第 3 章、 入侵防禦專家系統(IPES)
3.3 IPES 網路安全知識的擷取及整合方法
3.3.3 建立共同概念表格
前步驟讓專家依照自身的專業知識完成概念表格的填製工作,接下來要將上 一步驟中所設定的概念,經由協調過程取得共同結論後,填入共通概念表格當 中,其流程如下圖 3.3。
自動化重複 擷取
這是一個定義 清楚的問題嗎
是否已經存在 寓意相同的概念
協調過程 自動化重複
語意比對
重複概念擷取
否 是
是
否
圖 3.3 協調流程圖
重複的現象,或是因為個人的文字概念理解不同而產生兩個專家對於同一個概念 卻以不同的概念名稱加以命名,雖然在名稱上面所用的文字不盡相同但是實際上 三位專家卻是指著同一個概念。例如:隱碼攻擊、SQL injection,兩個概念其實 是指同一件事情,只是在語意上運用不同文字去表達。不同的專家對於重複的概 念可能在臨界點上的定義也有所不同,例如:對於隱碼攻擊(次數/分鐘)這項概 念,分別為(2,5,9),(3,5,7)。此時就需要一個協調的過程,利用專家們 協調的過程取得共通的概念表格,依上一節的例子做延伸如表 3.4、表 3.5、表 3.6。
表 3.4 專家一的概念表格
概念簡寫 單位 語意型態 臨界值 概念敘述
FP-Pri 次數/分鐘 通知/警告/嚴重 2/5/7 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/3/5 sql.rules
Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/3/5/ netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 1/3/5 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 5/7/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/8 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 5/7/9 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 5/7/9 misc.rules
Apache-BO 次數/分鐘 通知/警告/嚴重 5/7/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 5/7/9 web-iis.rules
表 3.5 專家二的概念表格
概念簡寫 單位 語意型態 臨界值 概念敘述
FP-Pri 次數/分鐘 通知/警告/嚴重 3/10/20 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/5/10 sql.rules
Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/3/10 netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 2/5/10 sql.rules
Samba-BO 次數/分鐘 通知/警告/嚴重 2/7/10 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/10 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 3/5/10 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 5/7/10 misc.rules Apache-BO 次數/分鐘 通知/警告/嚴重 3/10/20 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 5/10/20 web-iis.rules
表 3.6 專家三的概念表格
概念簡寫 單位 語意型態 臨界值 概念敘述
FP-Pri 次數/分鐘 通知/警告/嚴重 2/5/8 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/4/6 sql.rules
Netbuei-PW 次數/分鐘 通知/警告/嚴重 2/5/8 netbios.rules SQL-PW 次數/分鐘 通知/警告/嚴重 2/5/8 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 2/5/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/8 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 2/5/9 Oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 2/5/9 misc.rules
Apache-BO 次數/分鐘 通知/警告/嚴重 2/5/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 2/5/9 web-iis.rules
另外,以 FP-Pri 的概念為例,專家 1 定義臨界值為(2,5,7),專家 2 定義 為(3,10,20),專家 3 定義為(2,5,8),經由協調決定新的臨界值,其他的部 分則以聯集方式,將每位專家所訂定的未重複概念合而為一。利用此協調過程的 方式產生出一個新的共同概念表格,如表 3.7 所示。
表 3.7 協調後產生的共同概念表格
概念簡寫 單位 語意型態 臨界值 概念敘述
FP-Pri 次數/分鐘 通知/警告/嚴重 2/7/12 web-frontpage.rules SQL-Inj 次數/分鐘 通知/警告/嚴重 2/4/7 sql.rules
Netbuei-PW 次數/分鐘 通知/警告/嚴重 1/4/8 netbios.rules
SQL-PW 次數/分鐘 通知/警告/嚴重 2/4/8 sql.rules Samba-BO 次數/分鐘 通知/警告/嚴重 3/6/9 exploit.rules IIS-Uni 次數/分鐘 通知/警告/嚴重 2/5/9 web-iis.rules SQL-BO 次數/分鐘 通知/警告/嚴重 3/6/9 oracle.rules OSSL-BO 次數/分鐘 通知/警告/嚴重 4/6/9 misc.rules
Apache-BO 次數/分鐘 通知/警告/嚴重 3/7/9 web-attacks.rules IIS-BO 次數/分鐘 通知/警告/嚴重 4/7/13 web-iis.rules