泊松分布下信息安全事件概率計算模型

宋 明 秋，　郝 　 巖

( 大連理工大學 系統(tǒng)工程研究所, 遼寧 大連　116024 )

?

泊松分布下信息安全事件概率計算模型

宋 明 秋*，郝 巖

( 大連理工大學 系統(tǒng)工程研究所, 遼寧 大連116024 )

摘要：從信息安全事件的概率分布規(guī)律出發(fā)，根據(jù)泊松分布的基本特征，通過數(shù)學證明了信息安全事件發(fā)生頻數(shù)服從泊松分布，并采用國家互聯(lián)網(wǎng)應急中心(CNCERT/CC)統(tǒng)計數(shù)據(jù)驗證了這一理論結(jié)果．在此基礎(chǔ)上，基于貝葉斯定理，建立了泊松分布下的信息安全事件概率計算模型．根據(jù)泊松分布的概率質(zhì)量函數(shù)，計算了信息安全事件發(fā)生頻數(shù)的先驗概率分布；通過構(gòu)建似然函數(shù)調(diào)整先驗概率分布，得到信息安全事件發(fā)生頻數(shù)后驗概率分布；最后，采用CNCERT/CC統(tǒng)計數(shù)據(jù)驗證了該模型的可行性和有效性．

關(guān)鍵詞：信息安全事件；泊松分布；貝葉斯定理；后驗概率

0引言

信息安全事件指由于自然或者人為以及軟硬件本身缺陷或故障，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶撁嬗绊懙氖录1]，如病毒、木馬、黑客攻擊和信息泄露等．信息安全事件極有可能危害業(yè)務運行和威脅信息安全，造成巨大損失[2]．為了對易發(fā)信息安全事件提早采取防御措施，有必要對信息安全事件發(fā)生概率展開研究，以更優(yōu)的費效比對信息安全事件進行管理和控制．

目前信息安全事件概率計算的主要方法有：(1)統(tǒng)計分析法．Whitman等[3-4]通過調(diào)查對信息安全事件作了分類與統(tǒng)計，在此基礎(chǔ)上，F(xiàn)arahmand 等[5-6]通過風險分析，對信息安全事件進行了概率估算．Jonsson等[7]將信息安全攻擊過程劃分為3個階段：學習階段、標準攻擊階段和創(chuàng)新攻擊階段，研究發(fā)現(xiàn)信息安全事件在標準攻擊階段發(fā)生的概率更大．(2)概率風險評價法．Hausken[8]將信息安全事件發(fā)生的概率用一個邏輯函數(shù)來刻畫．Gritzalis等[9]提出一個基于效用理論的風險概率模型．Mukhopadhyay等[10]提出一個基于貝葉斯信念網(wǎng)絡(Bayesian belief network，BBN)模型來度量在線交易安全風險，采用Copula模型計算損失的聯(lián)合概率分布，BBN模型的輸出結(jié)果為信息安全事件發(fā)生的概率．Liu等[11]利用BBN模擬潛在的網(wǎng)絡攻擊路徑，繪制出BBN攻擊圖，運用貝葉斯推理方法對信息安全事件進行概率計算．Ammann等[12-13]在攻擊圖模型的基礎(chǔ)上引入了脆弱性度量，定量地刻畫了系統(tǒng)的信息安全風險概率．Ishiguro等[14]提出了一種網(wǎng)絡威脅檢測方法，通過掃描指定IP端口，分析其時間序列轉(zhuǎn)換頻率，給出該信息安全事件再次發(fā)生的概率．

上述研究主要集中在概率估算與風險概率的實時計算，其中概率估算存在很大的不確定性，往往會造成較大誤差；而在風險概率計算中有些概率計算指標無法獲得準確數(shù)據(jù)，只能依據(jù)歷史經(jīng)驗與專家評價，不能實現(xiàn)真正意義上的量化計算．為了更好地從定量角度解決信息安全事件的概率計算問題，本文從信息安全事件的概率分布基本規(guī)律出發(fā)，將信息安全事件發(fā)生頻數(shù)作為隨機變量，通過數(shù)學證明其服從泊松分布，并通過CNCERT/CC統(tǒng)計數(shù)據(jù)對這一結(jié)果進行驗證．在此基礎(chǔ)上，結(jié)合貝葉斯定理，構(gòu)建信息安全事件概率計算模型，以解決信息安全事件概率計算問題．

1信息安全事件發(fā)生頻數(shù)及其分布

1.1信息安全事件發(fā)生頻數(shù)

信息安全事件發(fā)生頻數(shù)是指單位時間T內(nèi)信息安全事件發(fā)生的次數(shù)．信息安全事件的發(fā)生通常是離散的、相互獨立的，因此，可以將信息安全事件的發(fā)生頻數(shù)看作離散隨機變量X．常用的幾種離散分布如二項分布、泊松分布、幾何分布以及超幾何分布，它們的定義和基本特征如表1所示．與常用離散分布的定義、概率質(zhì)量函數(shù)和分布特征比較，信息安全事件的發(fā)生不是一個隨機抽樣問題，X顯然不服從超幾何分布．另外，試驗中每次信息安全事件的發(fā)生概率P是隨機的，不是固定不變的，所以說X不服從二項分布和幾何分布．從表1中泊松分布的定義和分布特征來看，信息安全事件應符合泊松分布．

表1　常用離散分布[15-16]

1.2信息安全事件發(fā)生頻數(shù)的泊松分布

一個隨機過程{N(t),t≥0}稱為計數(shù)過程，N(t) 是隨機變量，表示時間段[0,t]內(nèi)發(fā)生的事件數(shù)．如果滿足以下條件，此計數(shù)過程稱為具有速率λ(λ>0)的泊松過程[15-16]：

(1)N(0)=0；

(2){N(t)}是獨立增量過程；

(3)對任何t,s≥0,N(s,t+s]服從參數(shù)為λt的泊松分布，即

(1)

將信息安全事件的發(fā)生頻數(shù)作為隨機變量N(t)，其中t≥0．在t=0時顯然有N(0)=0，滿足條件(1)．

N(t)-N(s)(0≤s

在充分小的時間間隔h內(nèi)，只能發(fā)生一次信息安全事件，發(fā)生兩次或兩次以上的概率極低，可以忽略不計[17]，可表示為

P{N(h)≥2}=o(h)；h>0

(2)

在充分小的時間間隔h內(nèi)，近似地認為只發(fā)生1次安全事件的概率與時間間隔h的長度成正比[17]，可表示為

P{N(h)=1}=λh+o(h)；h>0

(3)

其中λ(λ>0)為此計數(shù)過程的速率．

只需證明式(2)和(3)滿足式(1)即可證明隨機變量N(t)服從泊松分布．

記Pn(t)=P{N(t)=n}，令h>0，則

P0(t+h)=P{N(t+h)=0}=

P{N(t)=0,N(t+h)-N(t)=0}=

P{N(t)=0}·P{N(t+h)-

N(t)=0}=

P{N(t)=0}·P{N(h)=0}

由式(2)和(3)得

P0(t+h)=P0(t)[1-λh+o(h)]

(4)

整理得

(5)

令h→0，取極限得微分方程：

P′0(t)=-λP0(t)

(6)

由P0(0)=P{N(0)=0}=1，解得

P0(t)=e-λt

(7)

類似地，對n≥1，可得微分方程：

P′n(t)=-λPn(t)+λPn-1(t)

(8)

當n=1時，由P0(t)=e-λt和P1(0)=0得

P1(t)=λte-λt

(9)

由數(shù)學歸納法，并注意到Pn(0)=0，得

(10)

式(10)可證明該隨機過程符合條件(3)，故可認為隨機變量N(t)服從泊松分布，即信息安全事件的發(fā)生頻數(shù)服從泊松分布．

在實際事例中，當一個隨機事件，例如一段時間內(nèi)感染病毒的主機數(shù)量、服務器遭到網(wǎng)絡攻擊的次數(shù)、信息安全漏洞增加數(shù)量、發(fā)生數(shù)據(jù)泄露的次數(shù)、網(wǎng)站被篡改的數(shù)量等，以固定的平均瞬時速率λ隨機獨立地出現(xiàn)時，那么這個事件在單位時間內(nèi)出現(xiàn)的次數(shù)或個數(shù)就近似地服從泊松分布．

本文選取CNCERT/CC統(tǒng)計數(shù)據(jù)，基于R語言對不同種類的信息安全事件的發(fā)生頻數(shù)作泊松分布的

χ

2擬合優(yōu)度檢驗，具體檢驗結(jié)果見表2．

Pv表示樣本間的差異由抽樣誤差所致的概率，是用于判斷原始假設(shè)是否正確的重要證據(jù)．其值小于0.05表示結(jié)果顯著，小于0.01表示結(jié)果非常顯著．如表2結(jié)果顯示，Pv均小于2.2×10-16，表示以上泊松分布

χ

2擬合優(yōu)度檢驗結(jié)果均非常顯著．因此，可以說信息安全事件的發(fā)生頻數(shù)服從泊松分布．

表2　泊松分布的

2擬合優(yōu)度檢驗

Tab.2　　　　

2goodness of fit test of Poisson distribution

信息安全事件種類χ2dfPv感染病毒11521000.0140<2.2×10-16網(wǎng)站被篡改92982.0139<2.2×10-16網(wǎng)站被植入后門434340.0141<2.2×10-16網(wǎng)站頁面被仿冒274770.0141<2.2×10-16信息安全漏洞3496.3137<2.2×10-16

2信息安全事件概率計算模型構(gòu)建

2.1貝葉斯定理描述

貝葉斯公式的離散分布形式如下：

i=1,2,…,n

(11)

Ω表示信息安全事件發(fā)生頻數(shù)的樣本空間，Bi為樣本空間Ω的一個子集，即信息安全事件發(fā)生頻數(shù)的一個區(qū)間．P(Bi)表示信息安全事件發(fā)生頻數(shù)在區(qū)間Bi內(nèi)的先驗概率分布．事件A稱為先驗概率P(Bi)的修正元素，P(A|Bi)為似然函數(shù)，這里表示信息安全事件發(fā)生頻數(shù)在區(qū)間Bi內(nèi)發(fā)生事件A的似然性，也可表示為L(Bi|A)．P(Bi|A) 表示后驗概率分布，也可稱為條件概率分布，即在事件A條件下信息安全事件發(fā)生頻數(shù)在區(qū)間Bi內(nèi)的概率分布．

2.2先驗概率分布

若隨機變量X只取非負整數(shù)0,1,…，且其概率分布服從

(12)

則隨機變量X的分布稱為泊松分布，記作P(λ)．

(13)

即參數(shù)

(14)

在本文中，根據(jù)λ的值，將信息安全事件發(fā)生頻數(shù)分成若干區(qū)間Bi,i=1,2,…,n．假設(shè)區(qū)間Bi內(nèi)有X1,X2,…,Xm共m個樣本數(shù)據(jù)，根據(jù)式(12)、(14)，計算得到信息安全事件發(fā)生頻數(shù)的先驗概率分布為

(15)

2.3似然函數(shù)

似然函數(shù)是一個關(guān)于統(tǒng)計模型參數(shù)的函數(shù)，這個函數(shù)中的自變量是統(tǒng)計模型的參數(shù)．對于結(jié)果X，在參數(shù)集合θ上的似然，就是在給定這些參數(shù)值的基礎(chǔ)上，觀察到的結(jié)果的概率L(θ|X)=P(X|θ)．也就是說，似然是關(guān)于參數(shù)的函數(shù)，在參數(shù)給定的條件下，對于觀察到的X的條件分布．

設(shè)A為一隨機事件，用一個隨機變量X來表示事件A的發(fā)生次數(shù)，X=0表示發(fā)生，X=1表示不發(fā)生，則X服從二點分布b(1,p)，其中p是未知的事件A發(fā)生率．現(xiàn)抽取n個樣本看事件A是否發(fā)生，得到樣本x1,…,xn，這批觀測值發(fā)生的概率為

(16)

將式(16)看作未知參數(shù)p的函數(shù)，用L(p)表示，記為

(17)

L(p)即為區(qū)間Bi內(nèi)發(fā)生事件A的似然函數(shù)，可用P(A|Bi)表示，即

(18)

根據(jù)最大似然估計的基本原理，將式(18)兩端取對數(shù)并關(guān)于p求導令其為0，即得如下方程，又稱似然方程：

(19)

解之即得p的最大似然估計為

p^=p^(x1,…,xn)=∑ni=1xi/n=x

(20)

即P(A|Bi)可表示為

(21)

2.4后驗概率分布

后驗概率分布就是未知量作為隨機變量的概率分布，并且是在基于試驗或者調(diào)查所獲得的信息上的條件概率分布．這里指在事件A給定并納入考慮之后的條件概率分布．

根據(jù)式(11)、(15)、(21)，計算得信息安全事件發(fā)生頻數(shù)的后驗概率分布為

(22)

3實例分析

3.1數(shù)據(jù)選取

CNCERT/CC通過對基礎(chǔ)信息網(wǎng)絡、金融證券等重要信息系統(tǒng)的自主監(jiān)測，以及與合作伙伴進行數(shù)據(jù)共享，縱向統(tǒng)計每周信息安全事件發(fā)生次數(shù)，發(fā)布網(wǎng)絡安全信息與動態(tài)周報．因此，本文以周(T)為單位選取信息安全事件統(tǒng)計數(shù)據(jù)，描述計算信息安全事件概率分布的具體計算過程．

設(shè)隨機過程{N(T),T≥0}，每周信息安全事件的發(fā)生頻數(shù)作為隨機變量N(T)，每周(T)發(fā)生的信息安全事件是相互獨立的，根據(jù)1.2 節(jié)可同理證明N(T)服從泊松分布．CNCERT/CC作為我國網(wǎng)絡安全應急體系的核心協(xié)調(diào)機構(gòu)，能夠確保數(shù)據(jù)的真實性和有效性．因此，可以利用CNCERT/CC統(tǒng)計數(shù)據(jù)對以上模型進行驗證．

3.2信息安全事件發(fā)生頻數(shù)的先驗概率分布

記事件B為單位時間內(nèi)(周)信息安全事件發(fā)生頻數(shù)，Bi為事件B的一個子集，表示信息安全事件發(fā)生頻數(shù)的一個子區(qū)間．

CNCERT/CC對信息安全事件的統(tǒng)計包括境內(nèi)感染病毒的主機數(shù)量、境內(nèi)被篡改網(wǎng)站總數(shù)、境內(nèi)被植入后門網(wǎng)站總數(shù)、針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量以及新增信息安全漏洞數(shù)量，本文將其均記為信息安全事件的發(fā)生頻數(shù)．以2013年的統(tǒng)計數(shù)據(jù)為例[18]，對數(shù)據(jù)進行統(tǒng)計分析，根據(jù)式(13)、(14)，計算得單位時間(周)內(nèi)這些信息安全事件發(fā)生頻數(shù)的均值λ分別為886 000、5 857、4 061、779、154，如表3所示．根據(jù)泊松分布的性質(zhì)，位于期望λ附近概率較大，分布較為集中，隨著λ的增加，分布逐漸趨于對稱[19]，如圖1所示．

表3　信息安全事件發(fā)生頻數(shù)的概率分布

圖1　參數(shù)為λ的泊松分布概率質(zhì)量函數(shù)

為充分體現(xiàn)泊松分布的概率分布規(guī)律，根據(jù)λ，將事件B分為若干子區(qū)間Bi，i=1,2,3．根據(jù)式(15)，分別計算Bi內(nèi)的先驗概率分布P(Bi)．以感染病毒的主機數(shù)量為例，根據(jù)λ=886 000，將事件B分為(0,800 000)、(800 000,1 000 000)、(1 000 000，+∞)3個子區(qū)間．根據(jù)式(15)，計算先驗概率分布P(Bi)分別為0.196 0、0.699 2、0.104 8．從表3P(Bi)計算結(jié)果中不難看出，信息安全事件的先驗概率分布主要集中在均值λ附近，偏離λ越大概率迅速減小，符合泊松分布的性質(zhì)．

3.3信息安全事件發(fā)生頻數(shù)的后驗概率分布

CNCERT/CC除了統(tǒng)計境內(nèi)每周發(fā)生的信息安全事件，對每周境內(nèi)的網(wǎng)絡安全環(huán)境也作了統(tǒng)計，并將其分為優(yōu)、良、中、差、危5個等級．本文將網(wǎng)絡安全等級為優(yōu)和良的記為網(wǎng)絡安全環(huán)境良好，其他記為網(wǎng)絡安全環(huán)境惡劣．記事件A為網(wǎng)絡安全環(huán)境惡劣，作為對先驗概率的修正元素．P(A|Bi) 為似然函數(shù)，表示信息安全事件發(fā)生頻數(shù)在區(qū)間Bi內(nèi)網(wǎng)絡安全環(huán)境惡劣的似然性．P(Bi|A) 為后驗概率分布，表示網(wǎng)絡安全環(huán)境惡劣條件下信息安全事件發(fā)生頻數(shù)在區(qū)間Bi內(nèi)的概率分布．

統(tǒng)計區(qū)間Bi內(nèi)所有數(shù)據(jù)，并記錄網(wǎng)絡安全環(huán)境是否惡劣，根據(jù)式(21)和(22)分別計算P(A|Bi)和P(Bi|A)．以網(wǎng)站被篡改數(shù)量為例，根據(jù)統(tǒng)計分析后的區(qū)間Bi內(nèi)數(shù)據(jù)和式(21)計算得到的似然函數(shù)P(A|Bi)分別為0.333 3、0.743 6、1.000 0；再根據(jù)式(22)，計算得到后驗概率分布P(Bi|A)分別為0.065 7、0.684 7、0.249 6．與先驗概率分布P(Bi)相比較后發(fā)現(xiàn)，網(wǎng)絡安全環(huán)境惡劣條件下，信息安全事件發(fā)生頻數(shù)較大區(qū)間內(nèi)的概率分布會變大．如表3所示的計算結(jié)果表明，大多數(shù)情況下，區(qū)間Bi內(nèi)數(shù)值越大，P(A|Bi)和P(Bi|A)數(shù)值也會普遍越大，即信息安全事件發(fā)生頻數(shù)越大的區(qū)間內(nèi)網(wǎng)絡安全環(huán)境惡劣的似然值普遍越大．另外，也普遍存在網(wǎng)絡安全環(huán)境惡劣條件下信息安全事件發(fā)生頻數(shù)較大區(qū)間內(nèi)的概率分布會變大．

4結(jié)語

本文將信息安全事件發(fā)生頻數(shù)看作離散隨機變量，從數(shù)學定義上證明了其服從泊松分布，選取CNCERT/CC數(shù)據(jù)進行泊松分布

χ

2擬合優(yōu)度檢驗，結(jié)果進一步表明其服從泊松分布．結(jié)合貝葉斯定理，構(gòu)建信息安全事件概率計算模型．根據(jù)之前得到的結(jié)論，解決了信息安全事件先驗概率分布難以計算的問題；然后構(gòu)建似然函數(shù)P(A|Bi)，求取Bi內(nèi)發(fā)生事件A的最大似然估計，調(diào)整先驗概率分布，優(yōu)化概率計算結(jié)果，得到信息安全事件發(fā)生頻數(shù)的后驗概率分布．實例結(jié)果表明，該模型能夠準確計算信息安全事件概率分布．

參考文獻：

[1] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. 信息安全技術(shù)信息安全事件分類分級指南:GB/Z 20986—2007[S]. 北京:中國標準出版社, 2007.

General Administration of Quality Supervision, Inspection and Quarantine of the People′s Republic of China. Information Security Technology — Guidelines for the Category and Classification of Information Security Incidents:GB/Z 20986-2007[S]. Beijing:China Standards Press, 2007. (in Chinese)

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. 信息技術(shù) 安全技術(shù) 信息安全事件管理指南:GB/Z 20985—2007[S]. 北京:中國標準出版社, 2007.

General Administration of Quality Supervision, Inspection and Quarantine of the People′s Republic of China. Information technology — Security techniques — Information Security Incident Management Guide:GB/Z 20985-2007 [S]. Beijing:China Standards Press, 2007. (in Chinese)

[3]Whitman M E. Enemy at the gate:Threats to information security [J]. Communications of the ACM, 2003, 46(8):91-95.

[4]Keller S, Powell A, Horstmann B,etal. Information security threats and practices in small businesses [J]. Information Systems Management, 2005, 22(2):7-19.

[5]Farahmand F, Navathe S B, Enslow P H,etal. Managing vulnerabilities of information systems to security incidents [J]. ACM International Conference Proceeding Series, 2003, 50:348-354.

[6]Farahmand F, Navathe S B, Sharp G P,etal. Evaluating damages caused by information systems security incidents [C] // Economics of Information Security. New York:Springer US, 2004:85-94.

[7]Jonsson E, Olovsson T. Quantitative model of the security intrusion process based on attacker behavior [J]. IEEE Transactions on Software Engineering, 1997, 23(4):235-245.

[8]Hausken K. Returns to information security investment:The effect of alternative information security breach functions on optimal investment and sensitivity to vulnerability [J]. Information Systems Frontiers, 2006, 8(5):338-349.

[9]Gritzalis S, Yannacopoulos A N, Lambrinoudakis C,etal. A probabilistic model for optimal insurance contracts against security risks and privacy violation in IT outsourcing environments [J]. International Journal of Information Security, 2007, 6(4):197-211.

[10]Mukhopadhyay A, Chatterjee S, Saha D,etal. E-risk management with insurance:A framework using copula aided Bayesian belief networks [J]. Proceedings of the Annual Hawaii International Conference on System Sciences, 2006, 6:126a.

[11]LIU Yu, MAN Hong. Network vulnerability assessment using Bayesian networks [J]. Proceedings of SPIE — The International Society for Optical Engineering, 2005, 5812:61-71.

[12]Ammann P, Wijesekera D, Kaushik S. Scalable, graph-based network vulnerability analysis [C] // Proceedings of the ACM Conference on Computer and Communications Security. Washington D C:ACM, 2002:217-224.

[13]Frigault M, WANG Ling-yu. Measuring network security using Bayesian network-based attack graphs [J]. Proceedings — International Computer Software and Applications Conference, 2008:4591650.

[14]Ishiguro M, Suzuki H, Murase I,etal. Internet threat detection system using Bayesian estimation [C] // 16th Annul FIRST Conference on Computer Security Incident Handling. Hungary:FIRST, 2004.

[15]Sheldon M R. 應用隨機過程:概率模型導論[M]. 10版. 龔光魯,譯. 北京:人民郵電出版社, 2011.

Sheldon M R. Introduction to Probability Models [M]. 10th ed. GONG Guang-lu, trans. Beijing:Posts&Telecom Press, 2011. (in Chinese)

[16]何書元. 隨機過程[M]. 北京:北京大學出版社, 2008.

HE Shu-yuan. Stochastic Process [M]. Beijing:Peking University Press, 2008. (in Chinese)

[17]王志剛. 應用隨機過程[M]. 合肥:中國科學技術(shù)大學出版社, 2009.

WANG Zhi-gang. Applied Stochastic Process [M]. Hefei:University of Science and Technology of China Press, 2009. (in Chinese)

[18]國家互聯(lián)網(wǎng)應急中心. 網(wǎng)絡安全信息與動態(tài)周報[R]. 北京:國家互聯(lián)網(wǎng)應急中心, 2013.

CNCERT/CC. Network Security Information and Dynamic Weekly [R]. Beijing:CNCERT/CC, 2013. (in Chinese)

[19]茆詩松,程依明,濮曉龍. 概率論與數(shù)理統(tǒng)計教程[M]. 2版. 北京:高等教育出版社, 2011.

MAO Shi-song, CHENG Yi-ming, PU Xiao-long. Probability Theory and Mathematical Statistics Course [M]. 2nd ed. Beijing:Higher Education Press, 2011. (in Chinese)

Information security incident probability calculation model based on Poisson distribution

SONGMing-qiu*,HAOYan

( Institute of Systems Engineering, Dalian University of Technology, Dalian 116024, China )

Abstract：From the possibility distribution rules of information security incidents，and according to the basic characteristics of Poisson distribution，the frequency of information security incidents is proved mathematically to obey Poisson distribution .The verification is done by using the statistical data of National Internet Emergency Center (CNCERT/CC). On this basis, an information security incidents probability calculation model with Poisson distribution is established based on the Bayes theorem. Then, taking advantage of the probability mass function, the prior probability distribution of information security incidents is calculated, and a likelihood function is modeled to adjust the prior probability distribution, and the posterior probability distribution of the frequency of information security incidents is got. Finally, the statistical data of CNCERT/CC demonstrate the feasibility and effectiveness of the model.

Key words：information security incidents; Poisson distribution; Bayes theorem; posterior probability

中圖分類號：C931

文獻標識碼：A

doi:10.7511/dllgxb201603010

作者簡介:宋明秋*(1967-)，女，副教授，E-mail:songmq@dlut.edu.cn；郝 巖(1990-)，男，碩士生，E-mail:hhuqzhao@163.com.

基金項目:國家自然科學基金資助項目(71171028)；“十二五”國家科技支撐計劃資助項目(2013BAH01B03).

收稿日期：2015-11-26；修回日期: 2016-03-06．

文章編號：1000-8608(2016)03-0285-07