基于AHP-BPNN的信息系統風險評估模型

郝倩，劉春茂

基于AHP-BPNN的信息系統風險評估模型

郝倩，劉春茂

風險評估保證信息系統安全的一種重要技術，信息系統風險受到眾多影響，具有動態性和時變性，為了提高信息系統風險評估的精度，提出一種層次分析法和神經網絡的信息系統風險評估模型(AHP-BP)。首先對當前信息系統風險研究現狀進行分析，并根據專家構建評估指標體系，然后利用層次分析法對評估指標權重進行估計，并根據BP神經網絡建立信息系統風險的評估模型，最后利用信息系統風險數據對評估結果的可靠性進行測試。結果表明，模型可以合理確定評估指標的權重，可以描述信息系統風險因子與期望值間的變化關系，獲得了理想的信息系統風險評估結果，具有一定的實際應用價值。

系統風險；影響因素；指標權重；層次分析法

0 引言

近些年，信息技術的不斷發展和成熟，已經在各個領域得到了深入應用，涌現了大量的信息系統[1,2]。信息系統給人們帶來便利的同時，一些病毒、木馬程序對其安全性進行破壞，使得信息系統存在安全隱患。風險評估可以了解信息系統的風險狀態和安全態勢，因此風險評估成為當前信息系統安全領域待解決的一個難題[3,4]。

針對信息系統風險評估問題，人們展開了系統的研究，當前主要有定性評估、定量評估以及人工智能評估等方法。定性評估方法主要有：歷史比較法、德爾菲法等[5,6]，它們基于經驗知識獲得評估結果，帶有明顯的人為因素，評估結果主觀性強，不科學。定量評估方法主要有：聚類分析、決策樹等[7,8]，它們存在一定的局限性，普適性不強。信息系統風險評估受到眾多影響，具有動態性和時變性，信息系統是一個復雜的系統，定量或者定性評估方法難以進行準確評估，評估誤差大[9]。人工智能法基于現代非線性建模理論，可以反映風險因子與期望值之間的變化關系，主要有神經網絡、支持向量機以及各種改進的人工智能方法[10-12]。在實際應用中，確定信息系統因子的重要性十分關鍵，即權重，當前通常采用人工方式確定，導致權重確定的合理性受到質疑，信息系統安全風險評估結果不完全合理[13]。

為了提高信息系統風險評估的精度，提出一種層次分析法和神經網絡的信息系統風險評估模型（AHP-BP），實驗結果表明，本文模型可以合理確定評估指標的權重，獲得了較優的信息系統風險評估結果。

1 層次分析法和BP神經網絡

1.1 層次分析法

層次分析法（AHP）是一種定性與定量相結合的分析方法，其將一個復雜系統分劃分為目標層、準則層和指標層，變化趨勢，期望值與評估值之間的誤差小，平均評估正確率達到95%以上，遠遠超過信息系統安全實際應用的85%，實驗結果表明，AHP-BPNN可以應用于實際的信息系統風險評估中，評估結果科學、可信。

為了進一步分析AHP-BPNN的優越性，選擇單一層次分析法（AHP）和BP神經網絡（BPNN）以及經典信息系統網絡評估模型[15]進行對比實驗，它們的平均評估正確率如表6所示：

表6 AHP-BPNN與其它模型性能對比

AHP-BPNN的信息系統風險評估準確性要好于其它模型，具有明顯的優勢，為信息系統管理員提供有價值的信息。

5 總結

為了更好的保證信息系統安全，以提高信息系統風險評估的準確性為目標，提出一種層次分析和神經網絡的信息系統風險評估模型。仿真測試結果表明，本文模型是一種精度高、結果可靠的信息系統安全風險評估模型，在信息系統安全管理中具有廣泛的應用前景。

[1] 王禎學,周安民,方勇,等. 信息系統安全風險估計與控制理論[M]. 北京: 科學出版社,2011.

[2] 向宏,傅鸝,詹榜華. 信息安全測評與風險評估[M]. 北京電子工業出版社,2009.

[3] 羅佳,楊世平.基于熵權系數法的信息安全模糊風險評估[J].計算機技術與發展, 2009, 19(10): 177-188.

[4] 王奕,費洪曉,蔣蘋. FAHP方法在信息安全風險評估中的研究[J]. 計算機工程與科學, 2006, 28(9): 4-12.

[5] 李鶴田,劉云,何德全. 基于Markov鏈的信息安全風險評估模型[J]. 鐵道學報, 2007, 29(2): 50-53.

[6] 趙冬梅,劉海峰,劉晨光. 基于BP神經網絡的信息安全風險評估研究[J]. 計算機工程與應用, 2007, 43(1):139-141.

[7] 牛紅惠,劉凌霞. 神經網絡在信息安全風險評估中應用研究[J]. 計算機仿真, 2011, 28(6): 117-120.

[8] 郭金玉,張忠彬,孫慶云. 層次分析法的研究與應用[J].中國安全科學學報,2008,18 (5): 148-153.

[9] 陳亮. 信息系統安全風險評估模型研究[J].中國人民公安大學學報:自然科學版, 2007(4): 51-52.

[10] 鄭雷雷,宋麗華,郭銳,等. 故障樹分析法在信息安全風險評估中的應用[J]. 2011, 38(10): 106-109.

[11] 王帆,霍明奎,王曉婷. 基于模糊灰度的信息系統安全風險評估與對策 [J]. 情報科學, 2014, 32(1): 110-114.

[12] 羅輝,潘平,李換雙. 基于量子神經網絡的信息安全風險評估方法[J]. 貴州大學學報(自然科學版), 2013, 30(1): 74-78.

[13] 慧,黨德鵬.基于RBF 模糊神經網絡的信息安全風險評估[J].計算機工程與設計, 2011, 32(6): 2113-2115.

[14] 付鈺,吳曉平,葉清,彭熙. 基于模糊集與熵權理論的信息系統安全風險評價研究[J]. 電子學報, 2010, 38(7): 1489-1494.

[15] 劉海燕,王維鋒,蔡紅柳. 一個基于神經網絡的信息系統安全性綜合評價模型[J]. 計算機工程與科學, 2008, 30(11): 16-18.

Risk Evaluation of Information System Security Based on AHP-BPNN

Hao Qian, Liu Chunmao
(Henan Polytechnic Institute, Nanyang 473000, China)

Risk assessment is an important technology to ensure the security of information system. Information system risk assessment is subject to a number of effects, and it is dynamic and changeable. In order to improve the accuracy of information system risk assessment, this paper puts forward an information system risk assessment model based on hierarchical analysis method and neural network. At first, the current situation of information system risk are analyzed, and build the evaluation index system according to the experts, and then the analytic hierarchy process is used to estimate the weights of evaluation indexes, and BP neural network is used to establish the information system risk assessment model. At last, the reliability of the evaluation results is tested by using the risk data of information system. The results show that the proposed model can reasonably determine the weight of evaluation index. It can describe relationship between risk factors and expected value of information system, obtain ideal assessment results, and it has certain practical value.

System Risk; Influencing Factor; Index Weight; Analytic Hierarchy Process

TP311

A

1007-757X(2016)08-008-04

2015.12.02）

河南省科技攻關項目（132102210208）.

郝 倩（1983-），女，南陽人，河南工業職業技術學院，電子信息工程系，講師，碩士，研究方向：計算機應用技術研究，南陽，473000

劉春茂（1979-），男，南陽人，河南工業職業技術學院，電子信息工程系，講師，碩士，研究方向：信息處理技術及程序設計開發方法研究，南陽，473000