基于態勢感知的車聯網安全風險評估方法

陶力， 楊菁， 楊燁， 余濤， 陳春逸

(1.華北電力大學經濟與管理學院， 北京 100096； 2.南瑞集團有限公司， 南京 210003; 3.北京科東電力控制系統有限責任公司， 北京 100194; 4.國網上海市電力公司， 上海 200080； 5.上海電力交易中心， 上海 200003； 6.國網電動汽車服務有限公司， 北京 100053)

隨著工業化與信息化深度融合等國家戰略的部署推動，傳統制造業融合互聯網技術不斷改造升級，在汽車行業巨大的市場需求的驅動下，智能汽車具有廣闊的市場空間和發展前景，車聯網作為汽車、交通、信息通信、電子等深度融合的新興產業，在新發展格局的構建下，是推動制造業高質量發展，實現產業轉型升級的重要動力。在第五代移動通信技術(5th generation mobile communication technology，5G)商用以及巨大的汽車市場規模推動下，中國車聯網產業進入快速發展階段。相關數據顯示，到2021年中國車聯網市場規模將超過千億元，增速超過60%，至2025年中國車聯網市場規模接近萬億級別，市場滲透率高于70%[1-2]。隨著車聯網的大規模高速發展，應用場景更加豐富、需求更加多樣，對于車聯網安全的要求也不斷提高，車聯網網絡安全需求更加多樣復雜，“人-車-路-網-云”協同的各環節安全風險更加突出，并且車聯網應用中的安全事故可能會造成巨大的生命財產損失，因此亟須建立車聯網安全保障體系，為車聯網健康發展保駕護航。

目前，國內外在車聯網安全方面的研究已經取得了一系列進展。李小剛等[3]基于車聯網感知層、網絡層和應用層分別分析了每個層級存在的安全風險，結合車聯網安全案例，提出了基于車聯網3個層級的安全防護體系；吳啟武等[4]利用信任分類與動態管理的方法,提出一種基于貝葉斯理論的車聯網安全路由信任模型,提升了車聯網路由安全性；Garcia-Magarino等[5]提出了運用特定的優先級規則以及數字證書等手段進行車輛安全性監測以增強車聯網的安全性； 俞建業等[6]提出了一種基于Apache Spark框架的車聯網分布式組合深度學習入侵檢測方法，將深度學習卷積神經網絡和長短期記憶網絡組合，進行車聯網入侵特征提取和數據檢測，從大規模車聯網數據流量中發現異常行為；Wang等[7]設計了具有三級安全架構的新型車載單元，并提出了車聯網多級安全協議，不僅可以提高外部網絡的安全性，還可以通過與現有的車載安全方案進行協作來保護車載網絡；劉雪嬌等[8]基于區塊鏈技術提出了車聯網數據共享加密控制策略，數據用根據訪問者屬性定義的訪問控制策略加密，保證只有授權的訪問者才能訪問數據的內容，實現車聯網鏈上數據的安全、靈活共享；Rawat等[9]提出了使用哈希值的數據偽造攻擊檢測，通過調整爭用窗口大小以將準確信息及時轉發給相鄰車輛來提高吞吐量同時減少端到端延遲，從而提高車聯網的安全性和性能；郭茂文等[10]針對C-V2X車聯網應用層安全通信問題提出了一種用戶身份SIM認證與基于標識信息的密碼技術相結合的解決方案，實現C-V2X車聯網應用層通信的用戶身份可信認證和通信安全；張海波等[11]提出了一種車聯網中車載單元和路側單元的雙向匿名可追溯組認證協議，實現車載單元在車聯網中的安全接入、路側單元的動態分組、惡意車輛的快速撤銷以及用戶身份信息的自由變更；Sanjeev等[12]設計了一種基于區塊鏈的分散式車輛自組織網絡，針對車輛用戶建立了身份驗證協議，保證了車聯網數據和用戶身份認證的安全性；丁男等[13]提出了異構車聯網邏輯鏈路控制層鏈路調度算法，保障非安全服務的高鏈路利用率，提高車聯網的安全性能。

目前，對于車聯網安全防護技術的研究不斷豐富，但是仍舊缺少對車聯網安全風險進行科學系統評估的機制。一方面，高速行駛的車輛使得車聯網網絡拓撲變化更加頻繁；另一方面，建筑物、路況、天氣、其他車輛的相對速度等變化的外部環境因素不斷干擾車聯網運行狀態，因此在高動態、強干擾的條件下，對車聯網的安全風險評估要求更高。因此，現提出一種基于態勢感知的車聯網安全風險評估方法，首先，分析態勢感知技術概念及其應用場景和技術優勢；其次，基于指數標度的層次分析法構建態勢感知評估模型；再次，面向態勢要素獲取，構建車聯網安全風險評估指標體系，根據評估模型建立基于態勢感知的車聯網安全風險評估方法，并明確了評估步驟；最后，通過算例分析，證明所提出的基于態勢感知的車聯網安全風險評估方法的有效性。

1 態勢感知技術分析

態勢感知(situation awareness)的概念源于20世紀80年代的美國空軍，用于人因(human factors)的研究[14-15]，此后在航天飛行、核反應控制、醫療應急調度等領域被廣泛應用研究[16]，隨著網絡的興起演化為網絡態勢感知(cyberspace situation awareness)，指在大規模網絡時空環境下，對可能威脅網絡安全的要素進行獲取、理解并預測發展趨勢，最終形成有效反饋，指導決策與行動。態勢感知主要包含態勢要素獲取、態勢理解、態勢預測3個層次，其中態勢要素獲取是在一定的網絡環境下將目標觀測系統中影響系統安全的關鍵要素進行提取；態勢理解是對采集的數據進行整合分析并給出分析結果；態勢預測是結合態勢理解的結果，進一步分析并預測未來時刻的狀態和發展趨勢。態勢感知三級模型如圖1所示。

圖1 態勢感知三級模型Fig.1 Three-level situational awareness model

態勢感知是一種基于環境，動態、整體地洞悉安全風險的技術，是以網絡環境數據為基礎，從全局視角對安全風險進行識別分析、預測并響應處置，最終是為了決策與行動，是安全風險識別能力的落地。其中，安全威脅來源數據獲取是基礎，利用算法對獲取當前數據進行處理和分析是核心，基于分析結果預測潛在威脅并處置決策是關鍵。隨著車聯網規模的不斷擴大以及外部環境愈加多變，車聯網面臨著更復雜的安全威脅。態勢感知相比于傳統的車聯網網絡安全防護技術，其能夠從全局出發、動態地描述車聯網所面臨的安全風險，準確掌握車聯網是否處于安全范圍，及時發現未知攻擊，預測未來車聯網安全態勢，指導進一步的分析與決策。

2 態勢感知評估模型

態勢要素獲取與態勢理解分別是態勢感知的基礎和核心，態勢感知評估模型就是基于態勢要素獲取與態勢理解兩大關鍵步驟進行建立，其中態勢要素獲取就是針對目標對象選取風險評估適合的指標，態勢理解是利用合理的算法對目標對象進行風險分析與評估。選取基于指數標度的層次分析法作為風險評估模型的根本算法。

2.1 基于指數標度的層次分析法

層次分析法(analytical hierarchy process，AHP)是由美國運籌學家T L Saaty于20世紀70年代提出的，是一種將決策者對復雜系統的決策思維過程模型化、數量化的過程。決策者通過將復雜問題分解為若干層次和若干因素，在各因素之間進行簡單的比較和計算，就可以得出不同方案的權重，為最佳方案的選擇提供依據。層次分析法按照目標對象評價指標的從屬關系劃分為3層：頂層包含一個要素，是評價的最終目標；中間層也稱標準層，包含多個元素；第三層為基礎層，包含多個評價基礎指標元素。層析分析法的基本步驟為：①明確問題，將問題概念化；②建立遞階層次結構；③兩兩比較，構造一致性判斷矩陣；④層次因素單排序；⑤一次性單排序、一次性檢驗、遞階綜合排序等[17]。其關鍵在于以一定的標度把專家評價數量化，構造一致性判斷矩陣。基于指數標度的層次分析法相比于傳統1～9層次分析法精度更高，更符合人們的思維判斷[18]，基于指數標度的層次分析法的標度含義見表1，其中1～9標度法的標度上限為9，將重要性程度劃分9級，則a8=9，計算結果為a=1.316。

表1 指數標度表Table 1 Index scale table

2.2 實施步驟

2.2.1 基于指數標度層次分析法判斷矩陣的建立

假設目標對象的評價基礎指標有n個，根據表1對n個指標進行兩兩比較，得到基礎層每個指標的指數標度值aK-1，得到判斷矩陣A為

(1)

式(1)中：判斷矩陣為n維；aij為i行j列的元素，當ij時，aij=1/aK-1。

2.2.2 判斷矩陣一致性校驗

對判斷矩陣進行一致性校驗，若不滿足一致性要求，則需要對判斷矩陣A進行調整，直至滿足一致性要求。未來避免誤差隨著矩陣結束升高而升高，引入平均隨機性一致性指標RI進行一致性比例修正，一致性校驗的判定公式為

(2)

式(2)中：λmax為判斷矩陣的最大特征值；n為判斷矩陣階數，RI取值見表2。

當CR≤0.1時，滿足一致性要求；否則不滿足一致性要求則需要對判斷矩陣進行調整直至滿足校驗要求。

表2 RI取值表Table 2 RI value table

2.2.3 風險評價

根據專家打分確定每個評價指標的得分，記作Xi，每個評價指標的權重為qi，則總分為

(3)

根據最終的得分結果對目標對象進行風險評價，將風險等級劃分為五級，分別是：優秀(90

3 基于態勢感知的車聯網安全風險評估方法

根據建立的態勢感知評估模型，通過態勢要素采集對車聯網安全風險評估的指標進行選取，建立車聯網安全風險評估指標體系；通過態勢理解對指標體系進行建模分析，利用基于指數標度層次分析法對車聯網網絡風險進行分析和評估，為進一步的態勢預測與決策行動提供基礎和依據。

3.1 車聯網安全風險評估指標體系

建立基于態勢要素獲取的車聯網安全風險評估指標體系，首先是對危害車聯網網絡安全的指標要素進行選取，參考中華人民共和國工業和信息化部2021年6月發布的《車聯網網絡安全標準體系建設指南》，從車聯網基本構成要素出發，針對車輛終端、基礎設施、通信網絡、數據信息、平臺應用和車聯網服務等關鍵環節，建立二級指標，包括：終端與設施安全、網聯通信安全、數據安全、應用服務安全，其中，終端與設備安全指車載設備、車端、路側通信設備和測試場設施等網絡安全，網聯通信安全指V2X通信網絡安全和身份認證等相關安全，數據安全指智能網聯汽車、車聯網平臺、車載應用服務等數據安全以及個人信息安全，應用服務安全指車聯網平臺、APP和典型場景下的業務服務安全。車聯網網絡安全二級指標架構見圖2。

基于終端與設備安全、網聯通信安全、數據安全、應用服務安全進一步劃分三級指標。終端與設備安全由車載設備安全、車端安全、路測通信設備安全、測試場設施安全4個三級指標構成；網聯通信安全由通信安全和身份認證2個三級指標構成；數據安全由通用要求、分級分類、出鏡安全、個人信息保護、應用數據安全等5個三級指標構成；應用服務安全由平臺安全、應用程序安全、服務安全等3個三級指標構成。由此構建的車聯網安全風險評估指標體系見圖3。

圖2 車聯網網絡安全二級指標架構Fig.2 Secondary index architecture of Internet of Vehicles network security

圖3 車聯網安全風險評估指標體系Fig.3 Safety risk assessment index system of Internet of Vehicles

基于態勢感知獲取，選取了14個基礎指標和4個二級指標，運用層次分析思路，構建了包含3個層次的車聯網總共18個指標的車聯網安全風險評估指標體系，為下一步的態勢分析提供了數據基礎。

3.2 基于態勢感知的車聯網安全風險評估方法

根據建立的車聯網安全風險評估指標體系，從3層18個指標入手，對車聯網的安全風險進行分析和評估，步驟如下。

步驟1根據指標體系確定車聯網安全風險評估的評價層析和評價指標。包含三層18個指標，如圖3所示。

步驟2根據前面提出的指數標度值aK-1與各指標之間的重要程度的量化標準，對指標進行兩兩比較，對每個二級指標下的若干個三級指標進行兩兩比較，根據指標之間的比較結果和量化標準，確定不同指標對應的指數標度值aK-1(K=1,2,…,n)。

步驟3根據確定的指數標度值aK-1，構建針對每個二級指標的n維判斷矩陣，n代表二級指標下對應的三級指標的個數，對應的判斷矩陣為

(4)

步驟5一致性校驗，通過判定公式[式(2)]和表2，對判斷矩陣進行一致性校驗，若滿足一致性要求可進行以下步驟，若不滿足，則對判斷矩陣進行調整，直至滿足一致性要求。

步驟6建立一級指標下的4個二級指標的4階判斷矩陣，并求取其最大特征值對應的特征向量，得到4個二級指標對應的權重，并對判斷矩陣做一致性校驗。

步驟7運用專家打分法[19]為每個指標進行打分，依據專家打分情況與18個指標對應的權重列出風險評價表，并計算總分。

步驟8根據總分的高低進行安全風險的評判。

3.3 算例

選取某公司旗下品牌車聯網進行案例分析，運用基于態勢感知的車聯網安全風險評估方法對該品牌車聯網進行風險評價，對車聯網安全風險評價的權重值進行計算。

基于車聯網安全風險評估指標體系和專家評價，建立針對車聯網終端與設施安全的判斷矩陣模型，建立二級評價指標“終端與設施安全”評價的4維判斷矩陣，通過專家評價判定終端與設備安全下的4個三級指標的重要程度排序從大到小：車載設備安全、車端安全、路測通信設備安全、測試場設施安全，則表征“終端與設備安全”的指數標度判斷矩陣A1如式(5)所示。

(5)

同上，基于專家評價和指數標度法構建“網聯通信安全”下的2個三級指標“通信安全、身份認證”對應的判斷矩陣A2如式(6)所示。

(6)

經MATLAB計算，得出判斷矩陣的最大特征值對應的特征向量，進而得到通信安全、身份認證2個三級指標對應的權重分別為0.635、0.365。則一致性校驗的CR=0<0.1，滿足一致性要求。

“數據安全”下的5個三級指標通過專家評價后，重要程度由大到小排序為：通用要求、分級分類、個人信息保護、應用數據安全、出境安全，并得出其對應的5階判斷矩陣，如式(7)所示。

(7)

經MATLAB計算，得出判斷矩陣的最大特征值對應的特征向量，進而得到通用要求、分級分類、個人信息保護、應用數據安全、出境安全5個三級指標對應的權重分別為0.371、0.269、0.162、0.122、0.076。則一致性校驗的CR=0.003<0.1，滿足一致性要求。

“應用服務安全”下的3個三級指“平臺安全、服務安全、應用程序安全”所對應的3階判斷矩陣，如式(8)所示。

(8)

經MATLAB計算，得出判斷矩陣的最大特征值對應的特征向量，進而得到平臺安全、服務安全、應用程序安全3個三級指標對應的權重分別為0.706、0.199、0.095。則一致性校驗的CR=0.01<0.1，滿足一致性要求。

同理可建立第一層指標下的4個二級指標“終端與設施安全、數據安全、網聯通信安全、應用服務安全”對應的判斷矩陣如式(9)所示。

(9)

經MATLAB計算，得出判斷矩陣的最大特征值對應的特征向量，進而得到終端與設施安全、數據安全、網聯通信安全、應用服務安全4個二級指標對應的權重分別為0.353、0.31、0.2、0.137。則一致性校驗的CR=0.02<0.1，滿足一致性要求。

因此，基于以上指標的權重，結合專家對每個評價指標的打分情況，得出如表3所示的車聯網安全風險評價數據。

表3 車聯網安全風險評價數據表Table 3 Safety risk assessment data of Internet of Vehicles

經過計算分析得出該公司所運營的車聯網安全風險評估分數為95.454>90，根據風險等級劃分，安全風險評價級別為優秀，同時，各二級指標和三級指標的得分也均在90分以上，證明該車聯網能夠較好地抵御網絡安全風險。

4 結論

提出了基于態勢感知的車聯網安全風險評估方法，通過態勢要素獲取和態勢理解分析兩個階段完成了對車聯網安全風險狀態的評估。面向態勢要素獲取階段，構建了包含3個層次、18個指標的車聯網安全風險評估指標體系，為態勢理解分析提供了指標數據基礎。面向態勢理解分析階段，建立了車聯網安全風險評估模型，將基于指數標度的層次分析法作為評估模型的核心算法，提出一套完整的基于態勢感知的車聯網安全風險評估方法，并通過算例，計算了各級指標的權重和評估總分，驗證了提出的評估方法的有效性。提出的基于態勢感知的車聯網安全風險評估方法，能夠從全局出發、動態描述車聯網所面臨的安全風險，準確掌握車聯網是否處于安全范圍，可指導下一步的車聯網安全態勢預測，為之提供分析和決策的依據。