本頁只刊出中文翻譯與中文說明;英文原文請見下方原文連結。
原文連結
論文資訊
- 類型:已發表論文
- 日期:2022-09-02
摘要
快速偵測企業電腦網路防火牆內的攻擊者至關重要。異常檢測器透過量化與正常網路行為的基線統計模型的偏差來解決這個問題,並在觀察到的數據顯著偏離基線模型時發出入侵訊號。然而,許多異常檢測器沒有考慮合理的攻擊者行為。因此,異常檢測器很容易因異常但良性的活動而出現大量誤報。本文首先介紹了由現實世界攻擊者遍歷驅動的攻擊者行為的隨機模型。然後,我們開發了一種似然比偵測器,將正常條件下觀察到的網路行為的機率與攻擊者可能損害網路內主機子集的情況進行比較。由於似然比偵測器需要對每個主機受到危害的時間進行積分,因此我們說明如何使用蒙特卡羅方法來計算所需的積分。然後,我們呈現各種網路參數化的接收器操作特徵 (ROC) 曲線,顯示對於任何真陽性率,似然比檢測器的誤報率不高於簡單異常檢測器的誤報率,並且通常更低。最後,我們透過證明從現實世界網路中提取網路拓撲和參數化時所提出的似然比偵測器的優越性來得出結論。