Получение единой оценки состояния защищаемой системы

Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].

Статистика Байеса

Пусть А₁.. А_n –nизмерений, используемых для определения факта вторжения в любой момент времени. Каждое А_i оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение А_i имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями

(1)

Вероятность вычисляется при помощи теоремы Байеса.

(2)

Для событий I и I,скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение А_i зависит только от I и условно не зависит от других измерений Аjгде i ≠ j. Это приведет к соотношениям

(3)

и

(4)

Отсюда

(5)

Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.

Однако для получения более реалистичной оценки Р(I|А₁..А_n), необходимо учитывать влияние измеренийА_iдруг на друга.

Ковариантные матрицы

В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А₁.. А_n представляет собой вектор А, то составное измерение аномалии можно определить как

(6)

где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.

Сети доверия (сети Байеса)

Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].