度，一般采用方根法計算并進(jìn)行歸一化處理：

[Mi=j=1nbij， ?i=1，2，…，n] （2）

[W=W1，W2，…，WnT，Wi=Wii=1nWi] （3）

對于與最上層直接關(guān)聯(lián)的指標(biāo)，其合成權(quán)重等于相對權(quán)重;否則等于該指標(biāo)的相對權(quán)重和其上層關(guān)聯(lián)元素的合成權(quán)重之積。

1.2 ?灰色定權(quán)聚類法

灰色定權(quán)聚類法是以灰色的白化權(quán)函數(shù)生成為基礎(chǔ)的一種聚類方法。該方法運算簡潔，結(jié)論簡明，通過對白化數(shù)據(jù)的灰化處理，保證了評估結(jié)果的準(zhǔn)確客觀，又提高了數(shù)據(jù)的利用率[9]。

設(shè)[ηj（j=1，2，…，m）]是各聚類指標(biāo)的權(quán)，設(shè)[σkj]為對象[i]屬于[k]灰類的灰色定權(quán)聚類系數(shù)：

[σkj=j=1mfkjxij·ηj] ? （4）

設(shè)有[m]個指標(biāo)，[n]個對象，[s]個灰類，將對象[i]歸入某灰類中，具體實現(xiàn)步驟如下：

1） 根據(jù)專家經(jīng)驗確定[j]指標(biāo)[k]子類的白化權(quán)函數(shù)[fkj·（j=1，2，…，m;k=1，2，…，s）];

2） 根據(jù)層次分析法的計算結(jié)果確定各指標(biāo)的聚類系數(shù)[ηj（j=1，2，…，m）];

3） 根據(jù)步驟1）、步驟2）以及式（4）計算灰色定權(quán)聚類系數(shù)[σkj];

4） 對向量作聚類分析，判定對象[i]屬于灰類[k]：

[σkj=max1σkj] ?（5）

2 ?風(fēng)險評估改進(jìn)模型

2.1 ?風(fēng)險源及威脅狀態(tài)分析

為了實現(xiàn)對風(fēng)險源及威脅狀態(tài)的分析、建模，本文首先研究了新型機載網(wǎng)絡(luò)的架構(gòu)設(shè)計模式[10?11]。

由于飛機機載數(shù)據(jù)網(wǎng)絡(luò)與地面公共網(wǎng)絡(luò)的安保等級不同，一般飛機主要分為飛機控制域，航空公司信息服務(wù)域，旅客信息和機載娛樂域;而新型機載網(wǎng)絡(luò)細(xì)分為飛機控制域、信息受信域、信息開放域、客艙網(wǎng)絡(luò)域和公共網(wǎng)絡(luò)域。得到的新型機載網(wǎng)絡(luò)互聯(lián)架構(gòu)示意圖如圖1所示。

不同風(fēng)險源對機載網(wǎng)絡(luò)安全和資產(chǎn)造成的威脅不同，其威脅狀態(tài)也不同，根據(jù)對網(wǎng)絡(luò)架構(gòu)的分析，充分考慮不同網(wǎng)絡(luò)域之間的交互及可能的風(fēng)險因素，將風(fēng)險源和威脅狀態(tài)分析總結(jié)，具體如表3所示。

2.2 ?建立兩個評估指標(biāo)體系

1） 從各風(fēng)險源的風(fēng)險概率、影響以及不可控制性三個屬性入手，建立評估指標(biāo)體系：最高層即目標(biāo)層[a]為要達(dá)到的風(fēng)險評估目標(biāo);第二層即屬性層[b]分別為風(fēng)險源的風(fēng)險概率[b1]，風(fēng)險影響[b2]和不可控制性[b3];第三層是方案層[c]，即表3中的各個風(fēng)險源：網(wǎng)關(guān)與各網(wǎng)域接口點[c1]、各網(wǎng)域之間接口點[c2]、軟件平臺與機載娛樂系統(tǒng)數(shù)據(jù)交互點[c3]、[c4]乘務(wù)使用PAD、電子飛行包[c5]，非法用戶進(jìn)入機載網(wǎng)絡(luò)[c6]。構(gòu)造的評估體系如圖2所示。

2） 針對威脅狀態(tài)建立評估指標(biāo)體系，考慮其對網(wǎng)絡(luò)信息資產(chǎn)保密性、完整性和可用性的影響：目標(biāo)層[a]是要達(dá)到的風(fēng)險評估目標(biāo);屬性層[b]是保密性[b1]、完整性[b2]和可用性[b3]。參照表3中各風(fēng)險源的威脅狀態(tài)，將其具體分為五類構(gòu)成第三層方案層[c]：獲取信息[c1]、篡改信息[c2]、利用服務(wù)[c3]、拒絕服務(wù)[c4]、提升權(quán)限非法操作[c5]。構(gòu)造的評估體系如圖3所示。

2.3 ?綜合評估

由網(wǎng)絡(luò)架構(gòu)、風(fēng)險源以及威脅狀態(tài)的分析可知，各風(fēng)險源與威脅狀態(tài)相互影響，因此將威脅狀態(tài)引入改進(jìn)模型，在只分析風(fēng)險源無法確定評估結(jié)果的情況下，加入對威脅狀態(tài)的分析，建立第2.2節(jié)所示的評估指標(biāo)體系。通過威脅狀態(tài)的評估結(jié)果，輔助得出綜合評估結(jié)論：

1） 先進(jìn)行風(fēng)險源指標(biāo)體系的評估計算，若評估結(jié)果清晰，且與專家打分基本一致，則結(jié)果有效;

2） 若根據(jù)風(fēng)險源指標(biāo)體系計算得到的結(jié)果無法準(zhǔn)確判斷網(wǎng)絡(luò)安全風(fēng)險狀況，或?qū)＜乙庖娤嘧?，則進(jìn)行威脅狀態(tài)指標(biāo)體系的計算，輔助判斷風(fēng)險狀況;

3） 若由威脅狀態(tài)指標(biāo)體系計算的結(jié)果與風(fēng)險源指標(biāo)體系結(jié)果相差較大，則邀請第三方專家重新打分，重新進(jìn)行風(fēng)險評估。

3 ?案例分析

3.1 ?風(fēng)險源評估指標(biāo)體系

1） 邀請兩位機載網(wǎng)絡(luò)安全的專家根據(jù)GB/T 22239—2008[12]，GB/T 22240—2008[13]以及某一測試機載網(wǎng)絡(luò)環(huán)境信息對圖2中的準(zhǔn)則層指標(biāo)進(jìn)行賦值，加權(quán)平均后得到判斷矩陣如下：

[B*=142.828 40.2510.316 20.353 63.162 31]

由式（1）計算得到[CR=0.052<0.1]，符合一致性要求。根據(jù)式（2）、式（3）得到指標(biāo)層合成權(quán)重為：

[W*b1=0.222 9，0.088 8，0.047 1，0.047 1，0.085 9，0.021 6T，]

[W*b2=0.042 6，0.017 0，0.009 0，0.009 0，0.016 4，0.021 6T，]

[W*b3=0.103 1，0.041 1，0.021 8，0.021 8，0.039 7，0.052 3T]

2） 對機載網(wǎng)絡(luò)風(fēng)險等級進(jìn)行劃分，分為5個風(fēng)險等級，即5個灰類，如表4所示。

3.2 ?威脅狀態(tài)評估指標(biāo)體系

1） 對圖3中準(zhǔn)則層指標(biāo)賦值，構(gòu)造判斷矩陣：

[B*=10.816 50.277 41.224 710.534 53.605 61.870 81]

經(jīng)計算[CR=0.022<0.1]，符合一致性要求。得到權(quán)重為：

[W*b1=0.104 7，0.258 3，0.105 0，0.099 0，0.099 0T]，

[W*b2=0.142 2，0.234 0，1 050，0.049 0，0.088 5T]，

[W*b3=0.136 5，0.239 0，0.142 0，0.021 8，0.056 0T]

2） 由兩位專家進(jìn)行打分，得到的新型機載網(wǎng)絡(luò)風(fēng)險評估表如表6所示。

據(jù)式（5）可得：[σk1=σ21=0.460 7]，[σk2=σ22=0.431 2]，即[σ=maxσk1，σk2=σ21=0.460 7]，[k=2]。

3.3 ?實驗結(jié)果分析

分析風(fēng)險源指標(biāo)體系得到的計算結(jié)果，該網(wǎng)絡(luò)風(fēng)險所屬灰類即風(fēng)險等級為第二類，即“較低”風(fēng)險;但根據(jù)圖4顯示，風(fēng)險等級為“低”和“較低”的定權(quán)聚類系數(shù)差距較小，且兩位專家意見相反，單憑對風(fēng)險源的分析無法得出準(zhǔn)確清晰的結(jié)論，因此進(jìn)行對威脅狀態(tài)指標(biāo)體系的計算。威脅狀態(tài)指標(biāo)體系的計算結(jié)果顯示：網(wǎng)絡(luò)風(fēng)險所屬灰類即風(fēng)險等級為第二類，即“較低”風(fēng)險;圖5也清晰顯示，風(fēng)險等級為2的聚類系數(shù)明顯大于其他等級的值，綜合風(fēng)險源指標(biāo)體系的計算結(jié)果可知，該新型機載網(wǎng)絡(luò)安全風(fēng)險等級為“較低”。

4 ?結(jié) ?論

本文首先分析了新型機載網(wǎng)絡(luò)風(fēng)險評估的難點以及傳統(tǒng)風(fēng)險評估方法的不足，然后建立一種利用威脅狀態(tài)輔助評估的改進(jìn)模型。該模型提高了評估的準(zhǔn)確性和魯棒性，使其相較于單次分析風(fēng)險源的評估模型可以適應(yīng)更多場景。最后以某一機載網(wǎng)絡(luò)環(huán)境為例進(jìn)行實驗，證明模型可行并有效。下一步的工作是在確定新型機載網(wǎng)絡(luò)安全風(fēng)險狀況的基礎(chǔ)上，針對不同風(fēng)險選擇相應(yīng)的防護(hù)手段，對其進(jìn)行適航防護(hù)的研究，為適航審定技術(shù)手段建議的提出提供更多理論和技術(shù)支持。

參考文獻(xiàn)

[1] 牛文生.機載計算機技術(shù)[M].北京：航空工業(yè)出版社，2013.

NIU Wensheng. The airborne computer technology [M]. Beijing： Aviation Industry Press， 2013.

[2] KWAK K J， SAGDUYU Y， YACKOSKI J， et al. Airborne network evaluation： challenges and high fidelity emulation solution [J]. IEEE communications magazine， 2014， 52（10）： 30?36.

[3] 翁遲遲，齊法制，陳剛.基于層次分析法與云模型的主機安全風(fēng)險評估[J].計算機工程，2016，42（2）：1?6.

WENG Chichi， QI Fazhi， CHEN Gang. Host security risk assessment based on analytic hierarchy process and cloud model [J]. Computer engineering， 2016， 42（2）： 1?6.

[4] 張雙，孔德岐，李曉東.機載系統(tǒng)安保風(fēng)險評估方法[J].計算機工程與應(yīng)用，2013，49（16）：232?235.

ZHANG Shuang， KONG Deqi， LI Xiaodong. Security risk assessment methodology for airborne system [J]. Computer engineering and applications ， 2013， 49（16）： 232?235.

[5] 李林，劉毅，楊駿.無線網(wǎng)絡(luò)安全風(fēng)險評估方法的應(yīng)用研究[J].計算機仿真，2011，28（9）：147?150.

LI Lin， LIU Yi， YANG Jun. Application of wireless network safety risk assessment [J]. Computer simulation， 2011， 28（9）： 147?150.

[6] 趙冬梅，馬建峰，王躍生.信息系統(tǒng)的模糊風(fēng)險評估模型[J].通信學(xué)報，2007，28（4）：51?56.

ZHAO Dongmei， MA Jianfeng， WANG Yuesheng. Model of fuzzy risk assessment of the information system [J]. Journal on communications， 2007， 28（4）： 51?56.

[7] 郭金玉，張忠彬，孫慶云.層次分析法的研究與應(yīng)用[J].中國安全科學(xué)學(xué)報，2008，18（5）：148?153.

GUO Jinyu， ZHANG Zhongbin， SUN Qingyun. Study and applications of analytic hierarchy process [J]. China safety science journal， 2008， 18（5）： 148?153.

[8] 李振富，韓彬霞，李曉鵬，等.基于AHP的通信網(wǎng)風(fēng)險評估[J].現(xiàn)代電子技術(shù)，2011，34（19）：111?113.

LI Zhenfu， HAN Binxia， LI Xiaopeng， et al. Risk evaluation of military communication network based on AHP [J]. Modern electronics technique， 2011， 34（19）： 111?113.

[9] 鄧聚龍.灰理論基礎(chǔ)[M].武漢：華中科技大學(xué)出版社，2002.

DENG Julong. The course of grey system theory [M]. Wuhan： Huazhong University of Science and Technology Press， 2002.

[10] 張軍才，陳劍.民用飛機機載信息系統(tǒng)設(shè)計分析[J].計算機光盤軟件與應(yīng)用，2011（11）：5?6.

ZHANG Juncai， CHEN Jian. Design and analysis of civil aircraft airborne information system [J]. Computer CD software and applications， 2011（11）： 5?6.

[11] WOLF M， MINZLAFF M， MOSER M. Information technology security threats to modern e?enabled aircraft： a cautionary note [J]. Journal of aerospace information systems， 2014， 11（7）： 447?457.

[12] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求：GB/T 22239—2008[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

TC260. Information security technology： baseline for classified protection of information system security： GB/T 22239—2008 [S]. Beijing： Standards Press of China， 2008.

[13] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南：GB/T 22240—2008[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

TC260. Information security technology： classification guide for classified protection of information system： GB/T 22240—2008 [S]. Beijing： Standards Press of China， 2008.