基于改進D-S證據理論的信息系統風險評估的研究

張慶濤 張 涵 李重陽 田 源 李 劍

1(山東高速建設管理集團有限公司 濟南 250098)

2(北京郵電大學人工智能學院 北京 100876)

(15069197336@163.com)

當今計算機技術和互聯網技術迅猛發展，人們對各種信息系統的需求也越來越高.同時，信息系統面臨的威脅也在逐漸增長，攻擊行為逐漸增多，并且呈現出復雜化、規模化的特點.除了信息系統自身的缺陷，木馬攻擊、網絡攻擊、惡意代碼攻擊等都嚴重威脅著信息系統的安全，甚至可能導致信息系統出現嚴重的隱私信息泄露和系統癱瘓的問題，從而造成巨大的損失.日益嚴峻的安全問題使人們不得不重視信息系統的安全風險評估問題，這也是順應信息系統安全防護需求而產生的研究熱點.傳統的針對出現問題再采取措施的方法過于盲目和被動，而在問題發生之前，提前對整個系統存在的風險進行評估，包括資產分析、威脅分析和脆弱性分析，能有效地預知系統的安全問題，進而采取一定的措施，實行對整個信息系統的安全管理.

在對信息系統安全風險評估的過程中，面臨最大的問題就是存在大量的不確定性，各項風險指標難以嚴格的量化.在以往的研究方法中，有層次分析法、故障樹分析法、模糊綜合評判法等，但這些方法都對數據集有一部分定量分析的需求，因此很難在充滿不確定性的信息安全系統中直接使用.所以有研究人員[1]提出將D-S(Dempster-Shafer)證據理論向模糊集推廣，利用模糊集的隸屬函數構造證據理論中的基本賦值函數的方法，成功實現了證據理論和模糊理論的結合.

如何正確構造隸屬度函數是模糊數學理論中關鍵問題之一，并且運用這種方法構造出的基本賦值函數存在一個不可忽視的問題，那就是證據之間的沖突.證據之間的沖突，不僅影響基本賦值函數的準確性，也增加了整個系統的不確定性.

本文提出了一種基于D-S證據理論的改進方法，通過引入“集中率”的概念，成功地降低了不同風險項之間的證據沖突，并使后續證據之間的合成結果中的不確定性降低，確定性提高，充分體現了D-S證據理論的優勢，從而在充滿模糊性、隨機性的信息安全系統中，使評估結果更加準確.

1 D-S證據理論

1.1 證據理論相關定義

D-S證據理論適用于多源和不確定信息的融合[2]，能夠處理大量不確定信息和復雜信息，將其轉化為確定的決策結果.最早由Dempster提出，后來Shafer在其合成規則的基礎上完善建立.

定義1.基本概率賦值函數.設Θ為識別框架，若函數m:2θ→[0,1]滿足

m(Φ)=0,∑m(A)=0,

那么把m稱為識別框架Θ上的基本可信度分配函數(BPA)，該函數是確切地分配到A上的概率大小，即可以反映對A的精確信任程度.

定義2.信任函數.設Θ為識別框架，函數m:2θ→[0,1]為Θ上的基本可信度分配函數，如果函數滿足

Bel(A)=∑m(A) (?A?Θ),

那么稱函數Bel(A)為Θ信任函數，表示對A的總信任.

定義3.似然函數.設Θ為識別框架，Bel為信任函數，定義函數：

則稱Pl(A)為似然函數，表示不否定A的信任度，是所有與A相交集合的基本可信度之和，[Bel(A),Pl(A)]即為命題A的信任區間.

1.2 改進的合成方法

在不同的證據之間往往存在沖突，因此常用的做法是給證據集引入權重，設證據集為E={E1,E2,…,En}，證據Ei的權重系數則為wi，因此所有證據的權重系數組成的權重向量為W=(w1,w2,…,wn)，并且權重系數滿足wi∈[0,1),∑w=1，在證據合成過程中，權重系數能反映其重要程度.

為了進一步減小證據的沖突，有些方法引入“折扣率”的概念，即證據的基本可信度的“折扣率”αi(0≤αi≤1),(1-αi)=w/wmax,i=1,2,…,n,利用“折扣率”計算證據的基本可信度可進一步減少證據之間的沖突，并且隨著證據的融合，可以一步步減小不確定因素的值.

基于減小證據間沖突以及減小不確定因素的思路，本文提出了一種新的改進合成方法，目的是進一步緩解以前方法中權重出現偏離時對最終結果產生的不良影響.

“集中率”作為一種新的方法用來調整各識別框架內的所有命題的基本可信度，定義如下：

因此，調整后的基本可信度分配函數為

其中γ表示縮放參數，本文取0.25.

最后，將各證據的所有命題調整后的基本可信度帶入到合成公式中即為新的證據合成公式.

2 信息安全風險評估模型

2.1 信息安全風險評估相關背景

信息系統的安全風險，主要來源于系統外部威脅以及系統自身存在的脆弱性.對信息系統安全的風險評估，是指依據國家有關信息安全的技術標準，對信息系統及其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程.對信息系統的安全風險評估，就是利用信息系統面臨的威脅及脆弱性的威脅源泉，評價安全事件發生的可能性，并結合資產的重要性識別信息系統的安全風險.從風險管理的角度，對信息系統的安全風險進行評估，運用科學的手段全面系統地進行分析，達到防范風險和化解風險的目的，將風險控制在可接受的水平內，從而最大限度地保護網絡與信息安全[3].

在評估模型中，有價值的信息或者資源被稱為資產.漏洞，就是指信息安全系統本身的脆弱性造成的弱點.對系統能產生危害的潛在原因稱為威脅.

在信息系統安全風險評估中，工具起到了非常重要的作用，例如自動化的工具可以使分析人員從繁重的分析任務中解放出來，并且使某些專家的知識與經驗被廣泛使用.例如漏洞掃描工具就是風險評估中比較基礎的工具之一，對于系統自身代碼方面的錯誤還可以利用各種黑盒白盒的手段進行靜態或者動態的測試.對于風險評估的工具還沒有確切的定義，目前普遍認可的是至少應該包括管理工具、脆弱性滲透工具和評估輔助工具.

2.2 信息安全風險評估的實施流程

信息安全系統的風險評估流程主要包括風險評估的準備、風險識別和實施風險管理3大部分.其中：在評估準備階段，主要針對信息安全系統面臨的脆弱性和威脅2大問題，進行資產識別、威脅識別以及脆弱性識別[4]；在風險識別階段，主要計算各類風險問題發生的概率，然后綜合起來作為整個信息安全系統的風險度量，由此結合其他方面的信息，判斷當前系統的風險是否可被接受，從而制定更新控制措施或者保持已有安全措施的計劃；在風險管理階段，主要是對上一步制定的措施進行實施與協調管理，同時對處理風險的過程進行歸檔記錄.整體的流程如圖1所示：

圖1 風險評估實施流程圖

2.3 信息安全風險評估模型

根據圖1的風險評估實施流程，以及信息系統風險評估的特點，構建信息系統層級模型，主要包括威脅與脆弱性.其中威脅包括信息被刪或丟失、網絡資源被破壞、服務中斷或禁止、信息泄露、信息濫用或篡改.脆弱性包括軟硬件漏洞、網絡安全性、環境安全、人員與組織.如圖2所示，從下到上分為3層，依次是指標層、準則層和目標層[5].

圖2 信息安全風險評估層級模型

本文用證據理論對信息系統進行安全風險評估，具體的分析如下：

設識別框架Θ為整個層級模型的指標狀態集，整個系統的綜合風險有2個評估因素，即威脅評估和脆弱性評估，即A={a1,a2}，對應的權重為W=(w1,w2).

其中威脅評估又可分為5個因素，也有相應的權重.設定模型的評語集為Xh={x1,x2,x3,x4,x5}，分別對應風險很低、風險低、風險中、風險高、風險很高[6]，其中h表示層級模型中的1個指標.

對于風險出現時對整個系統的危害程度，設定專家評語集P(Xh)={p(x1),p(x2),…,p(x5)}，表示專家對于評語集的危害程度的評估[7].

圖6為高氣體密度下氣流馬赫數對表面波增長率的影響。與圖 5a比較，高氣體密度下隨著氣流馬赫數的增大，表面波增長率增大的幅度在逐漸擴大。說明在高氣體密度下，高馬赫數對液膜的不穩定性影響更大。

風險模型的可信度β由改進后的合成規則計算而來，而整個模型的最終風險由下式計算：

R=∑P(Xh)β.

3 實證分析

以圖2層級模型的信息系統安全風險評估為例，使用模糊評語集和專家評語集來表示可信度，并使用本文提出的改進證據合成方法.具體流程如下：

步驟1. 對于指標層的各項，確定權重，并且確定關于評語集的基本可信度分配mij(Xh)，風險事件的BPA由Delphi法確定，并且可用AHP法得到各個時間的權重，其中Θ表示不確定性.如表1所示:

表1 權值和基本可信度分配表

步驟2. 采用本文提出的“集中率”方法，重新對基本可信度分配值進行計算，證據間沖突的減小，可以由Θ增大來體現.如表2所示.

表2 改進后可信度分配表

步驟3. 利用證據間的合成公式，依次對mij(Xh)進行數據合成，值得注意的是，合成步驟必須兩兩合成，依次合成，不能多個風險項一次性合成.可得指標層的結果如表3所示.同理，可得準則層的合成結果如表4所示.

表3 指標層合成

表4 準則層合成

步驟4. 用風險計算公式計算整個信息系統的安全風險系數.設P(Xh)={P(x1),P(x2),P(x3),P(x4),P(x5)}={0.15,0.35,0.55,0.75,0.95}，則整個信息系統的安全風險為R=0.15×0.02+0.35×0.19+0.55×0.62+0.75×0.14+0.95×0.03=0.544.

由表1和表2可以看出，本文提出的“集中率”新方法成功降低了證據間的沖突，Θ也隨之增大.由表3可以看出，根據證據理論合成之后，不確定性開始減小，基本可信度值主要集中在評語集的中間部分.由表4可以看出，該信息系統存在很低風險的可信度為0.02，存在低風險的可信度為0.19，中等風險存在的可信度為0.62，高風險存在的可信度為0.14，很高風險存在的可信度為0.03，而整個系統的不確定性為0.由表3到表4的變化可以看出，經過D-S證據理論的合成法則之后，原本較低的概率賦值會更低，而較高的BPA會變得更高，并且整個系統的不確定性會變為0.這充分說明D-S證據理論可以消除整個系統風險評估中的不確定性，將其轉化為確定的決策結果.

4 結束語

在整個信息系統的安全風險評估中存在大量的不確定性，以往傳統方法面臨的難點主要是數據的不確定性，并且對于風險評估的數據，風險評估專家對于不同風險項的個人評估各不相同，由此造成了風險評估結果的差異.因此，本文將D-S證據理論與信息系統安全風險評估結合起來，并且提出了“集中率”的概念，運用改進Dempster合成方法，不僅減少了證據之間的沖突，還進一步減小了不同權重證據之間的不平衡性，成功地提高了安全風險評估的準確性，減小了評估的不確定性.不過，在一個信息系統中，不同風險項之間可能會有一定的關聯，即它們之間并不是完全獨立的，因此單純的證據理論在應用中還有一定的局限性.如何對該方法改進使之能更好地適應信息安全系統的風險評估，是未來的研究方向之一.