Построение эталона опасного поведения пользователя в компьютерной системе

Л.Н. Сапегин
20.05.2005 | 14:00
Л.Н. Сапегин, ПНИЭИ-ЗИ

Рассмотрим последовательность статистических выборок из аудита безопасности, соответствующих трем типам поведения пользователей в компьютерной системе: нормальное, случайное и опасное. Воспользуемся способом определения типа выборки с использованием критерия значимости c2. Предполагается, что эталоны нормального и случайного поведения первоначально заданы. Эталон опасного поведения строится постепенно путем последовательного корректирования по мере накопления соответствующей статистики. Далее этот эталон может использоваться для проверки статистических гипотез с заданными ошибками I и II рода, например, последовательным критерием Вальда.
В классической статистической теории проверки гипотез предполагается, что данная выборка принадлежит одному из двух гипотетических распределений. В задаче контроля поведения пользователей в компьютерной системе этим гипотетическим распределениям соответствуют эталоны нормального и опасного поведения пользователя. На практике создание эталона нормального поведения вполне возможно, однако эталон опасного поведения приходится строить по искусственной статистике ограниченного объема, что не заслуживает большого доверия. Кроме того, существует еще третий тип поведения - случайный шум с равномерным распределением. Поэтому предлагается усложнить классическую модель проверки гипотез следующим образом.
Предполагается, что по данным аудита безопасности можно построить последовательность выборок u1, u2, ..., ut,... примерно одинакового объема, где - выборка с номером t объема n. Далее предполагается, что каждая выборка принадлежит одному из трех законов распределения, соответствующих нормальному (Н), случайному (С) и опасному (О) поведению пользователя. (Практическая оценка дает: Н75%, С20%, О5%). Для определенности будем считать, что для построения эталона опасного поведения применяется критерий согласия c2 с r интервалами группирования. Тогда соответствующие теоретические эталоны будут иметь вид:


где распределение gн считается известным, распределение gc соответствует равномерному распределению значений x, а распределение go подлежит статистической оценке. Гистограмма выборки ut обозначается через , где - число значений из выборки , попавших в интервал группирования j, j=1ёr. Наконец, пусть e-вероятность ошибки I рода критерия c2, а -критическое значение c2, соответствующее уровню значимости e. Результаты применения критерия к гистограмме x с эталонами gн и gc обозначаются через и , соответственно.
Для сортировки выборок на нормальные (н), случайные (с) и опасные (о) предлагается использовать следующее правило:
  • если или , то гистограмма (эталон gн корректируется по xt или остается неизменным);
  • если или , то гистограмма (эталон gc корректируется по xt или остается неизменным);
  • если или , то гистограмма и эталон gо корректируется по xt.
При стабилизации эталона gо процесс построения эталона опасного поведения завершается.
Предложенное правило может ошибочно классифицировать некоторые выборки (гистограммы), причем с вероятностью бoльшей, чем e. Это относится к случаям (принимается решение "н") и (принимается решение "с"). Если эталоны gн и gc не корректируются (остаются неизменными), то это не имеет большого значения, поскольку указанные случаи могут просто игнорироваться. Если же кроме создания эталона опасного поведения требуется полная классификация выборок, то кроме типов "н", "с" и "о" для указанных выше случаев можно предусмотреть четвертый тип: "н или с".
Корректирование эталона опасного поведения по гистограмме выборки происходит следующим образом. Пусть и - гистограмма этого эталона, где . Тогда гистограмма скорректированного эталона есть , а сам скорректированный эталон распределения вероятностей получается как , где - скорректированное значение N0.