Det bliver et kort indlæg. Som tidligere annonceret, har jeg mindre tid til arbejdet med bloggen.
Jeg så i øvrigt heller ikke meget matematik i dette afsnit: Der var en søgealgoritme til at matche metoder ved røverier – som fandt, at der var en del gentagelser af uopklarede røverier. Jeg så et “Heuristic anomaly detection scheme” – med henblik på at se, om der var en systematisk forskel på de første udgaver af røverierne og de moderne gentagelser (Charlie sammenlignede med at finde en kopimaskines karakteristika.)
En anomali er en afvigelse fra det “normale” – det sædvanlige. At opdage den slags er en væsentlig del af f.eks. netsikkerhed; Sker der noget usædvanligt, kan det skyldes, at der er atypiske brugere uden rent mel i posen. Man kan f.eks. se, om nye programmer overholder spillereglerne (Internetprotokollen eller andet), eller de afviger, og dermed få mistanke om virus. “How antivirus Works” på technodope.
Nu er så spørgsmålet; hvad er det “normale”, og hvor meget skal man afvige, for at der slås alarm? En flittig læser vil nok have gættet, at dette kræver statistik – hvad vil vi forvente, og har vi set noget usædvanligt. Begge dele er overvejelser, der hører hjemme i statistik. Faktisk var det jo også den slags overvejelser, der lå bag cluster analysen, som vi så i sidste uge.
Charlie sagde, at det drejede sig om at finde afvigelser fra et mønster og ikke at finde mønstre. Men i virkeligheden skal man jo så først have et mønster, der kan afviges fra. Hvis det drejer sig om en kopi – af et røveri eller måske i en kopimaskine er det lettere at se, hvad der er en afvigelse. Men hvor stor skal den så være, for at det er påfaldende?
Mere i næste uge, hvor vi forhåbenlig også får Amita hjem igen.