基于AHP和D-S证据理论的民航信息系统风险评估

张西武，李志平，李跃凯

（1.中国民用航空局信息中心，北京 100710；2.中国民航大学a.计算机学院；b.信息网络测评中心，天津 300300）

信息系统安全性风险评估是民航信息系统建设的关键环节，为信息系统的安全保障提供重要依据[1]。基于民航信息系统的现状，信息系统风险评估显得尤为重要。目前，有关信息系统风险评估的研究基本可分为以下两个层面。第1 个层面主要研究风险评估模型，常用方法有模糊综合评价法[2]、层次分析法[3]、D-S证据理论[4]、灰色系统理论[5]等。如黄芸[6]提出一种基于多维系统(SoS,system of systems)建模理论的多维层次分析法(AHP, analytic hierarchy process)评估模型，从各个子系统之间的关联出发，对由子系统构成的复杂系统集进行较为全面的多维评估；Luo 等[7]提出两阶段灰色综合测度风险评估模型，有效降低了评估过程中的模糊性和不确定性，计算结果可用于系统之间安全风险的横向比较；方阳[8]利用层次分析法确定指标体系中各层要素的权重，通过D-S 证据理论进行风险合成。此外，反向传播(BP,back propagation)神经网络、故障树分析(FT,fault tree)也可用于建立风险评估模型，但这两种方法均需要严格、准确的样本数据，实际中很难获得。第2 个层面是对参与风险计算的安全因素的量化研究，如叶云等[9]将攻击图结合通用漏洞评估系统(CVSS,common vulnerability scoring system)形成贝叶斯网络，然后通过其提出的一系列算法得出脆弱点的风险概率；柴继文等[10]在层次分析法的基础上对风险评估要素进行量化，减少了各要素间的耦合性，并创造性地构建偏量判断矩阵，使评估结果可直观显示系统所面临的风险；贺学智[11]在模糊综合分析的基础上，引入信息熵对专家打分的有效性进行检验，降低了评分的主观性程度。此外，部分学者有针对性地对民航信息系统安全性风险评估进行研究，如韩迎亚[12]建立了基于模糊综合评价的整体安全性评估模型，并应用于民航离港系统安全性评估。

以上模型与评估方法大多过程繁琐、周期长、实用性不强。在总结现有评估模型与量化方法的基础上，针对民航信息系统安全风险评估，提出一种基于AHP 和D-S 证据理论的信息系统风险评估方法。将信息熵与改进D-S 证据理论相结合的数据融合方法降低了专家主观性程度，解决了D-S 理论在处理冲突时因组合规则归一化导致的“一票否决”等现象。该方法评价过程更加简洁方便，评估结果更加准确客观，适用于民航信息系统安全风险评估。

1 信息系统风险评估方法构建

评估流程如图1 所示。

图1 信息系统评估流程Fig.1 Information system evaluation flow

1.1 构建评估指标体系

构建评估系统层次结构[13]，将信息系统安全评估分为物理安全、网络安全、运行安全和管理安全，并将每个部分再进行细分，如图2 所示。

图2 信息系统层次结构图Fig.2 Hierarchy diagram of information system

1.2 各层权重的确定

层次分析法是一种定性与定量相结合的层次权重决策分析方法，通过对各要素之间相对重要程度的判断来确定各要素权重，具体方法如下：

Step 1：构造判断矩阵对同一层各要素进行两两比较，通过每两个要素之间的相对重要程度等级构造判断矩阵，比较的各要素须关联于上层的同一要素。n个评估要素需构造1 个n×n 的判断矩阵M，M 中的元素mij代表要素xi相对要素xj的重要性程度之比，一般采用九级标度法表示，取值方法如表1 所示。

表1 九级标度表Tab.1 Nine-level scale

Step 2：计算一致性指标首先对得到的判断矩阵每一列元素进行归一化处理，即

其中，i，j=1，2，…，n。然后按行相乘，得出特征向量

其中，Mg,i表示Mg的第i 个元素。

计算一致性指标CI，即

CI 的值越接近于0，判断矩阵的一致性越好。对于阶数不同的判断矩阵，一致性误差的判断不同，CI的要求也不同。一般通过CI 与平均随机一致性指标RI 的商值CR 来修正一致性指标，即

若CR ＜0.1，则判定该判断矩阵满足一致性要求，否则需要调整判断矩阵。RI 取值如表2 所示。

表2 RI 取值Tab.2 RI value

Step 3：层次单排序计算各元素的相对权重，将判断矩阵的特征向量归一化，得出层次单排序，即

Step 4：层次总排序依层次结构从上往下计算出每层元素的组合权重，得出层次总排序。

1.3 隶属度矩阵的确定

心理学研究结果显示，人类最多可有效判断5～9个级别。为简便计算，将评价集分为5 级，并将其量化值范围定义为[0，1]，分别定为很低VL（0.1）、低L（0.3）、中等M（0.5）、高H（0.7）、很高VH（0.9）。然后利用高斯隶属函数得出专家评价值隶属5 个不同风险等级的程度，即

其中：x 为计算隶属函数所需的值；u 为函数中心；δ 为函数宽度，也就是专家对评估结果的不确定程度，δ 值越小，表明专家对评估结果的确信程度越高。定义5个不同风险等级的隶属函数中心分别为0、0.25、0.5、0.75、1，则其对应的隶属函数分别为

则物理安全的隶属矩阵为

网络安全的隶属度矩阵为

同理可得出运行安全和管理安全的隶属度矩阵MR和MC。

1.4 冲突值K 的计算

若有n 个专家进行评估，共m 个风险等级，利用证据理论中冲突值K 的计算方法，其时间复杂度为O（mn）。引入矩阵分析法[14]进行计算，时间复杂度降为O（m2×n），可大幅提高计算效率，具体方法如下。

假设确定的隶属度矩阵为

矩阵中任意一个元素mij表示专家i 为风险j 等级给出的基本概率分配，显然，矩阵每一行的和等于1。将M1进行转置后与M2相乘，得到矩阵

将V1主对角线元素构成的列矩阵同M3相乘，得到

依此类推，n 个专家的评估结果融合完成得到矩阵Vn-1，将所有矩阵即V1至Vn-1的非对角线元素相加，所得之和即冲突值K。

1.5 各等级证据权重的确定

信息熵在不确定性量的表示中有着显著的效果。为了克服冲突值K 较大时D-S 证据理论出现异常情况，引入信息熵结合D-S 证据理论方法[15]对证据进行融合。引入距离函数，利用指数熵进行权值分配，确定各证据的权重系数，有效解决了计算过程中易出现的无穷大现象，提高了计算精度。

设Θ 为识别空间，di是Θ 上的焦元，i=1，2，…，n。m 是识别空间上的基本概率分配函数（BPA），m（A）为所有证据对A 的基本可信度。若共有N 组证据函数，记mt={dt1，dt2，…，dti}，i=1，2，…，n，t=1，2，…，N。

首先按如下公式重新分配各证据的冲突概率分配函数PA，即

其中，|·|为焦元的势，表示其所含元素个数。然后计算相同焦元在不同证据情况下的冲突差，即

将所得冲突差归一化

对归一化后的值进行指数熵运算

权值可看作是熵值的逆运算，因此各证据的权值可表示为

由此得出各证据新的权重分布，指数熵运算采用归一化的值，即∑ωt=1。

1.6 综合计算确定系统安全等级

利用改进的D-S 证据理论，将多个独立证据的融合结果表示为

其中：K 为冲突值；ωA为确定的各证据权值，表示所有证据对A 的平均支持程度；KωA表示将K 值按权值比例分配给A。

最后，结合1.1 节层次分析法确定的权值和1.5节确定的支持程度，通过加权平均的去模糊化方法求得信息系统所面临的整体风险值。

2 案例验证

2.1 实例计算

邀请3 位专家依据图2 信息系统层次结构图中给出的影响要素，为某民航信息系统打分，要求给出各要素的风险等级和对评分结果的不确定度。网络安全评分示例，如表3～表5 所示。

表3 专家A 评分结果Tab.3 Rating result by Expert A

表4 专家B 评分结果Tab.4 Rating result by Expert B

表5 专家C 评价结果Tab.5 Rating result by Expert C

利用上述专家数据构造隶属度矩阵，得出各专家的BPA 值，归一化后所得值如表6 所示。利用式（23）对专家打分进行数据融合，结果如表7 所示。

2.2 结果分析

由表6 可知3 位专家中有2 位认为N3为中等安全等级，有1 位专家认为N3为低安全等级。

表6 三位专家的BPATab.6 BPA of three experts

表7 数据融合结果Tab.9 Result of data fusion

传统方法评分结果融合后却显示中等安全等级的概率基本为1，无法反映低安全等级评价结果。而改进方法则可以较好地融合专家的评分数据，准确如实地反映专家评分情况，可信度更高，如表8 所示。

表8 改进方法与传统方法数据融合结果对比Tab.8 Data fusion result comparison between improved and traditional methods

每个信息系统准则层的相关权重系数不尽相同，需对不同情况分别加以分析，因此利用层次分析法确定准则层的相关权重更具科学性。

3 结语

提出一种基于AHP 和改进D-S 证据理论的风险评估方法，并引入矩阵分析法和信息熵，利用矩阵分析法计算冲突值K，利用信息熵和改进的D-S 证据理论重新获得证据分布。利用AHP 得出准则层的相关权重并通过综合计算最终确定信息系统的整体安全值。最后依据所构建的信息系统评估体系，对具体民航信息系统进行实例化分析，并将其结果同传统方法进行对比，结果表明，该评估方法更符合民航信息系统的现状，具有更好的应用性和可靠性。