超级会员免费看
计算机安全中的极小极大检测:动态规划表征
1. 问题描述
在计算机系统中,可能存在从单个进程到多台计算机网络等多种计算系统。我们的目标是检测系统活动中是否存在对抗性干预,即判断记录的活动是否由对手生成。为实现这一目标,我们考虑两个理性决策者:检测器(MAD)和对手(MAX)。
1.1 系统模型
MAD 在分层架构下对整个系统的活动进行评估。我们使用分层有序的树图来表示系统,图的顶点对应于块。除最低层外,每个节点根据其与前一层块的组成关系与前一层的某些节点相连,高层节点称为“父节点”,低层节点称为“子节点”,最低层节点为“(本地)基本节点”。
各层的块检测/监控区域不重叠,这种分层树模型能将 MAD 和 MAX 之间的交互分解为嵌套结构,从而设计出高效的检测算法。与允许检测/监控区域重叠的有向无环图方案相比,树方案在计算复杂度和检测性能上更具优势。
该框架在设计分层结构方面具有灵活性,例如可以选择在特定时间间隔内评估进程内的构建块,或者评估不同进程在特定时间间隔内执行的构建块。同时,它比考虑滑动窗口、遗忘因子或马尔可夫行为的模型更具灵活性,因为这些模型是该框架的特殊情况。
假设图的深度为 𝜅 且有一个根节点。用 (n^k_i)((i \in \mathcal{I}_k))表示第 (k) 层的第 (i) 个节点,其中 (\mathcal{I}_k) 是第 (k) 层所有节点的索引集。在每个 (n^k_i) 处,MAD 从有限字典 (\mathcal{D}^k_i) 中观察到一个单词 (\omega^k_i),即 (\omega^k_i \in \mathcal{D}^k_i)。在基本节点处,单词是系统活动的采样,如记录
订阅专栏 解锁全文
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
