第8卷第1期 信息工程大学学报 Vo1.8 NO.1 2007年3月 Journal of Information Engineering University Mar.2007 基于贝叶斯模型的网络风险动态评估方法 梁 玲,陈庶民,徐孟春,殷石昌 (信息工程大学信息工程学院,河南郑州450002) 摘要:运用贝叶斯理论及方法,建立了网络系统风险的动态评估模型。该评估模型不仅可以评 估网络的总体风险,还可以分别评估各个局部要素可能引起风险的程度。最后的示例表明:本 模型可以有效地实现对实际网络风险问题全面评估。 关键词:网络风险评估;风险因素分析;贝叶斯方法 中图分类号:TP302 文献标识码:A 文章编号:1671—0673(2007)01—0053—03 Methods for Dynamically Evaluating the Risk of Network Based・on Bayesian Model LIANG Ling,CHEN Shu—min,XU Meng—chun,YIN Shi—chang (Institute of Information Engineeing,Information Engineering University,Zhengzhou 450002,China) Abstract:Based on Bayesian theory and concerning approaches,this paper establishes an evaluating model and gives the corresponding method to evaluate dynamically the network risk.The model and method can not only evaluate the risk of the total network,but also evaluate the degree of risks of hte parts in network.Finally,an example is applied to show the process and the effectiveness of the method. Key words:evaluation of network risk;factors analysis for risk;Bayesian method 随着计算机互联网络的广泛使用以及网络攻 贝叶斯模型的网络风险动态评估方法及其实现方 击技术的飞速发展,网络本身的正常运作及网上资 法。 源保护均面临着巨大的风险。网络信息安全体系 建立在对网络风险的评估、控制与管理的基础上, 1 网络风险评估的基本结构与过程 只有有效地评估网络风险,才可能采取适当的措 施,进而较好保证网络的安全运行¨ 。 网络的安全风险状态由系统的脆弱性、外部威 所谓网络系统风险,是指由于系统存在的脆弱 胁以及系统的资产价值3种因素构成。其中,系统 性,人为或自然的威胁导致安全事件发生的可能性 自身的脆弱性是造成系统被攻破的根本原因(内 及其造成的影响 。网络风险评估就是对网络自 因),外部威胁是造成系统被攻破的必要原因(外 身存在的脆弱性状况、外界环境可能导致网络安全 因),系统的资产价值的重要程度则是确定系统出 事件发生的可能性以及可能造成的影响进行系统 现安全事故后可能造成的影响大小的必要指 评价 引。 标 。所以,网络风险是脆弱性、威胁以及资产价 评估过程应该建立在一定的技术手段与评估 值的函数,可以表示为: 模型的基础上。贝叶斯理论与方法是当前国际上 R: V,T,z), 普遍采用的风险评估方法。本文探讨了一种基于 其中,尺代表风险, 代表脆弱性, 代表外界威胁, 收稿日期:2006—11—09 作者简介:粱玲(1962一),女,安徽蚌埠人,信息工程大学副教授,主要研究方向为计算机网络和信息安全。 维普资讯 http://www.cqvip.com
54 信息工程大学学报 2007正 z代表资产价值。对网络风险的评估也就是用这 3个变量来构造一个合适函数,使之可以正确地反 映网络真实的风险状态。 记号: H :风险评估结论1正确的假设,H::风险评估 结论2正确的假设;P(H。):H。成立的概率, 网络系统风险评估的基本结构与一般过程可 以用图1描述。 图1 网络风险评估基本结构与过程图 2 基于贝叶斯模型的网络风险动态 评估方法 2.1基本的贝叶斯模型 乘法公式若在事件 发生的条件下,事件A 发生的条件概率记为P(A I ),且当P( )>0时, P(AIB)= ;当 )=0时,P(AIB):0。 那么,当P(A)>0及P(B)>0时,有乘法公式: P(AnB)=P(AB):P(B)P(AIB): P(A)P(BIA) (1) 全概率公式 如果事件 。, :,…, ,满足 下列条件: ①事件 。, :,…, 互不相容,即事件的交运 算 ‘nB,: ( ≠_『); ②事件 。, :,…, 构成全空间Q,即1= P(Q)=Pf Bi)=∑P(B ),P(B )>0则对任 一事件A,全概率公式为 P(A)= 』_,P(A I B )P(B )。 ’ (2) 贝叶斯公式I 若对于任一事件A,P(A)> 0,全概率公式(2)成立并结合公式(1),则有贝叶 斯公式 P(B I(f I A): A)= 二— (3) ∑P(B )P(A I Bi) 其中,P(A I )称为先验概率,表示“原因”;P( I A)称为后验概率,表示“结果”, =1,…,n。 2.2 基于贝叶斯模型的动态风险评估方法 实际中风险评估结论可以有多个,现假设有两 种可能的风险评估结论:结论1和结论2,给出 P(H:):H:成立的概率;D:新的风险信息;P(H,I D):D出现时,H.成立的概率,P(H:I D):D出现 时,H 成立的概率;P(D I H。):H。成立时,D出现 的概率,P(D I H:):H:成立时,D出现的概率。 按条件概率,借助贝叶斯公式(3),可以得到 当D出现时,假设H。正确的概率为P(H。I D)= P(日.n D) P(D 1日。)P(日。) P(D) 一P(D I H。)P(H。)十P(D I )P( )’ 当D出现时,假设H:正确的概率为P( I D)= P(H2 n D)P(D I )P(H2) P(D)P(D I H。)P(H。)十P(D I )P( ) 评估结论分析 根据上述公式的计算,可以 作出如下分析: 给定上限(阈)值E。和下限(阈)值D ,分别 表示风险评估结论可以接受的最低限和不可以接 受的最高限。记P =P(H I D),P:=P(H:I D)。 那么,①若P。≥D ,P:≥D ,则P。和P:对应的评 估结论H。和H:都有可能被接受,但通过比较P。 和P 的大小,较大者对应的评估结论优先被接受; ②若P。≥D ,P:<Dd,则P。对应的评估结论H1 被接受;③若P。<Dd,P:≥D ,则P:对应的评估 结论H:被接受;④若P。<Dd,P:<Dd,则P 和P2 对应的评估结论H。和H:都不能被接受,需要通过 其它渠道获得更多的相关信息。 上述方法中,可能有多个风险评估结论。 3 基于贝叶斯模型的网络风险评估 算法 假设网络n按其资源分为n个互不重叠的部 分B。,B:,…,B ,每个部分都可能产生风险,且产 生风险的概率分别为P(B ),P(B:),…,P(B )。 那么,有P(B )>0( =1,…,n)且 n st= (i n 。 ≠_『),P(Q)=P( B i:1)=E i—=—1 P(B )=1。 对脆弱性 ,外界威胁 和资产价值z而言,概 率P(VI B。),P(TI ),P(ZI曰 )均可以通过以往 的统计数据 获得,i=1,…,noP(V),P(T)和 P(Z)分别为 , 和Z发生的概率,也可以通过以 往的统计数据获得。 算法(网络风险的动态评估算法) 给定上限 (阈)值E。和下限(阈)值D 。 维普资讯 http://www.cqvip.com
第1期 梁玲等:基于贝叶斯模型的网络风险动态评估方法 55 ①按照数理统计方法,结合以往的统计数据 计算P( ),P( )和P(z),通过2.2中的结论分析 P(R I )P( ) P(R I V)P(V)+P(R I )P(T)+P(R I )P(T) 方法,可以得到网络分别在脆弱性,外界威胁和资 产价值方面发生风险的评估结果。如果出现新的风 0 . 2 0而 × . 03+ . ×4 0等5 . _2 0+ . 4 0× . 5 -0.59。 类似的,由外界威胁引起网络风险的可能性为 P2=P(T l R)= 0 2 0 险事件R,且得知P(R l ),P(R l )和P(R l z), 转②。 ②基本风险评估。分别计算 = . × .3+ .0筹 4 0× . +O2 4. 0-0× .5 _23。 由资产价值引起网络风险的可能性为 P,=P(Z l R)= P(R I V)P(V) — ————————一’ ∑P(B。)P(R I Bi) i=1 = ’ 0 . ×2 0 . 3 0+ . 4 0等3× . +2_ 0 . 4 0× . 5 =0.18。 ②总体评估结果 根据以上分析,可以得出 评估结论:当前网络的风险隐患水平为 P(R)=P(V)P(R l )+P( )P(R l )+ P(Z)P(R I Z)=0.34。 P(z = 。 通过2.2中的结论分析,可以得到网络分别在 脆弱性,外界威胁和资产价值方面发生风险的动态 评估结果。转③。 ③总体风险评估。计算 P(R)=P( u t.3 Z)= P( )+P( )+P(Z)一P( n )一P( n Z)一 P( n Z)+P( n Z n )。 5 结束语 本文通过对网络风险结构要素及风险特征的 分析,运用贝叶斯理论及方法,建立了网络系统的 风险评估模型。该评估模型不仅可以评估网络的 总体风险,还可以分别评估各个局部要素可能引起 风险的程度。为了便于应用,本文给出了评估模型 的具体算法及相应的示例,参照示例中的计算与分 析过程,可以容易地完成对实际网络风险问题全面 评估。 参考文献: 通过2.2中的结论分析,可以得到总体风险的 动态评估结果,评估结束。特别地,可在上述算法 中,取n=3,V=B ,T=B ,Z=B,。此时的总体 评估结果为P(R)=P(V)P(R I V)+P( )P(R I )+P(Z)P(R I Z)。 4 基于贝叶斯模型的网络风险评估 不例 有关网络安全部门注意到某单位的网络存在 [1]Sandhu R S,Coyne E,Feinstein H L,et a1.Role.Based access Control Models[J].IEEE Computer,1996,29 (2):38—47. [2]Ravi Sandhu,Venkata Bhamidipati,Qamar Munawer. The ARBAC Model for Role.Based Administration of 风险隐患,脆弱性 ,外界威胁 和资产价值z的风 险隐患可能性分别为 P(V)=0.5,P(T)=0.2,P(Z)=0.3。 Roles[J].ACM Transactions on Information and System Security,1999,2(1):105—135. 经过进一步分析断定,由脆弱性,外界威胁和 资产价值引起网络风险R的可能性分别为 于是,根据前面的算法有下列评估结果: [3]司马建平,余祥宣,洪帆.基于角色的安全策略[J].计 算机研究与发展,1998,135(5):447—460. 刘毅.对信息安全风险评估中几个重要问题 P(R l V)=0.4,P(R l T)=0.4,P(R l Z)=0.2。 [4]左晓栋,的认识[J].计算机安全,2004,4:21—25. [5]刘胜航,张翔,曹旭平.基于层次分析法的网络风险状 态评估模型[J].计算机安全,2006,2:19—24. [6]戴锋,邵金宏,王力.军事运筹学导论[M].北京:军事 谊文出版社,2004. ①基本评估结果 如果发生网络风险,得到 由脆弱性引起网络风险的可能性为 P =p(v R)= l=
因篇幅问题不能全部显示,请点此查看更多更全内容