基于威脅狀態的新型機載網絡安全風險評估改進模型

李國 李靜雯 王靜 徐俊潔 王鵬

關鍵詞： 風險評估; 機載網絡安全; 風險源; 威脅狀態; 層次分析法; 灰色定權聚類法

中圖分類號： TN915.08?34; TP393.08 ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）02?0041?05

A security risk assessment improved model based on threat status

for new airborne networks

LI Guo1， LI Jingwen1， WANG Jing1， XU Junjie1， WANG Peng2

（1. School of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Tianjin Key Laboratory for Civil Aircraft Airworthiness and Maintenance， Civil Aviation University of China， Tianjin 300300， China）

Abstract： The wide application of various portable airborne equipments in new aircrafts makes the interconnection and interoperability between various network domains inside aircrafts enhanced， but it also exposes more and more risk sources. The traditional airborne network security risk assessment methods can only handle the isolated risk sources of general networks， and are not effectively suitable for highly?connected and complex new aviation airborne network environments. In allusion to the problem that a single risk source analysis may not be able to determine the risk level， an improved model for calculating risk levels based on threat status and risk sources is proposed， so as to accurately assess the security risk status of new aviation airborne networks. The risk sources and threat status of the new airborne network architecture are analyzed. The analytic hierarchy process is used to construct two index systems. The grey fixed?weight clustering method is adopted to calculate the coefficient of fixed?weight clustering. The two assessment results are combined to determine the risk level of the airborne network. The experimental results show that the assessment result is consistent with the actual risk status of the airborne network， and the proposed model is an effective security risk assessment method for new aviation airborne networks.

Keywords： risk assessment; airborne network security; risk source; threat status; analytic hierarchy process; grey fixed?weight clustering method

0 ?引 ?言

飛行安全是航空界永恒的主題，伴隨著機載WiFi加改裝的廣泛實施以及航空機載電子飛行包（Electronic Flight Bag）等便攜式機載設備的廣泛應用，令黑客接入攻擊的風險越來越高;新型機載網絡采用了先進的綜合模塊化航電系統網絡架構，具有資源高度共享，數據高度融合和軟件高度密集等特點，支持更多網絡域的交互，包括機載數據網絡與公共網絡、信息開放網絡建立無數的數據通信，允許單用戶或多用戶（機組）完成不同任務，甚至有時多個用戶被授權訪問體統數據，與傳統航空機載網絡結構大不相同[1?2]。傳統的網絡安全風險評估方法只單純分析通用網絡現有的風險點[3?4]，并不能夠很好地解決高度互聯的新型機載網絡環境所存在的風險評估問題：只單次分析風險源，忽略風險源之間互相影響造成的威脅狀態;風險源等因素評價標準各不相同，邊界難以確定統一。因此從新型機載網絡各網域交互以及風險源的特點出發，挖掘其風險源與威脅狀態的行為模式，設計一種能有效確定新型機載網絡風險狀況的風險評估方法，是亟待解決的問題。

針對新型機載網絡的特性，可參考的評估方法有：張雙等人提出一種適用于機載系統的安保風險評估方法，給出針對整個機載系統的安保風險評估過程，但沒有針對機載網絡安全的風險進行具體分析和計算，沒有得到量化的評估結果[4];李林等人采用層次分析法對各層指標權重進行量化，結合逼近理想解排序方法計算風險值，評估無線網絡的安全狀況，該方法易于操作但未考慮風險之間的相互關系，并不適用于復雜的機載網絡安全環境[5];趙冬梅等人提出一種信息系統的綜合風險評估模型，采用層次分析法和模糊邏輯法計算風險因素的風險值;雖然引入信息熵計算整個系統的綜合風險度，但風險值的計算仍過分依賴于專家經驗[6]。針對新型航空機載網絡的特點和上述方法存在的不足，引入威脅狀態的分析對網絡安全風險狀況進行輔助判斷;并通過對白化數據的灰化處理，降低了不同的評價標準邊界對評估結果的影響;模型能夠彌補單次評估無法確定風險等級的不足，提高了評估的準確性和魯棒性。

1 ?方法概述

1.1 ?層析分析法

層次分析法是一種定性和定量相結合的系統化層次權重決策分析方法[7?8]。利用該方法進行指標權重的賦值簡單實用，所需的定量信息少，為接下來的風險值的計算提供了基礎，具體實現步驟如下：

1） 構建評價指標體系，一般分為目標層、準則層和指標層三部分。

2） 專家打分建立判斷矩陣[B*=bij]，并檢驗一致性。其中[bij]是以上層某一元素為標準，下層各指標相對于該元素的重要性，采用Saaty提出的標度法進行兩兩比較得到，如表1所示。

3） 計算相對權重及合成權重。相對權重即被比較元素相對于上一層的重要程度，一般采用方根法計算并進行歸一化處理：

[Mi=j=1nbij， ?i=1，2，…，n] （2）

[W=W1，W2，…，WnT，Wi=Wii=1nWi] （3）

對于與最上層直接關聯的指標，其合成權重等于相對權重;否則等于該指標的相對權重和其上層關聯元素的合成權重之積。

1.2 ?灰色定權聚類法

灰色定權聚類法是以灰色的白化權函數生成為基礎的一種聚類方法。該方法運算簡潔，結論簡明，通過對白化數據的灰化處理，保證了評估結果的準確客觀，又提高了數據的利用率[9]。

設[ηj（j=1，2，…，m）]是各聚類指標的權，設[σkj]為對象[i]屬于[k]灰類的灰色定權聚類系數：

[σkj=j=1mfkjxij·ηj] ? （4）

設有[m]個指標，[n]個對象，[s]個灰類，將對象[i]歸入某灰類中，具體實現步驟如下：

1） 根據專家經驗確定[j]指標[k]子類的白化權函數[fkj·（j=1，2，…，m;k=1，2，…，s）];

2） 根據層次分析法的計算結果確定各指標的聚類系數[ηj（j=1，2，…，m）];

3） 根據步驟1）、步驟2）以及式（4）計算灰色定權聚類系數[σkj];

4） 對向量作聚類分析，判定對象[i]屬于灰類[k]：

[σkj=max1σkj] ?（5）

2 ?風險評估改進模型

2.1 ?風險源及威脅狀態分析

為了實現對風險源及威脅狀態的分析、建模，本文首先研究了新型機載網絡的架構設計模式[10?11]。

由于飛機機載數據網絡與地面公共網絡的安保等級不同，一般飛機主要分為飛機控制域，航空公司信息服務域，旅客信息和機載娛樂域;而新型機載網絡細分為飛機控制域、信息受信域、信息開放域、客艙網絡域和公共網絡域。得到的新型機載網絡互聯架構示意圖如圖1所示。

不同風險源對機載網絡安全和資產造成的威脅不同，其威脅狀態也不同，根據對網絡架構的分析，充分考慮不同網絡域之間的交互及可能的風險因素，將風險源和威脅狀態分析總結，具體如表3所示。

2.2 ?建立兩個評估指標體系

1） 從各風險源的風險概率、影響以及不可控制性三個屬性入手，建立評估指標體系：最高層即目標層[a]為要達到的風險評估目標;第二層即屬性層[b]分別為風險源的風險概率[b1]，風險影響[b2]和不可控制性[b3];第三層是方案層[c]，即表3中的各個風險源：網關與各網域接口點[c1]、各網域之間接口點[c2]、軟件平臺與機載娛樂系統數據交互點[c3]、[c4]乘務使用PAD、電子飛行包[c5]，非法用戶進入機載網絡[c6]。構造的評估體系如圖2所示。

2） 針對威脅狀態建立評估指標體系，考慮其對網絡信息資產保密性、完整性和可用性的影響：目標層[a]是要達到的風險評估目標;屬性層[b]是保密性[b1]、完整性[b2]和可用性[b3]。參照表3中各風險源的威脅狀態，將其具體分為五類構成第三層方案層[c]：獲取信息[c1]、篡改信息[c2]、利用服務[c3]、拒絕服務[c4]、提升權限非法操作[c5]。構造的評估體系如圖3所示。

2.3 ?綜合評估

由網絡架構、風險源以及威脅狀態的分析可知，各風險源與威脅狀態相互影響，因此將威脅狀態引入改進模型，在只分析風險源無法確定評估結果的情況下，加入對威脅狀態的分析，建立第2.2節所示的評估指標體系。通過威脅狀態的評估結果，輔助得出綜合評估結論：

1） 先進行風險源指標體系的評估計算，若評估結果清晰，且與專家打分基本一致，則結果有效;

2） 若根據風險源指標體系計算得到的結果無法準確判斷網絡安全風險狀況，或專家意見相左，則進行威脅狀態指標體系的計算，輔助判斷風險狀況;

3） 若由威脅狀態指標體系計算的結果與風險源指標體系結果相差較大，則邀請第三方專家重新打分，重新進行風險評估。

3 ?案例分析

3.1 ?風險源評估指標體系

1） 邀請兩位機載網絡安全的專家根據GB/T 22239—2008[12]，GB/T 22240—2008[13]以及某一測試機載網絡環境信息對圖2中的準則層指標進行賦值，加權平均后得到判斷矩陣如下：

[B*=142.828 40.2510.316 20.353 63.162 31]

由式（1）計算得到[CR=0.052<0.1]，符合一致性要求。根據式（2）、式（3）得到指標層合成權重為：

[W*b1=0.222 9，0.088 8，0.047 1，0.047 1，0.085 9，0.021 6T，]

[W*b2=0.042 6，0.017 0，0.009 0，0.009 0，0.016 4，0.021 6T，]

[W*b3=0.103 1，0.041 1，0.021 8，0.021 8，0.039 7，0.052 3T]

2） 對機載網絡風險等級進行劃分，分為5個風險等級，即5個灰類，如表4所示。

3.2 ?威脅狀態評估指標體系

1） 對圖3中準則層指標賦值，構造判斷矩陣：

[B*=10.816 50.277 41.224 710.534 53.605 61.870 81]

經計算[CR=0.022<0.1]，符合一致性要求。得到權重為：

[W*b1=0.104 7，0.258 3，0.105 0，0.099 0，0.099 0T]，

[W*b2=0.142 2，0.234 0，1 050，0.049 0，0.088 5T]，

[W*b3=0.136 5，0.239 0，0.142 0，0.021 8，0.056 0T]

2） 由兩位專家進行打分，得到的新型機載網絡風險評估表如表6所示。

據式（5）可得：[σk1=σ21=0.460 7]，[σk2=σ22=0.431 2]，即[σ=maxσk1，σk2=σ21=0.460 7]，[k=2]。

3.3 ?實驗結果分析

分析風險源指標體系得到的計算結果，該網絡風險所屬灰類即風險等級為第二類，即“較低”風險;但根據圖4顯示，風險等級為“低”和“較低”的定權聚類系數差距較小，且兩位專家意見相反，單憑對風險源的分析無法得出準確清晰的結論，因此進行對威脅狀態指標體系的計算。威脅狀態指標體系的計算結果顯示：網絡風險所屬灰類即風險等級為第二類，即“較低”風險;圖5也清晰顯示，風險等級為2的聚類系數明顯大于其他等級的值，綜合風險源指標體系的計算結果可知，該新型機載網絡安全風險等級為“較低”。

4 ?結 ?論

本文首先分析了新型機載網絡風險評估的難點以及傳統風險評估方法的不足，然后建立一種利用威脅狀態輔助評估的改進模型。該模型提高了評估的準確性和魯棒性，使其相較于單次分析風險源的評估模型可以適應更多場景。最后以某一機載網絡環境為例進行實驗，證明模型可行并有效。下一步的工作是在確定新型機載網絡安全風險狀況的基礎上，針對不同風險選擇相應的防護手段，對其進行適航防護的研究，為適航審定技術手段建議的提出提供更多理論和技術支持。

參考文獻

[1] 牛文生.機載計算機技術[M].北京：航空工業出版社，2013.

NIU Wensheng. The airborne computer technology [M]. Beijing： Aviation Industry Press， 2013.

[2] KWAK K J， SAGDUYU Y， YACKOSKI J， et al. Airborne network evaluation： challenges and high fidelity emulation solution [J]. IEEE communications magazine， 2014， 52（10）： 30?36.

[3] 翁遲遲，齊法制，陳剛.基于層次分析法與云模型的主機安全風險評估[J].計算機工程，2016，42（2）：1?6.

WENG Chichi， QI Fazhi， CHEN Gang. Host security risk assessment based on analytic hierarchy process and cloud model [J]. Computer engineering， 2016， 42（2）： 1?6.

[4] 張雙，孔德岐，李曉東.機載系統安保風險評估方法[J].計算機工程與應用，2013，49（16）：232?235.

ZHANG Shuang， KONG Deqi， LI Xiaodong. Security risk assessment methodology for airborne system [J]. Computer engineering and applications ， 2013， 49（16）： 232?235.

[5] 李林，劉毅，楊駿.無線網絡安全風險評估方法的應用研究[J].計算機仿真，2011，28（9）：147?150.

LI Lin， LIU Yi， YANG Jun. Application of wireless network safety risk assessment [J]. Computer simulation， 2011， 28（9）： 147?150.

[6] 趙冬梅，馬建峰，王躍生.信息系統的模糊風險評估模型[J].通信學報，2007，28（4）：51?56.

ZHAO Dongmei， MA Jianfeng， WANG Yuesheng. Model of fuzzy risk assessment of the information system [J]. Journal on communications， 2007， 28（4）： 51?56.

[7] 郭金玉，張忠彬，孫慶云.層次分析法的研究與應用[J].中國安全科學學報，2008，18（5）：148?153.

GUO Jinyu， ZHANG Zhongbin， SUN Qingyun. Study and applications of analytic hierarchy process [J]. China safety science journal， 2008， 18（5）： 148?153.

[8] 李振富，韓彬霞，李曉鵬，等.基于AHP的通信網風險評估[J].現代電子技術，2011，34（19）：111?113.

LI Zhenfu， HAN Binxia， LI Xiaopeng， et al. Risk evaluation of military communication network based on AHP [J]. Modern electronics technique， 2011， 34（19）： 111?113.

[9] 鄧聚龍.灰理論基礎[M].武漢：華中科技大學出版社，2002.

DENG Julong. The course of grey system theory [M]. Wuhan： Huazhong University of Science and Technology Press， 2002.

[10] 張軍才，陳劍.民用飛機機載信息系統設計分析[J].計算機光盤軟件與應用，2011（11）：5?6.

ZHANG Juncai， CHEN Jian. Design and analysis of civil aircraft airborne information system [J]. Computer CD software and applications， 2011（11）： 5?6.

[11] WOLF M， MINZLAFF M， MOSER M. Information technology security threats to modern e?enabled aircraft： a cautionary note [J]. Journal of aerospace information systems， 2014， 11（7）： 447?457.

[12] 全國信息安全標準化技術委員會.信息安全技術信息系統安全等級保護基本要求：GB/T 22239—2008[S].北京：中國標準出版社，2008.

TC260. Information security technology： baseline for classified protection of information system security： GB/T 22239—2008 [S]. Beijing： Standards Press of China， 2008.

[13] 全國信息安全標準化技術委員會.信息安全技術信息系統安全等級保護定級指南：GB/T 22240—2008[S].北京：中國標準出版社，2008.

TC260. Information security technology： classification guide for classified protection of information system： GB/T 22240—2008 [S]. Beijing： Standards Press of China， 2008.