2022 [11] Система обнаружения вторжений
За несколько месяцев эксплуатации была сформирована статистика работы системы обнаружения вторжений (СОВ), приведенная на рисунке 1.Рисунок 1 – Нормированное распределение трафика по частоте в зависимости от его интенсивности:
(I) – распределение нормального трафика,
(II) – распределение вредоносного трафика
Распределения трафиков представляют собой нормальные распределения со следующими параметрами:
– нормальный трафик (I): математическое ожидание M = 400, дисперсия d = 100,
– вредоносный трафик (II): математическое ожидание M = 850, дисперсия d = 50.
В настоящее время порог принятия решений для СОВ (показан красной линией на рисунке 1) задан так, что объем неправильно обнаруженного нормального трафика (OI) и объем неправильно обнаруженного вредоносного трафика (OII) равны 0,1%.
График распределения объема выборки (площади под графиком) в зависимости от положения порога относительно математического ожидания показан на рисунке 2.
Рисунок 2 – Нормальное распределение трафика
В последнее неделю в сети появился аномальный трафик третьего вида (III), распределение которого показано на рисунке 3.
Рисунок 3 – Нормированное распределение аномального трафика по частоте в зависимости от его интенсивности (III)
Аномальный трафик представляет собой нормальное распределение с параметрами: математическое ожидание M = 700, дисперсия d = 50.
При текущих настройках порога СОВ объем ошибочного обнаружения трафика нового вида (OIII) = 50%.
В какую точку необходимо перенести порог принятия решения, чтобы суммарное значение ошибок всех видов трафика было минимальное:
Oсумм=OI + OII + OIII → min?
Минимальный шаг изменения порога – 10.
В ответе укажите значение интенсивности, на которой должен быть установлен новый порог принятия решения, а также значения объемов ошибочного обнаружения для всех трех типов трафика.