偏聯系數隱私風險態勢評估方法

晏 燕，王萬軍

1.蘭州理工大學 電氣工程與信息工程學院，蘭州 730050

2.蘭州理工大學 計算機與通信學院，蘭州 730050

3.蘭州文理學院 數字媒體學院，蘭州 730000

1 引言

隨著互聯網與移動通信技術的迅猛發展，云計算、大數據、物聯網、車聯網、智慧城市、智能家居等新興技術層出不窮，用戶能夠隨時、隨地、隨身的對信息進行訪問、查詢和跟蹤。同時，大量的數字化信息存在于網絡空間、云平臺和移動終端，使得用戶的隱私信息面臨威脅[1]。隱私信息的泄露不僅影響到人們的財產和生命安全，甚至威脅社會穩定與國家安全。因此，如何有效防止用戶隱私信息的泄露已經成為全社會共同關注的焦點和亟待解決的重要問題[2]。進行隱私信息風險評估、降低隱私信息泄露發生率，對提高隱私信息的安全性具有重要而現實的意義。

目前，國內外關于隱私保護規則和相關算法的研究已經取得不少成果[3-8]。但是，對隱私風險評估的研究相對較少。文獻[9]總結了國內外信息系統安全風險評估的常用方法，研究了信息系統安全風險的分布規律，提出了適用于信息系統安全風險評估的一般方法。文獻[10]使用模糊集理論對信息系統的風險因素進行分析，構造了各種因素所對應的隸屬度矩陣，采用熵權系數法確定因素權重以減少傳統權重確定方法的主觀偏差。Saripaui等[11]采用Delphi法將搜集到的信息進行歸納、修改、匯總，并對隱私風險進行定量評估研究。任丹丹等[12]研究了車載自組織網絡中的位置隱私風險，通過布爾函數對隱私泄露攻擊目標建立攻擊樹模型，并對各攻擊樹節點多屬性賦值進行分析。張秋瑾[13]和Wang等[14]研究并建立了云計算隱私評估的指標體系，運用信息熵、模糊集和馬爾科夫鏈等理論對云計算的隱私風險進行評估建模。文獻[15]將多元聯系數集對分析理論應用于航空維修風險評估，運用不確定層次分析法確定各評估指標的權重區間。綜合分析目前已經報道的各種評估方法，定量方法大多是建立在Fuzzy數學、Vague理論、灰理論、貝葉斯理論、粗糙集理論或直覺模糊理論等基礎上的。雖然這些方法起到了一定的評估效果，但仍然存在諸多缺陷和不足[14]。例如，對評估指標中信息臨界邊值的指派、確定-不確定信息的集成、不同評估方法中權重的取值等，都直接影響評估結果的準確與否。

本文在分析隱私風險評估指標的基礎上，提出新的隱私風險態勢評估方法。利用集對分析理論中的偏聯系數[16-17]方法，對風險指標計算偏階聯系數的態勢并分析趨勢變化，從而實現隱私風險的評估。為了克服人為因素對評估結果的影響，風險指標的權重采用最小二偏方法進行科學計算，從而有效消除了評估過程中不確定因素對結果的干擾和影響。

2 隱私風險評估

隱私風險評估是對隱私系統風險進行的全面、系統的估計和衡量。導致隱私風險的因素包羅萬象，其中既有人為因素，亦有客觀原因；既有技術因素，亦有設備原因；既有內因，亦有外因；既有系統自身的脆弱性因素，亦有保密泄露的原因；既有系統的不完備性因素，亦有人為蓄意攻擊的可能。總而言之，隱私風險就是隱私數據泄露發生的可能性及其負面影響。隱私風險評估就是對隱私風險發生的可能性及其負面影響進行識別和評價。

本文在研究國內外大量隱私泄露事件風險評估方法的基礎上，通過詳細總結、分類和篩選，并結合ITSEC（Information Technology Security Evaluation Criteria）的定義[18]及文獻[10]和文獻[13]建立了如表1所示的隱私風險評估指標體系。

表1 隱私風險評估指標體系

3 基于偏聯系數的隱私風險態勢評估方法

3.1 聯系數

聯系數[16]是集對分析理論（Set Pair Analysis，SPA）中刻畫兩個集合之間相互聯系、制約、影響并反映屬性的同（同一、肯定或支持）、異（不確定）、反（對立、否定或反對）關系的表達式。

定義1設X為非空集合，則A={＜x,aA(x),bA(x),cA(x)＞|x∈X}的聯系數為：

其中aA(x),bA(x),cA(x)分別表示X中元素x屬于A的支持（同）度，不確定（異）度和對立（反）度。aA(x):x→[0,1]，bA(x):x→[0,1]，cA(x):x→[0,1]滿足歸一化條件aA(x)+bA(x)+cA(x)=1。其中i∈[-1,1]，稱為不確定度系數；j為對立度系數，通常情況可取 j=-1。

3.1.1 偏聯系數

式（1）中含有同、異、反三個元素，因此又稱為同異反聯系數或三元聯系數。多元聯系數是將三元聯系數中的不確定項bi進一步拓展得到的一般形式：

當n=3時，稱式（2）為五元聯系數，記為：

式（3）中a為同一度，b為同差異偏同分量，c為同差異中立分量，d為同差異偏反分量，e為對立度，i,j,k,l分別為b,c,d,e∈[0,1]的系數，且滿足歸一化條件：a+b+c+d+e=1。

定義2[15，19]在五元聯系數μ中，一階偏聯系數為：

其中

定義3在五元聯系數μ中，二階偏聯系數為：

其中偏聯系數是在一階偏聯系數上進行的偏離趨向變化。

定義4在五元聯系數μ中，三階偏聯系數為：

其中

定義5在五元聯系數μ中，四階偏聯系數為：

其中

偏聯系數是描述偏離趨向變化高低的函數，它反映了同異反聯系狀態的發展趨勢和變化。在r階偏聯系數中，當?(r)μ＞0時，本次聯系分量相對上次聯系分量而言，朝正方向層次遷移，呈現提高趨勢；當?(r)μ＜0時，本次聯系分量相對上次聯系分量而言，朝負方向層次遷移，呈現下降趨勢；當?(r)μ=0時，本次聯系分量相對上次聯系分量而言，朝不確定方向層次遷移，呈現中介不確定趨勢。

3.1.2 勢與偏勢

定義6[15]在三元聯系數 μ=a+bi+cj中，當c≠0時，聯系數的勢為：

shi(μ)＞1 時稱為同勢；shi(μ)=1 時稱為均勢；shi(μ)＜1時稱為反勢。

當c=0時，三元聯系數降為二元聯系數，其勢值可以用同一度a進行度量。當a＞b時，稱為不確定同一勢；當a≤b時，稱為不確定-不確定勢。

定義7五元聯系數μ的勢為：

其對應的一階、二階、三階偏聯系數分別為：

在隱私風險評估中，“同勢”表明隱私風險評估與理想標準風險趨于同一變化狀態，即處于隱私評估的“低風險”；“均勢”表明隱私風險評估與理想標準風險趨于勢均力敵狀態，即處于隱私評估的“中等風險”；“反勢”表明隱私風險評估與理想標準風險趨于反向狀態，即處于隱私評估的“高風險”。進一步而言，“一階同偏聯系數勢”表明隱私風險評估與理想標準風險趨于低風險發展趨勢，繼續發展仍然處于低風險發展趨勢；“一階均偏聯系數勢”表明隱私風險評估與理想標準風險趨于中間風險發展趨勢，繼續發展仍然處于中間風險發展趨勢；“一階反偏聯系數勢”表明隱私風險評估與理想標準風險趨于高風險發展趨勢，繼續發展仍然處于高風險發展趨勢。二階和三階偏聯系數勢的同、均、反偏聯系數含義與一階偏聯系數勢類似，反映了上一階發展趨勢進一步繼續發展以后風險趨勢的變化。

3.1.3 記分函數與精確函數

定義8五元聯系數μ的記分函數為：

其對應的一階、二階、三階偏聯系數記分函數分別為：

定義9五元聯系數μ的精確函數為：

其對應的一階、二階、三階偏聯系數精確函數分別為：

在隱私風險評估中，記分函數S(μ)和精確函數H(μ)相當于數理統計中的均值和方差[20]，記分函數越大，隱私潛在風險越高；記分函數越小，隱私潛在風險越低。當記分函數相同時，精確函數越大，隱私潛在風險越高；精確函數越小，隱私潛在風險越低。因此，利用記分函數和精確函數可以對隱私潛在風險進行等級排序評估和預測分析。表2給出了9標度語義與記分函數的關系。

表2 9標度語義與記分函數關系

3.2 最小二偏賦權

權重是隱私風險評估中對各待評指標影響程度的反映和體現，權重系數的確定直接決定評估結果的優劣。權重的確定方法主要有三類[13]：主觀賦權法、客觀賦權法和綜合賦權法。主觀賦權通常根據決策者的經驗方法進行給定，評估的科學性和有效性很大程度上受到主觀人為因素和個人偏好程度的影響。客觀賦權根據待評估指標信息計算權重系數，但有時客觀賦權過于強調計算而脫離實際，無法給出合理的解釋。綜合賦權是將各種賦權方法根據實際問題結合的一種方法。本文結合主觀賦權和客觀賦權的方法，提出一種五元偏聯系數勢的最小二偏賦權方法。

對隱私風險屬性Gi，其r階偏聯系數勢矩陣為：

對于兩個不同的r階偏聯系數勢矩陣其偏差用ω)表示：

式（22）只是權重重要程度相同時的情況，但在多數情況下，隱私風險指標的權重重要程度是不同的。在不同權重向量Wi=(w1i,w2i,…,wmi)T構成的評估指標中，為了評估結果的合理，構建最小二偏函數：

為了求解式（23），建立如下最小二偏目標函數：

構造Lagrange函數對式（24）進行求解，最后得到一般的最小h偏賦權公式：

在實際問題中，通常采用二偏賦權(h=2)求權重即可。

4 應用分析

根據表1構建的隱私風險評估指標體系，由專家對隱私風險資產、隱私風險威脅和隱私風險脆弱性等指標給出如表3所示的評估意見。

隱私風險評估的步驟如下：

步驟1計算隱私風險指標的權重。將表3中定性的隱私風險指標轉化為對應的偏聯系數勢矩陣，結合式（21）～（25）計算得到各風險指標的權重為：

表3 隱私風險評估表

步驟2隱私風險態勢計算分析。根據式（3）～（20）計算結果如表4所示。

對表4分析可知：在三級指標中，除了數據隔離T12、網絡監控T42、身份驗證T52，規章制度T81的態勢為“反勢”外，其他指標的態勢均為“同勢”。整個三級指標中的隱私風險態勢基本處于“同勢”級別，這表明系統處于隱私泄露的低風險狀態。如果要提高防范，可以考慮從上述四個“反勢”指標著手處理。

為了對相同級別的態勢進行有效區分，采用聯系數勢值、記分函數和精確度函數反映各態勢的變化情況。勢值越大，隱私風險越小；勢值越小，隱私風險越大。一般情況下，當勢值大于1時，隱私風險處于安全狀態，可以不考慮防范處理；當勢值等于1時，隱私風險處于臨界狀態，隱私安全需要進一步觀察分析；當勢值小于1時，隱私風險處于危險狀態，必須考慮采取防范手段進行處理。當勢值相同時，采用記分函數和精確函數進一步區分。同勢值記分函數值越大，隱私風險越小，反之亦然。當勢值和記分函數均相同時，通過精確函數來區分態勢大小，此時精確函數值越大，隱私風險就越小；反之，精確函數值越小，隱私風險就越大。

進一步分析隱私系統的風險發展趨勢，從表4中得知：在一階潛在發展趨勢上，各隱私趨勢走向狀態為“提

高”，風險態勢均處于“同勢”，這表明隱私系統風險情況良好，而且最小同勢值為5.208（惡意攻擊T41），其值大于1，隱私風險處于安全狀態，因此不需要考慮防范處理風險問題。

表4 隱私風險計算結果

續表4

對二階潛在發展趨勢分析可知：數據保密T14、數據備份T21、數據銷毀T22、風險識別T32、惡意攻擊T41、漏洞處理T43、內部人員T51、操作失誤T53、法律遵守T62、服務鎖定T71、訪問控制T72、隱私處理T82等指標趨勢走向為“下降”。這表明隱私系統的風險由上一層良好狀態開始逐漸減弱。而且除惡意攻擊T41的勢態保持“同勢”外，其余均為“反勢”，且勢態值均小于1，說明隱私系統的風險處于危險狀態。因此對惡意攻擊T41進行關注而不采取保護措施，對其他指標進行保護。保護的優先級別根據勢值大小進行，由高到低依次為：漏洞處理T43、服務鎖定T71（勢值0.916）→數據銷毀T22（勢值0.875）→數據備份T21（勢值0.851）→風險識別T32（勢值0.850）→數據保密T14、訪問控制T72、隱私處理T82（勢值0.775）→內部人員 T51、操作失誤 T53、法律遵守T62（勢值0.626）。

對三階潛在發展趨勢分析可知：漏洞處理T43、內部人員T51、操作失誤T53、法律遵守T62、服務鎖定T71、規章制度T81趨勢走向為“提升”，表明這些指標的隱私風險由上一層狀態開始逐漸增強。雖然狀態有所好轉，但內部人員T51、操作失誤T53、法律遵守T62態勢為“反勢”，說明趨勢好轉的同時這些指標處于危險狀態，仍需對這些指標采取保護措施。而漏洞處理T43、服務鎖定T71、規章制度T81的態勢為“同態”，處于安全狀態，可以關注但無需保護。

通過對上述態勢、勢值、記分函數、精確函數的計算和分析，說明本文提出的隱私風險態勢評估方法能夠科學有效地對風險指標和趨向變化進行動態預測，大大降低了隱私風險的發生。

5 結束語

本文針對隱私保護風險評估問題，采用集對分析五元偏聯系數中的勢值、記分函數、精確函數和態勢概念及賦權理論，建立了一種最小二偏賦權的五元聯系數隱私風險評估方法。該方法能夠較好地對隱私風險評估指標進行動態描述，消除了隱私風險評估過程中隨機、模糊、不確定等因素的干擾和影響。本文研究中采用加權平均值方法對風險指標進行處理，在完全未知的條件下對權重信息進行隱私風險評估模型的建立和求解，這給實際問題的解決帶來一定局限性。如何建立多指標情況下的權重不完全問題的求解，是下一步研究的重點。

：

[1]王元卓，范樂君，程學旗.隱私數據泄露行為分析-模型、工具與案例[M].北京：清華大學出版社，2014.

[2]晏燕，郝曉弘，王萬軍.一種隱私保護度量的集對分析方法[J].武漢大學學報：工學版，2015，48（6）：884-891.

[3]方濱興，賈焰，李愛.大數據隱私保護技術綜述[J].大數據，2016（1）：1-18.

[4]王璐，孟小峰.位置大數據隱私保護研究綜述[J].軟件學報，2014，25（4）：693-712.

[5]Jiang Qi，Khurram K M，Lu Xiang.A privacy preserving three-factor authentication protocol for e-health clouds[J].Journal of Supercomputing，2016，72（10）：3826-3849.

[6]Kairouz P，Oh S，Viswanath P.The composition theorem for differential privacy[J].Computer Science，2015：1376-1385.

[7]Seidl D E，Jankowski P，Tsou M H.Privacy and spatial pattern preservation in masked GPS trajectory data[J].International Journal of Geographical Information Science，2016，30（4）：785-800.

[8]Soohyung K，Hyukki L，Dohn C Y.Privacy-preserving data cube for electronic medical records：an experimental evaluation[J].International Journal of Medical Informatics，2017，97：33-42.

[9]吳曉平，付鈺.信息系統安全風險評估理論與方法[M].北京：科學出版社，2011.

[10]付鈺，吳曉平，葉清，等.基于模糊集與熵權理論的信息系統安全風險評估研究[J].電子學報，2010，38（7）：1489-1494.

[11]Saripalli P，Walters B.QUIRC：a quantitative impact and risk assessment framework for cloud security[C]//IEEE International Conference on Cloud Computing，2010.

[12]任丹丹，杜素果.一種基于攻擊樹的VANET位置隱私安全風險評估的新方法[J].計算機應用研究，2011，28（2）：728-731.

[13]張秋瑾.云計算隱私安全風險評估[D].昆明：云南大學，2015.

[14]Wang H，Liu F，Liu H.A method of the cloud computing security management risk assessment[M]//Advances in computer science and engineering.[S.l.]：Springer，2012：609-618.

[15]施志堅，王華偉，王祥.基于多元聯系數集對分析的航空維修風險態勢評估[J].系統工程與電子技術，2016，38（3）：588-593.

[16]趙克勤.集對分析及其初步應用[M].杭州：浙江科學技術出版社，2000.

[17]王萬軍.一種基于集對決策的偏聯系數方法[J].甘肅聯合大學學報：自然科學版，2009，23（3）：43-45.

[18]ITSEC.Information technology security evaluation criteria，version1.2[S].Office for Official Publications of the European Communities，1991-06.

[19]吳亭.五元聯系數在學生成績發展趨勢分析中的應用[J].數學的實踐與認識，2009，39（5）：53-59.

[20]徐澤水.直覺模糊信息集成理論及應用[M].北京：科學出版社，2008.