英语原文共 7 页，剩余内容已隐藏，支付完成后下载完整资料

---

一种新型物联网隐私安全风险评估模型

吴天水 赵刚

北京信息科技大学 信息管理学院

摘要: 针对物联网应用中的隐私安全问题，本文提出了一种有效的风险评估模型来处理

probabilistic causality of evaluation factors and derive weights of influence-relation of propagation paths.

评价因子的概率因果关系并推导出影响传播路径关系的权重。通过使用贝叶斯因果关系网络和先验概率理论，该模型可以进行概率推理并得出有关资产和传播路径的风险概率值。根据贝叶斯网络（BN）结构，风险分析师利用决策试验和评价实验室（DEMATEL），可以很容易地找到相关的风险传播路径并计算每个路径的权重值。 该模型适用于确定资产风险水平以及各个风险的传播路径，并根据评价结果提出对策建议。 通过仿真分析表明，该模型能有效地修正提供给决策者的建议决策并将风险降低到可接受的范围内，此外，它还对隐私安全风险评估决策在物联网领域的进一步发展提供了理论依据 。

关键词：物联网；贝叶斯网络；决策实验评估实验室；隐私安全风险评估

0 引言

如今，全球大多数互联网连接设备都是由人类直接操作的，如智能手机和计算机，它们的主要通信方式是人和对象或人和人之间的接触。相信在不久的将来，每一个物体都可以被已经构建的网络连接起来。 当然，事物之间是可以互相交换信息的，但是由网络连接起来的“事物”要远远多于由人类所连接起来的“事物”，而人类将很少产生和接收电流。物联网是一个新兴的以信息架构为基础的全球互联网，它在全球供应链网络中能够促进产品和服务的交换。

物联网不仅给网络社区带来很多便利，但同时也面临着巨大的安全威胁，其中隐私安全问题就是一个很大的挑战。许多物联网应用与日常生活密切相关，他们会收集用户的相关信息，如个人地位、购买习惯等。因此，如何有效地解决隐私权安全问题对物联网的广泛应用是很有必要的。

什么是隐私？Weber认为，物联网的隐私包括个人信息的隐蔽性以及具有控制这些信息可能带来的后果的能力。韦伯描述了在物联网领域对安全和隐私的要求主要包含四个方面：弹性攻击，数据认证，访问控制，以及客户的隐私。欧盟委员会（EC）也对物联网应用中的隐私和数据维护原则的实施提出来建议。在建议中，欧盟委员会为隐私影响评估（PIA）建立了请求许可证。在ISO / IEC 27000标准中，主要应用对象是信息安全风险评估（ISRA）。信息安全风险评估的目的是保护资产安全免受威胁和脆弱性，并保证信息安全性、 机密性，完整性和可用性（CIA）。它类似于物联网的隐私安全。

信息安全风险评估，无论在评估方法和实际应用中，都取得了显著的进展。虽然在物联网领域的隐私安全风险评估（PSRA）仍处于发展阶段，但仍有一些风险评估研究已经逐渐变得成熟。随着物联网的广泛应用，许多突出的安全问题迅速增加。因此，有效的隐私安全风险评估逐渐成为研究热点。一种有效的隐私安全风险评估方法能够帮助我们尽早地检测出物联网系统风险。

模糊综合评价法（FCEM）是比较成熟的评估方法，它主要是用来解决模糊或者是难以量化的问题。然而，层次分析法是被假设为独立的层次结构，在建模中由于利用层次分析法，所以，在风险评估集合中，很容易忽视相互依存关系和相互影响关系。因此，它可能会导致评价程序和实际运行系统之间产生偏差，并导致评估精度的下降。 Lo 等人提出了对于控制相互之间依赖性的相关评价方法。这种方法充分考虑了各评价因素的相互影响。然而，它没有关于风险传播路径的分析。

上面提到的研究都没有考虑到风险发生的可能性。2010年，Suleyman提出一种基于贝叶斯网络（BN）的风险评估，它不仅能够计算资产风险的概率水平，而且还能充分分析威胁传播的条件。一般情况下，可能存在多个传播路径，并且对于同一资产，不同的威胁路径会导致不同的风险水平。然而，基于贝叶斯网络的评价方法，并没有考虑传播路径的权重的影响，因此，它可能会得出不精确的风险评估结论。

在充分考虑上述不足的条件下，本文提出了一种基于贝叶斯网络、决策试验以及评价实验室（DEMATEL）。的新的隐私安全风险评估模型。该模型采用贝叶斯网络来构建传播网络，并根据相关先验概率计算风险概率。然后，它利用决策试验和评价实验室分析每一个传播路径的权重条件，最后结合贝叶斯网络来确定资产的风险水平。

1 理论方法

1.1 贝叶斯网络

BN，是由Pearl提出的，也被称为因果网络，概率信念网络或者知识地图，它能够代表随机变量之间的依赖和独立关系。

假定随机变量为times;，m,p（x，m）表示它们的联合概率密度。则其边际概率密度为p(x)和p(m)。在一般情况下，该方法将x设置为观察向量，m作为未知参数向量。接着，为了得到未知参数向量的估计，根据贝叶斯理论，可以使用如下公式：

pi;(m)是m的先验分布。

贝叶斯网络结构学习使用先验知识的样本数据来估计未知样本，而概率，包括联合概率和条件概率，在贝叶斯网络学习理论中，表示的是先验信息和样本数据。使用B(G，P)表示贝叶斯网络包括两个部分：

贝叶斯网络结构是一个定义了一系列局部条件概率系统行为的有向无环图（DAG）。 贝叶斯网络提供了精确的全球框架来传播局部的条件信息和相关的不确定性。图中的节点代表随机变量，而有向边代表着节点之间的相互依存关系。

另一个重要方面是条件概率表（CPT），对于贝叶斯网络图中的每一个节点，在贝叶斯网络的应用中都是一个重要的概率推理。条件概率表用P(X_i|pi;_i)来描述，它代表着子节点和父节点之间的相关性。一些没有父节点的特殊节点代表着先验概率。由于节点及其相互关系，贝叶斯网络可以表示在网络中的所有变量的联合概率分布。基于独立性假设，联合概率分布可以分解为几个局部分布：

使用贝叶斯网络来构建风险传播网络，如果后验概率已被观察到，那么风险节点的概率为PN_i（i = 1,2，，11），资产风险概率P_a和最后的传播路径概率P_i（i = 1,2，，7）都将通过贝叶斯网络推理确定。

1.2 决策实验与评价

决策试验和评价实验室方法应用于分析因子之间的关系，并将这些关系转变成容易理解的结构模型。具体步骤可以概括如下：

第一步：创建初始直接影响矩阵。根据物联网系统的实际情况，第一步是构造如图1所示的直接影响内部元素的关联图。

图1 直接影响关系图

如果因子i直接影响因子j，那么画一个从Y_i到Y_j的箭头，箭头上的数字表示影响的权重。我们定义“0”代表无影响，“1”代表弱，“2”代表中等，“3”代表强，“4”代表极强。可以通过使用直接影响关系图得到初始直接影响矩阵：

第二步：获得规范化的直接关系矩阵和通用关系矩阵。

规范化的直接关系Z可以通过如下公式得到：

然后可以通过下面的公式长生通用关系矩阵T：

在这里代表单位矩阵。

第三步：构建影像图。

获得通用关系矩阵后，矩阵行和列的总和表示R和D。每个（D R）值和（Dminus;R）表示元素的重要性以及它们是如何受其他因素的影响。因此，可以通过映射的数据集（D R，Dminus;R）来建立关系影响图。在本文中，决策者可以应用决策试验和评价实验室方法，建立隐私安全风险评估传播路径关系影响结构图，并确定每一个传播路径的权重 W_i（i = 1,2，，7）。

2 模型风险评估

本文提出的隐私安全风险评估模型的过程包括四个阶段，每个阶段都会产生相应的分析文档。整个流程图如图2所示。简要说明如下：

阶段1：评估准备。这一阶段将确定系统的特性，并建立评估范围，包括物联网系统，资产节点等。

阶段2：因素识别。基本的隐私安全风险评估因子包括威胁、漏洞、资产等，在风险分析和计算之前，分析师应该在这一步中确定这些评估要素。根据95/46 / EC指令，列出各种基于物联网系统应用的风险评估因子，并逐一进行确认。

阶段3：风险分析与计算。这个阶段是隐私安全风险评估的核心。该模型可以利用贝叶斯网络第一阶段中的的物联网识别条件构造一个推理网络图，。然后，分析师通过问卷调查收集初步评估并产生先验概率。接着，决策者输入这些数据，并确定推理风险概率。风险因素如威胁，漏洞等随时都在发生变化。因此，更新和收集这些证据的组成部分，可以进一步作为后验概率推理。风险概率P_a和每个传播路径的风险概率P_i（i = 1,2，，7）都可以通过概率推理得到。然后利用决策试验和评价实验室，该模型可以计算出由（D R，Dminus;R）组成的每个风险传播路径的权重W_i。共同风险计算是将权重和概率相乘，如下公式所示：

RI=Ptimes;W

在风险分析过程中，W不仅表示资产权重，也表示在决策试验和评价实验室中产生的传播路径权重。由于D R表示偶然的影响因素，所以模型可以利用它来计算传播路径的风险值。

最后，隐私安全风险评估模型可以确定资产的最终风险水平以及各风险传播路径的风险水平。

阶段4：风险管理。根据隐私权安全风险评估结论，可以很清楚的根据相关建议对策进行必要的改进。因此，它是一种为决策者提供实施风险管理的有效方法和工具。

图2 风险评估过程图

3 模型和安全风险分析实例化

3.1贝叶斯网络概率推理

为了验证隐私安全风险评估程序，本文选择一个基于射频识别（射频识别）的网上书店的仓库管理系统作为实施背景，对其子资产即数据系统的隐私泄漏风险以及在实际环境中可能的威胁和漏洞进行评估。

根据系统服务的实际运行状况，分析师确定了数据系统的评估范围和风险因素。具体风险因素如表1所示：

表1 物联网系统的风险因素

风险因素 表示符号

物理攻击 N1

伪造攻击 N2

网络路由 N3

缓冲区溢出 N4

DOS攻击 N5

密码漏洞 N6

缺陷暴露 N7

网络漏洞暴露 N8

信道阻塞 N9

网络访问 N10

节点接入 N11

信息泄露 N12

然后通过分析影响相关关系，得出因果关系，如表2所示：

表2 风险因素的因果关系

原因节点 结果节点

N1 N7

N2 N8

N3、N6、N9 N10

N4、N5 N9

N6 N10、N11

N7、N8、N10、N11 N12

根据表2，可以构建一个有效的贝叶斯推理网络。整个网络如图3所示：

图3 贝叶斯关系网络

下一步，通过邀请专家来调查问卷，问卷应该基于节点的风险条件得分来设计。因此，可以通过处理初始评价数据来获得节点的概率。具体概率分配如表3所示：

资产风险概率P_a和传播路径概率P_i（i = 1，2，，7）都可以利用相关公式和软件获得。最后，P_a的值为85.1%，P_i= {0.074 0, 0.185 2, 0.165 0, 0.034 3, 0.122 8, 0.200 8, 0.211 8}。

表3 节点的评估概率

3.2 DEMATEL权重计算

为了建立风险传播的影响强度，本节将通过使用决策试验和评价实验室来确定传播路径的权重。通过收集专家制定的调查问卷，得到了初始直接影响矩阵。然后通过使用相关的公式，，在直接影响矩阵的基础上得到总的直接影响矩阵。最后，通过总直接影响矩阵求和得到（D R，Dminus;R），如表4所示：

根据（d R，Dminus;R），分析师

剩余内容已隐藏，支付完成后下载完整资料

---

资料编号：[29587]，资料为PDF文档或Word文档，PDF文档可免费转换为Word