基于貝葉斯網絡的等級保護風險評估模型研究

趙一鳴，謝 炯,王 鋼，陳曉宇,李曉彤

(1.內蒙古電力集團蒙電信息通信產業有限責任公司，內蒙古 呼和浩特 010000；2.內蒙古工業大學，內蒙古 呼和浩特 010000；3.內蒙古礦業(集團)有限責任公司，內蒙古 呼和浩特 010000)

0 引言

隨著信息安全等級保護測評工作的推進，測評過程中產生了海量的測評數據，但在測評工作結束以后，這些測評數據往往“石沉大海”，沒有被有效利用起來。從信息系統等級保護測評數據開始，綜合運用定性和定量的方法，將各項測評數據進行轉換、計算、分析等處理，運用貝葉斯網絡算法對系統進行風險評估[1]，可以了解系統中潛在的危害，并針對性地加以識別防范，從而提高系統抗風險強度并進一步保障被測評系統的安全運行。

用概率理論的貝葉斯網絡方法來描述不同因素之間的關系，是一種基于有向無環圖的概率推理方法，其體現節點間的概率相關性，同時能夠較為有效地處理現實生活中的不確定性問題。許多專家都使用貝葉斯網絡方法進行風險評估，并應用于交通事故[2]、銀行系統[3]、電力供應和大型工程[4]等方面。

1 等級保護和貝葉斯網絡

貝葉斯網絡對處理現實生活中的不確定性問題有明顯的效果，其具有很強的計算能力，能夠通過已知信息運算預測未知信息[5]，進而形成準確性較高的推理結果。通過貝葉斯網絡算法對系統的等級保護測評數據進行分析推理，達成對系統的風險評估。

風險評估過程主要分為以下幾個階段：(1)首先安全測評機構對系統進行等級保護測評，從等級保護測評結果中獲得測評數據；(2)通過對數據進行層次分析，確定各節點指標之間的依賴關系以及關系強度，構造出等級保護數據拓撲結構；(3)定性和定量的風險評估方法，首先，通過測評數據中測評項的識別，經過專家經驗以及歷史數據的統計分析，定性計算出各節點指標的先驗概率以及條件概率，然后，通過上述概率定量的計算出各個節點的后驗概率，形成貝葉斯網絡風險模型；(4)貝葉斯網絡因果推理。結合上述模型，確定在系統已出現故障的情況下，通過先驗概率、條件概率、后驗概率聯合推理出導致故障出現的測評項風險概率(即故障定位)，其中使用的計算分析方法是貝葉斯網絡因果推理算法。隨后根據后驗概率和風險概率等對被測評系統給出風險評價，使用戶可以更加全面地了解被測評系統的安全態勢，并給出相應的安全風險化解解決方法。圖1所示為風險評估模型研究流程圖。

圖1 風險評估模型研究流程圖

1.1 貝葉斯網絡模型的建立

通過已知測評數據的層次拓撲結構以及測評節點之間的關系強度，構建一個以測評項為下層父節點，層面結構和控制點為中間子節點的貝葉斯網絡拓撲結構。其中構成模型的最下層是無有向邊輸入的父節點；構成模型的最上層是無有向邊輸出的子節點；中間節點按相對應的關系依次排開，并且同一層節點之間相互獨立且符合伯努利分布，如圖2所示。

圖2 貝葉斯網絡模型

1.2 模型節點先驗概率的確定

根據歷史數據或專家主觀經驗判斷得出的各測評項發生的概率被稱為先驗概率，此類概率未經過實驗驗證，屬于檢驗前的概率。利用專家經驗從資產、威脅、脆弱性三個方面確定先驗概率的過程是一個主觀模糊的過程，因為沒有統一的參考標準，所以結果往往不夠準確。根據科學研究中工作人員的語言表達習慣在語言量詞和實際數值之間建立了一種相對應關系，通過專家的評價對先驗概率的值進行參數確定。將多位專家的結果進行平均分析，就可以基本上確定最終的概率值。

其次由于不同專家的知識程度和經驗水平略有不同，導致不同的專家得到的結果正確性有差異，因此在此種情況下，需要對專家的權重進行分析。假設若有z個專家就某參數值n進行分析，記ni,i=0,1,2,3…,z為第i個專家給出的參數值，Wi為第i個專家的權重，

表1為專家權重的判斷標準，通過表中計算得出節點先驗概率的數值如表2所示。

表1 專家權重判斷標準

表2 節點先驗概率值表

1.3 條件概率

條件概率表征父節點運行狀態對子節點運行狀態影響程度，貝葉斯網絡采用條件概率矩陣確定上層子節點與下層父節點之間的關系。采用的條件概率是從歷史數據中獲取變量參數的概率分布，同時按照發生的可能性概率填入表中。表3為圖2中崗位設置的條件概率。

表3 條件概率

1.4 聯合概率推理

利用當前給定的拓撲結構和節點的狀態，通過式(1)所示貝葉斯網絡運算公式，計算節點發生問題的概率，形成基于等級保護的貝葉斯網絡模型。

(1)

上式即為重要的貝葉斯網絡公式，其中P(Li)的值為先驗概率，P(Li|R)的值需要根據先驗概率P(Li)和觀測數據重新修正后得到，被稱為后驗概率。通過上述先驗概率、條件概率得到后驗概率值，其中運算過程使用貝葉斯網絡算法。

然后，利用上述已經構建完成的貝葉斯網絡，可以使用故障診斷理論對貝葉斯網絡重新定義，即假設系統發生故障的情況下，故障可能發生節點的概率變化，其中運用的算法是貝葉斯網絡因果推理算法，其中算法的偽代碼如下所示。

貝葉斯網絡因果推理算法偽代碼

輸入：貝葉斯網絡概率結構模型G(包括子節點概率Score、條件概率GL)。確定因果推理中因(即父節點概率變化Fuscore)發生情況；

輸出：貝葉斯網絡因果推理結果模型。

1、G←貝葉斯網絡概率結構模型

2、Sum←0

3、Sumf←0

//反向F的和

4、C←[]

5、Cf←[]

6、Fori←0 to Score.length

7、 do C[i]←0;Cf[i]←0

8、End for

9、Fori←0 to GL.length

10、 do GLocate←PrefixInteger(i.toString(2),Score.length)

//調用函數PrefixInteger(T=0,

F=1)，的個數依順序的二進制變換，與子節點數量同步補零

(T=0,F=1)，根據二值邏輯確定條件概率(T和F)的位置分布

11、 B←1

12、 Forj←0 to Score.length

13、 do B←B*Score[j]GLocate[j]

//同為一個父節點的j個子節點概率概率乘積

14、 End for

15、 Sum←Sum+B*GL[i]*Fuscore

//上述概率乘

積與每個條件概率(GL)為T以及父節點T變化的乘積之總和

16、 Sumf←Sumf+B*(100-GL[i])*(100-Fuscore)

//上述概率

乘積與每個條件概率(GL)為F以及父節點F變化的乘積之總和

17、 Fork←0 to C.length

18、 do C[k]←C[k]+B*GL[i]*Fuscore

//子節點為C=T時概率

19、 Cf[k]←Cf[k]+B*(100-GL[i])*(100-Fuscore)

//子節點為Cf=T時概率

20、 End for

21、End for

22、Forn←0 to C.length

C[n]←(C[n]+Cf[n])/(Sum+Sumf)

23、End for

//C[n]即為因果推理中出現的果(由父節點原因引起變化的概率導致n個子節點的概率變化結果)

圖3即為構造的貝葉斯網絡因果推理風險概率，并由圖中概率情況對被測評系統做風險評價。

圖3 貝葉斯網絡因果推理概率

2 實驗仿真

通過上述風險評估過程的計算，下面介紹使用貝葉斯網絡對等級保護測評數據進行風險評估的實例，以某電力單位財務部門等級保護測評數據為樣本，分別對應用安全、物理安全、網絡結構等方面進行風險評估。首先對測評數據的先驗概率定性分析，得出如表4所示測評分數的先驗概率。

表4 測評分數先驗概率

根據等級保護測評數據(如表5所示)生成貝葉斯網絡拓撲結構。

表5 等級保護測評數據(部分)

風險評估結果圖如圖5、圖6所示。通過拓撲結構的下層節點測評分數得出先驗概率，同時與條件概率得出上層節點的概率值，即為后驗概率；假設當已知系統出現故障的情況下各層節點的概率變化值，也即是當系統發生故障即概率值(T=100)時，相應的節點概率變化。

由圖5、圖6節點概率的變化可以得出如表6所示結果。

圖5 貝葉斯網絡風險評估(上層)

圖6 貝葉斯網絡風險評估(下層)

通過對表6的聯合概率和故障預測概率分析得出，在系統故障已發生的情況下系統建設管理、系統運維管理以及SQl Server 2008等方面風險發生的可能性加大，同時參考歷年標準中定義風險嚴重程度，如下表7所示，系統建設管理、系統運維管理以及SQl Server 2008方面，需以預警的手段通知被測機構方，使被測機構對整體風險態勢有所感知。上述風險評估僅應用于貝葉斯網絡拓撲結構的控制點方面，可以更深層次地對最下層節點進行風險運算，使風險評價更加全面準確。

3 結束語

本文主要研究了基于貝葉斯網絡方法的等級保護測評數據風險評估問題，提出了相應的計算模型，并根據計算模型進行了實例計算。風險評估的過程主要包括模型構造、定性定量計算、貝葉斯網絡計算、貝葉斯網絡因果推理。利用貝葉斯網絡的不確定推理、條件獨立性假設等特性[6]，簡化了模型的運算復雜度，增加了因果推理計算，比較分析風險結果，具有一定的應用價值。但需要指出的是，由于風險的量化問題，評估過程還存在一定的不確定性，下一步研究的重點是如何更好地對測評數據進行量化，從而使風險評估過程更加科學高效。

表6 風險概率結果

表7 風險嚴重程度表