CN114363004A

CN114363004A - 风险评估方法、装置、计算机设备和存储介质

Info

Publication number: CN114363004A
Application number: CN202111499310.9A
Authority: CN
Inventors: 章维; 韩智鹏
Original assignee: Shanghai Pudong Development Bank Co Ltd
Current assignee: Shanghai Pudong Development Bank Co Ltd
Priority date: 2021-12-09
Filing date: 2021-12-09
Publication date: 2022-04-15
Anticipated expiration: 2041-12-09
Also published as: CN114363004B

Abstract

本申请涉及一种风险评估方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括：获取待评估的各风险指标对应的风险因素的风险因素值以及风险因素在各风险指标下的类熵权系数；根据预设的信息熵度量算法，计算风险因素的修正因子；根据修正因子对风险因素的风险因素值以及对应的类熵权系数进行修正，得到修正风险因素值和在各风险指标下的修正类熵权系数，并根据修正风险因素值和对应的修正类熵权系数确定每一风险指标的风险值；将各风险指标对应的风险值输入至预先训练的风险评估模型中，确定云计算环境风险等级。采用本方法提高了风险评估的准确性和可靠性。

Description

风险评估方法、装置、计算机设备和存储介质

技术领域

本申请涉及云计算技术领域，特别是涉及一种风险评估方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着云计算技术的兴起，云计算服务中存在的安全风险已然成为云计算发展的严重阻碍，为了加深对云计算安全风险的认识，实现对云计算技术的优化完善，对云计算安全风险的度量和评估成了亟待解决的问题。

传统的云计算安全风险评估方法中普遍运用层次分析法、模糊数学、灰色理论等建立起的信息安全风险评估模型，对云计算服务中包含的多种风险进行安全风险等级评估。

然而，信息安全风险评估模型往往需要由技术人员或者专家学者预先给出待评估的每一风险的个人评估信息，基于个人评估信息，确定风险所处等级。致使传统的云计算安全风险评估中受到的人为主观因素影响过多，造成云计算安全风险评估误差较大且评估结果不具有可靠性。

发明内容

基于此，有必要针对上述技术问题，提供一种风险评估方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

第一方面，本申请提供了一种风险评估方法。所述方法包括：

获取待评估的各风险指标对应的所述风险因素的风险因素值以及所述风险因素在各所述风险指标下的类熵权系数；

根据预设的信息熵度量算法，计算所述风险因素的修正因子；

根据所述修正因子对所述风险因素的风险因素值以及对应的所述类熵权系数进行修正，得到修正风险因素值和在各所述风险指标下的修正类熵权系数，并根据所述修正风险因素值和对应的所述修正类熵权系数确定每一风险指标的风险值；

将各所述风险指标对应的所述风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。

在其中一个实施例中，所述获取待评估的各风险指标对应的所述风险因素的风险因素值以及所述风险因素在各所述风险指标下的类熵权系数之前，所述方法还包括：

获取预设数目样本对象对各风险因素的风险等级投票数据；

统计每一所述风险因素在各风险等级下的投票数目，得到所述风险因素的隶属度向量；每一所述隶属度向量表征所述风险因素对应风险等级的模糊映射；

根据每一所述风险因素的隶属度向量以及所述风险等级，确定每一所述风险因素的风险因素值以及所述风险因素在各所述风险指标下对应的类熵权系数。

在其中一个实施例中，所述根据每一所述风险因素的隶属度向量以及所述风险等级，确定每一所述风险因素的风险因素值以及所述风险因素在各所述风险指标下对应的类熵权系数，包括：

根据每一所述风险因素的隶属度向量中的风险等级投票数据以及投票总数目，得到每一风险等级投票占比；

针对每一所述风险因素，根据风险等级与对应的所述风险等级投票占比进行加权平均计算，得到每一所述风险因素的风险因素值；

获取每一风险指标对应的全部风险因素的风险因素值，计算每一所述风险因素在所述风险指标中的风险因素值占比，作为所述风险因素在所述风险指标下的类熵权系数。

在其中一个实施例中，所述根据所述修正因子对所述风险因素的风险因素值以及对应的所述类熵权系数进行修正，得到修正风险因素值和在各所述风险指标下的修正类熵权系数，包括：

根据所述修正因子与所述风险因素的风险因素值进行乘积运算，得到修正风险因素值；

根据每一所述风险指标对应的全部风险因素的所述修正风险因素值，计算每一所述风险因素在所述全部风险因素中的占比，得到所述风险因素在所述风险指标下的修正类熵权系数。

在其中一个实施例中，每一所述风险因素包括威胁频率指标和损失影响指标，所述风险因素的风险因素值包括威胁频率值和损失影响值，每一所述风险因素的所述威胁频率值在各所述风险指标下对应有类熵权系数。

根据每一所述风险因素的威胁频率隶属度向量以及所述风险等级，确定每一所述风险因素的威胁频率值以及所述风险因素在各所述风险指标下对应的类熵权系数。

根据每一所述风险因素的损失影响隶属度向量以及所述风险等级，确定每一所述风险因素的损失影响值。

在其中一个实施例中，所述修正风险因素值包括修正威胁频率值和修正损失影响值；所述修正威胁频率值在各所述风险指标下对应有修正类熵权系数；

所述根据所述修正风险因素值和对应的所述修正类熵权系数确定每一风险指标的风险值，包括：

根据每一风险指标的全部风险因素的修正损失影响值以及对应的所述修正类熵权系数进行加权平均，得到所述风险指标的损失影响值；

根据预设的马尔科夫链算法以及所述修正类熵权系数，确定各风险指标间的风险转移矩阵；

根据所述风险转移矩阵以及各所述风险指标间的特征信息，计算每一风险指标的稳态概率；

根据每一风险指标的稳态概率以及所述风险指标对应的损失影响值，确定所述风险指标的风险值。

在其中一个实施例中，所述风险评估模型为小波神经网络模型，所述将各所述风险指标对应的所述风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级，包括：

将待评估的各所述风险指标对应的所述风险值输入至预先训练的所述小波神经网络模型；

根据所述小波神经网络模型中隐含层的小波神经网络激活函数对所述风险值进行处理，输出云计算环境的风险等级。

第二方面，本申请还提供了一种风险评估装置。所述装置包括：

获取模块，用于获取待评估的各风险指标对应的所述风险因素的风险因素值以及所述风险因素在各所述风险指标下的类熵权系数；

计算模块，用于根据预设的信息熵度量算法，计算所述风险因素的修正因子；

修正模块，用于根据所述修正因子对所述风险因素的风险因素值以及对应的所述类熵权系数进行修正，得到修正风险因素值和在各所述风险指标下的修正类熵权系数，并根据所述修正风险因素值和对应的所述修正类熵权系数确定每一风险指标的风险值；

确定模块，用于将各所述风险指标对应的所述风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。

第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

上述风险评估方法、装置、计算机设备、存储介质和计算机程序产品，计算机设备获取待评估的各风险指标对应的所述风险因素的风险因素值以及所述风险因素在各所述风险指标下的类熵权系数；根据预设的信息熵度量算法，计算所述风险因素的修正因子；根据所述修正因子对所述风险因素的风险因素值以及对应的所述类熵权系数进行修正，得到修正风险因素值和在各所述风险指标下的修正类熵权系数，并根据所述修正风险因素值和对应的所述修正类熵权系数确定每一风险指标的风险值；将各所述风险指标对应的所述风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。采用本方法，通过模糊映射对风险指标对应的各风险因素进行度量和风险等级评估，并通过预设的修正算法，修正风险等级评估过程中风险数据的人为影响因素，去除等级评估的主观误差，提高风险评估的准确性和可靠性。

附图说明

图1为一个实施例中风险评估方法的流程示意图；

图2为一个实施例中风险指标以及风险因素对应关系示意图；

图3为一个实施例中风险因素量化步骤的流程示意图；

图4为一个实施例中确定风险因素值以及类熵权系数步骤的流程示意图；

图5为一个实施例中修正风险因素值以及类熵权系数步骤的流程示意图；

图6为一个实施例中确定威胁频率值和损失影响值以及对应的类熵权系数步骤的流程图；

图7为一个实施例中确定各风险指标的风险值步骤的流程示意图；

图8为一个实施例中利用小波神经网络模型进行风险评估步骤的流程图；

图9为一个实施例中小波神经网络模型训练的误差收敛变化趋势图；

图10为一个实施例中预设风险值与实际风险值拟合示意图；

图11为一个实施例中模型应用中误差变化趋势图；

图12为一个实施例中风险评估装置的结构框图；

图13为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在一个实施例中，如图1所示，提供了一种风险评估方法，本实施例以该方法应用于终端进行举例说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。本实施例中，该方法包括以下步骤：

步骤102，获取待评估的各风险指标对应的风险因素的风险因素值以及风险因素在各风险指标下的类熵权系数。

在实施中，针对云计算服务中可能存在的风险，划分为多种风险指标。如图2所示，预设的风险指标可以包括6种：云计算基础设施安全、云计算虚拟化安全、云计算应用安全、云计算数据安全、云计算人员安全和云计算安全管理，本申请实施例对于风险指标的划分和设置不做限定。在每一风险指标中又包含有产生该风险的风险因素，例如，云计算基础设施安全指标中包含的风险因素有：数据中心环境安全、物理设备安全和基础架构安全等；云计算虚拟化安全风险中包含的风险因素有：虚拟化平台安全、数据隔离、密钥管理、软件更新及升级和网络恶意攻击等风险因素。上述6种风险指标中共对应有20种风险因素，建立风险因素集：A＝{a₁,a₂,…,a_n}。其中，每一风险指标中可能包含多个风险因素，但同时，每一风险因素不限于只归属于一个风险指标下。例如，数据隔离风险因素既属于云计算虚拟化安全指标又属于云计算数据安全指标。

本申请预先对各风险因素进行量化，根据目标对象投票得到每一风险因素的隶属度向量，进而，基于每一风险因素的隶属度向量计算每一风险因素的风险因素值。在每一风险指标下，计算其所包含的各风险因素的占比，得到该风险指标下包含的各风险因素的类熵权系数。将每一风险因素的风险因素值以及该风险因素在所属风险指标下的类熵权系数存储至目标存储空间，以待进行风险评估。

当需要进行风险指标的风险等级评估时，计算机设备获取待评估的各风险指标对应的风险因素的风险因素值，以及风险因素在各风险指标下的类熵权系数。

步骤104，根据预设的信息熵度量算法，计算风险因素的修正因子。

在实施中，在风险因素的量化过程中计算机设备确定出了风险因素的隶属度向量，而隶属度向量表征的风险因素A＝{α₁,α₂,…,α_n}与风险等级B＝{b₁,b₂,…b_m}的模糊映射由目标样本对象投票获得的，受到人为因素影响，因此，为了减弱人为因素造成的风险评估结果的不准确性，计算机设备根据预设的信息熵度量算法以及各风险因素对应的隶属度向量，计算得到风险因素的修正因子。该修正因子可以表征风险因素的不确定性，当该风险因素的不确定性越高时，该修正因子越小；当该风险因素的不确定性越低时，该修正因子越大。

具体的，基于信息熵度量算法计算风险因素的修正因子的计算公式如下所示：

ε_P(α_i)＝1-H_P(α_i) (2)

其中，H_P(α_i)表示风险因素f_i的不确定性因子，P_it表示风险因素a_i的隶属度向量中第t个的元素，ε_P(α_i)表示风险因素a_i的修正因子。

步骤106，根据修正因子对风险因素的风险因素值以及对应的类熵权系数进行修正，得到修正风险因素值和在各风险指标下的修正类熵权系数，并根据修正风险因素值和对应的修正类熵权系数确定每一风险指标的风险值。

在实施中，计算机设备根据修正因子对各风险因素的风险因素值进行修正，得到修正风险因素值，从而减弱风险因素量化过程中的人为因素影响。然后，针对全部的修正风险因素值，需要重新计算每一风险因素在对应的风险指标下的类熵权系数，作为该风险因素修正后的类熵权系数。进而，计算机设备根据修正后风险因素值以及在风险指标下对应的修正类熵权系数，确定出该风险指标对应的风险值。

步骤108，将各风险指标对应的风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。

在实施中，计算机设备将各风险指标的风险值输入至预先训练的风险评估模型中，经过风险评估模型的运算处理，确定输入的各风险指标对应的风险等级。其中，风险评估模型可以选用预先训练的小波神经网络模型，本申请实施例不做限定。

上述风险评估方法中，计算机设备获取待评估的各风险指标对应的风险因素的风险因素值以及风险因素在各风险指标下的类熵权系数。然后，根据预设的信息熵度量算法，计算风险因素的修正因子。并且根据修正因子对风险因素的风险因素值以及对应的类熵权系数进行修正，得到修正风险因素值和在各风险指标下的修正类熵权系数，并根据修正风险因素值和对应的修正类熵权系数确定每一风险指标的风险值；将各风险指标对应的风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。采用本方法，通过模糊映射对风险指标对应的各风险因素进行度量和风险等级评估，并通过预设的修正算法，修正风险等级评估过程中风险数据的人为影响因素，去除等级评估的主观误差，提高风险评估的准确性和可靠性。

在一个实施例中，如图3所示，在步骤102之前，该方法还包括以下步骤：

步骤302，获取预设数目样本对象对各风险因素的风险等级投票数据。

在实施中，计算机设备获取预设数目的样本对象对各风险因素的风险等级投票数据，即建立风险因素与风险等级间的模糊映射α_i→f(α_i)＝(z_i1,z_i2,…z_im)。例如，15名样本对象(即具备云计算风险评估经验的技术人员)对各风险指标所涉及的多个风险因素(例如，20个风险因素)进行风险等级投票，预设定5个风险等级，因此，每名样本对象可以对这20个风险因素分别进行风险等级投票，并将每名样本对象的投票数据作为一个数据组，进而，可以得到15个投票数据组。

步骤304，统计每一风险因素在各风险等级下的投票数目，得到风险因素的隶属度向量。

其中，每一隶属度向量表征风险因素对应风险等级的模糊映射。

在实施中，针对每名样本对象对每一风险因素的投票数据组，计算机设备统计其在各风险等级下的投票数目。例如，针对风险因素α_i，统计在15名样本对象的投票下得到的统计结果，若针对风险等级1至5，该风险因素f1的风险等级为1级的有0人，该风险因素的风险等级为2级的有1人，认为该其风险等级为3级的有12人，认为其风险等级为4级的有2人，认为其风险等级为5级的有0人。从而，计算机设备也可以确定出每一风险因素的隶属度向量即为：Z_i＝{z_i1,z_i2,…z_im}，i＝1,2,…n。n表示风险因素数目，m表示风险等级数目，针对全部的风险因素，基于样本对象的投票数目，都可以得到对应的隶属度向量，各隶属度向量又可以得到隶属度矩阵。若共20种风险因素，对应5个风险等级，则可以组成20*5维度的隶属度矩阵。

步骤306，根据每一风险因素的隶属度向量以及风险等级，确定每一风险因素的风险因素值以及风险因素在各风险指标下对应的类熵权系数。

在实施中，计算机设备根据每一风险因素的隶属度向量以及风险等级，确定每一风险因素的风险因素值。进而，根据确定出的风险因素值，计算每一风险因素在各风险指标下的类熵权系数。

具体的，针对隶属度向量中包含的投票数目，计算机设备计算该风险因素在每一风险等级下的投票占比，进而根据该风险等级数以及对应的投票占比，确定风险因素值。根据确定出的风险因素值，计算机设备计算每一风险因素值在各风险指标下对应的类熵权系数。具体的，例如，确定α₁、α₂、α₃、α₄这四类风险因素的风险因素值分别为P(α₁)、P(α₂)、P(α₃)和P(α₄)，那么在风险指标β₁(包含风险因素α₁和α₂)下，风险因素α₁的类熵权系数为P(α₁)/(P(α₁)+P(α₂))，风险因素α₂的类熵权系数为P(α₂)/(P(α₁)+P(α₂))。在风险指标β₂(包含风险因素P(α₂)、P(α₃)和P(α₄))下，风险因素α₂的类熵权系数为P(α₂)/(P(α₂)+P(α₃)+P(α₄))，风险因素α₃的类熵权系数为P(α₃)/(P(α₂)+P(α₃)+P(α₄))，风险因素α₄的类熵权系数为P(α₄)/(P(α₂)+P(α₃)+P(α₄))。

值得注意的是，虽然风险因素α₂的风险因素值并未发生改变，但是因为其在不同的风险指标(β₁和β₂)下，所以其对应的类熵权系数是不同的。由此可知，对于一个风险因素，其类熵权系数并非固定的。

在一个实施例中，如图4所示，步骤306的具体处理过程包括：

步骤402，根据每一风险因素的隶属度向量中的风险等级投票数据以及投票总数目，得到每一风险等级投票占比。

在实施中，预先设定6种风险指标，每一风险指标下包含多个风险因素，共20种风险因素，进而，计算机设备根据每一风险因素的隶属度向量中对应风险等级的投票数据以及每一风险因素的投票总数目，从而得到各风险因素在每一风险等级下的投票占比，具体的，以风险因素α₁为例进行举例说明，计算机设备根据预设数目(例如，15个)样本对象对风险因素α₁进行风险等级投票，从而得到隶属度向量(0,1,12,2,0)，对应风险等级1至5，该风险因素在各风险等级下的投票占比确定为

步骤404，针对每一风险因素，根据风险等级与对应的风险等级投票占比进行加权平均计算，得到每一风险因素的风险因素值。

在实施中，计算机设备针对每一风险因素，根据风险等级与对应的风险等级投票占比进行加权平均计算，得到每一风险因素的风险因素值。具体的，以风险因素f1为例，基于计算得到的风险等级投票占比

以及对应的风险等级数(风险等级1至5)，进行加权平均计算，即可得到风险因素α₁的风险因素值，具体计算过程为：

从而，计算机设备可以得到全部的风险因素的风险因素值。

具体的，确定各风险因素的风险因素值P(α_i)(i＝1,2,…n)的计算公式如下所示：

其中，Z_P表示全部风险因素的隶属度矩阵，

表示对应发的风险等级数。

步骤406，获取每一风险指标对应的全部风险因素的风险因素值，计算每一风险因素在风险指标中的风险因素值占比，作为风险因素在风险指标下的类熵权系数。

在实施中，计算机设备针对每一风险指标，确定其中包含的各风险因素在该风险指标下对应的类熵权系数，具体的，在风险指标β_j下包含风险因素α₁、α₂和α₃，各风险因素对应的风险因素值分别为P(α₁)、P(α₂)和P(α₃)，进而，计算机设备针对其中的每一风险因素，确定其在目标风险指标下对应的类熵权系数，具体的类熵权系数计算公式如下所示：

其中，P(α_i)表示第i个风险因素α_i的风险因素值，P(β_j,α_i)表示在风险指标β_j下风险因素α_i对应的类熵权系数，β_j表示第j个风险指标，S_j表示风险指标β_j下包含的全部风险因素数目。

基于该类熵权系数计算公式，计算机设备可以分别确定风险因素α₁、α₂和α₃在风险指标β_j下对应的类熵权系数。

在一个实施例中，如图5所示，针对确定出的修正因子，计算机设备应用修正因子对各风险因素的风险因素值以及对应的类熵权系数进行修正，以减少人为因素的影响，则步骤106的具体处理过程包括如下步骤：

步骤502，根据修正因子与风险因素的风险因素值进行乘积运算，得到修正风险因素值。

在实施中，计算机设备根据修正因子(ε_P(α_i))与每一风险因素的风险因素值进行乘积运算，得到修正风险因素值。具体的，利用修正因子对风险因素值进行修正的计算公式如下所示：

其中，P^*(α_i)表示风险因素α_i的修正风险因素值，P(α_i)表示风险因素α_i的风险因素值，ε_P(α_i)表示对应风险因素f_i的修正因子。

步骤504，根据每一风险指标对应的全部风险因素的修正风险因素值，计算每一风险因素在全部风险因素中的占比，得到风险因素在风险指标下的修正类熵权系数。

在实施中，计算机设备根据每一风险指标对应的全部风险因素的修正风险因素值，重新计算每一风险因素在全部风险因素中的占比，得到风险因素在该风险指标下的修正类熵权系数，即，当每一风险因素的风险因素值经过修正而发生变化时，对应的重新计算每一风险因素在全部风险因素中的占比。

具体的，各风险指标下风险因素的类熵权系数的修正公式如下所示：

其中，P^*(β_j,α_i)为修正类熵权系数，P^＊(α_i)表示第i个风险因素α_i的修正风险因素值，P^*(β_j,α_i)表示在风险指标β_j下风险因素α_i对应的修正类熵权系数，β_j表示第j个风险指标，S_j表示风险指标β_j下包含的全部风险因素数目。

在一个实施例中，每一风险因素包括威胁频率指标和损失影响指标，风险因素的风险因素值即包括威胁频率值和损失影响值，同时，每一风险因素的威胁频率值在各风险指标下又对应有类熵权系数。

在实施中，本申请预先设定威胁频率和损失影响这两个指标维度来表征风险因素，进而，每一风险因素的风险指标值又包括威胁频率值和损失影响值，在对任一风险因素进行指标量化时，样本对象可以从威胁频率和损失影响两个维度对应风险等级进行投票，进而，可以得到威胁频率隶属度向量和损失影响隶属度向量，进一步地，计算机设备根据威胁频率隶属度向量和损失影响隶属度向量，确定威胁频率值和损失影响值。然后，针对威胁频率值，在各风险指标下，确定其包含的风险因素中威胁频率的类熵权系数。

值得注意的是，风险因素的威胁频率和损失影响是两个不同的风险等级评价维度，因此，即使是同一风险因素的威胁频率隶属度向量与损失影响隶属度向量也是不相同的两个向量。

在一个实施例中，如图6所示，基于风险因素的威胁频率和损失影响这两个度量维度，步骤306中确定风险因素值以及风险因素值在各风险指标下的类熵权系数的具体处理过程包括如下步骤：

步骤602，根据每一风险因素的威胁频率隶属度向量以及风险等级，确定每一风险因素的威胁频率值以及风险因素在各风险指标下对应的类熵权系数。

在实施中，计算机设备针对上述实施例中提供的隶属度向量的确定方法，确定每一风险因素的威胁频率隶属度向量Z_i＝{z_i1，z_i2，…,z_im}，进而，全部的风险因素对应的威胁频率隶属度向量可以组成威胁频率隶属度矩阵Z_P，针对威胁频率隶属度矩阵中每一风险因素的威胁频率隶属度向量以及风险等级，基于上述公式(3)可以确定每一风险因素的威胁频率值，具体公式执行过程本申请实施例不再赘述。其中，公式(3)中的P(α_i)表示的含义则可以由风险因素值对应转换为威胁频率值。

基于确定出的各风险因素的威胁频率值，计算每一风险因素威胁频率值在对应的风险指标下的类熵权系数，具体计算公式如上述公式(4)所示，本申请实施例对于公式具体执行过程不再赘述。在公式(4)中对应的P(β_j,α_i)表示的含义由风险指标β_j下风险因素α_i类熵权系数转换为风险指标β_j下风险因素α_i的威胁频率的类熵权系数。

步骤604，根据每一风险因素的损失影响隶属度向量以及风险等级，确定每一风险因素的损失影响值。

在实施中，计算机设备针对上述实施例中提供的隶属度向量的确定方法，确定每一风险因素的损失影响隶属度向量Z_i＝{z_i1，z_i2，…,z_im}，进而，全部的风险因素对应的损失影响隶属度向量可以组成损失影响隶属度矩阵Z_d，针对损失影响率隶属度矩阵中每一风险因素的损失影响隶属度向量以及风险等级，基于上述公式(3)可以确定每一风险因素的损失影响值，具体公式执行过程，本申请实施例不再赘述。其中，公式(3)中的P(α_i)的含义则由风险因素对应转换为损失影响值。

可选的，为了区分风险因素的两个不同度量维度的指标，在下文的实施例中将威胁频率值和损失影响值的参数表达式进行区分表达，用P(α_i)表示威胁频率值，用D(α_i)表示损失影响值。

在其中一个实施例中，如图7所示，修正风险因素值包括修正威胁频率值和修正损失影响值。修正威胁频率值在各所述风险指标下对应有修正类熵权系数。则针对风险因素的两个不同度量维度，可以分别进行风险因素值(威胁频率值和损失影响值)的修正以及类熵权系数的修正，进而，步骤106的具体处理过程包括：

步骤702，根据每一风险指标的全部风险因素的修正损失影响值以及对应的修正类熵权系数进行加权平均，得到风险指标的损失影响值。

在实施中，由于风险指标由各风险因素表征，因此，风险指标也对应包括威胁频率和损失影响两个维度度量标准，计算机设备对于各风险因素的损失影响值进行修正之后，再针对每一风险指标进行处理，将每一风险指标包含的全部风险因素的修正损失影响值以及修正威胁频率值在该风险指标下对应的类熵权系数进行加权平均计算，得到该风险指标下损失影响维度的风险损失影响值。具体的风险指标损失影响值D^*(β_j)的计算公式如下所示：

其中，S_j表示风险指标β_j下包含的全部风险因素数目，D^*(α_i)表示第i个风险因素的修正损失影响值，P^*(β_j,α_i)为第i个风险因素的修正类熵权系数，D^*(β_j)表示风险指标β_j的风险指标修正损失影响值。

步骤704，根据预设的马尔科夫链算法以及修正类熵权系数，确定各风险指标间的风险转移矩阵。

在实施中，计算机设备根据预设的马尔科夫链算法以及修正类熵权系数，确定各风险指标间的风险转移矩阵。具体的风险转移矩阵的表达式如下所示：

其中，n表示风险指标的数目，β_ii表示由第i类风险转换为第i类风险(即维持当前风险)的转换概率，β_1n表示由第1类风险转换为第n类风险(即维持当前风险)的转换概率，β_ij表示由第i类风险转换为第j类风险的转换概率。

步骤706，根据风险转移矩阵以及各风险指标间的特征信息，计算每一风险指标的稳态概率。

具体的，各风险指标β_j的稳态概率可以表示为稳态概率向量：P(β_j)＝(P(β₁),P(β₂),…P(β_n))，其中，各风险指标间的稳态概率满足

的约束条件，并且风险转移矩阵与各风险指标稳态概率间存在如下关系：

计算机设备基于风险转移矩阵与各风险指标的稳态概率间的关系，以及各风险指标稳态概率具备的约束条件，可以确定出每一风险指标对应的稳态概率。当P(β_j)稳态概率越小时，表明在长期稳定状态下，该风险指标相对于其他风险指标可能发生的概率较低，反之，当P(β_j)稳态概率越大时，表明在长期稳定状态下，该风险指标相对于其他风险指标可能发生的概率较高。

步骤708，根据每一风险指标的稳态概率以及风险指标对应的损失影响值，确定风险指标的风险值。

在实施中，计算机设备根据求解出的每一风险指标的稳态概率P(β_j)以及风险指标对应的损失影响值D^*(β_j)确定风险指标的风险值RL(β_j)。

具体的风险值计算公式如下所示：

在一个实施例中，如图8所示，本申请中风险评估模型选用的是预先训练的小波神经网络模型，步骤108的具体处理过程包括如下步骤：

步骤802，将待评估的各风险指标对应的风险值输入至预先训练的小波神经网络模型。

在实施中，计算机设备将待评估的各风险指标对应的风险值RL(β_j)输入至预先训练的小波神经网络模型。

其中，小波神经网络即小波分析和神经网络的结合，具有一般的神经网络的结构，但是神经网络隐含层的激活函数由小波函数来代替，相应的神经网络的输入层到隐含层的权值及隐含层的阈值分别由小波函数的尺度伸缩因子和平移因子所代替。小波变换可以使网络具有很快的学习速度同时又能避免数据陷入局部极小的缺陷。

本方法选取Morlet母小波：

进而，建立本申请风险评估模型中的小波神经网络激活函数。

其中，x_i(i＝1,2…I)为输入层第i个神经元输入信号；y_o(o＝1,2,…,O)为输出层第o个神经元的输出信号；ω_mi为输入层神经元i和隐含层神经元m之间的权值；ω_mo为输出层神经元o和隐含层神经元m之间的权值；a_m为第m个隐含层神经元的伸缩因子；b_m为第m个隐含层神经元的平移因子。

计算机设备将待评估的各风险指标的风险值作为输入值x_i，输入至预先训练的小波神经网络模型中，以进行风险指标的风险等级评估。

步骤804，根据小波神经网络模型中隐含层的小波神经网络激活函数对风险值进行处理，输出云计算环境的风险等级。

在实施中，计算机设备运行小波神经网络中的算法程序，根据小波神经网络中的激活函数对各风险指标的风险值进行处理，得到风险评估结果，从而，确定云计算环境的风险等级。

可选的，针对小波神经网络模型的训练过程通过预先选定的数据样本，利用梯度修正法对数据样本{P_o,T_o}，o∈{1,2,…N}进行训练，其中，N为训练样本个数，P_o为样本输入信号(即输入的各风险指标风险值)，计算该神经网络模型的训练过程中的训练误差，

当模型误差小于预设误差阈值时，确定模型训练完成。

在一个实施例中，提供了一种风险评估方法的示例，具体处理过程如下所示：

按照如上述实施例中的评估过程，以下表1数据为例，使用matlab协助计算。假设邀请15名专家(样本对象)对某云平台的20个风险因素的威胁频率和损失影响进行评级，评级等级划分为5级，评级分布如下：

表1

表2

表3

步骤一，数据预处理

拟根据风险属性模型划分为基础设施安全、虚拟化安全、应用安全、数据安全、人员安全、安全管理6个风险类(r1至r6)。根据各风险因素(f1至f20)对风险的影响，对各风险贴标签(进行0/1赋值)，同时针对各风险因素的专家人数(样本对象15人)评估等级分布进行统计，形成如下风险识别清单，如下表4所示：

表4

通过matlab实现，形成风险的威胁频率和损失影响隶属度矩阵Z_p和Z_d，表格中风险因素f1至f20与风险等级r1至r6间的0或1赋值，表示的是风险因素所属哪一风险指标。

步骤二，各风险因素的度量

(1)计算并修正各风险因素的类熵权系数

(2)基于修正的类熵权系数，计算各风险的损失影响，如下表5所示：

表5

(3)基于修正的类熵权系数，计算各风险的威胁频率，如下表6所示。

表6

(4)基于各风险的损失影响和威胁频率，计算各风险的风险值，如下表7所示。

表7

步骤三，风险的评估

(1)设有10家云计算厂商的风险数据，其中7家用于模型训练，3家用于模型测试，数据如下：

表7

编号	r1	r2	r3	r4	r5	r6	风险值
								1	0.42	0.39	0.33	0.41	0.35	0.38	0.39
2	0.33	0.34	0.31	0.35	0.29	0.33	0.32
								3	0.28	0.25	0.24	0.29	0.29	0.3	0.26
4	0.28	0.27	0.25	0.3	0.32	0.31	0.28
								5	0.21	0.25	0.18	0.26	0.19	0.19	0.22
6	0.58	0.58	0.59	0.63	0.55	0.56	0.58
								7	0.53	0.48	0.5	0.49	0.48	0.52	0.51
8	0.23	0.22	0.23	0.21	0.28	0.27	0.25
								9	0.22	0.19	0.15	0.25	0.18	0.22	0.19
10	0.43	0.45	0.4	0.39	0.38	0.42	0.43

(2)模型训练：随机选取编号第4、7、9、8、10、2、6行的数据用作模型训练

选择三层神经网络结构，即设置1个中间层(隐含层)，1个输入层，1个输出层。同时，根据输入层神经元数为6，输出层神经元数为1，设置中间层神经元节点数为4。训练时，设置学习率为0.1，动量学习率为0.01，采用梯度修正法作为权值和阈值的学习算法。

利用matlab进行模型的训练，如图9所示，从第3次开始训练误差逐渐收敛并趋于稳定。

(3)模型测试：随机选取编号第5、1、3行的数据用作模型预测，比较实际值与预测值之间差异大小。

表8

编号	r1	r2	r3	r4	r5	r6	风险值	预测值
									5	0.21	0.25	0.18	0.26	0.19	0.19	0.22	0.2139
1	0.42	0.39	0.33	0.41	0.35	0.38	0.39	0.3953
									3	0.28	0.25	0.24	0.29	0.29	0.3	0.26	0.2653

比较风险的实际值与预测值，可得模型拟合效果佳。具体拟合效果如图10所示，图11中反映模型应用过程中误差变化趋势。

(4)模型应用：利用该模型计算某云平台的风险值为0.2871，根据表3：风险隶属等级表，可得该云平台的风险维护目标大致明确，风险维护容易，对云计算安全的影响较小，为常见风险，风险等级可认定为低。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的风险评估方法的风险评估装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个风险评估装置实施例中的具体限定可以参见上文中对于风险评估方法的限定，在此不再赘述。

在一个实施例中，如图12所示，提供了一种风险评估装置1200，包括：获取模块1210、计算模块1220、修正模块1230和确定模块1240，其中：

获取模块1210，用于获取待评估的各风险指标对应的风险因素的风险因素值以及风险因素在各风险指标下的类熵权系数；

计算模块1220，用于根据预设的信息熵度量算法，计算风险因素的修正因子；

修正模块1230，用于根据修正因子对风险因素的风险因素值以及对应的类熵权系数进行修正，得到修正风险因素值和在各风险指标下的修正类熵权系数，并根据修正风险因素值和对应的修正类熵权系数确定每一风险指标的风险值；

确定模块1240，用于将各风险指标对应的风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级。

在其中一个实施例中，该装置1200还包括：

获取模块，用于获取预设数目样本对象对各风险因素的风险等级投票数据；

统计模块，用于统计每一风险因素在各风险等级下的投票数目，得到风险因素的隶属度向量；每一隶属度向量表征风险因素对应风险等级的模糊映射；

确定模块，用于根据每一风险因素的隶属度向量以及风险等级，确定每一风险因素的风险因素值以及风险因素在各风险指标下对应的类熵权系数。

在其中一个实施例中，确定模块具体用于根据每一风险因素的隶属度向量中的风险等级投票数据以及投票总数目，得到每一风险等级投票占比；

针对每一风险因素，根据风险等级与对应的风险等级投票占比进行加权平均计算，得到每一风险因素的风险因素值；

获取每一风险指标对应的全部风险因素的风险因素值，计算每一风险因素在风险指标中的风险因素值占比，作为风险因素在风险指标下的类熵权系数。

在其中一个实施例中，修正模块1230具体用于根据修正因子与风险因素的风险因素值进行乘积运算，得到修正风险因素值；

根据每一风险指标对应的全部风险因素的修正风险因素值，计算每一风险因素在全部风险因素中的占比，得到风险因素在风险指标下的修正类熵权系数。

在其中一个实施例中，每一风险因素包括威胁频率指标和损失影响指标，则风险因素的风险因素值包括威胁频率值和损失影响值，每一风险因素的威胁频率值在各风险指标下对应有类熵权系数。

在其中一个实施例中，确定模块，还用于根据每一风险因素的威胁频率隶属度向量以及风险等级，确定每一风险因素的威胁频率值以及风险因素在各风险指标下对应的类熵权系数；

根据每一风险因素的损失影响隶属度向量以及风险等级，确定每一风险因素的损失影响值。

在其中一个实施例中，修正风险因素值包括修正威胁频率值和修正损失影响值；修正威胁频率值在各风险指标下对应有修正类熵权系数；

修正模块1230具体用于根据每一风险指标的全部风险因素的修正损失影响值以及对应的修正类熵权系数进行加权平均，得到风险指标的损失影响值；

根据预设的马尔科夫链算法以及修正类熵权系数，确定各风险指标间的风险转移矩阵；

根据风险转移矩阵以及各风险指标间的特征信息，计算每一风险指标的稳态概率；

根据每一风险指标的稳态概率以及风险指标对应的损失影响值，确定风险指标的风险值。

在其中一个实施例中，风险评估模型为小波神经网络模型，确定模块1240具体用于将待评估的各风险指标对应的风险值输入至预先训练的小波神经网络模型；

根据小波神经网络模型中隐含层的小波神经网络激活函数对风险值进行处理，输出云计算环境的风险等级。

上述风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图13所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种风险评估方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图13中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims

1.一种风险评估方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述获取待评估的各风险指标对应的所述风险因素的风险因素值以及所述风险因素在各所述风险指标下的类熵权系数之前，所述方法还包括：

获取预设数目样本对象对各风险因素的风险等级投票数据；

3.根据权利要求2所述的方法，其特征在于，所述根据每一所述风险因素的隶属度向量以及所述风险等级，确定每一所述风险因素的风险因素值以及所述风险因素在各所述风险指标下对应的类熵权系数，包括：

4.根据权利要求1所述的方法，其特征在于，所述根据所述修正因子对所述风险因素的风险因素值以及对应的所述类熵权系数进行修正，得到修正风险因素值和在各所述风险指标下的修正类熵权系数，包括：

5.根据权利要求2所述的方法，其特征在于，每一所述风险因素包括威胁频率指标和损失影响指标，所述风险因素的风险因素值包括威胁频率值和损失影响值，每一所述风险因素的所述威胁频率值在各所述风险指标下对应有类熵权系数。

6.根据权利要求5所述的方法，其特征在于，所述根据每一所述风险因素的隶属度向量以及所述风险等级，确定每一所述风险因素的风险因素值以及所述风险因素在各所述风险指标下对应的类熵权系数，包括：

根据每一所述风险因素的威胁频率隶属度向量以及所述风险等级，确定每一所述风险因素的威胁频率值以及所述风险因素在各所述风险指标下对应的类熵权系数；

7.根据权利要求1所述的方法，其特征在于，所述修正风险因素值包括修正威胁频率值和修正损失影响值；所述修正威胁频率值在各所述风险指标下对应有修正类熵权系数；

8.根据权利要求1所述的方法，其特征在于，所述风险评估模型为小波神经网络模型，所述将各所述风险指标对应的所述风险值输入至预先训练的风险评估模型中，确定云计算环境的风险等级，包括：

9.一种风险评估装置，其特征在于，所述装置包括：

10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。

12.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。