Cybersecurity ( IF 3.9 ) Pub Date : 2023-09-01 , DOI: 10.1186/s42400-023-00155-y
Armita Kazeminajafabadi , Mahdi Imani
|
Early attack detection is essential to ensure the security of complex networks, especially those in critical infrastructures. This is particularly crucial in networks with multi-stage attacks, where multiple nodes are connected to external sources, through which attacks could enter and quickly spread to other network elements. Bayesian attack graphs (BAGs) are powerful models for security risk assessment and mitigation in complex networks, which provide the probabilistic model of attackers’ behavior and attack progression in the network. Most attack detection techniques developed for BAGs rely on the assumption that network compromises will be detected through routine monitoring, which is unrealistic given the ever-growing complexity of threats. This paper derives the optimal minimum mean square error (MMSE) attack detection and monitoring policy for the most general form of BAGs. By exploiting the structure of BAGs and their partial and imperfect monitoring capacity, the proposed detection policy achieves the MMSE optimality possible only for linear-Gaussian state space models using Kalman filtering. An adaptive resource monitoring policy is also introduced for monitoring nodes if the expected predictive error exceeds a user-defined value. Exact and efficient matrix-form computations of the proposed policies are provided, and their high performance is demonstrated in terms of the accuracy of attack detection and the most efficient use of available resources using synthetic Bayesian attack graphs with different topologies.
中文翻译:
![](https://scdn.x-mol.com/jcss/images/paperTranslation.png)
通过贝叶斯攻击图建模的网络的最佳监控和攻击检测
早期攻击检测对于确保复杂网络(尤其是关键基础设施中的网络)的安全至关重要。这在多阶段攻击的网络中尤其重要,其中多个节点连接到外部源,攻击可以通过这些节点进入并快速传播到其他网络元素。贝叶斯攻击图 (BAG) 是复杂网络中安全风险评估和缓解的强大模型,它提供了网络中攻击者行为和攻击进展的概率模型。大多数为 BAG 开发的攻击检测技术都依赖于通过例行监控检测到网络危害的假设,考虑到威胁的复杂性不断增加,这是不现实的。本文针对最一般形式的 BAG 推导了最佳最小均方误差 (MMSE) 攻击检测和监控策略。通过利用 BAG 的结构及其部分和不完善的监控能力,所提出的检测策略实现了仅适用于使用卡尔曼滤波的线性高斯状态空间模型的 MMSE 最优性。如果预期预测误差超过用户定义的值,还引入自适应资源监控策略来监控节点。提供了所提出的策略的精确且有效的矩阵形式计算,并且在攻击检测的准确性和使用具有不同拓扑的合成贝叶斯攻击图最有效地利用可用资源方面证明了它们的高性能。通过利用 BAG 的结构及其部分和不完善的监控能力,所提出的检测策略实现了仅适用于使用卡尔曼滤波的线性高斯状态空间模型的 MMSE 最优性。如果预期预测误差超过用户定义的值,还引入自适应资源监控策略来监控节点。提供了所提出的策略的精确且有效的矩阵形式计算,并且在攻击检测的准确性和使用具有不同拓扑的合成贝叶斯攻击图最有效地利用可用资源方面证明了它们的高性能。通过利用 BAG 的结构及其部分和不完善的监控能力,所提出的检测策略实现了仅适用于使用卡尔曼滤波的线性高斯状态空间模型的 MMSE 最优性。如果预期预测误差超过用户定义的值,还引入自适应资源监控策略来监控节点。提供了所提出的策略的精确且有效的矩阵形式计算,并且在攻击检测的准确性和使用具有不同拓扑的合成贝叶斯攻击图最有效地利用可用资源方面证明了它们的高性能。如果预期预测误差超过用户定义的值,还引入自适应资源监控策略来监控节点。提供了所提出的策略的精确且有效的矩阵形式计算,并且在攻击检测的准确性和使用具有不同拓扑的合成贝叶斯攻击图最有效地利用可用资源方面证明了它们的高性能。如果预期预测误差超过用户定义的值,还引入自适应资源监控策略来监控节点。提供了所提出的策略的精确且有效的矩阵形式计算,并且在攻击检测的准确性和使用具有不同拓扑的合成贝叶斯攻击图最有效地利用可用资源方面证明了它们的高性能。