下载文档原格式
【个人总结系列-7】入侵检测学习总结入侵检测学习总结入侵检测基本概念随着计算机技术的飞速发展,网络安全问题纷繁复杂,计算机信息安全问题越来越受关注。
为了保证网络和信息的安全,必须采取一定的措施,常用的信息安全技术手段主要有:访问控制(Access):防止对资源的未授权使用鉴别与认证(Authentication):用保护机制鉴别用户身份加密(encrypt):使用数学方法重新组织数据防火墙(Firewall):隔离和控制被保护对象VPN (Virtual Private Network):在公共网上建立专用安全通道扫描器(SCAN):检测系统的安全性弱点入侵检测(Intrusion detection):检测内、外部的入侵行为但是许多常规的安全机制都有其局限性,许多方面都不尽如人意,例如防火墙的局限性为防火墙像一道门,可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,不能阻止内部的破坏分子;访问控制系统的局限性为可以不让低级权限的人做越权工作,但无法保证不让高权限的人做破坏工作(包括通过非法行为获得高级权限);漏洞扫描系统的局限性为可以提前发现系统存在的漏洞,但无法对系统进行实时扫描。
从实际来看,建立一个完全安全系统很难做到的,原因如下:(1)软件不可能没有缺陷(2)将所有已安装的带安全缺陷的系统转换成安全系统是不现实的(3)访问控制和保护模型本身存在一定的问题(4)静态的安全控制措施不足以保护安全对象属性(5)安全系统易受内部用户滥用特权的攻击一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,入侵检测系统(IDS)就是这样一类系统。
美国国家安全通信委员会(NSTAC)下属的入侵检测小组(IDSG)在1997年给出的关于“入侵”的定义是:入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。
对“入侵检测”的定义为:入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。
网络安全中的入侵检测系统使用技巧分享随着互联网的发展,网络安全的重要性日益凸显。
恶意入侵成为了许多企业和个人所面临的威胁。
为了保护网络安全,人们开发了各种入侵检测系统(Intrusion Detection System,简称IDS)。
这些系统可以帮助我们实时监测和识别网络上的入侵行为,及时采取相应的防护措施。
本文将分享一些网络安全中的入侵检测系统使用技巧,帮助读者更好地应对网络安全威胁。
1. 了解常见的入侵检测系统类型在开始使用入侵检测系统之前,我们首先需要了解常见的入侵检测系统类型。
主要分为两类:基于签名的入侵检测系统(Signature-based IDS)和基于异常的入侵检测系统(Anomaly-based IDS)。
基于签名的入侵检测系统通过事先定义好的特征库来识别已知的入侵行为。
这种方法可以快速准确地检测出已知的威胁,但对于未知的恶意行为可能无法及时发现。
基于异常的入侵检测系统则通过建立网络正常行为模型,监测网络流量是否异常。
当出现异常行为时,系统会发出警报。
这种方法可以有效检测出未知的恶意行为,但也容易产生误报。
了解这些不同类型的入侵检测系统,可以根据实际需求选择合适的系统进行部署和配置。
2. 定期更新入侵检测系统的规则库入侵检测系统的规则库是系统识别入侵行为的关键。
因此,定期更新规则库至关重要。
黑客不断改变和更新他们的入侵技术,如果我们没有及时更新规则库,就无法保证系统能够检测到最新的威胁。
建议定期查看入侵检测系统厂商的官方网站或邮件通知,了解最新的规则库更新情况,并及时进行更新。
同时,还可以参考网络安全论坛和社区,了解其他用户的经验和建议。
3. 配置适当的入侵检测系统阈值入侵检测系统的阈值是指触发入侵警报的触发条件。
合理配置阈值可以帮助我们过滤掉噪音,减少误报和漏报。
首先,需要了解自己网络的正常流量和行为特点。
根据实际情况,配置入侵检测系统的阈值,确保警报只会在真正出现异常行为时触发。
信息安全技术实训课程学习总结网络防御与入侵检测的实战经验分享随着信息技术的迅猛发展,网络安全问题日益突出,威胁着各行各业的信息安全。
为了提高个人和组织在网络环境中的安全防御能力,我参加了一门信息安全技术实训课程,在该课程中,重点学习了网络防御与入侵检测的相关内容,通过实践掌握了一些实用的技术和经验。
以下是我在实训过程中的一些心得与体会分享。
1. 加强网络基础知识的学习在网络安全领域,了解网络基础知识是很重要的一步。
只有对网络的基本原理和工作方式有全面的了解,才能更好地进行防御和检测。
在实训课程中,我们首先学习了网络结构、协议、路由等基础知识,并通过实践操作加深了理解。
掌握了这些基础知识后,我能够更好地理解网络攻击的原理和方法,从而更好地进行网络防御工作。
2. 搭建安全网络环境实际的网络防御工作需要在安全的网络环境中进行,因此在实训课程中,我们首先学习了如何搭建安全的网络环境。
通过虚拟化技术,我们搭建了一套隔离的网络实验环境,并进行了一系列的网络安全实验操作。
这样的实践环境让我能够亲身体验并深入了解各种网络攻击手段,通过实践操作,我能够更好地理解网络攻击的原理和方法,从而更好地进行防御工作。
3. 学习入侵检测技术入侵检测是网络安全中的一项重要工作,通过对网络中异常行为的检测和分析,可以提前发现入侵事件并采取相应措施。
在实训课程中,我们学习了入侵检测的基本原理、技术和常用工具。
通过实践操作,我学会了使用一些入侵检测系统和工具,如Snort、Suricata等。
这些工具可以帮助我们实时监测网络流量,并对异常行为进行分析和判断,提高网络安全防御能力。
4. 实战演练与经验总结理论知识的学习只是为了更好地应对实际问题,因此在实训课程中,我们还进行了一系列的实战演练。
通过模拟实际攻击和防御场景,我们能够更好地应对各种网络安全问题,并总结经验教训。
在实际实验中,我学到了很多实用的技巧和方法,比如防火墙配置、入侵检测规则的编写等。
安全工程师的入侵检测技巧在当今互联网时代,网络安全问题越来越受到关注。
作为安全工程师,入侵检测是我们工作中至关重要的一环。
本文将介绍几项入侵检测技巧,以帮助安全工程师更好地保护网络安全。
一、入侵检测技巧之日志分析日志分析是入侵检测的关键步骤之一。
通过分析系统、应用程序以及网络设备产生的日志,我们可以发现异常活动和潜在的入侵行为。
这些日志可以包含系统登录记录、网络流量数据、异常事件报告等。
在日志分析过程中,我们应该注意以下几个方面:1. 收集全面的日志数据:确保收集到的日志数据覆盖了所有关键设备和应用程序,以减少漏报的风险。
2. 建立日志分析规则:根据已知的入侵行为和异常活动,建立相应的日志分析规则,以便及时发现并处理异常事件。
3. 自动化分析工具:使用自动化工具对大量的日志数据进行快速分析,减轻人工分析的工作量,并提高检测效率。
二、入侵检测技巧之网络流量分析网络流量分析可以帮助我们识别恶意攻击和异常行为。
通过监控和分析网络流量,我们可以发现潜在的入侵威胁。
以下是一些网络流量分析的技巧:1. 识别异常流量模式:监控网络流量,发现异常的流量模式,如大量的连接尝试、异常的数据包大小等。
2. 检测高危端口活动:关注网络中常见的高危端口,如FTP、SSH、RDP等,并及时响应异常活动。
3. 实时流量分析:使用实时流量分析工具,以便快速发现和应对网络攻击行为。
三、入侵检测技巧之漏洞扫描漏洞扫描是确保网络安全的重要措施之一。
通过对网络设备、应用程序和操作系统进行漏洞扫描,我们可以识别潜在的漏洞并及时修复。
以下是漏洞扫描的一些技巧:1. 使用专业的漏洞扫描工具:选择可靠的漏洞扫描工具,如Nmap、OpenVAS等,对网络进行全面扫描,并生成详细的报告。
2. 定期扫描和更新:定期进行漏洞扫描,并及时更新扫描工具的漏洞库,以确保检测到最新的漏洞。
3. 结合漏洞修复策略:在扫描结果中发现漏洞后,及时制定并执行漏洞修复策略,以降低系统被攻击的风险。
网络安全系统中的入侵检测技术使用技巧随着互联网的快速发展,网络安全威胁也日益增加。
为了保护网络免受入侵和攻击,企业和组织采用了各种网络安全系统。
其中,入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的安全工具,主要用于监控和检测网络中的恶意行为和攻击。
在网络安全系统中,正确使用入侵检测技术是确保网络安全的关键。
本文将介绍一些入侵检测技术的使用技巧,旨在帮助用户更好地保护网络安全。
1. 全面了解网络环境在使用入侵检测技术之前,用户首先需要全面了解自己的网络环境。
这包括网络拓扑结构、网络设备和服务、网络流量情况等信息。
只有了解了自己网络的特点和状况,才能更好地配置和使用入侵检测系统。
同时,用户还应该了解当前网络安全威胁的最新动态,以便针对性地采取相应的防护措施。
2. 选择合适的入侵检测技术入侵检测技术有两种主要类型:基于特征和基于行为。
基于特征的入侵检测技术主要是通过识别已知攻击的特征来进行检测。
而基于行为的入侵检测技术则是通过监测系统和网络的行为模式来检测异常活动。
用户应根据自己的需求和网络环境特点选择适合的入侵检测技术。
通常情况下,综合使用这两种技术可以提高检测效果。
3. 配置有效的规则和规则库入侵检测系统依赖于规则和规则库来进行检测。
规则是用来描述恶意行为或攻击特征的一组条件语句。
用户应该根据自己的需求和网络环境特点配置有效的规则和规则库。
在配置规则时,用户应该考虑到不同类型的攻击和入侵行为,包括网络扫描、恶意代码、未经授权访问等。
此外,定期更新和升级规则库也是保持入侵检测系统高效工作的重要步骤。
4. 优化入侵检测系统入侵检测系统是需要不断优化和调整的。
用户应该监控和分析入侵检测系统的报警信息和日志,及时发现和应对潜在的安全威胁。
例如,可以设置报警阈值,当网络流量、连接数或异常行为超过设定的阈值时,及时通知管理员进行处理。
此外,用户还可以定期对入侵检测系统进行性能测试和评估,以确保其正常工作和高效运行。
入侵检测技术重点总结入侵检测技术是信息安全领域中的重要技术之一,其主要目标是监测和检测网络和系统中的异常行为,及时发现和应对潜在的入侵活动。
入侵检测技术不仅可以帮助企业保护其关键信息资产,还可以帮助政府和公共组织维护其基础设施的安全。
下面将重点总结入侵检测技术的一些关键方法和技术。
1. 签名检测签名检测是入侵检测技术中最常见和最基础的方法之一。
签名检测通过事先学习典型入侵行为的特征,然后用这些特征来匹配实时网络流量或系统日志,从而发现和识别入侵行为。
签名检测技术的优点是高效和准确,但其缺点是对于未知入侵行为和变种攻击无法有效检测。
2. 异常检测异常检测是入侵检测技术中一种基于统计学方法的方法。
它通过建立正常行为的模型,然后与实时网络流量或系统日志进行比较,发现和识别异常行为。
异常检测技术的优点是可以检测未知入侵行为和变种攻击,但其缺点是误报率较高。
3. 行为分析行为分析是入侵检测技术中一种基于模式识别和机器学习的方法。
它通过学习正常用户和恶意攻击者的行为模式,然后用这些模式来识别和区分实时行为。
行为分析技术的优点是可以检测未知入侵行为和变种攻击,同时可以降低误报率。
然而,行为分析技术需要大量的数据和复杂的算法来建立和更新行为模型,因此计算和存储资源的要求较高。
4. 基于机器学习的方法基于机器学习的方法是入侵检测技术中一种使用机器学习算法来识别和分类网络流量或系统日志的方法。
该方法通过学习历史数据中的特征和行为模式,然后根据这些学习到的模型来预测和识别实时数据中的异常行为。
基于机器学习的方法可以有效地检测未知入侵行为和变种攻击,但其要求大量的标记数据和计算资源。
5. 深度学习深度学习是入侵检测技术中一种使用人工神经网络来建立和训练模型的方法。
深度学习技术可以自动学习复杂的特征和行为模式,从而识别和分类网络流量或系统日志中的异常行为。
与传统的机器学习方法相比,深度学习方法可以更好地适应不同的数据和环境,具有更高的准确性和鲁棒性。
知识点归纳网络安全中的入侵检测与安全策略在网络时代的今天,网络安全问题无处不在。
为了保障网络的安全性,提高信息系统的抵御风险能力,入侵检测成为了网络安全中的重要环节。
本文将对网络安全中的入侵检测与安全策略进行归纳总结,以便读者深入了解和应用相关知识点。
一、入侵检测(Intrusion Detection, ID)入侵检测是指通过对网络和主机等系统进行持续监控和分析,及时发现未知的、有害的行为或者事件,从而进行预警和防范的过程。
入侵检测系统(Intrusion Detection System, IDS)主要包括以下几种类型:1. 主机入侵检测系统(Host-based Intrusion Detection System, HIDS):主要监视和分析主机系统内部的行为,通过与已知入侵行为特征的比对,检测出潜在的入侵事件。
2. 网络入侵检测系统(Network Intrusion Detection System, NIDS):主要监视和分析网络流量、协议报文等,以识别和捕获网络中的恶意攻击行为。
3. 综合入侵检测系统(Integrated Intrusion Detection System, IIDS):将主机入侵检测和网络入侵检测相结合,实现对网络系统全面、全方位的安全监控。
二、入侵检测方法1. 基于特征的检测:根据已知的入侵行为特征,建立相应的检测规则,通过与网络流量或者主机行为进行匹配,发现与之相符的入侵事件。
2. 基于异常的检测:通过对网络流量、主机行为等进行建模,提取其正常的行为特征,当发现与之相差较大的行为时,即视为异常,可能是入侵行为。
3. 基于统计的检测:通过对网络流量、主机行为等进行统计分析,利用数学模型和算法来判断是否存在异常或者恶意的行为。
三、安全策略在网络安全中,除了入侵检测系统的应用外,制定和执行安全策略也是非常重要的。
下面简要介绍几种常见的安全策略:1. 访问控制:通过对网络和系统资源进行访问控制的设置,限制用户的访问权限,以达到保护关键信息的目的。
入侵检测技术重点总结1.黑客:早先对计算机的非授权访问称为“破解”,而hacking(俗称“黑”)则指那些熟练使用计算机的高手对计算机技术的运用,这些计算机高手称为“黑客”。
随着个人计算机及网络的出现,“黑客”变成一个贬义词,通常指那些非法侵入他人计算机的人。
2.入侵检测(intrusion detection):就是对入侵行为的发觉,它通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。
3.入侵检测系统的六个作用:1)、通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生。
2)、检测其他安全措施未能阻止的攻击或安全违规行为。
3)、检测黑客在攻击前的探测行为,预先给管理员发出警报。
4)、报告计算机系统或网络中存在的安全威胁。
5)、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。
6)、在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
4.t P>t D+t Rd的含义:t p:保护安全目标设置各种保护后的防护时间。
t D:从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。
t R:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。
公式的含义:防护时间大于检测时间加上响应时间,那么在入侵危害安全目标之前就能检测到并及时采取防护措施。
5.入侵检测原理的四个阶段:数据收集、数据处理,数据分析,响应处理。
6.攻击产生的原因:信息系统的漏洞是产生攻击的根本原因。
7.诱发入侵攻击的主要原因:信息系统本身的漏洞或脆弱性。
8.漏洞的概念:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它是可以使攻击者能够在未授权的情况下访问或破坏系统。
漏洞会影响到很大范围内的软件及硬件设备,包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。
网络安全中的入侵检测方法及算法原理随着互联网的快速发展,网络安全问题变得日益突出。
为了保护网络的安全,入侵检测成为了一项重要的任务。
入侵检测系统能够监视和分析网络中的数据流量,识别出潜在的入侵活动,并及时采取相应的措施。
本文将介绍网络安全中常用的入侵检测方法及其算法原理。
一、基于特征的入侵检测方法基于特征的入侵检测方法是一种常见的入侵检测方式。
该方法通过建立一系列的特征模型,检测网络流量中的异常行为。
这些特征模型可以基于已知的入侵行为进行定义和训练,也可以使用机器学习算法从大量数据中学习并自动识别新的入侵行为。
1.1 签名检测签名检测是一种常见的入侵检测方法,它通过比对网络流量与已知的入侵签名进行匹配来判断是否存在入侵行为。
入侵签名是已知入侵的特征集合,可以基于已有的安全知识进行定义。
然而,签名检测方法无法有效检测新型入侵行为,因为它只能识别已知的攻击模式。
1.2 统计检测统计检测方法使用统计模型分析网络流量的变化,并通过比较实际数据与期望模型之间的差异来检测入侵行为。
常见的统计检测方法包括:基于异常的检测和基于异常的检测。
基于异常的检测依赖于对正常行为的建模,当网络流量的行为与已定义的模型出现明显偏差时,就会发出警报。
基于异常的检测则是通过建立正常流量的统计模型,当流量中的某些特征值与期望模型差异较大时,就认为存在异常行为。
1.3 机器学习检测机器学习检测方法基于大量的对网络流量数据进行训练,使用机器学习算法来自动识别入侵行为。
常见的机器学习算法包括决策树、支持向量机、神经网络等。
这些算法可以根据已有的训练数据来学习网络流量数据的特征,从而能够检测新的入侵行为。
机器学习方法相较于传统的特征基础方法更加灵活和自适应,但需要大量的训练数据和算力支持。
二、基于行为的入侵检测方法除了基于特征的入侵检测方法外,基于行为的入侵检测方法也是一种常见的方式。
该方法通过分析网络中各个节点的行为,检测异常行为并判断是否存在入侵活动。
2006年8月August 2006—125—计 算 机 工 程Computer Engineering 第 第16期Vol 32卷.32 № 16 ·安全技术·文章编号:1000—3428(2006)16—0125—02文献标识码:A中图分类号:TP309入侵检测中的归纳学习方法刘培顺1,王学芳2(1. 中国海洋大学计算机科学系,青岛 266071; 2. 中国海洋大学数学系,青岛 266071)摘 要:结合使用着色Petri 网和EDL 语言描述攻击模型,该文给出了使用归纳学习对攻击模型进行泛化和特化操作,泛化后的模型可以检测出与已知攻击实例类似的未知攻击行为,实现了攻击知识库进行自动更新和扩展的方法。
攻击实例首先使用EDL 语言表述为一个攻击实例模型,对实例模型进行泛化得到攻击实例的3层概念空间,进而转化为着色Petri 网模型,利用着色Petri 网的运行机制对攻击行为进行检测。
实验结果表明该方法对于具有相似攻击行为的未知攻击的检测非常有效。
关键词:入侵检测;归纳学习;着色Petri 网;泛化;特化Inductive Learning in Intrusion DetectionLIU Peishun 1, WANG Xuefang 2(1. Department of Computer Science, Ocean University of China, Qingdao 266071; 2. Department of Mathematics, Ocean University of China, Qingdao 266071)【Abstract 】This paper proposes the method for generalization and specialization of attack pattern using inductive learning, which can be used updating and expanding knowledge database. The attack pattern is established from an example by using the colored Petri net and EDL, after generalization it can be used to detect unknown attacks whose behavior are similar to the example. In practice the attack pattern first described by EDL from an example, then the pattern is generalized thus the concept spaces of attack are given and they can be transformed to Colored Petri net,when detection searches the intrusion from the top down by virtue of the concept space of the attack pattern. In fact the concept space of pattern indicates a depth-first search way.【Keywords 】Intrusion detection; Inductive learning; Colored Petri net; Generalization; Specialization入侵检测中的漏报和误报问题是急需解决的两个问题,通常漏报和误报问题是一个相互矛盾的问题,对未知攻击模式的识别是漏报问题产生的主要原因[1~5]。
本文首先使用着色Petri 网对攻击行为建模,然后使用归纳学习的方法对模型实例进行泛化,生成一个3层的概念空间,从而可以检测出与模型实例相似的未知攻击,提供了特化方法解决引泛化产生的误报问题,为解决这一问题提供了新的解决方法。
1 入侵检测中的归纳学习方法1.1 用EDL 构建模型为便于建模,本文利用了定序并发表达式作为转换手段,因为任何一个并发表达式都可以转化为一个安全标号PN 机[6],且并发表达式的描述与自然语言的转换是很容易的。
为了把攻击行为表示为定序并发表达式,需要定义一种描述攻击行为的语言。
本文使用了一种用于描述攻击的行为模式的语言(Event Descriptive Language ,EDL),且使用EDL 可以构建定序并发表达式。
EDL 的定义见文献[5]。
使用EDL 描述的攻击模式分为:(1)事件的定义;(2)事件之间的关系。
事件通过关系构成了一个定序并发表达式。
事件的描述由“事件类型(event-type)+事件角色(event-Role)+事件操作(event-operation)+操作目标(object)+操作结果(result)+时戳(time)+条件(constraint)”等不同的域构成,各个域的值可以是变量,也可以是常量。
事件通过运算算子连接构成一个并发表达式,用文献[6]给出的转化算法,可以把EDL 描述的攻击行为转化为一个着色Petri 网。
例 W32.Blaster@mm 运行时所执行的部分操作如文献[7]所示。
通过由EDL 描述的W32.Blaster@mm 行为模式,进而转化为CPN 模型,如图1所示。
W32.Blaster@mm 的EDL 描述σ如下:Attack “Blaster” [MemMon, Regmon, Filemon, Netmon] MemMon{Add object=process result= “msblast.exe” #define M1 } Regmon {Add object=“HKLM\Software\Microsoft\Windows\CurrentVersion \Run” Result= “windows auto update”= “msblast.exe” #define R1 } Filemon { add object=“c:\Winnt\system32” Result=“msblast.exe” #define F1 } Netmon { Attacker:Server: Protocol=Tftp, listen= udp/69 #define N1作者简介:刘培顺(1975—),男,博士,主研方向:密码学,信息安全,Petri 网应用;王学芳,博士、讲师收稿日期:2005-10-23 E-mail :liups@Send: ip=$IP port=tcp/135 #define N2Send: ip=$IP1 [IP1=N2.$ IP] port=tcp/4444 #define N3Recv: sourceip=$IP1 [IP1=N2.$IP locloPort=udp/69 #define N4Victim:Server: listen=tcp/4444 #define N5Recv: souceip=$ IP1 localport=tcp/4444, message= “tftp –i * get”#define N6Client: Protocol=Tftp, ip= $IP2, [$IP2=N6.$IP1]port=udp/69 #defien N7 }Relation=(M1, F1, R1, AND (N1, FOLLOW(N2, N3, N4)),FOLLOW(N5, N6, N7) )本模型只能检测出当前的攻击实例,要使模型能够检测与该攻击类似的其他攻击,必须对模型进行泛化。
攻击模型泛化的目的是提高模型的检测能力,使之能够检测出与攻击实例相似的攻击行为。
定义孤立信息子:在Petri网中,如果一个子网从输入集仅仅经过一个变迁就到达输出集,则称这样的子网为孤立信息子。
1.2 泛化过程归纳学习采用自底向上的方式构建概念空间,泛化过程分以下3步完成,设原始的使用EDL描述的攻击行为的并发表达式为α。
(1)对事件操作结果域泛化算法,分为事件泛化、关系泛化和处理孤立信息子3个步骤。
各个步骤的算法如下,输出为α1。
事件结果域泛化算法如下:输入为模型α输出为模型α11)事件泛化:begin 遍历α的所有事件begin读取α内的一个事件if 事件的result域是常量then 使用变量替换常量规则,增加选择项规则和构造型规则进行泛化if 事件的result域的值在前面的事件描述中出现过then 建立事件的关联更新背景知识库endend2)关系泛化:begin遍历α的所有事件begin 读取α内的一个事件abegin 遍历α内的剩余事件bif b.操作=a.操作 and b.object域=a.object域then 使用扩展值域规则把b合并到a,a增加POWER算子,并从剩余事件中去掉bendendend3)处理孤立信息子:begin 遍历α的所有事件begin 获取α的孤立信息子if α存在多个孤立信息子then 修改多个孤立信息子的关系为ANDif α存在一个孤立信息子then 根据泛化选项,判断是否删除这个孤立信息子endend更新背景知识库:输入为事件abegin遍历背景知识库的所有事件begin 读取背景知识库内的一个事件bif b.操作包含a .操作and b.object域包含a.object域 then 增加背景知识b的权重endif 在背景知识库中没有找到a的类似事件then 添加事件a到背景知识库中end变量替换常量规则就是把常量用变量替换,把原来的常量作为变量的值域里的一个值。
增加选择项规则和构造型规则是在事件相关域的值域里加入背景知识,背景知识来自对其他攻击模型的学习,用户也可以自行添加。
为了降低误警率,需要对孤立信息子进行处理,如果有多个孤立信息子可以进行复合,把它们的关系改为AND,检测结果通过Fuse算子融合后输入到终态,如果只有一个可以去掉或保持不泛化。
(2)对事件操作对象域泛化算法:对α1进行第2步泛化(事件泛化、关系泛化),算法流程与事件结果域泛化算法类似,输出为α2。
(3)对α2内所有事件的“object”,“result”,“constraint”使用舍弃条件规则进行泛化,并对泛化后在同一个子式内的相同操作项进行合并。
设由此得到的并发表达式为α3。
在泛化时合并相同项的操作对应于Petri网模型中的替代操作。
在泛化过程中通过引入变量和适当的扩展变量的值域把攻击实例检测的具体事例进行泛化,使得检测模型从一个点扩展到一个空间。
