6、网络流量中未解释行为的识别与分析

网络流量中未解释行为的识别与分析

在网络安全领域，识别未解释的行为对于发现潜在的威胁，如零日攻击至关重要。本文将深入探讨如何通过概率模型来识别网络流量中的未解释行为，并分析其相关性质。

1. 基本概念

• 行为发生概率 ：虽然计算行为发生的概率超出了本文的范围，但已有研究提出了相关解决方案，如攻击图的概率扩展及有效识别攻击发生的算法。我们假设可以容易地计算出行为 $A$ 的所有发生情况 $o$ 及其概率。用 $O(S; A)$ 表示在观察序列 $S$ 中行为 $A$ 的所有发生情况的集合，当 $S$ 和 $A$ 从上下文可知时，简记为 $O$。
• 概率未解释行为模型 ：
  • 冲突与可能世界 ：两个发生情况 $o_i$ 和 $o_j$ 冲突，记为 $o_i \bowtie o_j$，当且仅当 $o_i \cap o_j \neq \varnothing$。一个观察序列 $S$ 相对于一组行为模型 $A$ 的可能世界 $w$ 是 $O(S; A)$ 的一个子集，使得其中任意两个发生情况都不冲突。用 $W(S; A)$ 表示所有可能世界的集合，当 $S$ 和 $A$ 从上下文可知时，简记为 $W$。
  • 示例 ：考虑图 2 中的观察序列和两个冲突的发生情况 $o_1$ 和 $o_2$，有三个可能世界：$w_0 = \varnothing$，$w_1 = {o_1}$，$w_2 = {o_2}$。因为 $o_1 \bowtie o_2$，所以 ${o_1, o_2}$ 不是一