7、网络流量中未解释行为的识别与分析

网络流量中未解释行为的识别与分析

1. 基础概念与理论

在网络流量分析中，我们常常需要判断某些行为是否能够被现有模型解释。这里引入了几个关键概念和理论。

首先，如果对于一个观察结果 (a) 满足特定条件，我们称 (a) 被充分解释。判断 (a) 是否被充分解释，不需要求解一组线性约束，只需对包含 (a) 的事件发生的加权概率求和即可，这大大提高了效率。若 (a) 被充分解释，在识别未解释行为时可将其忽略。

对于一个 UBP 实例 (I = \langle S, A, s, L \rangle) 和 (S) 的连续子序列 (S’)，当满足以下三个条件时，(S’) 被称为候选子序列：
1. (|S’| \geq L)
2. 对于 (S’) 中的任意 (a)，(a) 未被充分解释
3. (S’) 是最大的（即不存在 (S’’ \neq S’) 是 (S’) 的子序列，且 (S’‘) 满足条件 1 和 2）

我们用 (candidates(I)) 表示候选子序列的集合。如果要寻找 (S) 的连续未解释行为，根据相关定理，候选子序列可单独考虑，因为不存在跨越两个不同候选子序列的连续完全未解释行为。

对于部分未解释行为，我们引入了非冲突序列覆盖的概念。设 (O^ ) 是一组事件，(S’) 是一个观察序列，(S’) 在 (O^ ) 中的非冲突序列覆盖是 (O^*) 的一个子集 (O’)，满足：
- 对于 (O’) 中的任意 (o_i) 和 (o_j)，(o_i) 和 (o_j) 不冲突
- 对于 (S’) 中的任意 (a)，存在 (O’) 中的 (o) 使得 (a \in o)