超级会员免费看
应用层攻击的混合检测技术解析
在网络安全领域,对应用层攻击的检测至关重要。本文将介绍一种基于随机结构模型(SSM)的混合检测方法,以及相关的实验评估和性能分析。
1. SSM 方法概述
SSM 方法利用形式化方式描述消息生成过程,对于具有已知结构的协议数据单元,可估计其出现的可能性,从而检测使用异常。该方法基于随机马尔可夫模型,为观测到的有效负载提供生成模型及相关概率。
给定有效负载 p,通过模型 λ 评估,可得到该有效负载由模型生成的概率 P(p|λ),进而定义正常性得分 Ns(p):
[Ns(p) = P(p|λ)]
根据给定阈值 Θ,可将单个有效负载分类为正常或异常:
[class(p) =
\begin{cases}
normal, & \text{if } Ns(p) \geq \theta \
anomalous, & \text{otherwise}
\end{cases}
]
2. SSM 模型元素
一阶马尔可夫模型 λ 由一组元素定义:
- 状态集合 S = {s1, s2, …, sN}
- 可观测符号集合 V = {ok, 1 ≤ k ≤ M}
- 状态转移概率矩阵 A = {aij, 1 ≤ i, j ≤ N}
- 每个状态下符号的观测概率矩阵 B = {bik, 1 ≤ i ≤ N, 1 ≤ k ≤ M}
- 每个状态作为序列第一个状态的概率 Π = {πi, 1 ≤ i ≤ N}
有效负载 p 的正常性得分可根据以下公式计算:
订阅专栏 解锁全文
扫一扫
2402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
