模糊层次分析法与攻击树提升信息系统安全风险评估的精度

"基于FAHP和攻击树的信息系统安全风险评估研究旨在提高评估结果的准确性和可靠性，以减少主观因素的干扰。攻击树模型作为一种强大的威胁分析工具，最初由SCHNEIERB在20世纪90年代末提出，其通过层次结构清晰地展示潜在攻击路径，便于理解和风险建模。然而，传统攻击树模型在定量分析上存在局限性，如对安全属性的精确分析和叶节点概率的计算。 文章针对这一问题，结合模糊层次分析法(FAHP)，赋予叶节点不同的安全属性，如脆弱性、威胁和防护措施等。FAHP被用来计算这些属性的权重，这有助于减少专家评分的主观性，因为将属性得分设定为区间变量，构建了基于概率的属性发生模型。这样，每个叶节点的发生概率不再是单一的定性判断，而是基于客观数据的量化结果。 作者通过实例分析来验证这种方法的有效性，结果显示，这种方法不仅显著降低了风险评估中的主观因素，而且其逻辑清晰，操作简便，具有广泛的适用性和实际工程应用价值。通过FAHP和区间变量模型，攻击树能够更准确地模拟攻防博弈，从而提供更为合理和全面的安全风险评估，为制定安全防护策略提供了科学依据和技术支持。这种改进后的攻击树模型对于提升信息系统安全性具有重要的推动作用。"