ежно від того, якими розподілами володіють множини значень кожної з p даних випадкових змінних. Використовуючи набір значень T2, можна отримати значення дисперсії і математичного очікування шляхом наближення математичного очікування й дисперсії. Граничні значення для виявлення втрати контролю над процесом зазвичай ставляться рівними 3? і визначають діапазон. по виходу значення T2 за який подається сигнал про аномалії.
Сигнал про втрату контролю над процесом на основі тесту T2 може бути викликаний зсувом математичного очікування, втратою зв'язку між змінними або комбінацією обох ситуацій. У ситуації зрушення математичного очікування одна або більше з p змінних виходять з-під контролю. У ситуації втрата взаємодії змінних raquo ;, взаємодія між двома або більше з p змінних починає відрізнятися від описаного в ковариационной матриці.
Хоча тест T2 виявляє обидва види ситуацій, тим не менш, він є більш чутливим до втрати взаємодії змінних, так як тест T2 в значній мірі залежить від взаємодії змінних, описаного в ковариационной матриці.
Процес автоматичного побудови профілю нормальної поведінки для тесту Хотеллінга відбувається наступним чином. Береться набір навчальних даних, кожен елемент якого являє собою вектор значень параметрів системи в конкретний момент часу. Для кожного параметра розраховується математичне очікування, таким чином формується вектор математичних очікувань X , який фіксується в профілі . Далі розраховується і фіксується в профілі коваріаційна матриця S . Потім вираховується математичне очікування тесту Хотеллінга і дисперсія, після чого вираховується і фіксується в профілі контрольний діапазон. Після фіксації кордонів контрольного діапазону можна починати аналіз даних, що надходять на предмет виявлення аномалій - тобто виходу значення тесту T2 за межі контрольного діапазону.
У контексті запропонованого методу виявлення вразливостей метод може бути використаний таким чином.
Розмірність вектора ставиться рівною кількістю всіх операцій над усіма об'єктами оточення. На етапі побудови профілів нормальної поведінки в результаті кожного HTTP-запиту формується вектор, в якому значення кожної компоненти відповідає значенню відповідної операції. Вектора групуються за розділами HTTP-параметрів, тобто кожному набору HTTP-параметрів відповідає набір векторів - записів траси, отриманих для даного набору HTTP-параметрів за час навчання. Для кожного набору векторів за загальною схемою вираховуються вектор математичних очікувань X , а потім математичне очікування тесту Хотеллінга і дисперсія. Далі фіксується контрольний діапазон, і побудова профілю нормальної поведінки для даного набору HTTP-параметрів можна вважати завершеним.
У режимі виявлення аномалій відкривається вікно спостереження деякого розміру. Алгоритм перерахунку значення тесту Хотеллінга для кожного набору HTTP-параметрів, присутнього у вікні спостереження, запускається при вступі кожного нового запису в трасу, тобто при вступі кожного нового HTTP-запиту і, відповідно, нового вектора значень операцій, отриманих в ході обробки запиту. При виході значення тесту Хотеллінга для деякого набору HTTP-параметрів за межі контрольного діапазону, зафіксованого в профілі нормальної поведінки для даного набору параметрів, фіксується аномалія.
5.2 Метод EWMA (Exponentially Weighted Moving Average)
В основі методу EWMA лежить експоненціальне згладжування першого порядку [20, 21]:
(5.2.1)
де
0 lt;? ? 1 - константа згладжування.
У ролі початкового значення може бути взято математичне очікування за попередніми даними, т.е.
z 0 =(5.2.2)
Якщо розкрити z i - 1 , виходить:
Рекурсивно, для z ij , j=2, 3, ..., t виходить:
Вага елемента зменшується геометрично, із зростанням порядкового номера. Сума ваг прагне до 1, так як:
Якщо, приміром, ? =0.2, то вага, призначений поточним елементу, дорівнює 0.2, а ваги, призначені попереднім елементам, дорівнюють 0.04, 0.128, 0.1024 і так далі.
Малюнок 5.2.1 Зміна ваги зразка в ході роботи EWMA
Контрольні межі для EWMA розраховуються наступним чином (ВКП - верхній контрольний межа, НКП - нижній контрольний межа):
(5.2.3)
(5.2.4) де
Де ? 2 - дисперсія, а ? x - математичне очікування випадкової величини x i .
У цих формулах L є шириною контрольного діапазону.
На практиці часто використовуваними значеннями константи згладжування є ? =0.05, ? =0.10 і ? =0.25. При менши...
