CN114499956A - 一种网络信息安全风险评估系统及其方法 - Google Patents

Abstract

本发明涉及一种网络信息安全风险评估系统及其方法，是针对现有网络安全行业中缺少对已具有的安全保障能力的有效评估机制，无法实现对系统安全态势的准确感知，难以及时发现并消除安全隐患的技术问题。该系统以输出训练集和特征集，计算新的特征选择标准AS进行节点分裂生成决策树模型、建立决策树模型规则集、通过决策树模型和决策树模型规则集对网络信息安全进行评估；其要点是所述决策树模型为改进决策树模型，改进决策树模型算法及流程，引入强化学习的思想，将每个特征的标准化互信息和马修斯相关系数加权，输出决策树模型，并生成决策树，利用生成的决策树模型和规则集对网络信息数据进行安全风险评估，输出网络信息数据的风险评估结果。

Description

一种网络信息安全风险评估系统及其方法

技术领域

本发明涉及网络信息安全风险评估系统，是一种网络信息安全风险评估系统及其方法。

背景技术

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科，主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络信息安全的主要特征包括完整性、保密性、可用性、不可否认性和可控性，其模型框架包括网络安全模型和信息安全框架，通过模型和算法输出网络信息数据评估结果。现有网络安全感知分析系统及其方法如中国专利文献中披露的申请号202010549375.9，申请公布日2020.10.02，发明名称“一种网络安全态势感知系统及方法”；再如中国专利文献中披露的申请号201910654813.5，申请公布日2019.10.25，发明名称“一种基于LDA机器学习的网络安全威胁分析方法及系统”。但上述系统及其方法缺少对已具有的安全保障能力的有效评估机制，无法实现对系统安全态势的准确感知，难以及时发现并消除安全隐患。

发明内容

为克服上述不足，本发明的目的是向本领域提供一种网络信息安全风险评估系统及其方法，使其主要解决现有网络安全行业中缺少对已具有的安全保障能力的有效评估机制，无法实现对系统安全态势的准确感知，难以及时发现并消除安全隐患的技术问题。其目的是通过如下技术方案实现的。

一种网络信息安全风险评估系统，该系统以输出训练集和特征集，计算新的特征选择标准AS进行节点分裂生成决策树模型、建立决策树模型规则集、通过决策树模型和决策树模型规则集对网络信息安全进行评估；其特征在于所述决策树模型为改进决策树模型，改进决策树模型算法的流程具体如下：

设S为样本集，样本集的个数为n，样本集S中有m个类别D_j(j＝1，2，…，m)，d_j为D_j类的样本个数；则数据集的类别信息熵Bnt(S)表示为：

公式(1)中：P_j为任意样本属于D_j的概率，P_j-d_j/n；

设特征a有k个离散值(a₁，a₂，…，a_k}，根据(S₁，S₂，…，S_k}，其中S_i是S中特征为a_j的数据集；如果a_j被选为当前节点，那么用特征a_j对当前样本进行划分；S_ij为子集S_i中属于D_j类的个数，则按特征a_j划分数据集的条件信息熵为：

由上述公式得出特征A划分前后的信息熵之差为信息增益，表达式为：

Gain(S，A)＝Ent(S) Ent(S|a) (5)

按照特征A划分后的信息增益率为：

公式(6)中A的分裂信息为

为了解决决策树模型算法为获得高的准确率，计算结果会偏向样本数多的类别的问题，现引入标准化互信息、马修斯相关系数及强化学习的思想改进决策树模型算法；

标准化互信息公式如下：

公式(8)中：I(X，Y)为X与Y之间的互信息；H(X)为X的熵；H(Y)为Y的熵；

马修斯相关系数公式如下：

公式(9)中：cov()为协方差函数；

引入强化学习的思想，将每个特征的标准化互信息和马修斯相关系数加权，并与信息增益率相结合作为新的特征选择标准AS；并设两个类别(X，Y)的联合分布为p(i，j)，即各类别判断正确的样本数占总样本数的概率；设边缘分布分别为p(i)，即在预测结果中各类别样本数占总样本数的概率；设互信息MI(X，Y)是联合分布p(i，j)与边缘分布乘积p(i)p(j)的相对熵，公式如下：

设TP为真负类的数量，TN为真正类的数量，EP为假负类的数量，FN为假正类的数量；根据混淆矩阵得出C_MCC为：

公式(13)中：N为样本个数；W＝(TP|PN)/N；V＝(TP|PP)/N；

根据式(11)和(13)得到一个新的价值函数f：

f＝ωC_MCC|(1 ω)c_NMI (14)

公式(14)中：ω为权重；

新的特征选择标准AS公式为：

AS＝(2^{Gain ratio} 1)f (15)

输出决策树模型T，并生成决策树。

所述改进决策树模型算法得到的生成决策树通过规则集对信息保密性、信息完整性、信息威胁性、信息弱点性、信息安全控制措施等五项网络信息安全风险指标进行赋值，将网络信息安全风险分为低、较低、中、较高、高五个等级，得出规则集。

所述规则集与评估模型流程得到的决策树分类结合，输出风险评估结果，所述评估模型流程的主要流程具体如下：网络信息数据输入→数据预处理→待风险评估数据集→决策树分类→输出风险评估结果。

该网络信息安全风险评估系统的方法具体流程步骤如下：(1)第一部分，生成决策树模型；1、输入训练集S，特征集A；2、若

则返回决策树模型T；3、若训练集S中所有样本都属于同一个类别，则T为单节点树，并将该类别作为该节点的类标记，返回T；4、若特征集A为空集，则T为单节点树，并将S中样本数最多的类别作为类标记，返回T；5、根据公式(15)计算S中各特征的AS，选择AS最大的特征，作为该节点的分裂特征；6、对于第i个节点，将作为新的训练集，对当前特征以外的特征回归步骤2至步骤5；7、输出决策树模型T，并生成决策树；(2)第二部分，决策树模型评估网络信息；1、对信息保密性、信完整性、信威胁性、信弱点性、信安全控制措施等五项关键网络信息安全风险指标进行赋值，生成决策树模型规则集；2、对采集的网络信息数据进行预处理去除无用信息；3、利用生成的决策树模型和规则集对网络信息数据进行安全风险评估；4、输出网络信息数据的风险评估结果。

本发明的建模方式科学，模型准确感知效果好，能及时发现并消除安全隐患，具有科学性、高效性、高精度性；其适合作为网络信息安全风险评估系统及其方法使用，及其同类系统和方法的技术改进。

附图说明

图1是本发明的评估模型流程方框图。

图2是图1的规则集评估流程方框图。

具体实施方式

现结合附图，对本发明的具体实施步骤进行进一步的具体描述。如图1和图2所示，该系统包括改进决策树模型算法流程、决策规则集和评估模型流程，具体如下：

a)改进决策树模型算法流程，

决策树模型是一种采用贪心算法，自上而下递归构造的类似于流程图的树结构，每一个从根节点到叶子节点的分支为一种分类规则，其内部节点为选择的特征，叶子节点存放的是类标号。

设S为样本集，样本集的个数为n，样本集S中有m个类别D_j(j＝1，2，…，m)，d_j为D_j类的样本个数；则数据集的类别信息熵Ent(S)表示为：

公式(1)中：P_j为任意样本属于D_j的概率，P_j-d_j/n；

设特征a有k个离散值{a₁，a₂，…，a_k}，根据{S₁，S₂，…，S_k}，其中S_i是S中特征为a_j的数据集；如果a_j被选为当前节点，那么用特征a_j对当前样本进行划分；S_ij为子集S_i中属于D_j类的个数，则按特征a_j划分数据集的条件信息熵为：

由上述公式得出特征A划分前后的信息熵之差为信息增益，表达式为：

Gain(S，A)＝Ent(S) Ent(S|a) (5)

按照特征A划分后的信息增益率为：

公式(6)中A的分裂信息为

为了解决决策树模型算法为获得高的准确率，计算结果会偏向样本数多的类别的问题，现引入标准化互信息、马修斯相关系数及强化学习的思想改进决策树模型算法；

标准化互信息公式如下：

公式(8)中：I(X，Y)为X与Y之间的互信息；H(X)为X的熵；H(Y)为Y的熵；

马修斯相关系数公式如下：

公式(9)中：cov()为协方差函数；

引入强化学习的思想，将每个特征的标准化互信息和马修斯相关系数加权，并与信息增益率相结合作为新的特征选择标准AS；并设两个类别(X，Y)的联合分布为p(i，j)，即各类别判断正确的样本数占总样本数的概率；设边缘分布分别为p(i)，即在预测结果中各类别样本数占总样本数的概率；设互信息MI(X，Y)是联合分布p(i，j)与边缘分布乘积p(i)p(j)的相对熵，公式如下：

设TP为真负类的数量，TN为真正类的数量，EP为假负类的数量，FN为假正类的数量；根据混淆矩阵得出C_MCC为：

公式(13)中：N为样本个数；W＝(TP|PN)/N；V＝(TP|DP)/N；

根据式(11)和(13)得到一个新的价值函数f：

f＝ωC_MCC|(1 ω)C_NMI (14)

公式(14)中：ω为权重；

新的特征选择标准AS公式为：

AS＝(2^{Gain ratio} 1)f (15)

输出决策树模型T，并生成决策树。

b)决策规则集，

基于改进决策树模型算法得到的生成决策树通过规则集对信息保密性、信息完整性、信息威胁性、信息弱点性、信息安全控制措施等五项网络信息安全风险指标进行赋值，将网络信息安全风险分为低、较低、中、较高、高五个等级，得出规则集。

该网络信息安全风险评估系统的规则集具体如下：

表1：信息保密性赋值

表2：信息完整性赋值

赋值	标识	定义
			1	低	非授权用户修改或者破坏了信息，造成的损失可不计
2	较低	非授权用户修改或者破坏了信息，造成损失容易挽回
			3	中	非授权用户修改或者破坏了信息，损失较明显，但可补救
4	较高	非授权用户修改或者破坏了信息，损失很大，很难补救
			5	高	非授权用户修改或者破坏了信息，损失非常大，基本不能补救

表3：信息威胁性赋值

赋值	标识	定义
			1	低	受到威胁的情况概率在0％～1％，非常低
2	较低	受到威胁的情况概率小于20％，一般情况下不会发生
			3	中	受到威胁的情况概率在20％～50％，可能发生了但没有发现
4	较高	受到威胁的情况概率在50％～90％，发生过
			5	高	受到威胁的情况概率大于90％，发生过很多次

表4：信息弱点性赋值

赋值	标识	定义
			1	低	弱点基本不能被利用，成功率非常小
2	较低	弱点不容易被利用，成功率较小
			3	中	弱点较容易被利用，成功率一般
4	较高	弱点容易被利用，成功率可能性大
			5	高	弱点非常容易被利用，成功率非常高

表5：信息安全控制措施赋值

表6：评估等级分类

总赋值	x＜9	9≤x＜13	13≤x＜17	17≤x＜21	x≥21
						等级	五级	四级	三级	二级	一级

c)评估模型流程，主要流程具体如下：网络信息数据输入→数据预处理→待风险评估数据集→决策树分类→输出风险评估结果。

该评估系统的决策树模型评估网络信息数据流程为单向执行，主要分类流程为：网络信息数据输入→数据预处理→待风险评估数据集→决策树分类→输出结果；触发为网络信息数据输入，终点为输出风险评估结果；所述决策树分类的规则集由生成决策树输出，它与人为给的“决策集”共同组成完整的生成决策树。

上述规则集的生成过程利用生成决策树，所谓规则集即为人为提供的带有明显分类特征的网络信息；规则集为“b)决策规则集”，决策树以规则集内容为规则，对输入的网络信息数据进行分类。公式(6)、(8)、(9)中，NMI(标准化互信息函数)和MCC(马修斯相关系数)是用于解决决策树分类不平衡数据的问题而引入的价值函数。生成决策树→规则集的表达逻辑是：生成决策树后，利用规则集作为决策树的分类规则，生成从“生成决策树”到下一步“规则集”的逻辑关系。从“规则集”和“待风险评估数据集”作用到“决策树分类”，输出“风险评估结果”的具体逻辑关系如下：网络信息数据输入→数据预处理→待风险评估数据集→决策树分类→输出结果；改进决策树模型算法为决策树框架的生成，规则集为决策树分类的规矩，决策树框架+分类规则＝完整的决策树。

综上所述，该评估系统基于改进决策树模型算法设计的一种网络信息安全风险评估方法，通过赋予网络信息安全等级达到对网络信息安全风险评估目的，为网络信息安全风险评估提供一种科学有效的方法。该评估系统基于改进决策树模型算法“以输出训练集和特征集，计算新的特征选择标准AS进行节点分裂生成决策树模型、建立决策树模型规则集、通过决策树模型和决策树模型规则集对网络信息安全进行评估”建立一种网络信息安全风险评估方法，并循环程序评估网络信息安全等级，具有科学性、高效性、高精度性，为解决目前网络信息安全领域缺乏有效评估网络信息安全手段提供了一种方法。

Claims (4)

1.一种网络信息安全风险评估系统，该系统以输出训练集和特征集，计算新的特征选择标准AS进行节点分裂生成决策树模型、建立决策树模型规则集、通过决策树模型和决策树模型规则集对网络信息安全进行评估；其特征在于所述决策树模型为改进决策树模型，改进决策树模型算法的流程具体如下：

设S为样本集，样本集的个数为n，样本集S中有m个类别D_j＝(j＝1，2，…，m)，d_j为D_j类的样本个数；则数据集的类别信息熵Ent(S)表示为：

公式(1)中：P_j为任意样本属于D_j的概率，P_j-d_j/n；

设特征a有k个离散值{a₁，a₂，…，a_k}，根据{S₁，S₂，…，S_k}，其中S_i是S中特征为a_j的数据集；如果a_j被选为当前节点，那么用特征a_j对当前样本进行划分；S_ij为子集S_i中属于D_j类的个数，则按特征a_j划分数据集的条件信息熵为：

由上述公式得出特征A划分前后的信息熵之差为信息增益，表达式为：

Cain(S，A)＝Ent(S)Ent(S|a) (5)

按照特征A划分后的信息增益率为：

公式(6)中A的分裂信息为

为了解决决策树模型算法为获得高的准确率，计算结果会偏向样本数多的类别的问题，现引入标准化互信息、马修斯相关系数及强化学习的思想改进决策树模型算法；

标准化互信息公式如下：

公式(8)中：I(X，Y)为X与Y之间的互信息；H(X)为X的熵；H(Y)为Y的熵；

马修斯相关系数公式如下：

公式(9)中：cov()为协方差函数；

引入强化学习的思想，将每个特征的标准化互信息和马修斯相关系数加权，并与信息增益率相结合作为新的特征选择标准AS；并设两个类别(X，Y)的联合分布为p(i，j)，即各类别判断正确的样本数占总样本数的概率；设边缘分布分别为p(i)，即在预测结果中各类别样本数占总样本数的概率；设互信息MI(X，Y)是联合分布p(i，j)与边缘分布乘积p(i)p(j)的相对熵，公式如下：

设TP为真负类的数量，TN为真正类的数量，EP为假负类的数量，FN为假正类的数量；根据混淆矩阵得出C_MCC为：

公式(13)中：N为样本个数；W＝(TP|PN)/N；γ＝(TP|PP)/N；

根据式(11)和(13)得到一个新的价值函数f：

f＝ωC_MCC|(1 ω)C_NMI (14)

公式(14)中：ω为权重；

新的特征选择标准AS公式为：

AS＝(2^{Gain ratio} 1)f (15)

输出决策树模型T，并生成决策树。

2.根据权利要求1所述的网络信息安全风险评估系统，其特征在于所述改进决策树模型算法得到的生成决策树通过规则集对信息保密性、信息完整性、信息威胁性、信息弱点性、信息安全控制措施等五项网络信息安全风险指标进行赋值，将网络信息安全风险分为低、较低、中、较高、高五个等级，得出规则集。

3.根据权利要求2所述的网络信息安全风险评估系统，其特征在于所述规则集与评估模型流程得到的决策树分类结合，输出风险评估结果，所述评估模型流程的主要流程具体如下：网络信息数据输入→数据预处理→待风险评估数据集→决策树分类→输出风险评估结果。

4.根据权利要求1所述的网络信息安全风险评估系统的方法，其特征在于该网络信息安全风险评估系统的方法具体流程步骤如下：(1)第一部分，生成决策树模型；1、输入训练集S，特征集A；2、若

则返回决策树模型T；3、若训练集S中所有样本都属于同一个类别，则T为单节点树，并将该类别作为该节点的类标记，返回T；4、若特征集A为空集，则T为单节点树，并将S中样本数最多的类别作为类标记，返回T；5、根据公式(15)计算S中各特征的AS，选择AS最大的特征，作为该节点的分裂特征；6、对于第i个节点，将作为新的训练集，对当前特征以外的特征回归步骤2至步骤5；7、输出决策树模型T，并生成决策树；(2)第二部分，决策树模型评估网络信息；1、对信息保密性、信完整性、信威胁性、信弱点性、信安全控制措施等五项关键网络信息安全风险指标进行赋值，生成决策树模型规则集；2、对采集的网络信息数据进行预处理去除无用信息；3、利用生成的决策树模型和规则集对网络信息数据进行安全风险评估；4、输出网络信息数据的风险评估结果。

Images