| |
| 基于贝叶斯推理的异常检测方法,是指在任意给定的时刻,测量A1,A2,…An变量值,推理判断系统是否发生入侵行为。其中,每个变量Ai表示系统某一方面的特征,例如磁盘I/O的活动数量、系统中页面出错的数目等。假定变量Ai可以取两个值:1表示异常,0表示正常。令I表示系统当前遭受的入侵攻击。每个异常变量Ai的异常可靠性和敏感性分别用P(Ai=1|I)和P(Ai=1|?I)表示。于是,在给定每个Ai值的条件下,由贝叶斯定理得出I的可信度为:
|
|
|
|
|
| 其中,要求给出I和?I的联合概率分布。假定每个测量Ai仅与I相关,与其他的测量条件Aj(i≠j)无关,则有:
|
|
|
|
|
|
|
|
|
| 因此,根据各种异常测量的值、入侵的先验概率、入侵发生时每种测量得到的异常概率,就能够判断系统入侵的概率。但是为了保证检测的准确性,还需要考查各变量Ai之间的独立性。一种方法是通过相关性分析,确定各异常变量与入侵的关系。
|
|
|
|
|
|
|
|
|
|
|
|
