基于不完全信息博弈模型的信息系统安全风险评估方法

doi:10.3969/j.issn.1006-2475.2019.04.022

计算机与现代化

• 信息安全 • 上一篇

基于不完全信息博弈模型的信息系统安全风险评估方法

(1.信息工程大学三院，河南郑州450001；2.郑州市公安局，河南郑州450001)

收稿日期:2018-09-27 出版日期:2019-04-26 发布日期:2019-04-30
作者简介:弭乾坤(1990-)，男，甘肃兰州人，硕士研究生，研究方向：项目风险管理，E-mail： 411503725@qq.com；吴斌（1977-），男，河南焦作人，工程师，硕士，研究方向：通信系统安全；杜宁（1987-），男，山东青岛人，硕士研究生，研究方向：SDN网络管理，项目风险管理；秦晰（1978-），女，河南焦作人，副教授，博士，研究方向：SDN安全，可信计算。

Information System Security Risk Assessment Based on Incomplete Information Game Model

(1. 3rd School, PLA Information Engineering University, Zhengzhou 450001, China；
2. Zhengzhou Public Security Bureau, Zhengzhou 450001, China)

Received:2018-09-27 Online:2019-04-26 Published:2019-04-30

摘要/Abstract

摘要： 博弈理论具有的目标对立性、关系非合作性和策略依存性等特征与网络攻防对抗过程保持一致，将博弈理论应用于网络信息安全已经成为研究热点，但目前已有的研究成果大都采用完全信息博弈模型，与网络攻防实际不符。基于此，为提高信息系统风险评估的准确性，本文构建不完全信息条件下的静态贝叶斯攻防博弈模型，将其应用于网络信息系统安全风险评估，构建相应的信息系统安全风险评估算法。通过仿真实验验证了本文模型和方法的有效性，能够对信息系统安全威胁进行科学、有效的评估。

关键词: 博弈理论, 完全信息博弈, 静态贝叶斯博弈, 风险评估

Abstract: Game theory has the characteristics of opposition target, non-cooperation relationship and dependence policy. It is consistent with the network attack and defense process. Applying game theory to network information security has become a research hotspot, but most of the existing research results have adopted complete information. The game model does not match the actual network attack and defense. Based on this, in order to improve the accuracy of information system risk assessment, this paper constructs a static Bayesian offensive and defensive game model under incomplete information conditions, and applies it to network information system security risk assessment to construct a corresponding information system security risk assessment algorithm. The effectiveness of the model and method is verified by experiments, which can provide a scientific and effective evaluation of information system security threats.

Key words: game theory, complete information game, static Bayesian game, risk assessment

中图分类号:

TP393.08

弭乾坤1，吴斌2，杜宁1，秦晰1. 基于不完全信息博弈模型的信息系统安全风险评估方法[J]. 计算机与现代化, doi: 10.3969/j.issn.1006-2475.2019.04.022.

MI Qian-kun1, WU Bin2, DU Ning1,QIN Xi1. Information System Security Risk Assessment Based on Incomplete Information Game Model[J]. Computer and Modernization, doi: 10.3969/j.issn.1006-2475.2019.04.022.

参考文献［24］

［1］	FALLAH M S. A puzzle-based defense strategy against flooding attacks using game theory［J］. Dependable and Secure Computing, 2016:67(1):5-19.
［2］	BASUS S, WONG J. A taxonomy of intrusion response systems［J］. International Journal of Information and Computer Security, 2015,1(1/2):169-184.
［3］	SHEN S G, LI Y J, XU H Y. Signaling game based strategy of intrusion detection in wireless sensor networks［J］. Computers & Mathematics with Applications, 2016,62(6):2404-2416.
［4］	朱建明. 基于博弈论的信息安全技术评价模型［J］. 计算机学报, 2015(4):828-834.
［5］	李婵,张文德,蓝以信. 数字图书馆信息系统安全动态风险评估模型［J］. 情报科学, 2015,33(5):76-80.
［6］	MATULEVI〖XCC1.TIF,JZ〗IUS R. Model Comprehension and Stakeholder Appropriateness of Security Risk-Oriented Modeling Languages［M］. Springer Berlin Heidelberg, 2014.
［7］	付钰,吴晓平,叶清,等. 基于模糊集与熵权理论的信息系统安全风险评估研究［J］. 电子学报, 2010,38(7):1489-1494.
［8］	梁丁相,陈曦. 基于模糊综合评判理论的电力信息系统安全风险评估模型及应用［J］. 电力系统保护与控制, 2009,37(5):61-64.
［9］	杜虹. 涉密信息系统安全风险评估的探讨［J］. 信息安全与通信保密, 2004(6):20-23.
［10］	曾建国. 大数据时代数据库信息系统安全风险评估技术分析［J］. 信息安全与技术, 2015,6(9):27-28.
［11］	杨晓明,罗衡峰,范成瑜,等. 信息系统安全风险评估技术分析［J］. 计算机应用, 2008(8):1920-1923.
［12］	李鹤田,刘云,何德全. 信息系统安全风险评估模型及其在铁路客票系统中的应用［J］. 中国铁道科学, 2007(1):127-130.
［13］	LARKIN R D, LOPEZ J, BUTTS J W, et al. Evaluation of security solutions in the SCADA environment［J］. Database for Advances in Information Systems, 2014,45(1):38-53.
［14］	黄玉洁,唐作其. 基于改进贝叶斯模型的信息安全风险评估［J］. 计算机与现代化, 2018(4):95-99.
［15］	解佳金,张颖,张永继. 新形势下开展内网安全风险自评估的方法建议［J］. 网络安全技术与应用, 2018(2):14-15.
［16］	王晋东,余定坤,张恒巍,等. 基于不完全信息攻防博弈的最优防御策略选取方法［J］. 小型微型计算机系统, 2015,36(10):2345-2348.
［17］	HAIMES Y Y, CHITTESTER C G. A roadmap for quantifying the efficacy of risk management of information security and interdependent SCADA systems［J］. Journal of Homeland Security and Emergency Management, 2005:DOI:10.2202/1547-7355.1117.
［18］	姜伟,方滨兴,田志宏,等. 基于攻防博弈模型的网络安全测评和最优主动防御［J］. 计算机学报, 2009，32(4):817-825.
［19］	姜伟,方滨兴,田志宏,等. 基于攻防随机博弈模型的防御策略选取研究［J］. 计算机研究与发展， 2010，47(10):1714-1723.
［20］	NGUYEN K C, ALPCAN T, BASAR T. Security games with incomplete information［C］// 2009 IEEE International Conference on Communications. 2009:714-719.
［21］	刘玉岭,冯登国,吴丽辉,等. 基于静态贝叶斯博弈的蠕虫攻防策略绩效评估［J］. 软件学报， 2012,23(3):712-723.
［22］	MAILLOUX L O, GRIMAILA M R, COLOMBI J M, et al. System Security Engineering for Information Systems［M］. Elsevier, 2014.
［23］	COWLEY J A, GREITZER F L, WOODS B. Effect of network infrastructure factors on information system risk judgments［J］. Computers & Security, 2015,52:142-158.
［24］	UTIN D M, UTIN M A, UTIN J. General misconceptions about information security lead to an insecure world［J］. Information Security Journal: A Global Perspective, 2008,17(4):164-169

[1]	卢赛, 庄毅. 基于自适应专家权重的信息系统风险评估模型[J]. 计算机与现代化, 2021, 0(08): 85-93.
[2]	崔雯迪, 段鹏飞, 朱红强, 刘娜. 攻击图与HMM工业控制网络安全风险评估[J]. 计算机与现代化, 2020, 0(07): 32-37.
[3]	叶茜1,王玉斐2,傅毅3,唐玉兰1 . 基于GQM模型的工业控制系统风险评估方法[J]. 计算机与现代化, 2019, 0(08): 92-.
[4]	黄玉洁，唐作其. 基于改进贝叶斯模型的信息安全风险评估[J]. 计算机与现代化, 2018, 0(04): 95-.
[5]	唐炼，王小龙. 基于模式匹配的无线网络安全配置核查工具[J]. 计算机与现代化, 2015, 0(10): 98-102.
[6]	杨龙平;徐亦璐. 两种自构函数对信息安全资产价值评估的影响[J]. 计算机与现代化, 2013, 218(10): 102-105.
[7]	梁勇;戴小鹏;李旺;. 基于AHP外来入侵物种风险评估研究[J]. 计算机与现代化, 2012, 1(9): 205-208.
[8]	吴叶科;宋如顺;陈波. 基于WOWA的信息安全风险模糊评估[J]. 计算机与现代化, 2010, 1(11): 136-138,.

基于不完全信息博弈模型的信息系统安全风险评估方法

Information System Security Risk Assessment Based on Incomplete Information Game Model

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献［24］

相关文章 8

编辑推荐

Metrics

本文评价

基于不完全信息博弈模型的信息系统安全风险评估方法

Information System Security Risk Assessment Based on Incomplete Information Game Model

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献 ［24］

相关文章 8

编辑推荐

Metrics

本文评价

参考文献［24］