isakhertin/MasterThesis_Report

# 基于 MAL 的攻击图中的概率证据融合在入侵检测中的应用 本仓库包含 Typst 源文件及生成的 PDF，对应以下硕士论文： **基于 MAL 的攻击图中的概率证据融合在入侵检测中的应用** Isak Hertin，厄勒布鲁大学，2026 年春季 ## 论文 - [阅读论文 PDF](report.pdf) - [查看 Typst 源码](report/main.typ) - [查看演示幻灯片](slides.pdf) ## 摘要 现代基于云的系统会生成大量安全相关数据，包括日志、警报和检测器输出。这些信号通常带有噪声、不完整，且难以单独进行解读。本论文研究了如何通过在 Meta Attack Language (MAL) 中聚合多个检测器，来降低入侵检测中的不确定性。 本研究开发了 AWSCloudTrailLang，这是一种基于 MAL 的语言，专注于云相关的攻击行为、检测器的放置以及检测器生成的事件。研究评估了两种概率聚合方法：后验 Bayesian 融合和顺序 Bayesian 更新。评估使用了由 MAL 模拟器生成的合成数据，并对比了包含四种检测器组合的两个演示模型。 结果表明，检测器聚合能够降低不确定性，但并非自动生效。在模型 1 中，聚合后的检测器得分在已完成和未完成的攻击进程之间提供的区分度较弱。添加第三个检测器并不能明显改善结果。在模型 2 中，两种聚合方法的区分度都显著增强。最佳结果出现在模型 2 的三检测器配置中，其中顺序 Bayesian 更新在已完成和未完成的进程之间实现了 0.461 的差距，而后验 Bayesian 融合实现了 0.455 的差距。 主要结论是，检测器聚合的有效性取决于攻击图的结构、检测器的放置以及概率参数的校准。更多的检测器未必能提升检测性能。相反，经过精心放置和校准的检测器能够将碎片化的证据整合为对攻击活动的单一基于概率的评估，从而使基于 MAL 的入侵检测提供更多信息。 **关键词：** Meta Attack Language、入侵检测、检测器聚合、Bayesian 更新、攻击图、云安全、AWS CloudTrail

标签：Meta Attack Language, TruffleHog, 学术论文, 攻击图, 贝叶斯推断