Вопрос 10. Информационные метрики

Показывают, насколько качественно система обнаружения вторжений выполняет свою основную функцию – обнаруживает вторжения.

Постановка задачи: СОВ обучается с использованием некоторого обучающего подмножества, после чего классифицируют данные, полученные из тестового набора данных или в процессе непосредственной работы.

В СОВ используются следующие метрики:

· FP — процент ложных срабатываний;

· TP — процент обнаружений.

· FN — процент несрабатываний

· TN — процент истинных несрабатываний

· PPV— Байесовская оценка обнаружения. Позитивное предсказательное значение. Вероятность того, что вторжение существует, когда СОВ генерирует тревогу

· NPV — негативное предсказательное значение. Вероятность того, что вторжение не существует, когда СОВ не генерирует тревогу

· B — Базовая оценка. Вероятность существования вторжения в наблюдаемых данных.

Какая ошибка важнее FPили TP? Зависит от решаемой задачи. Например, для задачи биометрической аутентификации опасно пропустить нарушителя.