42、多传感器模型提升自动攻击检测能力

多传感器模型提升自动攻击检测能力

1. 模型示例介绍

在网络安全领域，为了更有效地检测攻击，构建了多传感器模型。下面介绍两个具体的模型示例。

1.1 示例 1：Web 服务器内 Snort 与传感器结合使用

在这个示例中，webIDS 1 用于检测 web 服务器是否成功运行 phf 程序。若环境中正常使用 phf 程序，该规则可能会产生误报。但当 webIDS 1 发出警报且 Snort 1762 也发出警报时，意味着攻击已发起且脚本成功执行。

为简化模型，假设 webIDS 对故障有很强的抵抗力，将 P(w2 = T) 设置为接近 1。a21 的条件概率表（CPT）定义方式与之前类似，同时为简化模型，排除了各入侵检测系统（IDS）之间的依赖关系。

1.2 示例 2：防火墙代理两侧的两个传感器

此场景中，我们监控受防火墙/网络代理保护的内部 Web 服务器。使用一个 Snort 实例（S2）监控代理外部的流量，另一个实例（S1）监控内部流量。

与之前模型相比，做了几处更改。将故障观察节点类型从加密流量观察改为心跳消息观察，以展示应使用多种 r - 节点。由于 S1 在代理内部，其发出的警报比无过滤代理的传感器（如示例 1 中的传感器）发出的警报更严重，因此降低了 P(a11|w1, ¬inv - A) 的概率，期望该传感器产生更少不值得进一步调查的误报。此外，还添加了 a11 和 a21 之间的明确依赖关系。

2. 实验部分

2.1 实验设置

示例 1 和示例 2 的模型各有三个可观察节点。模拟使用的测试系列如下表所示： <