Статья опубликована в рамках: Научного журнала «Студенческий» № 21(359)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал
АДАПТИВНЫЙ МЕТОД НОРМАЛИЗАЦИИ С МАРКОВСКИМ КОЭФФИЦИЕНТОМ ДОВЕРИЯ ДЛЯ ОЦЕНКИ НАДЁЖНОСТИ СИСТЕМЫ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ РАСПРЕДЕЛЁННОЙ СИСТЕМЫ
АННОТАЦИЯ
В статье предложен адаптивный метод нормализации с марковским коэффициентом доверия для обнаружения аномалий поведения пользователей в автоматизированных распределённых системах. Метод синтезирует марковские цепи с дискретным временем и робастную статистику (Robust Z-score на основе медианы и MAD). Через TPR метода получены аналитические выражения для показателей надёжности системы защиты: вероятности несанкционированного доступа
и среднего времени обнаружения аномалии MTTD. Верификация на наборе данных CICIDS2017 (1 568 449 событий) подтвердила превосходство метода над базовыми подходами: TPR = 0.1652 против 0.0933 и 0.0566, MTTD = 6.05 событий против 10.72 и 17.67.
Ключевые слова: марковские цепи; коэффициент доверия; Robust Z-score; обнаружение аномалий; надёжность системы защиты; вероятность несанкционированного доступа; MTTD; CICIDS2017.
Введение
Обнаружение аномалий поведения пользователей является ключевым механизмом защиты автоматизированных распределённых систем (АРС) от угроз несанкционированного доступа, инсайдерских атак и многошаговых вторжений. Действующая нормативная база РФ (ГОСТ Р 27.102-2021) определяет надёжность как способность объекта сохранять допустимые показатели при заданных условиях, однако количественного математического инструмента для оценки надёжности именно системы защиты АРС в нормативных документах нет [1].
Существующие методы - сигнатурный анализ, статистические методы нормализации - либо не обнаруживают неизвестные атаки, либо не учитывают последовательность событий, которая является ключевым признаком инсайдерских угроз и атак типа «маскарад» [2]. В настоящей статье предложен метод, устраняющий этот недостаток путём синтеза марковских цепей и адаптивной робастной нормализации.
Описание предложенного метода
Пусть журнал аудита АРС фиксирует последовательность событий
где каждое событие принадлежит конечному алфавиту типов действий E. Каждому событию сопоставляется вектор числовых метрик
- объём трафика, число запросов в единицу времени и т.д. Задача: по текущему наблюдению
вычислить аномальный балл
и принять решение о принадлежности события к нормальному поведению или аномалии.
Модель нормального поведения строится по обучающей выборке D нормальных событий и включает два взаимодействующих компонента.
Компонент 1. Марковская модель переходов. Действия пользователя дискретизируются в множество состояний S = {AUTH, READ, WRITE, TRANSFER, ADMIN, SCAN, OTHER}. По обучающей выборке оценивается матрица переходных вероятностей P методом максимального правдоподобия со сглаживанием Лапласа (α = 1) для устранения нулевых вероятностей [3]:
![]()
где
- число переходов из состояния
в
, n - число состояний. Из вероятности текущего перехода вычисляется марковский коэффициент доверия:
![]()
где δ = 0.1 - минимальный уровень доверия, обеспечивающий строгую положительность
> 0 при любом значении вероятности перехода. При нормальных переходах
≈ 1; при аномальных -
мало.
Компонент 2. Адаптивный Robust Z-score. Для каждой компоненты метрики j вычисляется нормализованное отклонение на основе скользящих медианы
и медианного абсолютного отклонения
(скользящее окно w = 100) [4]:

где k = 1.4826 - нормировочная константа, ε = 0.001 - защита от деления на ноль.
Итоговый аномальный балл объединяет оба компонента:

Множитель 1/
усиливает балл при аномальных переходах (малое
), реализуя ключевую связку: нетипичная последовательность действий → высокая вероятность аномалии. Это принципиальное отличие от классических методов, анализирующих каждое событие независимо [2]. Порог обнаружения устанавливается как квантиль уровня (1 − α) =0.95 эмпирического распределения баллов на обучающей выборке:
.
Показатели надёжности системы защиты
Предложенный метод обеспечивает прямую аналитическую связь с показателями надёжности СЗ АРС.
Вероятность несанкционированного доступа
(L) - вероятность того, что атака из L аномальных действий останется необнаруженной. При допущении о независимости обнаружений на каждом шаге:
![]()
Формула показывает экспоненциальное убывание
с ростом L: повышение TPR на несколько процентных пунктов радикально снижает вероятность успешного НСД при многошаговых атаках.
Среднее время обнаружения аномалии MTTD. Время до первого обнаружения
имеет геометрическое распределение с параметром TPR. Его математическое ожидание [5]:
![]()
Марковский компонент сокращает MTTD при многошаговых атаках: по мере накопления аномальных переходов
убывает, усилитель 1/
нарастает, и порог θ преодолевается раньше, чем в классических методах [2].
Верификация на наборе данных CICIDS2017
Предложенный метод (метод 3) верифицирован на наборе данных CICIDS2017 в сравнении с классическим Z-score (метод 1) и стандартным Robust Z-score без марковского компонента (метод 2). Обучающая выборка: N = 961 992 нормальных события; тестовая: 1 568 449 событий (24.5% аномальных), 11 типов атак. Метод walk-forward validation исключает утечку данных.
Сводные результаты представлены в таблице 1.
Таблица 1.
Сравнение показателей эффективности методов на тестовой выборке CICIDS2017
|
Показатель |
Z-score (1) |
Robust Z (2) |
Марков+Robust (3) |
|
TPR |
0.0566 |
0.0933 |
0.1652 |
|
FPR |
0.0659 |
0.0706 |
0.0723 |
|
Precision |
0.2183 |
0.3004 |
0.4262 |
|
F1-мера |
0.0899 |
0.1423 |
0.2382 |
|
MTTD (событий) |
17.67 |
10.72 |
6.05 |
|
P_нсд (L=10) |
0.5584 |
0.3755 |
0.1644 |
Метод 3 превосходит оба базовых подхода по TPR, Precision и F1-мере при сопоставимом FPR. Наибольший выигрыш достигается для атак Bot (+0.27 TPR), Infiltration (+0.31) и Web-атак (+0.24–0.30) - сценариев с нормальными числовыми метриками при аномальной последовательности переходов.
при L = 10 снижается в 3.4 раза, MTTD сокращается в 2.9 раза относительно метода 1. Вычислительная сложность: 118.1 мкс/событие (≈ 8 467 событий/с) - сопоставима с методом 2 (113.0 мкс), пригодна для работы в реальном времени.
Заключение
Предложен адаптивный метод нормализации с марковским коэффициентом доверия, синтезирующий марковскую модель переходов и робастную статистику. Метод обеспечивает прямую аналитическую связь между механизмом обнаружения аномалий и показателями надёжности системы защиты АРС (
и MTTD). Верификация на CICIDS2017 подтверждает практическую ценность: по сравнению с базовыми методами достигается снижение
в 3.4 раза и сокращение MTTD в 2.9 раза при сопоставимой вычислительной стоимости. Область применения: корпоративные АРС, промышленный Интернет вещей, финансовые платформы.
Список литературы:
- ГОСТ Р 27.102-2021. Надёжность в технике. Надёжность объекта. Термины и определения. — М. : Стандартинформ, 2021.
- Ye N., Zhang Y., Borror C. M. Robustness of the Markov-Chain Model for Cyber-Intrusion Detection // IEEE Transactions on Reliability. — 2004. — Vol. 53, No. 1. — P. 116–123.
- Murphy K. P. Machine Learning: A Probabilistic Perspective. — Cambridge (MA) : MIT Press, 2012. — С. 593–594.
- Leys C. et al. Detecting Outliers: Do Not Use Standard Deviation Around the Mean, Use Absolute Deviation Around the Median // Journal of Experimental Social Psychology. — 2013. — Vol. 49. — P. 764–766.
- Шкляр В. Н. Надёжность систем управления : учебное пособие. — Томск : Изд-во ТПУ, 2009..

