智能网联汽车网络安全水平定量评价方法研究

智能网联汽车网络安全水平定量评价方法研究

作者：路鹏飞 薛晓卿 丁文龙 朱科屹 来源：《中国科技纵横》2019年第01期

摘 要：智能网联汽车技术的迅速发展，与科学的汽车网络安全水平定量评价方法密切相关。汽车网络安全水平定量评价方法基于对相关网络安全技术指标的梳理分析，并结合科学的赋权方法，构建起各测评对象与测试用例的权重体系，以直观的评分方式对汽车网络安全评测结果加以表述，使广大用户能够迅速获得对车辆网络安全水平的准确认知，进而调动起研究团队对智能网联汽车网络安全技术的研究热情，促进智能网联汽车产业的快速发展。本文旨在提出一种针对智能网联汽车网络安全水平的定量评价方法。依据对于智能网联汽车网络安全风险点的梳理，将汽车网络安全架构分为四个评价层次，即整车层、系统层、零部件层以及用例层。通过在用例层引入CVSS评价方法，确定各测试用例的重要性指数并保证判断矩阵的一致性。然后结合层次分析法和CRITIC赋值法，计算出用例层各元素的权重，并进一步确定智能网联汽车各级评价对象的权重，形成整体权重体系。在权重体系的基础上，运用DREAD构建整车网络安全评分模型。

关键词：智能网联汽车;层次分析法;CRITIC赋值法;定量评价

中图分类号：TP309 文献标识码：A 文章编号：1671-2064（2019）01-0023-04

现阶段，智能网联汽车网络安全保障工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证[1]，而在汽车网络安全水平评价方面虽然也开展了一些工作，如，魏忠等提出的从定性到定量的系统化信息系统安全评估体系[2];黄丽民等提出了一种针对网络安全评价的多级模糊算法[3];李雄伟等也通过采用模糊层次分析法Fuzzy-AHP在评估网络攻击效果方面取得了一定成果[4]，但是由于对现有成果中采用的主流评估方法存在的固有缺陷依然缺乏有针对性的完善措施，因而尚不能形成全面、系统的测评体系及评估方法。

总结以往在网络安全评价领域中的工作可以发现，层次分析法AHP（Analytic Hierarchy Process）或模糊层次分析法Fuzzy-AHP是研究人员普遍采用的评价方法。层次分析法是一种简便、灵活又实用的多准则决策方法，通过将定性和定量评价相结合，它把一个复杂的评价问题分解成若干组合因素，并按照支配关系形成层次结构，然后用两两比较的方法确定决策方案的相对重要性即判断矩阵，可见层次分析法具有系统化和层次化的特点。这种方法比较适用于无结构问题（无结构问题即已知条件与要达到的目标都比较含糊，问题情境不明确，各种影响

龙源期刊网 http://www.qikan.com.cn

因素不确定，不易找出解答线索的问题）的建模。由于层次分析法具备简单实用的特点和较高的有效性，现已被广泛应用于各个领域的综合评价方法当中[5]。

但同时层次分析法也存在突出的问题，在实际应用中会对评价结果的客观性和使用便利性造成负面影响。其中，在层次分析法中必须的重要性判断矩阵是通过人为赋值的方式生成的，其产生过程过于依赖研究人员或实际评测者对于智能网联汽车网络系统的了解程度及个人经验，确法统一的、规范化的操作方式，因而导致主观随意性较强，难以保证评价结果的客观性。此外，在存在多个评价对象的情况下，这种由直接赋值的方式生成的重要性判断矩阵有可能无法通过一致性检验，从而造成反复修改迭代，降低了操作效率。 1 智能网联汽车网络安全水平定量评价方法论

本文提出的智能网联汽车网络安全评价方法，是建立在智能网联汽车网络安全风险点研究的基础上，针对已形成的整车网络安全体系，如图1所示，设计的一套从测试用例到关键零部件、云管端安全，直至整车系统的评价方法。

针对上述评价体系，本文的评价方法有四个主要步骤构成。 1.1 CVSS重要性指数

首先参照CVSS评价方法，从攻击和防御两个方面入手对汽车通信系统中的关键部件进行分析，以攻击/防御成本和攻击/防御收益四个基本要素为出发点，采用专家决策的方式对评价对象的重要性进行评估和赋值，并最终获得评价对象（即从评价体系中的第二层开始，各层包含的系统、关键零部件或测试用例）的重要性指数，之后将各指数进行两两比较即可得出判断矩阵，并且可以确保判断矩阵能够通过一致性检测，从而适用于层次分析法的权重计算。 CVSS，英文全称Common Vulnerability Scoring System，即通用安全漏洞评估系统，是由NIAC发布、FIRST维护的开放式行业标准。CVSS为信息安全产业从业人员提供了一个开放式的交流平台，针对网络系统漏洞的特点与影响进行分析研究。CVSS对每个漏洞的评价分为基本评价、生命周期评价和环境评价三个部分，并将各评价指标量化为0～10间的具体分值，分数越高则危险级别越高，因而需要给与的重视程度更高。CVSS评价内容与指标如表1至表3所示。

由于CVSS针对每个评价对象所制定的各项评分要素均由国际信息安全领域专家共同制定，因而具有较强的专业性与说服力。同时，CVSS中的各评价要素不存在相关性，从而可以作为独立的因素用于量化分析[6]。

本文将借鉴CVSS方法，对车载信息系统关键节点潜在的网络风险等级和危害程度进行评估，从而确定各节点的重要程度。

龙源期刊网 http://www.qikan.com.cn

1.2 综合权重

第二步是以重要性判断矩阵作为输入，使用层次分析法计算出评测体系中各层的评价对象针对上层相关要素的权重。

如上文所述，为了降低层次分析法计算结果的主观随意性，使评价结果更加合理，本文使用层次分析法AHP和CRITIC赋值法结合的方式对评价对象进行赋权，在参考评价技术人员个人技术经验的同时运用数学方法兼顾评价结果的客观性。

如上所述，第三步将使用CRITIC法计算专家决策的权重。CRITIC賦值法同时考虑了指标变异性和指标冲突性，与熵值法、变异系数法和相关系数法等赋权方法相比较，CRITIC赋值法的赋权结果更加注重客观性。CRITIC赋值法的基本思想是基于评价指标的对比强度和指标冲突性两个基本要求决定各评价指标的权重。其中，对比强度是指在对同一指标采用不同的评价方法赋值时，所得赋值结果的标准差，用以体现各结果之间差距的大小，即，标准偏差越大，赋值结果差距越大。而评价指标之间的冲突性则是通过计算评价指标间的相关性得到。而相关性是由相关系数（Correlation coefficient）表示的。相关系数是反映评价指标间相关关系密切程度的统计指标，以各评价指标与各自平均值的离差为基础，通过两个离差相乘来反映两变量之间相关程度。如果计算所得两指标间的相关系数较大，则表示两者之间正相关越强，冲突性越小，反则反之。

得到参与各层决策的多个专家的权重之后，将各层评价对象的层次分析法权重与各位专家的CRITIC权重进行点积运算，从而得到各评价对象的综合权重。 1.3 DREAD评分方法

第四步是借鉴DREAD评分方法[7]，如表4所示，考虑在测试过程中所发现的网络威胁的潜在危害、影响范围等因素，对各测试对象的网络安全水平进行评估，并使用表5所示的评分规则，对各测试对象进行统一的网络安全水平评分，然后将各要素的测试评分结果与各自权重相乘得到各评价对象的分值。

本文提出的智能网联汽车车载信息系统的定量安全评估流程如图2所示。下文将进一步对各关键步骤的计算过程做详细介绍。

2 智能网联汽车网络安全水平定量评价实施过程

本节将对方法论中所述的四个主要步骤的实施办法和计算过程做详细说明。以此步骤进行将最终得出智能网联汽车各个网络安全评价对象的量化评分。 2.1 CVSS重要性指数计算

龙源期刊网 http://www.qikan.com.cn

本文从攻击经济型（AE）、防御收益（DR）和防御成本（DC）三个方面衡量评价对象的重要性。结合CVSS方法，由专家对表1-表3中的评价要素进行评分，继而通过以下公式计算出重要性指数。

攻击经济性计算：AE=PAC+PAV+PAU

其中，PAC是攻击途径分值，PAV是攻击复杂度分值，PAU是认证分值。此三个分值均由专家参照表1决策给出。 防御收益计算：DR=PI×IL 其中PI是资产重要性指数。 PI=PT×OT

PT、OT分别代表处理器类型分值和操作系统类型分值。此两个分值均由专家依照表6决策给出IL是固有致命性指数。 IL=HL×TD

HL和TD分别代表危害影响程度分值和目标分布范围分值。此两个分值均由专家参照表3决策给出。

防御成本计算：DC=（1+PI）×RE×（OP+DE）

其中：RE为补丁修复等级分值。此分值由专家参照表2决策给出。 OP为修复成本指数。 OP=EP+RP+AC

其中EP为可利用渗透代码的修复成本分值，RP为增加漏洞报告可信度的修复分值，AC为提升攻击复杂度的修复分值。此三项分值由专家参考表1和表2决策给出。 DE为破坏修复成本指数。 DE=AV+IN+CO

其中，AV为针对可用性破坏的修复成本分值，IN为针对完整性破坏的修复成本分值，CO为针对机密性破坏的修复成本分值。此三项分值由专家参照表1决策给出。

龙源期刊网 http://www.qikan.com.cn

综上，可以得出评价对象的重要性指数I I=AE+DR+DC

2.2 AHP层次分析法权重计算

在层次分析法权重计算的过程中，首先要将评价对象的重要性指数进行两两比较，得到重要度指数m。 mij=Ii/Ij

将所有评价对象的重要性质指数进行两两比较后得到的重要度指数的集合即为重要性判断矩阵M。

显然矩阵M具备以下性质：mii=1; mij=1/mji; mij>0

对判断矩阵M按列规范化，即对判断矩阵M的每一列进行正规化运算： 将正规化矩阵按行相加，得到和向量K： 将得到的和向量K正规化，即得权重向量：

需要说明的是，由于本文所采用的重要性判断矩阵是由事先确定的评价对象的重要性指数两两比较得来，因而可以确定判断矩阵满足一致性要求，无需再通过计算判断矩阵的最大特征根和一致性指标进行验证，进一步提升了操作的便利性。 2.3 CRITIC客观权重计算

在CRITIC客观权重计算过程中，首先将依据不同专家给出的重要性指数计算出的各个层次分析法权重向量集合成为权重矩阵W。 W=

其中，矩阵中的第一列，[W11 W21… Wn1]，是采用第1位专家给出的重要性指数计算出的层次分析法权重向量，类似的，第二列，[W12 W22… Wn2]，是采用第2位专家给出的重要性指数计算出的层次分析法权重向量，以此类推。 对矩阵W中的每一列分别进行标准差运算： δy=

龙源期刊网 http://www.qikan.com.cn

δy是第y个权重向量的标准差，其代表了各个评价对象权重取值差距的大小。 接下来计算第i个和第j个权重向量之间的相关系数σij： （i，j=1，2…y）

则各权重向量所包含的信息量可有下式表示： 第j个权重向量Kj所对应的CRITIC权重为：

至此可以结合AHP层次分析法权重矩阵W和CRITIC客观权重向量T计算出评价对象的综合权重Z：Z=[K]×[T]。 2.4 评价对象分值计算

得到评价对象的综合权重之后，依据针对智能网联汽车通信网络风险点的测试结果，运用DREAD评分原则，结合表5所示的测试评分标准得到各个测试对象的网络安全分值Ei，将得分向量Ei与各自相应的综合权重Zi相乘，即得到各个评价对象的最终得分Fi如下：Fi=Ei×Zi。 3 结语

智能网联汽车网络安全水平定量评价方法是实施网络安全评价的基础。需要通过制定科学的信息系统安全评估标准，并结合合理的评估算法，才能顺利开展汽车网络安全评价工作。本文提出的智能网联汽车网络安全等级测评体系及评估方法，结合了CVSS、AHP层次分析法、CRITIC客观赋权法和DREAD评分模型，为评价对象的重要性赋值提供了可靠依据。此外，本方法能够在充分運用业内专家的专业经验的基础上，有效规避了因人为赋值造成的主观随意性，使重要性判断矩阵更加客观合理。同时，本方法借助重要性赋值的方法，可将传统层次分析法中验证判断矩阵一致性的步骤省略，从而有效避免了因违反一致性原则而反复迭代判断矩阵的情况发生，进一步提高了操作便利性和效率。 4 展望

同时需要说明的是，本文中介绍的评价方法虽然具有完备的理论基础，并具有较高的可操作性，但是此方法尚未经过实际测试工作的检验。未来将在实地的智能网联汽车信息安全评价过程中对本方法进行实施和验证，及时发现问题并加以改进，使其成为可行、可靠、并具备较高公信力的评价方法，从而更好地为分析车辆信息系统的安全状况提供支撑，填补国内车载信息系统安全测评体系及评估方法的空白。

龙源期刊网 http://www.qikan.com.cn

本文章在“2016年智能制造专项”项目，“智能网联汽车系统及通信标准化研究与试验验证平台建设”课题支撑下展开研究，课题编号2016ZXFB06002。 参考文献

[1] 陈秀真，吴越，李建华.车载信息系统的安全测评体系及方法[J].信息安全学报CSCD ，2017（2）：15-23.

[2] 魏忠.从定性到定量的系统性综合集成评估体系[J].系统工程理论方法应用，2004，13（5）：478-479.

[3] 黄丽民，王华.网络安全多级模糊综合评价方法[J].辽宁工程技术大学学报，2004（4）：510-513.

[4] 李雄伟，于明，杨义先，等.Fuzzy-AHP法在网络攻击效果评估中的应用[J].北京邮电大学学报，2006（1）：124-127.

[5] YajuanZhang， XinyangDeng， DaijunWei， et al.Assessment of E-commerce security using AHP and evidential reasoning. ExpertSystemswithApplications.39（2012）：3611-3623. [6] 张必彦，王孟.基于CVSS漏洞评分标准的网络攻防量化方法研究[J].兵器装备工程学报，2018，39（4）：147-150.

[7] 王红兵.Web应用威胁建模与定量评估[J].清华大学学报（自然科学版），2009（S2）：2108-2112.