1.2 Модели выживаемости атакуемых компонент распределенной автоматизированной информационной системы
1.2.1 Наблюдение данных
Нередко в реальной практике статистическое исследование требуется провести по неполным данным. Такая ситуация возникает, когда данные собираются не в результате «мгновенного» измерения какого-то значения, а каждое наблюдение продолжается определённый период времени. За этот период фиксируется осуществление некоторого события. Например, исследуется выход из строя системы после атаки на одну из её компонент: начало исследования – дата проведённой атаки; исследуемый период времени выбирается в зависимости от конкретного типа атаки и возможных последствий; наблюдаемое событие – анализ работоспособности конкретной компоненты и выход из строя всей системы. Разумеется, ведя статистику наблюдений от времени начала атак до выхода из строя за большим числом аналогичных (схожих) систем, мы получим более полную картину процесса протекания негативных последствий вследствие реализации того или иного деструктивного воздействия. Однако практически, это, как правило, нереализуемо. Следует отметить тот факт, что чем длиннее временной промежуток исследования, тем более вероятно вмешательство побочных факторов. Например, наблюдаемая система подверглась воздействию других деструктивных воздействий, устарела или её функционирование стало экономически невыгодным. Такое наблюдение будет являться некачественным. Ещё одна проблема, возникающая при стремлении к полным данным, связана с разным временем начала отсчёта в каждом наблюдении[18].
Поэтому в реальных задачах не всегда стоит стремиться к полноте, а следует полноценно использовать имеющиеся данные, пусть и неполные. Соответствующую методику [48] называют анализом выживаемости по термину наиболее характерной задачи, в которой наблюдаемым событием является выход из строя системы (смерть вообще или клиническая смерть во время реализации проекта).
Полные данные – данные от начала наблюдения до выхода системы из строя. Неполные данные, т.е. данные, содержащие неполную информацию, называются цензурированными. Цензурированное наблюдение – наблюдение, по каким-то причинам не закончившееся искомым событием: то ли вследствие окончания наблюдаемого периода, то ли по внешним причинам (при рассмотрении распределенных АИС различного уровня получение цензурированных данных о состоянии конкретной компоненты возможно вследствие целого набора причин, например атака на информационный канал связи и управления, атака на систему оценки работоспособности и т.п.). [18]
Информацией, содержащейся в полном наблюдении, является длина временного промежутка от начала отсчёта до осуществления события. В цензурируемом наблюдении содержится информация о том, что за время от начала до окончания наблюдения событие не произошло.
В анализе выживаемости постараемся использовать всю имеющуюся информацию, содержащуюся как в полных, так и в цензурированных данных.
Механизмы цензурирования данных [98]
Существует[98] несколько механизмов, способных генерировать цензурированные данные. При цензурировании типа I выборка из n объектов наблюдается в течение фиксированного времени τ. Число объектов, испытывающих событие, или число «смертей», случайно, но общая продолжительность исследования фиксирована. Тот факт, что продолжительность фиксирована, может быть важным практическим преимуществом при разработке последующего дополнительного исследования.
При
простом обобщении этой схемы, называемом
фиксированным цензурированием, каждый
объект имеет максимально возможный
период наблюдения 
,
i= 1,…,n,
который может варьироваться от одного
объекта к другому, однако фиксирован
заранее. Вероятность того, что объект
i будет жив в конце своего
периода наблюдения, равна S(
),
а общее число смертей вновь является
случайным.
При цензурировании типа II выборка из n объектов наблюдается так долго, сколько необходимо, чтобы d объектов испытали событие [103]. В этой схеме число смертей d, которое определяет точность исследования, фиксировано заранее и его можно использовать в качестве параметра. К сожалению, в этом случае общая продолжительность исследования случайна и не может быть точно известна заранее.
При
более общей схеме, называемой[98] случайным
цензурированием, каждый объект имеет
потенциальный момент цензурирования
и потенциальную продолжительность
жизни 
,
которые предполагаются независимыми
случайными величинами. Наблюдается
=min
,
то есть минимум из времени цензурирования
и времени жизни, и переменная-индикатор,
часто обозначаемая 
,
которая указывает, закончено наблюдение
в результате смерти или цензурирования.
Обе схемы объединяет тот факт, что все они, в сущности, ведут к той же самой функции правдоподобия. Цензурирование наблюдения не должно давать какой-либо информации относительно перспектив выживания этого конкретного объекта за пределами момента цензурирования. Все, что известно о наблюдении, цензурированном в момент времени t, – это то, что время жизни для него превышает t.
Функция правдоподобия для цензурированных данных [ 98]
Пусть
имеется РАИС, состоящая из n
компонентов наблюдения со временем их
жизни, характеризуемым функцией выживания
с соответствующей плотностью 
и риском Risk(t).
Предположим также, что компонент i
наблюдается в течение времени ti.
Если компонент i
вышел из строя в момент 
,
то его вклад в функцию правдоподобия –
значение плотности в этот момент времени,
можно записать как произведение функций
выживания и риска:
(1.4)
Когда
объект РАС все еще продолжает выполнять
функции, несмотря на дестабилизирующее
воздействие со стороны злоумышленника,
в момент времени
,
то все, что известно при неинформативном
цензурировании – это то, что время его
«жизни» превышает
.
Вероятность этого события равна 
,
и отражает вклад цензурированного
наблюдения в функцию правдоподобия
[18]. Оба варианта вкладов содержат функцию
выживания S(
),
поскольку в обоих случаях компонент
продолжал выполнять функции до момента
времени
.
Прекращение функционирования объекта
(«смерть» компоненты) как бы «домножает»
этот вклад на риск 
,
а цензурирование – нет. Можно записать
оба типа вкладов в виде единого выражения.
Для этого пусть 
является индикатором смерти и равняется
единице, если компонент i
умер, и нулю в противном случае [18].
Если
компонент РАС все еще «жив» в момент
времени 
что
известно при неинформативном цензурировании
– это то, что время его «жизни» превышает
Вероятность этого события равна [18]
(1.5)
Логарифмируя
и используя выражение, связывающее
функцию выживания
и функцию кумулятивного риска 
,
получаем логарифмическую функцию
правдоподобия для цензурированных
данных о выживаемости [18]
(1.6)
Вышеуказанные выражения позволяют оценить неизвестные параметры, основанные на известных результатах, то есть вероятность возникновения определенного события с помощью логарифмической функции правдоподобия [18].