mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/AI/AI-Unsupervised-Learning-algorithms.md'] to uk
This commit is contained in:
Translator
parent
a4bfc23f06
commit
4a3e3f7c24
@ -2,37 +2,35 @@
|
||||
|
||||
{{#include ../banners/hacktricks-training.md}}
|
||||
|
||||
|
||||
## Неконтрольоване навчання
|
||||
|
||||
Неконтрольоване навчання — це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для таких завдань, як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики.
|
||||
|
||||
Неконтрольоване навчання - це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для завдань, таких як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики.
|
||||
|
||||
### Кластеризація K-Середніх
|
||||
|
||||
K-Середні — це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином:
|
||||
K-Середніх - це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином:
|
||||
1. **Ініціалізація**: Виберіть K початкових центрів кластерів (центроїдів), часто випадковим чином або за допомогою більш розумних методів, таких як k-means++
|
||||
2. **Призначення**: Призначте кожну точку даних найближчому центроїду на основі метрики відстані (наприклад, евклідова відстань).
|
||||
3. **Оновлення**: Перерахуньте центроїди, взявши середнє всіх точок даних, призначених кожному кластеру.
|
||||
4. **Повторення**: Кроки 2–3 повторюються, поки призначення кластерів не стабілізуються (центроїди більше не рухаються суттєво).
|
||||
4. **Повторення**: Кроки 2–3 повторюються, поки призначення кластерів не стабілізується (центроїди більше не рухаються суттєво).
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* K-Середні використовуються для виявлення вторгнень шляхом кластеризації мережевих подій. Наприклад, дослідники застосували K-Середні до набору даних про вторгнення KDD Cup 99 і виявили, що він ефективно розділяє трафік на нормальні та атакуючі кластери. На практиці аналітики безпеки можуть кластеризувати записи журналів або дані про поведінку користувачів, щоб знайти групи подібної активності; будь-які точки, які не належать до добре сформованого кластера, можуть вказувати на аномалії (наприклад, новий варіант шкідливого ПЗ, що формує свій власний малий кластер). K-Середні також можуть допомогти в класифікації сімей шкідливого ПЗ, групуючи бінарні файли на основі профілів поведінки або векторів ознак.
|
||||
> *Випадки використання в кібербезпеці:* K-Середніх використовується для виявлення вторгнень шляхом кластеризації мережевих подій. Наприклад, дослідники застосували K-Середніх до набору даних про вторгнення KDD Cup 99 і виявили, що він ефективно розділяє трафік на нормальні та атакуючі кластери. На практиці аналітики безпеки можуть кластеризувати записи журналів або дані про поведінку користувачів, щоб знайти групи подібної активності; будь-які точки, які не належать до добре сформованого кластера, можуть вказувати на аномалії (наприклад, новий варіант шкідливого ПЗ, що формує свій власний малий кластер). K-Середніх також може допомогти в класифікації сімейства шкідливого ПЗ, групуючи бінарні файли на основі профілів поведінки або векторів ознак.
|
||||
|
||||
#### Вибір K
|
||||
Кількість кластерів (K) є гіперпараметром, який потрібно визначити перед запуском алгоритму. Техніки, такі як Метод Ліктя або Оцінка Силуету, можуть допомогти визначити відповідне значення для K, оцінюючи продуктивність кластеризації:
|
||||
|
||||
- **Метод Ліктя**: Нанесіть на графік суму квадратів відстаней від кожної точки до її призначеного центроїду кластера як функцію K. Шукайте "ліктьову" точку, де швидкість зменшення різко змінюється, що вказує на підходящу кількість кластерів.
|
||||
- **Метод Ліктя**: Нанесіть на графік суму квадратів відстаней від кожної точки до її призначеного центроїду кластера як функцію K. Шукайте точку "ліктя", де швидкість зменшення різко змінюється, що вказує на підходящу кількість кластерів.
|
||||
- **Оцінка Силуету**: Обчисліть оцінку силуету для різних значень K. Вища оцінка силуету вказує на краще визначені кластери.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
K-Середні припускають, що **кластери є сферичними та однакового розміру**, що може не відповідати всім наборам даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середні не підходять для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні, щоб забезпечити рівний внесок усіх ознак у обчислення відстані.
|
||||
K-Середніх припускає, що **кластери є сферичними та однакового розміру**, що може не відповідати всім наборам даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середніх не підходить для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні для забезпечення того, щоб усі ознаки однаково впливали на обчислення відстані.
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Кластеризація мережевих подій
|
||||
</summary>
|
||||
Нижче ми моделюємо дані мережевого трафіку та використовуємо K-Середні для їх кластеризації. Припустимо, у нас є події з такими ознаками, як тривалість з'єднання та кількість байтів. Ми створюємо 3 кластери "нормального" трафіку та 1 малий кластер, що представляє патерн атаки. Потім ми запускаємо K-Середні, щоб перевірити, чи розділяє він їх.
|
||||
Нижче ми моделюємо дані мережевого трафіку та використовуємо K-Середніх для їх кластеризації. Припустимо, у нас є події з такими ознаками, як тривалість з'єднання та кількість байтів. Ми створюємо 3 кластери "нормального" трафіку та 1 малий кластер, що представляє патерн атаки. Потім ми запускаємо K-Середніх, щоб перевірити, чи розділяє він їх.
|
||||
```python
|
||||
import numpy as np
|
||||
from sklearn.cluster import KMeans
|
||||
@ -58,17 +56,17 @@ print("Cluster centers (duration, bytes):")
|
||||
for idx, center in enumerate(kmeans.cluster_centers_):
|
||||
print(f" Cluster {idx}: {center}")
|
||||
```
|
||||
У цьому прикладі K-Means має знайти 4 кластери. Малий кластер атак (з незвично високою тривалістю ~200) ідеально сформує свій власний кластер, враховуючи його відстань від нормальних кластерів. Ми виводимо розміри кластерів і центри, щоб інтерпретувати результати. У реальному сценарії можна було б позначити кластер з кількома точками як потенційні аномалії або перевірити його учасників на наявність шкідливої активності.
|
||||
У цьому прикладі K-Means має знайти 4 кластери. Малий кластер атак (з незвично високою тривалістю ~200) ідеально сформує свій власний кластер, враховуючи його відстань від нормальних кластерів. Ми виводимо розміри кластерів і центри для інтерпретації результатів. У реальному сценарії можна було б позначити кластер з кількома точками як потенційні аномалії або перевірити його учасників на наявність шкідливої активності.
|
||||
</details>
|
||||
|
||||
### Ієрархічна кластеризація
|
||||
|
||||
Ієрархічна кластеризація будує ієрархію кластерів, використовуючи або підхід знизу-вгору (агломеративний), або зверху-вниз (дискретний):
|
||||
Ієрархічна кластеризація будує ієрархію кластерів, використовуючи або підхід знизу вгору (агломеративний), або зверху вниз (дискретний):
|
||||
|
||||
1. **Агломеративний (знизу-вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки.
|
||||
2. **Дискретний (зверху-вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки.
|
||||
1. **Агломеративний (знизу вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки.
|
||||
2. **Дискретний (зверху вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки.
|
||||
|
||||
Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань найближчих точок між двома кластерами), повний зв'язок (відстань найвіддаленіших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму утворених кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів.
|
||||
Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань до найближчих точок між двома кластерами), повний зв'язок (відстань до найвіддаленіших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму утворених кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів.
|
||||
|
||||
Ієрархічна кластеризація виробляє дендрограму, деревоподібну структуру, яка показує відносини між кластерами на різних рівнях деталізації. Дендрограму можна перерізати на бажаному рівні, щоб отримати певну кількість кластерів.
|
||||
|
||||
@ -77,7 +75,7 @@ print(f" Cluster {idx}: {center}")
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за сімейними підгрупами). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який поріг є доречним для виявлення значущих кластерів. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не можна скасувати, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди).
|
||||
Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за сімейними підгрупами). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який поріг є доречним для виявлення значущих кластерів. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не може бути скасовано, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Агломеративна кластеризація подій
|
||||
@ -105,30 +103,30 @@ print(f"Cluster sizes for 3 clusters: {np.bincount(clusters_3)}")
|
||||
|
||||
### DBSCAN (Density-Based Spatial Clustering of Applications with Noise)
|
||||
|
||||
DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та несферичними формами.
|
||||
DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та некулястими формами.
|
||||
|
||||
DBSCAN працює, визначаючи два параметри:
|
||||
- **Epsilon (ε)**: Максимальна відстань між двома точками, щоб вважатися частиною одного кластеру.
|
||||
- **MinPts**: Мінімальна кількість точок, необхідна для формування щільного регіону (основна точка).
|
||||
|
||||
DBSCAN ідентифікує основні точки, граничні точки та точки шуму:
|
||||
- **Основна точка**: Точка з принаймні MinPts сусідами в межах відстані ε.
|
||||
- **Гранична точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів.
|
||||
- **Точка шуму**: Точка, яка не є ні основною, ні граничною.
|
||||
- **Основна Точка**: Точка з принаймні MinPts сусідами в межах відстані ε.
|
||||
- **Гранична Точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів.
|
||||
- **Точка Шуму**: Точка, яка не є ні основною, ні граничною точкою.
|
||||
|
||||
Кластеризація відбувається шляхом вибору невідвіданої основної точки, позначення її як нового кластеру, а потім рекурсивного додавання всіх точок, що досяжні за щільністю (основні точки та їх сусіди тощо). Граничні точки додаються до кластера сусідньої основної точки. Після розширення всіх досяжних точок DBSCAN переходить до іншої невідвіданої основної точки, щоб почати новий кластер. Точки, які не були досягнуті жодною основною точкою, залишаються позначеними як шум.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* DBSCAN корисний для виявлення аномалій у мережевому трафіку. Наприклад, нормальна активність користувачів може формувати один або кілька щільних кластерів у просторі ознак, тоді як нові атаки можуть з'являтися як розсіяні точки, які DBSCAN позначить як шум (викиди). Його використовували для кластеризації записів мережевого потоку, де він може виявляти сканування портів або трафік відмови в обслуговуванні як рідкісні регіони точок. Інша програма - групування варіантів шкідливого ПЗ: якщо більшість зразків кластеризуються за родинами, але кілька не підходять ніде, ці кілька можуть бути нульовими днями шкідливого ПЗ. Здатність позначати шум означає, що команди безпеки можуть зосередитися на розслідуванні цих викидів.
|
||||
> *Випадки використання в кібербезпеці:* DBSCAN корисний для виявлення аномалій у мережевому трафіку. Наприклад, нормальна активність користувачів може формувати один або кілька щільних кластерів у просторі ознак, тоді як нові атаки можуть з'являтися як розсіяні точки, які DBSCAN позначить як шум (викиди). Його використовували для кластеризації записів мережевого потоку, де він може виявляти сканування портів або трафік відмови в обслуговуванні як рідкісні регіони точок. Інша програма - групування варіантів шкідливого ПЗ: якщо більшість зразків кластеризуються за родинами, але кілька не підходять ніде, ці кілька можуть бути нульовими днями. Здатність позначати шум означає, що команди безпеки можуть зосередитися на розслідуванні цих викидів.
|
||||
|
||||
#### Припущення та обмеження
|
||||
#### Припущення та Обмеження
|
||||
|
||||
**Припущення та переваги:** DBSCAN не припускає сферичних кластерів - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який примушує їх до кластерів). Він добре працює, коли кластери мають приблизно рівномірну щільність.
|
||||
**Припущення та Сили:** DBSCAN не припускає кулясті кластери - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який змушує їх потрапляти в кластери). Він добре працює, коли кластери мають приблизно однорідну щільність.
|
||||
|
||||
**Обмеження:** Продуктивність DBSCAN залежить від вибору відповідних значень ε та MinPts. Він може мати труднощі з даними, які мають різну щільність - одне ε не може вмістити як щільні, так і рідкісні кластери. Якщо ε занадто мале, він позначає більшість точок як шум; занадто велике, і кластери можуть неправильно зливатися. Також DBSCAN може бути неефективним на дуже великих наборах даних (наївно $O(n^2)$, хоча просторове індексування може допомогти). У високорозмірних просторах ознак концепція "відстані в межах ε" може стати менш значущою (прокляття вимірності), і DBSCAN може вимагати ретельного налаштування параметрів або може не знайти інтуїтивні кластери. Незважаючи на це, розширення, такі як HDBSCAN, вирішують деякі проблеми (наприклад, різну щільність).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Кластеризація з шумом
|
||||
<summary>Приклад -- Кластеризація з Шумом
|
||||
</summary>
|
||||
```python
|
||||
from sklearn.cluster import DBSCAN
|
||||
@ -151,13 +149,13 @@ num_noise = np.sum(labels == -1)
|
||||
print(f"DBSCAN found {num_clusters} clusters and {num_noise} noise points")
|
||||
print("Cluster labels for first 10 points:", labels[:10])
|
||||
```
|
||||
У цьому фрагменті ми налаштували `eps` та `min_samples`, щоб відповідати масштабам наших даних (15.0 у одиницях ознак і вимагаючи 5 точок для формування кластера). DBSCAN має знайти 2 кластери (кластери нормального трафіку) і позначити 5 ін'єкованих викидів як шум. Ми виводимо кількість кластерів у порівнянні з шумовими точками, щоб це перевірити. У реальних умовах можна ітерувати по ε (використовуючи евристичний граф k-відстані для вибору ε) та MinPts (часто встановлюється приблизно на рівні розмірності даних + 1 як правило) для знаходження стабільних результатів кластеризації. Можливість явно позначати шум допомагає відокремити потенційні дані атак для подальшого аналізу.
|
||||
У цьому фрагменті ми налаштували `eps` та `min_samples`, щоб відповідати масштабам наших даних (15.0 у одиницях ознак і вимагаючи 5 точок для формування кластера). DBSCAN має знайти 2 кластери (кластери нормального трафіку) і позначити 5 ін'єкованих викидів як шум. Ми виводимо кількість кластерів у порівнянні з шумовими точками, щоб це перевірити. У реальних умовах можна ітерувати по ε (використовуючи евристичний графік k-відстані для вибору ε) та MinPts (часто встановлюється приблизно на рівні розмірності даних + 1 як правило) для знаходження стабільних результатів кластеризації. Можливість явно позначати шум допомагає відокремити потенційні дані атак для подальшого аналізу.
|
||||
|
||||
</details>
|
||||
|
||||
### Аналіз головних компонент (PCA)
|
||||
|
||||
PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову координатну систему так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожним. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму.
|
||||
PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову координатну систему так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожною з них. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму.
|
||||
|
||||
Зверніть увагу, що це корисно, якщо розміри набору даних містять **значні лінійні залежності або кореляції**.
|
||||
|
||||
@ -165,9 +163,9 @@ PCA працює, визначаючи головні компоненти да
|
||||
1. **Стандартизація**: Центруйте дані, віднімаючи середнє та масштабируючи до одиничної дисперсії.
|
||||
2. **Матриця коваріації**: Обчисліть матрицю коваріації стандартизованих даних, щоб зрозуміти взаємозв'язки між ознаками.
|
||||
3. **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори формують новий простір ознак.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть найкращі K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори формують новий простір ознак.
|
||||
5. **Перетворення даних**: Проєктуйте оригінальні дані на новий простір ознак, використовуючи вибрані головні компоненти.
|
||||
PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх суттєву структуру.
|
||||
PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх основну структуру.
|
||||
|
||||
#### Власні значення та власні вектори
|
||||
|
||||
@ -189,17 +187,17 @@ PCA широко використовується для візуалізаці
|
||||
- Зверніть увагу, що коваріація між двома змінними (пікселями в даному випадку) вказує на те, наскільки вони змінюються разом, тому ідея полягає в тому, щоб з'ясувати, які пікселі, як правило, збільшуються або зменшуються разом з лінійною залежністю.
|
||||
- Наприклад, якщо піксель 1 і піксель 2, як правило, збільшуються разом, коваріація між ними буде позитивною.
|
||||
- Матриця коваріації буде матрицею 10,000x10,000, де кожен елемент представляє коваріацію між двома пікселями.
|
||||
3. **Розв'язання рівняння власних значень**: Рівняння власних значень, яке потрібно розв'язати, є `C * v = λ * v`, де C - матриця коваріації, v - власний вектор, а λ - власне значення. Його можна розв'язати за допомогою методів, таких як:
|
||||
3. **Розв'язання рівняння власних значень**: Рівняння власних значень, яке потрібно розв'язати, - це `C * v = λ * v`, де C - матриця коваріації, v - власний вектор, а λ - власне значення. Його можна розв'язати за допомогою методів, таких як:
|
||||
- **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори.
|
||||
- **Декомпозиція сингулярних значень (SVD)**: Альтернативно, ви можете використовувати SVD для розкладання матриці даних на сингулярні значення та вектори, що також може дати головні компоненти.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори представляють напрямки максимальної дисперсії в даних.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть найкращі K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори представляють напрямки максимальної дисперсії в даних.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть відображати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надлишкові ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидкими.
|
||||
> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть відображати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надмірні ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидкими.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
PCA припускає, що **головні осі дисперсії є значущими** – це лінійний метод, тому він захоплює лінійні кореляції в даних. Це некероване, оскільки використовує лише коваріацію ознак. Переваги PCA включають зменшення шуму (компоненти з малою дисперсією часто відповідають шуму) та декореляцію ознак. Це обчислювально ефективно для помірно високих розмірностей і часто є корисним етапом попередньої обробки для інших алгоритмів (щоб пом'якшити прокляття розмірності). Одне з обмежень полягає в тому, що PCA обмежена лінійними зв'язками – вона не захоплює складну нелінійну структуру (тоді як автоенкодери або t-SNE можуть). Крім того, компоненти PCA можуть бути важкими для інтерпретації з точки зору оригінальних ознак (вони є комбінаціями оригінальних ознак). У кібербезпеці потрібно бути обережним: атака, яка викликає лише незначну зміну в ознаці з низькою дисперсією, може не з'явитися в топових ПК (оскільки PCA пріоритизує дисперсію, а не обов'язково "цікавість").
|
||||
PCA припускає, що **головні осі дисперсії є значущими** – це лінійний метод, тому він захоплює лінійні кореляції в даних. Це некероване навчання, оскільки воно використовує лише коваріацію ознак. Переваги PCA включають зменшення шуму (компоненти з малою дисперсією часто відповідають шуму) та декореляцію ознак. Це обчислювально ефективно для помірно високих розмірностей і часто є корисним етапом попередньої обробки для інших алгоритмів (щоб пом'якшити прокляття розмірності). Одне з обмежень полягає в тому, що PCA обмежена лінійними зв'язками – вона не захоплює складну нелінійну структуру (тоді як автоенкодери або t-SNE можуть). Крім того, компоненти PCA можуть бути важкими для інтерпретації з точки зору оригінальних ознак (вони є комбінаціями оригінальних ознак). У кібербезпеці потрібно бути обережним: атака, яка викликає лише незначну зміну в ознаці з низькою дисперсією, може не з'явитися в топових ПК (оскільки PCA пріоритизує дисперсію, а не обов'язково "цікавість").
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Зменшення розмірності мережевих даних
|
||||
@ -225,7 +223,7 @@ print("Original shape:", data_4d.shape, "Reduced shape:", data_2d.shape)
|
||||
# We can examine a few transformed points
|
||||
print("First 5 data points in PCA space:\n", data_2d[:5])
|
||||
```
|
||||
Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вивід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери відрізняються. Якщо аномалія була присутня, її можна було б побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхідні дані для інших алгоритмів.
|
||||
Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вивід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери відрізняються. Якщо аномалія була присутня, її можна було б побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхід для інших алгоритмів.
|
||||
|
||||
</details>
|
||||
|
||||
@ -256,11 +254,11 @@ r_{nk} = \frac{\pi_k \mathcal{N}(x_n | \mu_k, \Sigma_k)}{\sum_{j=1}^{K} \pi_j \m
|
||||
Результатом є набір Гауссових розподілів, які колективно моделюють загальний розподіл даних. Ми можемо використовувати підганяний GMM для кластеризації, призначаючи кожну точку Гауссовій з найвищою ймовірністю, або зберігати ймовірності для невизначеності. Також можна оцінити ймовірність нових точок, щоб перевірити, чи підходять вони до моделі (корисно для виявлення аномалій).
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних ознаках мережевого трафіку; атакуюче з'єднання, яке не нагадує жоден з вивчених кластерів, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де ознаки кожного профілю можуть бути подібні до Гауссових, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні ознаки електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові кампанії фішингу можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші.
|
||||
> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних ознаках мережевого трафіку; атакуюче з'єднання, яке не схоже на жоден навчений кластер, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де ознаки кожного профілю можуть бути схожими на Гауссові, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні ознаки електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові кампанії фішингу можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
GMM є узагальненням K-Means, яке включає коваріацію, тому кластери можуть бути еліпсоїдними (не лише сферичними). Воно обробляє кластери різних розмірів і форм, якщо коваріація повна. М'яка кластеризація є перевагою, коли межі кластерів нечіткі – наприклад, у кібербезпеці подія може мати риси кількох типів атак; GMM може відобразити цю невизначеність з ймовірностями. GMM також надає ймовірнісну оцінку щільності даних, корисну для виявлення викидів (точок з низькою ймовірністю під усіма компонентами суміші).
|
||||
GMM є узагальненням K-Means, яке включає коваріацію, тому кластери можуть бути еліпсоїдними (не лише сферичними). Він обробляє кластери різних розмірів і форм, якщо коваріація повна. М'яка кластеризація є перевагою, коли межі кластерів є нечіткими – наприклад, у кібербезпеці подія може мати риси кількох типів атак; GMM може відобразити цю невизначеність з ймовірностями. GMM також надає ймовірнісну оцінку щільності даних, корисну для виявлення викидів (точок з низькою ймовірністю під усіма компонентами суміші).
|
||||
|
||||
З іншого боку, GMM вимагає вказати кількість компонентів K (хоча можна використовувати критерії, такі як BIC/AIC, щоб вибрати його). EM іноді може повільно сходитися або до локального оптимуму, тому ініціалізація є важливою (часто EM запускається кілька разів). Якщо дані насправді не слідують змішуванню Гауссів, модель може бути поганою. Існує також ризик, що один Гаусс зменшиться, щоб покрити лише викид (хоча регуляризація або мінімальні межі коваріації можуть це пом'якшити).
|
||||
|
||||
@ -307,7 +305,7 @@ print("Log-likelihood of sample attack under GMM:", log_likelihood)
|
||||
<summary>Приклад -- Виявлення викидів у мережевих журналах
|
||||
</summary>
|
||||
|
||||
Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атак) і запустимо Isolation Forest, щоб подивитися, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації).
|
||||
Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атаки) і запустимо Isolation Forest, щоб перевірити, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації).
|
||||
```python
|
||||
from sklearn.ensemble import IsolationForest
|
||||
|
||||
@ -327,26 +325,26 @@ print("Example anomaly scores (lower means more anomalous):", anomaly_scores[:5]
|
||||
|
||||
Вихідні дані показують прогнозовані мітки для перших 20 точок (де -1 вказує на аномалію). Ми також друкуємо, скільки аномалій було виявлено в цілому, і деякі приклади оцінок аномалій. Ми очікуємо, що приблизно 18 з 120 точок будуть позначені -1 (оскільки забрудненість становила 15%). Якщо наші 20 атакуючих зразків дійсно є найбільш віддаленими, більшість з них повинні з'явитися в цих прогнозах -1. Оцінка аномалії (функція рішення Isolation Forest) є вищою для нормальних точок і нижчою (більш негативною) для аномалій – ми друкуємо кілька значень, щоб побачити розділення. На практиці можна відсортувати дані за оцінкою, щоб побачити найкращі викиди та дослідити їх. Isolation Forest таким чином забезпечує ефективний спосіб перегляду великих не маркованих даних безпеки та виділення найбільш нерегулярних випадків для людського аналізу або подальшого автоматизованого розгляду.
|
||||
|
||||
### t-SNE (t-Розподілене Стохастичне Вкладання Сусідів)
|
||||
### t-SNE (t-Розподілене Стохастичне Вбудовування Сусідів)
|
||||
|
||||
**t-SNE** є нелінійною технікою зменшення розмірності, спеціально розробленою для візуалізації високорозмірних даних у 2 або 3 вимірах. Вона перетворює подібності між точками даних у спільні ймовірнісні розподіли та намагається зберегти структуру локальних сусідств у проекції з нижчою розмірністю. Простими словами, t-SNE розміщує точки в (скажімо) 2D так, що подібні точки (в оригінальному просторі) опиняються близько одна до одної, а неподібні точки – далеко одна від одної з високою ймовірністю.
|
||||
**t-SNE** є нелінійною технікою зменшення розмірності, спеціально розробленою для візуалізації високорозмірних даних у 2 або 3 вимірах. Вона перетворює подібності між точками даних у спільні ймовірнісні розподіли та намагається зберегти структуру локальних сусідств у проекції з нижчою розмірністю. Простими словами, t-SNE розміщує точки в (скажімо) 2D так, що подібні точки (в оригінальному просторі) виявляються близько одна до одної, а неподібні точки виявляються далеко одна від одної з високою ймовірністю.
|
||||
|
||||
Алгоритм має два основні етапи:
|
||||
|
||||
1. **Обчислення парних афінностей у високорозмірному просторі:** Для кожної пари точок t-SNE обчислює ймовірність того, що одна з точок буде обрана як сусід (це робиться шляхом центрування гауссового розподілу на кожній точці та вимірювання відстаней – параметр перплексії впливає на ефективну кількість сусідів, які розглядаються).
|
||||
1. **Обчислення парних афінностей у високорозмірному просторі:** Для кожної пари точок t-SNE обчислює ймовірність того, що одна з точок буде обрана сусідом (це робиться шляхом центрування гауссового розподілу на кожній точці та вимірювання відстаней – параметр перплексії впливає на ефективну кількість сусідів, які розглядаються).
|
||||
2. **Обчислення парних афінностей у низькорозмірному (наприклад, 2D) просторі:** Спочатку точки розміщуються випадковим чином у 2D. t-SNE визначає подібну ймовірність для відстаней у цій карті (використовуючи ядро розподілу Стюдента, яке має важчі хвости, ніж гауссовий, щоб дозволити віддаленим точкам більше свободи).
|
||||
3. **Градієнтний спуск:** t-SNE потім ітеративно переміщує точки в 2D, щоб мінімізувати дивергенцію Кульбака-Лейблера (KL) між високорозмірним розподілом афінностей і низькорозмірним. Це призводить до того, що 2D розташування відображає структуру високої розмірності якомога більше – точки, які були близько в оригінальному просторі, будуть притягувати одна одну, а ті, що далеко, будуть відштовхуватися, поки не буде знайдено баланс.
|
||||
|
||||
Результат часто є візуально значущим розсіяним графіком, де кластери в даних стають очевидними.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для людського аналізу**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D графіка. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних у цьому графіку, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка в іншому випадку була б незрозумілою.
|
||||
> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для людського аналізу**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D графіка. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних на цьому графіку, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка в іншому випадку була б незрозумілою.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
t-SNE чудово підходить для візуального виявлення патернів. Він може виявити кластери, підкластери та викиди, які інші лінійні методи (такі як PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування.
|
||||
t-SNE чудово підходить для візуального виявлення патернів. Він може виявляти кластери, підкластери та викиди, які інші лінійні методи (як-от PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування.
|
||||
|
||||
Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихід – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Графіки t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть здаватися штучно добре відокремленими). Крім того, t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю).
|
||||
Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихідні дані – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Графіки t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть здаватися штучно добре відокремленими). Крім того, t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Візуалізація мережевих з'єднань
|
||||
@ -435,7 +433,7 @@ plt.legend()
|
||||
plt.tight_layout()
|
||||
plt.show()
|
||||
```
|
||||
Тут ми об'єднали наш попередній 4D нормальний набір даних з невеликою кількістю екстремальних викидів (викиди мають одну ознаку (“тривалість”), встановлену дуже високо тощо, щоб змоделювати дивний шаблон). Ми запускаємо t-SNE з типовою заплутаністю 30. Вихідні дані data_2d мають форму (1505, 2). Ми насправді не будемо малювати в цьому тексті, але якби ми це зробили, ми б очікували побачити, можливо, три щільні кластери, що відповідають 3 нормальним кластерам, а 5 викидів з'являються як ізольовані точки далеко від цих кластерів. У інтерактивному робочому процесі ми могли б пофарбувати точки за їхніми мітками (нормальний або який кластер, проти аномалії), щоб перевірити цю структуру. Навіть без міток аналітик може помітити ці 5 точок, що сидять у порожньому просторі на 2D графіку, і позначити їх. Це показує, як t-SNE може бути потужним допоміжним засобом для візуального виявлення аномалій та перевірки кластерів у даних кібербезпеки, доповнюючи автоматизовані алгоритми вище.
|
||||
Тут ми об'єднали наш попередній 4D нормальний набір даних з кількома екстремальними викидами (викиди мають одну ознаку (“тривалість”), встановлену дуже високо тощо, щоб змоделювати дивний шаблон). Ми запускаємо t-SNE з типовою заплутаністю 30. Вихідні дані data_2d мають форму (1505, 2). Ми насправді не будемо малювати в цьому тексті, але якби ми це зробили, ми б очікували побачити, можливо, три щільні кластери, що відповідають 3 нормальним кластерам, а 5 викидів з'являються як ізольовані точки далеко від цих кластерів. У інтерактивному робочому процесі ми могли б пофарбувати точки за їхніми мітками (нормальні або який кластер, проти аномалії), щоб перевірити цю структуру. Навіть без міток аналітик може помітити ці 5 точок, що сидять у порожньому просторі на 2D графіку, і позначити їх. Це показує, як t-SNE може бути потужним допоміжним засобом для візуального виявлення аномалій та перевірки кластерів у даних кібербезпеки, доповнюючи автоматизовані алгоритми вище.
|
||||
|
||||
</details>
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user