Если в результате проверки принимается решение об истинности
гипотезы
H
0
, проверке подвергается следующая выборка из последо-
вательности
Y
k
. Если принимается решение об истинности гипотезы
H
1
, то тест останавливается.
Правило принятия решения описывается так:
d
=
(
0
,
если
S
k
1
< h
;
выбрана гипотеза
H
0
;
1
,
если
S
k
1
≥
h
;
выбрана гипотеза
H
1
,
где
h
— пороговое значение;
S
k
1
=
k
X
i
=1
S
i
— функция принятия решения;
S
i
= ln
P
θ
1
(
y
i
)
P
θ
0
(
y
i
)
— статистический параметр алгоритма.
Из приведенных выражений следует, что пока параметр
Θ
находит-
ся в пределах контролируемого диапазона (
Θ = Θ
0
,
P
Θ0
(
y
i
)
> P
Θ1
(
y
i
)
),
значение
S
1
k
равно нулю или меньше нуля. В момент изменения па-
раметра (
Θ = Θ
1
,
P
Θ0
(
y
i
)
< P
Θ1
(
y
i
)
) значение
S
1
k
резко возрастает.
Время остановки теста
t
0
(другими словами, время обнаружения
изменения параметра
Θ
) определяется выражением
t
0
=
N
∙
min
{
k
:
d
k
= 1
}
,
что можно сформулировать как правило остановки наблюдений при
обнаружении изменения параметра
Θ
: наблюдения останавливаются
после первой выборки
N
, для которой принято решение об истинности
гипотезы
H
1
.
Исследования [10–12] показывают возможность использования ал-
горитма CUSUM для детектирования флуд-атак DoS различных типов.
Эффективность алгоритма CUSUM при детектирования атак DoS во
многом зависит от релевантности выбранного контролируемого пара-
метра. В работе [12] предлагается в качестве такого параметра ис-
пользовать гибридное значение, отражающее соотношение запросов и
ответов:
Θ
i
= Θ
INVITE/ACK
i
+ Θ
INVITE/200 OK
i
+ Θ
REGISTER/200 OK
i
.
В работе [10] рассматривается возможность использования в каче-
стве такого параметра разности REGISTER – 200 OK.
На основании проведенных испытаний можно предложить в ка-
честве контролируемого параметра при использовании алгоритма
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2013. № 3 53
