| 基于条件概率的误用检测方法,是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。令ES表示某个事件序列,发生入侵的先验概率为P(Intrusion),发生入侵时该事件序列ES出现的后验概率为P(ES|Intrusion),该事件序列出现的概率为P(ES),则有:
|
|
|
|
|
| 通常网络安全员可以给出先验概率P(Intrusion),对入侵报告进行数据统计处理可得P(ES|?Intrusion)和P(ES|Intrusion),于是可以计算出:
|
|
|
| P(ES)=[P(ES|Intrusion)-P(ES|?Intrusion)]×P(Intrusion)+P(ES|?Intrusion)
|
|
|
| 因此,可以通过对事件序列的观测推算出P(Intrusion|ES)。基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进,其缺点是先验概率难以给出,而且事件的独立性难以满足。
|
|
|
