路鵬飛 鄒博松 李京泰

摘? ?要：隨著網(wǎng)聯(lián)化逐漸成為當今汽車技術(shù)發(fā)展的主流趨勢之一，車載端信息安全問題也隨之日益緊迫。作為加固信息安全風(fēng)險點、制定安全技術(shù)要求的必要條件之一，研究科學(xué)合理的車載端信息安全評價方法，對于提升車載端信息安全水平具有重要意義。文章基于熵值法、基于指標相關(guān)性的指標權(quán)重確定方法（Criteria Importance Through Intercriteria Correlation，CRITIC）和前期工作成果，介紹了一種新型的綜合主、客觀權(quán)重信息的定量評價方法，并基于對車載端信息安全風(fēng)險點的梳理，給出了智能網(wǎng)聯(lián)汽車信息安全評價權(quán)重具體計算過程。通過對熵值法和CRITIC法的組合運用，全面考慮了原始評價數(shù)據(jù)的離散型、沖突性以及變異性，使所得綜合權(quán)重更加合理。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車;熵值法;CRITIC賦值法;定量評價

中圖分類號： O236.2? ? ? ? ? 文獻標識碼：A

1 引言

在智能化、網(wǎng)聯(lián)化趨勢的推動下，汽車產(chǎn)品逐步融合信息技術(shù)，通過廣泛的信息交互和數(shù)據(jù)共享實現(xiàn)復(fù)雜通信場景下的V2X功能，主流汽車廠商紛紛推出網(wǎng)聯(lián)汽車相關(guān)的典型應(yīng)用產(chǎn)品，搶奪市場發(fā)展先機，并提升了用戶的使用體驗。與此同時，高度網(wǎng)聯(lián)化的汽車產(chǎn)品也暴露出更多的信息安全隱患，成為不法分子實施惡意攻擊、數(shù)據(jù)篡改、非法訪問控制，危害車輛安全的風(fēng)險點。

根據(jù)調(diào)查研究，2010年至今，由CVE（Common Vulnerabilities & Exposures）公共漏洞和暴露數(shù)據(jù)庫收錄的與汽車產(chǎn)品相關(guān)的信息安全漏洞超過70例。漏洞涉及T-BOX、車載WiFi、車載藍牙、IVI、鑰匙、OBD、網(wǎng)關(guān)、V2X等多種汽車設(shè)備，攻擊形式包括遠程和本地攻擊，可造成的攻擊結(jié)果包括信息泄露、數(shù)據(jù)內(nèi)容篡改、拒絕服務(wù)、惡意代碼執(zhí)行、系統(tǒng)凍結(jié)、身份憑證竊取、腳本注入、遠程控制等，嚴重影響車內(nèi)和車際信息安全。2019年，中國汽車信息安全共享分析中心（C-Auto-ISAC）在天津發(fā)布汽車信息安全十大風(fēng)險，包括不安全的云端接口、未經(jīng)授權(quán)的訪問、系統(tǒng)存在的后門、不安全的車載通訊、車載網(wǎng)絡(luò)未做安全隔離、系統(tǒng)固件可被提取及逆向、不安全的第三方組件、敏感信息泄漏、不安全的加密和不安全的配置。

隨著車載信息系統(tǒng)日益復(fù)雜，安全漏洞的分布將更加繁雜，潛在的攻擊路徑交錯，安全風(fēng)險威脅程度各異，給信息安全測試和安全加固工作帶來沉重負擔。為此，需要全面梳理整車信息交互系統(tǒng)架構(gòu)，并為之制定科學(xué)的評價體系，從而為汽車信息安全保障工作提供邏輯支持。近年來，研究人員也開始關(guān)注汽車信息安全，其中2011年Stephen Checkoway等人對汽車外部攻擊入口進行了梳理，并對多種遠程攻擊方式進行了描述[1];Jonathan Peti等人在2015年首次對網(wǎng)聯(lián)汽車面臨的潛在安全攻擊路徑進行了較為全面的梳理[2];2016年，甘杰夫和張潔對網(wǎng)聯(lián)汽車的安全風(fēng)險和潛在的傳播路徑進行了梳理，并提出了一種風(fēng)險評估方法[3];2017年，桂麗分析了網(wǎng)聯(lián)汽車的常用攻擊目標和攻擊技術(shù)，并提出了汽車信息安全防護的關(guān)鍵技術(shù)[4]。隨著汽車技術(shù)的快速發(fā)展，車載端信息系統(tǒng)架構(gòu)更加復(fù)雜，攻擊手段更加多樣。需要基于研究人員的前期成果，對汽車網(wǎng)聯(lián)汽車的車載端系統(tǒng)進行全面梳理，呈現(xiàn)出清晰的系統(tǒng)架構(gòu)，為整車信息安全風(fēng)險評估建立基礎(chǔ)。

構(gòu)建信息安全評價系統(tǒng)的另一項重要內(nèi)容是制定科學(xué)、客觀、可量化的評價方法，從而直觀體現(xiàn)評價結(jié)果，為信息安全技術(shù)開發(fā)人員提供準確參考。目前，主流的定量評價方法分為主觀賦值和客觀賦值兩種。其中，主觀賦值包括模糊綜合評價法、層次分析法、主觀加權(quán)等方法。主觀賦值簡單易行，充分利用了相關(guān)人員的技術(shù)背景與經(jīng)驗，但也會因個人主觀因素的影響而使賦值結(jié)果產(chǎn)生相當程度的偏差。客觀分析法包括主成分分析法、熵值法、BP神經(jīng)網(wǎng)絡(luò)法、CRITIC法等[5～8]。客觀分析法可以有效地避免因主觀因素帶來的誤差，保障評價系統(tǒng)的嚴謹性，但客觀賦值法通常要求評價對象具備一定的樣本數(shù)量，從而通過數(shù)學(xué)計算對已有數(shù)據(jù)進行篩選，進而確定權(quán)重。同時，各種客觀賦值方法中所關(guān)注的因素也不相同，如主成分分析法關(guān)注變量間的相關(guān)性。熵值法則側(cè)重指標的變異性，各種方法均存在利弊，通過結(jié)合不同賦值方法可以得到更加合理的賦值結(jié)果。例如，CRITIC算法由于考慮了指標內(nèi)的相關(guān)性和指標間的沖突性，而被認為是相對完善的客觀賦權(quán)方法，但是由于其沒有考慮數(shù)據(jù)之間的離散性，可以通過與熵權(quán)法結(jié)合進行改良[9]。

2 方法論

2.1整車網(wǎng)絡(luò)安全體系

本文提出的智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全評價方法，是建立在智能網(wǎng)聯(lián)汽車整車網(wǎng)絡(luò)安全研究的基礎(chǔ)之上。基于對智能網(wǎng)聯(lián)汽車整車系統(tǒng)架構(gòu)和運行環(huán)境的分析，將整車網(wǎng)絡(luò)安全分為車內(nèi)/車外系統(tǒng)安全和車內(nèi)/車外網(wǎng)絡(luò)安全四個方面，每個方面的安全

有相應(yīng)的關(guān)鍵零部件安全支撐，而各模塊的安全又有硬件安全、通信安全、數(shù)據(jù)安全、訪問控制等安全機制予以保障，從而形成清晰的整車網(wǎng)絡(luò)安全體系。如圖1所示，整個體系從整車到系統(tǒng)到關(guān)鍵零部件到安全機制，由上而下分為整車、系統(tǒng)、零部件、安全機制四個層次，

2.2 重要性指數(shù)判定

針對圖1所示的評價體系，對本文的評價方法有四個主要步驟構(gòu)成，即重要性指數(shù)判定、層次分析法主觀權(quán)重計算、熵值法與CRITIC法客觀權(quán)重計算、綜合權(quán)重計算。

其中，重要性指數(shù)判定是從攻擊和防御兩個方面入手，以攻擊/防御成本和攻擊/防御收益四個基本要素為出發(fā)點，對汽車通信系統(tǒng)第四層中的各個安全機制進行分析。攻擊成本考慮了“攻擊路徑（遠程攻擊/本地攻擊）”“攻擊復(fù)雜度（是否需要專業(yè)人員或?qū)Ｓ霉ぞ叩龋薄罢J證（是否需要獲取認證）”三方面的因素;攻擊收益由“資產(chǎn)重要度”和“固有致命度”決定，“資產(chǎn)重要度”包括主機類型和操作系統(tǒng)類型兩項評價指標;“固有致命度”可依據(jù)漏洞編號，在CVSS官網(wǎng)中查詢分值。通常在理想狀況下，信息安全攻擊收益等于防御收益。防御成本則由“漏洞補丁修復(fù)等級”“漏洞滲透代碼可利用性”“漏洞報告可信度”“漏洞攻擊復(fù)雜度”“漏洞破壞性（由機密性、完整性、可用性三方面衡量）”“主機類型”六個方面因素組成。依據(jù)上述評價指標對各評價對象重要性進行打分的取值區(qū)間和最終重要性指數(shù)的計算方法可參照參考文獻[7]。

重要性指數(shù)的作用在于兩個方面。第一，邀請多組行業(yè)專家參考國際通用的方法確定各安全機制的重要性指數(shù)，為開展客觀權(quán)重計算提供了數(shù)據(jù)基礎(chǔ)，使得依賴于原始數(shù)據(jù)的客觀評價得以開展。第二，通過將已確定的重要性指數(shù)進行兩兩比較可以方便的得到開展主觀評價（層次分析法）所需的重要性判斷矩陣，且能夠確定判斷矩陣滿足一致性要求，無需再通過計算判斷矩陣的最大特征根和一致性指標進行驗證，進一步提升了操作的便利性。

2.3 客觀權(quán)重計算方法

獲取各安全機制的重要性指數(shù)后，可參照參考文獻中[7]中所描述的AHP層次分析法計算出評測體系中各層的評價對象針對上層相關(guān)要素的主觀權(quán)重。

主觀權(quán)重確定之后，為了降低層次分析法計算結(jié)果的主觀隨意性，使評價結(jié)果更加合理，本文使用熵值法和CRITIC賦值法結(jié)合的方式對評價對象進行客觀賦權(quán)，并將客觀賦權(quán)的結(jié)果與主觀賦權(quán)結(jié)果相結(jié)合，從而在參考評價技術(shù)人員個人技術(shù)經(jīng)驗的同時運用數(shù)學(xué)方法兼顧評價結(jié)果的客觀性。

針對客觀賦權(quán)法的研究是本文的重點。傳統(tǒng)的客觀賦權(quán)方法包括主成分分析法、熵值法、BP神經(jīng)網(wǎng)絡(luò)法和CRITIC法等。其中，主成分分析法需要被評價的指標間存在一定的相關(guān)關(guān)系才能繼續(xù)下去;而BP神經(jīng)網(wǎng)絡(luò)法則需要先驗結(jié)果;熵值法則側(cè)重某項指標的變異性，但忽視了指標本身的重要程度。相比之下，CRITIC算法考慮了各指標自身的對比強度及指標間的沖突性，能夠較全面的衡量各指標重要性，因而被作為一種相對完善賦權(quán)算法，被廣泛使用。

從對熵值法和CRITIC法的原理進行對比可以發(fā)現(xiàn)，二者之間存在完美的互補性，如果將二者結(jié)合，則可以在客觀賦權(quán)過程中既充分考慮各指標數(shù)據(jù)已有的特性，也可以兼顧數(shù)據(jù)的變異性。具體而言，CRITIC法是對已有數(shù)據(jù)本身性質(zhì)進行分析，考慮了指標內(nèi)數(shù)據(jù)的離散性和指標間數(shù)據(jù)的沖突性，但這種分析是建立在對已有數(shù)據(jù)充分信任的基礎(chǔ)上。換言之，認為現(xiàn)有原始數(shù)據(jù)是對各評價指標的最合理判定，其他可能出現(xiàn)的判定結(jié)果不應(yīng)被采納。而這種假設(shè)條件顯然是與事實不符的。因為在本文中，智能網(wǎng)聯(lián)汽車安全機制的原始判定數(shù)據(jù)來自于主觀賦權(quán)，由不同專家對于評價指標的原始判定往往是基于不同的專業(yè)背景、專業(yè)認知和經(jīng)驗積累等因素，因而主觀判定結(jié)果不能窮舉，且任何判定結(jié)果都是存在一定可信度的。即任何單純基于CRITIC法的客觀賦權(quán)結(jié)果，都僅能體現(xiàn)一組特定專家團隊的專業(yè)認知，專家團隊的規(guī)模越大，則原始數(shù)據(jù)所覆蓋的情況越豐富，賦權(quán)結(jié)果理論上越接近于真值，但龐大的專家團隊往往是不現(xiàn)實的。而熵值法則考慮了某個指標（安全機制）各原始判定數(shù)據(jù)發(fā)生的概率，即某一數(shù)據(jù)出現(xiàn)的概率越低，則其發(fā)生時所能給出的信息量越大。同時，熵值法也考慮了某個指標所有信息量的期望值，從而衡量了某個指標自身的復(fù)雜程度或變異能力，如果指標越復(fù)雜，出現(xiàn)不同情況的種類越多，那么它的信息熵是比較大的，反則反之。因而可以認為熵值法從概率的角度考慮了各個評價指標發(fā)展變化的可能性，并將其作為客觀賦值算法的變量之一，從而對基于確定原始數(shù)據(jù)的CRITIC算法形成了完美補充。

在基于熵值法和CRITIC法計算出各專家的權(quán)重后，將依據(jù)各專家判定數(shù)據(jù)計算出的AHP層次分析法權(quán)重與相應(yīng)的專家權(quán)重相乘后求和，即得出各安全機制的主客觀綜合權(quán)重。同理，可得出零部件層和系統(tǒng)層相對于上一層的權(quán)重，逐層計算后，可依據(jù)對安全機制的信息安全評價，得出智能網(wǎng)聯(lián)汽車整車的信息安全水平量化指標。

綜上所述，智能網(wǎng)聯(lián)汽車信息安全評價系統(tǒng)的工作流程如圖2所示。

3 定量評價實施過程

3.1客觀權(quán)重確定的熵值法

所有評價指標的重要性指數(shù)集合即為重要性指數(shù)矩陣M，其中表示第j位專家為第i項指標制定的重要性指數(shù)。

首先對各指標的重要性數(shù)據(jù)進行歸一化處理，消除各指標之間含義、度量方式及量級的差別。歸一化公式為：

對于正向指標：

對于負向指標：

其中，正向指標是指取值越大，重要性越高的指標;負向指標是指取值越大，重要性越低的指標。從而得到歸一化矩陣為：

基于歸一化矩陣，計算第j位專家數(shù)據(jù)的熵值為：

，

（i=1、2、3...，m）

其中，

n表示樣本總數(shù)，在本文中為專家數(shù)據(jù)的組數(shù);為出現(xiàn)的概率。

根據(jù)信息論中對信息熵性質(zhì)的描述，的值與取值的大小無關(guān)，而是衡量出現(xiàn)特定取值的概率[10]，因而不能用的取值與第i項指標所有專家數(shù)據(jù)之和的比值計算。本文中，為了便于實施，將第i（i=1、2、3...m）項指標的取值范圍平分為n等份，則等于與處于同一取值區(qū)間的專家數(shù)據(jù)的個數(shù)與n的比值，并規(guī)定，當時，。

基于第i項指標的熵值，可以計算出第i項指標的權(quán)重為：

3.2 客觀權(quán)重確定的CRITIC法

在CRITIC客觀權(quán)重計算過程中，針對歸一化矩陣：

對矩陣M中的每一列分別進行標準差運算：

，

（j=1，2…，n）

是第y組重要性指數(shù)的標準差，其代表了各個評價指標重要性指數(shù)取值差距的大小。

接下來計算第i組和第j組重要性指數(shù)數(shù)據(jù)之間的相關(guān)系數(shù)：

，

（i，j=1，2…，n）

則各權(quán)重向量所包含的信息量可由公式表示：

第j個權(quán)重向量所對應(yīng)的CRITIC權(quán)重為：

各專家數(shù)據(jù)的客觀權(quán)重為：，（j=1、2、3...，n）

將進行歸一化處理即可得到個專家數(shù)據(jù)的客觀權(quán)重向量。

參考文獻[7]中所面熟的方法，將客觀權(quán)重向量 與基于AHP層次分析法計算得出的主管權(quán)重向量結(jié)合，得出智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全水平綜合權(quán)重架構(gòu)。

4 結(jié)束語

本文提出的智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全水平綜合權(quán)重計算方法，結(jié)合了AHP層次分析法、熵值法和CRITIC客觀賦權(quán)法，綜合考慮了原始數(shù)據(jù)的變異性、沖突性和離散度，并充分運用了專業(yè)技術(shù)人員的背景經(jīng)驗，能夠在充分運用業(yè)內(nèi)專家的專業(yè)經(jīng)驗的基礎(chǔ)上，有效地規(guī)避了因人為賦值造成的主觀隨意性，從而為重要性賦權(quán)提供了可靠依據(jù)。

本文中介紹的評價方法尚未經(jīng)過實際測試評價工作的檢驗。未來將在實地的智能網(wǎng)聯(lián)汽車信息安全評價過程中對本方法進行實施和驗證，及時發(fā)現(xiàn)問題并加以改進，使其成為可行、可靠、并具備較高公信力的評價方法。

基金項目：

國家自動駕駛電動汽車集成與示范項目（項目編號：2018YFB0105204）。

參考文獻

[1] Stephen Checkoway， Damon Mccoy， Brian Kantor， et al.Comprehensive Experimental Analyses of Automotive Attack Surfaces [A].Venue： USENIX SECURITY.

[2] Jonathan Petit， Steven E. Shladover. Potential Cyberattacks on Automated Vehicle [J].IEEE Trans on Intelligent Transportation Systems，2015，16 （2）： 546-556.

[3] 甘杰夫，張潔.網(wǎng)聯(lián)汽車系統(tǒng)信息安全及其風(fēng)險評估方法[A].2016中國汽車工程學(xué)會年會論文集，2011.

[4] 桂麗.移動互聯(lián)汽車信息安全風(fēng)險研[J].Telecommunication Network Technology，NO.6，2017.

[5] 陳偉，夏建華.綜合主、客觀權(quán)重信息的最有組合賦權(quán)方法[J].數(shù)學(xué)的時間與認識，2007，37（1）.

[6] 陳秀真，吳越，李建華.車載信息系統(tǒng)的安全測評體系及方法[J].信息安全學(xué)報， 2017，2（02）：15-23.

[7] 路鵬飛，薛曉卿，丁文龍，朱科屹.智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全水平定量評價方法研究[J].中國科技縱橫，2019（1）.

[8] 黃加增.基于模糊數(shù)學(xué)的網(wǎng)絡(luò)安全評價模型研究[J].網(wǎng)絡(luò)空間安全，2020，11（4）：1-.

[9] 劉志惠，黃志剛.P2P網(wǎng)絡(luò)借貸平臺風(fēng)險識別及度量研究[J].合肥工業(yè)大學(xué)學(xué)報，2019，33（02）.

[10] 李航.統(tǒng)計學(xué)習(xí)方法[A].北京：清華大學(xué)出版社，2012-3.

作者簡介：

路鵬飛（1986-），男，漢族，河南商丘人，英國巴斯大學(xué)，博士，中國軟件評測中心智能網(wǎng)聯(lián)汽車測評工程技術(shù)中心，工程師;主要研究方向和關(guān)注領(lǐng)域：智能網(wǎng)聯(lián)汽車信息安全、功能安全測試與評價技術(shù)。

鄒博松（1986-），男，漢族，北京人，英國牛津布魯克斯大學(xué)，碩士，中國軟件評測中心智能網(wǎng)聯(lián)汽車測評工程技術(shù)中心，工程師;主要研究方向和關(guān)注領(lǐng)域：智能交通、車聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、自動駕駛。

李京泰（1994-），男，漢族，四川營山人，香港科技大學(xué)，碩士，中國軟件評測中心智能網(wǎng)聯(lián)汽車測評工程技術(shù)中心，工程師;主要研究方向和關(guān)注領(lǐng)域：車載智能計算平臺、信息安全，關(guān)注領(lǐng)域自動駕駛、智能網(wǎng)聯(lián)汽車、汽車電子。