基于威胁状态的新型机载网络安全风险评估改进模型

李国 李静雯 王静 徐俊洁 王鹏

关键词： 风险评估; 机载网络安全; 风险源; 威胁状态; 层次分析法; 灰色定权聚类法

中图分类号： TN915.08?34; TP393.08          文献标识码： A                    文章编号： 1004?373X（2019）02?0041?05

A security risk assessment improved model based on threat status

for new airborne networks

LI Guo1， LI Jingwen1， WANG Jing1， XU Junjie1， WANG Peng2

（1. School of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Tianjin Key Laboratory for Civil Aircraft Airworthiness and Maintenance， Civil Aviation University of China， Tianjin 300300， China）

Abstract： The wide application of various portable airborne equipments in new aircrafts makes the interconnection and interoperability between various network domains inside aircrafts enhanced， but it also exposes more and more risk sources. The traditional airborne network security risk assessment methods can only handle the isolated risk sources of general networks， and are not effectively suitable for highly?connected and complex new aviation airborne network environments. In allusion to the problem that a single risk source analysis may not be able to determine the risk level， an improved model for calculating risk levels based on threat status and risk sources is proposed， so as to accurately assess the security risk status of new aviation airborne networks. The risk sources and threat status of the new airborne network architecture are analyzed. The analytic hierarchy process is used to construct two index systems. The grey fixed?weight clustering method is adopted to calculate the coefficient of fixed?weight clustering. The two assessment results are combined to determine the risk level of the airborne network. The experimental results show that the assessment result is consistent with the actual risk status of the airborne network， and the proposed model is an effective security risk assessment method for new aviation airborne networks.

Keywords： risk assessment; airborne network security; risk source; threat status; analytic hierarchy process; grey fixed?weight clustering method

0  引  言

飞行安全是航空界永恒的主题，伴随着机载WiFi加改装的广泛实施以及航空机载电子飞行包（Electronic Flight Bag）等便携式机载设备的广泛应用，令黑客接入攻击的风险越来越高;新型机载网络采用了先进的综合模块化航电系统网络架构，具有资源高度共享，数据高度融合和软件高度密集等特点，支持更多网络域的交互，包括机载数据网络与公共网络、信息开放网络建立无数的数据通信，允许单用户或多用户（机组）完成不同任务，甚至有时多个用户被授权访问体统数据，与传统航空机载网络结构大不相同[1?2]。传统的网络安全风险评估方法只单纯分析通用网络现有的风险点[3?4]，并不能够很好地解决高度互联的新型机载网络环境所存在的风险评估问题：只单次分析风险源，忽略风险源之间互相影响造成的威胁状态;风险源等因素评价标准各不相同，边界难以确定统一。因此从新型机载网络各网域交互以及风险源的特点出发，挖掘其风险源与威胁状态的行为模式，设计一种能有效确定新型机载网络风险状况的风险评估方法，是亟待解决的问题。

针对新型机载网络的特性，可参考的评估方法有：张双等人提出一种适用于机载系统的安保风险评估方法，给出针对整个机载系统的安保风险评估过程，但没有针对机载网络安全的风险进行具体分析和计算，没有得到量化的评估结果[4];李林等人采用层次分析法对各层指标权重进行量化，结合逼近理想解排序方法计算风险值，评估无线网络的安全状况，该方法易于操作但未考虑风险之间的相互关系，并不适用于复杂的机载网络安全环境[5];赵冬梅等人提出一种信息系统的综合风险评估模型，采用层次分析法和模糊逻辑法计算风险因素的风险值;虽然引入信息熵计算整个系统的综合风险度，但风险值的计算仍过分依赖于专家经验[6]。针对新型航空机载网络的特点和上述方法存在的不足，引入威胁状态的分析对网络安全风险状况进行辅助判断;并通过对白化数据的灰化处理，降低了不同的评价标准边界对评估结果的影响;模型能够弥补单次评估无法确定风险等级的不足，提高了评估的准确性和鲁棒性。

1  方法概述

1.1  层析分析法

层次分析法是一种定性和定量相结合的系统化层次权重决策分析方法[7?8]。利用该方法进行指标权重的赋值简单实用，所需的定量信息少，为接下来的风险值的计算提供了基础，具体实现步骤如下：

1） 构建评价指标体系，一般分为目标层、准则层和指标层三部分。

2） 专家打分建立判断矩阵[B*=bij]，并检验一致性。其中[bij]是以上层某一元素为标准，下层各指标相对于该元素的重要性，采用Saaty提出的标度法进行两两比较得到，如表1所示。

3） 计算相对权重及合成权重。相对权重即被比较元素相对于上一层的重要程度，一般采用方根法计算并进行归一化处理：

[Mi=j=1nbij，  i=1，2，…，n] （2）

[W=W1，W2，…，WnT，Wi=Wii=1nWi] （3）

对于与最上层直接关联的指标，其合成权重等于相对权重;否则等于该指标的相对权重和其上层关联元素的合成权重之积。

1.2  灰色定权聚类法

灰色定权聚类法是以灰色的白化权函数生成为基础的一种聚类方法。该方法运算简洁，结论简明，通过对白化数据的灰化处理，保证了评估结果的准确客观，又提高了数据的利用率[9]。

设[ηj（j=1，2，…，m）]是各聚类指标的权，设[σkj]为对象[i]属于[k]灰类的灰色定权聚类系数：

[σkj=j=1mfkjxij·ηj]   （4）

设有[m]个指标，[n]个对象，[s]个灰类，将对象[i]归入某灰类中，具体实现步骤如下：

1） 根据专家经验确定[j]指标[k]子类的白化权函数[fkj·（j=1，2，…，m;k=1，2，…，s）];

2） 根据层次分析法的计算结果确定各指标的聚类系数[ηj（j=1，2，…，m）];

3） 根据步骤1）、步骤2）以及式（4）计算灰色定权聚类系数[σkj];

4） 对向量作聚类分析，判定对象[i]属于灰类[k]：

[σkj=max1σkj]  （5）

2  风险评估改进模型

2.1  风险源及威胁状态分析

为了实现对风险源及威胁状态的分析、建模，本文首先研究了新型机载网络的架构设计模式[10?11]。

由于飞机机载数据网络与地面公共网络的安保等级不同，一般飞机主要分为飞机控制域，航空公司信息服务域，旅客信息和机载娱乐域;而新型机载网络细分为飞机控制域、信息受信域、信息开放域、客舱网络域和公共网络域。得到的新型机载网络互联架构示意图如图1所示。

不同風险源对机载网络安全和资产造成的威胁不同，其威胁状态也不同，根据对网络架构的分析，充分考虑不同网络域之间的交互及可能的风险因素，将风险源和威胁状态分析总结，具体如表3所示。

2.2  建立两个评估指标体系

1） 从各风险源的风险概率、影响以及不可控制性三个属性入手，建立评估指标体系：最高层即目标层[a]为要达到的风险评估目标;第二层即属性层[b]分别为风险源的风险概率[b1]，风险影响[b2]和不可控制性[b3];第三层是方案层[c]，即表3中的各个风险源：网关与各网域接口点[c1]、各网域之间接口点[c2]、软件平台与机载娱乐系统数据交互点[c3]、[c4]乘务使用PAD、电子飞行包[c5]，非法用户进入机载网络[c6]。构造的评估体系如图2所示。

2） 针对威胁状态建立评估指标体系，考虑其对网络信息资产保密性、完整性和可用性的影响：目标层[a]是要达到的风险评估目标;属性层[b]是保密性[b1]、完整性[b2]和可用性[b3]。参照表3中各风险源的威胁状态，将其具体分为五类构成第三层方案层[c]：获取信息[c1]、篡改信息[c2]、利用服务[c3]、拒绝服务[c4]、提升权限非法操作[c5]。构造的评估体系如图3所示。

2.3  综合评估

由网络架构、风险源以及威胁状态的分析可知，各风险源与威胁状态相互影响，因此将威胁状态引入改进模型，在只分析风险源无法确定评估结果的情况下，加入对威胁状态的分析，建立第2.2节所示的评估指标体系。通过威胁状态的评估结果，辅助得出综合评估结论：

1） 先进行风险源指标体系的评估计算，若评估结果清晰，且与专家打分基本一致，则结果有效;

2） 若根据风险源指标体系计算得到的结果无法准确判断网络安全风险状况，或专家意见相左，则进行威胁状态指标体系的计算，辅助判断风险状况;

3） 若由威胁状态指标体系计算的结果与风险源指标体系结果相差较大，则邀请第三方专家重新打分，重新进行风险评估。

3  案例分析

3.1  風险源评估指标体系

1） 邀请两位机载网络安全的专家根据GB/T 22239—2008[12]，GB/T 22240—2008[13]以及某一测试机载网络环境信息对图2中的准则层指标进行赋值，加权平均后得到判断矩阵如下：

[B*=142.828 40.2510.316 20.353 63.162 31]

由式（1）计算得到[CR=0.052<0.1]，符合一致性要求。根据式（2）、式（3）得到指标层合成权重为：

[W*b1=0.222 9，0.088 8，0.047 1，0.047 1，0.085 9，0.021 6T，]

[W*b2=0.042 6，0.017 0，0.009 0，0.009 0，0.016 4，0.021 6T，]

[W*b3=0.103 1，0.041 1，0.021 8，0.021 8，0.039 7，0.052 3T]

2） 对机载网络风险等级进行划分，分为5个风险等级，即5个灰类，如表4所示。

3.2  威胁状态评估指标体系

1） 对图3中准则层指标赋值，构造判断矩阵：

[B*=10.816 50.277 41.224 710.534 53.605 61.870 81]

经计算[CR=0.022<0.1]，符合一致性要求。得到权重为：

[W*b1=0.104 7，0.258 3，0.105 0，0.099 0，0.099 0T]，

[W*b2=0.142 2，0.234 0，1 050，0.049 0，0.088 5T]，

[W*b3=0.136 5，0.239 0，0.142 0，0.021 8，0.056 0T]

2） 由两位专家进行打分，得到的新型机载网络风险评估表如表6所示。

据式（5）可得：[σk1=σ21=0.460 7]，[σk2=σ22=0.431 2]，即[σ=maxσk1，σk2=σ21=0.460 7]，[k=2]。

3.3  实验结果分析

分析风险源指标体系得到的计算结果，该网络风险所属灰类即风险等级为第二类，即“较低”风险;但根据图4显示，风险等级为“低”和“较低”的定权聚类系数差距较小，且两位专家意见相反，单凭对风险源的分析无法得出准确清晰的结论，因此进行对威胁状态指标体系的计算。威胁状态指标体系的计算结果显示：网络风险所属灰类即风险等级为第二类，即“较低”风险;图5也清晰显示，风险等级为2的聚类系数明显大于其他等级的值，综合风险源指标体系的计算结果可知，该新型机载网络安全风险等级为“较低”。

4  结  论

本文首先分析了新型机载网络风险评估的难点以及传统风险评估方法的不足，然后建立一种利用威胁状态辅助评估的改进模型。该模型提高了评估的准确性和鲁棒性，使其相较于单次分析风险源的评估模型可以适应更多场景。最后以某一机载网络环境为例进行实验，证明模型可行并有效。下一步的工作是在确定新型机载网络安全风险状况的基础上，针对不同风险选择相应的防护手段，对其进行适航防护的研究，为适航审定技术手段建议的提出提供更多理论和技术支持。

参考文献

[1] 牛文生.机载计算机技术[M].北京：航空工业出版社，2013.

NIU Wensheng. The airborne computer technology [M]. Beijing： Aviation Industry Press， 2013.

[2] KWAK K J， SAGDUYU Y， YACKOSKI J， et al. Airborne network evaluation： challenges and high fidelity emulation solution [J]. IEEE communications magazine， 2014， 52（10）： 30?36.

[3] 翁迟迟，齐法制，陈刚.基于层次分析法与云模型的主机安全风险评估[J].计算机工程，2016，42（2）：1?6.

WENG Chichi， QI Fazhi， CHEN Gang. Host security risk assessment based on analytic hierarchy process and cloud model [J]. Computer engineering， 2016， 42（2）： 1?6.

[4] 张双，孔德岐，李晓东.机载系统安保风险评估方法[J].计算机工程与应用，2013，49（16）：232?235.

ZHANG Shuang， KONG Deqi， LI Xiaodong. Security risk assessment methodology for airborne system [J]. Computer engineering and applications ， 2013， 49（16）： 232?235.

[5] 李林，刘毅，杨骏.无线网络安全风险评估方法的应用研究[J].计算机仿真，2011，28（9）：147?150.

LI Lin， LIU Yi， YANG Jun. Application of wireless network safety risk assessment [J]. Computer simulation， 2011， 28（9）： 147?150.

[6] 赵冬梅，马建峰，王跃生.信息系统的模糊风险评估模型[J].通信学报，2007，28（4）：51?56.

ZHAO Dongmei， MA Jianfeng， WANG Yuesheng. Model of fuzzy risk assessment of the information system [J]. Journal on communications， 2007， 28（4）： 51?56.

[7] 郭金玉，张忠彬，孙庆云.层次分析法的研究与应用[J].中国安全科学学报，2008，18（5）：148?153.

GUO Jinyu， ZHANG Zhongbin， SUN Qingyun. Study and applications of analytic hierarchy process [J]. China safety science journal， 2008， 18（5）： 148?153.

[8] 李振富，韩彬霞，李晓鹏，等.基于AHP的通信网风险评估[J].现代电子技术，2011，34（19）：111?113.

LI Zhenfu， HAN Binxia， LI Xiaopeng， et al. Risk evaluation of military communication network based on AHP [J]. Modern electronics technique， 2011， 34（19）： 111?113.

[9] 邓聚龙.灰理论基础[M].武汉：华中科技大学出版社，2002.

DENG Julong. The course of grey system theory [M]. Wuhan： Huazhong University of Science and Technology Press， 2002.

[10] 张军才，陈剑.民用飞机机载信息系统设计分析[J].计算机光盘软件与应用，2011（11）：5?6.

ZHANG Juncai， CHEN Jian. Design and analysis of civil aircraft airborne information system [J]. Computer CD software and applications， 2011（11）： 5?6.

[11] WOLF M， MINZLAFF M， MOSER M. Information technology security threats to modern e?enabled aircraft： a cautionary note [J]. Journal of aerospace information systems， 2014， 11（7）： 447?457.

[12] 全国信息安全标准化技术委员会.信息安全技术信息系统安全等级保护基本要求：GB/T 22239—2008[S].北京：中国标准出版社，2008.

TC260. Information security technology： baseline for classified protection of information system security： GB/T 22239—2008 [S]. Beijing： Standards Press of China， 2008.

[13] 全国信息安全标准化技术委员会.信息安全技术信息系统安全等级保护定级指南：GB/T 22240—2008[S].北京：中国标准出版社，2008.

TC260. Information security technology： classification guide for classified protection of information system： GB/T 22240—2008 [S]. Beijing： Standards Press of China， 2008.