Безопасность и Internet - статьи

       

Использование условной вероятности


Для определения злоупотреблений нужно определить условную вероятность

Р(Вторжение|Патерн событий).

То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.

Далее используется формула Байеса

(9)

где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.

Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса

(10)

где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.



Содержание раздела