Аннотация:
Работа посвящена некоторым особенностям анализа данных в задачах поиска инсайдеров. Обсуждаются возможности использования различных подходов к описанию диагностики действий инсайдеров при анализе больших эмпирических данных. В задачах этого типа необходимо установить (спрогнозировать, диагностировать и др.) наличие или отсутствие целевых свойств у каких-либо пользователей из заданного множества. Оценка правильности правдоподобных рассуждений проверяется на основе оценок вероятностей случайного появления найденных закономерностей в простейших вероятностных моделях. Рассмотренные примеры показывают, при каких соотношениях параметров возможно эффективное выявление корреляционных связей между событиями, с помощью которых можно выявлять инсайдеров. Указаны два способа управления соотношениями между параметрами, позволяющие получать содержательную информацию. Первый способ основан на разделении периода наблюдений на промежутки, в течение которых искомая корреляция может проявиться. Второй способ связан со способами сокращения множества пользователей, которые потенциально могут стать инсайдерами, т. е. речь идет о формировании кластеров, в которых вероятностные оценки становятся работоспособными. Искомые соотношения между параметрами для поиска корреляций можно определять с помощью предельных теорем в схеме серий.
Ключевые слова:враждебный инсайдер, каузальный анализ, вероятностные оценки случайного появления свойств.
Полный текст:
PDF файл (154 kB)