一种基于GA-FAHP的软件漏洞风险评估方法.pdfVIP

第 42卷 第9期 计 算 机 科 学 Vo1．42No．9 2015年 9月 Computer Science Sep2015 一 种基于 GA—FAHP的软件漏洞风险评估方法 唐成华 。 田吉龙 。 汤 申生 张 鑫。 王 璐。 (桂林电子科技大学广西信息科学实验中心 桂林 541004) (西密苏里州立大学电子工程学院 圣约瑟夫 64507) (桂林电子科技大学广西可信软件重点实验室 桂林 541004)。 摘 要 针对软件系统中漏洞的风险等级确定等问题，提 出了一种利用遗传模糊层次分析法 (GA_FAHP)评估软件 漏洞风险的方法。该方法首先利用改进 的模糊层次分析法求 出各风险因素权重 ，并建立模糊判断矩阵；其次将模糊判 断矩阵的一致性检验与修正计算过程转化为带约束的非线性系统优化问题，并利用遗传算法求解；最后 ，通过 GA_ FAHP算法求出软件漏洞的风险值。实验结果表明，该方法具有较好的准确性和有效性，为软件漏洞风险评估提供 了 一 种可行的途径。 关键词 软件漏洞，风险评估，遗传算法，模糊判断矩阵 中图法分类号 TP309 文献标识码 A DOI 10．11896／j．issn．1002-137)(．2015．9．025 RiskAssessmentofSoftwareVulnerabilityBasedonGA—FAHP TANG Cheng-hua’。 TIANJi—long’。TANGShen-shenge ZHANG Xi WANG Lu。 (GuangxiExperimentCenterofInformationScience，GuilinUniversityofElectronicTechnology，Guilin541004，China) (DepartmentofEngineeringTechnology，MissouriWesternStateUniversity，St．JosephMO64507，USA) (GuangxiKeyLaboratoryofTrustedSoftware，GuilinUniversityofElectronicTechnology，Guilin541004，China)。 Abstract Aimingattheproblem ofthevulnerabilityriskleveldeterminationinthesoftwaresystem，ageneticfuzzyaria- lytiehierarchyprocess(GA-FAHP)approachwasproposedtoevaluatetheriskofsoftwarevulnerability．Firstly，the improvedFAHPisusedtocalculatetheweightofeachriskfactor，andthefuzzyjudgmentmatrixareestablished．Se- condly，theconsistencycheckingandcorrectingprocessofthefuzzyjudgmentmatrixaretransformedintoanoptimiza— tionproblem fornonlinearconstrainedsystem ，andthegeneticalgorithm isusedtosolveit．Finally，theriskdegreeof thevulnerabilityiscalculatedbyGA-FAHP algorithm．Experimentalresultsshow thatthismethodhasgoodaccuracy andvalidity，andprovidesafeasiblewayforthesoftwarevulnerabilityriskasses