Телефон: 8-800-350-22-65
Напишите нам:
WhatsApp:
Telegram:
MAX:
Прием заявок круглосуточно
График работы офиса: с 9:00 до 21:00 Нск (с 5:00 до 19:00 Мск)

Статья опубликована в рамках: Научного журнала «Студенческий» № 21(359)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал

Библиографическое описание:
Карелина Е.Е. АДАПТИВНЫЙ МЕТОД НОРМАЛИЗАЦИИ С МАРКОВСКИМ КОЭФФИЦИЕНТОМ ДОВЕРИЯ ДЛЯ ОЦЕНКИ НАДЁЖНОСТИ СИСТЕМЫ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ РАСПРЕДЕЛЁННОЙ СИСТЕМЫ // Студенческий: электрон. научн. журн. 2026. № 21(359). URL: https://sibac.info/journal/student/359/422537 (дата обращения: 03.07.2026).

АДАПТИВНЫЙ МЕТОД НОРМАЛИЗАЦИИ С МАРКОВСКИМ КОЭФФИЦИЕНТОМ ДОВЕРИЯ ДЛЯ ОЦЕНКИ НАДЁЖНОСТИ СИСТЕМЫ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ РАСПРЕДЕЛЁННОЙ СИСТЕМЫ

Карелина Елизавета Евгеньевна

магистрант, кафедра автоматика и телемеханика, Пермский национальный исследовательский политехнический университет,

РФ, г. Пермь

АННОТАЦИЯ

В статье предложен адаптивный метод нормализации с марковским коэффициентом доверия для обнаружения аномалий поведения пользователей в автоматизированных распределённых системах. Метод синтезирует марковские цепи с дискретным временем и робастную статистику (Robust Z-score на основе медианы и MAD). Через TPR метода получены аналитические выражения для показателей надёжности системы защиты: вероятности несанкционированного доступа  и среднего времени обнаружения аномалии MTTD. Верификация на наборе данных CICIDS2017 (1 568 449 событий) подтвердила превосходство метода над базовыми подходами: TPR = 0.1652 против 0.0933 и 0.0566, MTTD = 6.05 событий против 10.72 и 17.67.

 

Ключевые слова: марковские цепи; коэффициент доверия; Robust Z-score; обнаружение аномалий; надёжность системы защиты; вероятность несанкционированного доступа; MTTD; CICIDS2017.

 

Введение

Обнаружение аномалий поведения пользователей является ключевым механизмом защиты автоматизированных распределённых систем (АРС) от угроз несанкционированного доступа, инсайдерских атак и многошаговых вторжений. Действующая нормативная база РФ (ГОСТ Р 27.102-2021) определяет надёжность как способность объекта сохранять допустимые показатели при заданных условиях, однако количественного математического инструмента для оценки надёжности именно системы защиты АРС в нормативных документах нет [1].

Существующие методы - сигнатурный анализ, статистические методы нормализации - либо не обнаруживают неизвестные атаки, либо не учитывают последовательность событий, которая является ключевым признаком инсайдерских угроз и атак типа «маскарад» [2]. В настоящей статье предложен метод, устраняющий этот недостаток путём синтеза марковских цепей и адаптивной робастной нормализации.

Описание предложенного метода

Пусть журнал аудита АРС фиксирует последовательность событий  где каждое событие принадлежит конечному алфавиту типов действий E. Каждому событию сопоставляется вектор числовых метрик   - объём трафика, число запросов в единицу времени и т.д. Задача: по текущему наблюдению вычислить аномальный балл  и принять решение о принадлежности события к нормальному поведению или аномалии.

Модель нормального поведения строится по обучающей выборке D нормальных событий и включает два взаимодействующих компонента.

Компонент 1. Марковская модель переходов. Действия пользователя дискретизируются в множество состояний S = {AUTH, READ, WRITE, TRANSFER, ADMIN, SCAN, OTHER}. По обучающей выборке оценивается матрица переходных вероятностей P методом максимального правдоподобия со сглаживанием Лапласа (α = 1) для устранения нулевых вероятностей [3]:

где  - число переходов из состояния  в , n - число состояний. Из вероятности текущего перехода вычисляется марковский коэффициент доверия:

где δ = 0.1 - минимальный уровень доверия, обеспечивающий строгую положительность  > 0 при любом значении вероятности перехода. При нормальных переходах ≈ 1; при аномальных - мало.

Компонент 2. Адаптивный Robust Z-score. Для каждой компоненты метрики j вычисляется нормализованное отклонение на основе скользящих медианы  и медианного абсолютного отклонения  (скользящее окно w = 100) [4]:

где k = 1.4826 - нормировочная константа, ε = 0.001 - защита от деления на ноль.

Итоговый аномальный балл объединяет оба компонента:

Множитель 1/ усиливает балл при аномальных переходах (малое ), реализуя ключевую связку: нетипичная последовательность действий → высокая вероятность аномалии. Это принципиальное отличие от классических методов, анализирующих каждое событие независимо [2]. Порог обнаружения устанавливается как квантиль уровня (1 − α) =0.95 эмпирического распределения баллов на обучающей выборке: .

Показатели надёжности системы защиты

Предложенный метод обеспечивает прямую аналитическую связь с показателями надёжности СЗ АРС.

Вероятность несанкционированного доступа  (L) - вероятность того, что атака из L аномальных действий останется необнаруженной. При допущении о независимости обнаружений на каждом шаге:

Формула показывает экспоненциальное убывание  с ростом L: повышение TPR на несколько процентных пунктов радикально снижает вероятность успешного НСД при многошаговых атаках.

Среднее время обнаружения аномалии MTTD. Время до первого обнаружения  имеет геометрическое распределение с параметром TPR. Его математическое ожидание [5]:

Марковский компонент сокращает MTTD при многошаговых атаках: по мере накопления аномальных переходов  убывает, усилитель 1/ нарастает, и порог θ преодолевается раньше, чем в классических методах [2].

Верификация на наборе данных CICIDS2017

Предложенный метод (метод 3) верифицирован на наборе данных CICIDS2017 в сравнении с классическим Z-score (метод 1) и стандартным Robust Z-score без марковского компонента (метод 2). Обучающая выборка: N = 961 992 нормальных события; тестовая: 1 568 449 событий (24.5% аномальных), 11 типов атак. Метод walk-forward validation исключает утечку данных.

Сводные результаты представлены в таблице 1.

Таблица 1.

Сравнение показателей эффективности методов на тестовой выборке CICIDS2017

Показатель

Z-score (1)

Robust Z (2)

Марков+Robust (3)

TPR

0.0566

0.0933

0.1652

FPR

0.0659

0.0706

0.0723

Precision

0.2183

0.3004

0.4262

F1-мера

0.0899

0.1423

0.2382

MTTD (событий)

17.67

10.72

6.05

P_нсд (L=10)

0.5584

0.3755

0.1644

 

Метод 3 превосходит оба базовых подхода по TPR, Precision и F1-мере при сопоставимом FPR. Наибольший выигрыш достигается для атак Bot (+0.27 TPR), Infiltration (+0.31) и Web-атак (+0.24–0.30) - сценариев с нормальными числовыми метриками при аномальной последовательности переходов.  при L = 10 снижается в 3.4 раза, MTTD сокращается в 2.9 раза относительно метода 1. Вычислительная сложность: 118.1 мкс/событие (≈ 8 467 событий/с) - сопоставима с методом 2 (113.0 мкс), пригодна для работы в реальном времени.

Заключение

Предложен адаптивный метод нормализации с марковским коэффициентом доверия, синтезирующий марковскую модель переходов и робастную статистику. Метод обеспечивает прямую аналитическую связь между механизмом обнаружения аномалий и показателями надёжности системы защиты АРС ( и MTTD). Верификация на CICIDS2017 подтверждает практическую ценность: по сравнению с базовыми методами достигается снижение  в 3.4 раза и сокращение MTTD в 2.9 раза при сопоставимой вычислительной стоимости. Область применения: корпоративные АРС, промышленный Интернет вещей, финансовые платформы.

 

Список литературы:

  1. ГОСТ Р 27.102-2021. Надёжность в технике. Надёжность объекта. Термины и определения. — М. : Стандартинформ, 2021.
  2. Ye N., Zhang Y., Borror C. M. Robustness of the Markov-Chain Model for Cyber-Intrusion Detection // IEEE Transactions on Reliability. — 2004. — Vol. 53, No. 1. — P. 116–123.
  3. Murphy K. P. Machine Learning: A Probabilistic Perspective. — Cambridge (MA) : MIT Press, 2012. — С. 593–594.
  4. Leys C. et al. Detecting Outliers: Do Not Use Standard Deviation Around the Mean, Use Absolute Deviation Around the Median // Journal of Experimental Social Psychology. — 2013. — Vol. 49. — P. 764–766.
  5. Шкляр В. Н. Надёжность систем управления : учебное пособие. — Томск : Изд-во ТПУ, 2009..