基于熵权法和改进灰色聚类模型的雷达软件安全性需求分析

夏 亮，杨江平，邓 斌，余 娟，宋若愚

(空军预警学院， 武汉 430019)

analysis

软件系统本身不会对人员和装备安全造成直接威胁，但是软件安全问题可能通过软、硬件的接口使硬件发生误动或失效，或者直接导致装备无法正常运行，造成严重的安全事故，目前，对软件系统安全性研究较少，如何对软件进行安全性需求分析是一个亟待解决的难题[1-5]。

常见的安全性需求分析方法有滥用用例、横切威胁、反模型和安全的I*/Tropos等方法，其中Sinder和Opdahl等人给出了滥用用例的组织形式和内容[6]；Haley等人提出从横切威胁描述中获取安全需求的方法[7]；Axel等人提出了反模型方法，该方法给出了恶意障碍目标获取方法和消解恶意障碍目标的方法[8]；刘璘等提出以I*建模活动为基础，从攻击者的角度考虑步骤中存在的安全隐患的方法[9]。以上方法都是基于安全分析人员的头脑风暴，需要的是分析人员的经验和能力，如果安全分析人员的经验不足，无法得到有效的结果。

针对这种情况，本研究提出了一种基于熵权法和改进灰色聚类模型的方法对软件安全性需求进行分析，这种方法可以基于软件自身的数据去对其安全性需求进行分析，避免了过多的主观判断。传统灰色聚类模型可以解决贫信息聚类分析问题，但是各灰类综合聚类系数取值相近，导致分析结果不全面。因此，提出了一种改进型灰色聚类模型，充分考虑各个灰类对分析对象重要性判断的影响，结合熵权法确定分析对象的权重，建立了软件安全性需求分析模型，并对具体例子举行计算。

1 雷达软件安全性需求指标体系建立

根据GJB/Z 142—2004的定义，软件安全性(software safety)指的是软件具有的不导致事故发生的能力。而软件安全(software security)指软件在受到恶意攻击的情形下依然能够继续正确运行及确保软件在被授权范围内合法使用的能力。本研究认为software safety 侧重于对无意发生的事故或事件进行的安全保护；而software security 侧重于对人为地、有意破坏而进行的安全防护。因此，本文在建立安全性需求指标时将两者进行综合考虑，既要考虑到无意发生的事故，即software safety；也要考虑人为的攻击和破坏，即software security。

在建立安全性需求指标之前，还需要明确安全性指标和可靠性指标的关系，安全性与可靠性既有联系，又有区别。可靠性是指在一定条件下，在某一时间内软件完成其规定功能的能力。安全性则是指不能出现导致意外事故的条件或状态，而不管其规定功能是否完成。也就是说可靠性会考虑软件所有可能发生的故障，而安全性则考虑能造成软件安全性事故的故障。

雷达软件安全性需求指标体系包括漏洞总数、系统瘫痪时间、数据隐藏技术、通信保密技术和构架完整性这五个方面，具体的指标体系如图1所示。其中漏洞是指能够被一个或多个威胁利用的资产或控制中的弱点，如果漏洞被攻击者利用，将会给软件系统安全带来严重威胁和经济损失；系统瘫痪时间指的是软件系统从本次无法正常工作开始到下次正常工作时所经历的时间，系统瘫痪时间越长，对雷达战备值班的影响越大，战争来临时可能带来致命后果，因此，系统瘫痪时间虽然和可靠性有关，但是因为它会带来严重后果，所以将其列为安全性需求指标；数据隐藏技术指的是对于雷达软件中的一些敏感数据，应当利用数据隐藏技术保护其存在，提高读取权限，控制其传播范围，防止被攻击者窃取；通信保密技术指的是在雷达数据传送过程中，对传输信道和传输设备中传送的信息采用加密技术的情况；构架完整性指的是软件全局的安全保护到位和配合情况，各保护措施之间不会因为相互矛盾从而削弱保护强度。

图1 雷达软件系统安全性需求指标体系框图

2 基于熵权法的改进灰色聚类模型

灰色聚类是根据灰色关联矩阵或灰数的白化权函数将一些观测指标或观测对象划分成若干个可以定义类别的方法[10-12]，本文采取基于熵权法的灰数白化权函数进行建模。传统的灰色聚类模型如图2所示，其聚类中心是一个固定点，受相邻灰类影响较大，难以准确得到分析结果，当分析对象的聚类系数相近时，分析结果会产生较大误差。针对以上问题，本研究提出了一种改进的白化权函数灰色聚类模型，将聚类中心由一个固定点扩展到一个取值范围，并结合上下限测度白化权函数得到分析结果，使得到的结果更准确。此外，运用熵权法确定权重可以避免主观因素的影响，使权重最大程度的保持指标原有的信息。

图2 传统灰色聚类模型

在建模之前，需要先明确两个定义。

定义1设有n个分析对象，m个需求指标，s个不同灰度，根据对象i关于指标j的观察值xij(i=1,2,…,n，j=1,2,…,m)，将对象i归于第k个灰类(k∈{1,2,…,s})，称为灰色聚类。

定义2对于灰类k(k∈{2,3,…,s-1})，称最可能属于灰类k的点为其中心点。中心点可以是中点，也可能不是，以属于灰类k最大可能性为依据。

2.1 指标无量纲化处理

由于指标体系中定量指标的量纲不同，需要对其进行无量纲标准化处理，使指标的取值范围为[0,1]，采用区别对待的极化差方法对聚类指标xij进行无量纲标准化处理。

对于指标越大越好数值型指标：

(1)

对于指标越小越好数值型指标：

(2)

2.2 熵权法

利用熵权法可以确定各指标的权重，设有n个分析对象，m个需求指标，初始数据矩阵为X=(xij)n×m：

(3)

式中，xij为对象i关于指标j的观察值。

熵权法确定权重的过程为：

步骤1计算第i个对象在第j个指标下的比重pij：

(4)

步骤2计算指标j的熵值ej：

(5)

步骤3计算指标j的权重wj：

(6)

2.3 改进灰色聚类模型

步骤1确定评价灰类

对于对象i的指标j，设其取值范围为[aj,bj]。根据分析对象需求，将分析结果划分为s个灰类，选取最属于灰类k的区间[λ1,λ2],…,[λ2k-1,λ2k],…,[λ2s-1,λ2s]，确定各个区间端点，将各指标的取值范围相应划分为s个灰类。

步骤2构建改进型白化权函数

(7)

(8)

(9)

根据式(7)～式(9),可以得到改进的白化权函数图,如图3所示。

图3 改进灰色聚类模型

步骤3计算单位化综合聚类系数

(10)

(11)

步骤4判断灰类

(12)

根据式(12)，可以判断对象i属于灰类k*。

2.4 综合测度决策模型

一般情况下，根据灰色聚类系数向量δi各分量的最大值进行分类，但是当最大主分量与其余主分量差异不显著时，难以得到准确结论。例如，设k=1,2,3分别对应于好、中、差3个不同灰类，有两个对象的灰色聚类系数向量分别为δ1=(0.42,0.30,0.28)和δ2=(0.41,0.39,0.20)。如果直接比较聚类系数的最大值，由于0.42>0.41，则对象1优于对象2；但是如果综合考虑δ1和δ2的各个分量，也可以认为对象2优于对象1。

针对这种问题，可以把灰色聚类系数向量视作一个整体进行研究，提出了一种综合测度决策模型。

步骤1计算综合加权决策向量

s-k+2,…,s-1,s,s-1,…,k)

(13)

由式(13)可知，该向量的第k个分量为s，并以此为中心，两侧分量取值依次减1，表明第k个分量对决策对象属于灰类k的贡献最大，因此被赋予最大的权重s，其余分量的权重根据与第k个分量的距离确定，距离越近，权重越大。

步骤2计算综合测度决策系数向量

对象i关于灰类k的灰色综合测度决策系数的计算公式为：

(14)

步骤3综合判断

(15)

由式(15)判定对象i属于灰类k*。若有多个对象属于灰类k*，可通过综合测度决策系数对同属于灰类k的所有对象进行排序，从而进行决策。

3 实例计算

雷达软件系统包含终端分系统、监控分系统和信号处理分系统，分别用N1、N2和N3表示，结合雷达软件系统安全性需求指标体系，采用本文提出的基于熵权和改进灰色聚类模型的方法对雷达软件系统的3个分系统进行安全性需求分析，得到安全性需求分析结果。

3.1 数据处理

首先按照极化差方法对指标体系中的定量指标进行数据处理，指标体系中的定量数据包括U1、U2，对于定性数据，通过专家打分的德尔菲法得到，同样也进行无量纲标准化处理，经过处理后的数据如表1所示。

表1 雷达软件安全性需求指标无量纲化值

3.2 计算权重

其次，利用熵权法计算雷达软件安全性需求指标的权重，根据式(4)～式(6)，求得指标体系的权重为wj(0.205 3,0.203 8,0.202 3,0.197 5,0.191 1)。

3.3 改进灰色模型求解

然后，根据本文确定的建立改进灰色模型的方法对某型雷达软件安全性需求分析问题进行求解。

步骤1确定评价灰类

将雷达软件安全性指标的无量纲化值转化为百分制，根据各分系统最高、最低分值和灰类划分需要，在指标区间[50,100]内划分不重要、一般重要、重要、非常重要4个灰类，取值区间分别为[58,62]、[68,72]、[78,82]、[88,92]。

步骤2构建改进型白化权函数

表2 指标的隶属度情况

表3 单位化综合聚类系数

步骤4判断灰类

根据式(12)，判断雷达软件分系统N1、N2、N3的最大单位化综合聚类系数依次为0.737 9、0.667 7、0.540 8，对应的灰类依次为k3、k3、k4。因此雷达软件终端分系统和监控分系统的安全性需求为重要，信号处理分系统的安全性需求为非常重要。

3.4 综合测度模型求解

根据判断结果可知，雷达软件终端分系统和监控分系统的安全性需求分析结果相同，均为重要，为了对这两个分系统进一步进行分析和排序，采用综合测度模型进行求解。

步骤1计算综合加权决策向量η

根据式(13)，可以求得各个灰类对应的综合加权决策向量依次为：

步骤2计算综合测度决策系数向量ρi

根据式(14)，可以求得分系统N1的综合测度决策系数向量ρ1的各分量依次为：

因此，可以得到ρ1为：

(0.205 9,0.254 9,0.311 5,0.294 1)

同理，可以求得分系统N2的综合测度决策系数向量ρ2为：

(0.203 5,0.260 8,0.314 3,0.307 8)

步骤3综合判断

4 对比分析

表4 传统模型单位化综合聚类系数

3个分系统对应的最大单位化综合聚类系数分别为0.642 3、0.641 8和0.538 9，对应的灰类分别为重要、重要和非常重要。

将传统灰色聚类模型方法和本文方法进行对比，可以发现两者的分析结果相同，说明本文的方法具有正确性。但是，两者也存在一定差异性，比如传统灰色聚类模型的区分度不如改进灰色聚类模型明显，改进灰色聚类模型的分析结果更具有说服力，也更准确；此外，传统灰色聚类模型对于分析结果相近的两个分系统不能进一步对其重要程度进行判断，改进灰色模型可以很好地解决这个问题。

5 结论

1) 对雷达软件系统安全性需求进行了理论分析并建立了雷达软件安全性需求指标体系；

2) 提出了一种基于熵权法和改进灰色聚类模型的雷达软件安全性需求分析方法，并建立了相应的模型；

3) 利用该方法对某型雷达软件的安全性需求进行分析，得到分析结果并对各系统的安全性需求重要程度进行排序；

4) 将该方法与传统灰色聚类模型进行对比分析，证明了该方法的正确性、科学性和先进性。