模糊数学论文

《模糊数学论文》由会员分享，可在线阅读，更多相关《模糊数学论文（12页珍藏版）》请在装配图网上搜索。

1、模糊数学论文 2010年12月10日基于模糊数学的网络安全风险评估模型学院 电信学院专业 计算机软件与理论学号 姓名 日期 2010年12月10日基于模糊数学的网络安全风险评估模型兰州交通大学电子与信息工程学院，兰州（730070）摘要：针对计算机网络频繁遭受到攻击的情况，在分析网络安全的基础上，本论文将模糊数学的方法运用于网络安全风险评估中, 综述了计算机网络安全以及网络信息安全评估标准和评价现状，探索了用模糊数学综合评价方法进行网络安全风险评估的应用途径。初步的实验结果表明，应用模糊数学分析网络的安全风险评估中，可以得到一种较为实际和准确的描述。关键词:网络安全 模糊综合评价 风险评估 模

2、糊数学 Abstract：There are frequent attacks on computer network now. This paper proposes a new network security risk analysis method in which fuzzy mathematics is applied ,Overview of the computer network security, and network information security evaluation criteria and the evaluation of the current si

3、tuation, explore a comprehensive evaluation method using fuzzy mathematics for network security risk assessment of the application. The preliminary experiment shows that this method can attain a more accurate description in analyzing network security status.Keywords: Network Security , Fuzzy Compreh

4、ensive Assessment ,Risk Assessment, Fuzzy Mathematics1. 前言随着信息化进程的深入和互联网应用的快速发展，人们的工作、学习和生活方式正发生着巨大变化，效率也大大提高，信息资源和系统资源得到了最大程度的共享。网络技术的不断发展，不仅仅为人们的生活带来了惊喜，同时也带来了威胁。网络安全正逐渐成为一个国际化的问题，计算机犯罪、黑客和病毒程序等严重威胁着网络安全，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元，因此网络的安全性也就变的特别重要，风险评估是安全建设的出发点，尽可能的把对系统未来一段时间内可能遭受的可疑攻击行为进行预测

5、和防范，从而为安全管理人员制定系统安全策略提供参考。网络安全风险评估的目的是服务于国家网络的发展，促进网络安全保障体系的建设，提高网络的安全保护能力。同时，加强网络安全风险的评估是我国当前信息安全工作的客观需要和紧迫需求，为加强宏观网络安全管理，促进网络安全保障体系建设，就必须加强安全评估工作，并逐步通过法规，标准手段加以保障，并逐步使网络安全评估工作朝向制度化的方向发展。2. 模糊数学基础2.1 模糊数学发展状况与其他学科一样，模糊数学也是因实践的需要而产生的，在日常生活和科学技术中，模糊概念处处存在。现代数学是建立在集合论的基础上，集合可以表现概念，而集合中的关系和运算又可以表现判断和推理

6、，一切现实的理论系统都可能纳入集合描述的数学框架。在较长的时间里，精确数学及随机数学在描述自然界多种事物的运动规律中，是以精确性为主要特征的，获得显著效果。但是在客观世界中还普遍存在着大量的模糊现象，由于现代科技所面对的系统日益复杂，模糊性总是伴随着复杂性出现。模糊数学是以不确定性的事物为研究对象的，应用于模糊控制、模糊识别、模糊聚类分析、模糊决策、模糊评判、系统理论、信息检索、计算机应用等各个方面，模糊数学的理论研究领域相当广泛。2.2 模糊数学方法 模糊数学集合不同于经典集合，它是没有精确边界的集合，可以灵活地对普遍采用的语言变量进行建模。模糊集合表示的是元素属于集合的程度。因此，模糊集合

7、特征函数的取值范围在0和1之间，以便表示元素属于一个给定集合的程度。模糊数学方法主要包括模糊聚类分析，模糊模型识别，模糊决策，模糊线性规划，模糊控制等几个方面。它主要是描述某一事件的发生与否具有一定的不确定性和某一对象是否符合某一概念的不确定性。3. 风险评估的几个重要概念所谓风险评估，就是判断信息技术基础设施的安全状况能力，确定计算机系统合网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量，是对威胁，脆弱点以及由此带来的风险大小的评估。在网络安全风险评估中，财产评估，安全威胁和安全缺陷是风险评估的三个最重要的因素。这三者之间也构成了逻辑上便不可分割的有机整体，主要表现在：(1)财产评

8、估表明了被保护对象的重要性和必要性，进行网络安全风险评估，目的正是在于绝大部分多数的信息财产进行安全保护。(2)安全威胁是具有造成安全风险能力的一类因素，通过明确主要的安全威胁，可以采取不同手段减轻去除规避这些威胁，从而达到降低安全风险的目的。(3)安全缺陷就是信息财产的脆弱点，通过弥补安全缺陷，也可以有效的降低安全风险。由上述可知，风险评估就是将财产价值，安全威胁以及安全缺陷确定的过程，下面简单介绍这三个组成部分。3.1财产财产是一个组织直接评定其价值并要求予以保护的东西,对财产所面临的评估是风险评估的主要内容.这些财产主要包括:信息财产,软件财产,有形财产,(计算机和通信设备,磁性介质,其

9、他技术设备等),人员(员工,客户,订户),公司形象服务和名誉等。3.2安全威胁财产是许多种威胁的目标，威胁可能导致系统或组织以及该组织的财产受到损害。这种损害可能来自于对一个组织的信息进行直接或间接的攻击，如未被授权的破坏信息泄露修改等，威胁可能也来自于意外事故或蓄意活动。安全威胁可能通过多种方法得到，如入侵检测系统的采样分析模拟的入侵测试由各个财产的责任人进行估计专家顾问咨询安全审计分析等。3.3安全缺陷安全缺陷就是与组织的财产相关的弱点。这些弱点可能会导致这些财产或其他财产的安全威胁，从而产生财产的损失或伤害。安全威胁本身并不会造成损害，但它却是可能允许安全威胁对财产产生影响的一种或一套条

10、件。安全缺陷包括：网络协议TCP/IP自身的缺陷和不足操作系统危险缺陷和用户使用缺陷等，而这些方面的缺陷都有可能造成信息完整性信息保密性和可用性方面的损害。在实际的风险评估过程中，往往采用多种方法，从多个角度进行安全缺陷的确定和赋值，如安全策略文档分析安全审计模拟入侵测试和人工评估等。4. 风险评估的方法标准在信息系统风险评估过程中的指导作用不容忽视，而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。本文采用模糊数学中的综合评判法对网络安全的风险进行研究与分析，能较好的解决评估的模糊性，也在一定程度上解决了从定性到定量的难题,但是由于风险要素的确定和评估本身带有主观性，因此风险评

11、估中出现误差也是难免的。模糊综合评判法是以模糊数学为基础，应用模糊关系合成原理，将一些边界不清不易定量因素定量化，进行综合评判的一种方法。它是一种较好的用于涉及多个模糊因素的对象的综合评估方法。模糊综合评判决策的数学模型由因素集评判集合单因素评判三个要素组成，其步骤分为以下四步：(1)确定因素集 U=U1，U2Un(2)确定评判集 V=V1，V2Vm(3)确定单因素评判 f:U(V), Ui|f（Ui）=（ri1，ri2rin）(V)。通过模糊映射f可以诱导出模糊关系Rf（UV），及Rf（Ui，Vj）=f (ui)(vj)=rj, 得出模糊矩阵。r11 r12 r13r1m R= r21 r2

12、2 r23r2m rn1 rn2 rn3rnm 其中0Ri, j1,1IM,1JN这里称（U，V，R）构成一个模糊综合决策模型，U、V、R。是此模型的三要素。(4)综合评判对于权重A=（a1,a2,an）,进行取大取小（max-min）合成运算，即用模型M（，）计算，可得综合评判 B=A 。 R =（B1，B2，Bm）5. 网络安全风险评估的数学模型集算法实例示例5.1 确定网络安全各评判因素建立网络安全系统是一个复杂的系统工程，既有硬件、又有软件，既有外部影响、又有内部因素，而且许多方面是相互制约的。根据具体的网络安全状况，通过确立科学的评判因素集合，解决了因素评价网络信息安全的应用问题。建

13、立了评价网络安全评判因素指标集，包括： （1）物理安全：防盗措施、防水火措施；（2）安全制度：组织机构、规章制度、事故处理预案；（3）安全技术措施：恢复技术对策、安全审计功能； （4）网络通讯安全：加密措施、审计跟踪措施；（5）系统安全：操作系统数据库访问控制措施、应用软件防破坏措施数据库系统状态监控设施、用户身份鉴别、数据异地备份。根据不同的网络可以选取不同的因素指标集合，当然也可以全部选取。在下面的实例当中选取了7个因素来组成评判因素集合U：U=防盗措施，规章制度，防黑客措施，防病毒措施，加密措施，访问控制措施，用户身份鉴别以上措施基本涉及到了网络安全的核心技术，评判因素的权重可以根据不同

14、的网络赋予不同的权值。在这里假定权重如下：A=0.4，0.2，0.1， 0.1， 0.05， 0.05， 0.1评判因素集为U=U1,U2,U3,U4,U5,U6,U7评判因素权重为A=a1，a2，a3，a4，a5，a6，a7且a1+a2+a3+a4+a5+a6+a7=1模糊综合评判过程本身不解决评判的各个因素间因相关造成的评价信息重复问题，因而在进行模糊评价前，因素的预选处理特别重要。在评价过程中可以选用一些比较基础的因素来进行评价。5.2 确定综合评判集合及其分量值评判集V及其分量值的确定才使得模糊综合评判获得一个模糊评判向量Vm被评事物对应各评判级隶属程度的信息通过这个模糊向量表示出来。

15、根据使用的经验，分量值的确定也应该使用习惯中的区间中位数为好，分布也较合理。每个专家根据自己的主观经验，来评定参数指标项目选择中的权重，而他的主观经验及看法，形成一个评判级的分量值集合：V=很安全，较安全，安全，一般安全，不安全，较不安全，很不安全模糊评判向量集Vm=（V1,V2,V3,V4,V5,V6,V7）其中，假设V1=0.95,V2=0.85,V3=0.75,V4=0.6,V5=0.45,V6=0.35,V7=0.25在对实际问题处理时，为了能充分利用综合评判带来的信息，可对评判结果进行归一化处理，将评判集的等级用1分制数量化，则将评判结果进行加权平均，可得到总分。5.3 评估专家团体

16、及其权重向量在评价选择中，专家的级别就是对参评团体的一个分类，有高级级别、中级级别、初级级别，其评价结果视其不同的级别赋予不同的权重，分别为：0.55， 0.30，0.15，则评价专家团体集和权重向量分别为：T=高级级别,中级级别,初级级别Tf=0.65,0.15,0.2 且f1+f2+f3=15.4 通过模糊运算，求得网络安全综合评价结果 （1）由级别相同的评委对同一网络进行评价，形成一个矩阵，记为R ,R=(rij)nn 通过不同的评判集合可鞥会得到：R=(rij)nn，i=1,2,3,4,5,6,7；j=1,2,3,4,5,6,7其中rij为第i个专家对第n个网络的第j个参数指标的评价结

17、果；R反映了评价表中评价指标集U与评价等级值V之间的关系。表明了被评网络，在每一个指标上属于各个等级的程度(隶属程度)，它是指标集U到评语等级值集V的模糊关系。为了更具体地了解整个评判过程，假定给出评判矩阵为：0.4 0.3 0.3 0.4 0.5 0.8 0.20.5 0.6 0.5 0.7 0.4 0.2 0.1 0.3 0.5 0.3 0.4 0.8 0.9 0.3R= 0.2 0.1 0.6 0.8 0.5 0.4 0.20.2 0.4 0.6 0.5 0.5 0.6 0.20.5 0.5 0.6 0.4 0.5 0.1 0.50.2 0.4 0.6 0.4 0.5 0.5 0.4（2

18、）计算权值和模糊矩阵，进行数据处理得出矩阵B为：B=A。R=（a1，a2，a3，a4，a5，a6，a7）。(rij)nn=（b1，b2，b3，b4，b5，b6，b7）其中。是模糊数学中的格运算，它与普通矩阵乘法相似。所不同的是格运算先将两项中较小的取出，再取其中最大者。也就是：bj=(a1r1j) (a2r2j) (anrnj)其中j=1，2， 3， 4， 5， 6， 7 ；n=1，2，3， 4， 5，6，7通过上面两步的计算，可以得到假设中网络安全的综合评判的结果：B=A。B=（0.4 0.3 0.3 0.4 0.4 0.4 0.4 0.2）这里进行归一化处理得：B=（0.17 0.13 0

19、.13 0.17 0.17 0.17 0.08）可以得到这个网络的安全分数为：B=BV=（0.17 0.13 0.13 0.17 0.17 0.17 0.08）（0.95 0.85 0.75 0.6 0.45 0.35 0.2）=0.63代表的是一个向量的转置。（3）上面得到的是一个级别或一类专家对某个网络的评判结果，为不同级别的专家或管理员，由此可以得出不同的评判矩阵，进而得出不同的评判结果B，再根据不同的专家级别权重给予加权平均，可得到所有专家或管理员对同一个网络的安全平均分值S：S=B1Tf= B1f1+B2f2+B3f36. 结束语本文对基于于模糊数学中的综合评判法对网络安全风险评估模

20、型进行了具体的研究，并用此模型进行实例分析，评价结果与实际比较吻合，综合评判方法具有较强的实用价值，取得了较为满意的评估效果。从实践角度来看，利用文中提出的评判模型，还有大量复杂的工作要做。安全评判因素体系的建立、系统安全等级的划分以及评判人员素质的分类、评判系统权重的设置等，这些都是今后研究中要着力解决的问题。参考文献1彭俊好，信息安全风险评估方法综述.网络安全技术与应用,2006.2 刘建伟，王育民，网络安全技术与实践M. 北京：清华大学出版社， 2005.3张千里，陈光英.网络安全新技术M.北京:人民邮电出版社,2003.4 毕晓玲. 网络安全技术的现状和发展J. 山西师范大学学报,2002.5 成卫青，龚检. 网络安全评估J.计算机工程，2003.6 张跃,宿芬芳.模糊数学方法及其应用M,北京煤炭工业出版社,1992. 7李鹤田，刘云，何德全.信息系统安全风险评估与实施.计算机与数字工程,2005.8冷德辉， 陈文革.网络安全测评和风险评估J. 广东通信技术,2007.9谢季坚，刘承平.模糊数学方法及其应用M. 武汉华中科技大学出版社，2000.- 12 -