基于CRITIC法和熵值法的智能網聯汽車信息安全綜合評價方法研究

路鵬飛 鄒博松 李京泰

摘? ?要：隨著網聯化逐漸成為當今汽車技術發展的主流趨勢之一，車載端信息安全問題也隨之日益緊迫。作為加固信息安全風險點、制定安全技術要求的必要條件之一，研究科學合理的車載端信息安全評價方法，對于提升車載端信息安全水平具有重要意義。文章基于熵值法、基于指標相關性的指標權重確定方法（Criteria Importance Through Intercriteria Correlation，CRITIC）和前期工作成果，介紹了一種新型的綜合主、客觀權重信息的定量評價方法，并基于對車載端信息安全風險點的梳理，給出了智能網聯汽車信息安全評價權重具體計算過程。通過對熵值法和CRITIC法的組合運用，全面考慮了原始評價數據的離散型、沖突性以及變異性，使所得綜合權重更加合理。

關鍵詞：智能網聯汽車;熵值法;CRITIC賦值法;定量評價

中圖分類號： O236.2? ? ? ? ? 文獻標識碼：A

1 引言

在智能化、網聯化趨勢的推動下，汽車產品逐步融合信息技術，通過廣泛的信息交互和數據共享實現復雜通信場景下的V2X功能，主流汽車廠商紛紛推出網聯汽車相關的典型應用產品，搶奪市場發展先機，并提升了用戶的使用體驗。與此同時，高度網聯化的汽車產品也暴露出更多的信息安全隱患，成為不法分子實施惡意攻擊、數據篡改、非法訪問控制，危害車輛安全的風險點。

根據調查研究，2010年至今，由CVE（Common Vulnerabilities & Exposures）公共漏洞和暴露數據庫收錄的與汽車產品相關的信息安全漏洞超過70例。漏洞涉及T-BOX、車載WiFi、車載藍牙、IVI、鑰匙、OBD、網關、V2X等多種汽車設備，攻擊形式包括遠程和本地攻擊，可造成的攻擊結果包括信息泄露、數據內容篡改、拒絕服務、惡意代碼執行、系統凍結、身份憑證竊取、腳本注入、遠程控制等，嚴重影響車內和車際信息安全。2019年，中國汽車信息安全共享分析中心（C-Auto-ISAC）在天津發布汽車信息安全十大風險，包括不安全的云端接口、未經授權的訪問、系統存在的后門、不安全的車載通訊、車載網絡未做安全隔離、系統固件可被提取及逆向、不安全的第三方組件、敏感信息泄漏、不安全的加密和不安全的配置。

隨著車載信息系統日益復雜，安全漏洞的分布將更加繁雜，潛在的攻擊路徑交錯，安全風險威脅程度各異，給信息安全測試和安全加固工作帶來沉重負擔。為此，需要全面梳理整車信息交互系統架構，并為之制定科學的評價體系，從而為汽車信息安全保障工作提供邏輯支持。近年來，研究人員也開始關注汽車信息安全，其中2011年Stephen Checkoway等人對汽車外部攻擊入口進行了梳理，并對多種遠程攻擊方式進行了描述[1];Jonathan Peti等人在2015年首次對網聯汽車面臨的潛在安全攻擊路徑進行了較為全面的梳理[2];2016年，甘杰夫和張潔對網聯汽車的安全風險和潛在的傳播路徑進行了梳理，并提出了一種風險評估方法[3];2017年，桂麗分析了網聯汽車的常用攻擊目標和攻擊技術，并提出了汽車信息安全防護的關鍵技術[4]。隨著汽車技術的快速發展，車載端信息系統架構更加復雜，攻擊手段更加多樣。需要基于研究人員的前期成果，對汽車網聯汽車的車載端系統進行全面梳理，呈現出清晰的系統架構，為整車信息安全風險評估建立基礎。

構建信息安全評價系統的另一項重要內容是制定科學、客觀、可量化的評價方法，從而直觀體現評價結果，為信息安全技術開發人員提供準確參考。目前，主流的定量評價方法分為主觀賦值和客觀賦值兩種。其中，主觀賦值包括模糊綜合評價法、層次分析法、主觀加權等方法。主觀賦值簡單易行，充分利用了相關人員的技術背景與經驗，但也會因個人主觀因素的影響而使賦值結果產生相當程度的偏差。客觀分析法包括主成分分析法、熵值法、BP神經網絡法、CRITIC法等[5～8]。客觀分析法可以有效地避免因主觀因素帶來的誤差，保障評價系統的嚴謹性，但客觀賦值法通常要求評價對象具備一定的樣本數量，從而通過數學計算對已有數據進行篩選，進而確定權重。同時，各種客觀賦值方法中所關注的因素也不相同，如主成分分析法關注變量間的相關性。熵值法則側重指標的變異性，各種方法均存在利弊，通過結合不同賦值方法可以得到更加合理的賦值結果。例如，CRITIC算法由于考慮了指標內的相關性和指標間的沖突性，而被認為是相對完善的客觀賦權方法，但是由于其沒有考慮數據之間的離散性，可以通過與熵權法結合進行改良[9]。

2 方法論

2.1整車網絡安全體系

本文提出的智能網聯汽車網絡安全評價方法，是建立在智能網聯汽車整車網絡安全研究的基礎之上。基于對智能網聯汽車整車系統架構和運行環境的分析，將整車網絡安全分為車內/車外系統安全和車內/車外網絡安全四個方面，每個方面的安全

有相應的關鍵零部件安全支撐，而各模塊的安全又有硬件安全、通信安全、數據安全、訪問控制等安全機制予以保障，從而形成清晰的整車網絡安全體系。如圖1所示，整個體系從整車到系統到關鍵零部件到安全機制，由上而下分為整車、系統、零部件、安全機制四個層次，

2.2 重要性指數判定

針對圖1所示的評價體系，對本文的評價方法有四個主要步驟構成，即重要性指數判定、層次分析法主觀權重計算、熵值法與CRITIC法客觀權重計算、綜合權重計算。

其中，重要性指數判定是從攻擊和防御兩個方面入手，以攻擊/防御成本和攻擊/防御收益四個基本要素為出發點，對汽車通信系統第四層中的各個安全機制進行分析。攻擊成本考慮了“攻擊路徑（遠程攻擊/本地攻擊）”“攻擊復雜度（是否需要專業人員或專用工具等）”“認證（是否需要獲取認證）”三方面的因素;攻擊收益由“資產重要度”和“固有致命度”決定，“資產重要度”包括主機類型和操作系統類型兩項評價指標;“固有致命度”可依據漏洞編號，在CVSS官網中查詢分值。通常在理想狀況下，信息安全攻擊收益等于防御收益。防御成本則由“漏洞補丁修復等級”“漏洞滲透代碼可利用性”“漏洞報告可信度”“漏洞攻擊復雜度”“漏洞破壞性（由機密性、完整性、可用性三方面衡量）”“主機類型”六個方面因素組成。依據上述評價指標對各評價對象重要性進行打分的取值區間和最終重要性指數的計算方法可參照參考文獻[7]。

重要性指數的作用在于兩個方面。第一，邀請多組行業專家參考國際通用的方法確定各安全機制的重要性指數，為開展客觀權重計算提供了數據基礎，使得依賴于原始數據的客觀評價得以開展。第二，通過將已確定的重要性指數進行兩兩比較可以方便的得到開展主觀評價（層次分析法）所需的重要性判斷矩陣，且能夠確定判斷矩陣滿足一致性要求，無需再通過計算判斷矩陣的最大特征根和一致性指標進行驗證，進一步提升了操作的便利性。

2.3 客觀權重計算方法

獲取各安全機制的重要性指數后，可參照參考文獻中[7]中所描述的AHP層次分析法計算出評測體系中各層的評價對象針對上層相關要素的主觀權重。

主觀權重確定之后，為了降低層次分析法計算結果的主觀隨意性，使評價結果更加合理，本文使用熵值法和CRITIC賦值法結合的方式對評價對象進行客觀賦權，并將客觀賦權的結果與主觀賦權結果相結合，從而在參考評價技術人員個人技術經驗的同時運用數學方法兼顧評價結果的客觀性。

針對客觀賦權法的研究是本文的重點。傳統的客觀賦權方法包括主成分分析法、熵值法、BP神經網絡法和CRITIC法等。其中，主成分分析法需要被評價的指標間存在一定的相關關系才能繼續下去;而BP神經網絡法則需要先驗結果;熵值法則側重某項指標的變異性，但忽視了指標本身的重要程度。相比之下，CRITIC算法考慮了各指標自身的對比強度及指標間的沖突性，能夠較全面的衡量各指標重要性，因而被作為一種相對完善賦權算法，被廣泛使用。

從對熵值法和CRITIC法的原理進行對比可以發現，二者之間存在完美的互補性，如果將二者結合，則可以在客觀賦權過程中既充分考慮各指標數據已有的特性，也可以兼顧數據的變異性。具體而言，CRITIC法是對已有數據本身性質進行分析，考慮了指標內數據的離散性和指標間數據的沖突性，但這種分析是建立在對已有數據充分信任的基礎上。換言之，認為現有原始數據是對各評價指標的最合理判定，其他可能出現的判定結果不應被采納。而這種假設條件顯然是與事實不符的。因為在本文中，智能網聯汽車安全機制的原始判定數據來自于主觀賦權，由不同專家對于評價指標的原始判定往往是基于不同的專業背景、專業認知和經驗積累等因素，因而主觀判定結果不能窮舉，且任何判定結果都是存在一定可信度的。即任何單純基于CRITIC法的客觀賦權結果，都僅能體現一組特定專家團隊的專業認知，專家團隊的規模越大，則原始數據所覆蓋的情況越豐富，賦權結果理論上越接近于真值，但龐大的專家團隊往往是不現實的。而熵值法則考慮了某個指標（安全機制）各原始判定數據發生的概率，即某一數據出現的概率越低，則其發生時所能給出的信息量越大。同時，熵值法也考慮了某個指標所有信息量的期望值，從而衡量了某個指標自身的復雜程度或變異能力，如果指標越復雜，出現不同情況的種類越多，那么它的信息熵是比較大的，反則反之。因而可以認為熵值法從概率的角度考慮了各個評價指標發展變化的可能性，并將其作為客觀賦值算法的變量之一，從而對基于確定原始數據的CRITIC算法形成了完美補充。

在基于熵值法和CRITIC法計算出各專家的權重后，將依據各專家判定數據計算出的AHP層次分析法權重與相應的專家權重相乘后求和，即得出各安全機制的主客觀綜合權重。同理，可得出零部件層和系統層相對于上一層的權重，逐層計算后，可依據對安全機制的信息安全評價，得出智能網聯汽車整車的信息安全水平量化指標。

綜上所述，智能網聯汽車信息安全評價系統的工作流程如圖2所示。

3 定量評價實施過程

3.1客觀權重確定的熵值法

所有評價指標的重要性指數集合即為重要性指數矩陣M，其中表示第j位專家為第i項指標制定的重要性指數。

首先對各指標的重要性數據進行歸一化處理，消除各指標之間含義、度量方式及量級的差別。歸一化公式為：

對于正向指標：

對于負向指標：

其中，正向指標是指取值越大，重要性越高的指標;負向指標是指取值越大，重要性越低的指標。從而得到歸一化矩陣為：

基于歸一化矩陣，計算第j位專家數據的熵值為：

，

（i=1、2、3...，m）

其中，

n表示樣本總數，在本文中為專家數據的組數;為出現的概率。

根據信息論中對信息熵性質的描述，的值與取值的大小無關，而是衡量出現特定取值的概率[10]，因而不能用的取值與第i項指標所有專家數據之和的比值計算。本文中，為了便于實施，將第i（i=1、2、3...m）項指標的取值范圍平分為n等份，則等于與處于同一取值區間的專家數據的個數與n的比值，并規定，當時，。

基于第i項指標的熵值，可以計算出第i項指標的權重為：

3.2 客觀權重確定的CRITIC法

在CRITIC客觀權重計算過程中，針對歸一化矩陣：

對矩陣M中的每一列分別進行標準差運算：

，

（j=1，2…，n）

是第y組重要性指數的標準差，其代表了各個評價指標重要性指數取值差距的大小。

接下來計算第i組和第j組重要性指數數據之間的相關系數：

，

（i，j=1，2…，n）

則各權重向量所包含的信息量可由公式表示：

第j個權重向量所對應的CRITIC權重為：

各專家數據的客觀權重為：，（j=1、2、3...，n）

將進行歸一化處理即可得到個專家數據的客觀權重向量。

參考文獻[7]中所面熟的方法，將客觀權重向量 與基于AHP層次分析法計算得出的主管權重向量結合，得出智能網聯汽車網絡安全水平綜合權重架構。

4 結束語

本文提出的智能網聯汽車網絡安全水平綜合權重計算方法，結合了AHP層次分析法、熵值法和CRITIC客觀賦權法，綜合考慮了原始數據的變異性、沖突性和離散度，并充分運用了專業技術人員的背景經驗，能夠在充分運用業內專家的專業經驗的基礎上，有效地規避了因人為賦值造成的主觀隨意性，從而為重要性賦權提供了可靠依據。

本文中介紹的評價方法尚未經過實際測試評價工作的檢驗。未來將在實地的智能網聯汽車信息安全評價過程中對本方法進行實施和驗證，及時發現問題并加以改進，使其成為可行、可靠、并具備較高公信力的評價方法。

基金項目：

國家自動駕駛電動汽車集成與示范項目（項目編號：2018YFB0105204）。

參考文獻

[1] Stephen Checkoway， Damon Mccoy， Brian Kantor， et al.Comprehensive Experimental Analyses of Automotive Attack Surfaces [A].Venue： USENIX SECURITY.

[2] Jonathan Petit， Steven E. Shladover. Potential Cyberattacks on Automated Vehicle [J].IEEE Trans on Intelligent Transportation Systems，2015，16 （2）： 546-556.

[3] 甘杰夫，張潔.網聯汽車系統信息安全及其風險評估方法[A].2016中國汽車工程學會年會論文集，2011.

[4] 桂麗.移動互聯汽車信息安全風險研[J].Telecommunication Network Technology，NO.6，2017.

[5] 陳偉，夏建華.綜合主、客觀權重信息的最有組合賦權方法[J].數學的時間與認識，2007，37（1）.

[6] 陳秀真，吳越，李建華.車載信息系統的安全測評體系及方法[J].信息安全學報， 2017，2（02）：15-23.

[7] 路鵬飛，薛曉卿，丁文龍，朱科屹.智能網聯汽車網絡安全水平定量評價方法研究[J].中國科技縱橫，2019（1）.

[8] 黃加增.基于模糊數學的網絡安全評價模型研究[J].網絡空間安全，2020，11（4）：1-.

[9] 劉志惠，黃志剛.P2P網絡借貸平臺風險識別及度量研究[J].合肥工業大學學報，2019，33（02）.

[10] 李航.統計學習方法[A].北京：清華大學出版社，2012-3.

作者簡介：

路鵬飛（1986-），男，漢族，河南商丘人，英國巴斯大學，博士，中國軟件評測中心智能網聯汽車測評工程技術中心，工程師;主要研究方向和關注領域：智能網聯汽車信息安全、功能安全測試與評價技術。

鄒博松（1986-），男，漢族，北京人，英國牛津布魯克斯大學，碩士，中國軟件評測中心智能網聯汽車測評工程技術中心，工程師;主要研究方向和關注領域：智能交通、車聯網、智能網聯汽車、自動駕駛。

李京泰（1994-），男，漢族，四川營山人，香港科技大學，碩士，中國軟件評測中心智能網聯汽車測評工程技術中心，工程師;主要研究方向和關注領域：車載智能計算平臺、信息安全，關注領域自動駕駛、智能網聯汽車、汽車電子。