军工网络安全模拟仿真系统可信度研究

武志锋，王冬海

（中国电子科技集团公司电子科学研究院，北京 100041）

1 引言

仿真系统是否可信，在多大程度上可信，是仿真用户最关心的问题。这个问题也被称为仿真的可信度问题[1]。只有保证仿真的正确性和可信度，最终得到的仿真结果才具有实际应用的价值和意义，缺乏足够可信度的仿真是没有意义的。

由于仿真系统研究对象的复杂性，仿真可信度研究的方法也是很复杂的，一般有模糊综合评判法、层次分析法、评分比较法和专家评定法等分析方法。对于一个复杂的仿真系统，要给出其仿真可信度的度量方法，需要对具体的问题进行具体的分析。谢红卫[8]运用现代谱估计方法于仿真可信性研究中，该方法适合于对系统动态性能进行分析，是一种统计检验方法。郭巍等[2]提出了用相似理论来讨论仿真的可信度，将相似理论作为仿真建模、模型确认、验证与认定的基础理论，该法最大的局限在于相似元的相似程度值不好确定。肖斌[3]提出了在相似理论的基础上，运用AHP法对仿真模型的相似度进行评定的思路。

自顶向下逐步求精是复杂大系统仿真分析的一种有效手段。军工网络安全模拟仿真系统是一个复杂的仿真系统，它由很多子系统组成，每个子系统又由更细的子系统组成。考虑到军工网络安全模拟仿真系统的层次结构特点和在仿真评估中存在的利用专家知识和历史经验的需求，同时考虑目前我们的项目中已取得的、关于校核、验证和确认 (VV&A：verification，validation and accreditation)的工作成果，本文认为最合适的军工网络安全模拟仿真系统的可信度评估方法是层次分析法(AHP)。本文结合AHP的决策思想，把与仿真可信度有关的评估元素通过划分层次后并计算权重，将人们的思维过程和主观判断数学化，建立起一种复杂仿真系统可信度评估的综合算法模型，最终得到整个军工网络安全模拟仿真系统的可信度。

2 军工网络安全模拟仿真系统可信度评估的层次分析法研究

AHP首先是由美国运筹学家T.L.Satty在70年代提出的一种多目标、多准则的决策分析方法。它特别适用于处理多目标、多层次的复杂大系统问题和难以完全用定量方法来分析与决策的社会系统工程的复杂问题。它可以将人们的主观判断用数量形式来表达和处理，是一种定性与定量相结合的决策分析方法。它体现了人们决策的基本思维特征，即分解-判断-综合，这也是系统仿真可信性评估的基本过程[5]。

利用AHP法进行可信度评估可分为5个步骤：

1)建立层次结构评价指标体系模型；

2)构造判断矩阵；

3)计算权重；

4)进行一致性检验；5)计算可信度。

2.1 仿真系统可信度层次结构评价指标体系模型

在仿真系统可信性评估中，一般将系统划分为3个等级层次：最高层表示层次分析法所要达到的仿真系统可信度的总目标；中间层为指标层，是评价的主指标体系，即决定系统仿真可信度的主要因素；最低层为子指标层，是对主评价指标的具体化。利用层次分析法来计算可信度的具体指标分级流程如图1所示。

图1 仿真系统层次结构评价指标结构图

2.2 仿真可信度综合算法模型

下面针对AHP法进行可信度评估的5个步骤，建立基于AHP法分析可信度的基本算法，该算法具体如下：

2.2.1 构造判断矩阵

建立仿真系统的层次模型后，针对上一层次某元素，对每一层次的各个因素的相对重要性进行两两比较，构造每一层的判断矩阵，判断矩阵的元素是判断该层某两个元素相对上一层某元素的重要性比值，比重的结果用标度表示后可形成一个矩阵，即为判断矩阵。假设A层元素Ai与下一层n个元素B1，B2，…Bn有联系，构造下面的判断矩阵A；并针对判断矩阵的准则向专家反复询问，同时给出两个元素重要性指标标度表，如表1所示。

其中aij为对Ai而言，Bi与Bj相对重要性的数

当CI＜0时，认为判断矩阵的一致性是可以接受的，CI＞0时，认为判断矩阵不符合一致性要求，需要对该判断矩阵进行重新修正。

当随机一致性比率CR满足条件：值表示。

表1 重要性指标标度表

2.2.2 层次单排序

对于专家填写后的判断矩阵，利用一定的数学方法进行层次排序，单排序是指每一个判断矩阵各因素针对其准则的相对权重。而具有正反特性的判断矩阵有模最大的正实数特征值λmax，其对应特征正向量ω归一化的特征向量W=[ω1，ω2，…ωn]T，反映了n个因素B1，B2，…Bn对目标Ai中所占的比重，称为因素B1，B2，…Bn对目标Ai的权重向量。故层次单排序问题可归结求解方程Aω=λmaxω的问题，求出A的最大特征值λmax和特征向量ω。其中，ω归一化后就是待寻找的各因素相对重要性的权重向量，归一化特征向量的分量即是相应元素单排序的权值：

并且

特征根的计算可以采用幂法，精度要求不高时可以采用和法、根法、积法等，在本文仿真可信度评估中，采用了幂法[7]求正矩阵的最大特征值及对应的特征向量，其算法步骤如下：

a）初始化：取与判断矩阵同阶的正规化的初始向量：

循环变量k=0，例如，如果权重相同，则向量ω（0）可取：

b）循环计算：

归一化处理：

对于事先给定ε，判断下式是否成立：

若成立，则ω=ωk+1为求得的特征向量，并转入（5）计算判断矩阵的最大特征值，否则返回式（1）继续计算。c）计算判断矩阵最大特征根：

2.2.3 一致性检验

在层次排序中，由于判断矩阵A是人为因素将定性思维定量化的结果，很难给出精确的比较判断，因而导致判断矩阵并非具有一致性；但从人类认识规律看，一个正确的判断矩阵重要性排序是有一定逻辑规律的，因此，在实际中要求判断矩阵满足大体上的一致性，需进行一致性检验。

首先需要计算出它的一致性指标CI=（λmax-n）/（n-1）；然后，查表确定相应的平均随机一致性指标RI，据判断矩阵不同阶数查下表2，得到平均随机一致性指标RI。时，判断矩阵具有满意的一致性。

表2 平均随机一致性指标RI表

如果判断矩阵没有通过一致性检验，则需要修改判断矩阵中各项的赋值，下面简单地介绍一种方法：

1）将判断矩阵中第n列系数归1；

2）观察各纵列中数据是否相近，如果某列中有些数据互不相近，则可从物理意义上进行推敲，给以适当的修正；

3）如果各列在同一行上出现偏大或偏小的情况，则可修正该行最后一列元素的赋值；2.2.4仿真系统可信度的计算

按照加权求和方法，计算主指标因素可信度Sj（j=1，2，3……m）为：

式（6）中：m——子系统模块的个数；Sjk——子系统模块的可信度；

Wjk——子系统模块的权重值。

最后计算系统可信度的总指标S：

通过以上的研究，实现了对复杂仿真系统中各节点的仿真可信度进行评估的算法设计。

3 军工网络安全模拟仿真系统可信度评估研究

军工网络安全模拟仿真系统主要由网络环境仿真、业务仿真和攻击仿真等组成部分。网络环境仿真部分由仿真子系统和实物子系统组成，通过仿真子系统中的仿真基础网络平台、部分安全防护功能仿真模块以及实物子系统中的安全功能样机构建完整的安全防护体系，为业务仿真系统的仿真业务数据提供运行环境；业务仿真部分由业务生成子系统和业务加载子系统构成，业务生成子系统负责将实际业务抽象成半实物仿真系统所需的业务背景，通过数据的输入，生成各种业务想定，存入数据库。业务加载子系统负责将想定按时间序列动态加载到半实物仿真系统；攻击仿真部分主要由攻防对抗子系统、攻击行为表达子系统、攻击仿真子系统组成，主要通过对攻防对抗技术的研究和验证，利用仿真技术将攻防手段引入到半实物模拟仿真系统中，为安全仿真提供攻击仿真原型。

3.1 军工网络安全模拟仿真系统层次结构

在军工网络安全模拟仿真系统可信度评估中，最终需要得到军工网络安全模拟仿真系统的仿真可信度。通过分析，最高层表示AHP所要达到的军工网络安全模拟仿真系统可信度的总目标。中间层为准则层，是评价的主准则体系，即决定军工网络安全模拟仿真系统仿真可信度的主要因素，需要考虑的主要准则因素有3个，即网络环境仿真、业务仿真、攻击仿真的可信度。此外，还必须考虑网络边界防护仿真、数据安全传输仿真、系统身份认证仿真、业务生成仿真、业务加载仿真、攻击仿真生成、攻击仿真加载以及攻击仿真效果的可信度，从相互关系上分析，这些因素隶属于主要准则，因此放在下一层次考虑，并且分属于不同的准则。最低层为措施层，是对主评价准则的具体化，是决定军工网络安全模拟仿真系统仿真可信度的最直接的具体因素。

将各个层次的因素按其上下关系并以A，B，C…编号后构成的军工网络安全模拟仿真系统指标层次结构如图2所示。

图2 军工网络安全模拟仿真系统指标层次结构

其中：A层为最高层（总目标层），B层为中间层（准则层），C层为次中间层（子准则层），D层为最低层（措施层）。

3.2 构造判断矩阵

军工网络安全模拟仿真系统同一层次的各功能模块的可信度因素关于上一层次中某功能模块的可信度因素的相对重要性进行两两比较，再通过专家对军工网络安全模拟仿真系统各组成因素打分，并比较互相关联因素之间的相对重要性，从最底层D层开始，对于业务生成仿真可信度，认为实际业务仿真建模模块、业务参数设置模块、生成业务想定模块和业务想定入库模块这四个量的可信度对构建业务生成仿真可信度起到相同的影响。故建立的判断矩阵为：

C1-D(D1～D4)的判断矩阵为：

同理，C5-D(D13-D16)、C7-D(D20-D23)的判断矩阵也为A1。从下到上依次类推，C2-D(D5-D7)、 C3-D(D8-D10)、 C6-D(D17-D19)、C8-D(D24-D26)、C9-D(D27-D29)有相同的判断矩阵，都为：

C4-D(D11-D12)与 B2-C(C5-C6)的判断矩阵分别为：

B1-C(C1-C4)与 B3-C(C7-C9)的判断矩阵分别为：

3.3 可信度权重计算和一致性检验

采用 “幂法”计算各因素的权重并进行一致性检验可得：

A1对应的特征值与权重分别为：

利用前面的公式得到一致性检验结果为：CI=0，RI=0.891，CR=0＜0.1，满足一致性。A2对应的特征值与权重分别为：

一致性检验结果为：CI=0，RI=0.520，CR=0＜0.1，满足一致性。

A3对应的特征值与权重分别为：

一致性检验结果为：CI=0，RI=0，CR=0＜0.1，满足一致性。

A4对应的特征值与权重分别为：

一致性检验结果为：CI=0，RI=0，CR=0＜0.1，满足一致性。

A5对应的特征值与权重分别为：

利用前面的公式得到一致性检验结果为：CI=0.071 8，RI=0.891，CR=0.08＜0.1，满足一致性。

A6对应的特征值与权重分别为：一致性检验结果为：CI=0.026 8，RI=0.520，CR=0.05＜0.1，满足一致性。

A7对应的特征值与权重分别为：一致性检验结果为：CI=0.018 3，RI=0.52，CR=0.04＜0.1，满足一致性。

3.4 军工网络安全模拟仿真系统可信度的计算

军工网络安全模拟仿真系统中由于层次结构底层的功能子模块具有相对独立的数学模型或仿真结果输出，因此其仿真可信度的评估较为简单。根据元素性质的不同，可以采用统计分析，统计模拟的结果，并与试验资料进行比较，用秩和检验、t检验等方法获得仿真可信性的置信度[6]；对于那些不易定量统计的模拟结果，可专家打分的方法进行综合而得到可信性的置信度，但均须经过仿真专家一致认同。经专家反复对各个模块综合分析，得出认可的军工网络安全模拟仿真系统底层功能模块的置信度Sij的统计结果如表3(为简便表3只列出部分值)，其余功能模块可信度D16-D29为：92%，94%，95%，93%，91%，94%，92%，95%，91%，96%，92%，93%，94%，91%。

表3 军工网络安全模拟仿真系统底层功能模块可信度

根据式 (6)及A1，A2，A3对应的权重并结合表3，就可计算出上一层C层的可信度值如下表4：

表4 C层元素可信度

同理，根据式 (6)及A4，A5，A6对应的权重并结合表4，就可计算出B1，B2，B3的可信度分别为：93.9%，93.4%，93.0%。

然后，按照加权求和办法，从底层功能模块D开始逐层向上，获得整个仿真系统的可信度。最后根据（7）及A7对应的权重可算得军工网络安全仿真系统的仿真可信度为93.6%，通过进行多次军工网络安全仿真系统的仿真试验，然后与实际的网络系统数据比较，实际情况表明仿真结果与实际数据结果基本一致，表明系统具有较高的可信度。

4 结束语

本文利用定性和定量相结合的AHP方法来确定军工网络安全仿真系统可信度评估因素的权重，利用加权平均逐级计算各层可信度的方法。本文给出的综合算法模型结合了定性和定量比较科学合理且易实现，可以方便地计算仿真可信度。但层次分析也存在一定的缺憾，即权值和底层指标可信度的确定都不同程度地依赖专家经验，这不可避免地包含人为主观因素[7]。因此，仿真系统可信性评估方法还需要不断地研究和探索。

[1]焦鹏，查亚兵.层次分析法在制导仿真系统可信度评估中的应用 [J].计算机仿真，2005，22（9）：68-72.

[2]郭巍，李云芝，姜振东.用相似理论讨论仿真的可信度[J].系统仿真学报，1999（2）：113-115.

[3]肖斌.计算机仿真系统的可信度评估 [J].计算机仿真，2000，17（4）： 18-20.

[4]王冬海，雷璟，司瑞斌.网络信息安全模拟仿真评估方案研究 [J].中国电子科学研究院学报，2006，（2）：171-178.

[5]张淑丽，杨遇峰，关世义.导弹仿真系统可信度评估的层次分析法 [J].战术导弹技术，2005，1（1）：23-28.

[6]卢志忠，李锋，袁赣南.基于层次分析法的航行模拟器仿真可信度研究 [J].计算机仿真.2008，（3）：90-94.

[7]徐士良.数值方法与计算机实现 [M].北京：清华大学出版社，2006.218-225.

[8]李鹏波，谢红卫.现代谱估计方法在仿真可信性研究中的应用 [J].计算机仿真，1999，16（1）：45-48.