2025年大學《應用統(tǒng)計學》專業(yè)題庫——統(tǒng)計學在網(wǎng)絡安全中的作用考試時間：______分鐘總分：______分姓名：______一、簡述描述性統(tǒng)計量（如均值、中位數(shù)、方差、標準差）在網(wǎng)絡流量分析或安全事件統(tǒng)計中的作用。請分別說明至少兩種不同統(tǒng)計量適用于哪些具體場景。二、假設某網(wǎng)絡安全系統(tǒng)記錄了用戶登錄嘗試的數(shù)據(jù)。已知正常用戶密碼猜測的平均嘗試次數(shù)為3次，標準差為1次。某用戶連續(xù)5次登錄嘗試均失敗，且嘗試次數(shù)分別為2,4,1,3,5次。請使用合適的統(tǒng)計方法，簡要分析該用戶是否可能是正常用戶，并說明理由。三、解釋貝葉斯定理在網(wǎng)絡安全領域中（例如，惡意軟件檢測、垃圾郵件過濾）的基本原理。假設一個郵件過濾系統(tǒng)已知：整封郵件為垃圾郵件的概率為2%；包含特定關鍵詞“優(yōu)惠”的郵件為垃圾郵件的概率為90%；正常郵件中包含該關鍵詞的概率為5%。若一封郵件包含關鍵詞“優(yōu)惠”，求該郵件確實是垃圾郵件的后驗概率。四、在線交易系統(tǒng)常通過監(jiān)測用戶行為模式來檢測欺詐行為。簡述假設檢驗在識別可疑交易中的應用。假設系統(tǒng)正常情況下，用戶每次交易的平均輸入時間小于5秒。某用戶最近10次交易的平均輸入時間為6秒，標準差為1.5秒?；谶@些數(shù)據(jù)，能否有理由認為該用戶的交易行為存在異常（欺詐嫌疑）？請說明檢驗思路，無需進行完整計算。五、統(tǒng)計過程控制（SPC）方法如何應用于網(wǎng)絡安全監(jiān)控？請舉例說明一種具體的SPC工具（如控制圖）可用于監(jiān)控網(wǎng)絡安全中的哪個方面（如登錄失敗次數(shù)、網(wǎng)絡包數(shù)量、特定錯誤代碼頻率等），并解釋其原理。六、網(wǎng)絡安全日志通常包含大量數(shù)據(jù)，需要通過數(shù)據(jù)挖掘技術發(fā)現(xiàn)潛在威脅。請列舉至少三種可以應用于網(wǎng)絡安全日志分析的數(shù)據(jù)挖掘技術，并簡要說明每種技術旨在發(fā)現(xiàn)什么類型的信息或模式。七、用戶行為分析（UBA）是網(wǎng)絡安全的重要組成部分。統(tǒng)計方法如何幫助實現(xiàn)UBA？請討論如何利用統(tǒng)計技術（如聚類分析、異常值檢測）來區(qū)分正常用戶行為與潛在的內(nèi)網(wǎng)威脅或賬戶被盜用行為，并簡述具體步驟或思路。八、在評估一個安全模型（如入侵檢測模型）的效果時，統(tǒng)計指標（如準確率、精確率、召回率、F1分數(shù)）被廣泛使用。請解釋這些指標各自的含義，并說明在網(wǎng)絡安全場景下，選擇哪個或哪些指標可能更為重要，為什么？試卷答案一、描述性統(tǒng)計量在網(wǎng)絡流量分析或安全事件統(tǒng)計中的作用：*均值（Mean）：用于計算網(wǎng)絡流量（如數(shù)據(jù)包數(shù)量、帶寬使用率）或安全事件（如攻擊嘗試次數(shù)、系統(tǒng)錯誤率）的平均水平。有助于了解整體狀況和趨勢。例如，計算平均每日的DDoS攻擊請求數(shù)量，了解攻擊的普遍強度。*中位數(shù)（Median）：用于確定網(wǎng)絡流量或安全事件值排序后的中間位置，能更好地反映數(shù)據(jù)的中心趨勢，尤其是在數(shù)據(jù)可能存在極端值（如突發(fā)大流量或罕見嚴重攻擊）的情況下。例如，計算某服務每分鐘接收請求數(shù)的中位數(shù)，可以了解大部分時間的服務負載水平，不受單次巨大流量波動的影響。*方差（Variance）/標準差（StandardDeviation）：用于衡量網(wǎng)絡流量或安全事件數(shù)據(jù)的波動程度或離散程度。標準差越大，說明數(shù)據(jù)越分散，網(wǎng)絡狀態(tài)越不穩(wěn)定或攻擊波動越大。例如，計算正常流量和異常流量（如檢測到的攻擊流量）的標準差，可以判斷攻擊流量的不穩(wěn)定性和強度變化范圍。*最大值（Max）/最小值（Min）：用于識別網(wǎng)絡流量的峰值和谷值，或安全事件的極端情況。有助于發(fā)現(xiàn)異常點或極端事件。例如，記錄單日網(wǎng)絡流量峰值和谷值，或檢測到的一次最大規(guī)模的攻擊事件。*頻率分布（FrequencyDistribution）/百分位數(shù)（Percentiles）：用于了解網(wǎng)絡事件（如不同類型攻擊的發(fā)生次數(shù)）的構成比例，或網(wǎng)絡性能（如響應時間）的分布情況。例如，分析各類攻擊（如SQL注入、DDoS）的發(fā)生頻率，或確定95%的請求響應時間在多少毫秒以內(nèi)。二、分析：1.計算平均嘗試次數(shù)：(2+4+1+3+5)/5=3次。這與正常用戶的平均嘗試次數(shù)（3次）一致。2.計算標準差：首先計算方差s2=[(2-3)2+(4-3)2+(1-3)2+(3-3)2+(5-3)2]/(5-1)=[1+1+4+0+4]/4=10/4=2.5。標準差s=√2.5≈1.58。3.分析偏差：該用戶第五次嘗試次數(shù)（5次）遠高于平均值（3次），且整體標準差（約1.58）大于正常情況下的標準差（假設為1次）。雖然平均次數(shù)符合正常用戶，但單次嘗試次數(shù)的極端偏離和整體波動性增大，提供了懷疑其可能不是正常用戶的線索。更正式的檢驗需要計算此行為發(fā)生的概率（如Z分數(shù)）或?qū)⑵浞湃敫鼜碗s的模型中。三、貝葉斯定理原理：貝葉斯定理提供了一種根據(jù)新的證據(jù)（如郵件包含特定關鍵詞）更新某個事件（如郵件是垃圾郵件）發(fā)生概率的方法。其公式為P(A|B)=[P(B|A)*P(A)]/P(B)。其中：*P(A|B)：后驗概率，即在已知B發(fā)生的情況下A發(fā)生的概率（郵件是垃圾郵件|包含關鍵詞）。*P(B|A)：似然度，即在A發(fā)生的情況下B發(fā)生的概率（包含關鍵詞|郵件是垃圾郵件）。*P(A)：先驗概率，即在沒有新證據(jù)前A發(fā)生的概率（郵件是垃圾郵件）。*P(B)：邊緣概率，即B事件發(fā)生的總概率（郵件包含關鍵詞）。應用于本題：*A：郵件是垃圾郵件(事件)*B：郵件包含關鍵詞“優(yōu)惠”(證據(jù))*已知P(A)=0.02(先驗概率)*已知P(B|A)=0.90(似然度)*已知P(B|?A)=0.05(非垃圾郵件包含關鍵詞的概率，?A表示非垃圾郵件)*計算P(B)：P(B)=P(B|A)P(A)+P(B|?A)P(?A)=0.90*0.02+0.05*(1-0.02)=0.018+0.0485=0.0665(邊緣概率)*計算后驗概率P(A|B)：P(A|B)=[P(B|A)*P(A)]/P(B)=(0.90*0.02)/0.0665=0.018/0.0665≈0.269結果：包含關鍵詞“優(yōu)惠”的郵件是垃圾郵件的概率約為26.9%，相比于先驗概率2%，有了顯著提高。四、假設檢驗在識別可疑交易中的應用：1.提出假設：*零假設H?：該用戶交易行為正常，平均輸入時間μ≤5秒。*對立假設H?：該用戶交易行為異常（欺詐嫌疑），平均輸入時間μ>5秒。（單邊檢驗）2.選擇檢驗方法：由于樣本量n=10較小，且假設總體方差未知，可選擇使用t檢驗。3.確定顯著性水平：通常設定α=0.05。4.計算檢驗統(tǒng)計量：計算t值。t=(樣本均值-假設的總體均值)/(樣本標準差/√樣本量)=(6-5)/(1.5/√10)=1/(1.5/√10)=√10/1.5≈2.83。5.做出決策：*查找t分布表，自由度df=n-1=9，顯著性水平α=0.05的單邊臨界值t?.05,9≈1.833。*或者計算p值：p=P(T>2.83|H?)。根據(jù)t分布表或計算器，p值小于0.05。6.結論：因為計算得到的t值(2.83)大于臨界值(1.833)，或者p值小于顯著性水平(0.05)，所以拒絕零假設H?。有統(tǒng)計證據(jù)表明，該用戶近10次交易的平均輸入時間顯著大于正常水平，可以認為其交易行為存在異常（欺詐嫌疑）。五、統(tǒng)計過程控制（SPC）方法在網(wǎng)絡安全監(jiān)控中的應用：SPC通過監(jiān)控關鍵指標隨時間的變化，判斷系統(tǒng)運行是否處于受控狀態(tài)，從而及早發(fā)現(xiàn)異?；驖撛谕{。1.應用方面：可用于監(jiān)控網(wǎng)絡中的登錄失敗次數(shù)。例如，監(jiān)控系統(tǒng)每分鐘接收到的登錄失敗請求的數(shù)量。2.具體工具：使用控制圖（ControlChart,如c圖或u圖）。3.原理：*收集一段正常時期內(nèi)（穩(wěn)定狀態(tài)下）的登錄失敗次數(shù)數(shù)據(jù)，計算其平均值（中心線CL）和標準差（或極差）。*在圖表上繪制中心線，以及上控制限（UCL=CL+k*σ）和下控制限（LCL=CL-k*σ）（k為常數(shù)，如1,2,3）。*將后續(xù)時間段內(nèi)的登錄失敗次數(shù)繪制在控制圖上。*如果點落在控制限之外，或者點出現(xiàn)連續(xù)上升/下降趨勢、周期性波動、聚集等模式，則表明登錄失敗次數(shù)發(fā)生了異常變化，可能指示賬戶攻擊、暴力破解等安全事件的發(fā)生，需要進一步調(diào)查。六、應用于網(wǎng)絡安全日志分析的數(shù)據(jù)挖掘技術：1.聚類分析（Clustering）：將相似的日志條目或用戶行為模式分組。例如，根據(jù)用戶登錄時間、地點、訪問資源類型、操作頻率等特征，將用戶劃分為“普通用戶”、“潛在內(nèi)鬼”、“頻繁訪問特定系統(tǒng)用戶”等群組。有助于發(fā)現(xiàn)異常群體或識別具有特定行為特征的安全威脅。2.異常檢測（AnomalyDetection）：識別與大多數(shù)正常數(shù)據(jù)顯著不同的數(shù)據(jù)點或模式。例如，檢測短時間內(nèi)出現(xiàn)大量來自同一IP的登錄請求（可能為暴力破解），或者檢測與用戶歷史行為模式不符的操作序列（可能為賬戶被盜用）。適用于檢測未知攻擊或行為異常。3.關聯(lián)規(guī)則挖掘（AssociationRuleMining）：發(fā)現(xiàn)日志事件之間的有趣關系。例如，發(fā)現(xiàn)訪問特定敏感文件（A）之后，頻繁出現(xiàn)系統(tǒng)權限提升（B）的行為（A->B）。這有助于發(fā)現(xiàn)可疑的操作序列或攻擊鏈。4.分類（Classification）：使用標記好的日志數(shù)據(jù)訓練模型，對未標記的日志進行分類。例如，將日志條目分類為“正常”、“SQL注入攻擊”、“DDoS攻擊”、“惡意軟件下載”等。適用于已知攻擊類型的檢測和分類。5.序列模式挖掘（SequencePatternMining）：發(fā)現(xiàn)事件發(fā)生的時序模式。例如，挖掘出攻擊者登錄->執(zhí)行命令->下載文件->連接外部服務器的典型攻擊序列。七、統(tǒng)計方法在用戶行為分析（UBA）中的應用：1.收集數(shù)據(jù)：收集用戶的歷史行為數(shù)據(jù)，如登錄頻率、登錄時間（小時/星期幾）、訪問的頁面/資源類型、操作類型（讀取/寫入/刪除）、IP地址、設備信息等。2.計算基線行為模式：對每個用戶，利用描述性統(tǒng)計（均值、中位數(shù)、標準差、頻率分布）和趨勢分析，計算其正常行為的基線特征。例如，計算用戶通常登錄的時間窗口、常訪問的模塊、操作的平均間隔時間等。3.應用統(tǒng)計技術：*異常值檢測：計算用戶當前行為與基線模式的偏差。例如，使用Z分數(shù)、IQR（四分位距）方法，或基于距離（如K-Means聚類后識別離群點）的方法。當偏差超過預設閾值時，標記為潛在異常行為。*聚類分析：對用戶群體進行聚類，識別具有相似行為模式的用戶群組?？梢詫Ρ炔煌航M的基線行為差異，或者特別關注那些行為模式與其他群體顯著不同的用戶。*統(tǒng)計假設檢驗：檢驗用戶當前的行為是否顯著偏離其歷史行為模式。例如，使用t檢驗比較用戶本周的登錄頻率與過去一個月的平均登錄頻率是否存在顯著差異。4.識別威脅：將檢測到的異常行為與已知的攻擊特征或內(nèi)部威脅模式進行關聯(lián)，判斷是否存在賬戶被盜用、內(nèi)部人員惡意操作、異常數(shù)據(jù)訪問等風險。八、統(tǒng)計指標在評估安全模型效果中的應用：1.準確率（Accuracy）：(TruePositives+TrueNegatives)/TotalSamples。表示模型總體預測正確的比例。在類別不平衡的數(shù)據(jù)集（如正常樣本遠多于攻擊樣本）中，準確率可能具有誤導性。2.精確率（Precision）：TruePositives/(TruePositives+FalsePositives)。表示被模型預測為正類（如攻擊）的樣本中，實際為正類的比例。高精確率意味著模型預測的攻擊較少誤報（將正常誤判為攻擊），對用戶影響較小。3.召回率（Recall）/召回力（Sensitivity）：TruePositives/(TruePositives+FalseNegatives)。表示實際為正類的樣本中，被模型正確預測為正類的比例。高召回率意味著模型能夠發(fā)現(xiàn)大部分真實的攻擊（較少漏報），對安全威脅的檢測更全面。4.F1分數(shù)（F1-Score）：2*(Precision*Recall)/(Precision+Recall)。是精確率和召回率的調(diào)和平均數(shù)，綜合考慮了精確率和召回率。選擇指標的重要性及原因：在網(wǎng)絡安全場景下，選擇哪個指標或哪些指標更為重要取決于具體的業(yè)務目標和安全策略：*側重于最小