張 雷，宋 棟，劉 紅

(華北計(jì)算機(jī)系統(tǒng)工程研究所，北京100083)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，現(xiàn)在網(wǎng)絡(luò)上充斥著各種各樣的威脅情報(bào)網(wǎng)站，威脅情報(bào)是對(duì)搜集到的各種公開的、泄露的素材進(jìn)行綜合分析整理的成果，是協(xié)助和指導(dǎo)作戰(zhàn)的重要依據(jù)。威脅情報(bào)網(wǎng)站都有各自的特點(diǎn)和側(cè)重項(xiàng)，對(duì)各網(wǎng)站的綜合性能很難做出一個(gè)評(píng)估，要從這些網(wǎng)站中獲取對(duì)自己有價(jià)值的信息比較困難， 需要對(duì)不同的網(wǎng)站進(jìn)行篩選比較，找出對(duì)自己價(jià)值最大的網(wǎng)站來?；诖?，研究一種合適的方法，比較客觀地評(píng)價(jià)一個(gè)威脅情報(bào)網(wǎng)站的價(jià)值[1]，將不但有利于用戶的使用，而且有利于調(diào)動(dòng)情報(bào)搜集人員的積極性和主觀能動(dòng)性，更有助于輔助決策，使針對(duì)敵方的各類決策趨于科學(xué)化、合理化,最終提高軍事行動(dòng)效能，同時(shí)也有利于網(wǎng)站本身的改進(jìn)和發(fā)展。

本文首先確定了威脅情報(bào)的價(jià)值特性，主要將相關(guān)性、準(zhǔn)確性、全面性、及時(shí)性四部分作為準(zhǔn)則層進(jìn)行分析闡述，各部分共分化出12 個(gè)指標(biāo)作為措施層；然后運(yùn)用層次分析法建立綜合評(píng)價(jià)模型，對(duì)威脅情報(bào)類網(wǎng)站價(jià)值進(jìn)行綜合評(píng)價(jià)；最后選取一個(gè)威脅情報(bào)網(wǎng)站的評(píng)價(jià)實(shí)例進(jìn)行實(shí)際評(píng)測(cè)，在保證客觀性和準(zhǔn)確性的基礎(chǔ)上實(shí)現(xiàn)了主觀和客觀、定性與定量的有機(jī)結(jié)合，結(jié)果更具科學(xué)性和參考性。

1 層次分析法

由運(yùn)籌學(xué)家莎迪(SAATY T L)于 20 世紀(jì) 70年代首次提出的層次分析法(Analytic Hierarchy Process，AHP)[2]，是一種多目標(biāo)多層次的決策分析方法，它實(shí)現(xiàn)了定量和定性分析的結(jié)合，具有非常簡潔的特性，且邏輯性很強(qiáng)，還有很高的實(shí)用性。該方法對(duì)待選方案進(jìn)行精確的評(píng)價(jià)， 有一個(gè)基本的前提，即系統(tǒng)與全面的指標(biāo)體系必須首先建立起來。全面系統(tǒng)只是指標(biāo)體系的一個(gè)基本方面，內(nèi)在結(jié)構(gòu)組成的科學(xué)性也是尤其需要關(guān)注的。有一些基本原則，如可操作性和導(dǎo)向性，科學(xué)性與目的性等都是在設(shè)計(jì)評(píng)價(jià)指標(biāo)體系時(shí)需要考慮遵照的。本文在對(duì)威脅情報(bào)類網(wǎng)站評(píng)價(jià)指標(biāo)進(jìn)行選取時(shí)遵循了以上準(zhǔn)則，并且在相應(yīng)部分有所側(cè)重。

2 價(jià)值模型的構(gòu)造

在對(duì)威脅情報(bào)網(wǎng)站進(jìn)行分層構(gòu)建模型前，首先需要明確威脅情報(bào)的價(jià)值特性，這樣才能確定評(píng)價(jià)指標(biāo)，構(gòu)建評(píng)價(jià)準(zhǔn)則。

2.1 威脅情報(bào)價(jià)值特性的確立

威脅情報(bào)是運(yùn)用于軍事領(lǐng)域的一種特殊信息，因此威脅情報(bào)價(jià)值具備信息價(jià)值的一般特性，同時(shí)根據(jù)軍事斗爭(zhēng)的激烈對(duì)抗性和不可預(yù)測(cè)性以及威脅情報(bào)工作的特殊性和內(nèi)幕性，歸納起來，威脅情報(bào)價(jià)值主要有以下4 個(gè)方面的特性。

2.1.1 相關(guān)性

威脅情報(bào)網(wǎng)站首先應(yīng)該采集有針對(duì)性的信息，消除不確定的和隨機(jī)的雜亂信息。決策者要做出正確的決策需要有針對(duì)性的大量信息來減少不可預(yù)估因素的影響。故而大量的威脅情報(bào)信息可以消滅模糊性, 使決策者可以精確把握雙方當(dāng)前形勢(shì)，從而使決策更加科學(xué)[3]。從另一個(gè)角度看，不一樣的威脅情報(bào)信息服務(wù)于不同的決策對(duì)象：高屋建瓴的領(lǐng)導(dǎo)者對(duì)戰(zhàn)略和總體方面的情報(bào)需求更強(qiáng)烈，但局部層面的決策者對(duì)戰(zhàn)術(shù)層次的和具體層面的情報(bào)需求非常迫切。不同時(shí)間段的威脅情報(bào)信息，其價(jià)值也不同。相關(guān)并切合實(shí)際符合特定時(shí)間要求的威脅情報(bào)信息是決策者正確決策的法寶。

2.1.2 準(zhǔn)確性

為體現(xiàn)威脅情報(bào)網(wǎng)站的準(zhǔn)確性，取以下指標(biāo)作為判斷依據(jù)：信息完備詳實(shí)的程度以及引用數(shù)據(jù)是否準(zhǔn)確。在對(duì)某些威脅情報(bào)信息的收集整理、鑒別和傳遞等過程中，一般會(huì)使用某些精密的儀器設(shè)備，同時(shí)還有各類專業(yè)人員參與其中。若搜集到的信息與當(dāng)下特定任務(wù)的需求結(jié)合不緊密，那么所獲取的威脅情報(bào)對(duì)行動(dòng)的決策將毫無作用，這樣不管看起來多有用，威脅情報(bào)的價(jià)值也只相當(dāng)于零。由此而知，準(zhǔn)確性對(duì)威脅情報(bào)的價(jià)值而言至關(guān)重要。

2.1.3 全面性

威脅情報(bào)價(jià)值不僅受準(zhǔn)確性的影響，全面性也非常重要。一個(gè)優(yōu)秀的決策者必須從各個(gè)方面進(jìn)行考慮才能做出正確的決斷。全面準(zhǔn)確的威脅情報(bào)能夠使決策者準(zhǔn)確判明敵我狀況，及時(shí)利用現(xiàn)有資源，制定合適恰當(dāng)?shù)念A(yù)案，從而減少不確定情況發(fā)生[4]。威脅情報(bào)的價(jià)值主要取決于使用情報(bào)后的效益或成果。本文將是否包含僵尸網(wǎng)絡(luò)信息、 漏洞信息、網(wǎng)絡(luò)攻防工具信息、攻擊技戰(zhàn)法信息、病毒信息等作為評(píng)價(jià)一個(gè)威脅情報(bào)網(wǎng)站是否全面的重要因素。

2.1.4 及時(shí)性

威脅情報(bào)的時(shí)效性在一定程度上決定了其價(jià)值，情報(bào)只有實(shí)時(shí)使用了才有價(jià)值。針對(duì)威脅情報(bào)網(wǎng)站提供信息的及時(shí)性，將其從敏感信息更新頻率和突發(fā)事件發(fā)布時(shí)間兩方面來考量。威脅情報(bào)必須及時(shí)提供甚至實(shí)時(shí)提供，及時(shí)而準(zhǔn)確的威脅情報(bào)信息能有效縮短指揮周期，提高決策者的決策效率和準(zhǔn)確性。同時(shí)，及時(shí)的威脅情報(bào)信息提供給決策者之后，能夠幫助其更精確地對(duì)當(dāng)前態(tài)勢(shì)做出預(yù)判，并制定最佳的作戰(zhàn)策略。從另一方面來看，若威脅情報(bào)信息采集周期超出了決策時(shí)間周期，該信息將變得毫無價(jià)值和用處，有時(shí)甚而有害。

2.2 分析模型的建立

2.2.1 建立層次結(jié)構(gòu)模型

根據(jù)威脅情報(bào)的價(jià)值特性，可以建立一個(gè)3 層的模型，包括：目標(biāo)層、準(zhǔn)則層、措施層。這3 層中，再細(xì)分出不同的評(píng)價(jià)因素，構(gòu)成一個(gè)整體的架構(gòu)模型，如圖 1 所示。

2.2.2 構(gòu)造各個(gè)層次的判斷矩陣

指標(biāo)之間需要進(jìn)行兩兩對(duì)比來確定其相對(duì)重要程度，這就需要各位專家依據(jù)其本人多年的威脅情報(bào)經(jīng)驗(yàn)按照 1 ～9 比率標(biāo)度方法(如表 1 所示)來確定，并依次構(gòu)造出相對(duì)應(yīng)的判斷矩陣[5]。

按照?qǐng)D1，用同層中的不同因素與上面一層的各個(gè)因素進(jìn)行兩兩對(duì)比，這樣對(duì)每一層中各因素的相對(duì)重要性都能給出一定的判斷。比如， 若Wij=1，Wji=1， 則認(rèn)為 Wi和 Wj是一樣重要的； 若認(rèn)為 Wi比 Wj明顯重要，則 Wij=5，Wji=1/5，…?；诖?，可以得出一個(gè)判斷矩陣，該矩陣由某一層次的因素對(duì)比于上一層次的某一因素得出[6]：

圖1 聚類因子指標(biāo)體系圖

表1 判斷矩陣標(biāo)度及其含義

在判斷矩陣 A 中，其元素Wij滿足以下關(guān)系:

2.2.3 一致性檢驗(yàn)

一般而言，專家會(huì)根據(jù)自己多年的經(jīng)驗(yàn)來確定判斷矩陣,但是經(jīng)驗(yàn)有時(shí)候也會(huì)有誤差。為了減小誤差，避免前后不一致的情況發(fā)生，就需要對(duì)判斷矩陣進(jìn)行一致性檢驗(yàn)。一般而言，判斷矩陣大部分是正互反矩陣[2]，它的最大特征值 λmax≥n，只有當(dāng)判斷矩陣具有完全一致性時(shí)，λmax=n；λmax與 n 的差別可以作為指標(biāo)，來驗(yàn)證判斷矩陣的不一致性。判斷矩陣的一致性檢驗(yàn)的步驟如下：

(1)計(jì)算一致性指標(biāo)CI

(2)查找相應(yīng)的平均隨機(jī)一致性指標(biāo)RI

對(duì)n=1，…，9，為了降低判斷思維的不一致而引起的偏差，SAATY T L 教授提出了 1 ～9 比率標(biāo)準(zhǔn)，并且列出了 RI 的值，如表 2 所示。

表2 平均隨機(jī)一致性指標(biāo)RI

當(dāng)CI=0 時(shí)，判斷矩陣具有完全一致性；相反地，隨著CI 的增大，判斷矩陣的一致性會(huì)變得越來越差。

在檢查判斷矩陣的一致性時(shí)需要將CI 與平均隨機(jī)一致性指標(biāo) RI 進(jìn)行比較。一般而言，1 階和 2階判斷矩陣總是具有完全一致性的。對(duì)于 2 階以上的判斷矩陣，其一致性指標(biāo)CI 與同階的平均隨機(jī)一致性指標(biāo)RI 之比，稱為判斷矩陣的隨機(jī)一致性比率 CR(Consistency Ratio)。

(3)計(jì)算一致性比率

當(dāng)CR<0.10 時(shí)，判斷矩陣的一致性可以被認(rèn)可，若CR ≥0.10，則認(rèn)為判斷矩陣設(shè)計(jì)不合適，需要提請(qǐng)各位專家重新思考， 認(rèn)真選擇并重新賦值，一直到通過檢驗(yàn)時(shí)為止。到此時(shí)所得的判斷矩陣的特征向量才可以用做權(quán)向量。

2.2.4 綜合評(píng)估

利用各準(zhǔn)則對(duì)目標(biāo)的權(quán)向量X 及各方案對(duì)每一準(zhǔn)則的權(quán)向量 Wk， 在經(jīng)過計(jì)算后， 就可以得到各方案對(duì)總目標(biāo)的權(quán)向量W，這就是綜合權(quán)向量[7]。

將準(zhǔn)則層對(duì)目標(biāo)層的權(quán)向量表示為 X=(x1，x2，…，xk)T，措施層對(duì)準(zhǔn)則層的權(quán)向量表示為 Wk=(wk1，wk2，…，wkn)T。以 Wk為列向量構(gòu)成組合矩陣，則措施層對(duì)目標(biāo)層的綜合權(quán)向量為：

由此計(jì)算得出方案層各指標(biāo)的權(quán)重。

2.2.5 建立綜合評(píng)判模型

模糊綜合評(píng)價(jià)涉及到如下3 個(gè)因素：

(1)因素集 U={u1，u2，…，un}。

(2)評(píng)價(jià)集 V={v1，v2，… ，vm}，例 如{優(yōu)，良 ，中 ，差，劣}。

(3)單因素評(píng)價(jià)，它是 U 到 V 的一個(gè)模糊映射f：U→V，即：

模糊映射 f 可確定一個(gè)模糊關(guān)系 Rf∈F(U×V)，即：

因此 Rf可由模糊矩陣 R∈Mn×m表示：

于是(U，V，R)構(gòu)成一個(gè)綜合評(píng)判模型。

將 因素集 U 分 成若干組，Ui=(Ui1，Ui2， … ，Uini)，于是：

U={u11，u12， … ，u1n1，u21，u22， … ，u2n2， … ，up1，up2，…，upnp}

對(duì) Ui=(Ui1，Ui2，…，Uini)中的各因素進(jìn)行評(píng)價(jià)，即建立模糊映射：

得評(píng)判矩陣 Ri，以(Ui，V，Ri)為原始模型，在 Ui中通過 AHP 法求出各因素的權(quán)重值 Ai=(ai1，ai2，…，aimi)，求得綜合評(píng)價(jià)：

求出綜合評(píng)價(jià)：

上面給出的就是綜合評(píng)判2 層模型。

3 評(píng)價(jià)實(shí)例

以對(duì)威脅情報(bào)網(wǎng)站(如卡巴斯基)的模糊評(píng)價(jià)為例，指標(biāo)體系及評(píng)分分別列于表 3，邀請(qǐng) 15 名評(píng)價(jià)專家對(duì)其進(jìn)行評(píng)分，并形成列表。

表3 威脅情報(bào)網(wǎng)站的模糊評(píng)價(jià)指標(biāo)體系及評(píng)分表

本例中經(jīng)專家綜合及利用層次分析法得出各層因子的權(quán)重為：

同理得：

合并成R，作歸一化處理得：

模糊綜合評(píng)價(jià)結(jié)果為：

該網(wǎng)站利用層次分析法及專家綜和評(píng)價(jià)，經(jīng)計(jì)算后比例依次為：優(yōu)(0.368 3)、良(0.236 9)、中(0.200 3)、差(0.101 7)、劣(0.092 8)，根據(jù)最大隸屬度原則，“優(yōu)”的隸屬度最高，可以得出該威脅情報(bào)網(wǎng)站評(píng)估水平為優(yōu)秀。

4 結(jié)論

本文研究了威脅情報(bào)的價(jià)值特性，進(jìn)而使用層次分析法來確定不同層次指標(biāo)對(duì)各層中不同因素的權(quán)重，這是一種科學(xué)有效的方法，將它應(yīng)用于對(duì)威脅情報(bào)網(wǎng)站的綜合評(píng)價(jià)，得出對(duì)威脅情報(bào)網(wǎng)站的直觀評(píng)價(jià)， 與其他方法相比評(píng)價(jià)結(jié)果更具客觀性。未來研究將考慮從網(wǎng)站動(dòng)態(tài)變化的角度進(jìn)一步開展，根據(jù)評(píng)價(jià)結(jié)果，加入反饋，形成動(dòng)態(tài)調(diào)整機(jī)制。