在以往基于贝叶斯网络的信息系统安全风险评估方法的基础上,针对以往评估主观性较强的问题,采用熵权法对各个信息安全风险要素计算熵值,熵值越大,表明该因素所获得的数据不够全面,在整个评价体系中作用也越小,信息安全风险要素对风险评估的不确定性就越大,并以此来确定该因素的权重。这样在最终进行风险值计算时,各个因素的权重体现了其影响的大小,减小了主观偏差引起的结果不准确,使得最终信息安全风险评估的结果更为客观准确。息安全风险评估的结果更为客观准确。
【技术实现步骤摘要】
一种基于改进贝叶斯网络的信息系统安全风险评估方法
[0001]本专利技术涉及一种基于改进贝叶斯网络的信息系统安全风险评估方法,通过使用熵权法确定各个指标权重,避免了专家赋值确定权重时主观性较强的问题,进行信息风险评估,使得信息安全风险评估的结果更加客观合理。
技术介绍
[0002]随着计算机和信息技术的发展,特别是基于Internet的信息产业的发展,Internet上的信息安全变得越来越重要。在不同的设备和组织之间共享信息和资源,极大的提高了效率,但是这同时也给网络攻击提供了机会,非法入侵者和黑客已针对系统安全缺陷进行攻击。信息系统的安全性也一直都是人们关注的焦点。术语入侵可以定义为试图入侵系统并违反诸如完整性、可用性、机密性或系统中服务质量之类的各个方面。组织采取了许多预防措施来保护网络系统、计算机和敏感数据免遭入侵,例如使用密码的用户身份验证、防火墙或严格的访问控制机制。但是这些保护措施并不能做到完全可靠的保护,因为它们无法检测到来自内部员工的复杂攻击和网络攻击,例如缓冲区溢出攻击,这些攻击利用了应用程序中的弱点并给安全性带来了巨大的威胁。
[0003]网络安全问题在每个国家,特别是在军事需求中都已引起高度关注。利用网络安全系统进行评估的优势是系统精度要求宽泛。模糊集理论和模糊逻辑已经成为定量表示和处理选择中的非精确性的有效方法。模糊集或模糊数可以适当地表示不精确的参数,并且可以通过模糊集或模糊数的不同操作来操纵。计算机网络安全综合评估模型是一个群体决策问题。小组决策(即多专家)是一种典型的决策活动,利用该专家可以缓解由于问题的复杂性和不确定性而导致的一些决策困难。群体决策问题通常遵循由两个阶段组成的通用解决方案:聚集阶段和开发阶段。目前已经有研究人员开发出了许多聚合算子和方法来解决具有语言信息的群体决策问题。
[0004]贝叶斯算法反映了一个简单的条件独立性声明,也就是说,在给定其父状态的情况下,每个变量都独立于图中的非后代节点。此属性用于减少(有时会大大减少)表征变量JPD所需的参数数量。这种算法提供了一种计算后验概率的有效方法。有效的决策和网络信息安全风险评估是解决信息系统安全问题的有效方法之一,信息安全评估是将风险评估的理论和方法应用于信息系统。包括故障树分析、层次分析法和模糊综合评价。信息安全评估已被安全评估人员使用。通过评估,人们可以发现信息安全中存在的问题和矛盾,以及同时解决这些问题的方法和措施。因此,信息安全评估对提高信息系统的安全性具有重要意义。但是到目前为止,还不能避免主观因素在评估过程中对评估结果的影响。
技术实现思路
[0005]提出了一种基于改进贝叶斯网络的信息系统安全风险评估方法,针对以往评估主观性较强的问题,采用熵权法进行权重向量的计算,减小主观偏差引起的结果不准确,使得最终信息安全风险评估的结果更为客观准确。
附图说明
图1为本申请实例提供的信息系统安全风险评估方法的流程示意图。
具体实施方式
[0006]1.信息安全风险的计算模型
[0007]模型中风险计算主要是针对三要素,即资产、威胁、脆弱性进行识别、评估以及风险分析的过程,是将风险分析计算风险值这一过程进行抽象得到的。
[0008][0009][0010]图1为风险评估流程,模型中系统的风险要素主要为威胁、脆弱性以及资产。可将其原理描述为:
[0011]R=f(A,T,V)
[0012]其中,R表示风险值,f为安全风险计算函数,资产、威胁和脆弱性分别用A、T、V表示。在对风险值进行计算时,主要步骤为:
[0013](1)分别对资产价值、威胁发生可能性、脆弱性严重程度进行识别分析并赋值;
[0014](2)综合威胁与脆弱性的分析结果,对信息系统可能发生安全事件的概率进行分析并计算;
[0015](3)综合资产价值与脆弱性的分析结果,对一旦发生安全事件后信息系统所造成的损失进行分析并计算:
[0016](4)结合上述可能发生安全事件的可能性以及发生后的潜在损失,进行运算最终得到风险值。
[0017]2.熵权理论
[0018]定义:系统有n种不同的状态:S1,S2,
…
,S
n
,P
i
表示系统处于S
i
状态的概率,H表示系统的有序程度,且系统风险状态不确定性的熵函数为:当熵满足以下3个条件:
[0019][0020]H(P1,P2,...,P
n
)=H(P1,P2,...,P
n
,0)
[0021]H(AB)=H(A)H(B/A)
[0022]则
[0023]风险因素的相对重要程度的熵的度量公式为:
[0024][0025]由熵权理论中的可知P
i
值越小,熵值越大,表明该因素所获得的数据不够全面,在整个评价体系中作用也越小,信息安全风险要素对风险评估的不确定性就越大;反之,P
i
越大,则熵值越小,表明此时消除不确定性所需的信息量越少,系统也越有序,该因素在评估中所起的作用也越大。据此,可以根据风险要素对评判集中支持程度P
ij
计算权重。当P
ij
相等时,熵最大,H
max
=1nm,利用H
max
对公式做归一化处理,得到风
险要素的相对重要程度程度熵值公式:
[0026][0027]当P
ij
取值相等时,e
i
最大值为1。当熵值最大时,风险要素对信息安全风险评估的贡献最小。此时风险要素对信息安全要素的权可用1
‑
e
i
度量,归一化后得到风险要素的权值公式为:
[0028][0029]其中0≤φ
i
≤1,e
i
达到最大值1时,熵权为0。p
ij
越大,熵值越小而熵权越大,则该风险因素对综合风险评估越重要。
[0030]3.安全风险评估值
[0031]通过上述理论算法,计算求得资产影响为R
a
,威胁频度为R
t
,脆弱性程度为R
v
,依据权值计算各风险要素的综合风险值
[0032]R=f(A,T,V)=k1R
a
+k2R
t
+k3R
v
[0033]其中k1,k2,k3为各要素的相对重要程度,且k1+k2+k3=1。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.在以往基于贝叶斯网络的信息系统安全风险评估方法的基础上,针对以往评估主观性较强的问题,采用熵权法进行...
【专利技术属性】
技术研发人员:侯福金,于旻,刘群,魏静,田源,李剑,
申请(专利权)人:山东高速建设管理集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。