Аннотация:
Рассматривается задача выявления инсайдера в множестве аналитиков, работающих с хранилищем данных, которое представлено в виде плоской таблицы с большим числом атрибутов. Ключевым отличием поведения честного аналитика от инсайдера заключается в том, что последний в процессе работы с данными накапливает избыточную информацию для осуществления враждебных действий. Отсюда следует, что для определения инсайдера необходимо выявить факт регулярного сбора информации, не входящей в его функциональные обязанности. Описана математическая модель работы аналитиков с хранилищем данных и приводятся условия, при которых вероятность ложной тревоги равна 0, а функция мощности критерия проверки статистических гипотез принимает значение 1 за конечное число шагов. Таким образом доказано, что предложенный подход, использующий теорию вероятностей и математическую статистику для выявления факта накопления инсайдером избыточной информации, дает ответ на поставленный вопрос.
Полный текст:
PDF файл (185 kB)