Безопасность и Internet - статьи


3.3 Описательная статистика - часть 2


где ai – показывает относительный вес метрики Mi.

Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.

Основное преимущество заключается в том, что применяются хорошо известные статистические методы.

Недостатки:

  • Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий.
  • Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений.
  • Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative).
  • Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.




- Начало -  - Назад -  - Вперед -