="justify"> Про розподіл значень кожної операції апріорі ніяких припущень зробити не можна. При цьому, необхідно відзначити той факт, що значна частина статистичних моделей є чутливою до виду розподілу значень випадкової величини і для коректної роботи вимагає нормального або близького до нормального розподілу.
З розглянутих методів даним критерієм задовольняють:
метод EWMA - коректна робота методу при розподілах, які не є близькими до нормального, підтверджується в [21];
метод ланцюгів Маркова - сам метод заснований на аналізі ймовірностей переходів і не залежить власне від розподілу значень аналізованої випадкової величини;
нейромережевої метод - в основі методу лежить нейросеть, для коректної роботи якої апріорі не вимагається нормальний розподіл.
Як було підкреслено в описі методу?? отеллінга [4], для коректної роботи методу при багатовимірному розподілі параметрів, які не є близьким до нормального, потрібно досить велика кількість аналізованих параметрів (тобто, досить велика розмірність вектора значень) - приблизно 30 і більше. Але про кількість аналізованих параметрів заздалегідь нічого сказати не можна і, отже, не можна гарантувати коректну роботу методу при довільному вигляді багатовимірного розподілу значень. Отже, щодо методу Хотеллінга в загальному випадку можна сказати, що він задовольняє позначеному критерієм.
. Коректна робота методу при довільній кількості параметрів.
Як було зазначено вище, заздалегідь про кількість аналізованих параметрів нічого сказати не можна. При цьому, для коректної роботи багатовимірних статистичних методів кількість параметрів може відігравати важливу роль. Зокрема, як було сказано вище, для коректної роботи методу Хотеллінга в умовах довільного багатовимірного розподілу параметрів потрібно досить велика кількість аналізованих параметрів. Отже, метод Хотеллінга даним критерієм у загальному випадку не задовольняє.
Решта методів даним критерієм задовольняють:
метод EWMA - метод є одновимірним статистичним, так що загальна кількість аналізованих параметрів не впливає на коректність роботи методу;
метод ланцюгів Маркова - метод є одновимірним стохастичним, так що загальна кількість аналізованих параметрів не впливає на коректність роботи методу;
нейромережевої метод - в основі методу лежить нейросеть, конфігурація якої може бути довільною, так що загальна кількість аналізованих параметрів не впливає на коректність роботи методу.
. Локальність перенавчання.
Можливі дві основні ситуації, що вимагають перезапуск етапу навчання і переформування профілів нормального поведінки:
у сфері контролю модуля виявлення аномалій з'являється нове веб-додаток, для якого профілі нормальної поведінки ще не сформовані;
у веб-додатки, для яких профілі нормальної поведінки вже сформовані, вносяться зміни. Наприклад, у складі веб-додатки окремі бібліотеки змінюються на оновлені і виправлені.
За даним критерієм стоїть наступне ідея. В обох ситуаціях вкрай небажаний повний останов модуля виявлення вразливостей для переформування всіх профілів нормальної поведінки. Бажано провести формування або переформування профілів тільки для тих веб-додатків, які були додані або змінені, при цьому робота модуля з іншими профілями нормальної поведінки була б продовжена.
З розглянутих методів даним критерієм задовольняють:
метод Хотеллінга - достатньо провести етап навчання для нового або зміненого веб-додатки, із заміною вже існуючих для різних наборів HTTP-параметрів профілів нормальної поведінки значень операцій;
метод EWMA - достатньо провести етап навчання для нового або зміненого веб-додатки, із заміною вже існуючих для різних наборів HTTP-параметрів профілів нормальної поведінки значень операцій;
метод ланцюгів Маркова - достатньо провести етап навчання для нового або зміненого веб-додатки, із заміною вже існуючих для різних наборів HTTP-параметрів профілів нормальної поведінки значень операцій.
Даному критерію не задовольняє нейромережевої метод, так як кількість виходів нейромережі дорівнює кількості веб-додатків. У першій ситуації при додаванні нового веб-додатки з'являється додатковий вихід, отже - міняється конфігурація мережі, що в обов'язковому порядку призведе до необхідності перезапуску етапу навчання і перенастроюванні мережі. У другому випадку конфігурація мережі не змінюється, але змінюється поведінка зміненого веб-додатки. А так як навчання нейромережі проводиться для всієї сукупності веб-додатків, буде потрібно перезапуск етапу навчання і пе...
