《自适应系统设计建模》美国MITRE公司、美安全局(NSA)81页技术报告

监测和响应系统（MRS）是一种安全机制，旨在帮助保护底层系统免受攻击，或在发生损害时帮助识别和扭转损害。虽然MRS试图发现其他安全机制可能无法检测到的潜在威胁，但MRS自身也可能有未被发现的漏洞。另外，如果对手可以哄骗一个组件来提供误导性或分散注意力的信息，MRS可能会导致安全管理员错过攻击，为对手的工作提供便利。

本报告的目的是总结一项实质性的工作，旨在制定分析和评估MRS的原则，无论是在实施后还是在设计阶段。特别是，这项工作包括三个独立的领域：基于语法的MRS模型、基于图形的MRS模型以及为MRS建立保证案例。首先，我们探索了如何根据MRS所包含的组件的清单来指定MRS；我们通过无上下文语法将这些组件指定为数据类型。我们发现，这种类型的目录虽然信息量大，但并没有强调允许我们分析其组件是否以MRS的安全架构所要求的方式运行的结构。这促使我们将MRS的描述重新解释为有向图，其中箭头的流动方向与通过MRS的信息方向相同。派生的图结构限定了事件对MRS的不同组件产生因果影响的方式。然后，我们探讨了使用保证案例来理解MRS的组件级结构，因为它们是一种仔细的非正式推理，旨在确定可能导致MRS无法实现其安全目标的重要因果过程。为了论证一个MRS抵制不良后果，它必须在连续的分解层次上为组件提出具体的责任。

总而言之，我们探索了一些技术，使设计者能够建立更安全的MRS，分析者能够评估现有MRS的安全状况。我们的一些技术运行良好，并且是轻量级和直接使用的。我们工作的主要贡献是开发了一种改进的方法，该方法利用MRS模型，为设计者或分析者提供了在这些模型的许多不同观点之间进行导航的能力，以及一种跟踪MRS的观点和支持MRS达到其预期安全目标的论据的技术。