物聯網信息安全風險評估研究

李若瑜　周亦鵬　方德英　彭迎濤

摘 要：近年來，物聯網產業發展迅猛，隨之而來的安全問題也越發引起社會關注。文中以物聯網USN體系結構為基礎建立了物聯網安全架構層次模型，從而對物聯網信息安全進行風險識別。然后利用AHP層次分析法建立物聯網信息安全風險指標體系，同時與BP神經網絡相結合，對物聯網進行信息安全風險評估，并驗證了此方法的有效性。

關鍵詞：物聯網；層次分析法；BP神經網絡；風險評估

中圖分類號：TP39 文獻標識碼：A 文章編號：2095-1302（2018）03-00-03

0 引 言

比爾·蓋茨曾在1995年所寫的《未來之路》一書中提及物聯網，但在當時并未引起社會的廣泛關注。1999年，美國麻省理工學院自動識別（MIT Auto-ID）中心的Ashton教授首次提出物聯網（Internet of Things， IoT）的概念，并指出早期的物聯網依托于射頻識別技術（RFID）而產生[1]。2005年11月，國際電信聯盟（ITU）發布的題為《ITU Internet reports 2005-the Internet of things》的報告中提出物聯網已不僅限于RFID技術，還涉及傳感器技術、納米技術和智能技術等。自2009年8月溫家寶總理提出“感知中國”以來，物聯網被正式列為國家五大新興戰略性產業之一，寫入“政府工作報告”，物聯網在我國受到了全社會的極大關注。

由于物聯網在各行各業的廣泛應用，其安全問題也日益突出。2016年11月，美國用戶遭遇了一次集體斷網，讓很多人陷入混亂之中。而斷網事件的根源是攻擊者利用大量物聯網設備對Dyn發起了大規模DDoS攻擊，致使包括Twitter，Spotify，Netflix，Github，Airbnb，Visa，CNN，華爾街日報等在內的上百家網站都無法正常訪問和登錄。隨著各式各樣的物聯網安全事件的發生，物聯網的安全隱患也逐漸暴露出來，因此需要通過對物聯網進行有效的風險評估以預防更多安全事件的發生。

Zhao等[2]從物聯網安全體系結構和特點入手，闡述了三層體系結構中存在的若干安全問題，并結合關鍵技術提出了解決方案。Elbouanani等[3]總結了涉及物聯網安全的標準和授權技術，并指出了與物聯網安全相關的研究所面臨的一些主要問題。Oleshchuk[4]研究了物聯網中用戶隱私技術保護的不同方法，特別是多方計算方法。Zhou等[5]根據事物的主要制度框架網絡研究了網絡安全模型，并討論了網絡安全機制的內容，針對各式安全威脅，給出了相應的安全措施和建議。

1 物聯網信息安全風險指標體系

1.1 物聯網安全架構層次模型

物聯網USN體系結構[6]自底向上將物聯網系統分為感知網、接入網、網絡基礎設施、中間件和應用平臺五部分。其中，感知網用于采集數據；接入網是為感知網提供通信的基礎設施；網絡基礎設施是各大網絡技術；中間件由各類處理軟件組成，為應用平臺做支持；應用平臺指物聯網在各個行業中的應用。

本文以USN體系結構為基礎，建立了圖1所示的物聯網安全架構層次模型。感知網和接入網對應物聯網傳統三層結構中的感知層，感知網包括傳感器節點、標簽和智能終端等；網絡基礎設施則指互聯網、無線局域網和移動通信網絡等，對應網絡層；應用平臺和中間件則對應三層結構中的應用層，應用平臺包括物聯網在環境監測、智能交通、物流監控、智能家居等方面的應用，而中間件則作為應用平臺的支撐。

1.2 指標體系的建立

本文采用AHP（層次分析法）對物聯網信息安全風險進行分析，以物聯網安全架構層次模型為基礎，從感知層、網絡層和應用層三個方面考慮建立指標體系[7，8]，見表1所列。

2 物聯網風險評估模型

2.1 評估流程

（1）利用傳統的AHP（層次分析法），通過多個專家對各評價對象進行打分的方式構建判斷矩陣，并計算各級指標的權重值。

（2）將通過層次分析法得到的數據作為模型的初始數據集，在進行數據預處理之后建立BP神經網絡模型[9]。

（3）利用訓練數據對該網絡進行訓練，最后利用測試數據對該評估網絡進行測試驗證。具體過程如圖2所示。

2.2 AHP指標權值計算

（1）建立物聯網層次結構模型

以物聯網安全架構層次模型為基礎，將整個物聯網按照感知層風險、傳輸層風險、應用層風險和其他風險四個準則劃分，得到物聯網層次結構模型。

（2）構造判斷矩陣

在整個指標體系中，兩兩比較同一層的n個指標與上一層指標的重要性，從而構造判斷矩陣。本文采用專家打分法，按照1～9標度原則[10]對各項指標進行兩兩比較，得出判斷矩陣，這也是層次分析法中最關鍵的一個步驟。

以準則層為例，其判斷矩陣為：

（3）特征向量計算及一致性檢驗

得到判斷矩陣X所對應最大特征值λmax的特征向量W，對其歸一化后即可得到層次單排序。則上述判斷矩陣所對應的特征向量為：

WT=（0.458 6，0.093 4，0.304 8，0.143 2）

一致性檢驗結果，若CRT<0.1，則表示通過一致性檢驗。

CIT=0.027 1，CRT=0.030 1<0.1

同理，可以計算出總排序。

（4）得出權重

通過一致性檢驗之后，可以得到物聯網信息安全風險指標體系權重，見表2所列。

2.3 數據預處理

利用指標體系共得到35組數據，將其作為模型的初始數據集。在對BP神經網絡進行訓練之前，需要對初始數據集進行歸一化處理。本文利用Matlab自帶的manminmax（）函數將初始數據歸一化至0.05～0.95的范圍內，方便模型的建立。

2.4 BP神經網絡模型

（1）網絡結構設計

本實驗創建的BP神經網絡分為三層，即輸入層、隱層和輸出層，具體結構如圖3所示。其中，輸入層節點的數量與指標個數相同，均為10；輸出結果為評估的物聯網信息安全等級，因此輸出層節點數為1；隱層節點數與原則層相同，含有4個。

（2）參數設定

本文實驗設定最大訓練次數為1 000次，學習效率初始值為0.05，學習效率自適應率為1.05，限時訓練迭代次數為50，訓練要求精度為1e-5。

（3）網絡訓練

本文將得到的35組數據中的前30組作為訓練數據集對網絡模型進行訓練。

均方誤差如圖4所示，說明隨著訓練次數的增加，均方誤差越來越小，且在996次時達到了最佳訓練狀態。

（4）結果分析

本文將得到的35組數據中的最后5組作為測試數據集對網絡模型進行訓練，結果如圖5所示。虛線代表期望得到的風險值，實線代表模型預測出的風險評估值，可以看出誤差較小，該網絡可以較為準確地得出物聯網的安全風險值。

3 結 語

本文首先利用AHP方法建立物聯網信息安全風險指標體系，同時量化評估指標并求得各評估指標的權重。再將傳統的AHP方法與BP神經網絡相結合，將利用AHP層次分析法得到的數據作為BP神經網絡的初始數據集，解決了傳統BP神經網絡需要先驗知識才能較為準確實現評估的問題。實驗分析表明，將AHP與BP神經網絡相結合的方法不依托于大量先驗知識也能夠得到較為準確的評價結果。但此方法還存在不足之處，如無法保證樣本數據的正確性，主觀評價對評價結果存在一定的影響等。

參考文獻

[1] ASHTON K.That ‘internet of things thing[J].1999.

[2] ZHAO K，GE L. A survey on the internet of things security[C]// Ninth international conference on computational intelligence and security. IEEE computer society， 2013：663-667.

[3] ELBOUANANI S，KIRAM M A E，ACHBAROU O. Introduction to the internet of things security：standardization and research challenges[C]// International conference on information assurance and security. IEEE，2016：32-37.

[4] OLESHCHUK V. Internet of things and privacy preserving technologies[C]// International conference on wireless communication， vehicular technology， Information theory and aerospace & electronic systems technology，2009，wireless vitae.IEEE，2009：336-340.

[5] ZHOU Z W，SHI L. Security research and measures for the internet of things[J]. Advanced materials research，2013（23）：910-914.

[6] Electronics and Telecommunication Research Institute of the Republic of Korea. Requirements for support of USN applications and services in NGN environment[C]// Proceedings of the ITU NGN Global Standards Initiative Rapporteur Group Meeting. Geneva， Switzerland，2007：11-21

[7]滕萍.物聯網中的信息安全與防范措施[J].網絡安全技術與應用， 2013（3）：17-21.

[8]楊光，耿貴寧，都婧，等.物聯網安全威脅與措施[J].清華大學學報（自然科學版）， 2011（10）：1335-1340.

[9]李華，曹曉龍，成江榮.BP神經網絡在軟件項目風險評估中的應用[J].計算機仿真， 2011，28（7）：374-378.

[10]林洋.信息系統安全風險評估模型及其應用研究[D].大連：大連海事大學，2013.