第52卷第5期武汉大学学报(理学版)Vol.52No.5 2006年10月J.WuhanUniv.(Nat.Sci.Ed.)Oct.2006,631～634 文章编号:167128836(2006)0520631204 基于贝叶斯网络的信息安全风险评估方法 付钰,吴晓平­,严承华 (海军工程大学信息安全系,湖北武汉430033) 摘要:在系统分析信息安全风险要素及评估过程的基础上,针对评估过程中的不确定性信息难以量化处理 的问题,引入贝叶斯网络推理算法,并结合专家知识给出贝叶斯网络下的推理规则条件概率矩阵,从而构建了信息 安全风险评估模型.最后以实例分析了基于此模型的风险评估方法.仿真结果表明该方法是一种有效的评估算法, 较为准确地了反映了信息安全的风险等级,为信息安全风险评估提供了一种新的思路. 关键词:贝叶斯网络;风险评估;信息安全 中图分类号:TP309文献标识码:A 鉴于此,本文提出了一种基于贝叶斯网络推理 0引言的信息安全风险评估方法.该方法对于处理存在大 量主观因素及不确定信息的评估问题效果显著. 随着计算机技术和Internet的发展,各种利用 系统安全弱点的新型攻击大量地被入侵者所使用, 贝叶斯网络推理算法 信息系统所面临的安全风险和威胁日趋严重,信息1 系统安全逐渐成为人们关注的焦点.安全风险评估 贝叶斯网络又称信度网络,由一系列表示因果 是解决信息系统安全的有效方法之一,诸如决策树、 关系的规则结合而成,对于因果关系X→Y,X的取 模糊Petri网等方法已被安全评估人员所使用.但 值范围为⋯的取值范围为 这些方法通常不多考虑信息系统中的人为因素和行{X1,X2,,Xm},Y{Y1, ⋯贝叶斯网络采用条件概率矩阵来确 政性安全管理措施的影响,同时安全问题涉及技术Y2,,Yn},M 定与之间的关系 和管理两方面,安全评估过程存在大量的不确定性,XY. () 难以严格量化,完全客观的信息安全风险评估难以MY/X=PY|X= [1～5]⋯ 实现.p(Y1|X1)p(Y2|X1)p(Yn|X1) 贝叶斯网络作为一种描述不确定信息的专家系p(Y1|X2)p(Y2|X2)⋯p(Yn|X2) 统,在构造风险评估模型上具有以下优点[6]:⋯⋯⋯⋯ ●贝叶斯网络类似神经元网络,能够充分描述p(Y1|Xm)p(Y2|Xm)⋯p(Yn|Xm) 人类的推理模式,网络的图形方式还便于系统评估其中p(Yj|Xj)表示X取值Xi时,Y取值Yj的概 人员的理解和开发;率[7]. ●可定量化描述评估过程;令E为所有观测变量取值集合,其中变量为 ●贝叶斯概率的特点使网络模型能够反映评估X.根据Pearl方法[8,9],给定证据E后任意的非证 的连续性和累积性这两个重要特征.模型能够综合据节点X的后验分布P(X|E)称为该节点的置信 最新的证据信息和先验信息,从而评估结果不仅反度Bel(X),由贝叶斯网络推理模式的特点,一个节 映了当前的信息,而且综合了历史和先验知识;点的信度可以分解为两个参数:诊断性参数λ(X)和 ●贝叶斯逻辑在数学上的可靠性使该模型成为因果性参数π(X),从而该节点的信度: 一种描述人类思维推理过程的标准模型.Bel(X)=αλ(X)π(X)(1) 收稿日期:2006204230­通讯联系人E2mail:wxp8@sohu.com 基金项目:国家自然科学基金资助项目(70471031) 作者简介:付钰(19822),女,硕士生,现从事信息安全、贝叶斯网络算法研究.E2mail:fuyu0219@163.com 632武汉大学学报(理学版)第52卷 式中,α为归一化因子,λ(X)和π(X)根据子节点和发生的可能性.威胁由多种属性来刻画:威胁的主体 父节点传递的消息进行计算:(威胁源)、能力、资源、动机、途径、可能性和后果. λλ脆弱性:可以被威胁利用的系统缺陷,能增加系 (X)=∏j(X)(2) j统被攻击的可能性,常称为漏洞. λj(X)为节点X的第j个子节点传递的信息,反映 造成信息安全事件的源头,可以归结为外因和 了子节点对X的诊断(回顾)支持; 内因,外因为威胁,内因则为脆弱性,故可通过对信 π(X)=P(X|U1,U2,⋯,Un)πX(Ui) ∑⋯∏息的威胁和脆弱性的评估来获得事件发生的可能性 U1,U2,,Uni 值同时事件发生所产生的影响与资产有关故可 (3).,, 通过对资产的评估来获得.由此,可将风险R看成 P(X|U1,U2,⋯,Un)为节点变量X在父节点集 是资产、威胁和脆弱性的函数. {Ui}下的条件概率,即专家知识的概率化表示形 风险评估是风险管理的基础,通过风险评估,识 式,πX(Ui)为节点X的父节点传递的信息,反映了 别信息系统的安全风险并确定风险控制的优先等 父节点对X的