一種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于層次分析法的系統(tǒng)信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，主要包括如下步驟：明確問(wèn)題，對(duì)信息安全評(píng)估任務(wù)進(jìn)行分析，根據(jù)層次分析法原理建立信息安全評(píng)估層次分析法指標(biāo)體系，構(gòu)建信息安全評(píng)估層次分析法模型；將層次分析法模型中的指標(biāo)體系轉(zhuǎn)化為信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型的網(wǎng)絡(luò)結(jié)構(gòu)，用網(wǎng)絡(luò)結(jié)構(gòu)表達(dá)指標(biāo)體系中各層元素及其關(guān)聯(lián)關(guān)系；根據(jù)層次分析法模型中各指標(biāo)權(quán)重參數(shù)計(jì)算信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型中節(jié)點(diǎn)的條件概率；基于貝葉斯定理對(duì)信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型進(jìn)行推理分析，找出信息安全的潛在威脅與薄弱環(huán)節(jié)。本發(fā)明利用貝葉斯網(wǎng)絡(luò)基于概率不確定性推理的特點(diǎn)提高了分析過(guò)程的準(zhǔn)確性。
【專(zhuān)利說(shuō)明】一種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法 【技術(shù)領(lǐng)域】
[〇〇〇1] 本發(fā)明專(zhuān)利涉及一種信息安全評(píng)估方法，具體涉及一種基于層次分析法的信息安 全貝葉斯網(wǎng)絡(luò)評(píng)估方法。 【背景技術(shù)】
[0002] 信息安全評(píng)估的最終目標(biāo)是為了正確的實(shí)施管理和控制，保證組織信息的安全。 因此，在評(píng)估之前，選擇合適的正確的評(píng)估過(guò)程中所使用的方法具有重要的意義，評(píng)估方法 的選擇會(huì)影響評(píng)估結(jié)果的準(zhǔn)確性。在多種信息安全評(píng)估方法中選擇適用方法的一個(gè)重要準(zhǔn) 則就是盡量使評(píng)估過(guò)程客觀化。目前，常用的信息安全評(píng)估方法是對(duì)信息安全進(jìn)行定性的 或定量的評(píng)估。定性評(píng)估是依據(jù)分析對(duì)象的狀態(tài)和信息進(jìn)行性質(zhì)、特點(diǎn)、發(fā)展變化規(guī)律分 析，用描述性語(yǔ)言來(lái)描述評(píng)估結(jié)果，如"極可能發(fā)生"、"可能發(fā)生"等。其優(yōu)點(diǎn)是花費(fèi)的時(shí)間、 人力和費(fèi)用較少，缺點(diǎn)是不夠精確。定量評(píng)估是一種相對(duì)精確的評(píng)估方法，通常以數(shù)學(xué)形式 來(lái)描述，其缺點(diǎn)是花費(fèi)的成本相對(duì)較高。
[0003] 文獻(xiàn)1 "趙冬梅，張玉清，馬建峰.網(wǎng)絡(luò)安全的綜合風(fēng)險(xiǎn)評(píng)估，計(jì)算機(jī)科學(xué)，2004， 31(7) :66-69. "公開(kāi)了一種綜合的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估方法，該方法采用將層次分析法 (Analytical Hierarchy Process)與模糊邏輯算法相結(jié)合的方法進(jìn)行風(fēng)險(xiǎn)評(píng)估。這種基于 模型的評(píng)估方法雖然能夠?qū)φ麄€(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行有效的安全評(píng)估，但該方評(píng)估模型結(jié) 構(gòu)過(guò)于復(fù)雜，評(píng)估結(jié)果計(jì)算效率低。
[0004] 貝葉斯網(wǎng)絡(luò)（Bayesian Network)是為了處理人工智能研究中的不確定性問(wèn)題而 發(fā)展起來(lái)的。目前，貝葉斯網(wǎng)絡(luò)已廣泛應(yīng)用于各領(lǐng)域，用于表達(dá)和分析不確定性和概率性事 件，用于有條件地依賴(lài)多種控制因素的決策，可以從不完全、不精確或不確定的知識(shí)或信息 中做出推理。通過(guò)貝葉斯網(wǎng)絡(luò)可以得到各組成部分對(duì)系統(tǒng)的影響程度，進(jìn)而找出系統(tǒng)的薄 弱環(huán)節(jié)，更適合于可靠性評(píng)估任務(wù)。因此，信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法對(duì)互聯(lián)網(wǎng)有著重要 的意義。
【發(fā)明內(nèi)容】

[〇〇〇5] 為了解決上述問(wèn)題，并實(shí)現(xiàn)上述有益效果，本發(fā)明公開(kāi)了一種基于層次分析發(fā)的 信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，具體方式如下：
[0006] -種基于層次分析發(fā)的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，其特征在于，主要包括如 下步驟：
[0007] S1 :明確問(wèn)題，對(duì)信息安全評(píng)估任務(wù)進(jìn)行分析，根據(jù)層次分析法原理建立信息安全 評(píng)估層次分析法指標(biāo)體系，分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層，并基于指標(biāo)體系計(jì)算相應(yīng)指標(biāo)權(quán) 重參數(shù)，構(gòu)建信息安全評(píng)估層次分析法模型；
[0008] S2:將層次分析法模型中的指標(biāo)體系轉(zhuǎn)化為信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型的網(wǎng)絡(luò) 結(jié)構(gòu)，用網(wǎng)絡(luò)結(jié)構(gòu)表達(dá)指標(biāo)體系中各層元素及其關(guān)聯(lián)關(guān)系；
[0009] S3:根據(jù)層次分析法模型中各指標(biāo)權(quán)重參數(shù)計(jì)算信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型中 節(jié)點(diǎn)的條件概率；
[〇〇1〇] S4 :基于貝葉斯定理對(duì)信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型進(jìn)行推理分析，找出信息安 全的潛在威脅與薄弱環(huán)節(jié)。
[〇〇11] 作為優(yōu)選方式，所述目標(biāo)層為表示保證系統(tǒng)信息安全。
[〇〇12] 作為優(yōu)選方式，所述準(zhǔn)則層包括三大屬性，即保密性、完成性和可用性；保密性是 指保證信息不被未授權(quán)的用戶(hù)、實(shí)體或進(jìn)程使用；完整性是指保證信息在傳輸過(guò)程中不被 未授權(quán)者在偶然或惡意的環(huán)境下進(jìn)行修改、刪除、偽造、插入等破壞；可用性是指保證被授 權(quán)者在需要時(shí)可以即時(shí)訪問(wèn)信息及系統(tǒng)資源和服務(wù)。
[0013] 作為優(yōu)選方式，所述指標(biāo)層組成元素為存在性、存取性、可理解性、人力資源安全 性、物理和環(huán)境安全性、篡改、創(chuàng)建、重放、人員的可靠性和硬件的可靠性。
[0014] 有益效果
[〇〇15] 發(fā)明的基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法與現(xiàn)有技術(shù)相比，具有以 下效果：本發(fā)明不僅具有層次分析法將決策者的主觀判斷與政策經(jīng)驗(yàn)導(dǎo)入模型并加以量 化處理的優(yōu)點(diǎn)，而且利用貝葉斯網(wǎng)絡(luò)基于概率不確定性推理的特點(diǎn)提高了分析過(guò)程的準(zhǔn)確 性。利用貝葉斯網(wǎng)絡(luò)推理得到指標(biāo)層元素對(duì)目標(biāo)層元素的影響程度，可以直觀清晰的得出 各指標(biāo)層元素對(duì)信息安全影響程度的大小，進(jìn)而找出系統(tǒng)潛在安全威脅及薄弱環(huán)節(jié)，有針 對(duì)性的開(kāi)展信息安全防護(hù)。 【專(zhuān)利附圖】

【附圖說(shuō)明】
[0016] 下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步說(shuō)明。
[0017] 圖1為本發(fā)明所述信息安全評(píng)估層次分析法模型指標(biāo)體系；
[0018] 圖2為本發(fā)明所述信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型網(wǎng)絡(luò)結(jié)構(gòu)。 【具體實(shí)施方式】
[0019] 下面結(jié)合說(shuō)明書(shū)附圖，對(duì)本發(fā)明進(jìn)行進(jìn)一步解釋?zhuān)?br> [0020] -種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，主要包括如下步驟：
[0021] S1 :信息安全評(píng)估層次分析法模型建立
[0022] (1)建立如圖1所示的信息安全評(píng)估層次模型指標(biāo)體系，指標(biāo)體系共分為三個(gè)層 次，分別為目標(biāo)層、準(zhǔn)則層和指標(biāo)層；所述指標(biāo)層組成元素為存在性、存取性、可理解性、人 力資源安全性、物理和環(huán)境安全性、篡改、創(chuàng)建、重放、人員的可靠性和硬件的可靠性，將體 系中的指標(biāo)層（即最底層）元素作為輸入節(jié)點(diǎn)，將目標(biāo)層（即最高層）元素作為輸出節(jié)點(diǎn)。
[0023] (3)建立判斷矩陣，判斷矩陣是以上一級(jí)的某元素作為評(píng)估準(zhǔn)則，對(duì)本級(jí)的元素進(jìn) 行兩兩比較確定矩陣元素，如表1、表4、表3、表4所示。
[0024] 表1元素附1判斷矩陣
[0025]
【權(quán)利要求】
1. 一種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，其特征在于，主要包括如下 步驟： S1 :明確問(wèn)題，對(duì)信息安全評(píng)估任務(wù)進(jìn)行分析，根據(jù)層次分析法原理建立信息安全評(píng)估 層次分析法指標(biāo)體系，分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層，并基于指標(biāo)體系計(jì)算相應(yīng)指標(biāo)權(quán)重參 數(shù)，構(gòu)建信息安全評(píng)估層次分析法模型； S2:將層次分析法模型中的指標(biāo)體系轉(zhuǎn)化為信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型的網(wǎng)絡(luò)結(jié) 構(gòu)，用網(wǎng)絡(luò)結(jié)構(gòu)表達(dá)指標(biāo)體系中各層元素及其關(guān)聯(lián)關(guān)系； 53 :根據(jù)層次分析法模型中各指標(biāo)權(quán)重參數(shù)計(jì)算信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型中節(jié)點(diǎn) 的條件概率； 54 :基于貝葉斯定理對(duì)信息安全貝葉斯網(wǎng)絡(luò)評(píng)估模型進(jìn)行推理分析，找出信息安全的 潛在威脅與薄弱環(huán)節(jié)。
2. 根據(jù)權(quán)利要求1所述的一種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，其特 征在于：所述準(zhǔn)則層包括三大屬性，即保密性、完成性和可用性；保密性是指保證信息不被 未授權(quán)的用戶(hù)、實(shí)體或進(jìn)程使用；完整性是指保證信息在傳輸過(guò)程中不被未授權(quán)者在偶然 或惡意的環(huán)境下進(jìn)行修改、刪除、偽造、插入等破壞；可用性是指保證被授權(quán)者在需要時(shí)可 以即時(shí)訪問(wèn)信息及系統(tǒng)資源和服務(wù)。
3. 根據(jù)權(quán)利要求1所述的一種基于層次分析法的信息安全貝葉斯網(wǎng)絡(luò)評(píng)估方法，其特 征在于：所述指標(biāo)層組成元素為存在性、存取性、可理解性、人力資源安全性、物理和環(huán)境安 全性、篡改、創(chuàng)建、重放、人員的可靠性和硬件的可靠性。
【文檔編號(hào)】G06Q10/06GK104112181SQ201410267863
【公開(kāi)日】2014年10月22日 申請(qǐng)日期:2014年6月12日 優(yōu)先權(quán)日:2014年6月12日
【發(fā)明者】蔡志強(qiáng), 司偉濤, 司書(shū)賓, 倪夢(mèng)妮, 孫樹(shù)棟, 張帥 申請(qǐng)人:西北工業(yè)大學(xué)