Разработка методов и программных средств выявления аномальных состояний
Download 262.99 Kb. Pdf ko'rish
|
autoref-razrabotka-metodov-i-programmnykh-sredstv-vyyavleniya-anomalnykh-sostoyanii-kompyuternoi-set (1)
|
1
- обратная ковариационная матрица теку- щего ШНП. Выявление степени аномальности заключается: 1) В вычислении расстояний Махаланобиса отклонений новых собы- тий от центра «нормального» кластера и сопоставлении отклоне- ний с зонами аномальности (анализ одиночных событий); 2) В вычислении расстояний Махаланобиса отклонений центра мно- жества новых событий на временном окне анализа от центра «нор- мального» кластера и сопоставлении отклонений с зонами ано- мальности, а также в вычислении и анализе дисперсии, характери- зующей разброс событий на окне анализа (анализ множества собы- тий). По динамике изменения этих характеристик администратор может делать выводы о характере поведения СУ и, в том числе, оценивать адекватность и корректность текущего ШНП. Обоснование и проверка адекватности работы предложенных алгоритмов СПР проводилось на основе экспериментальных данных. Анализ одиночных событий: Основу СПР, определяющей степень аномальности отдельных со- бытий, составляет оценка следующей гипотезы: событие, характери- зующее работу СУ, является нормальным, если его отклонение (расстояние Махаланобиса) от центра «нормального» кластера не превышает заданное пороговое значение r кр . Общие шаги работы СПР по оценке степени аномальности отдель- ных событий заключаются в следующем: • Строится ШНП СУ (определяется центр, находится функция плот- ности распределения отклонений событий от центра и ковариаци- онная матрица, выявляющая зависимости между характеристика- ми, определяются пороговые значения зон аномальности - расстоя- ния от центра кластера, соответствующие заданным изначально 21 значениям доверительных вероятностей = • В ходе анализа вычисляется отклонение новых событий (значения которых подвергаются предварительной нормировке) от центра кластера и каждому событию ставится в соответствие «пометка», связывающая событие с зоной аномальности. • Величина отклонения события от границ зон аномальности (r кр1 , r кр2 и г кр3 ) определяет степень аномальности события. На этапе дальнейшей модификации ШНП в качестве ШД исполь- зуются только те события, для которых г < r кр1 . Анализ множества событий: Работу СУ на фиксированном временном окне анализа можно представить в виде некоторого облака точек (событий) в многомерном пространстве координат. В зависимости от степени близости центра облака к центру «нормального» кластера и вида этого облака (разброса событий относительно центра облака) можно делать вывод о степени аномальности всего окна анализа. Каждое такое окно будем характеризовать координатой центра и разбросом значений от центра (среднеквадратическим отклонением). Среднеквадратическое отклонение может являться показателем устой- чивости степени аномальности СУ на текущем окне анализа. Введено и проверено следующее утверждение: Степень аномальности поведения СУ на некотором окне событий определяется удаленностью центра этого окна от центра кластера, построенного на «нормальных» событиях, и характеризуется принад- лежностью соответствующим зонам аномальности. Среднеквадра- тическое отклонение окна событий определяет устойчивость нахо- ждения СУ в нормальном или аномальном состоянии. Центр облака вычисляется нахождением по каждой характеристике средних значений: - значение k-ой характеристики i-oro события. К - количество характеристик, N - количество точек (событий) в окне анализа, - k-ая координата центра облака, соответствующего j-ому окну. - вектор, определяющий центр облака, соответствующий j-му окну. 22 Сумма внутриклассовых дисперсий для j-oro окна вычисляется по формуле: где р - метрика, определяющая степень близости между события- ми - координата i-ro события, координата цен- тра облака, соответствующая j-ому окну. В качестве метрики используется расстояние Махаланобиса. В рамках проведенных исследований размер окна анализа соответство- вал одному часу. Общие шаги алгоритма работы СПР, оценивающего степень ано- мальности множества событий, аналогичны анализу одиночных собы- тий, за исключением того, что в ходе анализа вычисляется расстояние Махаланобиса центра окна анализа от центра кластера и среднеквадра- тичное отклонение событий внутри окна анализа. В данной главе также приводятся результаты оценки эффективно- сти СПР Эффективность СПР было предложено оценивать на основе следующих критериев: 1) Точности обнаружения АРВ. Этот показатель характеризуется от- ношением количества состояний, соответствующих правильно об- наруженным АРВ, и количества всех состояний, охарактеризован- ных СПР как АРВ. 2) Полноты обнаружения АРВ (detection rate). Полнота обнаружения определяется как количественное отношение правильно обнару- женных АРВ и общего количества всех АРВ, действительно имев- ших место. 3) Величины ошибки 1-го рода. Вероятность «допустить ошибку 1-го рода связана с выходом события, характеризующего нормальную работу СУ за пределы фиксированного отклонения (г>г кр ). т.е. с от- несением события к аномалии, если оно ею не является. Это - «ложная тревога» (false positive). 4) Величины ошибки 2-го рода. Вероятность /3 допустить ошибку 2-го рода связана с не отнесением события к аномальному, если оно на 23 самом деле содержало след АРВ. Такую ситуацию можно назвать «пропуск аномалии» (false negative). Это возможно, когда ано- мальное событие соответствует условию г<г кр . Логический смысл этих критериев проиллюстрирован на диаграм- ме множеств (см. рис.4). Рис.4. Результаты работы СПР в виде диаграммы множеств. Результаты работы СПР могут быть представлены в виде четырех множеств: • А - правильно зафиксированная нормальная работа; • В - пропущенные аномалии; • С - ложные срабатывания; • D - правильно зафиксированные аномалии. Соответственно, предложенные выше критерии оценки эффектив- ности могут быть описаны следующими формулами: 1)Р - точность обнаружения аномалий - мощность множества - мощность объединения множеств С и D. 2) R - полнота обнаружения аномалий 3) вероятность ошибки 1-го рода 4) - вероятность ошибки 2-го рода 24 Оценка была проведена на основе экспериментальных данных. Ее результаты приведены в табл.1. Таблица 1. Оценка эффективности обнаружения АРВ. Download 262.99 Kb. Do'stlaringiz bilan baham: 
|