[发明专利]融合ICT供应链网络拓扑和产品商业信息的节点风险评估

说明书

本发明涉及融合ICT供应链网络拓扑和产品商业信息的节点风险评估，属于计算机与信息科学技术领域。主要为了解决ICT供应链网络安全风险评估指标体系以及评估方法不完备的问题，针对该问题本发明提出综合考虑ICT供应链网络拓扑信息、供应商节点产品信息以及供应商节点商业信息的ICT供应链网络节点安全风险评估模型。本发明首先将11维指标进行量化处理；然后将量化指标通过集成学习stacking模型进行训练；最后利用训练好的三分类集成学习stacking模型测试输出节点安全风险等级和F1值。在ICT招投标项目数据集上进行实验，供应商节点安全风险评级任务达到较高F1值，表明本发明能较好的实现对供应链网络节点安全风险的综合评价。

技术领域

本发明涉及融合ICT供应链网络拓扑和产品商业信息的节点风险评估，属于计算机与信息科学技术领域。

背景技术

随着信息通讯技术的日趋成熟，ICT产品、系统、服务正逐渐成为影响政府和重点行业正常运转的关键要素。美国、俄罗斯、欧盟等国家和地区普遍认识到加强ICT供应链安全管理的重要性，并逐步将ICT供应链安全列入其国家战略。我国由于整个ICT行业起步较晚，ICT供应链安全问题的研究对落实我国网络空间安全战略至关重要。

供应商节点风险评估的作用一方面是当发生网络安全事件时(例如，产品软硬件漏洞、供应商供应中断、信息泄露、违规操作等)，基于供应链网络画像开展关联分析，评估事件影响范围并进行风险预警。另一方面，基于供应链网络，结合网络安全相关供应链节点信息(如供应商安全等级、产品安全等级等)和网络安全知识库，构建供应链ICT节点的网络安全风险评估模型，评估其脆弱性以及抵御网络安全风险的能力，输出安全风险等级(高度风险、中度风险、一般风险)，并对风险较高的节点做出预警。

传统的ICT供应链网络安全风险评估模型指标体系仅考虑了供应链的图结构，将供应链网络中企业和企业间的关系抽象为网络的节点和边，再运用复杂网络理论对供应链进行建模分析。该方法仅体现供应链网络的图结构，不能体现出节点之间的差异和供应链网络的拓扑特征。

针对ICT供应链网络安全风险评估模型指标体系以及评估方法存在的评价指标单一，仅考虑供应链图结构的问题，提出了综合考虑ICT供应链网络拓扑信息、供应商节点产品信息以及供应商节点商业信息等11维属性的ICT供应链网络节点安全风险评估模型。模型通过计算可替代性、临界性等复杂网络性能指标并利用deepwalk算法(论文DeepWalk:Online Learning of Social Representations提出)表征网络拓扑的嵌入，获取供应链网络拓扑结构特征，通过doc2vec算法(论文Distributed Representations of Sentencesand Documents提出)将企业经营范围的文本描述表征为文本向量，获取供应商节点产品特征，并通过量化企业类型、企业关键级别、注册资本、成立日期、登记状态、企业住所、分支机构数量等信息，获取供应商节点商业特征。最后，通过融合以上三类特征训练集成学习stacking模型，输出供应商节点的安全风险等级(高度风险、中度风险、一般风险)。

发明内容

本发明的目的是针对目前ICT供应链网络安全风险评估模型指标体系以及评估方法不完备的问题，提出综合考虑ICT供应链网络拓扑信息、供应商节点产品信息以及供应商节点商业信息的ICT供应链网络节点安全风险评估模型。

本发明的设计原理为：首先，从企业官网、招投标网站、国家企业信用信息网等渠道获取企业原始11维指标，11维指标分别为：可替代性、临界性、网络拓扑结构嵌入、企业关键级别、企业类型、注册资本、成立日期、登记状态、企业住所、分支机构数量和经营范围；其次，将11维指标进行量化处理；再次，将上述11维量化指标通过集成学习stacking模型进行训练；最后通过三分类集成学习stacking模型测试输出节点安全风险等级(高度风险、中度风险、一般风险)。

本发明的技术方案是通过如下步骤实现的：