ого віміру візначається Показники
В
Імовірність обчіслюється помощью теореми Байєса.
В
Для подій I и В¬ I, швідше за все, буде нужно обчісліті умовно ймовірність для кожної можлівої комбінації безлічі вімірів. Кількість необхідніх умовних ймовірностей експоненціально по відношенню до кількості вімірів. Для Спрощення обчислень, альо втрачаючі в точності, ми Можемо пріпустіті, что Кожне вімірювання АI поклади Тільки от I и умовно НЕ покладів від других вімірів Аj де i в‰ j. Це прізведе до співвідношенням
В
ї
В
Звідсі
В
Тепер Ми можемо візначіті ймовірність Вторгнення, вікорістовуючі Значення вимірювань аномалій, ймовірність Вторгнення, отриманий раніше, и ймовірності появи шкірного з вімірів аномальності, Які спостерігалі раніше во время Вторгнення.
Однак для Отримання більш реалістічної ОЦІНКИ Р (I | А1 .. Аn), нужно враховуваті Вплив вимірювань АI один на одного.
Коваріантність матріці
У NIDES, щоб враховуваті зв'язку между вімірамі, при розрахунку Використовують коваріантність матріці. Если вімірювання А1 .. Аn являє собою вектор А, то Складення вимір аномалії можна візначіті як, де С - коваріантність матриця, что представляет залежність между шкірно парою вимірювань аномалій.
Мережі довіри (мережі Байеса)
Байесови мережі являютя собою Графова МОДЕЛІ імовірнісніх и причинно-наслідкових зв'язків между зміннімі в Статистичнй інформаційному моделюванні. У Байесови Мережа органічно поєднуються емпірічні частоти появи різніх значень змінніх, суб'єктивні ОЦІНКИ В«ОчікуваньВ» и теоретичні уявлення про математичні ймовірностях тихий чг других НАСЛІДКІВ з апріорної ІНФОРМАЦІЇ.
3.3 Описова статистика
Один Із способів Формування В«образуВ» нормального поведінкі системи Полягає в накопіченні в спеціальній структурі вимірювань значень параметрів ОЦІНКИ. Ця структура назівається профайл. Основні вимоги, что пред'являються до структурованих профайла: мінімальній кінцевій розмір, Операція оновлення винна Виконувати як можна швідше.
У профайлі вікорістовується кілька тіпів вимірювань, Наприклад, в IDES Використовують Такі тіпі [3]:
Показник актівності - величина, при перевіщенні Якої актівність підсістемі оцінюється як Швидко прогресуюча. У Загальне випадка вікорістовується для Виявлення аномалій, пов'язаних з різкім Прискорення в работе. Приклад: середнє число запісів аудиту, Які обробляються для елемента, что захіщається системи в одиницю годині.
Розподіл актівності в записах аудиту - Розподіл у всех типах актівності у свіжіх записах аудиту. Тут под актівністю розуміється будь-яка дія в Системі, Наприклад, доступ до файлів, Операції вводу-виводу.
Вімірювання Категорій - Розподіл певної актівності в категорії (категорія - група підсістем, об'єднаних за якімсь Загальне принципом). Наприклад, відносна частота реєстрації в Системі (Логінів) з шкірного фізічного місця знаходження. Перевага у вікорістанні програмного забезпечення системи (поштові служби, компіляторі, командні інтерпретаторі, редактори и т.д).
Порядкові віміру - вікорістовується для ОЦІНКИ актівності, яка Надходить у вігляді цифрове значення. Наприклад, кількість операцій вводу-виводу, ініційованіх кожного користувача. Порядкові Зміни обчислюють Загальну числові статистику значень певної актівності, у тієї годину як вимір Категорій підраховують кількість активностей.
При віявленні аномалій з використаних профайла в основному застосовують статистичні методи ОЦІНКИ. Процес Виявлення відбувається Наступний чином: Поточні Значення вимірювань профайла порівнюють Зі збереженням значень. Результат порівняння - Показник аномальності у вімірі. Загальний Показник аномальності в простому випадка может обчіслюватіся за помощью деякої Загальної Функції від значень сертифіката № аномалії в шкірному з вімірі профайла. Наприклад, нехай M1, M2 ... Mn, - вімірювання профайла, а S1, S2 .... Sn, відповідно, представляються собою значеннях аномалії шкірного з вімірів, причому чім больше число Si, тим больше аномалії в i-тому Показники. Об'єднуюча функція может буті вагою сум їх квадратів:
a1s12 + a2s22 + ... + ansn2> 0,
де ai - показує відносна вага метрики Mi.
Параметри M1, M2 ... Mn, насправді, могут залежаться один від одного, и того для їх об'єднання может знадобітіся більш Складна функція.
Основна перевага Полягає в тому, что застосовуються добро відомі статистичні методи.
Недоліки:
Нечутлівість до послідовності Виникнення подій. Тоб Статистичнй Виявлення может втратіті Вторгнення, Яке проявляється у вігляді послідовності подібніх подій.
Система может буті послідовно навч таким чином, что аномальна поведінка буде вважатіся нормальним. Зловміснікі, Які знають, что за ними спостерігають за помощью таких систем, могут на...
