超级会员免费看
入侵检测系统的运行时监控与动态重新配置
1. 攻击树的逻辑公式简化
当攻击树以规范的析取范式(DNF)呈现时,若攻击者能使至少一个子句为真,便意味着威胁被实现。不过,此公式往往存在大量冗余。例如,某些子句组合在逻辑上等价。为消除这些冗余,可运用奎因 - 麦克拉斯基算法。在简化攻击树公式时,子句仅包含正文字。
以图 4 中的攻击树为例,经简化后得到的公式为:
((A1) \vee (A3 \wedge A2) \vee (A4 \wedge A2))
DNF 公式可表示为子句集合({C1, C2, … }),其中每个子句(Ci)是正文字集合({li1, li2, … })。对应攻击树(T)的最小 DNF 公式记为(F(T)),图 4 的攻击树可形式化为:
(F(T) = {
{A1}, {A2, A3}, {A2, A4}})
2. 攻击树评估
2.1 问题提出
假设已配置的入侵检测系统(IDS)知晓一组可检测的攻击(A = {A1, …, An})以及一般网络状况。这些攻击被划分为(K)个攻击类({AC1, …, ACK}),且(\bigcup_{k} ACk = A)。虽不要求知晓每个攻击类中的所有攻击,但需为每个攻击类准备足够数量的攻击样本,以便用作挑战。当前问题是对攻击类的检测进行优先级排序。
2.2 优先级排序标准
- 攻击树 :攻击者有特定目标,对应攻击树(T)。造成更大损害的攻击树应优先处理。
- 子句 :攻击者试图
订阅专栏 解锁全文
扫一扫
2528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
