为了验证我们设计攻击侦测系统的侦测能力与该项系统会

1、為了驗證我們設計攻擊偵測系統的偵測能力與該項系統會受到哪些變數的影響，我們利用B. C. Soh 和 T. S. Dillon對入侵偵測系統所設計的系統安全性指標模組，來模擬我們系統的偵測能力並看我們的系統會受哪些變數的影響。系統安全性指標模組在B. C. Soh 和 T. S. Dillon對入侵偵測系統所設計的系統安全性指標模組中將入侵偵測系統分為九個狀態。1. 狀態0為系統正常狀態，在此狀態下所有網路上的機器運作都是正常的。可能為沒有攻擊的行為發生，或者是攻擊行為尚未發生。若有攻擊行為發生時，我們希望能偵測到攻擊行為發生並且移除該攻擊行為。讓系統回到這個狀態。若偵測到攻擊行為的發生時，且

2、為真的攻擊行為，若能偵測到則進入狀態6，若不能偵測則進入狀態二。若為誤判的行為時，則進入狀態一。2. 狀態1為系統正進行偵測攻擊行為，若這時攻擊者放棄攻擊時，則系統因檢查不到攻擊者而回到狀態0。若攻擊者被發現則進入到狀態6執行移除攻擊者的動作。若在此攻擊者仍未被發現時，則會進入到狀態2。3. 狀態2為對系統再一次進行偵測攻擊行為或是進行更嚴謹的偵測攻擊行為。在此狀態下，整體網路效能可能已受到影響，若攻擊者被發現則會進入狀態6執行移除攻擊者的動作。若攻擊者沒被發現且在此可能已對網路上的機器建立後門，並停止攻擊行為時，則進入狀態4。若攻擊者繼續攻擊而且沒有被偵測到時則會進入狀態3。4. 狀態3為攻

3、擊者已經可以嚴重影響到網路效能，且使用者會發現有問題。所以，在此狀態下一定會被偵測到，若是能被我們的攻擊偵測系統發現的話。則進入狀態七。若攻擊者一樣只是建立後門則會進入狀態4。5. 狀態4為攻擊者對網路上的機器留下後門，以供下一次的攻擊。可能直接進入狀態2，或者進入狀態3的攻擊。6. 狀態6為攻擊者被偵測到，系統移除該攻擊者並進行攻擊偵測系統重設的動作。7. 狀態7為網路效能，安全性、完整性已經被影響到了，所以，需要進行重設的動作，來清除攻擊者。並進入狀態8來讓攻擊偵測系統進行重新偵測的動作。8. 狀態8為移除攻擊者並重設偵測系統回到狀態0。接下來介紹數學轉換與參數。參數介紹：1 ：攻擊者攻擊

4、的次數。2 ：攻擊者進入狀態1的次數。3 ：攻擊者進入狀態3的次數。 ：利用特殊方法進入的次數。 ：攻擊者設置後門而離開的次數。 ：攻擊者繼入由後門進入的次數。p ：攻擊者通過狀態1檢查的機率。V ：從系統發生嚴重錯誤而進入到系統重設的狀態機率。1，2，3 ：在狀態5、8時進行系統重設後回到狀態0 的機率。 ：偵測錯誤的機率。1，2，3 ：在狀態1、狀態2、狀態偵測到錯誤的機率。Ci ：希望系統能夠一開始即能偵測到攻擊的機率。Pi(t) ：單在各個狀態時間的機率。p2Ci13(1-p)2(1-Ci)1876543210312V231狀態圖：Pi=P()(1-Ci)1+Ci1+)P0= p2P1

5、+1P5+2P6+3P8(p2P1+(1-p)2+1)P1=(1-Ci)1P0(+3+2)P2=(1-p)2+)P1+P4(+3)P3=3P2+P42P4=P2+P31P5=P02P6=Ci1P0+1P1+2P2vP7=3P33P8=vP7對於滿足不變的狀態機率Pi要滿足系列的式子Pi=KiP0所以根據上面的式子與之前各狀態的定式我們得到K1= (1-Ci)1/2+1K2=K1(+23)(1-p)2+)/2+3+233+223K3=K2(+23 )/+23K4=(K2+K3)/2K5=/1K6= Ci1+1K1+2K2/2K7=3K3/vK8=vK7/3根據所有機率相加起來為1的規則所以，我們得到P0+ P0+ P0+ P0+ P0+ P0+ P0+ P0+ P0=1=>P0+ P0K1+ P0K2+ P0K3+ P0K4+ P0K5+ P0K6