基于改進(jìn)D-S證據(jù)理論的信息系統(tǒng)風(fēng)險評估的研究

張慶濤 張 涵 李重陽 田 源 李 劍

1(山東高速建設(shè)管理集團(tuán)有限公司 濟(jì)南 250098)

2(北京郵電大學(xué)人工智能學(xué)院 北京 100876)

(15069197336@163.com)

當(dāng)今計算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)迅猛發(fā)展，人們對各種信息系統(tǒng)的需求也越來越高.同時，信息系統(tǒng)面臨的威脅也在逐漸增長，攻擊行為逐漸增多，并且呈現(xiàn)出復(fù)雜化、規(guī)?；奶攸c.除了信息系統(tǒng)自身的缺陷，木馬攻擊、網(wǎng)絡(luò)攻擊、惡意代碼攻擊等都嚴(yán)重威脅著信息系統(tǒng)的安全，甚至可能導(dǎo)致信息系統(tǒng)出現(xiàn)嚴(yán)重的隱私信息泄露和系統(tǒng)癱瘓的問題，從而造成巨大的損失.日益嚴(yán)峻的安全問題使人們不得不重視信息系統(tǒng)的安全風(fēng)險評估問題，這也是順應(yīng)信息系統(tǒng)安全防護(hù)需求而產(chǎn)生的研究熱點.傳統(tǒng)的針對出現(xiàn)問題再采取措施的方法過于盲目和被動，而在問題發(fā)生之前，提前對整個系統(tǒng)存在的風(fēng)險進(jìn)行評估，包括資產(chǎn)分析、威脅分析和脆弱性分析，能有效地預(yù)知系統(tǒng)的安全問題，進(jìn)而采取一定的措施，實行對整個信息系統(tǒng)的安全管理.

在對信息系統(tǒng)安全風(fēng)險評估的過程中，面臨最大的問題就是存在大量的不確定性，各項風(fēng)險指標(biāo)難以嚴(yán)格的量化.在以往的研究方法中，有層次分析法、故障樹分析法、模糊綜合評判法等，但這些方法都對數(shù)據(jù)集有一部分定量分析的需求，因此很難在充滿不確定性的信息安全系統(tǒng)中直接使用.所以有研究人員[1]提出將D-S(Dempster-Shafer)證據(jù)理論向模糊集推廣，利用模糊集的隸屬函數(shù)構(gòu)造證據(jù)理論中的基本賦值函數(shù)的方法，成功實現(xiàn)了證據(jù)理論和模糊理論的結(jié)合.

如何正確構(gòu)造隸屬度函數(shù)是模糊數(shù)學(xué)理論中關(guān)鍵問題之一，并且運用這種方法構(gòu)造出的基本賦值函數(shù)存在一個不可忽視的問題，那就是證據(jù)之間的沖突.證據(jù)之間的沖突，不僅影響基本賦值函數(shù)的準(zhǔn)確性，也增加了整個系統(tǒng)的不確定性.

本文提出了一種基于D-S證據(jù)理論的改進(jìn)方法，通過引入“集中率”的概念，成功地降低了不同風(fēng)險項之間的證據(jù)沖突，并使后續(xù)證據(jù)之間的合成結(jié)果中的不確定性降低，確定性提高，充分體現(xiàn)了D-S證據(jù)理論的優(yōu)勢，從而在充滿模糊性、隨機(jī)性的信息安全系統(tǒng)中，使評估結(jié)果更加準(zhǔn)確.

1 D-S證據(jù)理論

1.1 證據(jù)理論相關(guān)定義

D-S證據(jù)理論適用于多源和不確定信息的融合[2]，能夠處理大量不確定信息和復(fù)雜信息，將其轉(zhuǎn)化為確定的決策結(jié)果.最早由Dempster提出，后來Shafer在其合成規(guī)則的基礎(chǔ)上完善建立.

定義1.基本概率賦值函數(shù).設(shè)Θ為識別框架，若函數(shù)m:2θ→[0,1]滿足

m(Φ)=0,∑m(A)=0,

那么把m稱為識別框架Θ上的基本可信度分配函數(shù)(BPA)，該函數(shù)是確切地分配到A上的概率大小，即可以反映對A的精確信任程度.

定義2.信任函數(shù).設(shè)Θ為識別框架，函數(shù)m:2θ→[0,1]為Θ上的基本可信度分配函數(shù)，如果函數(shù)滿足

Bel(A)=∑m(A) (?A?Θ),

那么稱函數(shù)Bel(A)為Θ信任函數(shù)，表示對A的總信任.

定義3.似然函數(shù).設(shè)Θ為識別框架，Bel為信任函數(shù)，定義函數(shù)：

則稱Pl(A)為似然函數(shù)，表示不否定A的信任度，是所有與A相交集合的基本可信度之和，[Bel(A),Pl(A)]即為命題A的信任區(qū)間.

1.2 改進(jìn)的合成方法

在不同的證據(jù)之間往往存在沖突，因此常用的做法是給證據(jù)集引入權(quán)重，設(shè)證據(jù)集為E={E1,E2,…,En}，證據(jù)Ei的權(quán)重系數(shù)則為wi，因此所有證據(jù)的權(quán)重系數(shù)組成的權(quán)重向量為W=(w1,w2,…,wn)，并且權(quán)重系數(shù)滿足wi∈[0,1),∑w=1，在證據(jù)合成過程中，權(quán)重系數(shù)能反映其重要程度.

為了進(jìn)一步減小證據(jù)的沖突，有些方法引入“折扣率”的概念，即證據(jù)的基本可信度的“折扣率”αi(0≤αi≤1),(1-αi)=w/wmax,i=1,2,…,n,利用“折扣率”計算證據(jù)的基本可信度可進(jìn)一步減少證據(jù)之間的沖突，并且隨著證據(jù)的融合，可以一步步減小不確定因素的值.

基于減小證據(jù)間沖突以及減小不確定因素的思路，本文提出了一種新的改進(jìn)合成方法，目的是進(jìn)一步緩解以前方法中權(quán)重出現(xiàn)偏離時對最終結(jié)果產(chǎn)生的不良影響.

“集中率”作為一種新的方法用來調(diào)整各識別框架內(nèi)的所有命題的基本可信度，定義如下：

因此，調(diào)整后的基本可信度分配函數(shù)為

其中γ表示縮放參數(shù)，本文取0.25.

最后，將各證據(jù)的所有命題調(diào)整后的基本可信度帶入到合成公式中即為新的證據(jù)合成公式.

2 信息安全風(fēng)險評估模型

2.1 信息安全風(fēng)險評估相關(guān)背景

信息系統(tǒng)的安全風(fēng)險，主要來源于系統(tǒng)外部威脅以及系統(tǒng)自身存在的脆弱性.對信息系統(tǒng)安全的風(fēng)險評估，是指依據(jù)國家有關(guān)信息安全的技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價的過程.對信息系統(tǒng)的安全風(fēng)險評估，就是利用信息系統(tǒng)面臨的威脅及脆弱性的威脅源泉，評價安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要性識別信息系統(tǒng)的安全風(fēng)險.從風(fēng)險管理的角度，對信息系統(tǒng)的安全風(fēng)險進(jìn)行評估，運用科學(xué)的手段全面系統(tǒng)地進(jìn)行分析，達(dá)到防范風(fēng)險和化解風(fēng)險的目的，將風(fēng)險控制在可接受的水平內(nèi)，從而最大限度地保護(hù)網(wǎng)絡(luò)與信息安全[3].

在評估模型中，有價值的信息或者資源被稱為資產(chǎn).漏洞，就是指信息安全系統(tǒng)本身的脆弱性造成的弱點.對系統(tǒng)能產(chǎn)生危害的潛在原因稱為威脅.

在信息系統(tǒng)安全風(fēng)險評估中，工具起到了非常重要的作用，例如自動化的工具可以使分析人員從繁重的分析任務(wù)中解放出來，并且使某些專家的知識與經(jīng)驗被廣泛使用.例如漏洞掃描工具就是風(fēng)險評估中比較基礎(chǔ)的工具之一，對于系統(tǒng)自身代碼方面的錯誤還可以利用各種黑盒白盒的手段進(jìn)行靜態(tài)或者動態(tài)的測試.對于風(fēng)險評估的工具還沒有確切的定義，目前普遍認(rèn)可的是至少應(yīng)該包括管理工具、脆弱性滲透工具和評估輔助工具.

2.2 信息安全風(fēng)險評估的實施流程

信息安全系統(tǒng)的風(fēng)險評估流程主要包括風(fēng)險評估的準(zhǔn)備、風(fēng)險識別和實施風(fēng)險管理3大部分.其中：在評估準(zhǔn)備階段，主要針對信息安全系統(tǒng)面臨的脆弱性和威脅2大問題，進(jìn)行資產(chǎn)識別、威脅識別以及脆弱性識別[4]；在風(fēng)險識別階段，主要計算各類風(fēng)險問題發(fā)生的概率，然后綜合起來作為整個信息安全系統(tǒng)的風(fēng)險度量，由此結(jié)合其他方面的信息，判斷當(dāng)前系統(tǒng)的風(fēng)險是否可被接受，從而制定更新控制措施或者保持已有安全措施的計劃；在風(fēng)險管理階段，主要是對上一步制定的措施進(jìn)行實施與協(xié)調(diào)管理，同時對處理風(fēng)險的過程進(jìn)行歸檔記錄.整體的流程如圖1所示：

圖1 風(fēng)險評估實施流程圖

2.3 信息安全風(fēng)險評估模型

根據(jù)圖1的風(fēng)險評估實施流程，以及信息系統(tǒng)風(fēng)險評估的特點，構(gòu)建信息系統(tǒng)層級模型，主要包括威脅與脆弱性.其中威脅包括信息被刪或丟失、網(wǎng)絡(luò)資源被破壞、服務(wù)中斷或禁止、信息泄露、信息濫用或篡改.脆弱性包括軟硬件漏洞、網(wǎng)絡(luò)安全性、環(huán)境安全、人員與組織.如圖2所示，從下到上分為3層，依次是指標(biāo)層、準(zhǔn)則層和目標(biāo)層[5].

圖2 信息安全風(fēng)險評估層級模型

本文用證據(jù)理論對信息系統(tǒng)進(jìn)行安全風(fēng)險評估，具體的分析如下：

設(shè)識別框架Θ為整個層級模型的指標(biāo)狀態(tài)集，整個系統(tǒng)的綜合風(fēng)險有2個評估因素，即威脅評估和脆弱性評估，即A={a1,a2}，對應(yīng)的權(quán)重為W=(w1,w2).

其中威脅評估又可分為5個因素，也有相應(yīng)的權(quán)重.設(shè)定模型的評語集為Xh={x1,x2,x3,x4,x5}，分別對應(yīng)風(fēng)險很低、風(fēng)險低、風(fēng)險中、風(fēng)險高、風(fēng)險很高[6]，其中h表示層級模型中的1個指標(biāo).

對于風(fēng)險出現(xiàn)時對整個系統(tǒng)的危害程度，設(shè)定專家評語集P(Xh)={p(x1),p(x2),…,p(x5)}，表示專家對于評語集的危害程度的評估[7].

圖6為高氣體密度下氣流馬赫數(shù)對表面波增長率的影響。與圖 5a比較，高氣體密度下隨著氣流馬赫數(shù)的增大，表面波增長率增大的幅度在逐漸擴(kuò)大。說明在高氣體密度下，高馬赫數(shù)對液膜的不穩(wěn)定性影響更大。

風(fēng)險模型的可信度β由改進(jìn)后的合成規(guī)則計算而來，而整個模型的最終風(fēng)險由下式計算：

R=∑P(Xh)β.

3 實證分析

以圖2層級模型的信息系統(tǒng)安全風(fēng)險評估為例，使用模糊評語集和專家評語集來表示可信度，并使用本文提出的改進(jìn)證據(jù)合成方法.具體流程如下：

步驟1. 對于指標(biāo)層的各項，確定權(quán)重，并且確定關(guān)于評語集的基本可信度分配mij(Xh)，風(fēng)險事件的BPA由Delphi法確定，并且可用AHP法得到各個時間的權(quán)重，其中Θ表示不確定性.如表1所示:

表1 權(quán)值和基本可信度分配表

步驟2. 采用本文提出的“集中率”方法，重新對基本可信度分配值進(jìn)行計算，證據(jù)間沖突的減小，可以由Θ增大來體現(xiàn).如表2所示.

表2 改進(jìn)后可信度分配表

步驟3. 利用證據(jù)間的合成公式，依次對mij(Xh)進(jìn)行數(shù)據(jù)合成，值得注意的是，合成步驟必須兩兩合成，依次合成，不能多個風(fēng)險項一次性合成.可得指標(biāo)層的結(jié)果如表3所示.同理，可得準(zhǔn)則層的合成結(jié)果如表4所示.

表3 指標(biāo)層合成

表4 準(zhǔn)則層合成

步驟4. 用風(fēng)險計算公式計算整個信息系統(tǒng)的安全風(fēng)險系數(shù).設(shè)P(Xh)={P(x1),P(x2),P(x3),P(x4),P(x5)}={0.15,0.35,0.55,0.75,0.95}，則整個信息系統(tǒng)的安全風(fēng)險為R=0.15×0.02+0.35×0.19+0.55×0.62+0.75×0.14+0.95×0.03=0.544.

由表1和表2可以看出，本文提出的“集中率”新方法成功降低了證據(jù)間的沖突，Θ也隨之增大.由表3可以看出，根據(jù)證據(jù)理論合成之后，不確定性開始減小，基本可信度值主要集中在評語集的中間部分.由表4可以看出，該信息系統(tǒng)存在很低風(fēng)險的可信度為0.02，存在低風(fēng)險的可信度為0.19，中等風(fēng)險存在的可信度為0.62，高風(fēng)險存在的可信度為0.14，很高風(fēng)險存在的可信度為0.03，而整個系統(tǒng)的不確定性為0.由表3到表4的變化可以看出，經(jīng)過D-S證據(jù)理論的合成法則之后，原本較低的概率賦值會更低，而較高的BPA會變得更高，并且整個系統(tǒng)的不確定性會變?yōu)?.這充分說明D-S證據(jù)理論可以消除整個系統(tǒng)風(fēng)險評估中的不確定性，將其轉(zhuǎn)化為確定的決策結(jié)果.

4 結(jié)束語

在整個信息系統(tǒng)的安全風(fēng)險評估中存在大量的不確定性，以往傳統(tǒng)方法面臨的難點主要是數(shù)據(jù)的不確定性，并且對于風(fēng)險評估的數(shù)據(jù)，風(fēng)險評估專家對于不同風(fēng)險項的個人評估各不相同，由此造成了風(fēng)險評估結(jié)果的差異.因此，本文將D-S證據(jù)理論與信息系統(tǒng)安全風(fēng)險評估結(jié)合起來，并且提出了“集中率”的概念，運用改進(jìn)Dempster合成方法，不僅減少了證據(jù)之間的沖突，還進(jìn)一步減小了不同權(quán)重證據(jù)之間的不平衡性，成功地提高了安全風(fēng)險評估的準(zhǔn)確性，減小了評估的不確定性.不過，在一個信息系統(tǒng)中，不同風(fēng)險項之間可能會有一定的關(guān)聯(lián)，即它們之間并不是完全獨立的，因此單純的證據(jù)理論在應(yīng)用中還有一定的局限性.如何對該方法改進(jìn)使之能更好地適應(yīng)信息安全系統(tǒng)的風(fēng)險評估，是未來的研究方向之一.