本发明公开了一种一种信息系统遭受Web攻击风险的评估方法,通过1、预先构建待评估对象信息系统遭受Web攻击风险的指标体系,同时构建该指标体系的可接受对象和理想对象;2:利用改进的优劣解距离法TOPSIS对待评估对象进行定量刻画;利用PCA提取主成分,计算每个主成分下待评估对象以及所构建的其它两个对象与TOPSIS中正负理想解之间的接近程度,对不同主成分下的接近程度进行整合得到加权接近程度,根据加权接近程度得到待分析对象的分数。本发明针对一个单独的评估对象,在其指标较多时,可快速有效的对其权重进行合理分配,降低了传统方法权重设定的主观性,不需要依靠专家经验进行评判,给出待评估对象一个具体的量化分数。
一种信息系统遭受Web攻击风险的评估方法及系统
技术领域
[0001] 本发明属于风险评估领域,尤其涉及一种信息系统遭受Web攻击风险的评估方法及系统。
背景技术
[0002] 分析是决策的基础,为进行合理的决策,首先要对目标进行合理的分析评估。在现有的研究中,对一个对象进行评估的方法可以被划分为专家评估法、分析评估法和仿真评估法等。
[0003] 专家评估法包括德尔菲法和头脑风暴法等,这种方法依赖于专家的专业知识和实践经验,通常是定性的评估方法。专家评估对于了解待评估对象很重要,在多数情况下会获得很可靠的结果,在对单一属性进行分析评估时,专家的专业知识显得尤为重要。面对多指标的问题时,专家们在权重的分配上往往难以达成一致,为最终的评估带来困难。目前,专家评估通常作为评估中的一部分来使用。
[0004] 分析评估法包括参数评估、ADC(Availability,Dependability,Capacity—可用性,可信性,能力)方法和DEA(Data Envelopment Analysis—数据包络法)等。这种类型的方法将问题刻画为数学模型,通过对参数的调节可以得到不同的结果。通过这种方法,可以对目标的结构和内容等有更加细致的了解。很多目标的属性复杂,难以使用模型进行刻画,或者即使使用模型刻画,该模型也会非常复杂。同时,权重的设置依然是一个较难合理解决的问题。
[0005] 仿真评估法包括多Agent仿真、基于HLA(High Level Architecture—高层架构)的仿真和蒙特卡洛仿真等。仿真评估法借助计算机的强大算力可以得到直观的结果,可以有效帮助我们对待分析目标有直观的认识。不过,由于其通常有较长的运算处理时间,其时效性往往较差。
[0006] 现有的评估方法在权重的设置方面通常有较大的主观性,同时,在待评估对象的指标较多时,难以对其权重进行合理的分配,进而会在评估结果上存在分歧。此外,现有的很多评估方法得到的结果通常为多个对象的相对优劣排序结果,在对一个单独对象进行评估时难以奏效,难以对分析对象给出一个综合的评判结果。
发明内容
[0007] 本发明要解决的技术问题是针对一个单独评估对象不依靠专家经验进行权重分配,快速有效给出评估定量刻画的一种信息系统遭受Web攻击风险的评估方法。
[0008] 为解决该问题,本发明所采用的技术方案是:
[0009] 一种信息系统遭受Web攻击风险的评估方法,包括以下步骤:
[0010] 步骤1:预先构建待评估对象信息系统遭受Web攻击风险的指标体系,并获取该待评估对象指标体系中每个指标的指标值,同时设定该指标体系的可接受对象和理想对象,所述可接受对象的各指标值是根据每个指标的可接受风险对所述待评估对象的指标体系中各指标预先设定的可接受值,所述理想对象的各指标值是根据每个指标所能取得的最佳数值对所述待评估对象的指标体系中各指标预先设定理想值,所述指标体系中待评估信息系统的各指标值与各指标的可接受值和理想值构成原始的数据矩阵OM;
[0011] 步骤2:利用改进的优劣解距离法TOPSIS对待评估对象进行定量刻画;
[0012] 步骤2.1:利用主成分分析法PCA对原始数据矩阵OM进行p个主成分的提取,并计算主成分对应的权重;
[0013] 步骤2.2:根据所提取的p个主成分,计算获取成分矩阵,得到成分矩阵中每个指标在p个主成分下的权重分布情况系数,将该权重分布情况系数标准化后作为TOPSIS中相应指标的权重,并根据权重分布情况系数的大小调整各指标的属性,所述指标属性是指在指标体系中,每个指标具有两个属性之一,分别为效益属性或成本属性;
[0014] 步骤2.3:计算每个主成分下待评估对象、可接受对象和理想对象中各指标与TOPSIS中正负理想解之间的接近程度,对不同主成分下的接近程度进行整合得到加权接近程度,其中,正理想解是指各指标的效益属性取该指标在待评估对象、可接受对象和理想对象中效益属性的最大值,负理想解是指各指标的成本属性取该指标在待评估对象、可接受对象和理想对象中成本属性的最小值;
[0015] 步骤2.4:根据加权接近程度计算待分析对象的分数。
[0016] 进一步地,步骤2.1中提取p个主成分的具体方法为:
[0017] 步骤2.1.1:使用z-score对原始数据OM={omk,u|k=1,2…T,u=1,2,3}进行标准化:
[0018]
[0019] 其中omk,u表示原始数据矩阵OM中第k个指标在第u个对象中的指标值,u=1指第1个对象表示可接受对象,u=2第2个对象表示待分析对象,u=3第3个对象表示理想对象,表示原始数据矩阵OM中第k个指标在三个对象中的平均值,σk表示第k个指标在三个对象中的指标值形成的方差,即
[0020] 步骤2.1.2:计算待评估对象中各指标的协方差矩阵
[0021]
[0022] 步骤2.1.3:求协方差矩阵RS的特征值λ1≥λ2≥...≥λT和正交向量ek(k=1,2…T),T为待评估对象中指标的总数量;
[0023] 步骤2.1.4:计算贡献度,并选取前p个满足式(3)中θ的特征值,得到主成分数量p:
[0024]
[0025] 其中λh、λa表示协方差矩阵RS的特征值,θ表示主成分的贡献度,即主成分能对原问题解释θ的程度,一般取θ>0.9;
[0026] 进一步地,所述主成分对应的权重为:
[0027]
[0028] 进一步地,步骤2.2中所述计算成分矩阵中每个指标在p个主成分下的权重分配情况系数,将该权重分配情况系数标准化后作为TOPSIS中相应指标的权重的具体方法为:
[0029] 成分矩阵的列向量li(i=1,2,…,p)代表各指标在不同主成分下的权重分布情况:
[0030]
[0031] 对各指标在不同主成分下的权重分布情况进行标准化后得到系数εi,k(i=1,2,…,p,k=1,2,…,T),并将其作为TOPSIS中各指标的权重:
[0032]
[0033] li,k表示第k个指标在第i个主成分下的权重分布情况,li,a表示第a个指标在第i个主成分下的权重分布情况。
[0034] 进一步地,步骤2.2中所述根据权重分布情况系数的大小调整各指标的属性,具体的调整方法为:
[0035]
[0036] ai,k代表在第i个主成分下第k个指标的属性,所述指标属性是指在指标体系中,每个指标具有两个属性之一,分别为效益属性或成本属性,上式表示,当权重分布情况系数为正时,指标属性不变,当权重分布情况系数为负时,效益属性与成本属性二者特性互换。
[0037] 进一步地,步骤2.3中所述计算每个主成分下待评估对象、可接受对象和理想对象与TOPSIS中正负理想解之间的接近程度,对不同主成分下的接近程度进行整合得到加权接近程度的具体方法为:
[0038] 步骤2.3.1:对原始数据OM={omk,u|k=1,2…T,u=1,2,3}进行标准化:
[0039]
[0040] 步骤2.3.2:计算标准化后的原始数据在每个主成分下的加权矩阵Ti=(ti,k,u)∈RT×3(i=1,2,…,p):
[0041] ti,k,u=pk,u·εi,k (9)
[0042] ti,k,u表示对象u中第k个指标在第i个主成分下的值;
[0043] 步骤2.3.3:计算第k个指标在每个主成分下的正理想解ti,k*与负理想解ti,k0:
[0044]
[0045]
[0046] 步骤2.3.4:计算待分析对象、可接受对象和理想对象与正理想解间和负理想解在主成分i下的距离di,u*和di,u0(i=1,2,…,p,u=1,2,3):
[0047]
[0048]
[0049] 步骤2.3.5:计算待分析对象、可接受对象和理想对象在主成分i下与正理想解的接近程度P近oi,u*(i=1,2,…,p):
[0050]
[0051] 步骤2.3.6:对不同主成分下的接近程度进行整合得到加权接近程度Prou;
[0052] 计算待分析对象、可接受对象和理想对象在不同主成分下与正理想解的加权接近程度Prou:
[0053]
[0054] ωi表示各主成分的权重。
[0055] 进一步地,步骤2.4中根据加权接近程度计算待分析对象的分数的方法为:
[0056]
[0057] 其中,可接受对象的分值为Vpass,理想对象的分值为100。
[0058] 与现有技术相比,本发明具有以下技术效果:
[0059] 本发明通过将主成分分析(PCA)和TOPSIS(Technique for Order Preference by Similarity to an Ideal Solution)方法进行结合,针对一个单独的评估对象,在其指标较多时,另外设置了理想对象和可接收对象,然后利用主成分分析法PCA计算得到的成分矩阵中的系数归一化后作为TOPSIS法中待评估对象指标的权重,快速有效的对其权重进行合理分配,降低了TOPSIS法中权重设定的主观性,从而不需要依靠专家经验进行评判,快速有效的给出待评估对象一个具体的量化分数。
附图说明
[0060] 图1为本发明信息系统指标体系图。
具体实施方式
[0061] 下面通过一个具体的实施例,构建对一个信息系统遭受Web攻击风险进行定量评估的体系,来说明本发明一种信息系统遭受Web攻击风险的评估方法,该方法包括以下步骤:
[0062] 步骤1:预先构建待评估对象信息系统遭受Web攻击风险的指标体系,并获取该待评估对象指标体系中每个指标的指标值,同时设定该指标体系的可接受对象和理想对象,所述可接受对象的各指标值是根据每个指标的可接受风险对所述待评估对象的相应指标预先设定的可接受值,所述理想对象的各指标值是根据每个指标所能取得的最佳数值对所述待评估对象的相应指标预先设定的理想值,所述指标体系中待评估信息系统的各指标值与各指标的可接受值和理想值构成原始的数据矩阵OM;本实施例中如图1所示,根据专家经验预先构建的待评估对象信息系统遭受Web攻击的指标体系树图。
[0063] 该信息系统所遭受的Web攻击风险可以由其自身运行维护情况、自身存在漏洞的情况和其遭受攻击的情况共同确定:
[0064] (1)自身运行维护情况:代表了一个信息系统自身受到维护的情况,由维护频率和正常运行时长两部分组成,其中维护频率是指在某时间段内对该信息系统的维护频率,正常运行时长是自系统上次被成功攻击并被修复后正常运行的时长;
[0065] (2)自身存在漏洞情况:代表了一个信息系统自身存在的风险情况,通过对信息系统自身存在的未修补漏洞进行扫描,并根据其威胁程度进行分门别类的统计。
[0066] (3)遭受攻击情况:代表了一个信息系统目前被攻击者的刺探情况。攻击的统计检测数需要根据特定的时间段进行,具体的时间段period需要根据决策者的经验进行决定。
[0067] 本实施例中,待评估对象信息系统风险分析框架中共有14个指标,如图1所示,将其按照图1的顺序标记为a1到a14。指标体系建立好后,便可以对待评估对象、可接受对象和理想对象的指标值进行获取,得到原始数据矩阵OM。本实施例中将统计检测时间段period设定为2h,遭受攻击情况设定为2h内检测到的遭受相应攻击的数量;自身存在的漏洞数则直接对当前信息系统存在的漏洞情况进行统计;自身的运行维护情况由两部分组成,分别是维护频率和正常运行时长,其中维护频率是指在1周内对该信息系统的维护频率,正常运行时长是自系统上次被成功攻击并被修复后正常运行的时长。可接受对象说明了一个事件的发生概率或其损失等在决策者的可接受范围之内,在此范围内的事件均无需采取应急措施。在本实施例中,遭受攻击的可接受风险阈值AAvul为2h内每个攻击所允许的最大数量,漏洞的可接受风险阈值AVs测v为可接受的最大漏洞数,维护频率MF为相应目标所在组织内部的正常维护频率,正常运行时长采用平均故障间隔时间(MTBF)来表示,其中vul代表利用相应类型漏洞展开的攻击,sev代表相应漏洞的威胁程度。显然,理想情况下,遭受攻击的次数和漏洞数量应为0。
[0068] 本实施例中,将period设定为2h,所获取的待分析对象、可接受对象、理想对象的各指标值如表1所示。
[0069] 表1待分析对象、可接受对象、理想对象的指标值
[0070]
[0071]
[0072] 根据表1中的各指标值得到原始数据矩阵OM为:
[0073]
[0074] 步骤2:利用改进的接近理想解的排序方法TOPSIS(Technique for Order Preference by Similarity to an Ideal Solution)对待评估对象进行定量刻画;
[0075] 在获取了一个待评估信息系统的相应指标值后,便需要将其与标准信息系统间的差距进行定量刻画。对于一个包含多个指标的待评估对象来说,如何对其每个指标的权重进行合理分配是一个重要问题。主成分分析法PCA除了在降维中可以使用外,其另一个重要应用便是根据计算出的成分矩阵来对相应的指标进行权重的赋值。不过,在PCA的应用过程中没有考虑每个指标的属性,即效益(beneficial)或是成本(costing)属性。在TOPSIS中,一个指标的属性可以为效益属性或是成本属性:一个效益属性(Beneficial Attribute)对目标具有积极作用,而成本属性(Costing Attribute)与之相反,对目标有负面作用。TOPSIS根据待分析对象与理想解之间的接近程度来对一个目标进行定量的刻画,而确定每个指标的权重是该方法中的重要步骤。在本发明中,将PCA与TOPSIS方法进行结合,提出一种改进的TOPSIS分析方法,利用成分矩阵中的计算结果作为TOPSIS方法中指标的权重,降低了人为赋予权重的主观性,使分析结果更加客观。具体算法如下所示:
[0076] 步骤2.1:利用主成分分析法PCA对原始数据矩阵OM进行p个主成分的提取,并计算主成分对应的权重;
[0077] 步骤2.1.1:使用z-score对原始数据OM={omk,u|k=1,2…T,u=1,2,3}进行标准化,本实施例中,T=14;
[0078]
[0079] 其中omk,u表示原始数据矩阵OM中第k个指标在第u个对象中的指标值,u=1指第1个对象表示可接受对象,u=2第2个对象表示待分析对象,u=3第3个对象表示理想对象,表示原始数据矩阵OM中第k个指标在三个对象中的平均值,σk表示第k个指标在三个对象中的指标值形成的方差,即
[0080] 步骤2.1.2:计算待评估对象中各指标的协方差矩阵
[0081]
[0082] 步骤2.1.3:求协方差矩阵RS的特征值λ1≥λ2≥...≥λT和正交向量ek(k=1,2…T),T为待评估对象中指标的总数量;
[0083] 步骤2.1.4:计算贡献度,并选取前p个满足式(3)中θ的特征值,得到主成分数量p:
[0084]
[0085] 其中λh、λa表示协方差矩阵RS的特征值,θ表示主成分的贡献度,即主成分能对原问题解释θ的程度,一般取θ>0.9;
[0086] 同时也可以计算出主成分对应的权重为:
[0087] 主成分对应的权重为:
[0088]
[0089] 在本发明的优选实施例中,基于原始数据矩阵OM,在SPSS 24.0中计算贡献程度表,如表1贡献程度表(部分)所示:
[0090] 表1贡献程度表(部分)
[0091]
[0092] 从上表可以看出前两个主成分就可以对变量进行100.000%的解释,且只有前两个主成分的特征值大于1,在后续的分析中将主成分的数量定为2。
[0093] 步骤2.2:根据所提取的p个主成分,计算获取成分矩阵,得到成分矩阵中每个指标在p个主成分下的权重分配情况系数,将该权重分配情况系数标准化后作为TOPSIS中相应指标的权重,并根据权重分配情况系数的大小调整各指标的属性,所述指标属性是指在指标体系中,每个指标具有两个属性之一,分别为效益属性或成本属性;
[0094] 经过步骤2.1提取了2个主成分后便可以获得成分矩阵,成分矩阵中的值反映了待分析对象中各指标与当前主成分间的关系。其具体步骤如下所示:
[0095] 成分矩阵的列向量li(i=1,2,…,p)代表各指标在不同主成分下的权重分布情况:
[0096]
[0097] 利用公式(5)得到表1所示的成分矩阵:
[0098] 表1成分矩阵
[0099]
[0100] 对各指标在不同主成分下的情况进行标准化后得到各指标的系数εi,k(i=1,2,…,p,k=1,2,…,T),并将其作为TOPSIS中各指标的权重:
[0101]
[0102] li,k表示第k个指标在第i个主成分下的权重分布情况,li,a表示第a个指标在第i个主成分下的权重分布情况。每个指标在不同主成分中的系数通常是不同的,当运用TOPSIS方法计算待分析对象与理想解的接近程度时,每个权重都应为正数,因此在这里利用绝对值将这些系数进行转化。
[0103] 根据权重分配情况系数大小对指标属性进行调整。指标属性是指在指标体系中,每个指标具有两个属性之一,分别为效益属性或成本属性,在本实施例中,只有a1和a2两个指标的属性是效益属性,其余指标的属性均为成本属性。根据在成分矩阵中的系数决定这里的属性特征如何进行改变,当系数为正数时不变,当为负数时效益属性与成本属性二者特性互换。从表1可以看出不同指标对应系数的符号是不一样的,根据公式(7)对指标的属性进行调整。
[0104]
[0105] ai,k代表在第i个主成分下第k个指标属性。计算得到各指标的权重后,便可以应用TOPSIS对待分析对象与理想解的接近程度(proximity)进行计算,具体为:
[0106] 步骤2.3:计算每个主成分下待评估对象、可接受对象和理想对象中各指标与TOPSIS中正负理想解之间的接近程度,对不同主成分下的接近程度进行整合得到加权接近程度,其中,正理想解是指各指标的效益属性取该指标在待评估对象、可接受对象和理想对象中效益属性的最大值,负理想解是指各指标的成本属性取该指标在待评估对象、可接受对象和理想对象中成本属性的最小值;
[0107] 步骤2.3.1:对原始数据矩阵OM进行标准化,得到
[0108]
[0109] 步骤2.3.2:计算标准化后的原始数据在每个主成分下的加权矩阵Ti=(ti,k,u)∈RT×3(i=1,2,…,p):
[0110] ti,k,u=pk,u·εi,k (9)
[0111] ti,k,u表示对象u中第k个指标在第i个主成分下的值;
[0112] 步骤2.3.3:计算第k个指标在每个主成分下的正理想解ti,k*与负理想解ti,k0:
[0113]
[0114]
[0115] 步骤2.3.4:计算待分析对象、可接受对象和理想对象与正理想解间和负理想解在主成分i下的距离di,u*和di,u0(i=1,2,…,p,u=1,2,3):
[0116]
[0117]
[0118] 步骤2.3.5:计算待分析对象、可接受对象和理想对象在主成分i下与正理想解的*接近程度Proi,u(i=1,2,…,p):
[0119]
[0120] 应用TOPSIS计算每个待分析对象在不同主成分下与理想解的接近程度,计算结果如表2所示:
[0121] 表2三个对象在不同主成分下与理想解的接近程度
[0122] Proi,u* 可接受对象 理想对象 待分析对象第一主成分 0.0620 1 0.8150
第二主成分 0.0178 1 0.9474
[0123] 步骤2.3.6:对不同主成分下的接近程度进行整合得到加权接近程度Prou;
[0124] 计算待分析对象、可接受对象和理想对象在不同主成分下与正理想解的加权接近程度Prou:
[0125]
[0126] ωi表示各主成分的权重,在步骤2.1中计算得到。计算结果如表3所示:
[0127] 表3主成分权重
[0128]ω1 ω2
0.8121 0.1879
[0129] 利用公式15计算得到每个对象与正理想解的加权接近程度:
[0130] Prou=0.8121·Pro1,u*+0.1879·Pro2,u*
[0131] Pro1表示可接受对象与理想解的接近程度,Pro2表示待分析对象与理想解的接近程度,Pro3表示理想对象与理想解的接近程度。利用TOPSIS计算得到的接近程度都在[0,1]区间之内。计算结果如表4所示:
[0132] 表4各对象与理想解的加权接近程度
[0133]对象 可接受对象 理想对象 待分析对象
加权接近程度 0.0537 1 0.8398
[0134] 步骤2.4:根据加权接近程度计算待分析对象的分数。
[0135]
[0136] 其中,可接受对象的分值为Vpass,理想对象的分值为100。
[0137] 由于理想对象是待分析对象的最优情况,因此对待分析对象计算出的接近程度Pro2不会大于Pro1;当计算出的接近程度Pro2大小在Pro1和Pro3之间时,最后的计算分数显然在100和Vpass之间,利用公式16的第一个子公式即可计算出待分析对象的分数;当计算出的接近程度Pro2低于Pro1时,意味着待分析对象比可接受对象的情况差,此时利用公式(16)的第二个子公式对分数进行计算。在这里,Vpass通常由决策者根据实际情况定性给出。
[0138] 为给待分析对象信息系统一个定量化的评分,将Vpass的值定为60,则待分析系统的分数如下所示:
[0139]
[0140] 该待分析对象的接近程度位于理想对象和可接受对象之间,利用以上计算式得到其定量化的分数。
[0141] 在本发明的优选实施例中,决策者可以利用如下分数指标体系:
[0142] 分数段 级别V≥90 安全
90>V≥80 较安全
80>V≥70 一般
70>V≥60 较危险
60>V 危险
[0143] 从计算结果可以看出,该待分析系统安全,遭受Web攻击的风险较低。
[0144] 此外,本发明还给出了一种信息系统遭受Web攻击风险的评估系统,包括处理器,以及与所述处理器连接的存储器,存储器上存储有信息系统遭受Web攻击风险的评估程序,该程序处理器执行时实现了上述方法。
[0145] 本发明通过将主成分分析(PCA)和TOPSIS(Technique for Order Preference by Similarity to an Ideal Solution)方法进行结合,针对一个单独的评估对象,另外设置了理想对象和可接收对象,然后利用主成分分析法PCA计算得到的成分矩阵中的系数归一化后作为TOPSIS法中待评估对象指标的权重,降低了TOPSIS法中权重设定的主观性,不需要依靠专家经验进行评判,通过本发明的方法及系统快速有效的给出待评估对象一个具体的量化分数。
