Получение единой оценки состояния защищаемой системы
Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].
Статистика Байеса
Пусть А1.. Аn –nизмерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
(1)
Вероятность вычисляется при помощи теоремы Байеса.
(2)
Для событий I и I,скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аjгде i ≠ j. Это приведет к соотношениям
(3)
и
(4)
Отсюда
(5)
Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измеренийАiдруг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
(6)
где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].