Использование условной вероятности
Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
(9)где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
(10)где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.