《网络空间欺骗：构筑欺骗防御的科学基石》一3.4　隐蔽微积分

3.4　隐蔽微积分

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.4　隐蔽微积分,隐蔽算法通过结合攻击者使用的特定恶意软件模型和防御者的检测能力得出隐蔽性度量。特定恶意软件的隐蔽性是指无法由恶意软件的可观测量和防御的警报逻辑，或者等效的隐蔽性框图测量的概率。假设攻防双方能够度量和评估攻击者使用恶意软件生成的可观测量。这个假设取决于所寻求的态势感知是属于防御者的还是属于攻击者的。
防御方虽然能够意识并修改他们的探测器规则，然而，鉴于这些系统的复杂性以及由于误报造成的停机时间所带来的巨大成本消耗，防御方通常调整其系统，使其仅在高阈值或者适当规则子集的情况下触发。正如在近期报告中所详细记载的那样，防御者经常被警报淹没，从而导致错过真正的攻击。这是因为他们并未对误报情况进行筛选[28，29]。因此，我们认为，攻击者几乎总是有办法以低检测概率实施攻击行为，继而达到其目标。
更具体地说，在攻击者的恶意软件完成任务时，所有观测量集合中存在使得防御者系统上仅以最小概率检测到的可观测量组合。攻击者的关键是发现一种突破防御方警报逻辑的方式，从而最小化被检测到的概率。与此同时，以这样的方式最大化攻击者的效用。防御方或者部分组件可能会意识到攻击者将采用的规避方法，从而通过自动化技术模拟攻击者的规避方式，并进行改善。
隐蔽微积分通过利用防御方的CBD计算警报逻辑与恶意软件进行交互生成的可观测量，进而获得触发的概率。在测试中，每个基本组件的成功率等于该元素在恶意软件运行时被触发的成功率。图3.10比较了所度量的网络流量中DNS数据包大小的“正态”分布，以及使用DNS解析的恶意软件在尝试与远程命令和控制主机通信时的DNS数据包的大小分布。


对于传感器“触发”或者“不触发”的可能性概率进行分配，并通过对各个传感器分配的概率进行乘积计算，从而分配概率。例如，图3.12中描述的分配概率是通过如下的方式计算的：

我们还提出了其他方法来评估防御基础设施对恶意软件观测的敏感性，包括整体警报逻辑结构的敏感性。
最后，我们观察到，虽然在本工作中“隐蔽”的概念量化了攻击性恶意软件相对于防御基础设施的可见性要素，但是由于防御方可以观测的恶意软件泄露的信息各不相同，所以对于隐蔽性概念的解释也可能各不相同。一言以蔽之，就是防御者可以从攻击者所用的恶意软件中学到什么br>
例如，当恶意软件展现不同于基线的分布或者行为时（诸如图3.10中描绘的针对DNS的请求频率）偏差的大小可以作为度量恶意软件泄露的信息量大小。这种偏差可以通过Kullback-Liebler散度或者其他概率分布之间的差异进行度量[32]。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.4　隐蔽微积分

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树首页概览8693 人正在系统学习中 相关资源：Veneer:文件屏蔽软件-开源-其它代码类资源-CSDN文库

来源：weixin_34406796