基于态势感知的车联网安全风险评估方法

陶力， 杨菁， 杨烨， 余涛， 陈春逸

(1.华北电力大学经济与管理学院， 北京 100096； 2.南瑞集团有限公司， 南京 210003; 3.北京科东电力控制系统有限责任公司， 北京 100194; 4.国网上海市电力公司， 上海 200080； 5.上海电力交易中心， 上海 200003； 6.国网电动汽车服务有限公司， 北京 100053)

随着工业化与信息化深度融合等国家战略的部署推动，传统制造业融合互联网技术不断改造升级，在汽车行业巨大的市场需求的驱动下，智能汽车具有广阔的市场空间和发展前景，车联网作为汽车、交通、信息通信、电子等深度融合的新兴产业，在新发展格局的构建下，是推动制造业高质量发展，实现产业转型升级的重要动力。在第五代移动通信技术(5th generation mobile communication technology，5G)商用以及巨大的汽车市场规模推动下，中国车联网产业进入快速发展阶段。相关数据显示，到2021年中国车联网市场规模将超过千亿元，增速超过60%，至2025年中国车联网市场规模接近万亿级别，市场渗透率高于70%[1-2]。随着车联网的大规模高速发展，应用场景更加丰富、需求更加多样，对于车联网安全的要求也不断提高，车联网网络安全需求更加多样复杂，“人-车-路-网-云”协同的各环节安全风险更加突出，并且车联网应用中的安全事故可能会造成巨大的生命财产损失，因此亟须建立车联网安全保障体系，为车联网健康发展保驾护航。

目前，国内外在车联网安全方面的研究已经取得了一系列进展。李小刚等[3]基于车联网感知层、网络层和应用层分别分析了每个层级存在的安全风险，结合车联网安全案例，提出了基于车联网3个层级的安全防护体系；吴启武等[4]利用信任分类与动态管理的方法,提出一种基于贝叶斯理论的车联网安全路由信任模型,提升了车联网路由安全性；Garcia-Magarino等[5]提出了运用特定的优先级规则以及数字证书等手段进行车辆安全性监测以增强车联网的安全性； 俞建业等[6]提出了一种基于Apache Spark框架的车联网分布式组合深度学习入侵检测方法，将深度学习卷积神经网络和长短期记忆网络组合，进行车联网入侵特征提取和数据检测，从大规模车联网数据流量中发现异常行为；Wang等[7]设计了具有三级安全架构的新型车载单元，并提出了车联网多级安全协议，不仅可以提高外部网络的安全性，还可以通过与现有的车载安全方案进行协作来保护车载网络；刘雪娇等[8]基于区块链技术提出了车联网数据共享加密控制策略，数据用根据访问者属性定义的访问控制策略加密，保证只有授权的访问者才能访问数据的内容，实现车联网链上数据的安全、灵活共享；Rawat等[9]提出了使用哈希值的数据伪造攻击检测，通过调整争用窗口大小以将准确信息及时转发给相邻车辆来提高吞吐量同时减少端到端延迟，从而提高车联网的安全性和性能；郭茂文等[10]针对C-V2X车联网应用层安全通信问题提出了一种用户身份SIM认证与基于标识信息的密码技术相结合的解决方案，实现C-V2X车联网应用层通信的用户身份可信认证和通信安全；张海波等[11]提出了一种车联网中车载单元和路侧单元的双向匿名可追溯组认证协议，实现车载单元在车联网中的安全接入、路侧单元的动态分组、恶意车辆的快速撤销以及用户身份信息的自由变更；Sanjeev等[12]设计了一种基于区块链的分散式车辆自组织网络，针对车辆用户建立了身份验证协议，保证了车联网数据和用户身份认证的安全性；丁男等[13]提出了异构车联网逻辑链路控制层链路调度算法，保障非安全服务的高链路利用率，提高车联网的安全性能。

目前，对于车联网安全防护技术的研究不断丰富，但是仍旧缺少对车联网安全风险进行科学系统评估的机制。一方面，高速行驶的车辆使得车联网网络拓扑变化更加频繁；另一方面，建筑物、路况、天气、其他车辆的相对速度等变化的外部环境因素不断干扰车联网运行状态，因此在高动态、强干扰的条件下，对车联网的安全风险评估要求更高。因此，现提出一种基于态势感知的车联网安全风险评估方法，首先，分析态势感知技术概念及其应用场景和技术优势；其次，基于指数标度的层次分析法构建态势感知评估模型；再次，面向态势要素获取，构建车联网安全风险评估指标体系，根据评估模型建立基于态势感知的车联网安全风险评估方法，并明确了评估步骤；最后，通过算例分析，证明所提出的基于态势感知的车联网安全风险评估方法的有效性。

1 态势感知技术分析

态势感知(situation awareness)的概念源于20世纪80年代的美国空军，用于人因(human factors)的研究[14-15]，此后在航天飞行、核反应控制、医疗应急调度等领域被广泛应用研究[16]，随着网络的兴起演化为网络态势感知(cyberspace situation awareness)，指在大规模网络时空环境下，对可能威胁网络安全的要素进行获取、理解并预测发展趋势，最终形成有效反馈，指导决策与行动。态势感知主要包含态势要素获取、态势理解、态势预测3个层次，其中态势要素获取是在一定的网络环境下将目标观测系统中影响系统安全的关键要素进行提取；态势理解是对采集的数据进行整合分析并给出分析结果；态势预测是结合态势理解的结果，进一步分析并预测未来时刻的状态和发展趋势。态势感知三级模型如图1所示。

图1 态势感知三级模型Fig.1 Three-level situational awareness model

态势感知是一种基于环境，动态、整体地洞悉安全风险的技术，是以网络环境数据为基础，从全局视角对安全风险进行识别分析、预测并响应处置，最终是为了决策与行动，是安全风险识别能力的落地。其中，安全威胁来源数据获取是基础，利用算法对获取当前数据进行处理和分析是核心，基于分析结果预测潜在威胁并处置决策是关键。随着车联网规模的不断扩大以及外部环境愈加多变，车联网面临着更复杂的安全威胁。态势感知相比于传统的车联网网络安全防护技术，其能够从全局出发、动态地描述车联网所面临的安全风险，准确掌握车联网是否处于安全范围，及时发现未知攻击，预测未来车联网安全态势，指导进一步的分析与决策。

2 态势感知评估模型

态势要素获取与态势理解分别是态势感知的基础和核心，态势感知评估模型就是基于态势要素获取与态势理解两大关键步骤进行建立，其中态势要素获取就是针对目标对象选取风险评估适合的指标，态势理解是利用合理的算法对目标对象进行风险分析与评估。选取基于指数标度的层次分析法作为风险评估模型的根本算法。

2.1 基于指数标度的层次分析法

层次分析法(analytical hierarchy process，AHP)是由美国运筹学家T L Saaty于20世纪70年代提出的，是一种将决策者对复杂系统的决策思维过程模型化、数量化的过程。决策者通过将复杂问题分解为若干层次和若干因素，在各因素之间进行简单的比较和计算，就可以得出不同方案的权重，为最佳方案的选择提供依据。层次分析法按照目标对象评价指标的从属关系划分为3层：顶层包含一个要素，是评价的最终目标；中间层也称标准层，包含多个元素；第三层为基础层，包含多个评价基础指标元素。层析分析法的基本步骤为：①明确问题，将问题概念化；②建立递阶层次结构；③两两比较，构造一致性判断矩阵；④层次因素单排序；⑤一次性单排序、一次性检验、递阶综合排序等[17]。其关键在于以一定的标度把专家评价数量化，构造一致性判断矩阵。基于指数标度的层次分析法相比于传统1～9层次分析法精度更高，更符合人们的思维判断[18]，基于指数标度的层次分析法的标度含义见表1，其中1～9标度法的标度上限为9，将重要性程度划分9级，则a8=9，计算结果为a=1.316。

表1 指数标度表Table 1 Index scale table

2.2 实施步骤

2.2.1 基于指数标度层次分析法判断矩阵的建立

假设目标对象的评价基础指标有n个，根据表1对n个指标进行两两比较，得到基础层每个指标的指数标度值aK-1，得到判断矩阵A为

(1)

式(1)中：判断矩阵为n维；aij为i行j列的元素，当ij时，aij=1/aK-1。

2.2.2 判断矩阵一致性校验

对判断矩阵进行一致性校验，若不满足一致性要求，则需要对判断矩阵A进行调整，直至满足一致性要求。未来避免误差随着矩阵结束升高而升高，引入平均随机性一致性指标RI进行一致性比例修正，一致性校验的判定公式为

(2)

式(2)中：λmax为判断矩阵的最大特征值；n为判断矩阵阶数，RI取值见表2。

当CR≤0.1时，满足一致性要求；否则不满足一致性要求则需要对判断矩阵进行调整直至满足校验要求。

表2 RI取值表Table 2 RI value table

2.2.3 风险评价

根据专家打分确定每个评价指标的得分，记作Xi，每个评价指标的权重为qi，则总分为

(3)

根据最终的得分结果对目标对象进行风险评价，将风险等级划分为五级，分别是：优秀(90

3 基于态势感知的车联网安全风险评估方法

根据建立的态势感知评估模型，通过态势要素采集对车联网安全风险评估的指标进行选取，建立车联网安全风险评估指标体系；通过态势理解对指标体系进行建模分析，利用基于指数标度层次分析法对车联网网络风险进行分析和评估，为进一步的态势预测与决策行动提供基础和依据。

3.1 车联网安全风险评估指标体系

建立基于态势要素获取的车联网安全风险评估指标体系，首先是对危害车联网网络安全的指标要素进行选取，参考中华人民共和国工业和信息化部2021年6月发布的《车联网网络安全标准体系建设指南》，从车联网基本构成要素出发，针对车辆终端、基础设施、通信网络、数据信息、平台应用和车联网服务等关键环节，建立二级指标，包括：终端与设施安全、网联通信安全、数据安全、应用服务安全，其中，终端与设备安全指车载设备、车端、路侧通信设备和测试场设施等网络安全，网联通信安全指V2X通信网络安全和身份认证等相关安全，数据安全指智能网联汽车、车联网平台、车载应用服务等数据安全以及个人信息安全，应用服务安全指车联网平台、APP和典型场景下的业务服务安全。车联网网络安全二级指标架构见图2。

基于终端与设备安全、网联通信安全、数据安全、应用服务安全进一步划分三级指标。终端与设备安全由车载设备安全、车端安全、路测通信设备安全、测试场设施安全4个三级指标构成；网联通信安全由通信安全和身份认证2个三级指标构成；数据安全由通用要求、分级分类、出镜安全、个人信息保护、应用数据安全等5个三级指标构成；应用服务安全由平台安全、应用程序安全、服务安全等3个三级指标构成。由此构建的车联网安全风险评估指标体系见图3。

图2 车联网网络安全二级指标架构Fig.2 Secondary index architecture of Internet of Vehicles network security

图3 车联网安全风险评估指标体系Fig.3 Safety risk assessment index system of Internet of Vehicles

基于态势感知获取，选取了14个基础指标和4个二级指标，运用层次分析思路，构建了包含3个层次的车联网总共18个指标的车联网安全风险评估指标体系，为下一步的态势分析提供了数据基础。

3.2 基于态势感知的车联网安全风险评估方法

根据建立的车联网安全风险评估指标体系，从3层18个指标入手，对车联网的安全风险进行分析和评估，步骤如下。

步骤1根据指标体系确定车联网安全风险评估的评价层析和评价指标。包含三层18个指标，如图3所示。

步骤2根据前面提出的指数标度值aK-1与各指标之间的重要程度的量化标准，对指标进行两两比较，对每个二级指标下的若干个三级指标进行两两比较，根据指标之间的比较结果和量化标准，确定不同指标对应的指数标度值aK-1(K=1,2,…,n)。

步骤3根据确定的指数标度值aK-1，构建针对每个二级指标的n维判断矩阵，n代表二级指标下对应的三级指标的个数，对应的判断矩阵为

(4)

步骤5一致性校验，通过判定公式[式(2)]和表2，对判断矩阵进行一致性校验，若满足一致性要求可进行以下步骤，若不满足，则对判断矩阵进行调整，直至满足一致性要求。

步骤6建立一级指标下的4个二级指标的4阶判断矩阵，并求取其最大特征值对应的特征向量，得到4个二级指标对应的权重，并对判断矩阵做一致性校验。

步骤7运用专家打分法[19]为每个指标进行打分，依据专家打分情况与18个指标对应的权重列出风险评价表，并计算总分。

步骤8根据总分的高低进行安全风险的评判。

3.3 算例

选取某公司旗下品牌车联网进行案例分析，运用基于态势感知的车联网安全风险评估方法对该品牌车联网进行风险评价，对车联网安全风险评价的权重值进行计算。

基于车联网安全风险评估指标体系和专家评价，建立针对车联网终端与设施安全的判断矩阵模型，建立二级评价指标“终端与设施安全”评价的4维判断矩阵，通过专家评价判定终端与设备安全下的4个三级指标的重要程度排序从大到小：车载设备安全、车端安全、路测通信设备安全、测试场设施安全，则表征“终端与设备安全”的指数标度判断矩阵A1如式(5)所示。

(5)

同上，基于专家评价和指数标度法构建“网联通信安全”下的2个三级指标“通信安全、身份认证”对应的判断矩阵A2如式(6)所示。

(6)

经MATLAB计算，得出判断矩阵的最大特征值对应的特征向量，进而得到通信安全、身份认证2个三级指标对应的权重分别为0.635、0.365。则一致性校验的CR=0<0.1，满足一致性要求。

“数据安全”下的5个三级指标通过专家评价后，重要程度由大到小排序为：通用要求、分级分类、个人信息保护、应用数据安全、出境安全，并得出其对应的5阶判断矩阵，如式(7)所示。

(7)

经MATLAB计算，得出判断矩阵的最大特征值对应的特征向量，进而得到通用要求、分级分类、个人信息保护、应用数据安全、出境安全5个三级指标对应的权重分别为0.371、0.269、0.162、0.122、0.076。则一致性校验的CR=0.003<0.1，满足一致性要求。

“应用服务安全”下的3个三级指“平台安全、服务安全、应用程序安全”所对应的3阶判断矩阵，如式(8)所示。

(8)

经MATLAB计算，得出判断矩阵的最大特征值对应的特征向量，进而得到平台安全、服务安全、应用程序安全3个三级指标对应的权重分别为0.706、0.199、0.095。则一致性校验的CR=0.01<0.1，满足一致性要求。

同理可建立第一层指标下的4个二级指标“终端与设施安全、数据安全、网联通信安全、应用服务安全”对应的判断矩阵如式(9)所示。

(9)

经MATLAB计算，得出判断矩阵的最大特征值对应的特征向量，进而得到终端与设施安全、数据安全、网联通信安全、应用服务安全4个二级指标对应的权重分别为0.353、0.31、0.2、0.137。则一致性校验的CR=0.02<0.1，满足一致性要求。

因此，基于以上指标的权重，结合专家对每个评价指标的打分情况，得出如表3所示的车联网安全风险评价数据。

表3 车联网安全风险评价数据表Table 3 Safety risk assessment data of Internet of Vehicles

经过计算分析得出该公司所运营的车联网安全风险评估分数为95.454>90，根据风险等级划分，安全风险评价级别为优秀，同时，各二级指标和三级指标的得分也均在90分以上，证明该车联网能够较好地抵御网络安全风险。

4 结论

提出了基于态势感知的车联网安全风险评估方法，通过态势要素获取和态势理解分析两个阶段完成了对车联网安全风险状态的评估。面向态势要素获取阶段，构建了包含3个层次、18个指标的车联网安全风险评估指标体系，为态势理解分析提供了指标数据基础。面向态势理解分析阶段，建立了车联网安全风险评估模型，将基于指数标度的层次分析法作为评估模型的核心算法，提出一套完整的基于态势感知的车联网安全风险评估方法，并通过算例，计算了各级指标的权重和评估总分，验证了提出的评估方法的有效性。提出的基于态势感知的车联网安全风险评估方法，能够从全局出发、动态描述车联网所面临的安全风险，准确掌握车联网是否处于安全范围，可指导下一步的车联网安全态势预测，为之提供分析和决策的依据。