超级会员免费看
利用词网络进行模仿攻击检测及签名工程简化
1. 模仿攻击检测实验
在模仿攻击检测的研究中,我们进行了相关实验。值得注意的是,误报检测通常出现在属于同一服务的会话中。例如,如果一个隐马尔可夫模型(HMM)被训练用于检测 Telnet 攻击,那么只有 Telnet 会话会产生误报。高误报率的原因在于,攻击通常只出现在会话的一小部分中,因此用于训练 HMM 的会话其余部分可能包含正常段,这会导致 HMM 将正常会话误检测为攻击。
我们对入侵检测系统(IDS)进行了两个测试,一个是误报测试,另一个是漏报测试。误报测试集的构建方式与基本情况相同,而漏报测试集的构建略有不同。由于插入空操作(no - ops)可能构建的不同攻击变体数量是无限的,我们将自己限制在一个子类中,该子类考虑在每个攻击段之间插入 10 个不同的随机生成的 no - ops 序列。这个子类仍然很重要,因为它包括一些依赖上下文的 no - ops 以及从返回失败的系统调用派生的 no - ops,在这两种情况下都无法进行归一化。对于每种攻击有 2500 个变体的数据库,我们可以为模仿攻击的一般情况生成 25000 个不同的攻击。在这个样本量下,样本具有 99.2% 的置信度。
实验结果表明,我们的 IDS 能够以 92% 的准确率检测到相当一部分模仿攻击,但误报检测率较高,约 4% 的序列被错误地标记为攻击。插入 no - ops 的修改攻击的误报率增加是可以预期的,因为 no - ops 插入到模型中的噪声会妨碍正确的区分。以下是不同攻击的检测率和误报率:
| 攻击名称 | 检测率 | 误报率 |
| — | — | — |
| Eject 1 | 93% | 4% |
| Eje
订阅专栏 解锁全文
扫一扫
1785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
