CN112052140B - 一种基于模糊Petri网的信息系统安全态势评估方法 - Google Patents

Abstract

一种基于模糊Petri网的信息系统安全态势评估方法。其包括构建信息系统安全态势评估指标体系；建立模糊Petri网模型；获取专家评价结果；计算库所可信度；获得初始状态矩阵；迭代计算状态矩阵；获得定性信息系统安全等级等步骤。本发明提供的基于模糊Petri网的信息系统安全态势评估方法的有益效果：本发明方法具有直观的图形结构；使用勾股模糊集描述评估指标，相较于传统模糊集与直觉模糊集，可表达的范围更广，对评估指标的描述能力更强；具有推理性，通过设置对变迁等效输入的判断，可避免同一变迁重复触发，从而能够保证在有限迭代次数中获得安全态势评估结果。

Description

一种基于模糊Petri网的信息系统安全态势评估方法

技术领域

本发明属于信息系统安全技术领域，特别是涉及一种基于模糊Petri网(fuzzyPetri net，FPN)的信息系统安全态势评估方法。

背景技术

近年来信息技术产业高速发展，信息系统已经广泛应用于科学、工业、商业、军事、生产等领域，并逐步深入于社会的各个方面，成为我国信息化建设的重要组成部分。然而目前我国信息系统的部分核心器件与软硬件等关键技术尚未完全成熟，这可能成为我国信息化建设的阻力与隐患。当前制约信息系统发挥作用、威胁信息系统安全的主要问题已从技术问题转变为信息系统安全监管问题，而作为信息系统安全监管的重要步骤便是信息系统风险控制与安全态势评估。

目前，信息系统安全态势评估成为了热门的新兴研究领域，近年来国内外学者基于模型的安全态势评估方法已经取得了一些成果。这些方法虽然为信息系统安全建设与管理决策提供了参考，但是也存在一定问题，其中，基于数学模型的评估方法在先验知识建模推理方面不能很好地满足推理要求；而基于深度学习的评估方法在模型表达的过程中，缺乏较为直观的图形结构；基于概率知识的评估方法在数据采集中未考虑到评估中存在的模糊因素与算法复杂程度。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于模糊Petri网的信息系统安全态势评估方法。

为了达到上述目的，本发明提供的基于模糊Petri网的信息系统安全态势评估方法包括按顺序进行的下列步骤：

1)构建信息系统安全态势评估指标体系的S1阶段：构建层次化的信息系统安全态势评估体系，该体系分为目标层、准则层与指标层；其中，目标层由信息系统安全态势指标构成；准则层由主机系统安全、网络安全和数据安全指标；指标层由用户身份鉴别、磁盘使用率、CPU利用率、内存占用率、网络访问控制、网络拓扑结构、网络安全审计、网络流量、数据完整性、数据保密性、数据可用性和备份与恢复指标构成；

2)建立模糊Petri网模型的S2阶段：根据步骤1)中构建的信息系统安全态势评估指标体系建立模糊Petri网模型，将信息系统安全态势评估指标体系中的指标抽象为命题，将安全状态或事件抽象为库所，将安全态势评估状态发生变化的过程抽象为变迁，使由指标抽象出的命题与库所一一对应；利用圆圈表示库所，竖线表示变迁，有向折线表示从库所到变迁或从变迁到库所的关系，由此形成模糊Petri网模型；

3)获取专家评价结果的S3阶段：通过问卷调研、调查系统配置和观测系统日志在内的方式从信息系统获取指标层中各指标的数据，然后由专家按照安全态势等级表对上述数据进行很高、高、中、低、很低五个等级的赋值，将不同等级数据对应的勾股模糊数作为专家评价结果；

4)计算库所可信度的S4阶段：根据指标对应事件的可信程度由专家进行评分而获得指标层中指标对应的库所可信度，根据安全态势评估状态变化过程的可信程度获得变迁可信度，然后利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度；

5)获得初始状态矩阵的S5阶段：将步骤3)中获得的专家评价结果作为初始状态矩阵，将初始状态矩阵中未知的库所勾股模糊数用(0，1)表示；

6)迭代计算状态矩阵的S6阶段：将步骤5)中获得的初始状态矩阵作为信息系统安全态势模糊推理算法的输入，迭代计算初始状态矩阵，得到稳定状态矩阵，之后根据稳定状态矩阵获得信息系统安全态势的评判向量；

7)获得定性信息系统安全等级的S7阶段：由步骤6)中获得的信息系统安全态势的评判向量通过加权得到目标层中指标的评判得分，将评判得分与步骤4)中获得的目标层中指标对应的库所可信度之积作为信息系统综合安全态势评分，最后对照安全态势等级表中的很高、高、中、低、很低五个等级获得定性信息系统安全等级。

在步骤2)中，所述的模糊Petri网模型定义为一个10元组，其具体构成参数如表1所示：

表1、模糊Petri网模型参数说明表

在步骤3中，所述的安全态势等级表如表2所示：

表2、安全态势等级表

在步骤4)中，所述的利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度的具体方法如下：

定义1：设wcs为库所与库所可信度集合，其元素为p，w(p)；

定义2：设tcs为变迁与变迁可信度集合，其元素分别为t，w(t)；

定义3：设tis、tos分别为变迁输入库所与变迁输出库所集合，其元素分别为tis(t)，tos(t)；

定义4：设sps为初始库所集合；

4.1)令u＝1，初始化库所可信度，将未知的库所可信度置为0；

4.2)寻找初始库所集合sps中第u个库所p_u，取出后将其删除；

4.3)若初始库所集合sps集合为空，说明已推导出所有库所可信度，获得目标层中指标对应的库所可信度，则推理完成，停止计算；否则进入下一步；

4.4)遍历变迁输入库所集合tis，若第u个库所p_u属于变迁输入库所集合tis，取出对应的变迁t；

4.5)取出同一变迁下的其他库所tis(t)并将其放入临时库所集合tps中；

4.6)使用G1法确定临时库所集合tps中各库所p_i的权重w_i，并对其进行加权计算，获得等效输入后的库所可信度w_s＝∑w(p_i)w_i；

4.7)遍历变迁输出库所集合tos，取出变迁t输出的库所p_o，若变迁输出的库所可信度w(p_o)<w_s，则令w(p_o)＝w_s，否则，保持变迁t输出的库所p_o的库所可信度不变；令u++，返回步骤4.2)。

在步骤4.6)中，所述的使用G1法确定临时库所集合tps中各库所p_i的权重w_i的方法如下：

4.6.1)对同一变迁下的库所p₁，p₂，…，p_m按重要程度进行排序，参照表3所示的库所重要性量化表确定两两库所的重要性之比r_k：

表3、库所重要性量化表

4.6.2)根据上述重要性之比r_k，利用式(1)计算出其中一个库所的权重w_m：

4.6.3)计算其他库所的权重：w_n-1＝r_nw_n，n＝m，m-1，…，3，2。

在步骤6)中，所述的将步骤5)中获得的初始状态矩阵作为信息系统安全态势模糊推理算法的输入，迭代计算初始状态矩阵，得到稳定状态矩阵，之后根据稳定状态矩阵获得信息系统安全态势的评判向量的方法如下：

定义以下计算规则：

设A、B、C均为变迁输出的勾股模糊数矩阵，m为库所数量，n为变迁数量，l为安全等级数，定义以下计算规则：

输入：输入矩阵I，输出矩阵O，变迁可信度向量U，库所可信度向量W，变迁阈值Th，初始状态矩阵M₀；

输出：信息系统安全态势的评判向量；

6.1)令迭代次数k＝1，迭代计算初始状态矩阵；

6.2)将同一变迁下库所的勾股模糊数根据其权重进行加权计算，变迁下只有一个库所的勾股模糊数保持不变，得到变迁等效输入θ^k；

6.3)判断变迁等效输入θ^k的勾股模糊数是否大于先前的变迁等效输入θ^k-1的勾股模糊数，目的是抑制变迁的重复触发；

6.4)判断变迁等效输入θ^k的勾股模糊数是否大于变迁阈值Th，若大于则表示变迁被触发，否则令触发的变迁输入值为(0,1)，获得支持矩阵H_k；

6.5)基于支持矩阵H_k，使用式(2)计算出变迁输出的勾股模糊数矩阵

6.6)将变迁输出的勾股模糊数矩阵Z_k对应到新的状态矩阵M_k中，并将其与先前的状态矩阵M_k-1中的每一项勾股模糊数相比，取其中较大的勾股模糊数并保留到新的状态矩阵M_k中；

6.7)若M_k＝M_k-1，取当前状态矩阵M_k作为稳定状态矩阵，停止计算并进入下一步，否则返回步骤6.2)；

6.8)取稳定状态矩阵最后一行的向量作为信息系统安全态势的评判向量。

本发明提供的基于模糊Petri网的信息系统安全态势评估方法的有益效果：本发明方法具有直观的图形结构；使用勾股模糊集描述评估指标，相较于传统模糊集与直觉模糊集，可表达的范围更广，对评估指标的描述能力更强；具有推理性，通过设置对变迁等效输入的判断，可避免同一变迁重复触发，从而能够保证在有限迭代次数中获得安全态势评估结果。

附图说明

图1为本发明提供的基于模糊Petri网的信息系统安全态势评估方法流程图。

图2为本发明中构建的信息系统安全态势评估体系构成示意图。

图3为本发明中基于信息系统安全态势评估体系的模糊Petri网(FPN)模型示意图。

图4为采用不同方法的信息系统安全态势评估仿真图。

具体实施方式

下面结合附图及具体实施例对本发明做进一步的说明，但下述实施例绝非对本发明有任何限制。

如图1所示，本发明提供的基于模糊Petri网的信息系统安全态势评估方法包括按顺序进行的下列步骤：

1)构建信息系统安全态势评估指标体系的S1阶段：构建如图2所示的层次化的信息系统安全态势评估体系，该体系分为目标层、准则层与指标层；其中，目标层由信息系统安全态势指标构成；准则层由主机系统安全、网络安全和数据安全指标；指标层由用户身份鉴别、磁盘使用率、CPU利用率、内存占用率、网络访问控制、网络拓扑结构、网络安全审计、网络流量、数据完整性、数据保密性、数据可用性和备份与恢复指标构成；

2)建立模糊Petri网模型的S2阶段：根据步骤1)中构建的信息系统安全态势评估指标体系建立如图3所示的模糊Petri网模型，将信息系统安全态势评估指标体系中的指标抽象为命题，将安全状态或事件抽象为库所，将安全态势评估状态发生变化的过程抽象为变迁，使由指标抽象出的命题与库所一一对应；利用圆圈表示库所，竖线表示变迁，有向折线表示从库所到变迁或从变迁到库所的关系，由此形成模糊Petri网模型；

所述的模糊Petri网模型定义为一个10元组，其具体构成参数如表1所示：

表1、模糊Petri网模型参数说明表

3)获取专家评价结果的S3阶段：通过问卷调研、调查系统配置和观测系统日志在内的方式从信息系统获取指标层中各指标的数据，然后由专家按照安全态势等级表对上述数据进行很高、高、中、低、很低五个等级的赋值，将不同等级数据对应的勾股模糊数作为专家评价结果；

所述的安全态势等级表如表2所示：

表2、安全态势等级表

4)计算库所可信度的S4阶段：根据指标对应事件的可信程度由专家进行评分而获得指标层中指标对应的库所可信度，根据安全态势评估状态变化过程的可信程度获得变迁可信度，然后利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度；

所述的利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度的具体方法如下：

定义1：设wcs为库所与库所可信度集合，其元素为p，w(p)；

定义2：设tcs为变迁与变迁可信度集合，其元素分别为t，w(t)；

定义3：设tis、tos分别为变迁输入库所与变迁输出库所集合，其元素分别为tis(t)，tos(t)；

定义4：设sps为初始库所集合；

4.1)令u＝1，初始化库所可信度，将未知的库所可信度置为0；

4.2)寻找初始库所集合sps中第u个库所p_u，取出后将其删除；

4.3)若初始库所集合sps集合为空，说明已推导出所有库所可信度，获得目标层中指标对应的库所可信度，则推理完成，停止计算；否则进入下一步；

4.4)遍历变迁输入库所集合tis，若第u个库所p_u属于变迁输入库所集合tis，取出对应的变迁t；

4.5)取出同一变迁下的其他库所tis(t)并将其放入临时库所集合tps中；

4.6)使用G1法确定临时库所集合tps中各库所p_i的权重w_i，并对其进行加权计算，获得等效输入后的库所可信度w_s＝∑w(p_i)w_i；

4.7)遍历变迁输出库所集合tos，取出变迁t输出的库所p_o，若变迁输出的库所可信度w(p_o)<w_s，则令w(p_o)＝w_s，否则，保持变迁t输出的库所p_o的库所可信度不变；令u++，返回步骤4.2)。

在步骤4.6)中，所述的使用G1法确定临时库所集合tps中各库所p_i的权重w_i的方法如下：

4.6.1)对同一变迁下的库所p₁，p₂，…，p_m按重要程度进行排序，参照表3所示的库所重要性量化表确定两两库所的重要性之比r_k：

表3、库所重要性量化表

4.6.2)根据上述重要性之比r_k，利用式(1)计算出其中一个库所的权重w_m：

4.6.3)计算其他库所的权重：w_n-1＝r_nw_n，n＝m，m-1，…，3，2。

5)获得初始状态矩阵的S5阶段：将步骤3)中获得的专家评价结果作为初始状态矩阵，将初始状态矩阵中未知的库所勾股模糊数用(0，1)表示；

6)迭代计算状态矩阵的S6阶段：将步骤5)中获得的初始状态矩阵作为信息系统安全态势模糊推理算法的输入，迭代计算初始状态矩阵，得到稳定状态矩阵，之后根据稳定状态矩阵获得信息系统安全态势的评判向量；

具体方法如下：

定义以下计算规则：

设A、B、C均为变迁输出的勾股模糊数矩阵，m为库所数量，n为变迁数量，l为安全等级数，定义以下计算规则：

输入：输入矩阵I，输出矩阵O，变迁可信度向量U，库所可信度向量W，变迁阈值Th，初始状态矩阵M₀；

输出：信息系统安全态势的评判向量；

6.1)令迭代次数k＝1，迭代计算初始状态矩阵；

6.2)将同一变迁下库所的勾股模糊数根据其权重进行加权计算，变迁下只有一个库所的勾股模糊数保持不变，得到变迁等效输入θ^k；

6.3)判断变迁等效输入θ^k的勾股模糊数是否大于先前的变迁等效输入θ^k-1的勾股模糊数，目的是抑制变迁的重复触发；

6.4)判断变迁等效输入θ^k的勾股模糊数是否大于变迁阈值Th，若大于则表示变迁被触发，否则令触发的变迁输入值为(0,1)，获得支持矩阵H_k；

6.5)基于支持矩阵H_k，使用式(2)计算出变迁输出的勾股模糊数矩阵

6.6)将变迁输出的勾股模糊数矩阵Z_k对应到新的状态矩阵M_k中，并将其与先前的状态矩阵M_k-1中的每一项勾股模糊数相比，取其中较大的勾股模糊数并保留到新的状态矩阵M_k中；

6.7)若M_k＝M_k-1，取当前状态矩阵M_k作为稳定状态矩阵，停止计算并进入下一步，否则返回步骤6.2)；

6.8)取稳定状态矩阵最后一行的向量作为信息系统安全态势的评判向量。

7)获得定性信息系统安全等级的S7阶段：由步骤6)中获得的信息系统安全态势的评判向量通过加权得到目标层中指标的评判得分，将评判得分与步骤4)中获得的目标层中指标对应的库所可信度之积作为信息系统综合安全态势评分，最后对照安全态势等级表中的很高、高、中、低、很低五个等级获得定性信息系统安全等级。

图4为在相同实验环境下采用层次分析法(Analytic Hierarchy Process，AHP)、熵权系数法(Entropy-Weight method，EWM)和本发明的评估方法(information systemsecurity situation assessment model based on fuzzy Petri nets，ISSSAF)的信息系统综合安全态势图；由图4可知，随着周数增长，本发明的评估方法波动较小。与其他方法相比，本发明的评估方法使用勾股模糊集，可表达的范围更广，对评估指标具有更强的描述能力，同时模糊Petri网模型具有更强的连续性与推理性，在描述实际系统时更加精细与贴切。

Claims (6)

1.一种基于模糊Petri网的信息系统安全态势评估方法，其特征在于：所述的基于模糊Petri网的信息系统安全态势评估方法包括按顺序进行的下列步骤：

1)构建信息系统安全态势评估指标体系的S1阶段：构建层次化的信息系统安全态势评估体系，该体系分为目标层、准则层与指标层；其中，目标层由信息系统安全态势指标构成；准则层由主机系统安全、网络安全和数据安全指标；指标层由用户身份鉴别、磁盘使用率、CPU利用率、内存占用率、网络访问控制、网络拓扑结构、网络安全审计、网络流量、数据完整性、数据保密性、数据可用性和备份与恢复指标构成；

2)建立模糊Petri网模型的S2阶段：根据步骤1)中构建的信息系统安全态势评估指标体系建立模糊Petri网模型，将信息系统安全态势评估指标体系中的指标抽象为命题，将安全状态或事件抽象为库所，将安全态势评估状态发生变化的过程抽象为变迁，使由指标抽象出的命题与库所一一对应；利用圆圈表示库所，竖线表示变迁，有向折线表示从库所到变迁或从变迁到库所的关系，由此形成模糊Petri网模型；

3)获取专家评价结果的S3阶段：通过问卷调研、调查系统配置和观测系统日志在内的方式从信息系统获取指标层中各指标的数据，然后由专家按照安全态势等级表对上述数据进行很高、高、中、低、很低五个等级的赋值，将不同等级数据对应的勾股模糊数作为专家评价结果；

4)计算库所可信度的S4阶段：根据指标对应事件的可信程度由专家进行评分而获得指标层中指标对应的库所可信度，根据安全态势评估状态变化过程的可信程度获得变迁可信度，然后利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度；

5)获得初始状态矩阵的S5阶段：将步骤3)中获得的专家评价结果作为初始状态矩阵，将初始状态矩阵中未知的库所勾股模糊数用(0，1)表示；

6)迭代计算状态矩阵的S6阶段：将步骤5)中获得的初始状态矩阵作为信息系统安全态势模糊推理算法的输入，迭代计算初始状态矩阵，得到稳定状态矩阵，之后根据稳定状态矩阵获得信息系统安全态势的评判向量；

7)获得定性信息系统安全等级的S7阶段：由步骤6)中获得的信息系统安全态势的评判向量通过加权得到目标层中指标的评判得分，将评判得分与步骤4)中获得的目标层中指标对应的库所可信度之积作为信息系统综合安全态势评分，最后对照安全态势等级表中的很高、高、中、低、很低五个等级获得定性信息系统安全等级。

2.根据权利要求1所述的基于模糊Petri网的信息系统安全态势评估方法，其特征在于：在步骤2)中，所述的模糊Petri网模型定义为一个10元组，其具体构成参数如表1所示：

表1、模糊Petri网模型参数说明表

。

3.根据权利要求1所述的基于模糊Petri网的信息系统安全态势评估方法，其特征在于：在步骤3中，所述的安全态势等级表如表2所示：

表2、安全态势等级表

。

4.根据权利要求1所述的基于模糊Petri网的信息系统安全态势评估方法，其特征在于：在步骤4)中，所述的利用库所可信度和变迁可信度由库所可信度推理算法迭代推导出目标层中指标对应的库所可信度的具体方法如下：

定义1：设wcs为库所与库所可信度集合，其元素为p，w(p)；

定义2：设tcs为变迁与变迁可信度集合，其元素分别为t，w(t)；

定义3：设tis、tos分别为变迁输入库所与变迁输出库所集合，其元素分别为tis(t)，tos(t)；

定义4：设sps为初始库所集合；

4.1)令u＝1，初始化库所可信度，将未知的库所可信度置为0；

4.2)寻找初始库所集合sps中第u个库所p_u，取出后将其删除；

4.3)若初始库所集合sps集合为空，说明已推导出所有库所可信度，获得目标层中指标对应的库所可信度，则推理完成，停止计算；否则进入下一步；

4.4)遍历变迁输入库所集合tis，若第u个库所p_u属于变迁输入库所集合tis，取出对应的变迁t；

4.5)取出同一变迁下的其他库所tis(t)并将其放入临时库所集合tps中；

4.6)使用G1法确定临时库所集合tps中各库所p_i的权重w_i，并对其进行加权计算，获得等效输入后的库所可信度w_s＝∑w(p_i)w_i；

4.7)遍历变迁输出库所集合tos，取出变迁t输出的库所p_o，若变迁输出的库所可信度w(p_o)<w_s，则令w(p_o)＝w_s，否则，保持变迁t输出的库所p_o的库所可信度不变；令u++，返回步骤4.2)。

5.根据权利要求4所述的基于模糊Petri网的信息系统安全态势评估方法，其特征在于：在步骤4.6中，所述的使用G1法确定临时库所集合tps中各库所p_i的权重w_i的方法如下：

4.6.1)对同一变迁下的库所p₁，p₂，…，p_m按重要程度进行排序，参照表3所示的库所重要性量化表确定两两库所的重要性之比r_k：

表3、库所重要性量化表

4.6.2)根据上述重要性之比r_k，利用式(1)计算出其中一个库所的权重w_m：

4.6.3)计算其他库所的权重：w_n-1＝r_nw_n，n＝m，m-1，…，3，2。

6.根据权利要求1所述的基于模糊Petri网的信息系统安全态势评估方法，其特征在于：在步骤6)中，所述的将步骤5)中获得的初始状态矩阵作为信息系统安全态势模糊推理算法的输入，迭代计算初始状态矩阵，得到稳定状态矩阵，之后根据稳定状态矩阵获得信息系统安全态势的评判向量的方法如下：

定义以下计算规则：

设A、B、C均为变迁输出的勾股模糊数矩阵，m为库所数量，n为变迁数量，l为安全等级数，定义以下计算规则：

输入：输入矩阵I，输出矩阵O，变迁可信度向量U，库所可信度向量W，变迁阈值Th，初始状态矩阵M₀；

输出：信息系统安全态势的评判向量；

6.1)令迭代次数k＝1，迭代计算初始状态矩阵；

6.2)将同一变迁下库所的勾股模糊数根据其权重进行加权计算，变迁下只有一个库所的勾股模糊数保持不变，得到变迁等效输入θ^k；

6.3)判断变迁等效输入θ^k的勾股模糊数是否大于先前的变迁等效输入θ^k-1的勾股模糊数，目的是抑制变迁的重复触发；

6.4)判断变迁等效输入θ^k的勾股模糊数是否大于变迁阈值Th，若大于则表示变迁被触发，否则令触发的变迁输入值为(0,1)，获得支持矩阵H_k；

6.5)基于支持矩阵H_k，使用式(2)计算出变迁输出的勾股模糊数矩阵

Z＝(z_ij)＝(μz_ij,νz_ij)_n×l

H＝(h_ij)＝(μh_ij,νh_ij)_n×l

U＝(u_i)_n

6.6)将变迁输出的勾股模糊数矩阵Z_k对应到新的状态矩阵M_k中，并将其与先前的状态矩阵M_k-1中的每一项勾股模糊数相比，取其中较大的勾股模糊数并保留到新的状态矩阵M_k中；

6.7)若M_k＝M_k-1，取当前状态矩阵M_k作为稳定状态矩阵，停止计算并进入下一步，否则返回步骤6.2)；

6.8)取稳定状态矩阵最后一行的向量作为信息系统安全态势的评判向量。