基于AHP和D-S證據(jù)理論的民航信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

張西武，李志平，李躍凱

（1.中國(guó)民用航空局信息中心，北京 100710；2.中國(guó)民航大學(xué)a.計(jì)算機(jī)學(xué)院；b.信息網(wǎng)絡(luò)測(cè)評(píng)中心，天津 300300）

信息系統(tǒng)安全性風(fēng)險(xiǎn)評(píng)估是民航信息系統(tǒng)建設(shè)的關(guān)鍵環(huán)節(jié)，為信息系統(tǒng)的安全保障提供重要依據(jù)[1]?；诿窈叫畔⑾到y(tǒng)的現(xiàn)狀，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估顯得尤為重要。目前，有關(guān)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究基本可分為以下兩個(gè)層面。第1 個(gè)層面主要研究風(fēng)險(xiǎn)評(píng)估模型，常用方法有模糊綜合評(píng)價(jià)法[2]、層次分析法[3]、D-S證據(jù)理論[4]、灰色系統(tǒng)理論[5]等。如黃蕓[6]提出一種基于多維系統(tǒng)(SoS,system of systems)建模理論的多維層次分析法(AHP, analytic hierarchy process)評(píng)估模型，從各個(gè)子系統(tǒng)之間的關(guān)聯(lián)出發(fā)，對(duì)由子系統(tǒng)構(gòu)成的復(fù)雜系統(tǒng)集進(jìn)行較為全面的多維評(píng)估；Luo 等[7]提出兩階段灰色綜合測(cè)度風(fēng)險(xiǎn)評(píng)估模型，有效降低了評(píng)估過程中的模糊性和不確定性，計(jì)算結(jié)果可用于系統(tǒng)之間安全風(fēng)險(xiǎn)的橫向比較；方陽[8]利用層次分析法確定指標(biāo)體系中各層要素的權(quán)重，通過D-S 證據(jù)理論進(jìn)行風(fēng)險(xiǎn)合成。此外，反向傳播(BP,back propagation)神經(jīng)網(wǎng)絡(luò)、故障樹分析(FT,fault tree)也可用于建立風(fēng)險(xiǎn)評(píng)估模型，但這兩種方法均需要嚴(yán)格、準(zhǔn)確的樣本數(shù)據(jù)，實(shí)際中很難獲得。第2 個(gè)層面是對(duì)參與風(fēng)險(xiǎn)計(jì)算的安全因素的量化研究，如葉云等[9]將攻擊圖結(jié)合通用漏洞評(píng)估系統(tǒng)(CVSS,common vulnerability scoring system)形成貝葉斯網(wǎng)絡(luò)，然后通過其提出的一系列算法得出脆弱點(diǎn)的風(fēng)險(xiǎn)概率；柴繼文等[10]在層次分析法的基礎(chǔ)上對(duì)風(fēng)險(xiǎn)評(píng)估要素進(jìn)行量化，減少了各要素間的耦合性，并創(chuàng)造性地構(gòu)建偏量判斷矩陣，使評(píng)估結(jié)果可直觀顯示系統(tǒng)所面臨的風(fēng)險(xiǎn)；賀學(xué)智[11]在模糊綜合分析的基礎(chǔ)上，引入信息熵對(duì)專家打分的有效性進(jìn)行檢驗(yàn)，降低了評(píng)分的主觀性程度。此外，部分學(xué)者有針對(duì)性地對(duì)民航信息系統(tǒng)安全性風(fēng)險(xiǎn)評(píng)估進(jìn)行研究，如韓迎亞[12]建立了基于模糊綜合評(píng)價(jià)的整體安全性評(píng)估模型，并應(yīng)用于民航離港系統(tǒng)安全性評(píng)估。

以上模型與評(píng)估方法大多過程繁瑣、周期長(zhǎng)、實(shí)用性不強(qiáng)。在總結(jié)現(xiàn)有評(píng)估模型與量化方法的基礎(chǔ)上，針對(duì)民航信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，提出一種基于AHP 和D-S 證據(jù)理論的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法。將信息熵與改進(jìn)D-S 證據(jù)理論相結(jié)合的數(shù)據(jù)融合方法降低了專家主觀性程度，解決了D-S 理論在處理沖突時(shí)因組合規(guī)則歸一化導(dǎo)致的“一票否決”等現(xiàn)象。該方法評(píng)價(jià)過程更加簡(jiǎn)潔方便，評(píng)估結(jié)果更加準(zhǔn)確客觀，適用于民航信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。

1 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法構(gòu)建

評(píng)估流程如圖1 所示。

圖1 信息系統(tǒng)評(píng)估流程Fig.1 Information system evaluation flow

1.1 構(gòu)建評(píng)估指標(biāo)體系

構(gòu)建評(píng)估系統(tǒng)層次結(jié)構(gòu)[13]，將信息系統(tǒng)安全評(píng)估分為物理安全、網(wǎng)絡(luò)安全、運(yùn)行安全和管理安全，并將每個(gè)部分再進(jìn)行細(xì)分，如圖2 所示。

圖2 信息系統(tǒng)層次結(jié)構(gòu)圖Fig.2 Hierarchy diagram of information system

1.2 各層權(quán)重的確定

層次分析法是一種定性與定量相結(jié)合的層次權(quán)重決策分析方法，通過對(duì)各要素之間相對(duì)重要程度的判斷來確定各要素權(quán)重，具體方法如下：

Step 1：構(gòu)造判斷矩陣對(duì)同一層各要素進(jìn)行兩兩比較，通過每?jī)蓚€(gè)要素之間的相對(duì)重要程度等級(jí)構(gòu)造判斷矩陣，比較的各要素須關(guān)聯(lián)于上層的同一要素。n個(gè)評(píng)估要素需構(gòu)造1 個(gè)n×n 的判斷矩陣M，M 中的元素mij代表要素xi相對(duì)要素xj的重要性程度之比，一般采用九級(jí)標(biāo)度法表示，取值方法如表1 所示。

表1 九級(jí)標(biāo)度表Tab.1 Nine-level scale

Step 2：計(jì)算一致性指標(biāo)首先對(duì)得到的判斷矩陣每一列元素進(jìn)行歸一化處理，即

其中，i，j=1，2，…，n。然后按行相乘，得出特征向量

其中，Mg,i表示Mg的第i 個(gè)元素。

計(jì)算一致性指標(biāo)CI，即

CI 的值越接近于0，判斷矩陣的一致性越好。對(duì)于階數(shù)不同的判斷矩陣，一致性誤差的判斷不同，CI的要求也不同。一般通過CI 與平均隨機(jī)一致性指標(biāo)RI 的商值CR 來修正一致性指標(biāo)，即

若CR ＜0.1，則判定該判斷矩陣滿足一致性要求，否則需要調(diào)整判斷矩陣。RI 取值如表2 所示。

表2 RI 取值Tab.2 RI value

Step 3：層次單排序計(jì)算各元素的相對(duì)權(quán)重，將判斷矩陣的特征向量歸一化，得出層次單排序，即

Step 4：層次總排序依層次結(jié)構(gòu)從上往下計(jì)算出每層元素的組合權(quán)重，得出層次總排序。

1.3 隸屬度矩陣的確定

心理學(xué)研究結(jié)果顯示，人類最多可有效判斷5～9個(gè)級(jí)別。為簡(jiǎn)便計(jì)算，將評(píng)價(jià)集分為5 級(jí)，并將其量化值范圍定義為[0，1]，分別定為很低VL（0.1）、低L（0.3）、中等M（0.5）、高H（0.7）、很高VH（0.9）。然后利用高斯隸屬函數(shù)得出專家評(píng)價(jià)值隸屬5 個(gè)不同風(fēng)險(xiǎn)等級(jí)的程度，即

其中：x 為計(jì)算隸屬函數(shù)所需的值；u 為函數(shù)中心；δ 為函數(shù)寬度，也就是專家對(duì)評(píng)估結(jié)果的不確定程度，δ 值越小，表明專家對(duì)評(píng)估結(jié)果的確信程度越高。定義5個(gè)不同風(fēng)險(xiǎn)等級(jí)的隸屬函數(shù)中心分別為0、0.25、0.5、0.75、1，則其對(duì)應(yīng)的隸屬函數(shù)分別為

則物理安全的隸屬矩陣為

網(wǎng)絡(luò)安全的隸屬度矩陣為

同理可得出運(yùn)行安全和管理安全的隸屬度矩陣MR和MC。

1.4 沖突值K 的計(jì)算

若有n 個(gè)專家進(jìn)行評(píng)估，共m 個(gè)風(fēng)險(xiǎn)等級(jí)，利用證據(jù)理論中沖突值K 的計(jì)算方法，其時(shí)間復(fù)雜度為O（mn）。引入矩陣分析法[14]進(jìn)行計(jì)算，時(shí)間復(fù)雜度降為O（m2×n），可大幅提高計(jì)算效率，具體方法如下。

假設(shè)確定的隸屬度矩陣為

矩陣中任意一個(gè)元素mij表示專家i 為風(fēng)險(xiǎn)j 等級(jí)給出的基本概率分配，顯然，矩陣每一行的和等于1。將M1進(jìn)行轉(zhuǎn)置后與M2相乘，得到矩陣

將V1主對(duì)角線元素構(gòu)成的列矩陣同M3相乘，得到

依此類推，n 個(gè)專家的評(píng)估結(jié)果融合完成得到矩陣Vn-1，將所有矩陣即V1至Vn-1的非對(duì)角線元素相加，所得之和即沖突值K。

1.5 各等級(jí)證據(jù)權(quán)重的確定

信息熵在不確定性量的表示中有著顯著的效果。為了克服沖突值K 較大時(shí)D-S 證據(jù)理論出現(xiàn)異常情況，引入信息熵結(jié)合D-S 證據(jù)理論方法[15]對(duì)證據(jù)進(jìn)行融合。引入距離函數(shù)，利用指數(shù)熵進(jìn)行權(quán)值分配，確定各證據(jù)的權(quán)重系數(shù)，有效解決了計(jì)算過程中易出現(xiàn)的無窮大現(xiàn)象，提高了計(jì)算精度。

設(shè)Θ 為識(shí)別空間，di是Θ 上的焦元，i=1，2，…，n。m 是識(shí)別空間上的基本概率分配函數(shù)（BPA），m（A）為所有證據(jù)對(duì)A 的基本可信度。若共有N 組證據(jù)函數(shù)，記mt={dt1，dt2，…，dti}，i=1，2，…，n，t=1，2，…，N。

首先按如下公式重新分配各證據(jù)的沖突概率分配函數(shù)PA，即

其中，|·|為焦元的勢(shì)，表示其所含元素個(gè)數(shù)。然后計(jì)算相同焦元在不同證據(jù)情況下的沖突差，即

將所得沖突差歸一化

對(duì)歸一化后的值進(jìn)行指數(shù)熵運(yùn)算

權(quán)值可看作是熵值的逆運(yùn)算，因此各證據(jù)的權(quán)值可表示為

由此得出各證據(jù)新的權(quán)重分布，指數(shù)熵運(yùn)算采用歸一化的值，即∑ωt=1。

1.6 綜合計(jì)算確定系統(tǒng)安全等級(jí)

利用改進(jìn)的D-S 證據(jù)理論，將多個(gè)獨(dú)立證據(jù)的融合結(jié)果表示為

其中：K 為沖突值；ωA為確定的各證據(jù)權(quán)值，表示所有證據(jù)對(duì)A 的平均支持程度；KωA表示將K 值按權(quán)值比例分配給A。

最后，結(jié)合1.1 節(jié)層次分析法確定的權(quán)值和1.5節(jié)確定的支持程度，通過加權(quán)平均的去模糊化方法求得信息系統(tǒng)所面臨的整體風(fēng)險(xiǎn)值。

2 案例驗(yàn)證

2.1 實(shí)例計(jì)算

邀請(qǐng)3 位專家依據(jù)圖2 信息系統(tǒng)層次結(jié)構(gòu)圖中給出的影響要素，為某民航信息系統(tǒng)打分，要求給出各要素的風(fēng)險(xiǎn)等級(jí)和對(duì)評(píng)分結(jié)果的不確定度。網(wǎng)絡(luò)安全評(píng)分示例，如表3～表5 所示。

表3 專家A 評(píng)分結(jié)果Tab.3 Rating result by Expert A

表4 專家B 評(píng)分結(jié)果Tab.4 Rating result by Expert B

表5 專家C 評(píng)價(jià)結(jié)果Tab.5 Rating result by Expert C

利用上述專家數(shù)據(jù)構(gòu)造隸屬度矩陣，得出各專家的BPA 值，歸一化后所得值如表6 所示。利用式（23）對(duì)專家打分進(jìn)行數(shù)據(jù)融合，結(jié)果如表7 所示。

2.2 結(jié)果分析

由表6 可知3 位專家中有2 位認(rèn)為N3為中等安全等級(jí)，有1 位專家認(rèn)為N3為低安全等級(jí)。

表6 三位專家的BPATab.6 BPA of three experts

表7 數(shù)據(jù)融合結(jié)果Tab.9 Result of data fusion

傳統(tǒng)方法評(píng)分結(jié)果融合后卻顯示中等安全等級(jí)的概率基本為1，無法反映低安全等級(jí)評(píng)價(jià)結(jié)果。而改進(jìn)方法則可以較好地融合專家的評(píng)分?jǐn)?shù)據(jù)，準(zhǔn)確如實(shí)地反映專家評(píng)分情況，可信度更高，如表8 所示。

表8 改進(jìn)方法與傳統(tǒng)方法數(shù)據(jù)融合結(jié)果對(duì)比Tab.8 Data fusion result comparison between improved and traditional methods

每個(gè)信息系統(tǒng)準(zhǔn)則層的相關(guān)權(quán)重系數(shù)不盡相同，需對(duì)不同情況分別加以分析，因此利用層次分析法確定準(zhǔn)則層的相關(guān)權(quán)重更具科學(xué)性。

3 結(jié)語

提出一種基于AHP 和改進(jìn)D-S 證據(jù)理論的風(fēng)險(xiǎn)評(píng)估方法，并引入矩陣分析法和信息熵，利用矩陣分析法計(jì)算沖突值K，利用信息熵和改進(jìn)的D-S 證據(jù)理論重新獲得證據(jù)分布。利用AHP 得出準(zhǔn)則層的相關(guān)權(quán)重并通過綜合計(jì)算最終確定信息系統(tǒng)的整體安全值。最后依據(jù)所構(gòu)建的信息系統(tǒng)評(píng)估體系，對(duì)具體民航信息系統(tǒng)進(jìn)行實(shí)例化分析，并將其結(jié)果同傳統(tǒng)方法進(jìn)行對(duì)比，結(jié)果表明，該評(píng)估方法更符合民航信息系統(tǒng)的現(xiàn)狀，具有更好的應(yīng)用性和可靠性。