В университете в качестве курсовой работы - предложили сделать адаптивную аутентификацию. например выявлять аномальные процедуры логина с не обычного ip адреса, гео локации, браузера, времени и.т.д.
Я решил сделать это с помощью байесового метода, но судя по всему не правильно делаю feature exctaction, потому что по формуле получается так: всего записей пользователя в системе - 11
честный пользователь логинится например с ip 195.10.1.2, user agent: Chrome, Country: Belarus записей для этого пользователя с таким ip - 10, с user agent - 10, с geo - 10, всего логинов - 10, (10/10 * 10/10 * 10/10 * 10/11) = 0,9090909091
злоумышленник залогинился с 195.10.34.123, user agent: Chrome, Country: Belarus записей для этого пользователя с таким ip - 1, с user agent - 10, с geo - 10, всего логинов - 1, (10/1 * 1/1 * 1/1 * 1/11) = 9,090909091
т.е. злоумышленник, благодаря тому, что у него такой же user agent и всего 1 запись в системе - более честный пользователь
да, IP адрес очень важный критерий.
если пользователь логинится постоянно с одного ip адреса (раз так 1000), а тут оп - и IP адрес из другой страны, есть вероятность, что это не тот пользователь
Ясно.
В вычислениях есть странный момент:
злоумышленник залогинился с 195.10.34.123, user agent: Chrome, Country: Belarus записей для этого пользователя с таким ip - 1, с user agent - 10, с geo - 10, всего логинов - 1, (10/1 * 1/1 * 1/1 * 1/11) = 9,090909091
(10/1 * 1/1 * 1/1 * 1/11) = 9,090909091
Почему первый множитель 10/1, а не наоборот (1/10)?
Ведь вероятность это количество исходов, того когда событие появилось к общему количеству исходов.
Общее должно быть больше.
Простой
Простой
