次分析法(Analytic Hierarchy Process,AHP)、粗糙集方法和群决策理论等。对于多目标评判、多参数评价方面的权重计算,主流算法是层次分析法和群决策理论。层次分析法是对非定量事件分析的有效方法,避免直接利用专家经验对评估指标赋权重,依靠评估指标的客观数据进行两两比较,并在此基础上得出评估指标的权重,具有定性分析的科学性和定量分析的精确性等优点。群决策理论依赖专家们的从业时间和能力不同,专家对评价参数重要性的判断存在差异和误差;认为评价权重应该由主观权重和客观权重构成,专家自身的能力和经验等自身因素决定主观权重,专家对两两评价参数重要性的判断构成客观权重,这种做法增加了结果的可信度和正确性[8-10]。
针对电力信息系统供应商安全水平评价的具体困难有:①专家无法具体地参与每个指标参数的权重设计;②综合评估的指标参数具有冗余、彼此依赖
指标数据
[12-14]
。具体包括:测试系统数(P1)、单轮
测试代码量(P2)、总测试轮次(P3)、代码总行数(P4)、高危漏洞数(P5)、中危漏洞数(P6)、低危漏洞数(P7)、参考漏洞(P8)。评价算法框架如图1所示。
表1 评价算法指标
Table 1 Rating algorithm indicators指标P1P2P3P4P5~P8指标内容近5年供应商入网检测的系统数和,每检测一个系统累加一次。系统要修改漏洞提交进行多轮复测,直到测试通过每一轮测试提交的代码行数每个系统从第一轮提交测试,直到通过测试,总共提交测试的次数每个系统完成测试,每一轮提交的代码行数之和系统扫描出的漏洞如跨站脚本攻击、SQL注入等每发现一处累加一次,危险等级由高危、中危、低危、参考逐级降低䇑㇇⸙䱥南京工程学院科技成果等特点。如何评价指标参数并考虑指标间的关系,而不仅按具体的某个指标评比,如某个供应商仅测试了几个简单的系统却得到较高评价,而测试系统数和轮次数较少的供应商可能会因为漏洞多而得到低评价,是本文亟需解决的问题。根据专家经验描述,本文涉及到的供应商C(10)、C(29)、C(12)(因涉及公司名称此处以代号标识)安全水平比较高,理由是这些供应商提供的信息系统中,虽然检测出来的高、中、低危漏洞数目在绝对数据上较多,但相对于系统数目和测试的代码行数较低,且涉及范围较广。某些供应商(C(36))虽然高、中、低危漏洞的绝对数目很少,但是测试系统数目少、单系统测试轮次多,其安全水平排名不应在前列[11]。
本文针对上述问题,在改造AHP算法的基础上提出一种基于电力信息系统供应商入网检测数据的安全水平量化评价算法。考虑有评价数据的支持,本算法把原来需要专家主观经验形成的判断矩阵改进为通过评价数据构成的客观数据矩阵,通过归一化处理和余弦向量运算得到参数间的相似性和一致性,定量计算指标参数对于安全性评价的权重,充分利用客观数据得到供应商间的排名。
ḷа㠤䟽⸙䱥ḷլ㓴䟽ḷ䇑㇇图1 评价算法框架
Fig.1 Overall framework of evaluation algorithm
计算判断矩阵是为了获取某2个数据元素分别在某一指标上的相对性权重。指标一致性计算是为了得到每一项指标与单位向量的夹角。指标相似性计算旨在获取各指标数据间的相似性以去除冗余指标。评价权重的确定是为了获取各供应商间的排名数据值。针对客观数据进行评价权重运算,评价权重包含β1(x)指标一致性和β2(x)指标相似性,同时评价权重t(x)应满足:
m¦t(x) 1
x 1(1)(2)
t(x) qE1(x)(1q)E2(x)
t(x)为指标x的评价权重;q为凸组合系式中:
β1(x)为指标x的一致性;β2(x)为指标x的相似性数;
m为指标数,(0≤q≤1, x=1,2,3…, m,表示参与评价的指标数)。获得排名后在评价权重的基础上进行标准化计算,使得各供应商的得分在某区间内,如95~50之间。
1 算法框架
为使本文应用更具有通用性,评价电力信息供应商安全水平时,以表1所列的评价算法指标作为
104
电力信息与通信技术2021年第19卷第5期
www.dlxxtx.com
Copyright©博看网 www.bookan.com.cn. All Rights Reserved.ELECTRIC POWER ICT................................................................
2 算法原理
基于AHP算法主要包括5个方面的计算,即判断矩阵的计算、指标一致性计算、指标相似性计算、评价权重的确立及标准化计算。2.1 判断矩阵的计算
根据测得的评价指标数据作为列向量C如下矩阵:
B (bij)nun (C(x)(x)
n×1
v(x)V(D(x))V(D(k))7 |V(D(x))||V(D(k))|(9)(10)
v ¦ v(x)
k 1,xzk(x)mv(x)的归一化结果作为β2(x),即
形成
E2(x) v(x)¦v(x)x 1m (11)
c11nu1,C(x)cn1nu1) (3)
2.4 评价权重的确立
指标一致性β1(x)和指标相似性β2(x)的凸组合作为最终的评价权重,0≤q≤1,本文取q=0.5,具体见式(2)。2.5 标准化计算
先把得分S(y)进行BOX_COX转换,再通过标hmax为评价权重的最高准化转换到95~50区间内,
lmin评价权重中的最低值,t2为值,本文中t1为45,t2为区间下限)50(t1为区间上下限之差;。
m)
C(nx×B为判式中:1为指标x数据构成的列向量;
n为供应商总数。判断矩阵B满足:断矩阵;
bij!0,bij 1,bii 1 bjibij为判断矩阵某个元素;i, j=1,2,…n。式中:
通过方根法处理判断矩阵进而得到相对权重矩阵,单个供应商方根值为
wi nbij j 1n(4)
RS(y) ¦p(y)(x)t(x)
x 1(12)(13)
作归一化处理,即
(y)wi ¦wi
i 1nwi(5)
S(y)lmin t1t2
hmaxlminS(y)为供应商y的初始得分;p(y)(x)为供式中:
R(y)为供应商y的最终得分;应商y的x指标数据;y=1,2,3…, n。2.6 算法的可行性分析
传统的AHP算法为获得定量化数据,使2个参数关于某一属性的相对重要性得到定量描述,采用1~9标度方法由专家进行判断[15]。本文将客观的指标数据通过矩阵运算作为标度进行判断,噪声数据一定的情况下,无需专家赋予主观权重。降低了专家在进行同一层次有关要素的相对重要性或优劣比较时,因个人经验差异、对问题理解的深入程度等原因造成的人为误差。
本文算法继承了AHP单一准则下的排序原理,通过改进的判断矩阵结合余弦运算,求出指标自身及不同指标间的重要性测度,并通过归一化处理得到代表评价权重的一致性β1(x)和相似性β2(x)的具体值,且始终定义在[0~1]内。本文选择依靠客观数据进行重要性测度的权重确定方式,相较单纯依靠先验经验赋权重更合理。
dij为D中元素:进而得到相对权重矩阵D,
dij ¦bij
i 1nbij(6)
南京工程学院科技成果wi2.2 指标一致性计算
通过判断矩阵得到的相对权重矩阵,其列向量记V(D)=(d11,…, dn1, d12,…, dnn),为D,向量V(D)为V(D)与标准相对权重列指标x的相对权重列向量,
向量V(D0)=(1,1,1…,1)的夹角为θa并记u=cos(θa),则有
u(x)(x)
(x)
(x)
(x)
V(D(x))V(D0)7 |V(D(x))||V(D0)|(7)
用u(x)的归一化结果表示β1(x),即
E(x)1 u(x)¦u(x)x 1m (8)
3 试验及分析
3.1 基于AHP算法的评价试验
试验以典型的40个供应商为评判对象,其中每
电力信息与通信技术
2021年第19卷第5期
www.dlxxtx.com
2.3 指标相似性计算
指标相似性是计算不同指标的余弦值v(x):
Copyright©博看网 www.bookan.com.cn. All Rights Reserved.105
................................................................ELECTRIC POWER ICT
i为1~40。供应商一行数据代表一个供应商C(i),
安全水平评价选取的评价参数为P1~P8。表2所列为评价算法算例数据,表中第6行代表供应商C(6),
具体数据表示供应商C6测试的系统数P1为4个、单轮测试代码量P2为33 154行、总测试轮次P3共9次、代码总行数P4为298 391行、高危漏洞数P5
表2 评价算法算例数据
Table 2 Evaluation algorithm example dataC(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)(11)(12)P1614144311806141436137142511631241326011114112432P2144 475132 307720 132132 33261 29433 154227 401454 91428 157229 982111 791105 61943 873144 26311 616176 652102 337115 181102 424188 84928 57849 676103 77271 30847 21158 55775 76884 245238 50263 86547 204106 889212 30473 217119 779134 216140 70174 15034 255226 192P3242841197235 8884544611451629513321272522552253232124558108P43 467 401264 6155 761 062529 331674 235298 3911 591 808909 82884 4721 354 136 3245 030 61247 106 507482 604577 05558 0802 826 439204 6751 036 630512 1232 455 04185 73599 3521 245 268499 16094 4223 045 0101 894 209421 22553 662 999191 59794 409320 669424 608878 610479 116671 081703 506593 206342 5591 809 541P592250545171 132667349625128 8734 53013 92963433491927138915246461309449312394358824626824347825143441 416383P6453976147395821 326283433 1932 24317 26657239391203483104248697352550775657 6781236112 350387743619022639173243061 927110P76423226524712 29222486367277214892997615282798971223010311213113P8143125241 3965426952342 42220211 8411109819759768335481735816226721835121442 5116838975679979123631046南京工程学院科技成果(13)(14)(15)(16)(17)(18)(19)(20)(21)(22)(23)(24)(25)(26)(27)(28)(29)(30)(31)(32)(33)(34)(35)(36)(37)(38)(39)(40)106
电力信息与通信技术2021年第19卷第5期
www.dlxxtx.com
Copyright©博看网 www.bookan.com.cn. All Rights Reserved.ELECTRIC POWER ICT................................................................
共667个、中危漏洞数P6共82个、低危漏数P7共5个、参考漏洞P8共54个。
表3所列为供应商评价权重,即本算法计算得到的所有指标的评价权重、指标一致性和指标相似性。β1(x)越大表明B(x)的相对权重矩阵越接近于标准权重矩阵D0,即B(x)的一致性程度越高。表3中的β1(x)在0.1±0.5%内波动,表明本实验数据的数量级没有产生大范围突变,体现了数据的可靠性。将评价权重代入前述40个供应商的测试参数中,得出供应商的信息系统安全排名,优化算法排名数据如表4所列。
表3 供应商评价权重
Table 3 Evaluation index of supplier指标P1P2P3P4P5P6P7P8β1(x)0.0880.3940.0600.0680.1320.1030.1030.083β2(x)0.1580.0320.1340.1330.1350.1340.1350.135评价权重0.1230.2130.1010.0970.1020.1330.1190.119名次12345678910111213141516171819202122232425262728293031323334353637383940表4 优化算法排名数据
Table 4 Optimize algorithm ranking data供应商C(10)C(29)C(12)C(3) C(11)C(1)C(16)C(26)C(20)C(40)C(7)C(27)C(8)C(23)C(18)C(34)C(37)C(36)C(14)C(33)C(4)C(5)C(38)C(35)C(19)C(24)C(28)C(13)C(2)C(32)C(17)C(39)C(6)C(30)C(22)C(31)C(25)C(21)C(9)C(15)得分95.000 51.797 51.568 50.241 50.172 50.123 50.104 50.102 50.093 50.074 50.067 50.066 50.061 50.046 50.040 50.032 50.031 50.029 50.027 50.027 50.024 50.024 50.022 50.022 50.022 50.019 50.017 50.016 50.016 50.016 50.011 50.011 50.010 50.008 50.004 50.004 50.004 50.002 50.002 50.000 3.2 基于简单先验经验确定权重
表5所列为对比试验排名数据,即试验对比算法评价结果,得分是由总代码行数/总漏洞数,然后标准化后的结果。
本算法供应商C(29)排名第2,对比试验供应商C(36)排名第1,但是C(29)测试了60个系统,共测试了225轮,排除了其仅上线几个简单系统的情况。但C(36)测试的系统数为1,测试轮次6次,无法排除其为了减少漏洞而仅测试简单系统的偶然性。C(29)高危漏洞数588,总的测试代码量为 53 662 999行,漏洞相对测试代码数较低。
反观C(36)在仅测试了一个系统下,高危漏洞数25、总测试代码量为671 081行,漏洞相对测试代码数比测试60个系统的C(29)高,可见本算法评价的客观性。经过试验对比,本算法评价结果(表4)符合专家预期,要优于对比算法评价结果(表5),即信息安全水平不能仅以漏洞指标来评判,要结合漏洞相对测试代码行数的程度及测试的系统数、轮次数综合评价。实验结果证明本算法可以通过客观数据来合理评价供应商的信息安全水平。
南京工程学院科技成果Copyright©博看网 www.bookan.com.cn. All Rights Reserved.电力信息与通信技术2021年第19卷第5期
www.dlxxtx.com
107
................................................................ELECTRIC POWER ICT
表5 对比试验排名数据
Table 5 Comparative test ranking data名次1234567891011121314供应商C(36)C(29)C(4)C(8)C(10)C(27)C(19)C(3)C(20)C(2)C(40)C(35)C(1)C(38)C(16)C(31)C(17)C(37)C(23)C(18)C(24)C(33)C(34)C(12)C(14)C(9)C(7)C(22)C(11)C(13)C(30)C(6)C(26)C(28)C(5)C(32)C(15)C(25)C(39)C(21)得分95 92 83 79 78 78 72 68 66 66 64 60 59 57 57 56 56 56 56 56 55 55 55 54 54 54 54 53 53 53 51 51 51 51 51 51 51 50 50 50 4 结语
针对评价参数多且参数间关系模糊导致的AHP判断矩阵生成困难的问题,本算法改进了需要专家参与确定的判断矩阵,改为使用客观数据形成的判断矩阵,通过向量运算求取指标一致性和指标相似性来计算评价权重。本试验解释了一致性和相似性如何反映评价数据间的相互关系、评价数据本身的可靠性,表明基于AHP的电力信息系统供应商安全水平评价算法可以灵活、简便地解决多评价参数确定评价权重的问题,进而帮助评判者在复杂情况下进行有效、合理的评价。本文算法虽然结合客观数据评价供应商的信息安全水平,但未引入专家的主观权重,这不表明无需主观干预。若数据中有噪声指标如供应商的测试时间,本文的算法可能失效,后续将基于蒙特卡洛的马尔科夫链惩罚函数深入研究主观评价的损失函数
[16-17]
,进而引入生产实际情况
南京工程学院科技成果1516171819202122232425262728293031323334353637383940中的主观干预,即信息安全水平比较高的供应商在惩罚函数中得以加减分。
参考文献:
[1] 李迪,耿亮,佟大力,等.互联网与能源融合背景下电力信息
通信领域的发展趋势和方向[J].电力信息与通信技术,2015,13(7):1-7.
LI Di,GENG Liang,TONG Dali,et al.The new development direction of electric power information communication domain under the background of internet and energy fusion[J].Electric Power Information and Communication Technology,2015,13(7):1-7(in Chinese).
[2] 钟志琛.电力大数据信息安全分析技术研究[J].电力信息与通
信技术,2015,13(9):128-132.
ZHONG Zhichen.The technical discussion of power big data information security analysis[J].Electric Power Information and Communication Technology,2015,13(9):128-132(in Chinese).[3] 李泽科,陈泽文,王春艳,等.电力监控系统的网络安全威胁溯
源技术研究[J].电力工程技术,2020,39(2):166-172.
LI Zeke,CHEN Zewen,WANG Chunyan,et al.Network security threat tracing technology of power monitoring system[J]. Electric Power Engineering Technology,2020,39(2):166-172(in Chinese).
[4] 廖会敏,玄佳兴,甄平,等.泛在电力物联网信息安全综述[J].
电力信息与通信技术,2019,17(8):18-23.
LIAO Huimin,XUAN Jiaxing,ZHEN Ping,et al.Overview of information security in ubiquitous power internet of things[J].
108
电力信息与通信技术
2021年第19卷第5期
www.dlxxtx.com
Copyright©博看网 www.bookan.com.cn. All Rights Reserved.ELECTRIC POWER ICT................................................................
Electric Power Information and Communication Technology,2019,17(8):18-23(in Chinese).
[5] 李文武,游文霞,王先培.电力系统信息安全研究综述[J].电力
系统保护与控制,2011,39(10):140-147.
LI Wenwu,YOU Wenxia,WANG Xianpei.Survey of cyber security research in power system[J].Power System Protection and Control,2011,39(10):140-147(in Chinese).
[6] 朱世顺,黄益彬,朱应飞,等.工业控制系统信息安全防护关键
技术研究[J].电力信息与通信技术,2013,11(11):106-109.
ZHU Shishun,HUANG Yibin,ZHU Yingfei,et al.Research on key technologies of information security protection for industrial control systems[J].Electric Power Information and Communication Technology,2013,11(11):106-109(in Chinese).[7] 张鑫,陈雪华,刘新.电力系统信息安全基线标准体系的构
建[J].电力信息与通信技术,2013,11(11):110-114.
ZHANG Xin,CHEN Xuehua,LIU Xin.Construction of information security baseline standardization system for power systems[J].Electric Power Information and Communication Technology,2013,11(11):110-114(in Chinese).
[8] 邓雪,李家铭,曾浩健,等.层次分析法权重计算方法分析及其
应用研究[J].数学的实践与认识,2012,42(7):93-100.
DENG Xue,LI Jiaming,ZENG Haojian,et al.Research on computation methods of AHP wight vector and its applications[J]. Mathematics in Practice and Theory,2012,42(7):93-100(in Chinese).
[9] 赵亮.信息系统安全评估理论及其群决策方法研究[D].上海:
上海交通大学,2011.
[10] 刘鹏,晏湘涛,匡兴华.交互式决策中的专家动态权重[J].工业
工程与管理,2007,12(5):32-36.
LIU Peng,YAN Xiangtao,KUANG Xinghua.Dynamic weights of experts in interactive decision-making[J].Industrial Engineering and Management,2007,12(5):32-36(in Chinese).[11] 陈孟婕.电力信息系统动静态风险评估技术研究[D].上海:华
东理工大学,2015.
[12] 姜海涛,李斌,徐正治,等.基于区块链的电力信息安全督查管
理技术研究[J].电力信息与通信技术,2020,18(6):62-67.
JIANG Haitao,LI Bin,XU Zhengzhi,et al.Research on power information security inspection and management technology based on blockchain[J].Electric Power Information and Communication Technology,2020,18(6):62-67(in Chinese).[13] 马虹哲.电力企业信息安全风险动态评估模型的构建与应
用[J].电力信息与通信技术,2017,15(11):22-25.
MA Hongzhe.Construction and application of the dynamic assessment model of information security risk in the power grid
enterprise[J].Electric Power Information and Communication Technology,2017,15(11):22-25(in Chinese).
[14] 周琦.构建智能配电信息通信传输网的思考[J].江苏电机工
程,2010,29(5):56-57,60.
ZHOU Qi.Thinking of constructing data communication network of smart distribution[J].Jiangsu Electrical Engineering,2010,29(5):56-57,60(in Chinese).
[15] 谢承华.AHP及其应用[J].兰州商学院学报,2001,17(2):
79-82.
XIE Chenghua.An introduction to the theory of AHP and its application[J].Journal of Lanzhou Commercial College,2001,17(2):79-82(in Chinese).
[16] 王进,钟啸,冯隆基,等.基于蒙特卡洛法的用电信息采集系统
可靠性评估模型[J].电力工程技术,2020,39(3):173-179.WANG Jin,ZHONG Xiao,FENG Longji,et al.Reliability evaluation model of electricity information acquisition terminal based on Monte Carlo method[J].Electric Power Engineering Technology,2020,39(3):173-179(in Chinese).
[17] 党存禄,李永强,杨海兰,等.含风电场的输电网运营效率评
估[J].电力工程技术,2020,39(4):77-86.
DANG Cunlu,LI Yongqiang,YANG Hailan,et al.Efficiency evaluation of transmission grids with wind farms[J].Electric Power Engineering Technology,2020,39(4):77-86(in Chinese).
编辑 温杰
收稿日期:2020-10-27
南京工程学院科技成果作者简介:
马嘉阳(1997–),男,硕士研究生,通信作者,从事电网安全研究等方面的工作,majiayangdltg@163.com;
黄伟(1980–),男,高级工程师(研究员级),从事电力系信息安全督查管理等方面的
马嘉阳
工作;
姜海涛(1985–),男,博士,高级工程师,从事电力系信息安全等方面的工作;
刘健良(1989–),男,软件高级工程师,从事电力系信息安全系统研发等方面的工作;
李斌(1984–),男,副教授,从事电力系统信息安全、信息系统算法、区块链等方面的工作。
电力信息与通信技术
2021年第19卷第5期
www.dlxxtx.com
Copyright©博看网 www.bookan.com.cn. All Rights Reserved.109
因篇幅问题不能全部显示,请点此查看更多更全内容