mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/AI/AI-Unsupervised-Learning-algorithms.md'] to uk
This commit is contained in:
Translator
parent
4a3e3f7c24
commit
b2baca2217
@ -4,15 +4,15 @@
|
||||
|
||||
## Неконтрольоване навчання
|
||||
|
||||
Неконтрольоване навчання - це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для завдань, таких як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики.
|
||||
Неконтрольоване навчання — це тип машинного навчання, де модель навчається на даних без маркованих відповідей. Мета полягає в тому, щоб знайти шаблони, структури або зв'язки в даних. На відміну від контрольованого навчання, де модель навчається на маркованих прикладах, алгоритми неконтрольованого навчання працюють з немаркованими даними. Неконтрольоване навчання часто використовується для завдань, таких як кластеризація, зменшення розмірності та виявлення аномалій. Воно може допомогти виявити приховані шаблони в даних, згрупувати подібні елементи разом або зменшити складність даних, зберігаючи їх основні характеристики.
|
||||
|
||||
### Кластеризація K-Середніх
|
||||
|
||||
K-Середніх - це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином:
|
||||
K-Середніх — це алгоритм кластеризації на основі центроїдів, який розділяє дані на K кластерів, призначаючи кожну точку найближчому середньому кластеру. Алгоритм працює наступним чином:
|
||||
1. **Ініціалізація**: Виберіть K початкових центрів кластерів (центроїдів), часто випадковим чином або за допомогою більш розумних методів, таких як k-means++
|
||||
2. **Призначення**: Призначте кожну точку даних найближчому центроїду на основі метрики відстані (наприклад, евклідова відстань).
|
||||
3. **Оновлення**: Перерахуньте центроїди, взявши середнє всіх точок даних, призначених кожному кластеру.
|
||||
4. **Повторення**: Кроки 2–3 повторюються, поки призначення кластерів не стабілізується (центроїди більше не рухаються суттєво).
|
||||
4. **Повторення**: Кроки 2–3 повторюються, поки призначення кластерів не стабілізуються (центроїди більше не рухаються суттєво).
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* K-Середніх використовується для виявлення вторгнень шляхом кластеризації мережевих подій. Наприклад, дослідники застосували K-Середніх до набору даних про вторгнення KDD Cup 99 і виявили, що він ефективно розділяє трафік на нормальні та атакуючі кластери. На практиці аналітики безпеки можуть кластеризувати записи журналів або дані про поведінку користувачів, щоб знайти групи подібної активності; будь-які точки, які не належать до добре сформованого кластера, можуть вказувати на аномалії (наприклад, новий варіант шкідливого ПЗ, що формує свій власний малий кластер). K-Середніх також може допомогти в класифікації сімейства шкідливого ПЗ, групуючи бінарні файли на основі профілів поведінки або векторів ознак.
|
||||
@ -25,7 +25,7 @@ K-Середніх - це алгоритм кластеризації на ос
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
K-Середніх припускає, що **кластери є сферичними та однакового розміру**, що може не відповідати всім наборам даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середніх не підходить для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні для забезпечення того, щоб усі ознаки однаково впливали на обчислення відстані.
|
||||
K-Середніх припускає, що **кластери є сферичними та однакового розміру**, що може не відповідати дійсності для всіх наборів даних. Він чутливий до початкового розміщення центроїдів і може сходитися до локальних мінімумів. Крім того, K-Середніх не підходить для наборів даних з різною щільністю або не глобулярними формами та ознаками з різними масштабами. Кроки попередньої обробки, такі як нормалізація або стандартизація, можуть бути необхідні, щоб забезпечити рівний внесок усіх ознак у обчислення відстаней.
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Кластеризація мережевих подій
|
||||
@ -56,17 +56,17 @@ print("Cluster centers (duration, bytes):")
|
||||
for idx, center in enumerate(kmeans.cluster_centers_):
|
||||
print(f" Cluster {idx}: {center}")
|
||||
```
|
||||
У цьому прикладі K-Means має знайти 4 кластери. Малий кластер атак (з незвично високою тривалістю ~200) ідеально сформує свій власний кластер, враховуючи його відстань від нормальних кластерів. Ми виводимо розміри кластерів і центри для інтерпретації результатів. У реальному сценарії можна було б позначити кластер з кількома точками як потенційні аномалії або перевірити його учасників на наявність шкідливої активності.
|
||||
У цьому прикладі K-Means має знайти 4 кластери. Малий кластер атак (з незвично високою тривалістю ~200) ідеально сформує свій власний кластер, враховуючи його відстань від нормальних кластерів. Ми виводимо розміри кластерів і центри, щоб інтерпретувати результати. У реальному сценарії можна було б позначити кластер з кількома точками як потенційні аномалії або перевірити його учасників на наявність шкідливої активності.
|
||||
</details>
|
||||
|
||||
### Ієрархічна кластеризація
|
||||
|
||||
Ієрархічна кластеризація будує ієрархію кластерів, використовуючи або підхід знизу вгору (агломеративний), або зверху вниз (дискретний):
|
||||
Ієрархічна кластеризація будує ієрархію кластерів, використовуючи або підхід знизу-вгору (агломеративний), або зверху-вниз (дискретний):
|
||||
|
||||
1. **Агломеративний (знизу вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки.
|
||||
2. **Дискретний (зверху вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки.
|
||||
1. **Агломеративний (Знизу-вгору)**: Починайте з кожної точки даних як окремого кластера і ітеративно об'єднуйте найближчі кластери, поки не залишиться один кластер або не буде досягнуто критерію зупинки.
|
||||
2. **Дискретний (Зверху-вниз)**: Починайте з усіх точок даних в одному кластері і ітеративно розділяйте кластери, поки кожна точка даних не стане своїм власним кластером або не буде досягнуто критерію зупинки.
|
||||
|
||||
Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань до найближчих точок між двома кластерами), повний зв'язок (відстань до найвіддаленіших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму утворених кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів.
|
||||
Агломеративна кластеризація вимагає визначення відстані між кластерами та критерію зв'язку для вирішення, які кластери об'єднувати. Загальні методи зв'язку включають одиночний зв'язок (відстань найближчих точок між двома кластерами), повний зв'язок (відстань найдальших точок), середній зв'язок тощо, а метрика відстані часто є евклідичною. Вибір зв'язку впливає на форму отриманих кластерів. Немає необхідності заздалегідь визначати кількість кластерів K; ви можете "перерізати" дендрограму на обраному рівні, щоб отримати бажану кількість кластерів.
|
||||
|
||||
Ієрархічна кластеризація виробляє дендрограму, деревоподібну структуру, яка показує відносини між кластерами на різних рівнях деталізації. Дендрограму можна перерізати на бажаному рівні, щоб отримати певну кількість кластерів.
|
||||
|
||||
@ -75,7 +75,7 @@ print(f" Cluster {idx}: {center}")
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за сімейними підгрупами). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який поріг є доречним для виявлення значущих кластерів. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не може бути скасовано, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди).
|
||||
Ієрархічна кластеризація не припускає певної форми кластера і може захоплювати вкладені кластери. Вона корисна для виявлення таксономії або відносин між групами (наприклад, групування шкідливого ПЗ за сімейними підгрупами). Вона детермінована (немає проблем з випадковою ініціалізацією). Ключовою перевагою є дендрограма, яка надає уявлення про структуру кластеризації даних на всіх масштабах – аналітики безпеки можуть вирішити, який поріг є доречним для виявлення значущих кластерів. Однак вона є обчислювально витратною (зазвичай $O(n^2)$ часу або гірше для наївних реалізацій) і не є доцільною для дуже великих наборів даних. Це також жадібна процедура – після об'єднання або розділення це не можна скасувати, що може призвести до субоптимальних кластерів, якщо помилка сталася на ранньому етапі. Викиди також можуть впливати на деякі стратегії зв'язку (одиночний зв'язок може викликати ефект "ланцюга", коли кластери з'єднуються через викиди).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Агломеративна кластеризація подій
|
||||
@ -103,30 +103,30 @@ print(f"Cluster sizes for 3 clusters: {np.bincount(clusters_3)}")
|
||||
|
||||
### DBSCAN (Density-Based Spatial Clustering of Applications with Noise)
|
||||
|
||||
DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та некулястими формами.
|
||||
DBSCAN - це алгоритм кластеризації на основі щільності, який об'єднує точки, що щільно розташовані разом, позначаючи точки в регіонах з низькою щільністю як викиди. Він особливо корисний для наборів даних з різною щільністю та несферичними формами.
|
||||
|
||||
DBSCAN працює, визначаючи два параметри:
|
||||
- **Epsilon (ε)**: Максимальна відстань між двома точками, щоб вважатися частиною одного кластеру.
|
||||
- **MinPts**: Мінімальна кількість точок, необхідна для формування щільного регіону (основна точка).
|
||||
|
||||
DBSCAN ідентифікує основні точки, граничні точки та точки шуму:
|
||||
- **Основна Точка**: Точка з принаймні MinPts сусідами в межах відстані ε.
|
||||
- **Гранична Точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів.
|
||||
- **Точка Шуму**: Точка, яка не є ні основною, ні граничною точкою.
|
||||
- **Основна точка**: Точка з принаймні MinPts сусідами в межах відстані ε.
|
||||
- **Гранична точка**: Точка, яка знаходиться в межах відстані ε від основної точки, але має менше ніж MinPts сусідів.
|
||||
- **Точка шуму**: Точка, яка не є ні основною, ні граничною.
|
||||
|
||||
Кластеризація відбувається шляхом вибору невідвіданої основної точки, позначення її як нового кластеру, а потім рекурсивного додавання всіх точок, що досяжні за щільністю (основні точки та їх сусіди тощо). Граничні точки додаються до кластера сусідньої основної точки. Після розширення всіх досяжних точок DBSCAN переходить до іншої невідвіданої основної точки, щоб почати новий кластер. Точки, які не були досягнуті жодною основною точкою, залишаються позначеними як шум.
|
||||
Кластеризація відбувається шляхом вибору невідвіданої основної точки, позначення її як нового кластеру, а потім рекурсивного додавання всіх точок, що досяжні за щільністю (основні точки та їх сусіди тощо). Граничні точки додаються до кластеру сусідньої основної точки. Після розширення всіх досяжних точок DBSCAN переходить до іншої невідвіданої основної точки, щоб почати новий кластер. Точки, які не були досягнуті жодною основною точкою, залишаються позначеними як шум.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* DBSCAN корисний для виявлення аномалій у мережевому трафіку. Наприклад, нормальна активність користувачів може формувати один або кілька щільних кластерів у просторі ознак, тоді як нові атаки можуть з'являтися як розсіяні точки, які DBSCAN позначить як шум (викиди). Його використовували для кластеризації записів мережевого потоку, де він може виявляти сканування портів або трафік відмови в обслуговуванні як рідкісні регіони точок. Інша програма - групування варіантів шкідливого ПЗ: якщо більшість зразків кластеризуються за родинами, але кілька не підходять ніде, ці кілька можуть бути нульовими днями. Здатність позначати шум означає, що команди безпеки можуть зосередитися на розслідуванні цих викидів.
|
||||
|
||||
#### Припущення та Обмеження
|
||||
#### Припущення та обмеження
|
||||
|
||||
**Припущення та Сили:** DBSCAN не припускає кулясті кластери - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який змушує їх потрапляти в кластери). Він добре працює, коли кластери мають приблизно однорідну щільність.
|
||||
**Припущення та переваги:** DBSCAN не припускає сферичні кластери - він може знаходити кластери довільної форми (навіть ланцюгоподібні або сусідні кластери). Він автоматично визначає кількість кластерів на основі щільності даних і може ефективно ідентифікувати викиди як шум. Це робить його потужним для реальних даних з нерегулярними формами та шумом. Він стійкий до викидів (на відміну від K-Means, який примушує їх до кластерів). Він добре працює, коли кластери мають приблизно рівномірну щільність.
|
||||
|
||||
**Обмеження:** Продуктивність DBSCAN залежить від вибору відповідних значень ε та MinPts. Він може мати труднощі з даними, які мають різну щільність - одне ε не може вмістити як щільні, так і рідкісні кластери. Якщо ε занадто мале, він позначає більшість точок як шум; занадто велике, і кластери можуть неправильно зливатися. Також DBSCAN може бути неефективним на дуже великих наборах даних (наївно $O(n^2)$, хоча просторове індексування може допомогти). У високорозмірних просторах ознак концепція "відстані в межах ε" може стати менш значущою (прокляття вимірності), і DBSCAN може вимагати ретельного налаштування параметрів або може не знайти інтуїтивні кластери. Незважаючи на це, розширення, такі як HDBSCAN, вирішують деякі проблеми (наприклад, різну щільність).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Кластеризація з Шумом
|
||||
<summary>Приклад -- Кластеризація з шумом
|
||||
</summary>
|
||||
```python
|
||||
from sklearn.cluster import DBSCAN
|
||||
@ -149,13 +149,13 @@ num_noise = np.sum(labels == -1)
|
||||
print(f"DBSCAN found {num_clusters} clusters and {num_noise} noise points")
|
||||
print("Cluster labels for first 10 points:", labels[:10])
|
||||
```
|
||||
У цьому фрагменті ми налаштували `eps` та `min_samples`, щоб відповідати масштабам наших даних (15.0 у одиницях ознак і вимагаючи 5 точок для формування кластера). DBSCAN має знайти 2 кластери (кластери нормального трафіку) і позначити 5 ін'єкованих викидів як шум. Ми виводимо кількість кластерів у порівнянні з шумовими точками, щоб це перевірити. У реальних умовах можна ітерувати по ε (використовуючи евристичний графік k-відстані для вибору ε) та MinPts (часто встановлюється приблизно на рівні розмірності даних + 1 як правило) для знаходження стабільних результатів кластеризації. Можливість явно позначати шум допомагає відокремити потенційні дані атак для подальшого аналізу.
|
||||
У цьому фрагменті ми налаштували `eps` та `min_samples`, щоб відповідати масштабам наших даних (15.0 у одиницях ознак і вимагаючи 5 точок для формування кластера). DBSCAN має знайти 2 кластери (кластери нормального трафіку) і позначити 5 ін'єкованих викидів як шум. Ми виводимо кількість кластерів у порівнянні з шумовими точками, щоб це перевірити. У реальних умовах можна ітерувати по ε (використовуючи евристичний граф k-відстані для вибору ε) та MinPts (часто встановлюється приблизно на рівні розмірності даних + 1 як правило) для знаходження стабільних результатів кластеризації. Можливість явно позначати шум допомагає відокремити потенційні дані атак для подальшого аналізу.
|
||||
|
||||
</details>
|
||||
|
||||
### Аналіз головних компонент (PCA)
|
||||
|
||||
PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову координатну систему так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожною з них. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму.
|
||||
PCA - це техніка для **зменшення розмірності**, яка знаходить новий набір ортогональних осей (головні компоненти), які захоплюють максимальну дисперсію в даних. Простими словами, PCA обертає та проєктує дані на нову систему координат так, що перша головна компонента (PC1) пояснює найбільшу можливу дисперсію, друга PC (PC2) пояснює найбільшу дисперсію, ортогональну до PC1, і так далі. Математично PCA обчислює власні вектори матриці коваріації даних – ці власні вектори є напрямками головних компонент, а відповідні власні значення вказують на кількість дисперсії, поясненої кожною з них. Це часто використовується для видобутку ознак, візуалізації та зменшення шуму.
|
||||
|
||||
Зверніть увагу, що це корисно, якщо розміри набору даних містять **значні лінійні залежності або кореляції**.
|
||||
|
||||
@ -163,9 +163,9 @@ PCA працює, визначаючи головні компоненти да
|
||||
1. **Стандартизація**: Центруйте дані, віднімаючи середнє та масштабируючи до одиничної дисперсії.
|
||||
2. **Матриця коваріації**: Обчисліть матрицю коваріації стандартизованих даних, щоб зрозуміти взаємозв'язки між ознаками.
|
||||
3. **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть найкращі K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори формують новий простір ознак.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори формують новий простір ознак.
|
||||
5. **Перетворення даних**: Проєктуйте оригінальні дані на новий простір ознак, використовуючи вибрані головні компоненти.
|
||||
PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх основну структуру.
|
||||
PCA широко використовується для візуалізації даних, зменшення шуму та як етап попередньої обробки для інших алгоритмів машинного навчання. Це допомагає зменшити розмірність даних, зберігаючи їх суттєву структуру.
|
||||
|
||||
#### Власні значення та власні вектори
|
||||
|
||||
@ -190,10 +190,10 @@ PCA широко використовується для візуалізаці
|
||||
3. **Розв'язання рівняння власних значень**: Рівняння власних значень, яке потрібно розв'язати, - це `C * v = λ * v`, де C - матриця коваріації, v - власний вектор, а λ - власне значення. Його можна розв'язати за допомогою методів, таких як:
|
||||
- **Декомпозиція власних значень**: Виконайте декомпозицію власних значень на матриці коваріації, щоб отримати власні значення та власні вектори.
|
||||
- **Декомпозиція сингулярних значень (SVD)**: Альтернативно, ви можете використовувати SVD для розкладання матриці даних на сингулярні значення та вектори, що також може дати головні компоненти.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть найкращі K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори представляють напрямки максимальної дисперсії в даних.
|
||||
4. **Вибір головних компонент**: Відсортуйте власні значення у спадному порядку та виберіть верхні K власних векторів, що відповідають найбільшим власним значенням. Ці власні вектори представляють напрямки максимальної дисперсії в даних.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть відображати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надмірні ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидкими.
|
||||
> *Випадки використання в кібербезпеці:* Загальне використання PCA в безпеці - це зменшення ознак для виявлення аномалій. Наприклад, система виявлення вторгнень з 40+ мережевими метриками (як-от ознаки NSL-KDD) може використовувати PCA для зменшення до кількох компонент, підсумовуючи дані для візуалізації або подачі в алгоритми кластеризації. Аналітики можуть відображати мережевий трафік у просторі перших двох головних компонент, щоб побачити, чи відокремлюються атаки від нормального трафіку. PCA також може допомогти усунути надлишкові ознаки (як-от байти, надіслані проти байтів, отриманих, якщо вони корельовані), щоб зробити алгоритми виявлення більш надійними та швидшими.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
@ -223,7 +223,7 @@ print("Original shape:", data_4d.shape, "Reduced shape:", data_2d.shape)
|
||||
# We can examine a few transformed points
|
||||
print("First 5 data points in PCA space:\n", data_2d[:5])
|
||||
```
|
||||
Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вивід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери відрізняються. Якщо аномалія була присутня, її можна було б побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхід для інших алгоритмів.
|
||||
Тут ми взяли раніше нормальні кластери трафіку і розширили кожну точку даних двома додатковими ознаками (пакети та помилки), які корелюють з байтами та тривалістю. Потім використовується PCA для стиснення 4 ознак в 2 основні компоненти. Ми виводимо відношення поясненої дисперсії, яке може показати, що, скажімо, >95% дисперсії захоплено 2 компонентами (що означає невелику втрату інформації). Вивід також показує, що форма даних зменшується з (1500, 4) до (1500, 2). Перші кілька точок у просторі PCA наведені як приклад. На практиці можна побудувати графік data_2d, щоб візуально перевірити, чи кластери відрізняються. Якщо аномалія була присутня, її можна було б побачити як точку, що лежить далеко від основного кластера в просторі PCA. Таким чином, PCA допомагає дистилювати складні дані в керовану форму для людської інтерпретації або як вхідні дані для інших алгоритмів.
|
||||
|
||||
</details>
|
||||
|
||||
@ -251,10 +251,10 @@ r_{nk} = \frac{\pi_k \mathcal{N}(x_n | \mu_k, \Sigma_k)}{\sum_{j=1}^{K} \pi_j \m
|
||||
|
||||
- **Ітерація** E та M кроків до збіжності (параметри стабілізуються або поліпшення ймовірності нижче порогу).
|
||||
|
||||
Результатом є набір Гауссових розподілів, які колективно моделюють загальний розподіл даних. Ми можемо використовувати підганяний GMM для кластеризації, призначаючи кожну точку Гауссовій з найвищою ймовірністю, або зберігати ймовірності для невизначеності. Також можна оцінити ймовірність нових точок, щоб перевірити, чи підходять вони до моделі (корисно для виявлення аномалій).
|
||||
Результатом є набір Гауссових розподілів, які колективно моделюють загальний розподіл даних. Ми можемо використовувати підганяний GMM для кластеризації, призначаючи кожну точку Гауссу з найвищою ймовірністю, або зберігати ймовірності для невизначеності. Також можна оцінити ймовірність нових точок, щоб перевірити, чи підходять вони до моделі (корисно для виявлення аномалій).
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних ознаках мережевого трафіку; атакуюче з'єднання, яке не схоже на жоден навчений кластер, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де ознаки кожного профілю можуть бути схожими на Гауссові, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні ознаки електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові кампанії фішингу можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші.
|
||||
> *Випадки використання в кібербезпеці:* GMM можна використовувати для виявлення аномалій, моделюючи розподіл нормальних даних: будь-яка точка з дуже низькою ймовірністю під навченою сумішшю позначається як аномалія. Наприклад, ви могли б навчити GMM на легітимних ознаках мережевого трафіку; атакуюче з'єднання, яке не нагадує жоден з навчений кластерів, матиме низьку ймовірність. GMM також використовуються для кластеризації активностей, де кластери можуть мати різні форми – наприклад, групування користувачів за профілями поведінки, де ознаки кожного профілю можуть бути подібні до Гауссових, але з власною структурою дисперсії. Інший сценарій: у виявленні фішингу легітимні ознаки електронної пошти можуть формувати один Гауссовий кластер, відомий фішинг – інший, а нові кампанії фішингу можуть з'являтися як окремий Гаусс або як точки з низькою ймовірністю відносно існуючої суміші.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
@ -288,24 +288,24 @@ print("Log-likelihood of sample attack under GMM:", log_likelihood)
|
||||
|
||||
### Isolation Forest
|
||||
|
||||
**Isolation Forest** – це ансамблевий алгоритм виявлення аномалій, заснований на ідеї випадкового ізолювання точок. Принцип полягає в тому, що аномалій мало і вони відрізняються, тому їх легше ізолювати, ніж нормальні точки. Isolation Forest будує багато бінарних дерев ізоляції (випадкових дерев рішень), які випадковим чином розподіляють дані. На кожному вузлі дерева вибирається випадкова ознака, і випадкове значення розподілу вибирається між мінімумом і максимумом цієї ознаки для даних у цьому вузлі. Це розділення ділить дані на дві гілки. Дерево росте, поки кожна точка не буде ізольована у своєму власному листі або не буде досягнута максимальна висота дерева.
|
||||
**Isolation Forest** – це ансамблевий алгоритм виявлення аномалій, заснований на ідеї випадкового ізолювання точок. Принцип полягає в тому, що аномалій мало і вони відрізняються, тому їх легше ізолювати, ніж нормальні точки. Isolation Forest будує багато бінарних дерев ізоляції (випадкових дерев рішень), які випадковим чином розподіляють дані. На кожному вузлі дерева вибирається випадкова ознака, і вибирається випадкове значення розподілу між мінімумом і максимумом цієї ознаки для даних у цьому вузлі. Це розділення ділить дані на дві гілки. Дерево росте, поки кожна точка не буде ізольована у своєму власному листі або не буде досягнута максимальна висота дерева.
|
||||
|
||||
Виявлення аномалій виконується шляхом спостереження за довжиною шляху кожної точки в цих випадкових деревах – кількість розділень, необхідних для ізоляції точки. Інтуїтивно, аномалії (викиди) зазвичай ізолюються швидше, оскільки випадкове розділення з більшою ймовірністю відокремить викид (який знаходиться в рідкісному регіоні), ніж нормальну точку в щільному кластері. Isolation Forest обчислює бал аномалії на основі середньої довжини шляху по всіх деревах: коротший середній шлях → більш аномальний. Бали зазвичай нормалізуються до [0,1], де 1 означає дуже ймовірну аномалію.
|
||||
Виявлення аномалій виконується шляхом спостереження за довжиною шляху кожної точки в цих випадкових деревах – кількість розділень, необхідних для ізоляції точки. Інтуїтивно, аномалії (викиди) зазвичай ізолюються швидше, оскільки випадкове розділення з більшою ймовірністю відокремлює викид (який знаходиться в рідкісному регіоні), ніж нормальну точку в щільному кластері. Isolation Forest обчислює бал аномалії на основі середньої довжини шляху по всіх деревах: коротший середній шлях → більш аномальний. Бали зазвичай нормалізуються до [0,1], де 1 означає дуже ймовірну аномалію.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* Isolation Forests успішно використовувалися в системах виявлення вторгнень та виявлення шахрайства. Наприклад, навчіть Isolation Forest на журналах мережевого трафіку, які в основному містять нормальну поведінку; ліс створить короткі шляхи для дивного трафіку (як-от IP, що використовує невідомий порт або незвичний шаблон розміру пакета), позначаючи його для перевірки. Оскільки він не вимагає маркованих атак, він підходить для виявлення невідомих типів атак. Його також можна використовувати на даних входу користувачів для виявлення захоплень облікових записів (аномальні часи або місця входу швидко ізолюються). У одному випадку використання Isolation Forest може захистити підприємство, моніторяючи системні метрики та генеруючи сповіщення, коли комбінація метрик (ЦП, мережа, зміни файлів) виглядає дуже відмінно (короткі шляхи ізоляції) від історичних шаблонів.
|
||||
> *Випадки використання в кібербезпеці:* Isolation Forests успішно використовувалися в системах виявлення вторгнень та виявлення шахрайства. Наприклад, навчіть Isolation Forest на журналах мережевого трафіку, які в основному містять нормальну поведінку; ліс створить короткі шляхи для дивного трафіку (як-от IP, що використовує невідомий порт або незвичний шаблон розміру пакета), позначаючи його для перевірки. Оскільки він не вимагає мічених атак, він підходить для виявлення невідомих типів атак. Його також можна використовувати на даних входу користувачів для виявлення захоплень облікових записів (аномальні часи або місця входу швидко ізолюються). У одному випадку використання Isolation Forest може захистити підприємство, моніторячи системні метрики та генеруючи сповіщення, коли комбінація метрик (ЦП, мережа, зміни файлів) виглядає дуже відмінно (короткі шляхи ізоляції) від історичних шаблонів.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
**Переваги**: Isolation Forest не вимагає припущення про розподіл; він безпосередньо націлений на ізоляцію. Він ефективний для даних з високою розмірністю та великих наборів даних (лінійна складність $O(n\log n)$ для побудови лісу), оскільки кожне дерево ізолює точки лише з підмножини ознак і розділень. Він зазвичай добре обробляє числові ознаки і може бути швидшим за методи, засновані на відстані, які можуть мати $O(n^2)$. Він також автоматично надає бал аномалії, тому ви можете встановити поріг для сповіщень (або використовувати параметр забруднення, щоб автоматично вирішити поріг на основі очікуваної частки аномалій).
|
||||
|
||||
**Обмеження**: Через свою випадкову природу результати можуть трохи варіюватися між запусками (хоча з достатньою кількістю дерев це незначно). Якщо дані мають багато нерелевантних ознак або якщо аномалії не сильно відрізняються в жодній ознаці, ізоляція може бути неефективною (випадкові розділення можуть ізолювати нормальні точки випадково – однак усереднення багатьох дерев пом'якшує це). Крім того, Isolation Forest зазвичай припускає, що аномалії є невеликою меншістю (що зазвичай вірно в сценаріях кібербезпеки).
|
||||
**Обмеження**: Через свою випадкову природу результати можуть трохи варіюватися між запусками (хоча з достатньою кількістю дерев це незначно). Якщо дані мають багато нерелевантних ознак або якщо аномалії не сильно відрізняються в жодній ознаці, ізоляція може бути неефективною (випадкові розділення можуть ізолювати нормальні точки випадково – однак усереднення багатьох дерев зменшує це). Крім того, Isolation Forest зазвичай припускає, що аномалії є невеликою меншістю (що зазвичай вірно в сценаріях кібербезпеки).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Виявлення викидів у мережевих журналах
|
||||
</summary>
|
||||
|
||||
Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атаки) і запустимо Isolation Forest, щоб перевірити, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації).
|
||||
Ми використаємо раніше тестовий набір даних (який містить нормальні та деякі точки атак) і запустимо Isolation Forest, щоб перевірити, чи може він відокремити атаки. Ми припустимо, що очікуємо ~15% даних бути аномальними (для демонстрації).
|
||||
```python
|
||||
from sklearn.ensemble import IsolationForest
|
||||
|
||||
@ -323,9 +323,9 @@ print("Example anomaly scores (lower means more anomalous):", anomaly_scores[:5]
|
||||
```
|
||||
У цьому коді ми створюємо `IsolationForest` з 100 деревами та встановлюємо `contamination=0.15` (що означає, що ми очікуємо близько 15% аномалій; модель встановить свій поріг оцінки так, щоб ~15% точок були позначені). Ми навчаємо його на `X_test_if`, який містить суміш нормальних і атакуючих точок (зауважте: зазвичай ви б навчали на навчальних даних, а потім використовували б прогноз на нових даних, але тут для ілюстрації ми навчаємо і прогнозуємо на одному й тому ж наборі, щоб безпосередньо спостерігати результати).
|
||||
|
||||
Вихідні дані показують прогнозовані мітки для перших 20 точок (де -1 вказує на аномалію). Ми також друкуємо, скільки аномалій було виявлено в цілому, і деякі приклади оцінок аномалій. Ми очікуємо, що приблизно 18 з 120 точок будуть позначені -1 (оскільки забрудненість становила 15%). Якщо наші 20 атакуючих зразків дійсно є найбільш віддаленими, більшість з них повинні з'явитися в цих прогнозах -1. Оцінка аномалії (функція рішення Isolation Forest) є вищою для нормальних точок і нижчою (більш негативною) для аномалій – ми друкуємо кілька значень, щоб побачити розділення. На практиці можна відсортувати дані за оцінкою, щоб побачити найкращі викиди та дослідити їх. Isolation Forest таким чином забезпечує ефективний спосіб перегляду великих не маркованих даних безпеки та виділення найбільш нерегулярних випадків для людського аналізу або подальшого автоматизованого розгляду.
|
||||
Вихідні дані показують прогнозовані мітки для перших 20 точок (де -1 вказує на аномалію). Ми також друкуємо, скільки аномалій було виявлено в цілому, і деякі приклади оцінок аномалій. Ми очікуємо, що приблизно 18 з 120 точок будуть позначені -1 (оскільки забрудненість становила 15%). Якщо наші 20 атакуючих зразків дійсно є найбільш віддаленими, більшість з них повинні з'явитися в цих прогнозах -1. Оцінка аномалії (функція рішення Isolation Forest) є вищою для нормальних точок і нижчою (більш негативною) для аномалій – ми друкуємо кілька значень, щоб побачити розділення. На практиці можна відсортувати дані за оцінкою, щоб побачити найкращі викиди та дослідити їх. Isolation Forest таким чином забезпечує ефективний спосіб перегляду великих не маркованих даних безпеки та виділення найбільш нерегулярних випадків для аналізу людиною або подальшого автоматизованого розгляду.
|
||||
|
||||
### t-SNE (t-Розподілене Стохастичне Вбудовування Сусідів)
|
||||
### t-SNE (t-Розподілена Стохастична Вбудована Сусідність)
|
||||
|
||||
**t-SNE** є нелінійною технікою зменшення розмірності, спеціально розробленою для візуалізації високорозмірних даних у 2 або 3 вимірах. Вона перетворює подібності між точками даних у спільні ймовірнісні розподіли та намагається зберегти структуру локальних сусідств у проекції з нижчою розмірністю. Простими словами, t-SNE розміщує точки в (скажімо) 2D так, що подібні точки (в оригінальному просторі) виявляються близько одна до одної, а неподібні точки виявляються далеко одна від одної з високою ймовірністю.
|
||||
|
||||
@ -338,13 +338,13 @@ print("Example anomaly scores (lower means more anomalous):", anomaly_scores[:5]
|
||||
Результат часто є візуально значущим розсіяним графіком, де кластери в даних стають очевидними.
|
||||
|
||||
> [!TIP]
|
||||
> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для людського аналізу**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D графіка. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних на цьому графіку, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка в іншому випадку була б незрозумілою.
|
||||
> *Випадки використання в кібербезпеці:* t-SNE часто використовується для **візуалізації високорозмірних даних безпеки для аналізу людиною**. Наприклад, у центрі операцій безпеки аналітики можуть взяти набір даних подій з десятками ознак (номери портів, частоти, кількість байтів тощо) і використовувати t-SNE для створення 2D графіка. Атаки можуть формувати свої власні кластери або відокремлюватися від нормальних даних у цьому графіку, що полегшує їх ідентифікацію. Це було застосовано до наборів даних шкідливого ПЗ, щоб побачити групування сімей шкідливого ПЗ або до даних про мережеві вторгнення, де різні типи атак чітко кластеризуються, що сприяє подальшому розслідуванню. По суті, t-SNE забезпечує спосіб побачити структуру в кіберданих, яка в іншому випадку була б незрозумілою.
|
||||
|
||||
#### Припущення та обмеження
|
||||
|
||||
t-SNE чудово підходить для візуального виявлення патернів. Він може виявляти кластери, підкластери та викиди, які інші лінійні методи (як-от PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування.
|
||||
t-SNE чудово підходить для візуального виявлення патернів. Він може виявити кластери, підкластери та викиди, які інші лінійні методи (як PCA) можуть не виявити. Його використовували в дослідженнях кібербезпеки для візуалізації складних даних, таких як профілі поведінки шкідливого ПЗ або патерни мережевого трафіку. Оскільки він зберігає локальну структуру, він добре показує природні групування.
|
||||
|
||||
Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихідні дані – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Графіки t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть здаватися штучно добре відокремленими). Крім того, t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю).
|
||||
Однак t-SNE є обчислювально важчим (приблизно $O(n^2)$), тому може вимагати вибірки для дуже великих наборів даних. Він також має гіперпараметри (перплексія, швидкість навчання, ітерації), які можуть впливати на вихід – наприклад, різні значення перплексії можуть виявити кластери на різних масштабах. Графіки t-SNE іноді можуть бути неправильно інтерпретовані – відстані на карті не є безпосередньо значущими глобально (він зосереджується на локальному сусідстві, іноді кластери можуть з'являтися штучно добре відокремленими). Також t-SNE в основному призначений для візуалізації; він не забезпечує простий спосіб проекції нових точок даних без повторного обчислення, і його не слід використовувати як попередню обробку для прогнозного моделювання (UMAP є альтернативою, яка вирішує деякі з цих проблем з більшою швидкістю).
|
||||
|
||||
<details>
|
||||
<summary>Приклад -- Візуалізація мережевих з'єднань
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user