王 鵬， 徐建良

(1.中國海洋大學(xué)信息科學(xué)與工程學(xué)院， 山東 青島 266100； 2.青島市保密技術(shù)服務(wù)中心， 山東 青島 266000；3.青島市保密科技測評(píng)中心， 山東 青島 266000)

信息系統(tǒng)安全可能受到外部攻擊破壞、內(nèi)部威脅以及系統(tǒng)本身所產(chǎn)生的意外事故，這些問題都可能導(dǎo)致數(shù)據(jù)泄露和更嚴(yán)重的后果，包括服務(wù)的被迫中斷、敏感信息的泄露甚至威脅到國家安全[1]。要確保信息系統(tǒng)安全，需要依據(jù)風(fēng)險(xiǎn)管理的核心理論[2]，對(duì)內(nèi)外部威脅與資源進(jìn)行解析，降低安全風(fēng)險(xiǎn)發(fā)生概率，任何可能引發(fā)風(fēng)險(xiǎn)發(fā)生的環(huán)節(jié)都要妥善處理。因此，對(duì)信息系統(tǒng)進(jìn)行持續(xù)性的安全風(fēng)險(xiǎn)評(píng)估是十分必要的。

基于概率推理的貝葉斯網(wǎng)絡(luò)(Bayesian network，BN)具有強(qiáng)大的推理能力，能夠處理不確定和不完整性問題，特別是對(duì)于安全風(fēng)險(xiǎn)分析領(lǐng)域具有較好的適用性，常用于解決復(fù)雜系統(tǒng)不確定性和關(guān)聯(lián)性故障診斷、風(fēng)險(xiǎn)預(yù)測、關(guān)鍵風(fēng)險(xiǎn)因素識(shí)別等問題。

本文通過探索信息系統(tǒng)在不同威脅風(fēng)險(xiǎn)因素影響下可能導(dǎo)致的不同狀態(tài)，構(gòu)建多態(tài)事件樹，演化貝葉斯網(wǎng)絡(luò)以實(shí)現(xiàn)對(duì)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，在此基礎(chǔ)上提供對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行深入分析的定量依據(jù)，有助于形成有效處理機(jī)制，最終達(dá)到識(shí)別威脅、區(qū)分風(fēng)險(xiǎn)優(yōu)先級(jí)的目的。

1 貝葉斯網(wǎng)絡(luò)

1.1 概念

貝葉斯網(wǎng)絡(luò)，又稱信念網(wǎng)絡(luò)(Belief network)，是一種概率圖形模型，它使用貝葉斯推理進(jìn)行概率計(jì)算。貝葉斯網(wǎng)絡(luò)的目標(biāo)是通過在有向圖中用邊表示條件依賴來模擬條件依賴，從而模擬因果關(guān)系。貝葉斯網(wǎng)絡(luò)廣泛用于概率推理，具有非常廣泛的適用性，能夠?qū)崿F(xiàn)從大量樣本數(shù)據(jù)中進(jìn)行機(jī)器學(xué)習(xí)、診斷推理和因果推理。

貝葉斯網(wǎng)絡(luò)是一個(gè)有向無圈圖，其中節(jié)點(diǎn)代表隨機(jī)變量，節(jié)點(diǎn)間的邊代表變量之間的直接依賴關(guān)系。每個(gè)節(jié)點(diǎn)都附有一個(gè)概率分布，根節(jié)點(diǎn)X附帶的是它的邊緣分布，而非根節(jié)點(diǎn)X附帶的是條件概率分布。圖1是一個(gè)典型的貝葉斯網(wǎng)絡(luò)示意圖，其中每個(gè)節(jié)點(diǎn)都是一個(gè)變量，可以處于有限數(shù)量的狀態(tài)之一，節(jié)點(diǎn)之間的鏈接或箭頭表示這些節(jié)點(diǎn)之間的因果關(guān)系。圖1中的所有變量都是布爾變量，但是變量可以擁有的狀態(tài)數(shù)沒有限制，如果兩個(gè)節(jié)點(diǎn)之間沒有邊則意味著條件獨(dú)立性，此時(shí)節(jié)點(diǎn)的概率分布可以通過考慮其父節(jié)點(diǎn)的分布來確定。以此類推，可以指定整個(gè)網(wǎng)絡(luò)的聯(lián)合概率分布，這種關(guān)系可以用微積分中的鏈?zhǔn)椒▌t從數(shù)學(xué)上捕捉。

1.2 貝葉斯網(wǎng)絡(luò)推理算法

貝葉斯網(wǎng)絡(luò)中，在對(duì)特定一組證據(jù)變量進(jìn)行賦值后，可以推斷目標(biāo)變量的精確概率分布(邊際分布和條件分布)，但在大規(guī)模連通網(wǎng)絡(luò)中，隨著極大團(tuán)規(guī)模增大，計(jì)算復(fù)雜度呈指數(shù)增長，無法完全實(shí)施精確推理，此時(shí)會(huì)采用近似推理算法，能夠以較低的復(fù)雜度和較高的計(jì)算效率獲得近似解。近似推理算法主要有基于搜索的方法和蒙特卡洛算法。常見的精確推理算法包括：

圖1 典型貝葉斯網(wǎng)絡(luò)示意圖Fig.1 The schematic diagram of typical Bayesian network

(1) 樹傳播推理算法(Polytree propagation)

該算法僅適用于具有多變結(jié)構(gòu)的網(wǎng)絡(luò)，也稱為單連通網(wǎng)絡(luò)，這一算法是貝葉斯網(wǎng)絡(luò)中最早的推理算法之一，由于算法可以給執(zhí)行的每個(gè)子計(jì)算賦予特定的概率意義，因此從計(jì)算意義上賦予了不同的認(rèn)知維度，這一算法是循環(huán)信念傳播算法這種近似推理算法的基礎(chǔ)。

(2)連接樹推理算法(Junction tree propagation)

連接樹算法的思想是一種將聯(lián)合概率的全局計(jì)算分解成局部計(jì)算鏈接集的方法，這種算法明確了圖論局部性和有效概率推理之間的重要關(guān)系。

(3)符號(hào)推理(Symbolic probabilistic inference，SPI[3])

SPI算法是目標(biāo)導(dǎo)向的，只執(zhí)行那些響應(yīng)查詢所需的計(jì)算，多適用于具有離散值變量的貝葉斯網(wǎng)絡(luò)。

為提高運(yùn)算速度，開發(fā)出很多貝葉斯網(wǎng)絡(luò)工具，這些工具提供不同的推理算法，有些工具還配有引擎機(jī)制，配合這些算法可以完成模型應(yīng)用，常見推理引擎有聯(lián)合樹推理引擎、全局聯(lián)合樹推理引擎、信念傳播推理引擎以及消除推理引擎等。

2 貝葉斯網(wǎng)絡(luò)在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過程的應(yīng)用

2.1 方法的適用性

概率安全評(píng)估是以定量評(píng)估為主，定性與定量結(jié)合的一種評(píng)估工作，可以分為兩大類：靜態(tài)方法和動(dòng)態(tài)方法。靜態(tài)方法以事件樹/故障樹、二元決策圖等方法為代表；動(dòng)態(tài)方法主要包括Petri網(wǎng)、Markov狀態(tài)轉(zhuǎn)移矩陣、動(dòng)態(tài)邏輯分析法、連續(xù)事件樹和時(shí)間序列圖等方法。近年來快速發(fā)展的貝葉斯網(wǎng)絡(luò)技術(shù)可以根據(jù)需要構(gòu)建靜態(tài)評(píng)估和動(dòng)態(tài)評(píng)估模型，具有很多優(yōu)點(diǎn)，非常適用于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估：

(1)貝葉斯網(wǎng)絡(luò)類似神經(jīng)元網(wǎng)絡(luò)，具有可靠地?cái)?shù)據(jù)理論基礎(chǔ)，可以很好的描述非單調(diào)性、關(guān)聯(lián)性以及非確定性邏輯關(guān)系等能力，能夠充分描述人的推理過程。

(2)貝葉斯網(wǎng)絡(luò)可以定量化描述評(píng)估過程，其中的因果關(guān)系易于理解，可通過專家經(jīng)驗(yàn)獲取先驗(yàn)知識(shí)。

(3)貝葉斯概率所具有的連續(xù)性和積累性非常符合安全評(píng)估場景需要，評(píng)估不僅體現(xiàn)了現(xiàn)有狀態(tài)，還是歷史和先驗(yàn)信息的反應(yīng)。

(4)目前存在很多成熟的推理算法和軟件工具。

2.2 國內(nèi)外研究現(xiàn)狀

鑒于貝葉斯網(wǎng)絡(luò)模型對(duì)于當(dāng)今復(fù)雜多樣的信息系統(tǒng)建模非常有用，有很多研究提出了信息安全風(fēng)險(xiǎn)評(píng)估的貝葉斯網(wǎng)絡(luò)模型。Frigault等[3-4]將相關(guān)安全風(fēng)險(xiǎn)因素，如漏洞代碼或補(bǔ)丁的可用性結(jié)合到基于攻擊圖的安全度量中，形成動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)的模型來測量網(wǎng)絡(luò)安全性。Wang等[5]創(chuàng)建了基于風(fēng)險(xiǎn)評(píng)估過程的動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)模型，通過對(duì)信息系統(tǒng)進(jìn)行分析計(jì)算風(fēng)險(xiǎn)的概率，同時(shí)進(jìn)行了動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)模型與靜態(tài)貝葉斯網(wǎng)絡(luò)模型的分析和比較實(shí)驗(yàn)。Sevilay等[6]提出了一種基于貝葉斯網(wǎng)絡(luò)和模糊推理系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法，相關(guān)模型被開發(fā)用于分析軟件服務(wù)公司的測試過程，以便評(píng)估信息安全風(fēng)險(xiǎn)，其利用威脅、漏洞、風(fēng)險(xiǎn)以及它們之間的關(guān)系實(shí)現(xiàn)貝葉斯網(wǎng)絡(luò)建模，并為每個(gè)風(fēng)險(xiǎn)因素計(jì)算邊際概率。

我國很多高等院校和科研機(jī)構(gòu)在數(shù)據(jù)挖掘、醫(yī)療診斷、輔助智能決策等方面對(duì)貝葉斯網(wǎng)絡(luò)進(jìn)行了大量研究[7-10]，取得了部分成果。有一些研究團(tuán)隊(duì)將貝葉斯網(wǎng)絡(luò)用于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過程：李歡等[11]利用貝葉斯網(wǎng)絡(luò)攻擊圖來判斷網(wǎng)絡(luò)中可能存在的攻擊路徑，實(shí)現(xiàn)了攻擊者為達(dá)到攻擊目標(biāo)而采取的所有可能攻擊方法的可視化，便于發(fā)現(xiàn)網(wǎng)絡(luò)中存在的所有可能發(fā)生的潛在攻擊過程；王文思等[12]將并行隨機(jī)森林方法與貝葉斯網(wǎng)絡(luò)相結(jié)合，建立了網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型，通過計(jì)算當(dāng)前網(wǎng)絡(luò)在某些條件下發(fā)生危險(xiǎn)的概率，來判斷網(wǎng)絡(luò)是否處于安全狀態(tài)，并及時(shí)發(fā)現(xiàn)導(dǎo)致網(wǎng)絡(luò)不安全的最大潛在因素。

總體來講，國內(nèi)在這一領(lǐng)域的整體研究還處于起步階段，應(yīng)用也比國外少得多，特別是對(duì)復(fù)雜狀態(tài)下的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估還缺乏相關(guān)研究。

3 基于貝葉斯網(wǎng)絡(luò)的信息系統(tǒng)多態(tài)概率安全風(fēng)險(xiǎn)評(píng)估方法

3.1 多態(tài)系統(tǒng)事件樹

工業(yè)領(lǐng)域?qū)收系呐袛嘧畛踔挥袃煞N狀態(tài)：正常和故障。傳統(tǒng)的故障樹方法對(duì)事件也只有二態(tài)性的假設(shè)，即發(fā)生和不發(fā)生，分別用1和0表示[13]。網(wǎng)絡(luò)系統(tǒng)安全評(píng)估不同于對(duì)故障的判斷，它的狀態(tài)更為復(fù)雜，會(huì)存在多態(tài)形式，比如定義某種安全威脅的嚴(yán)重等級(jí)為：低風(fēng)險(xiǎn)(Low)、一般風(fēng)險(xiǎn)(General)、高風(fēng)險(xiǎn)(High)和嚴(yán)重風(fēng)險(xiǎn)(Severe)。

貝葉斯網(wǎng)絡(luò)可以描述出事件的多態(tài)性，通過貝葉斯網(wǎng)絡(luò)構(gòu)建多態(tài)系統(tǒng)安全評(píng)估模型，可以計(jì)算出評(píng)估結(jié)果發(fā)生的概率、重要度，同時(shí)可以進(jìn)行預(yù)測或診斷，幫助評(píng)估者獲取更多輔助決策信息。

SE1E2……En=SE1?SE2?…?SEn。

3.2 基于貝葉斯網(wǎng)絡(luò)的多態(tài)系統(tǒng)概率安全風(fēng)險(xiǎn)評(píng)估模型

3.2.1 多態(tài)事件樹轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò) 用發(fā)生事件的狀態(tài)空間笛卡爾積表示的多態(tài)事件樹，其組成事件的所有狀態(tài)都是由同一事件節(jié)點(diǎn)發(fā)出的，用圖形表示為一個(gè)節(jié)點(diǎn)對(duì)應(yīng)多個(gè)分支狀態(tài)，分支的尾部與后續(xù)事件的起始節(jié)點(diǎn)相連，并不斷持續(xù)形成其他事件分支。從形式上看，多態(tài)事件樹并沒有多復(fù)雜，但計(jì)算過程中會(huì)出現(xiàn)狀態(tài)爆炸的情況，特別是不同事件存在相互依賴關(guān)系時(shí)，目前還沒有適合的算法。本文提出在使用貝葉斯網(wǎng)絡(luò)進(jìn)行多態(tài)風(fēng)險(xiǎn)事件樹的求解，能夠利用建模工具部分緩解狀態(tài)爆炸影響，可用于識(shí)別信息系統(tǒng)的有限威脅狀態(tài)并進(jìn)行風(fēng)險(xiǎn)評(píng)估。

具有3個(gè)事件E1、E2和E3的任何事件樹可以由貝葉斯網(wǎng)絡(luò)表示，其中有兩種類型的邊組成了網(wǎng)絡(luò)：

結(jié)果關(guān)系邊(貝葉斯網(wǎng)絡(luò)中一般由實(shí)線所示)將每個(gè)事件節(jié)點(diǎn)連接到結(jié)果節(jié)點(diǎn)。這種關(guān)系是確定性的，可基于結(jié)果節(jié)點(diǎn)的概率表對(duì)事件和結(jié)果之間的邏輯關(guān)系進(jìn)行編碼。

因果關(guān)系邊(貝葉斯網(wǎng)絡(luò)中一般由虛線表示)將每個(gè)事件節(jié)點(diǎn)連接到稍后的所有事件，例如事件E1指向E2的虛線邊即E1影響E2的概率(或者E1是事件E2的因果因素)。這種表示方法具有通用性，因?yàn)楣?jié)點(diǎn)和邊只取決于事件的數(shù)量。然而，在貝葉斯網(wǎng)絡(luò)僅用于確定后果概率時(shí)，因果關(guān)系邊是不必要的，需對(duì)貝葉斯網(wǎng)絡(luò)進(jìn)行簡化，本文中不考慮因果關(guān)系邊。

3.2.2 算法 多態(tài)事件樹轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò)的過程如下：

設(shè)初始事件E0有三種狀態(tài)，分別是：L、M和H，第一個(gè)事件E1有兩種狀態(tài)，分別是：Y和N，第二個(gè)事件E2有兩種狀態(tài)F和S，則最后結(jié)果節(jié)點(diǎn)O的條件概率分布如下：

P(O=O1|E0=L,E1=Y,E2=F)=p1，

P(O=O2|E0=L,E1=Y,E2=S)=p2，

……

P(O=O11|E0=H,E1=N,E2=F)=p11，

P(O=O12|E0=H,E1=N,E2=S)=p12。

由此可見，多態(tài)事件樹中的任一事件序列，表示的是該事件序列中的各環(huán)節(jié)狀態(tài)轉(zhuǎn)換順序，在此基礎(chǔ)上可得多態(tài)事件樹(Polymorphic event tree，PET)轉(zhuǎn)換為貝葉斯網(wǎng)絡(luò)的基本算法：

圖2 多態(tài)事件樹向貝葉斯網(wǎng)絡(luò)的轉(zhuǎn)化過程示意圖Fig.2 The schematic diagram of transformation process from an polymorphic event tree to the Bayesian network

Step1：進(jìn)入PET，將Initial Event作為BN初始二態(tài)節(jié)點(diǎn)(Initial node，IN)；

Step2：根據(jù)事件樹順序遍歷PET，將其他事件對(duì)應(yīng)在在中建立相應(yīng)節(jié)點(diǎn)，建立PET與BN狀態(tài)空間映射關(guān)系；

Step3：建立多態(tài)輸出結(jié)果向量O，其輸出狀態(tài)為{Oi}，O的每個(gè)狀態(tài)對(duì)應(yīng)事件樹的一個(gè)結(jié)果，BN中的每個(gè)NEi與Oi節(jié)點(diǎn)相連接；

Step4：根據(jù)多態(tài)事件樹的邏輯分支建立輸出結(jié)果向量O的條件概率分布(見圖2)。

3.3 基于外部攻擊的多態(tài)事件樹構(gòu)建貝葉斯網(wǎng)絡(luò)

3.3.1 模型構(gòu)建 以外部攻擊導(dǎo)致信息系統(tǒng)安全事件為例，首先攻擊者要先進(jìn)入系統(tǒng)內(nèi)部網(wǎng)絡(luò)(假設(shè)可能通過web漏洞攻擊或者水坑攻擊進(jìn)入內(nèi)網(wǎng))，進(jìn)入內(nèi)部網(wǎng)絡(luò)后假設(shè)需要尋找應(yīng)用系統(tǒng)漏洞來突破核心系統(tǒng)，在此基礎(chǔ)上通過弱口令、暴力破解等方法獲取特權(quán)賬號(hào)，然后通過繞過存儲(chǔ)介質(zhì)管控或打印刻錄管控等內(nèi)網(wǎng)安全措施的方式完成數(shù)據(jù)竊取，可以得到面對(duì)特定外部攻擊的信息系統(tǒng)安全事件樹(見圖3)。

圖3 面對(duì)特定外部攻擊的信息系統(tǒng)安全事件樹Fig.3 The information system security event tree facing external attacks

4個(gè)根節(jié)點(diǎn)——進(jìn)入內(nèi)部網(wǎng)絡(luò)(EN)、突破核心系統(tǒng)(BK)、竊取特權(quán)賬號(hào)(GR)和繞過安全措施(VS)概率分布暫不賦值，對(duì)應(yīng)數(shù)據(jù)泄露貝葉斯網(wǎng)絡(luò)(見圖4(a))，整個(gè)網(wǎng)絡(luò)中各環(huán)節(jié)可以進(jìn)一步分解其對(duì)應(yīng)事件樹。以竊取特權(quán)賬號(hào)(GR)事件為例，可能通過木馬植入(TH)、漏洞攻擊(VA)和密碼破解(PC)等事件實(shí)現(xiàn)，對(duì)應(yīng)的事件圖不再分析，可以得到竊取特權(quán)賬號(hào)對(duì)應(yīng)的貝葉斯網(wǎng)絡(luò)(見圖4(b))。

從圖3可以看出，共有9種類型結(jié)果，分別是內(nèi)部及敏感數(shù)據(jù)泄露、重要數(shù)據(jù)泄露、核心數(shù)據(jù)泄露、核心服務(wù)無法運(yùn)行、核心數(shù)據(jù)和重要數(shù)據(jù)被破壞、內(nèi)網(wǎng)潛伏和處于安全狀態(tài)，對(duì)上述9種狀態(tài)進(jìn)行歸并，最終得到4種狀態(tài)，分別是數(shù)據(jù)泄露(DR)、系統(tǒng)被破壞(SD)、內(nèi)網(wǎng)潛伏(IL)和安全(SE)，作為系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的4種結(jié)果。將細(xì)化后的竊取特權(quán)賬號(hào)根節(jié)點(diǎn)整合入原有貝葉斯網(wǎng)絡(luò)，得到整合后的數(shù)據(jù)泄露貝葉斯網(wǎng)絡(luò)(見圖4(c))。

圖4 系統(tǒng)安全風(fēng)險(xiǎn)貝葉斯網(wǎng)絡(luò)Fig.4 The Bayesian network of system security risk

已確定貝葉斯網(wǎng)絡(luò)的情況下，需要根據(jù)已知證據(jù)節(jié)點(diǎn)變量的概率分布，利用條件概率的計(jì)算方法，計(jì)算出所關(guān)注節(jié)點(diǎn)變量發(fā)生的概率。在本示例中，利用已知貝葉斯網(wǎng)絡(luò)圖4(c)，根據(jù)木馬植入、漏洞攻擊和密碼破解等節(jié)點(diǎn)事件發(fā)生概率，可推理系統(tǒng)安全風(fēng)險(xiǎn)發(fā)生的概率。

整個(gè)推理過程需要借助貝葉斯網(wǎng)絡(luò)推理工具來實(shí)現(xiàn)。目前有很多貝葉斯網(wǎng)絡(luò)構(gòu)建工具，例如Hugin Expert、BayesBuider、BN Toolkit、JavaBayes、Netica等。其中Netica是基于Java開發(fā)的使用較廣泛的貝葉斯網(wǎng)絡(luò)開發(fā)軟件[16]，其設(shè)計(jì)目的是簡單可靠和高性能。貝葉斯網(wǎng)絡(luò)中的未知變量可以通過多種形式來表示其適當(dāng)?shù)闹祷蚋怕剩l形圖和儀表盤，設(shè)計(jì)好的案例可以方便地保存到文件中，在任何變量或參數(shù)發(fā)生變化時(shí)，可以再代入網(wǎng)絡(luò)以進(jìn)行進(jìn)一步推理分析。

利用Netica軟件構(gòu)建貝葉斯網(wǎng)絡(luò)時(shí)，初始的信度柵均為50(50%)，在本例中即木馬植入、漏洞攻擊和密碼破解等節(jié)點(diǎn)事件的發(fā)生風(fēng)險(xiǎn)的可能性為50%。通過學(xué)習(xí)大量上述風(fēng)險(xiǎn)事件統(tǒng)計(jì)數(shù)據(jù)(Netica調(diào)用樣本數(shù)據(jù)集后執(zhí)行參數(shù)學(xué)習(xí)功能)，最終獲得基于實(shí)際樣本數(shù)據(jù)集的推理網(wǎng)絡(luò)。如圖5所示，經(jīng)過某特定信息系統(tǒng)風(fēng)險(xiǎn)事件統(tǒng)計(jì)樣本學(xué)習(xí)后，木馬植入事件的發(fā)生概率為20%，漏洞攻擊事件發(fā)生概率為10%，密碼破解事件發(fā)生概率為10%，此時(shí)竊取到特權(quán)賬號(hào)的可能性可以推理出來為18.5%；根據(jù)樣本數(shù)據(jù)學(xué)習(xí)到攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)事件發(fā)生概率為10%，突破核心系統(tǒng)的可能概率為30%，繞過安全措施的可能概率為20%，最后可以獲得系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析結(jié)果，其中數(shù)據(jù)泄露(DR)概率為17.2%、系統(tǒng)被破壞(SD)的概率為18.3%、內(nèi)網(wǎng)潛伏(IL)的概率為20%，系統(tǒng)處于安全狀態(tài)(SE)的概率為44.5%。

3.3.2 實(shí)驗(yàn)評(píng)估

3.3.2.1 調(diào)整特定事件的發(fā)生概率 根據(jù)調(diào)整某些特定事件的發(fā)生概率，可以獲得狀態(tài)更新后的推理網(wǎng)絡(luò)(見圖6)，在其他安全事件發(fā)生概率不變，繞過安全措施的風(fēng)險(xiǎn)事件不可能發(fā)生的情況下，系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分析結(jié)果有所變化，其中安全狀態(tài)(SE)的概率提升為51.5%，內(nèi)部潛伏的可能性降低為14.4%。

3.3.2.2 敏感性分析 香農(nóng)的信息論中，互信息(Mutual information，MI)是衡量父節(jié)點(diǎn)對(duì)子節(jié)點(diǎn)重要度的指數(shù)[17]。在信息系統(tǒng)風(fēng)險(xiǎn)分析過程中，特定事件所導(dǎo)致的風(fēng)險(xiǎn)傳類似信息流通，Netica將MI作為衡量敏感性分析的重要指標(biāo)。除此以外還有熵減百分比(Percent)和方差(Variance)[18]。根據(jù)圖6所示的貝葉斯網(wǎng)絡(luò)，以“系統(tǒng)安全風(fēng)險(xiǎn)分析”為查詢節(jié)點(diǎn)的敏感性分析如表1所示。

基于特定攻擊事件發(fā)生的先驗(yàn)概率貝葉斯網(wǎng)絡(luò)，當(dāng)給定各個(gè)風(fēng)險(xiǎn)事件發(fā)生概率，同時(shí)結(jié)合各自的聯(lián)合概率，即可計(jì)算出特定事件概率與導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)的MI值，據(jù)此評(píng)估出攻擊事件的重要度。由表1可知，對(duì)“數(shù)據(jù)泄露”最有影響力的節(jié)點(diǎn)是“突破核心系統(tǒng)”，同時(shí)其熵減百分比和方差也最大，說明“數(shù)據(jù)泄露”概率對(duì)“突破核心系統(tǒng)”節(jié)點(diǎn)概率變化的敏感程度最大。

圖5 系統(tǒng)安全風(fēng)險(xiǎn)分析貝葉斯網(wǎng)絡(luò)模型(Netica v5.18)Fig.5 The Bayesian network model for system security risk analysis (Netica v5.18)

圖6 調(diào)整后的系統(tǒng)安全風(fēng)險(xiǎn)分析貝葉斯網(wǎng)絡(luò)模型(Netica v5.18)Fig.6 The adjusted Bayesian network model for system security risk analysis (Netica v5.18)

表1 以“系統(tǒng)安全風(fēng)險(xiǎn)分析”為查詢節(jié)點(diǎn)的事件敏感性分析Table 1 Event sensitivity analysis with “system safety analysis” as query node

4 結(jié)論

貝葉斯網(wǎng)絡(luò)應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)，可通過嚴(yán)格的數(shù)學(xué)方式來模型化信息系統(tǒng)風(fēng)險(xiǎn)分析過程，具有很高的計(jì)算效率和很強(qiáng)的適應(yīng)性，但其仍具有局限性：

(1)系統(tǒng)在實(shí)際使用中會(huì)有意想不到的風(fēng)險(xiǎn)事件發(fā)生，從而造成系統(tǒng)用戶對(duì)各類系統(tǒng)風(fēng)險(xiǎn)估計(jì)不足。系統(tǒng)通常會(huì)遇到以下異?；蛞馔馇闆r，如：外部非法入侵、內(nèi)部竊密、惡意軟件攻擊、物理損害(包括：自然災(zāi)害、環(huán)境破壞等)、無作為或操作失誤、安全管理不到位、越權(quán)或?yàn)E用、信息篡改等[19-20]，但仍有一些風(fēng)險(xiǎn)事件無法預(yù)知，即便這些風(fēng)險(xiǎn)屬于小概率事件，也容易造成整個(gè)系統(tǒng)的風(fēng)險(xiǎn)被低估。所以必須考慮系統(tǒng)因無法預(yù)測而遭遇其他風(fēng)險(xiǎn)。

(2)注意在貝葉斯推理處理中使用先驗(yàn)知識(shí)的質(zhì)量和程度。貝葉斯網(wǎng)絡(luò)僅在先驗(yàn)知識(shí)可靠時(shí)才有用，對(duì)這些先驗(yàn)知識(shí)的質(zhì)量過于樂觀或悲觀會(huì)扭曲整個(gè)網(wǎng)絡(luò)并使結(jié)果無效，特別是對(duì)數(shù)據(jù)建模時(shí)所依賴的統(tǒng)計(jì)分布選擇。選擇合適的分布模型來描述某類風(fēng)險(xiǎn)的發(fā)生概率，對(duì)網(wǎng)絡(luò)評(píng)估結(jié)果的質(zhì)量有著顯著影響。

因此，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)充分分析相似系統(tǒng)曾經(jīng)發(fā)生的風(fēng)險(xiǎn)事件，并統(tǒng)計(jì)其發(fā)生的可能性，分析和統(tǒng)計(jì)工作的充分性將能夠提高貝葉斯網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的可靠性。