Глава 3.3 Описательная статистика - часть 2

где ai – показывает относительный вес метрики Mi.

Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.

Основное преимущество заключается в том, что применяются хорошо известные статистические методы.

Недостатки:

• Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий.
• Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений.
• Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative).
• Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.