За несколько месяцев эксплуатации была сформирована статистика работы системы обнаружения вторжений (СОВ), приведенная на рисунке 1.
Рисунок 1 – Нормированное распределение трафика по частоте в зависимости от его интенсивности:
(I) – распределение нормального трафика,
(II) – распределение вредоносного трафика
Распределения трафиков представляют собой нормальные распределения со следующими параметрами:
– нормальный трафик (I): математическое ожидание M = 400, дисперсия d = 100,
– вредоносный трафик (II): математическое ожидание M = 850, дисперсия d = 50.
В настоящее время порог принятия решений для СОВ (показан красной линией на рисунке 1) задан так, что объем неправильно обнаруженного нормального трафика (OI) и объем неправильно обнаруженного вредоносного трафика (OII) равны 0,1%.
График распределения объема выборки (площади под графиком) в зависимости от положения порога относительно математического ожидания показан на рисунке 2.
Рисунок 2 – Нормальное распределение трафика
В последнее неделю в сети появился аномальный трафик третьего вида (III), распределение которого показано на рисунке 3.
Рисунок 3 – Нормированное распределение аномального трафика по частоте в зависимости от его интенсивности (III)
Аномальный трафик представляет собой нормальное распределение с параметрами: математическое ожидание M = 700, дисперсия d = 50.
При текущих настройках порога СОВ объем ошибочного обнаружения трафика нового вида (OIII) = 50%.
В какую точку необходимо перенести порог принятия решения, чтобы суммарное значение ошибок всех видов трафика было минимальное:
Oсумм=OI + OII + OIII → min?
Минимальный шаг изменения порога – 10.
В ответе укажите значение интенсивности, на которой должен быть установлен новый порог принятия решения, а также значения объемов ошибочного обнаружения для всех трех типов трафика.
- Подсказка
Подсказка
Ключевые значения могут быть достигнуты, если устанавливать порог с шагом сигма (дельта, d).
- Решение
Решение
Нормальный трафик можно описать следующими количественными параметрами:
- Диапазон значений 0:800
- Мат ожидание 400
- Дисперсия 100
-3сигма 100
-2сигма 200
-1сигма 300
+1сигма 500
+2сигма 600
+3сигма 700
Аномальный трафик 2:
- Диапазон значений 600:1100
- Мат ожидание 850
- Дисперсия 50
-3сигма 700
-2сигма 750
-1сигма 800
+1сигма 900
+2сигма 950
+3сигма 1000
Аномальный трафик 3
- Диапазон значений 500:900
- Мат ожидание 700
- Дисперсия 50
-3сигма 550
-2сигма 600
-1сигма 650
+1сигма 750
+2сигма 800
+3сигма 850
Для нахождения ответа необходимо двигать порог с шагом дисперсии, вычислять вероятность ошибок и искать минимальное значение.
При пороге в 700 график 3 50%, O=0.01+0.1+50.
При пороге в 600 O=3.2*3.2+0+3.2=13,44.
При пороге в 500 O=16,2*16,2+0+0=262,44.
В результате минимальное значение будет найдено при установке порога на значение 600.
- Ответ
Ответ
600, 3,2% , 0% , 3,2%