辽宁省财政厅信息中心 牛 旭
信息安全程度可根据其风险等级来衡量。由于信息安全预测具有不确定性、受主观因素影响以及非线性的特点[1,2],传统方法不适用该环境下的预测,本文利用模糊理论可降低主观因素影响,利用神经网络的智能特性解决非线性和不确定性问题,因此提出了将模糊理论和神经网络相结合的方法以实现该环境下的信息安全预测[3]。
在利用模糊神经网络[4]来评估信息安全过程中,首先要确定影响信息安全的风险因素的种类,由专家对每种因素进行等级标准评估;然后根据模糊理论,构造模糊映射,用隶属度函数来描述模糊边界、构建矩阵,将矩阵中的元素作为BP神经网络输入层数据;最后用BP神经网络对其进行处理并输出评估对象的评估结果等级[5],该算法具体实现过程如下:
1)建立一组信息安全风险因素集合,设为:
2)为资产A、威胁T和脆弱性V构建不同的判断集,设为:
3)专家根据判断集B对风险因素集A中的各个因素进行评估并给出评估结果,模糊映射构造如下:
其中,f表示映射,即因素集A中元素ai与判断集B之间的关系映射,根据判断集B的隶属度向量求隶属度矩阵如下所示:
4)由上式得各个风险因素对应于资产A、威胁T和脆弱性V的隶属度矩阵可分别表示为Pc、Pt和Pf,设各风险因素的隶属权向量为:
资产判断集、威胁判断集和脆弱性判断集的指标权向量分别表示为:
5)利用上述三种权向量构造BP神经网络,基于模糊神经网络的信息安全预测流程图如图1所示:
图1 基于模糊神经网络的信息安全预测流程图
利用上述模型对5个实验样本进行测试,得到相对应的风险等级评估结果如图2所示。由图中可以看出,本文提出的模型预测的曲线与实际评估结果曲线基本一致,误差非常小,因此,本文提出的风险评估方法是一种有效的评估方法。
对比本文提出的信息安全预测方法和其他传统的风险评估方法,用相同的实验数据分别代入BP神经网络、模糊数学和灰色预测模型,结果显示在表1中,根据该结果可得出本文提出的方法最优。验证了本文所提出的结合两种算法模型的方法能够有效地降低神经网络输入层的主观性,同时也避免了传统模型评估的复杂性,使得该模型对比其他传统模型进行信息安全风险评估结果更加准确。
图2 实际值与预测值结果对比
表1 各模型输出结果比较
本文采用模糊理论与BP神经网络相结合的方法来构建信息安全风险预测模型,经仿真实验测试结果表明,采用该模型进行预测评估得到的结果比其他传统方法得到的结果更加准确。本文利用模糊的概念量化了一些主观因素,降低了主观性的影响,避免了算法的复杂性,提高了模型估计的准确性。