Статистика Байеса

Позволяет определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, и вероятности появления каждого из измерений аномальности, которые наблюдали во время вторжений.

Для событий I и ¬I требуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений.

каждое измерение А зависит только

Ковариантные матрицы

AT C 1 A

А1.. Аn измерения, представляющие собой вектор А

С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий

Сложность ковариантных матриц

Сложность ковариантных матриц

Сети доверия (сети Байеса)

Байесовы сети представляют собой графовые модели вероятностных и причинно- следственных связей между переменными в статистическом информационном моделировании.

Способы формирования «образа» нормального поведения системы

Описательная статистика

Нейронные сети

Генерация патернов

Описательная статистика

Формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре (в профайле) измерений значений параметров оценки.

Требования, которые предъявляются к структуре профайла:

минимальный конечный размер, операция обновления должна выполняться как можно быстрее.

В профайле используется несколько типов измерений:

Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая.

Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита.

Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу).

Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как

измерение категорий подсчитывают количество

При обнаружении аномалий с использованием

профайла в основном применяют статистические методы оценки.

Объединяющая функция может быть весом сумм их квадратов: a1s12 + a2s22+…+ansn2>0

M1,M2…Mn, – измерения профайла,

S1,S2….Sn, - значения аномалии каждого из измерений ai – показывает относительный вес метрики Mi.

Параметры M1,M2…Mn, зависят друг от друга, и поэтому

для их объединения может потребоваться более сложная функция.

Преимущества и недостатки

Основное преимущество заключается в том, что применяются хорошо известные статистические методы.