基于AHP 的威脅情報網站價值評估方法*

張 雷，宋 棟，劉 紅

(華北計算機系統(tǒng)工程研究所，北京100083)

0 引言

隨著網絡技術的飛速發(fā)展，現在網絡上充斥著各種各樣的威脅情報網站，威脅情報是對搜集到的各種公開的、泄露的素材進行綜合分析整理的成果，是協(xié)助和指導作戰(zhàn)的重要依據。威脅情報網站都有各自的特點和側重項，對各網站的綜合性能很難做出一個評估，要從這些網站中獲取對自己有價值的信息比較困難， 需要對不同的網站進行篩選比較，找出對自己價值最大的網站來。基于此，研究一種合適的方法，比較客觀地評價一個威脅情報網站的價值[1]，將不但有利于用戶的使用，而且有利于調動情報搜集人員的積極性和主觀能動性，更有助于輔助決策，使針對敵方的各類決策趨于科學化、合理化,最終提高軍事行動效能，同時也有利于網站本身的改進和發(fā)展。

本文首先確定了威脅情報的價值特性，主要將相關性、準確性、全面性、及時性四部分作為準則層進行分析闡述，各部分共分化出12 個指標作為措施層；然后運用層次分析法建立綜合評價模型，對威脅情報類網站價值進行綜合評價；最后選取一個威脅情報網站的評價實例進行實際評測，在保證客觀性和準確性的基礎上實現了主觀和客觀、定性與定量的有機結合，結果更具科學性和參考性。

1 層次分析法

由運籌學家莎迪(SAATY T L)于 20 世紀 70年代首次提出的層次分析法(Analytic Hierarchy Process，AHP)[2]，是一種多目標多層次的決策分析方法，它實現了定量和定性分析的結合，具有非常簡潔的特性，且邏輯性很強，還有很高的實用性。該方法對待選方案進行精確的評價， 有一個基本的前提，即系統(tǒng)與全面的指標體系必須首先建立起來。全面系統(tǒng)只是指標體系的一個基本方面，內在結構組成的科學性也是尤其需要關注的。有一些基本原則，如可操作性和導向性，科學性與目的性等都是在設計評價指標體系時需要考慮遵照的。本文在對威脅情報類網站評價指標進行選取時遵循了以上準則，并且在相應部分有所側重。

2 價值模型的構造

在對威脅情報網站進行分層構建模型前，首先需要明確威脅情報的價值特性，這樣才能確定評價指標，構建評價準則。

2.1 威脅情報價值特性的確立

威脅情報是運用于軍事領域的一種特殊信息，因此威脅情報價值具備信息價值的一般特性，同時根據軍事斗爭的激烈對抗性和不可預測性以及威脅情報工作的特殊性和內幕性，歸納起來，威脅情報價值主要有以下4 個方面的特性。

2.1.1 相關性

威脅情報網站首先應該采集有針對性的信息，消除不確定的和隨機的雜亂信息。決策者要做出正確的決策需要有針對性的大量信息來減少不可預估因素的影響。故而大量的威脅情報信息可以消滅模糊性, 使決策者可以精確把握雙方當前形勢，從而使決策更加科學[3]。從另一個角度看，不一樣的威脅情報信息服務于不同的決策對象：高屋建瓴的領導者對戰(zhàn)略和總體方面的情報需求更強烈，但局部層面的決策者對戰(zhàn)術層次的和具體層面的情報需求非常迫切。不同時間段的威脅情報信息，其價值也不同。相關并切合實際符合特定時間要求的威脅情報信息是決策者正確決策的法寶。

2.1.2 準確性

為體現威脅情報網站的準確性，取以下指標作為判斷依據：信息完備詳實的程度以及引用數據是否準確。在對某些威脅情報信息的收集整理、鑒別和傳遞等過程中，一般會使用某些精密的儀器設備，同時還有各類專業(yè)人員參與其中。若搜集到的信息與當下特定任務的需求結合不緊密，那么所獲取的威脅情報對行動的決策將毫無作用，這樣不管看起來多有用，威脅情報的價值也只相當于零。由此而知，準確性對威脅情報的價值而言至關重要。

2.1.3 全面性

威脅情報價值不僅受準確性的影響，全面性也非常重要。一個優(yōu)秀的決策者必須從各個方面進行考慮才能做出正確的決斷。全面準確的威脅情報能夠使決策者準確判明敵我狀況，及時利用現有資源，制定合適恰當的預案，從而減少不確定情況發(fā)生[4]。威脅情報的價值主要取決于使用情報后的效益或成果。本文將是否包含僵尸網絡信息、 漏洞信息、網絡攻防工具信息、攻擊技戰(zhàn)法信息、病毒信息等作為評價一個威脅情報網站是否全面的重要因素。

2.1.4 及時性

威脅情報的時效性在一定程度上決定了其價值，情報只有實時使用了才有價值。針對威脅情報網站提供信息的及時性，將其從敏感信息更新頻率和突發(fā)事件發(fā)布時間兩方面來考量。威脅情報必須及時提供甚至實時提供，及時而準確的威脅情報信息能有效縮短指揮周期，提高決策者的決策效率和準確性。同時，及時的威脅情報信息提供給決策者之后，能夠幫助其更精確地對當前態(tài)勢做出預判，并制定最佳的作戰(zhàn)策略。從另一方面來看，若威脅情報信息采集周期超出了決策時間周期，該信息將變得毫無價值和用處，有時甚而有害。

2.2 分析模型的建立

2.2.1 建立層次結構模型

根據威脅情報的價值特性，可以建立一個3 層的模型，包括：目標層、準則層、措施層。這3 層中，再細分出不同的評價因素，構成一個整體的架構模型，如圖 1 所示。

2.2.2 構造各個層次的判斷矩陣

指標之間需要進行兩兩對比來確定其相對重要程度，這就需要各位專家依據其本人多年的威脅情報經驗按照 1 ～9 比率標度方法(如表 1 所示)來確定，并依次構造出相對應的判斷矩陣[5]。

按照圖1，用同層中的不同因素與上面一層的各個因素進行兩兩對比，這樣對每一層中各因素的相對重要性都能給出一定的判斷。比如， 若Wij=1，Wji=1， 則認為 Wi和 Wj是一樣重要的； 若認為 Wi比 Wj明顯重要，則 Wij=5，Wji=1/5，…。基于此，可以得出一個判斷矩陣，該矩陣由某一層次的因素對比于上一層次的某一因素得出[6]：

圖1 聚類因子指標體系圖

表1 判斷矩陣標度及其含義

在判斷矩陣 A 中，其元素Wij滿足以下關系:

2.2.3 一致性檢驗

一般而言，專家會根據自己多年的經驗來確定判斷矩陣,但是經驗有時候也會有誤差。為了減小誤差，避免前后不一致的情況發(fā)生，就需要對判斷矩陣進行一致性檢驗。一般而言，判斷矩陣大部分是正互反矩陣[2]，它的最大特征值 λmax≥n，只有當判斷矩陣具有完全一致性時，λmax=n；λmax與 n 的差別可以作為指標，來驗證判斷矩陣的不一致性。判斷矩陣的一致性檢驗的步驟如下：

(1)計算一致性指標CI

(2)查找相應的平均隨機一致性指標RI

對n=1，…，9，為了降低判斷思維的不一致而引起的偏差，SAATY T L 教授提出了 1 ～9 比率標準，并且列出了 RI 的值，如表 2 所示。

表2 平均隨機一致性指標RI

當CI=0 時，判斷矩陣具有完全一致性；相反地，隨著CI 的增大，判斷矩陣的一致性會變得越來越差。

在檢查判斷矩陣的一致性時需要將CI 與平均隨機一致性指標 RI 進行比較。一般而言，1 階和 2階判斷矩陣總是具有完全一致性的。對于 2 階以上的判斷矩陣，其一致性指標CI 與同階的平均隨機一致性指標RI 之比，稱為判斷矩陣的隨機一致性比率 CR(Consistency Ratio)。

(3)計算一致性比率

當CR<0.10 時，判斷矩陣的一致性可以被認可，若CR ≥0.10，則認為判斷矩陣設計不合適，需要提請各位專家重新思考， 認真選擇并重新賦值，一直到通過檢驗時為止。到此時所得的判斷矩陣的特征向量才可以用做權向量。

2.2.4 綜合評估

利用各準則對目標的權向量X 及各方案對每一準則的權向量 Wk， 在經過計算后， 就可以得到各方案對總目標的權向量W，這就是綜合權向量[7]。

將準則層對目標層的權向量表示為 X=(x1，x2，…，xk)T，措施層對準則層的權向量表示為 Wk=(wk1，wk2，…，wkn)T。以 Wk為列向量構成組合矩陣，則措施層對目標層的綜合權向量為：

由此計算得出方案層各指標的權重。

2.2.5 建立綜合評判模型

模糊綜合評價涉及到如下3 個因素：

(1)因素集 U={u1，u2，…，un}。

(2)評價集 V={v1，v2，… ，vm}，例 如{優(yōu)，良 ，中 ，差，劣}。

(3)單因素評價，它是 U 到 V 的一個模糊映射f：U→V，即：

模糊映射 f 可確定一個模糊關系 Rf∈F(U×V)，即：

因此 Rf可由模糊矩陣 R∈Mn×m表示：

于是(U，V，R)構成一個綜合評判模型。

將 因素集 U 分 成若干組，Ui=(Ui1，Ui2， … ，Uini)，于是：

U={u11，u12， … ，u1n1，u21，u22， … ，u2n2， … ，up1，up2，…，upnp}

對 Ui=(Ui1，Ui2，…，Uini)中的各因素進行評價，即建立模糊映射：

得評判矩陣 Ri，以(Ui，V，Ri)為原始模型，在 Ui中通過 AHP 法求出各因素的權重值 Ai=(ai1，ai2，…，aimi)，求得綜合評價：

求出綜合評價：

上面給出的就是綜合評判2 層模型。

3 評價實例

以對威脅情報網站(如卡巴斯基)的模糊評價為例，指標體系及評分分別列于表 3，邀請 15 名評價專家對其進行評分，并形成列表。

表3 威脅情報網站的模糊評價指標體系及評分表

本例中經專家綜合及利用層次分析法得出各層因子的權重為：

同理得：

合并成R，作歸一化處理得：

模糊綜合評價結果為：

該網站利用層次分析法及專家綜和評價，經計算后比例依次為：優(yōu)(0.368 3)、良(0.236 9)、中(0.200 3)、差(0.101 7)、劣(0.092 8)，根據最大隸屬度原則，“優(yōu)”的隸屬度最高，可以得出該威脅情報網站評估水平為優(yōu)秀。

4 結論

本文研究了威脅情報的價值特性，進而使用層次分析法來確定不同層次指標對各層中不同因素的權重，這是一種科學有效的方法，將它應用于對威脅情報網站的綜合評價，得出對威脅情報網站的直觀評價， 與其他方法相比評價結果更具客觀性。未來研究將考慮從網站動態(tài)變化的角度進一步開展，根據評價結果，加入反饋，形成動態(tài)調整機制。