状态8为移除攻击者并重设侦测系统回到状态0.docVIP

為了驗證我們設計攻擊偵測系統的偵測能力與該項系統會受到哪些變數的影 響，我們利用B. C. Soh和T. S. Dillon對入侵偵測系統所設計的系統安全性指 標模組[],來模擬我們系統的偵測能力並看我們的系統會受哪些變數的影響。 系統安全性指標模組 在B. C. Soh和T. S. Dillon對入侵偵測系統所設計的系統安全性指 標模組中將入侵偵測系統分為九個狀態。 1 ?狀態0為系統正常狀態，在此狀態下所有網路上的機器運作都是正常 的。可能為沒有攻擊的行為發生，或者是攻擊行為尚未發生。若有攻 擊行為發生時，我們希望能偵測到攻擊行為發生並且移除該攻擊行 為。讓系統回到這個狀態。若偵測到攻擊行為的發生時，且為真的攻 擊行為，若能偵測到則進入狀態6,若不能偵測則進入狀態二。若為 誤判的行為時，則進入狀態一。 狀態1為系統正進行偵測攻擊行為，若這時攻擊者放棄攻擊時，則系統因檢查不到攻擊者而回到狀態Oo若攻擊者被發現則進入到狀態6執行移除攻擊者的動作。若在此攻擊者仍未被發現時，則會進入到狀 態2。 狀態2為對系統再一次進行偵測攻擊行為或是進行更嚴謹的偵測攻 擊行為。在此狀態下，整體網路效能可能已受到影響，若攻擊者被發 現則會進入狀態6執行移除攻擊者的動作。若攻擊者沒被發現且在此 可能已對網路上的機器建立後門，並停止攻擊行為時，則進入狀態4o 若攻擊者繼續攻擊而且沒有被偵測到時則會進入狀態3o 狀態3為攻擊者已經可以嚴重影響到網路效能，且使用者會發現有問 題。所以，在此狀態下一定會被偵測到，若是能被我們的攻擊偵測系 統發現的話。則進入狀態七。若攻擊者一樣只是建立後門則會進入狀 態4。 狀態4為攻擊者對網路上的機器留下後門，以供下一次的攻擊。可能 直接進入狀態2 ,或者進入狀態3的攻擊。 狀態6為攻擊者被偵測到，系統移除該攻擊者並進行攻擊偵測系統重 設的動作。 狀態7為網路效能，安全性、完整性已經被影響到了，所以，需要進 行重設的動作，來清除攻擊者。並進入狀態8來讓攻擊偵測系統進行 重新偵測的動作。 狀態8為移除攻擊者並重設偵測系統回到狀態0。 接下來介紹數學轉換與參數。 參數介紹: Ai :攻擊者攻擊的次數。 入2 :攻擊者進入狀態1的次數。 入3 :攻擊者進入狀態3的次數。 T :利用特殊方法進入的次數。 P :攻擊者設置後門而離開的次數。 Y :攻擊者繼入由後門進入的次數。 :攻擊者通過狀態1檢查的機率。 V :從系統發生嚴重錯誤而進入到系統重設的狀態機率。 P1 , P2 , P3 :在狀態5、6、8時進行系統重設後回到狀態0的機 率。 a :偵測錯誤的機率。 61,62,63 :在狀態1、狀態2、狀態3偵測到錯誤的機率。 Ci :希望系統能夠一開始即能偵測到攻擊的機率。 Pi(t):單在各個狀態時間的機率。 狀態圖: 4 Pi=P(oo) ((1 -Ci)Al +C 认 1+a)P0= pA2Pl+|Jl P5+JJ2P6+P3P8 (pA2Pl+(1-p)A2+T+51)Pl=(l -Ci)Al PO ((3+A3+52)P2=((1 -p)A2+T)P1 +yP4 (P+63)P3=A3P2+yP4 2丫卩4 邙 P2+J3P3 plP5=aPo p2P6=CiAl PO+61P1+62P2 VP7=53P3 p3P8=vP7 對於滿足不變的狀態機率Pi要滿足系列的式子 Pi=KiPO 所以根據上面的式子與之前各狀態的定式我們得到 Kl=(l-Ci)Al/A2+T+61 K2=Kl(p+253)((1-p)A2+T)/p62+p53+2A353+26253 K3=K2(B+2入3 )/p+253 K4 邙(K2+K3)/2y K5=a/pi K6= CS1+61K1+62K2/M2 K7=63K3/v K8=vK7/p3 根據所有機率相加起來為1的規則 所以，我們得到 P0+ P0+ Po+ P0+ P0+ P0+ Po+ Po+ Po=l =P0+ P0K1+ P0K2+ P0K3+ P0K4+ P0K5+ P0K6+ P0K7+ PoK8=l O P0= 1/(1+K1 +K2+K3+K4+K5+K6+K7+K8) 因此，若要知道系統的安全性只要算出停留在狀態0的機率即是PO