基于自适应专家权重的信息系统风险评估模型

卢 赛，庄 毅

(南京航空航天大学计算机科学与技术学院，江苏 南京 211106)

0 引 言

随着计算机技术的高速发展，人类进入了信息化时代。信息系统作为信息在网络环境中的载体，承担了不可或缺的角色，其价值也日益增加，各行各业都涌现出了大量的信息系统。与此同时，信息系统所面临的信息安全风险也越来越高，信息安全事件层出不穷。以恶意程序为例，2017年席卷全球的WannaCry勒索病毒在几天内便感染了150个国家/地区的23万多台计算机[1]，攻击者以恢复数据为由勒索大量赎金，对个人、企业以及政府造成了巨大损失。根据卡巴斯基实验室安全报告[2]，2019年检测到2461万个独立的恶意对象，4.6万个加密勒索软件，同时近226万台计算机受到了矿工软件的攻击,19.8%的用户计算机在过去一年中至少遭受过一次恶意软件的网络攻击。此外，信息系统还面临从物理层面、网络层面、管理层面等各方面的安全威胁。因此，如何准确地识别信息系统的风险因素，评估系统安全风险，保障信息安全成为了不容忽视的研究内容[3]。

作为识别和分析风险的有效方法，风险评估在各个领域得到了广泛应用。评估方法主要分为定性评估方法、定量评估方法以及定性与定量相结合的综合评估方法[4]。定性评估方法是早期风险评估应用最广泛的评估方法。其优点是能得到更为全面和深刻的评估结果，但评估过程相对简单。该方法缺点比较明显，评估效果依赖于评估专家的专业知识和经验，因此评估结果有较强的主观性。定量评估方法采用直观具体的数值指标进行风险评估，用具体的风险值表示评估结果。其优点是用直观的数据表示评估结果，相对而言具有较好的科学性。由于完全量化的风险评估实现较困难，因此该方法通常采用数学模型描述风险，将复杂问题简化，但也造成了一定的误差。定性和定量相结合的评估方法是目前广泛应用的方法，通过定性评估方法建立评估指标体系，再利用数学模型计算定量的风险值。

随着信息系统规模的扩大，信息安全风险评估也日益复杂化。目前风险评估过程中如何合理设置专家权重仍面临以下挑战：1)由于信息系统的日益复杂化，风险评估指标体系呈现出跨领域的特点，专家对各领域的知识量的不同导致评分可能存在不合理；2)专家群体权重往往以权重向量的形式表现，粒度较粗无法适应复杂信息系统的评估；3)风险评估过程中，专家权重一般根据以往经验静态赋值或采用等值法，主观性强，不具备针对具体评估过程中专家表现情况动态调整的能力，缺乏自适应性和鲁棒性。虽然近年来已有研究为专家赋予后验权重来调节主观性和客观性，但总体权重粒度较粗。

针对以上问题，本文开展了基于自适应权重调整的风险评估模型研究。主要工作如下：1)设计一种安全风险指标描述模型，给出风险指标危险量化方法，可实现细粒度的风险指标描述；2)构建基于自适应专家权重的适用于复杂信息系统的风险评估模型SAEW-ISRA(Information System Risk Assessment Model Based on Self-Adaptive Expert Weight)，给出完整的风险评估框架；3)提出一种细粒度专家权重自适应调整方法，采用后验调整因子依据专家在评估中体现出的知识量水平和个体评分偏离度动态调整后验权重，根据综合调整因子平衡专家个体权威和客观表现，可实现专家权重的自适应调整。基于模糊层次分析法给出安全风险指标体系中的权重计算方法，可避免层次分析法中的一致性验证困难问题。

本文根据上述工作编码实现了风险评估模型，进行某信息系统风险评估实验，并给出结果分析。

1 相关研究

信息安全风险评估作为识别风险、保障信息安全的重要手段，一直是研究热点。文献[5]使用层次分析法实现风险评估。Wang等[6]将层次分析法与D-S证据理论相结合，以简化评估问题，提升评估精度。类似的基于层次分析法进行研究的还有Tao等[7]、Kokangül等[8]和彭道刚等[9]学者的工作。Li等[10]提出了一种基于改进的模糊层次分析法的信息安全风险评估新方法，并引入细化指标和直觉模糊集，以减少传统风险评估中的主观判断因素。Huang等[11]将模糊集引入证据理论，提出了一种基于改进模糊证据理论的方法，提高了评估的有效性。Wu等[12]提出了一种基于D-S证据理论和改进TOPSIS的评估方法，可减少专家评估结果的不确定性，提高信息安全风险评估的客观性和准确性。文献[13]提出了将熵理论与TOPSIS结合的评估模型，使用熵理论计算指标的客观权重，对TOPSIS改进以用于分析评估数据和指标权重。弭乾坤等[14]考虑到网络攻防对抗过程，利用不完全信息下的贝叶斯攻防博弈建立网络安全风险评估模型，能够克服现有的采用完全信息博弈模型的缺点。文献[15]提出了一种基于灰色综合测度的两阶段决策模型的信息安全风险评估方法，结合德尔菲法和相邻准则比较法确定评估标准权重，利用灰色聚类理论计算出统一的灰色聚类系数，为信息安全风险评估提供了新思路。

在群体多属性决策过程中如何合理设置风险指标权重和专家权重是一个影响决策结果的重要因素。针对信息安全风险评估中的权重调整技术目前已有一些研究成果。如文献[16]提出了根据距离测度求权重的方法来确定指标权重，构建了基于决策者相互评价和群体意见一致性下的主客观综合赋权模型确定决策者权重。Duan等[17]提出了一种结合不确定性主客观权重的新型网络安全风险评估方法，考虑评估数据的不确定性，通过不确定性度量将其转化为客观权重；通过将评估标准的主观权重和评估数据的客观权重相结合获得最终权重。Yu等[18]基于D-S证据理论给出了风险评估中指标权重确定方法。此外，由于熵权法能较好地体现客观性，依据该方法计算权重也有一些研究，如Tao等[7]、Kokangul等[8]、Huang等[11]、Wang等[13]以及Hamid等[19]。虽然在权重调整方面已有较多研究，但是上述研究仅考虑了风险指标的权重问题，忽略了专家权重，一些研究则采用等权法，难以反映专家的差异性和领域专业性；另一方面，一些研究采用传统的权重向量，粒度较粗，不能较好地适应复杂的风险指标体系，因此，有必要研究新的权重计算方法以应对复杂信息系统的风险评估。

近年来，随着机器学习技术的发展，已有不少国内外学者将其引入信息安全风险评估过程。如文献[20]建立了基于支持向量机的信息安全风险评估模型,通过对不同的核函数进行比较和分析，得到径向基核函数可以最大程度地减少训练误差，提升评估结果准确性的结论。Gao等[21]提出了使用人工鱼群算法的基于支持向量机的信息安全风险评估模型AFSA_SVM，通过对人工鱼群算法的惩罚系数和核函数参数进行优化从而达到更高的准确性和更快的收敛速度。Wang等[22]将动态贝叶斯网络应用于风险评估模型，相较于静态贝叶斯网络能够不断提高评估结果的准确性，有效地降低推理的不确定性。文献[23]以层次分析法为基础，提出了一种与风险判断矩阵相对应的神经网络模型，为自动评估技术提供了良好的基础。Song等[24]提出了一种基于遗传算法和BP神经网络的信息安全风险评估模型，使用遗传算法优化BP神经网络的阈值和权重，具有较好的拟合效果。区别于文献[24]，李森宇等[25]提出了利用改进的布谷鸟算法优化BP神经网络的风险评估模型ICS-BPNN，可解决BP神经网络收敛速度慢、容易陷入局部最小值的缺点。类似地，Dong等[26]也结合布谷鸟算法和BP神经网络提出了评估模型CS-BPNN。文献[27]则将隐马尔可夫模型(HMM)应用到网络安全风险评估中，并优化了HMM的观测序列，通过学习算法改进模型参数，可及时、直观地反映网络安全风险状态。虽然上述基于机器学习的研究取得了较多进展及应用，然而由于风险评估的特殊性，风险数据往往涉及公司机密，相关数据集较少；另一方面，由于信息系统的差异性，基于单一信息系统数据训练的风险评估模型往往不具备通用性，难以应用到其他场景，因此已有方法存在训练困难、鲁棒性差等问题。

综上所述，虽然国内外风险评估已有较多的研究成果，但由于近年来信息系统的复杂程度提高，现有研究工作可能存在专家权重不合理等问题，导致评估结果准确性偏低。而新兴的基于机器学习的评估模型通常有局限性，不具备通用性。考虑到上述研究的不足，本文提出一种新的基于自适应专家权重的信息系统风险评估模型SAEW-ISRA，详细给出复杂信息系统环境下的风险评估流程。针对评估过程中专家权重可能存在设置不合理，无法满足复杂信息系统风险评估的问题，借鉴后验权重的思想，提出一种细粒度专家权重自适应调整方法，引入专家知识量水平和个体相对重要度动态计算专家群体权重矩阵，以克服专家权重静态赋值、粒度粗等缺点，旨在为复杂信息系统环境下的风险评估提供合理的权重设置，从而提高评估结果的准确性。

2 基于自适应专家权重的信息系统风险评估模型

复杂信息系统通常包含数量庞大、种类繁多的若干子系统，并且子系统之间存在复杂的非线性关联关系。此类信息系统的安全风险具有数量多、复杂程度高的特点，并且随着信息系统复杂性进一步提高，系统面临的安全风险出现跨专业领域的趋势。为了应对复杂信息系统的风险评估，本文首先分析用于详细描述安全风险指标属性的安全风险指标模型。在此基础上提出基于自适应专家权重的信息系统风险评估模型SAEW-ISRA，并设计风险评估框架。

2.1 风险指标的计算方法

在评估初期，首先由专家通过分析信息系统安全要素，识别系统中潜在的风险因素，形成风险指标，然后根据风险指标建立信息系统风险指标体系，在此基础上对信息系统进行风险评估。由此可见，风险指标直接影响最终的评估结果。针对复杂信息系统中潜在的安全漏洞多、安全风险大、设备数量多、复杂程度高以及跨领域的特点，根据风险指标的性质，考虑复杂环境下的风险评估特点，本文提出如下安全风险指标描述模型。

定义1 一个安全风险指标可以用式(1)所示的四元组描述：

risk=

(1)

其中，t={(tl,tm,tu)|0

为了使专家在复杂安全风险指标体系下的评分更合理，在安全风险指标描述模型中，t、v、m均采用模糊理论中三角模糊数的形式表示，根据三角模糊数的结构，tl表示风险指标的威胁度的下界值，tm表示风险指标威胁度的最可能的值，tu则表示风险指标的威胁度的上界值。vl、vm、vu、ml、mm、mu的意义类似。

三角模糊数的定义如下：

定义2α=(αl,αm,αu)为三角模糊数，如果它的隶属函数为μα(x):R→[0,1]，即如式(2)[28]所示。

(2)

式(2)中，x∈R,αl≤αm≤αu，等号成立时表示该三角模糊数退化为精确数。特别地，当0<αl≤αm≤αu<1时，称α是规范三角模糊数。

为了适应评估过程中的专家权重计算方法，本文依据三角模糊数几何意义上的模糊程度，定义三角模糊数正模糊度和负模糊度。设三角模糊数为α，那么α的正模糊度计算方法如式(3)所示，负模糊度计算方法如式(4)所示。

α+=αu-αm

(3)

α-=αm-αl

(4)

为了描述风险指标对信息系统的危险程度，量化风险值，结合风险指标描述模型，本文定义风险指标危险度的概念如下：

定义3 一个风险指标risk的危险度drisk用于描述该指标对信息系统造成安全风险的危险程度，提出的危险度计算方式如式(5)、式(6)所示：

(5)

(6)

(7)

2.2 信息系统风险评估模型

信息系统风险评估属于群体多属性决策问题，决策模型一般由专家群体E={e1,e2,…,ek}，评语集S={s1,s2,…,sm}和评价指标集R={r1,r2,…,rn}构成。通过专家对评价指标集R逐项评分从而计算风险值。在上文安全风险指标模型的基础上，本文提出的自适应专家权重的信息系统风险评估模型SAEW-ISRA如下：

定义4 信息系统风险评估模型SAEW-ISRA描述为式(8)所示的四元组。

FRAM=

(8)

基于SAEW-ISRA的风险评估机制框架如图1所示，评估包含4个阶段：准备阶段、风险指标计算阶段、权重计算阶段和系统风险计算阶段。

图1 SAEW-ISRA框架图

1)准备阶段。该阶段主要确定需要风险评估的信息系统，根据信息系统的功能、特点遴选相关领域的专家群体E作为评估者集合。

2)风险指标计算阶段。该阶段首先构建风险指标体系，并计算得到模糊评分集A，即威胁度矩阵AT、脆弱性矩阵AV以及措施程度矩阵AM。首先由专家群体从多角度深入分析该信息系统可能面临的安全风险，识别风险因素，建立安全风险指标体系，得到安全风险指标体系R。接着专家群体使用三角模糊数对R中安全风险指标逐项评分，形成模糊评分集A。

3)权重计算阶段。该阶段计算专家群体的权重矩阵及安全风险指标权重向量。首先根据专家学术水平、工作经验等先验知识计算专家先验权重；接着利用上一阶段的专家模糊评分集A，综合考虑本次评分中体现出的知识量水平和个体评分偏离度计算专家后验权重，最终形成用于本次评估过程的专家综合权重；最后根据模糊层次分析法计算安全风险指标和安全风险类别的权重。

4)系统风险计算阶段。根据定义3，使用式(5)计算R中各个安全风险指标的危险度；按类别集结安全风险指标危险度分别计算安全风险类别C1,C2,…,Cc的危险度，从而定量地计算信息系统整体风险评估分值，结合评语集S定性的确定安全风险等级。

3 SAEW-ISRA中的权重自适应计算机制

风险评估过程中，如何合理地设置权重是目前仍需解决的问题。本文给出了SAEW-ISRA中的专家权重以及安全风险指标体系中安全风险指标和安全风险类别权重的计算方法。

3.1 细粒度专家权重自适应调整方法

考虑现有权重向量及其计算方法的不足，本文提出一种细粒度专家权重自适应调整方法，将传统的专家权重向量调整为专家权重矩阵集，为每一个安全风险指标设置一组专家权重向量。利用三角模糊数代替专家评分中的精确值，以提高专家评分的容错性，同时可体现专家的知识量。利用专家评分的知识量水平和个体评分偏离度为每一个风险指标构建专家后验权重。最后，结合先验权重得到专家综合权重，形成专家权重矩阵集。

2)根据风险指标体系构造专家威胁度模糊评分矩阵AT={tkij}K×N、脆弱性模糊评分矩阵Av={vkij}K×N和措施程度模糊评分矩阵Am={mkij}K×N。其中tkij、vkij和mkij分别表示专家ek对于风险指标riskij的威胁度、脆弱性和措施度的评分。

(9)

(10)

(11)

假设专家ek对指标riskij的专业领域越熟悉，其评分越精确。模糊度体现了专家ek对指标riskij的评分的不精确程度，从而反映了专家ek对指标riskij所代表的专业领域的知识量水平。参数μ∈[0,1]表示对系统风险的悲观态度，取值越高说明越看重专家的风险模糊度。

(12)

(13)

5)专家后验权重合成，计算本次评估中专家ek对指标riskij的后验权重。θ∈[0,1]表示后验调整因子，值越大表示后验权重倾向于考虑专家ek本次评估中体现出的个体客观知识量水平，否则倾向于专家群体整体评估的一致性。后验权重的计算方法见式(14)。

(14)

6)计算专家ek关于指标riskij的综合权重wkij。δ∈[0,1]表示综合调整因子，取值越大表示权重倾向于专家历史个体权威，否则表示倾向于专家本次评价客观表现。其计算方法见式(15)。

(15)

7)得到最终专家群体在安全类别Ci下的权重矩阵Wi。以此类推，可以得到专家群体在所有安全类别下的权重矩阵，从而为每一个安全风险指标提供了专家权重向量。

提出的细粒度专家权重自适应调整算法的伪代码如算法1所示。

算法1 专家权重自适应计算算法

输入：专家群E，风险指标集R

输出：专家权重矩阵集{W1,W2,…,Wc}

1.generateWf

2.forCi(1≤i≤c) inR

3.for riskij(1≤j≤N) inCi

4.forek(1≤k≤K) inE

5.generateek’ scoret,wandmfor riskij;

6.end for

7.end for

8.generateAT、AV、AM

9.for riskij(1≤j≤N) inCi

10.forek(1≤k≤K) inE

13.end for

14.end for

15.generateWiand normalize it by column

16.end for

最后可以得到专家群体的权重矩阵集{W1,W2,…,Wc}，充分结合了专家的个体权威和客观表现，在体现专家专业性的同时为每一个风险指标都提供一组权重向量，能较好地应对复杂的风险评估指标体系。

3.2 安全风险指标体系中的权重计算方法

在风险指标体系中不同风险指标对信息系统的威胁程度不同，因此需要对风险指标赋予权重。Van Laarhoven等[28]最先提出了将层次分析法与模糊理论相结合。本文使用文献[30]提出的模糊层次分析法计算风险指标权重，通过引入模糊一致判断矩阵，可克服层次分析法中判断矩阵的一致性验证困难问题。

模糊一致判断矩阵通常表示对象论域U中第i个对象ui与第j个对象uj的相对重要性(或相对优越性)程度。假设本文风险指标体系中在安全类别Ci下一层次中的安全风险指标riski1,riski2,…,riskin有联系，则模糊一致性判断矩阵可以表示为F={rjz}n×n，其中rjz表示riskij和riskiz之间的相对重要程度，使用0.1～0.9标度[30]定量描述安全风险指标之间的相对重要性程度。

评估者使用0.1～0.9标度完成对风险指标比较后，得到模糊判断矩阵F={rij}n×n，模糊判断矩阵的一致性反映了专家评估时判断的一致性，当矩阵F满足以下条件时，称F为模糊一致性矩阵。

rjz=rjk-rzk+0.5,j,z,k=1,2,…,n

(16)

由于信息系统的复杂性和人们认知的片面性使得构建的模糊判断矩阵不一致时，需要对F中的元素进行一致性转换。计算方法见式(17)。

(17)

(18)

4 实验与结果分析

4.1 实验设计

为了验证SAEW-ISRA在信息系统风险评估中的效果，本文选取图2所示的信息系统作为实验对象，邀请5位专家对该信息系统实施风险评估。

图2 信息系统结构图

通过风险因素识别、已有安全措施确认等步骤，本文建立了如图3所示的风险指标体系。该体系将系统风险分为6个安全类别：管理风险、物理风险、设备风险、网络风险、数据风险及人员风险。设置了设备管理等23个风险指标。

图3 风险指标体系图

根据专家意见，将风险等级定性地分为5级，即S={很低，低，中等，高，很高}，安全等级定量取值范围如表1所示。

表1 风险等级及取值范围

4.2 实验结果与分析

4.2.1 评估结果及分析

本文分别利用文献[13]的基于熵理论和改进TOPSIS的风险评估模型、文献[32]的基于模糊熵权和AHP的评估模型以及本文提出的SAEW-ISRA对IS进行风险评估。经过多次实践结果分析，设SAEW-ISRA中参数μ=0.5，后验调整因子θ=0.75，综合调整因子δ=0.3。

3种风险评估模型的评估结果如表2所示。文献[13]中的方法给出了风险等级“中等”的结果。文献[32]中的方法得到了等级“低”的评估结果。文献[13]、文献[32]中的方法没有考虑到专家权重问题，评估结果受专家主观性影响较大。本文方法则得到了系统风险等级为“很低”的结果，符合该系统近年来的实际运行情况，因此本文的SAEW-ISRA模型可以满足评估需求。

表2 风险等级及取值范围

风险指标体系的危险度如图4所示，可以发现，风险指标中硬件设施和数据保密性两者危险度较大，因此物理风险和数据风险相对风险较大，需要引起管理人员注意。

图4 风险指标危险度

4.2.2 权重分析

1)风险指标权重。

3种模型中的风险指标权重如图5所示，文献[13]、文献[32]没有建立层次结构，权重差异度较小。随着信息系统复杂性提高，风险指标数量继续增长时，上述方法得到的风险指标权重将逐步趋于平缓。本文单独考虑风险指标在安全类别下的权重，因此风险指标间的权重差异度较大，可帮助管理人员更清晰地了解风险指标重要性的差异情况。

图5 风险指标权重

2)专家权重。

图6展示了“设备管理”风险指标下的专家权重调整过程。例如，虽然专家3先验权重较低，但通过后验权重调整后，其综合权重得到提升，说明专家3在该领域的专业能力更高。本文提出的专家权重自适应调整方法可动态地调整专家的综合权重。

图6 设备管理风险指标专家权重

图7显示了专家在各风险指标下的综合权重变化趋势，可以看出，专家在不同风险指标下的综合权重有一定的差异，体现了专家的领域性。如专家1在物理风险和设备风险相关指标下权重较高，表明该专家在物理安全和主机设备安全领域具有较多经验。专家群体在安全类别下的权重如图8所示，可以观察到，通过风险指标下的权重推导出的专家权重仍然保持了专家领域性差异，实验结果与实际情况相符，因此，本文的专家权重调整方法是有效的。文献[13]以及文献[32]中没有设计专家权重计算过程，因此这里没有比较分析。

图7 专家综合权重变化趋势

图8 安全类别下的专家权重

5 结束语

信息系统的风险评估是保障信息安全的重要手段，通过风险评估可以帮助管理人员全面深入地掌握信息系统所面临的安全风险，从而采取相应的安全措施降低风险发生的可能性以及风险发生后对系统造成的损害。考虑近年来信息系统的复杂性逐渐提高，风险评估过程中可能存在专家权重不合理、评估结果受专家主观性影响导致准确度降低的问题，本文提出了一种自适应专家权重的信息系统风险评估模型SAEW-ISRA。给出了一种细粒度专家权重自适应调整方法。引入三角模糊数对风险指标属性评分，根据专家评分模糊度描述专家知识量，结合与专家群体评分的距离构建后验权重，可使专家权重自适应调整；使用模糊层次分析法构建风险指标权重；使用提出的信息系统风险指标危险度量化方法计算风险值；实例表明，所提模型能适应复杂信息系统的风险评估过程，在一定程度上克服了专家权重不合理的不足，达到了更高的评估准确性。