欢迎来到天天文库
浏览记录
ID:37121132
大小:1.04 MB
页数:3页
时间:2019-05-18
《网络安全风险评估方法分析与比较》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、网络安全网络安全风险评估方法分析与比较12覃德泽蒙军全1贺州学院计算机科学与工程系广西5428002贺州市科技局广西542800摘要:本文首先对目前较有代表性的几种网络安全风险评估方法进行简介,然后逐一分析各自优、缺点,最后对各评估方法进行综合对比,指出网络安全风险评估的发展方向,为研究网络安全风险评估提供参考。关键词:网络安全风险评估;评估方法;分析;比较0前言1.3模糊综合评判法关于网络安全风险评估的研究在国内才十多年的历史,模糊综合评判法就是通过构造风险因素集和评价因素人们已提出了多种不同的评估方法,其中较有
2、代表性的是故集,专家直接打分评判出各风险因素的风险水平,定义隶属障树分析法(FaultTreeAnalysis,FTA)、层次分析法(Analytic函数来建立权重模糊矩阵和关系模糊矩阵,并把权重模糊矩HierarchyProcess,AHP)、模糊综合评判法(FuzzyComprehensive阵和关系模糊矩阵的乘积作为模糊综合评价结果的方法。Evaluationmethod,FCE)和基于贝叶斯、BP神经网络、D_S证据例如,设U={U1,U2,U3}=(资产,威胁,漏洞),为各理论和基于数据场的网络安全风险融
3、合模型等方法。这些方单项因素的集合,称为风险因素集;设V={v1,v2,v3,v4,法从不同的角度去探讨网络安全风险评估问题,各有优、缺v5}=(低,较低,中,较高,高),为各风险级别的集合,称点,下面具体分析。为评价因素集。在对各单项因素进行风险级别评估取得每个1评估方法简介单项因素的等级值后,通过各自的隶属函数定义可分别求出1.1故障树分析法每个单项因素对评价集V中5个风险级别的隶属度,每个单所谓故障树分析法,就是对这些可能造成系统失效的各项因素分别得出一组5个数,三个单项因素便得到3组5个种因素进行分析,并用
4、故障树反映系统内故障或其它事件之数,用这3组5个数组成矩阵(3×5)就是关系模糊矩阵R;间的交互关系的设计分析方法和评估方法。设资产、威胁和漏洞三个因素的权重值分别为β1,β2,β3,用1.2层次分析法此组成的矩阵(1×3)就是权重模糊矩阵B。层次分析法(AHP)是在对系统分析的基础上,将复杂关将权重模糊矩阵B和关系模糊矩阵R相乘,就得到网系分解为由局部简单关系构成的递增层次关系,将前一级的络系统风险的模糊综合评价结果Y。Y为一个1×5的矩阵,评估结果作为下一级的评估输入,构造关系矩阵、权重向量即Y={y1y2y3
5、y4y5},此结果代表最后的综合评估结果隶属和评价矩阵进行模糊综合评估的系统分析和评估方法。通过于第i个风险级别的程度(i=1,2…,5)。综合评估结果的数逐层评判,最终得到目标层的模糊评判矩阵,选取隶属度最值表示则取Y中各元素(值)的加权和,即Y′=1*y1+2*y2+大者所对应的评价集元素作为系统的综合评价结果。如果希3*y3+4*y4+5*y5。望进行安全系统之间的比较,则取目标层的模糊评判矩阵中1.4基于贝叶斯的各元素(值)的加权和作为系统的量化总分。应用层次分析基于贝叶斯网络的评估方法,是以贝叶斯网络为模
6、型,法首先要对系统分层,并建立评估指标体系。对影响风险等级的各种因素采用概率方法结合专家知识进本文由广西教育厅资助项目(200911MS250)资助。作者简介:覃德泽(1962-),男,副教授,研究方向:计算机网络安全、计算机网络安全风险评估。蒙军全(1969-),男,工程师,研究方向:计算机网络工程和计算机网络安全。2011.423网络安全行描述。该方法不仅可以对网络的总体风险进行评估,还能定性与定量相结合的多目标决策分析方法。这一方法的核心分别评估各个局部要素可能引起风险的程度。是将决策者的经验判断给予量化,从
7、而为决策者提供定量形1.5基于BP神经网络式的决策依据。应用BP网络进行风险评估的基本原理是:把用于描缺点:受专家经验、知识限制,主观性强。述评估的各风险因素的风险等级作为神经网络的输入向目前该方法主要用于尚无统一度量尺度的复杂问题的量,将对系统的风险评估值作为神经网络的输出。使用网分析和权值确定,解决用纯参数数学模型方法难以解决的决络前,用一些传统方法评估取得成功的系统样本训练这个策分析问题。网络,使它所特有的权值系数值经过自适应学习后得到正(3)模糊综合评判法确的内部关系,训练好的神经网络便可作为风险评估的有效
8、优点:可量化不确定的因素,能够考虑到客观事务内部工具了。关系的错综复杂性和价值系统的模糊性。1.6基于D_S证据理论缺点:评价结果趋于均化,指标体系难建立,各评估指D_S证据理论主要用于数据融合技术中,近年来在风险标的风险等级和权重都是专家根据自己的知识和经验直接评估中的应用逐渐增多(如项目投资、软件开发风险评估等),给定,主观因素较多,并且这种给定的稍微偏
此文档下载收益归作者所有