郝倩，刘春茂

基于AHP-BPNN的信息系统风险评估模型

郝倩，刘春茂

风险评估保证信息系统安全的一种重要技术，信息系统风险受到众多影响，具有动态性和时变性，为了提高信息系统风险评估的精度，提出一种层次分析法和神经网络的信息系统风险评估模型(AHP-BP)。首先对当前信息系统风险研究现状进行分析，并根据专家构建评估指标体系，然后利用层次分析法对评估指标权重进行估计，并根据BP神经网络建立信息系统风险的评估模型，最后利用信息系统风险数据对评估结果的可靠性进行测试。结果表明，模型可以合理确定评估指标的权重，可以描述信息系统风险因子与期望值间的变化关系，获得了理想的信息系统风险评估结果，具有一定的实际应用价值。

系统风险；影响因素；指标权重；层次分析法

0 引言

近些年，信息技术的不断发展和成熟，已经在各个领域得到了深入应用，涌现了大量的信息系统[1,2]。信息系统给人们带来便利的同时，一些病毒、木马程序对其安全性进行破坏，使得信息系统存在安全隐患。风险评估可以了解信息系统的风险状态和安全态势，因此风险评估成为当前信息系统安全领域待解决的一个难题[3,4]。

针对信息系统风险评估问题，人们展开了系统的研究，当前主要有定性评估、定量评估以及人工智能评估等方法。定性评估方法主要有：历史比较法、德尔菲法等[5,6]，它们基于经验知识获得评估结果，带有明显的人为因素，评估结果主观性强，不科学。定量评估方法主要有：聚类分析、决策树等[7,8]，它们存在一定的局限性，普适性不强。信息系统风险评估受到众多影响，具有动态性和时变性，信息系统是一个复杂的系统，定量或者定性评估方法难以进行准确评估，评估误差大[9]。人工智能法基于现代非线性建模理论，可以反映风险因子与期望值之间的变化关系，主要有神经网络、支持向量机以及各种改进的人工智能方法[10-12]。在实际应用中，确定信息系统因子的重要性十分关键，即权重，当前通常采用人工方式确定，导致权重确定的合理性受到质疑，信息系统安全风险评估结果不完全合理[13]。

为了提高信息系统风险评估的精度，提出一种层次分析法和神经网络的信息系统风险评估模型（AHP-BP），实验结果表明，本文模型可以合理确定评估指标的权重，获得了较优的信息系统风险评估结果。

1 层次分析法和BP神经网络

1.1 层次分析法

层次分析法（AHP）是一种定性与定量相结合的分析方法，其将一个复杂系统分划分为目标层、准则层和指标层，变化趋势，期望值与评估值之间的误差小，平均评估正确率达到95%以上，远远超过信息系统安全实际应用的85%，实验结果表明，AHP-BPNN可以应用于实际的信息系统风险评估中，评估结果科学、可信。

为了进一步分析AHP-BPNN的优越性，选择单一层次分析法（AHP）和BP神经网络（BPNN）以及经典信息系统网络评估模型[15]进行对比实验，它们的平均评估正确率如表6所示：

表6 AHP-BPNN与其它模型性能对比

AHP-BPNN的信息系统风险评估准确性要好于其它模型，具有明显的优势，为信息系统管理员提供有价值的信息。

5 总结

为了更好的保证信息系统安全，以提高信息系统风险评估的准确性为目标，提出一种层次分析和神经网络的信息系统风险评估模型。仿真测试结果表明，本文模型是一种精度高、结果可靠的信息系统安全风险评估模型，在信息系统安全管理中具有广泛的应用前景。

[1] 王祯学,周安民,方勇,等. 信息系统安全风险估计与控制理论[M]. 北京: 科学出版社,2011.

[2] 向宏,傅鹂,詹榜华. 信息安全测评与风险评估[M]. 北京电子工业出版社,2009.

[3] 罗佳,杨世平.基于熵权系数法的信息安全模糊风险评估[J].计算机技术与发展, 2009, 19(10): 177-188.

[4] 王奕,费洪晓,蒋蘋. FAHP方法在信息安全风险评估中的研究[J]. 计算机工程与科学, 2006, 28(9): 4-12.

[5] 李鹤田,刘云,何德全. 基于Markov链的信息安全风险评估模型[J]. 铁道学报, 2007, 29(2): 50-53.

[6] 赵冬梅,刘海峰,刘晨光. 基于BP神经网络的信息安全风险评估研究[J]. 计算机工程与应用, 2007, 43(1):139-141.

[7] 牛红惠,刘凌霞. 神经网络在信息安全风险评估中应用研究[J]. 计算机仿真, 2011, 28(6): 117-120.

[8] 郭金玉,张忠彬,孙庆云. 层次分析法的研究与应用[J].中国安全科学学报,2008,18 (5): 148-153.

[9] 陈亮. 信息系统安全风险评估模型研究[J].中国人民公安大学学报:自然科学版, 2007(4): 51-52.

[10] 郑雷雷,宋丽华,郭锐,等. 故障树分析法在信息安全风险评估中的应用[J]. 2011, 38(10): 106-109.

[11] 王帆,霍明奎,王晓婷. 基于模糊灰度的信息系统安全风险评估与对策 [J]. 情报科学, 2014, 32(1): 110-114.

[12] 罗辉,潘平,李换双. 基于量子神经网络的信息安全风险评估方法[J]. 贵州大学学报(自然科学版), 2013, 30(1): 74-78.

[13] 慧,党德鹏.基于RBF 模糊神经网络的信息安全风险评估[J].计算机工程与设计, 2011, 32(6): 2113-2115.

[14] 付钰,吴晓平,叶清,彭熙. 基于模糊集与熵权理论的信息系统安全风险评价研究[J]. 电子学报, 2010, 38(7): 1489-1494.

[15] 刘海燕,王维锋,蔡红柳. 一个基于神经网络的信息系统安全性综合评价模型[J]. 计算机工程与科学, 2008, 30(11): 16-18.

Risk Evaluation of Information System Security Based on AHP-BPNN

Hao Qian, Liu Chunmao
(Henan Polytechnic Institute, Nanyang 473000, China)

Risk assessment is an important technology to ensure the security of information system. Information system risk assessment is subject to a number of effects, and it is dynamic and changeable. In order to improve the accuracy of information system risk assessment, this paper puts forward an information system risk assessment model based on hierarchical analysis method and neural network. At first, the current situation of information system risk are analyzed, and build the evaluation index system according to the experts, and then the analytic hierarchy process is used to estimate the weights of evaluation indexes, and BP neural network is used to establish the information system risk assessment model. At last, the reliability of the evaluation results is tested by using the risk data of information system. The results show that the proposed model can reasonably determine the weight of evaluation index. It can describe relationship between risk factors and expected value of information system, obtain ideal assessment results, and it has certain practical value.

System Risk; Influencing Factor; Index Weight; Analytic Hierarchy Process

TP311

A

1007-757X(2016)08-008-04

2015.12.02）

河南省科技攻关项目（132102210208）.

郝 倩（1983-），女，南阳人，河南工业职业技术学院，电子信息工程系，讲师，硕士，研究方向：计算机应用技术研究，南阳，473000

刘春茂（1979-），男，南阳人，河南工业职业技术学院，电子信息工程系，讲师，硕士，研究方向：信息处理技术及程序设计开发方法研究，南阳，473000