From afd6a52658e8b0d9ce4407bee05f5f0663007066 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 8 Jun 2025 00:50:41 +0000 Subject: [PATCH] Translated ['src/AI/AI-Unsupervised-Learning-Algorithms.md'] to uk --- ...=> AI-Unsupervised-Learning-Algorithms.md} | 82 +++++++++---------- 1 file changed, 41 insertions(+), 41 deletions(-) rename src/AI/{AI-Unsupervised-Learning-algorithms.md => AI-Unsupervised-Learning-Algorithms.md} (72%) diff --git a/src/AI/AI-Unsupervised-Learning-algorithms.md b/src/AI/AI-Unsupervised-Learning-Algorithms.md similarity index 72% rename from src/AI/AI-Unsupervised-Learning-algorithms.md rename to src/AI/AI-Unsupervised-Learning-Algorithms.md index 9176c65c9..aeaacf2aa 100644 --- a/src/AI/AI-Unsupervised-Learning-algorithms.md +++ b/src/AI/AI-Unsupervised-Learning-Algorithms.md @@ -4,11 +4,11 @@ ## Неконтрольоване навчання -Неконтрольоване навчання — це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для завдань, таких як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики. +Неконтрольоване навчання - це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для завдань, таких як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики. ### Кластеризація K-Середніх -K-Середніх — це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином: +K-Середніх - це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином: 1. **Ініціалізація**: Виберіть K початкових центрів кластерів (центроїдів), часто випадковим чином або за допомогою більш розумних методів, таких як k-means++ 2. **Призначення**: Призначте кожну точку даних найближчому центроїду на основі метрики відстані (наприклад, евклідова відстань). 3. **Оновлення**: Перерахуньте центроїди, взявши середнє всіх точок даних, призначених кожному кластеру. @@ -20,12 +20,12 @@ K-Середніх — це алгоритм кластеризації на о #### Вибір K Кількість кластерів (K) є гіперпараметром, який потрібно визначити перед запуском алгоритму. Техніки, такі як Метод Ліктя або Оцінка Силуету, можуть допомогти визначити відповідне значення для K, оцінюючи продуктивність кластеризації: -- **Метод Ліктя**: Нанесіть на графік суму квадратів відстаней від кожної точки до її призначеного центроїду кластера як функцію K. Шукайте точку "ліктя", де швидкість зменшення різко змінюється, що вказує на підходящу кількість кластерів. +- **Метод Ліктя**: Нанесіть на графік суму квадратів відстаней від кожної точки до її призначеного центроїду кластера як функцію K. Шукайте "ліктьову" точку, де швидкість зменшення різко змінюється, що вказує на підходящу кількість кластерів. - **Оцінка Силуету**: Обчисліть оцінку силуету для різних значень K. Вища оцінка силуету вказує на краще визначені кластери. #### Припущення та обмеження -K-Середніх припускає, що **кластери є сферичними та однакового розміру**, що може не відповідати дійсності для всіх наборів даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середніх не підходить для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні, щоб забезпечити рівний внесок усіх ознак у обчислення відстаней. +K-Середніх припускає, що **кластери є сферичними та однакового розміру**, що може не відповідати всім наборам даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середніх не підходить для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні, щоб забезпечити рівний внесок усіх ознак у обчислення відстані.
Приклад -- Кластеризація мережевих подій @@ -63,19 +63,19 @@ print(f" Cluster {idx}: {center}") Ієрархічна кластеризація будує ієрархію кластерів, використовуючи або підхід знизу-вгору (агломеративний), або зверху-вниз (дискретний): -1. **Агломеративний (Знизу-вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки. -2. **Дискретний (Зверху-вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки. +1. **Агломеративний (знизу-вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки. +2. **Дискретний (зверху-вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки. -Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань найближчих точок між двома кластерами), повний зв'язок (відстань найдальших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму отриманих кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів. +Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань найближчих точок між двома кластерами), повний зв'язок (відстань найвіддаленіших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму отриманих кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів. Ієрархічна кластеризація виробляє дендрограму, деревоподібну структуру, яка показує відносини між кластерами на різних рівнях деталізації. Дендрограму можна перерізати на бажаному рівні, щоб отримати певну кількість кластерів. > [!TIP] -> *Випадки використання в кібербезпеці:* Ієрархічна кластеризація може організувати події або сутності в дерево для виявлення відносин. Наприклад, в аналізі шкідливого ПЗ агломеративна кластеризація може групувати зразки за поведінковою схожістю, виявляючи ієрархію сімей і варіантів шкідливого ПЗ. У мережевій безпеці можна кластеризувати потоки IP-трафіку та використовувати дендрограму для перегляду підгруп трафіку (наприклад, за протоколом, а потім за поведінкою). Оскільки вам не потрібно заздалегідь вибирати K, це корисно при дослідженні нових даних, для яких кількість категорій атак невідома. +> *Випадки використання в кібербезпеці:* Ієрархічна кластеризація може організувати події або сутності в дерево для виявлення відносин. Наприклад, в аналізі шкідливого ПЗ агломеративна кластеризація може групувати зразки за поведінковою схожістю, виявляючи ієрархію сімей і варіантів шкідливого ПЗ. У мережевій безпеці можна кластеризувати IP-трафік і використовувати дендрограму для перегляду підгруп трафіку (наприклад, за протоколом, а потім за поведінкою). Оскільки вам не потрібно заздалегідь вибирати K, це корисно при дослідженні нових даних, для яких кількість категорій атак невідома. #### Припущення та обмеження -Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за сімейними підгрупами). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який поріг є доречним для виявлення значущих кластерів. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не можна скасувати, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди). +Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за підгрупами сімей). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який рівень відсікати, щоб виявити значущі кластери. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не можна скасувати, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди).
Приклад -- Агломеративна кластеризація подій @@ -103,30 +103,30 @@ print(f"Cluster sizes for 3 clusters: {np.bincount(clusters_3)}") ### DBSCAN (Density-Based Spatial Clustering of Applications with Noise) -DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та несферичними формами. +DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та некулястими формами. DBSCAN працює, визначаючи два параметри: - **Epsilon (ε)**: Максимальна відстань між двома точками, щоб вважатися частиною одного кластеру. - **MinPts**: Мінімальна кількість точок, необхідна для формування щільного регіону (основна точка). DBSCAN ідентифікує основні точки, граничні точки та точки шуму: -- **Основна точка**: Точка з принаймні MinPts сусідами в межах відстані ε. -- **Гранична точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів. -- **Точка шуму**: Точка, яка не є ні основною, ні граничною. +- **Основна Точка**: Точка з принаймні MinPts сусідами в межах відстані ε. +- **Гранична Точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів. +- **Точка Шуму**: Точка, яка не є ні основною, ні граничною. Кластеризація відбувається шляхом вибору невідвіданої основної точки, позначення її як нового кластеру, а потім рекурсивного додавання всіх точок, що досяжні за щільністю (основні точки та їх сусіди тощо). Граничні точки додаються до кластеру сусідньої основної точки. Після розширення всіх досяжних точок DBSCAN переходить до іншої невідвіданої основної точки, щоб почати новий кластер. Точки, які не були досягнуті жодною основною точкою, залишаються позначеними як шум. > [!TIP] > *Випадки використання в кібербезпеці:* DBSCAN корисний для виявлення аномалій у мережевому трафіку. Наприклад, нормальна активність користувачів може формувати один або кілька щільних кластерів у просторі ознак, тоді як нові атаки можуть з'являтися як розсіяні точки, які DBSCAN позначить як шум (викиди). Його використовували для кластеризації записів мережевого потоку, де він може виявляти сканування портів або трафік відмови в обслуговуванні як рідкісні регіони точок. Інша програма - групування варіантів шкідливого ПЗ: якщо більшість зразків кластеризуються за родинами, але кілька не підходять ніде, ці кілька можуть бути нульовими днями. Здатність позначати шум означає, що команди безпеки можуть зосередитися на розслідуванні цих викидів. -#### Припущення та обмеження +#### Припущення та Обмеження -**Припущення та переваги:** DBSCAN не припускає сферичні кластери - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який примушує їх до кластерів). Він добре працює, коли кластери мають приблизно рівномірну щільність. +**Припущення та Сили:** DBSCAN не припускає кулясті кластери - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який змушує їх потрапляти в кластери). Він добре працює, коли кластери мають приблизно однорідну щільність. -**Обмеження:** Продуктивність DBSCAN залежить від вибору відповідних значень ε та MinPts. Він може мати труднощі з даними, які мають різну щільність - одне ε не може вмістити як щільні, так і рідкісні кластери. Якщо ε занадто мале, він позначає більшість точок як шум; занадто велике, і кластери можуть неправильно зливатися. Також DBSCAN може бути неефективним на дуже великих наборах даних (наївно $O(n^2)$, хоча просторове індексування може допомогти). У високорозмірних просторах ознак концепція "відстані в межах ε" може стати менш значущою (прокляття вимірності), і DBSCAN може вимагати ретельного налаштування параметрів або може не знайти інтуїтивні кластери. Незважаючи на це, розширення, такі як HDBSCAN, вирішують деякі проблеми (наприклад, різну щільність). +**Обмеження:** Продуктивність DBSCAN залежить від вибору відповідних значень ε та MinPts. Він може мати труднощі з даними, які мають різну щільність - одне ε не може вмістити як щільні, так і рідкісні кластери. Якщо ε занадто мале, він позначає більшість точок як шум; занадто велике, і кластери можуть неправильно зливатися. Крім того, DBSCAN може бути неефективним на дуже великих наборах даних (наївно $O(n^2)$, хоча просторове індексування може допомогти). У високорозмірних просторах ознак концепція "відстані в межах ε" може стати менш значущою (прокляття вимірності), і DBSCAN може вимагати ретельного налаштування параметрів або може не знайти інтуїтивні кластери. Незважаючи на це, розширення, такі як HDBSCAN, вирішують деякі проблеми (наприклад, різну щільність).
-Приклад -- Кластеризація з шумом +Приклад -- Кластеризація з Шумом ```python from sklearn.cluster import DBSCAN @@ -155,7 +155,7 @@ print("Cluster labels for first 10 points:", labels[:10]) ### Аналіз головних компонент (PCA) -PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову систему координат так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожною з них. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму. +PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову систему координат так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожним. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму. Зверніть увагу, що це корисно, якщо розміри набору даних містять **значні лінійні залежності або кореляції**. @@ -165,7 +165,7 @@ PCA працює, визначаючи головні компоненти да 3. **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори. 4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори формують новий простір ознак. 5. **Перетворення даних**: Проєктуйте оригінальні дані на новий простір ознак, використовуючи вибрані головні компоненти. -PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх суттєву структуру. +PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх основну структуру. #### Власні значення та власні вектори @@ -173,8 +173,8 @@ PCA широко використовується для візуалізаці Уявіть, що A - це квадратна матриця, а v - ненульовий вектор, такий що: `A * v = λ * v` де: -- A - квадратна матриця, наприклад, [ [1, 2], [2, 1]] (наприклад, матриця коваріації) -- v - власний вектор (наприклад, [1, 1]) +- A - це квадратна матриця, наприклад, [ [1, 2], [2, 1]] (наприклад, матриця коваріації) +- v - це власний вектор (наприклад, [1, 1]) Тоді, `A * v = [ [1, 2], [2, 1]] * [1, 1] = [3, 3]`, що буде власним значенням λ, помноженим на власний вектор v, отже, власне значення λ = 3. @@ -187,13 +187,13 @@ PCA широко використовується для візуалізаці - Зверніть увагу, що коваріація між двома змінними (пікселями в даному випадку) вказує на те, наскільки вони змінюються разом, тому ідея полягає в тому, щоб з'ясувати, які пікселі, як правило, збільшуються або зменшуються разом з лінійною залежністю. - Наприклад, якщо піксель 1 і піксель 2, як правило, збільшуються разом, коваріація між ними буде позитивною. - Матриця коваріації буде матрицею 10,000x10,000, де кожен елемент представляє коваріацію між двома пікселями. -3. **Розв'язання рівняння власних значень**: Рівняння власних значень, яке потрібно розв'язати, - це `C * v = λ * v`, де C - матриця коваріації, v - власний вектор, а λ - власне значення. Його можна розв'язати за допомогою методів, таких як: +3. **Розв'язання рівняння власних значень**: Рівняння власних значень, яке потрібно розв'язати, є `C * v = λ * v`, де C - це матриця коваріації, v - це власний вектор, а λ - це власне значення. Його можна розв'язати за допомогою методів, таких як: - **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори. -- **Декомпозиція сингулярних значень (SVD)**: Альтернативно, ви можете використовувати SVD для розкладання матриці даних на сингулярні значення та вектори, що також може дати головні компоненти. +- **Сингулярна декомпозиція (SVD)**: Альтернативно, ви можете використовувати SVD для розкладання матриці даних на сингулярні значення та вектори, що також може дати головні компоненти. 4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори представляють напрямки максимальної дисперсії в даних. > [!TIP] -> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть відображати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надлишкові ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидшими. +> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть малювати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надмірні ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидшими. #### Припущення та обмеження @@ -223,7 +223,7 @@ print("Original shape:", data_4d.shape, "Reduced shape:", data_2d.shape) # We can examine a few transformed points print("First 5 data points in PCA space:\n", data_2d[:5]) ``` -Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вивід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери відрізняються. Якщо аномалія була присутня, її можна було б побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхідні дані для інших алгоритмів. +Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вихід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери розрізняються. Якщо аномалія присутня, її можна побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхід для інших алгоритмів.
@@ -254,13 +254,13 @@ r_{nk} = \frac{\pi_k \mathcal{N}(x_n | \mu_k, \Sigma_k)}{\sum_{j=1}^{K} \pi_j \m Результатом є набір Гауссових розподілів, які колективно моделюють загальний розподіл даних. Ми можемо використовувати підганяний GMM для кластеризації, призначаючи кожну точку Гауссу з найвищою ймовірністю, або зберігати ймовірності для невизначеності. Також можна оцінити ймовірність нових точок, щоб перевірити, чи підходять вони до моделі (корисно для виявлення аномалій). > [!TIP] -> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних ознаках мережевого трафіку; атакуюче з'єднання, яке не нагадує жоден з навчений кластерів, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де ознаки кожного профілю можуть бути подібні до Гауссових, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні ознаки електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові кампанії фішингу можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші. +> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних характеристиках мережевого трафіку; атакуюче з'єднання, яке не нагадує жоден з вивчених кластерів, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де характеристики кожного профілю можуть бути подібні до Гауссових, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні характеристики електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові фішингові кампанії можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші. #### Припущення та обмеження GMM є узагальненням K-Means, яке включає коваріацію, тому кластери можуть бути еліпсоїдними (не лише сферичними). Він обробляє кластери різних розмірів і форм, якщо коваріація повна. М'яка кластеризація є перевагою, коли межі кластерів є нечіткими – наприклад, у кібербезпеці подія може мати риси кількох типів атак; GMM може відобразити цю невизначеність з ймовірностями. GMM також надає ймовірнісну оцінку щільності даних, корисну для виявлення викидів (точок з низькою ймовірністю під усіма компонентами суміші). -З іншого боку, GMM вимагає вказати кількість компонентів K (хоча можна використовувати критерії, такі як BIC/AIC, щоб вибрати його). EM іноді може повільно сходитися або до локального оптимуму, тому ініціалізація є важливою (часто EM запускається кілька разів). Якщо дані насправді не слідують змішуванню Гауссів, модель може бути поганою. Існує також ризик, що один Гаусс зменшиться, щоб покрити лише викид (хоча регуляризація або мінімальні межі коваріації можуть це пом'якшити). +З іншого боку, GMM вимагає вказати кількість компонентів K (хоча можна використовувати критерії, такі як BIC/AIC для вибору). EM іноді може повільно сходитися або до локального оптимуму, тому ініціалізація є важливою (часто EM запускається кілька разів). Якщо дані насправді не слідують змішуванню Гауссів, модель може бути поганою. Існує також ризик, що один Гаусс зменшиться, щоб покрити лише викид (хоча регуляризація або мінімальні межі коваріації можуть це пом'якшити).
@@ -284,28 +284,28 @@ log_likelihood = gmm.score_samples(sample_attack) print("Cluster membership probabilities for sample attack:", probs) print("Log-likelihood of sample attack under GMM:", log_likelihood) ``` -У цьому коді ми навчаємо GMM з 3 гауссіанами на нормальному трафіку (припускаючи, що ми знаємо 3 профілі легітимного трафіку). Середні значення та коваріації, які виводяться, описують ці кластери (наприклад, одне середнє може бути близько [50,500], що відповідає центру одного з кластерів тощо). Потім ми тестуємо підозріле з'єднання [duration=200, bytes=800]. Функція predict_proba дає ймовірність того, що ця точка належить до кожного з 3 кластерів – ми очікуємо, що ці ймовірності будуть дуже низькими або сильно перекошеними, оскільки [200,800] знаходиться далеко від нормальних кластерів. Загальний score_samples (лог-правдоподібність) виводиться; дуже низьке значення вказує на те, що точка не підходить моделі, позначаючи її як аномалію. На практиці можна встановити поріг на лог-правдоподібність (або на максимальну ймовірність), щоб вирішити, чи є точка достатньо малоймовірною, щоб вважати її шкідливою. Таким чином, GMM забезпечує принциповий спосіб виявлення аномалій і також дає м'які кластери, які визнають невизначеність. +У цьому коді ми навчаємо GMM з 3 гауссіанами на нормальному трафіку (припускаючи, що ми знаємо 3 профілі легітимного трафіку). Середні значення та коваріації, що виводяться, описують ці кластери (наприклад, одне середнє може бути близько [50,500], що відповідає центру одного кластера тощо). Потім ми тестуємо підозріле з'єднання [duration=200, bytes=800]. Функція predict_proba дає ймовірність того, що ця точка належить до кожного з 3 кластерів – ми очікуємо, що ці ймовірності будуть дуже низькими або сильно перекошеними, оскільки [200,800] знаходиться далеко від нормальних кластерів. Загальний score_samples (лог-правдоподібність) виводиться; дуже низьке значення вказує на те, що точка не підходить моделі, позначаючи її як аномалію. На практиці можна встановити поріг на лог-правдоподібність (або на максимальну ймовірність), щоб вирішити, чи є точка достатньо малоймовірною, щоб вважатися шкідливою. Таким чином, GMM забезпечує принциповий спосіб виявлення аномалій і також дає м'які кластери, які визнають невизначеність. ### Isolation Forest **Isolation Forest** – це ансамблевий алгоритм виявлення аномалій, заснований на ідеї випадкового ізолювання точок. Принцип полягає в тому, що аномалій мало і вони відрізняються, тому їх легше ізолювати, ніж нормальні точки. Isolation Forest будує багато бінарних дерев ізоляції (випадкових дерев рішень), які випадковим чином розподіляють дані. На кожному вузлі дерева вибирається випадкова ознака, і вибирається випадкове значення розподілу між мінімумом і максимумом цієї ознаки для даних у цьому вузлі. Це розділення ділить дані на дві гілки. Дерево росте, поки кожна точка не буде ізольована у своєму власному листі або не буде досягнута максимальна висота дерева. -Виявлення аномалій виконується шляхом спостереження за довжиною шляху кожної точки в цих випадкових деревах – кількість розділень, необхідних для ізоляції точки. Інтуїтивно, аномалії (викиди) зазвичай ізолюються швидше, оскільки випадкове розділення з більшою ймовірністю відокремлює викид (який знаходиться в рідкісному регіоні), ніж нормальну точку в щільному кластері. Isolation Forest обчислює бал аномалії на основі середньої довжини шляху по всіх деревах: коротший середній шлях → більш аномальний. Бали зазвичай нормалізуються до [0,1], де 1 означає дуже ймовірну аномалію. +Виявлення аномалій виконується шляхом спостереження за довжиною шляху кожної точки в цих випадкових деревах – кількість розділень, необхідних для ізоляції точки. Інтуїтивно, аномалії (викиди) зазвичай ізолюються швидше, оскільки випадкове розділення з більшою ймовірністю відокремить викид (який знаходиться в рідкісному регіоні), ніж нормальну точку в щільному кластері. Isolation Forest обчислює бал аномалії на основі середньої довжини шляху по всіх деревах: коротший середній шлях → більш аномальний. Бали зазвичай нормалізуються до [0,1], де 1 означає дуже ймовірну аномалію. > [!TIP] -> *Випадки використання в кібербезпеці:* Isolation Forests успішно використовувалися в системах виявлення вторгнень та виявлення шахрайства. Наприклад, навчіть Isolation Forest на журналах мережевого трафіку, які в основному містять нормальну поведінку; ліс створить короткі шляхи для дивного трафіку (як-от IP, що використовує невідомий порт або незвичний шаблон розміру пакета), позначаючи його для перевірки. Оскільки він не вимагає мічених атак, він підходить для виявлення невідомих типів атак. Його також можна використовувати на даних входу користувачів для виявлення захоплень облікових записів (аномальні часи або місця входу швидко ізолюються). У одному випадку використання Isolation Forest може захистити підприємство, моніторячи системні метрики та генеруючи сповіщення, коли комбінація метрик (ЦП, мережа, зміни файлів) виглядає дуже відмінно (короткі шляхи ізоляції) від історичних шаблонів. +> *Випадки використання в кібербезпеці:* Isolation Forests успішно використовувалися в системах виявлення вторгнень та виявлення шахрайства. Наприклад, навчіть Isolation Forest на журналах мережевого трафіку, які в основному містять нормальну поведінку; ліс створить короткі шляхи для дивного трафіку (як IP, що використовує невідомий порт або незвичний шаблон розміру пакета), позначаючи його для перевірки. Оскільки він не вимагає мічених атак, він підходить для виявлення невідомих типів атак. Його також можна використовувати на даних входу користувачів для виявлення захоплень облікових записів (аномальні часи або місця входу швидко ізолюються). У одному випадку використання Isolation Forest може захистити підприємство, моніторячи системні метрики та генеруючи сповіщення, коли комбінація метрик (ЦП, мережа, зміни файлів) виглядає дуже відмінно (короткі шляхи ізоляції) від історичних шаблонів. #### Припущення та обмеження **Переваги**: Isolation Forest не вимагає припущення про розподіл; він безпосередньо націлений на ізоляцію. Він ефективний для даних з високою розмірністю та великих наборів даних (лінійна складність $O(n\log n)$ для побудови лісу), оскільки кожне дерево ізолює точки лише з підмножини ознак і розділень. Він зазвичай добре обробляє числові ознаки і може бути швидшим за методи, засновані на відстані, які можуть мати $O(n^2)$. Він також автоматично надає бал аномалії, тому ви можете встановити поріг для сповіщень (або використовувати параметр забруднення, щоб автоматично вирішити поріг на основі очікуваної частки аномалій). -**Обмеження**: Через свою випадкову природу результати можуть трохи варіюватися між запусками (хоча з достатньою кількістю дерев це незначно). Якщо дані мають багато нерелевантних ознак або якщо аномалії не сильно відрізняються в жодній ознаці, ізоляція може бути неефективною (випадкові розділення можуть ізолювати нормальні точки випадково – однак усереднення багатьох дерев зменшує це). Крім того, Isolation Forest зазвичай припускає, що аномалії є невеликою меншістю (що зазвичай вірно в сценаріях кібербезпеки). +**Обмеження**: Через свою випадкову природу результати можуть трохи варіюватися між запусками (хоча з достатньою кількістю дерев це незначно). Якщо дані мають багато нерелевантних ознак або якщо аномалії не сильно відрізняються в жодній ознаці, ізоляція може бути неефективною (випадкові розділення можуть ізолювати нормальні точки випадково – однак усереднення багатьох дерев пом'якшує це). Крім того, Isolation Forest зазвичай припускає, що аномалії є невеликою меншістю (що зазвичай вірно в сценаріях кібербезпеки).
Приклад -- Виявлення викидів у мережевих журналах -Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атак) і запустимо Isolation Forest, щоб перевірити, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації). +Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атаки) і запустимо Isolation Forest, щоб перевірити, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації). ```python from sklearn.ensemble import IsolationForest @@ -321,30 +321,30 @@ print("Isolation Forest predicted labels (first 20):", preds[:20]) print("Number of anomalies detected:", np.sum(preds == -1)) print("Example anomaly scores (lower means more anomalous):", anomaly_scores[:5]) ``` -У цьому коді ми створюємо `IsolationForest` з 100 деревами та встановлюємо `contamination=0.15` (що означає, що ми очікуємо близько 15% аномалій; модель встановить свій поріг оцінки так, щоб ~15% точок були позначені). Ми навчаємо його на `X_test_if`, який містить суміш нормальних і атакуючих точок (зауважте: зазвичай ви б навчали на навчальних даних, а потім використовували б прогноз на нових даних, але тут для ілюстрації ми навчаємо і прогнозуємо на одному й тому ж наборі, щоб безпосередньо спостерігати результати). +У цьому коді ми інстанціюємо `IsolationForest` з 100 деревами та встановлюємо `contamination=0.15` (що означає, що ми очікуємо близько 15% аномалій; модель встановить свій поріг оцінки так, щоб ~15% точок були позначені). Ми навчаємо його на `X_test_if`, який містить суміш нормальних і атакуючих точок (зауважте: зазвичай ви б навчали на навчальних даних, а потім використовували б прогноз на нових даних, але тут для ілюстрації ми навчаємо і прогнозуємо на одному й тому ж наборі, щоб безпосередньо спостерігати результати). -Вихідні дані показують прогнозовані мітки для перших 20 точок (де -1 вказує на аномалію). Ми також друкуємо, скільки аномалій було виявлено в цілому, і деякі приклади оцінок аномалій. Ми очікуємо, що приблизно 18 з 120 точок будуть позначені -1 (оскільки забрудненість становила 15%). Якщо наші 20 атакуючих зразків дійсно є найбільш віддаленими, більшість з них повинні з'явитися в цих прогнозах -1. Оцінка аномалії (функція рішення Isolation Forest) є вищою для нормальних точок і нижчою (більш негативною) для аномалій – ми друкуємо кілька значень, щоб побачити розділення. На практиці можна відсортувати дані за оцінкою, щоб побачити найкращі викиди та дослідити їх. Isolation Forest таким чином забезпечує ефективний спосіб перегляду великих не маркованих даних безпеки та виділення найбільш нерегулярних випадків для аналізу людиною або подальшого автоматизованого розгляду. +Вихідні дані показують прогнозовані мітки для перших 20 точок (де -1 вказує на аномалію). Ми також друкуємо, скільки аномалій було виявлено в цілому, і деякі приклади оцінок аномалій. Ми очікуємо, що приблизно 18 з 120 точок будуть позначені -1 (оскільки забрудненість становила 15%). Якщо наші 20 атакуючих зразків дійсно є найбільш віддаленими, більшість з них повинні з'явитися в цих прогнозах -1. Оцінка аномалії (функція рішення Isolation Forest) є вищою для нормальних точок і нижчою (більш негативною) для аномалій – ми друкуємо кілька значень, щоб побачити розділення. На практиці можна відсортувати дані за оцінкою, щоб побачити найкращі викиди та дослідити їх. Isolation Forest таким чином забезпечує ефективний спосіб перегляду великих не маркованих даних безпеки та виділення найбільш нерегулярних випадків для людського аналізу або подальшого автоматизованого розгляду. -### t-SNE (t-Розподілена Стохастична Вбудована Сусідність) +### t-SNE (t-Розподілене Стохастичне Вбудовування Сусідів) -**t-SNE** є нелінійною технікою зменшення розмірності, спеціально розробленою для візуалізації високорозмірних даних у 2 або 3 вимірах. Вона перетворює подібності між точками даних у спільні ймовірнісні розподіли та намагається зберегти структуру локальних сусідств у проекції з нижчою розмірністю. Простими словами, t-SNE розміщує точки в (скажімо) 2D так, що подібні точки (в оригінальному просторі) виявляються близько одна до одної, а неподібні точки виявляються далеко одна від одної з високою ймовірністю. +**t-SNE** є нелінійною технікою зменшення розмірності, спеціально розробленою для візуалізації високорозмірних даних у 2 або 3 вимірах. Вона перетворює подібності між точками даних у спільні ймовірнісні розподіли та намагається зберегти структуру локальних сусідств у проекції з нижчою розмірністю. Простими словами, t-SNE розміщує точки в (скажімо) 2D так, що подібні точки (в оригінальному просторі) опиняються близько одна до одної, а неподібні точки опиняються далеко одна від одної з високою ймовірністю. Алгоритм має два основні етапи: 1. **Обчислення парних афінностей у високорозмірному просторі:** Для кожної пари точок t-SNE обчислює ймовірність того, що одна з точок буде обрана сусідом (це робиться шляхом центрування гауссового розподілу на кожній точці та вимірювання відстаней – параметр перплексії впливає на ефективну кількість сусідів, які розглядаються). 2. **Обчислення парних афінностей у низькорозмірному (наприклад, 2D) просторі:** Спочатку точки розміщуються випадковим чином у 2D. t-SNE визначає подібну ймовірність для відстаней у цій карті (використовуючи ядро розподілу Стюдента, яке має важчі хвости, ніж гауссовий, щоб дозволити віддаленим точкам більше свободи). -3. **Градієнтний спуск:** t-SNE потім ітеративно переміщує точки в 2D, щоб мінімізувати дивергенцію Кульбака-Лейблера (KL) між високорозмірним розподілом афінностей і низькорозмірним. Це призводить до того, що 2D розташування відображає структуру високої розмірності якомога більше – точки, які були близько в оригінальному просторі, будуть притягувати одна одну, а ті, що далеко, будуть відштовхуватися, поки не буде знайдено баланс. +3. **Градієнтний спуск:** t-SNE потім ітеративно переміщує точки в 2D, щоб мінімізувати дивергенцію Кульбака-Лейблера (KL) між високорозмірним розподілом афінностей і низькорозмірним. Це призводить до того, що 2D розташування відображає високорозмірну структуру якомога більше – точки, які були близько в оригінальному просторі, будуть притягувати одна одну, а ті, що далеко, будуть відштовхуватися, поки не буде знайдено баланс. -Результат часто є візуально значущим розсіяним графіком, де кластери в даних стають очевидними. +Результат часто є візуально значущим діаграмою розсіювання, де кластери в даних стають очевидними. > [!TIP] -> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для аналізу людиною**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D графіка. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних у цьому графіку, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка в іншому випадку була б незрозумілою. +> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для людського аналізу**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D діаграми. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних у цій діаграмі, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ, або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка інакше була б незрозумілою. #### Припущення та обмеження -t-SNE чудово підходить для візуального виявлення патернів. Він може виявити кластери, підкластери та викиди, які інші лінійні методи (як PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування. +t-SNE чудово підходить для візуального виявлення патернів. Він може виявляти кластери, підкластери та викиди, які інші лінійні методи (як PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування. -Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихід – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Графіки t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть з'являтися штучно добре відокремленими). Також t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю). +Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихід – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Діаграми t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть здаватися штучно добре відокремленими). Також t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю).
Приклад -- Візуалізація мережевих з'єднань