基于改进证据理论的信息安全风险评估模型

金 力，谭红春，丁大为，方 芳，阚红星

(1.安徽中医药大学 医药信息工程学院， 合肥 230012； 2.安徽大学 电子信息工程学院， 合肥 230039)



基于改进证据理论的信息安全风险评估模型

金 力1，谭红春1，丁大为2，方 芳1，阚红星1

(1.安徽中医药大学 医药信息工程学院， 合肥 230012； 2.安徽大学 电子信息工程学院， 合肥 230039)

在对系统的信息安全风险评估层次结构深入分析的基础上，构建了一种基于改进证据理论的信息安全风险评估模型。实例仿真结果表明：本方法与以往文献中的改进小波神经网络法相比，评估结果更为客观、准确。

信息安全；改进证据理论；评估模型

随着信息化建设的飞速发展，人们在尽享信息社会带来的便利、快捷与高效的同时也时刻承受着信息安全隐患带来的种种威胁，信息安全方面的风险评估已然成为事关国家安全的热点问题[1]。

目前，国内部分科研院所在信息安全的风险评估方面作了较为深入的研究：西安电子科大的马建峰、赵冬梅团队[2]将人工神经网络理论、小波分析及粒子群优化算法有机结合，提出了基于粒子群-小波神经网络的信息安全风险评估模型；针对信息安全风险评估中参数评估值的不确定性问题，东南大学罗军舟、高阳团队[3]给出了一种基于灰色关联度的风险评估决策算法；南京师范大学宋如顺、吴叶科等[4]利用基于博弈论的综合赋权法确定风险因素的综合权重，从而为信息系统的安全性评价提供了新思路。

上述研究成果存在如下的缺陷：在不确定性及多样性的情况下描述风险因素时，综合赋权法难以做到严格量化；神经网络法选取学习样本的数量受到限制，且样本的正确性不好界定；模糊综合评判法的缺陷在于隶属函数的正确选择相当困难，如果该函数选择不当会对评价结果造成很大误差甚至错误。基于此，本文在深入分析系统的信息安全风险评估层次结构的基础上，构建基于改进的证据理论评估模型以便对信息系统的风险值进行客观公正的评估。

1 信息安全风险评估模型

1.1 信息安全风险评估层次结构的构建

信息安全风险评估首先应建立一整套评估指标体系，并通过层次分析法科学、合理地解决各评价指标权值分配的问题。根据层次分析法[5]的分层要求，可以将信息安全评估体系分为目标层、准则层和指标层，具体的层次结构如图1所示。

图1 信息安全风险评估层次结构

在构建出某系统信息安全风险评估层次结构的基础上，本文拟采用九分标度法进行两两比较，以便得出各层元素的判断矩阵：

1.2 确定风险评估计算公式

由国家信息安全研究与服务中心及中科院信息安全国家重点实验室等多家机构联合起草的《信息安全风险评估规范》[6-7]在对信息安全风险评估的因素及度量标准深入研究的基础上，给出图2所示的风险评估工作流程。

图2 信息安全风险评估流程

根据图2的工作流程可得如下的信息安全风险评估计算公式：

Rt=V×Pt×Pv

(1)

其中：Rt代表风险；V代表资产；Pt代表威胁；Pv代表脆弱性。若某信息系统采用安全措施m，则可能会引入新的威胁因素，此时风险评估计算公式应修改如下：

Rt=V×Pt×Pv×Sm+Rj

(2)

其中：Sm为安全措施m的有效程度；Rj为安全措施m引入的风险值。

信息安全风险一般系由相互独立的不同主体引发，考虑到风险发生次数可以被认为是概率统计中的随机事件，各次威胁均相互独立且只有两种结果：发生或不发生，故本文拟用Poisson分布模拟威胁发生的概率。考虑到Poisson分布具有如下特点：当威胁发生的次数小于λ时，威胁发生的概率随其次数的增加而增加；而当威胁发生的次数大于λ时，则其概率随威胁发生的次数增加反而减小。故可将基于信息系统的安全风险评估量化模型定义如下[8]：

(3)

2 基于改进证据理论的信息安全风险评估方法

证据理论(又称作D-S理论)是由Dempster教授率先提出并由其学生Shafer教授进一步完善的多元不确定性的信息融合理论[9]。它不仅能处理由于知识不准确引发的不确定性，而且还能处理由于知识缺失导致的不确定性。由于信息系统风险评估基本上都是采用专家评估的方法，在评估过程中给出的大都是一些不完整、不准确甚至模糊的信息，绝大多数的评价指标为定性指标，再加上专家评估中存在的个人偏见及趋同性等，常常会使信息安全风险的评估结果易受主观因素的影响，从而导致评估结果具有较大的偏差。采用证据理论的多元数据融合技术，可以明显降低个人的主观意见对评估结果的影响，进而提高评估结果的可信度。

证据合成是证据理论的核心思想，由于D-S证据合成公式存在如下的不足：如在合成高度冲突的证据时，合成结果将有悖常理，使证据理论的应用受到了一定程度的限制。针对此问题，本文给出一种新的组合方法：首先对证据进行修正和预处理，同时基于局部冲突及局部分配原则确定一种合理的权重分配方法。

2.1 基于折扣系数法的修正融合模型方法分析[10]

当某一证据的似真度为 t∈(0,1)，则宜采用基于折扣操作对的BPA函数处理相关问题。Shafer首次提出如下的一种通用的利用折扣处理的BPA函数：

(4)

(5)

2.2 修正组合规则方法分析

本文提出一种新的冲突证据组合规则：首先基于冲突系数矩阵计算证据的可信度，并以此作为各证据源的折扣因子来修正证据结构，从而进一步确定冲突分配的权值。

设Θ为一个包含N个互斥命题的识别框架，mi(*)和mj(*)分别是证据Ei和Ej作用于Θ所产生的基本概率分配，焦元分别为A1,…,Ak和B1,…,Bl，则证据Ei和Ej的冲突系数为[11]：

(6)

若针对同一识别框架Θ的证据数目为n，则可利用式(6)计算出任意两证据Ei和Ej的冲突系数kij，并可进一步表示为如下的冲突矩阵：

(7)

令证据Ej对证据Ei的局部支持度为

(8)

则任意证据的相对可信度和绝对可信度分别表示为：

(9)

事实证明，证据冲突的基本可信度分配(BBA)与合成信息源数目的关系如图3所示[12]。

图3 合成信息源数目与证据冲突的BBA关系

由图3可知：一旦合成信息源的数目超过20，证据之间的冲突将超过90%。为了减小证据之间的冲突问题对评估结果的影响，本文提出了一种新的组合方法，其步骤归纳如下：

1) 对于n条组合证据，采用式(6)～(9)计算每条证据的绝对可信度ωi(i=1,2,…,n)。

2) 基于可信度对原始证据进行修正，如式(10)所示。

(10)

3) 新的组合规则为：

(11)

其中，q(A)为各局部冲突中分配给A的BPA值。新的合成规则区分了证据间的一致性部分与冲突部分。对于一致性部分，我们采用合取规则；对于冲突部分，局部冲突在引发冲突的焦元间进行按权值分配，确定权值的依据是修正后证据的BPA值。

3 信息安全风险评估实例[13]

现给出某网络安全风险事件的各层权重指标及基本可信度分配，如表1所示。

采用上述改进D-S证据理论合成法则后的基本可信度分配值如表2所示。

表3为准则层数据合成后的可信度值。

假定该网络中各风险因素的危害程度如下：

{0.85,0.7,0.7,0.55,0.4,0.25,0.1}

则此时网络存在的风险值为：

Rt=0.85×0.038+0.7×0.047 3+0.7×0.194 8+0.55×0.160 5+0.4×0.331 4+0.25×0.176 7+0.1×0.130 2=0.479 8

由图4可看出：与文献[2]中采用的改进小波神经网络算法相比,改进的证据理论判定信息系统处于较低风险的可信度更高,处于其他风险等级的可信度比改进的小波神经网络法的结果更低,也就是应用改进的证据理论能够更加确定信息系统所处的风险等级，即该系统处于较低的风险等级。这是由于改进的证据理论将信息安全风险评估中的不确定性按权重比例分配给指标体系中的各风险因素,减小了评估过程中的不确定性,从而说明改进的证据理论具有更高的准确性和确定性。

表1 某网络安全风险事件的各层权重指标及基本可信度分配

表2 改进后的基本可信度分配值

表3 准则层数据合成后的可信度值

图4 信息系统安全风险评估结果比较

4 结束语

针对网络安全风险评估中存在的大量不确定性问题，本文构建了一种基于改进D-S证据理论的网络安全风险评估模型，通过运用改进的Dempster合成法则对指标体系中各风险因素风险发生的基本可信度分配进行逐层合成，最终可根据所给的系统各风险因素的危害程度求得该系统面临的风险值。

通过与文献[2]采用的改进小波神经网络相比，本文采用的改进的D-S证据理论具有更高的准确性。

[1] 吴晓平,付钰编.信息安全风险评估教程[M].武汉：武汉大学出版社,2011.

[2] 赵冬梅,刘金星,马建峰.基于改进小波神经网络的信息安全风险评估[J].计算机科学,2010,37(2):90-93.

[3] 高阳,罗军舟.基于灰色关联决策算法的信息安全风险评估方法[J].东南大学学报(自然科学版),2009,39(2):225-229.

[4] 吴叶科,宋如顺,陈波.基于博弈论的综合赋权法的信息安全风险评估[J].计算机工程与科学,2011,33(5):9-13.

[5] SAATY T L.The Analysis Hierarchy Process[M].USA:Mc Graw-Hill Inc,1980.

[6] GB/T 20984—2007，信息安全技术信息安全风险评估规范[S].北京:中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会,2007.

[7] 范红.信息安全风险评估规范国家标准的理解与实施[M].北京:中国标准出版社,2008.

[8] 蒋黎明,何加浪,张宏.D-S证据理论中一种新冲突证据融合方法[J].计算机科学,2011,38(4):236-238.

[9] 高会生,朱静．基于D-S证据理论的网络安全风险评估模型[J].计算机工程与应用，2008,44(6):157-159.

[10]郭亚军.综合评价理论、方法及应用[M].北京:科学出版社,2007.

[11]SUN L,SRIVASTAVA R P,MORK T J,et al.An information systems security risk assessment model under the Dempster-Shafer theory of belief functions[J].Journal of Management Information Systems,2006,2 2(4):109-142.

[12]周哲,徐晓滨,文成林，等.冲突证据融合的优化方法[J].自动化学报,2012,38 (6):976-985.

[13]付钰,吴晓平,叶清，等.基于模糊集与熵权理论的信息系统安全风险评估研究[J].电子学报,2010,38 (7):1490-1494.

(责任编辑 杨黎丽)

Risk Assessment Model of Information Security Based on Improved Evidence Theory

JIN Li1, TAN Hong-chun1, DING Da-wei2, FANG Fang1, KAN Hong-xing1

(1.College of Medical Information Engineering，Anhui University of Traditional Chinese Medicine，Hefei 230012，China; 2. School of Electronics and Information Engineering，Anhui University，Hefei 230039，China)

After the in-depth analysis of the information security risk assessment hierarchy, an information security risk assessment model based on improved evidence theory (IET) is given in this paper. The simulation results show that this algorithm (IET) is more objective and accurate than that of the improved wavelet neural network (IWNN).

information security; improved evidence theory (IET); assessment model

2016-11-28 基金项目：国家自然科学基金资助项目(61201227)；安徽省级教研重点项目(2015jyxm188)；安徽省级教研一般项目(2014jyxm200)；安徽中医药大学校级人文重点项目(2017rwzd003)；安徽中医药大学校级重点教研项目(2015xjjy003)

金力(1974—)，男，安徽合肥人，硕士，讲师，主要从事算法分析与设计等方面的研究，E-mail：125725995@qq.com。

金力，谭红春，丁大为，等.基于改进证据理论的信息安全风险评估模型[J].重庆理工大学学报(自然科学)，2017(5):119-124.

format：JIN Li, TAN Hong-chun, DING Da-wei,et al.Risk Assessment Model of Information Security Based on Improved Evidence Theory[J].Journal of Chongqing University of Technology(Natural Science)，2017(5):119-124.

10.3969/j.issn.1674-8425(z).2017.05.020

TP309

A

1674-8425(2017)05-0119-06