#### Контекст В целом, системы онлайн-инцидентного реагирования требуют быстрых и точных решений, даже когда доступна ограниченная или неточная информация. Однако многие существующие рамки поддержки решений для инцидентного реагирования основываются на более-менее точном моделировании системы и инцидента, что ограничивает их практическую значимость. В данной работе будет решено этот вопрос. Мы предлагаем **MOBAL (Misspecified Online Bayesian Learning)**, методологию, которая может корректировать свое представление об инциденте на базе поступающей информации. Эта методика реализуется с помощью **Bayesian Learning (Непрерывное Байесовское Обучение)**, которое позволяет учитывать неизвестные модели в реальном времени. Также, мы используем **Belief Quantization (Квантование Убеждений)**, чтобы упростить моделирование и ускорить работу с инцидентами. #### Метод В целой методологии **MOBAL** включены два основных элемента: **Bayesian Learning (Непрерывное Байесовское Обучение)** и **Belief Quantization (Квантование Убеждений)**. Байесовское обучение используется для постепенного корректирования существующей модели инцидента в зависимости от полученной информации. Это позволяет системе адаптироваться к изменениям во время инцидента. Также, полученная модель злоумышленника (с помощью Байесовского обучения) конвертируется в **Markov Decision Process (Марковский Процесс Решений)**, чтобы упростить вывод решения. Таким образом, мы можем оценить возможные реакции и выбрать эффективный ответ в реальном времени. #### Результаты Мы проводили ряд экспериментов с помощью **CAGE-2 Benchmark**, чтобы проверить эффективность **MOBAL** в сравнении с другими подходами. Мы использовали разные сценарии инцидентов, включая сценарии с неполной информацией. Результаты показали, что **MOBAL** демонстрирует высокую адаптивность и жесткость к ошибкам моделирования. В частности, МОBAL показала более высокую точность в реагировании на инциденты в сравнении с традиционными методами, которые не имеют возможности адаптироваться к изменениям в модели. #### Значимость **MOBAL** может использоваться в различных областях безопасности, таких как охрана сетевых систем, здравоохранение, мониторинг критических инфраструктур. Она не только позволяет быстрее реагировать на инциденты, но и повышает точность решений, даже когда модель не является полностью точной. Особым преимуществом является уменьшение времени отклика и увеличение устойчивости к ошибкам моделирования. Это делает **MOBAL** очень полезным для реагирования на инциденты в реальном времени, где каждая минута может оказаться критичной. #### Выводы Мы доказали, что **MOBAL** является