贝叶斯网络在Web应用安全中的应用

Question

如何利用贝叶斯网络对网络流量进行攻击分析？我读了一篇关于它的应用的有趣的文章。“基于贝叶斯攻击分析的应用防御”，但我不清楚它的方法。

Answer 1

贝叶斯网络是概率模型的一种形式，它可以利用一组条件来预测断言是正确的还是错误的。

例如，让我们假设有两个条件用于预测磁盘是否正在消亡。

1. 磁盘写入速度很慢。
2. 交通异常繁忙。

我们可以这样计算概率：

  Slow Writes | High Traffic | Disk failing?
--------------+--------------+-- T --|-- F ---
      F       |      F       | 0.05  | 0.95
      F       |      T       | 0.01  | 0.99
      T       |      F       | 0.90  | 0.10
      T       |      T       | 0.45  | 0.55

这可以解释如下：

• 如果写入速度不慢，流量也不高，则磁盘没有故障的概率为0.95。
• 如果写入速度不慢，流量也不高，则磁盘没有故障的概率为0.99。
• 如果写入速度慢，且流量不高，则磁盘出现故障的概率为0.90。
• 如果写入速度慢，流量高，则磁盘没有故障的概率为0.55。

我们可以采取这种模式，并将自我学习应用于其中。在已知结果的情况下，我们获取大量数据，并利用这一数据建立概率模型。

例如，在网络中，我们可能会进行如下测试：

• 来自互联网的10 10Mbps流量？
• 来自互联网的10 10Mbps流量？
• 在最后10分钟内5次登录RDP失败？
• 5次登录失败的SSH在最后10分钟？
• 到SQL服务器的TCP连接数是>5吗？
• 到HTTP服务器的TCP连接数是>500吗？
• 防火墙在最后一分钟记录了>100个事件？
• 时间目前在办公室内(9-5小时)？
• 等。

我们在网络上的一组已知通信量上运行这些测试，并通知模型曾尝试过或没有尝试入侵的时间。然后，它可以检查哪些测试最有可能与特定类型的目标事件相关，并像我们前面所做的那样建立一个概率模型。

当我们发现进一步的违规行为时，我们告诉模型“这是一个漏洞”，它可以尝试改进其模型。我们也可以告诉它，当它错误地提醒我们注意到一个漏洞。

当处理大量的问题和庞大的数据集时，这些模型可能变得极其复杂，特别是当模型包含从子模型或其他分析形式提供的测试问题时。因此，它们可以为入侵检测提供一种优秀的模式匹配方法。

Answer 2

它将请求/数据包/消息分类为好/坏，这种分类是基于一个数据库，该数据库是在培训过程中创建的，因此您需要自己对初始批进行分类，然后进行自学习。