基于改进熵权和灰关联分析的风险评估方法

摘要：针对目前基于传统熵权法的局限性和风险评估中各风险要素之间的复杂关联性，提出一种基于改进熵权和灰关联分析的风险评估方法。

关键词：风险评估；改进熵权；灰关联分析；Z-scores标准化；相对权值

中图分类号：X820.4文献标识码：A文章编号：1007-9599 (2010) 10-0000-02

Risk Assessment Method Based on Improved Entropy Weight and Gray Correlation Analysis

Luo Dongmei

(GuiZhou University,Guizhou Key Laboratory for Photoelectric and Application,GuiYang550025,China)

Abstract:Entropy for the current method based on traditional risk assessment of the limitations and the complex linkages between risk factors,we present an improved entropy and gray relational analysis of risk assessment methods.

Keywords:Risk assessment;Improved entropy;Gray correlation analysis;Z-scres standardization

风险评估技术作为保障信息系统安全的基础技术近日得到了快速地发展，但由于评估中受评估者的主观影响和评估标准的不完善等使得风险评估结果总会存在不同程度的偏差，研究者都在努力地探索一种更为客观准确的评估方法。文献[1]中的熵权值没有根据风险因素在评估中所起作用的特性而不同量化处理，使熵权值出现一些偏差；文献[2]则是改进的熵权法在输电设备环境分析中的应用；因此本文提出一种基于改进熵权的风险要素权值计算法，并结合灰色关联分析法综合分析信息系统中风险评估对象的复杂关联性，进而获得更为客观、有效的评估结果。

一、信息安全风险评估方法基础

（一）改进的熵权

熵（Entrony）[3]的概念起源于热力学，是对系统状态无序程度的度量；后来被引用于信息论中，用来度量信息的不确定性，但信息系统是一种有序程度的度量；因此二者绝对值相等，符号却相反。在多个目标决策评价中可量化决策者的主观判断信息，从而计算基于熵的评价因子的相对权值。设系统评估体系有m个评估对象，n项评估指标，以此构造原始评估矩阵X=（xij）m×n。对于某项指标xj，指标值xij的差距越大，则该指标在综合评价中所起的作用越大，反之就越小。若指标值全部相等，则该指标的评定在综合评价中不起作用。信息熵为：

，其中p（xi）为指标xi在评估中的概率。在熵值法的计算过程中负值不能直接参与计算，极值应做相应变换，本文采用Z-scores标准化变换： ，其中 为第j项指标的均值，即： ； rj为第j项指标的标准差，即： 。一般xij的范围为[-1，1]，为消除负值，可将坐标向右平移，即 ，再进行评价。以此得到标准化后的评估矩阵，记为： 。

（二）结合改进熵权的灰色关联分析法

灰色关联分析方法是由华中科技大学邓聚龙教授于1982年首先提出的[4]。其基本思想是根据序列曲线几何形状的相似程度来判断各事物之间的联系是否紧密。曲线越接近，相应序列之间的关联度就越大；反之就越小。改进熵权的灰色关联分析基本步骤如下：

（1）根据前面1.1节的方法可由原始评估矩阵得到标准化后的评价矩阵。此处记为： 。（i）求各因素指标的比重 ；（ii）求第j项指标的熵值ej， ；（iii）计算j项的差异系数gj， ，当gj越大时，指标越重要；（iv）计算各项熵权wj， ，其中wj满足 ， 。

（2）灰色关联分析：（i）根据评估矩阵各风险要素的特性对其进行极大值或极小值无量纲化处理，即从评估矩阵中选取最优序列作为参考序列，再分别对序列进行无量纲化处理， ；（ii）求绝对差Aij，Aij=pij－pijmax颍并求其最大值 和最小值 ，进而求每一序列的最大绝对误差 和最小绝对误差 ；（iii）求关联系数， ，其中 为分辨系数，一般取0.5比较合适；（iv）求加熵权关联度， ；根据关联度进行排序，关联度越大说明与样本越接近，表明对系统贡献越大，反之越小。

二、实例分析

现以某网站系统的风险评估为例进行分析。根据信息安全风险评估协议《GB/T 20984-2007信息安全技术 信息安全风险评估规范》[5]和系统的特点建立风险评估矩阵，如下表1所示：

Step 1：根据前面1.2节的1）和1.1节的方法可写出标准化后的风险评估矩阵B，如下所示：

再由后面的几个步骤最终可计算出风险要素的熵权集为：

wj=（0.0805，0.0497，0.0819，0.0687，0.1063，0.1831，0.0271，0.1267，0.2760）

Step 2：根据1.2节2）的（i）分析对原始风险评估矩阵做极大值或极小值无量纲化处理，变为：

Step 3：由1.2节2）的公式（ii）和公式（iii）计算关联系数矩阵R为：

Step 4：计算风险评估矩阵加改进熵权的灰关联度，由（2）的（iv）公式可得：

，由结果可知风险评估体系中数据的关联度最大，所有的评估对象优劣排序为：数据>管理>网络系统>应用系统>物理环境>主机系统。说明该网站系统的数据所面临的风险最大，急需提出相应的方案解决，比如更改登录设置或口令加强等方法有效改善数据的安全状况。

三、结束语

改进的熵权法用Z-scores标准化对数据初始化处理，客观的减小了评估数据的偏差，并结合到灰色关联分析法中，该方法简单有效，能比较准确的评估复杂信息系统的风险；但由于本文所选取的评估对象范围比较大，因此最后的结果不能很明确的知道风险具体是什么，有待于建立更完善的风险评估体系。

参考文献：

[1]刘霞,蔡佳妮,江建慧.熵权和三角模糊数相结合的定量风险评估方法[J].计算机应用与软件.2010,27,6:263-267

[2]董军,马博.基于改进熵权TOPSIS法的输电项目外部环境分析[J].水电能源科学,2010,28,2:152-154,162

[3]谷震离.基于改进熵值法的MCAI软件评价模型研究[J].计算机工程与科学,2010,32,7:134-136

[4]王李春,姚洁,刘彬彬.基于熵权的灰色关联分析在电力设备评标中的应用[J],2010,6,1:32-34

[5]GB/T 20984-2007 信息安全技术 信息安全风险评估规范[S],2007

基金项目：国家自然科学基金（50375031）、贵州省工业攻关计划（黔科合GY字[2010]1056）、贵州省优秀科技教育人才省长专项资金项目（黔省专合字（2005）199号）。