成本评估模型

第一节　成本评估模型

在林缘社区资源利用对自然保护区的影响评估中，成本评估是整个评估的基础，成本评估的目的是为了以最小的代价实现最好的保护。为此，我们以成本模型公式为理论依据，选用自动入侵响应系统模型为基础，通过影响行为完成评价。

随着计算机网络的不断发展，为解决网络安全问题，人们使用了入侵检测系统（Intrusion Detection Systems，IDS），目的在于尽可能快地做出响应以避免更大的损失。入侵响应系统由于IDS通常是被动监视而不是主动过滤事件流，因此极易受到过载攻击，从而导致真正的入侵被忽略。在这种情况下，致力于阻止可能导致最大损害的入侵是最有效率和最有利的方法。入侵检测系统随后发展到入侵响应系统（Intrusion Response Systems，IRS）。为了减少成本代价，做出最优的决策，WenKe Lee提出了一套完整的建立入侵响应模型的方法以自动化IRS开发过程，并减少开发成本。该模型的创建过程为：通过资产评估得到成本矩阵（Cost Metrics），利用数据挖掘算法计算行为模式，并提取预测特征，最后根据得到的成本矩阵应用机器学习算法产生检测规则。该模型旨在提供一个针对特定成本矩阵的最优检测响应模型。该模型可用来有效评价资源利用对保护区影响的响应成本，并说明社区共管资源利用模式对自然保护的影响成本。

一、理论基础

成本评估模型的理论基础是成本模型。成本模型将自然保护区资源利用的所有成本公式化，并权衡所有相关的成本因素以为做出最优决策提供基础。

（一）主要成本因素

资源利用对自然保护区影响的成本主要包括损失成本（Damage Cost）、响应成本（Response Cost）及运作成本（Operational Cost）等。这些成本可以根据影响的分类及保护策略和优先级计算出来。

损失成本是指没有采取有效地保护措施时，资源利用对保护区资源造成的损失。可以用严重性（Criticality）和破坏性（Lethality）来评估损失成本：严重性衡量影响破坏目标的重要性，破坏性衡量影响破坏目标可能造成损失的等级（破坏性主要由破坏影响类型决定）。定义破坏性基数Base，当根据影响目标重要性为损失成本负值时，其值为Criticality×Base。

响应成本是指针对资源利用对保护区的影响做出反应行为的成本。响应成本主要依赖于使用的响应机制，这通常由IDS的能力、特定站点策略、影响类型和影响目标资源所决定。根据每种影响类型典型响应的相对复杂程度，定义相对基本响应成本（Relative Base Response Cost，BaseR）。响应成本为Criticality×BaseR。

运作成本是指处理监测的事件流及分析影响活动的成本。最主要的运作成本是从保护区监测的原始数据、调查所花费的时间与保护区资源的总和。通常依靠规则（规则是对特征进行判断的集合）来识别影响行为。有一些特征对保护区资源的监测很有帮助，比如，监测长时间内各类影响事件的特征对于监测影响很有用，然而对这些特征的计算也更耗费成本，因为它们需要调查和分析大量的数据。

二、影响分类

对社区资源利用影响进行分类是成本评估的关键性工作。一般来说，自然保护区林缘社区居民薪材的使用对保护区的影响成本小于木材加工厂的影响成本；农作物耕种的影响成本小于矿物开发的影响成本；自然保护区林缘社区居民日常生活用水的影响成本小于水电开发的影响成本。

三、成本模型的结构

在定义成本模型前，我们先考虑监测中每个事件e的可能结果。令e=（a，p，r），其中a代表影响类型（也可以是正常事件），p代表影响程度，r代表影响目标资源。e的监测结果包括：False Negative（FN），False Positive（FP），Tale Positive（TP），True Negative（TN）及错误识别。与此相关的成本定义为结果成本（Consequential Costs，C Cost）。下面逐个讨论各个可能结果的成本。

FN成本是未监测到影响的成本。如果没有检测到影响因而没有相应保护，则影响成功；影响目标资源被破坏，FN成本被定义为损失成本（DCcost（e））。

TP成本是监测到影响事件的成本及可能的保护成本，而是否采取保护措施则取决于RCcost（e）和DCcost（e）。如果RCcost（e）＞DCcost（e），则只记录日志而不采取保护措施，结果成本为DCcost（e）；如果RCcost（e）≤DCcost（e），则进行保护，结果成本为DCcost（e）。实际上，考虑监测到影响时可能已经造成了一定损失，TP成本应该被定义为RCcost（e）+DCcost（e），其中e₁是影响程度p的一个函数。

FP成本是将正常事件检测成影响评价行为的成本，即e=（normal，p，r）被识别为e′=（a，p′，r）。

如果RCcost（e′）≤DCcost（e′），则要进行相应的响应，因而响应成本RCcost（e′）应该被计算进结果成本中。同时，由于正常行为被不必要的影响评价打断，相应的惩罚成本（Penalty Cost，P Cost）也应该被计算进来，若正常事件e被制止，P Cost（e）可以被看作是对于资源T的影响的损失代价。

综上，F成本为RCcost（e′）+DCcost（e′）。

TN成本为0，因为正确识别了正常事件。错误识别发生在影响行为被错误识别时，即e=（a，p，r）被错误识别为e′=（a′，p′，r′）。若RCcost（e′）≤DCcost（e′）时，IRS进行响应，RCcost（e′）被计算进结果成本中。因为响应是针对a′的，而不是a，应该将ε₂DCcost（e）也计算入结果成本中，其中ε₂影响程度p是错误响应影响的一个函数。

综合上面的论述，可以定义成本模型。当评估某测试集E时，对每个e属于E，分别标记为正常事件或某种影响行为，定义累积成本（Cumulative Cost）即成本模型公式如下：

Cumulative cost（E）=蒡（C Cost（e）+OpCost（e））（1）

我们可以根据累积成本值来判定保护区资源保护运作的实际成本，同时以之为依据采取各种措施来减少累积成本。从公式中可以看到，减少累积成本可以通过减少结果成本和运作成本来进行。

四、价值评估

价值评估的目的是得到成本矩阵。价值评估采用OCTAVE（Operationally Critical Threat，Asset，and Vulnerability Evaluation）方法。该方法用于评估信息安全风险，主要分为两种：用于大型组织的OCATV方法和用于小型组织的0CA1E—S方法。

OCATV方法是一个有效的信息安全风险评估，应该考虑组织结构和技术两方面。OCATV与其它评估方法不同之处在于，它是由用户而不是专家负责设置安全策略。同时，它不仅仅致力于技术风险的评估，更注重组织结构风险的评估。OCATVE是一种可适用于大多数组织的灵活评估方法。