Метод поддержки принятия решения о безопасности программного обеспечения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Беляков, Игорь Александрович

ВВЕДЕНИЕ

Современное общество невозможно представить без широкого применения информационных технологий во многих областях человеческой деятельности. Программное обеспечение (ПО) является составной частью подавляющего большинства устройств и систем, используемых в повседневной жизни. Интенсивное развитие и растущее многообразие информационных технологий ставит новые задачи в области обеспечения информационной безопасности, а существующие проблемы безопасности становятся все более актуальными. Начиная с 2002 года проблеме создания безопасных программ уделяется повышенное внимание [3]. Существующая ситуация показывает [6, 17, 19], что проблема обеспечения информационной безопасности ПО, с развитием информационных технологий становится только актуальнее. Исследования в области обеспечения безопасности ПО ведутся такими международными организациями как NIST, OWASP. В России вопросы обеспечения безопасности ПО находятся в ведении Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности. Также внутренние РД есть у других министерств и ведомств (МинОбр, Минфин), регламентирующие использование ПО в рамках своей компетенции.

Повсеместное использование ПО в сферах деятельности человека, в которых цена ошибки играет важнейшую роль, предполагает, что оно должно проходить специализированные проверки на функциональную и информационную безопасность. ПО, не прошедшее соответствующие проверки, представляет угрозу как для жизни и здоровья, так и для материальных ценностей. Это особенно актуально в транспортной сфере, особенно в области организации железнодорожных перевозок. Пассажирооборот, по итогам 2011 года, составил более 150 миллиардов пасс/км, в то же время грузооборот превышает 999 тонн/км. Принимая во внимание, что нормальное функционирование подавляющего большинства подразделений ОАО «РЖД» находится в непосредственной зависимости от ИС. К настоящему времени в

ОАО используется более 100 автоматизированных систем, к наиболее важным из которых, в первую очередь, относятся: АСУ ЭКСПРЕСС, АСУ ПП, ЕКАСУФР, ДИСПАРК, ДИСТПС [79].

Принимая во внимание эти факторы, становится очевидным, что любой сбой в работе столь сложных организационно-технических систем может привести к катастрофическим последствиям.

В настоящее время основным инструментом подтверждения безопасности ПО, на территории РФ, является процедура сертификации на наличие НДВ. Одним из наиболее длительных и трудоемких этапов, при проведении сертификационных испытаний, является работа эксперта, связанная с обработкой результатов работы специализированного ПО, предназначенного для поиска НДВ. И чем сложнее исследуемое ПО, тем больше времени эксперт тратит на проведение его испытания и тем выше вероятность ошибки эксперта.

Основным органом, контролирующим процедуру сертификации, является ФСТЭК. Испытания проводятся в Испытательных лабораториях, деятельность которых лицензирует ФСТЭК. Испытательные лаборатории выполняют всю основную работу по поиску НДВ. После того, как Испытательная лаборатория закончит испытания ПО, результаты испытаний направляются в орган по сертификации, который проверяет корректность испытаний и выводы. Проверив результаты работы Испытательной лаборатории, орган по сертификации отправляет отчет во ФСТЭК. В результате всех этих действий, на программу выдается сертификат соответствия, подтверждающий отсутствие НДВ по определенному классу требований.

Исходя из специфики ПО, наибольшего внимания заслуживают существующие методы анализа программ на наличие/отсутствие недекларированных возможностей (НДВ). Применяемые в настоящее время методы верификации соответствия ПО требованиям безопасности позволяют в полной мере решить проблемы выявления НДВ. Однако, система сертификационных испытаний в целом обладает существенным недостатком -

высокими требованиями к времени. Это делает процедуру верификации ПО недоступной для широкого круга разработчиков, и, тем самым, оказывает негативное влияние на защищенность современных ИС.

Таким образом, целью исследования является сокращение временных затрат, необходимых для поведения сертификационных испытаний, направленных на подтверждение соответствия ПО требованиям безопасности.

Объектом исследования, в диссертационной работе, является существующая система выявления недекларированных возможностей в ПО, применяемая в рамках существующей процедуры сертификации. Исследования проводились на базе испытательной лаборатории средств защиты информации ПГУПС, департамента безопасности ОАО «РЖД», ОАО «НИИАС».

Предметом исследования являются методы и алгоритмы верификации соответствия ПО требованиям безопасности, а также исследование возможности применения элементов искусственного интеллекта для повышения их эффективности и оперативности принятия решения о наличии/отсутствии недекларированных возможностей.

Для достижения поставленной цели в работе решались следующие задачи:

- Исследование существующих подходов выявления уязвимостей и подтверждения соответствия программ требованиям безопасности.

- Анализ процесса принятия решения экспертом при проведении сертификационных испытаний.

- Разработка модели системы верификации соответствия ПО требованиям безопасности.

- Разработка метода принятия решения о безопасности ПО.

- Разработка методики верификации соответствия ПО требованиям безопасности.

- Разработка прототипа системы выявления уязвимостей.

- Оценка полученных результатов и представление заключения по

дальнейшему развитию.

Основной научной задачей диссертационной работы является обоснование и разработка новых методов автоматизированной верификации программ, позволяющих существенно снизить нагрузку на эксперта, и, тем самым, сократить временные затраты на проведение сертификационных испытаний. Также решается задача адаптации аппарата ИНС для решения задач принятия решения по результатам сертификационных испытаний и повышения эффективности поиска опасных конструкций в исходных текстах программного обеспечения.

Методы исследования. Для решения поставленных задач использовались методы абстрактной алгебры и искусственного интеллекта, теория вероятностей, системный анализ, методы верификации ПО, а также информационной безопасности и защиты информации.

Научной новизной обладают следующие результаты диссертационной работы:

- Модель системы верификации ПО требованиям безопасности с применением методов искусственного интеллекта.

- Метод поддержки принятия решения о соответствии ПО заданным требованиям безопасности.

- Алгоритм обучения ИНС для решения поставленной задачи верификации.

- Методика применения метода поддержки принятия решения в существующих системах сертификации безопасности ПО.

- Прототип системы верификации соответствия ПО требованиям безопасности, построенной в соответствии с предложенным методом.

Практическая значимость диссертационной работы заключается в том, что применение предложенного метода позволяет автоматизировать решение таких задач как оценивание данных анализа и принятие решения, позволяя, тем

самым, практически полностью, снять нагрузку с эксперта при проведении сертификационных испытаний.

Эффективность применения подтверждена численным анализом.

Реализация и внедрение результатов исследований.

Основные результаты диссертации использованы в ОАО «Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте», в учебном процессе ПГУПС в дисциплинах «Комплексное обеспечение информационной безопасности автоматизированных систем» и «Безопасность операционных систем», а также работе Испытательной лаборатории средств защиты информации ПГУПС.

Апробация результатов работы. Основные положения и результаты диссертации докладывались и обсуждались на заседаниях кафедры «Информатика и информационная безопасность», международной научно-практической конференции (МНПК) «ИнтеллектТранс 2011», МНПК «ИнтеллектТранс 2012», юбилейной научно-технической конференции «Инновации на железнодорожном транспорте - 2009», Юбилейной 20-й научно-технической конференции «Методы и технические средства обеспечения безопасности информации».

По теме диссертации опубликовано одиннадцать печатных работ (статьи и доклады на научно-технических и научно-практических конференциях), из них четыре в изданиях, рекомендованных ВАК Минобрнауки России.

Структура и объем диссертации. Диссертационная работа состоит из введения, четырех разделов основного содержания с выводами по каждому разделу, заключения, списка используемых источников, включающего 151 наименование. Материалы диссертации изложены на 197 страницах машинописного текста, включающих 88 иллюстраций и 22 таблицы, а также приложения объемом 19 страниц, включая 1 таблицу и 2 рисунка.

ЗАКЛЮЧЕНИЕ

В данной работе предложен новый подход к автоматизации проведения сертификационных испытаний ПО на соответствие требованиям безопасности.

В работе показано, что применение интеллектуальных технологий позволяет создавать эффективные автоматизированные системы подтверждения соответствия ПО заявленным требованиям безопасности. Применение подобных систем в ходе проведения сертификационных испытаний позволяет существенно сократить общее время, необходимое на сертификацию ПО.

В первой главе работы представлен обзор проблемы обеспечения безопасности ПО, а также представлен анализ основных подходов к анализу безопасности ПО. Особое внимание уделено исследованию существующих методов выявления уязвимостей и подтверждения соответствия программ требованиям безопасности.

Показано, что использование существующих методов и методик анализа безопасности ПО не обеспечивают необходимого результата за приемлемое время. Существующие подходы к анализу ИБ ПО являются излишне трудоемкими, детальный анализ может занимать до нескольких месяцев. Это связано с тем, что экспертам для принятия решения приходится анализировать большие объемы информации.

Во второй главе работы проведен анализ процесса принятия решения экспертом при проведении сертификационных испытаний. В ходе анализа работы эксперта при проведении сертификационных испытаний были установлены причины избыточных временных затрат. Систематизированы и формализованы критерии, в соответствии с которыми эксперт осуществляет оценивание соответствия ПО требованиям безопасности.

Исследование особенностей существующей СВУ позволило систематизировать ее в виде модели, определить основные задачи, решаемые экспертом при проведении сертификационных испытаний и определить набор характеристик безопасности, на основании которых эксперт принимает решение. На основании модели существующей СВУ установлено, что наибольшие затраты времени приходятся на решение экспертом задач обработки данных и принятия решения. Следовательно, автоматизация процесса решения этих задач даст наибольший эффект по сокращению времени, необходимого на оценивание безопасности ПО. Основываясь на полученных результатах, была предложена новая модель СВУ, использование которой позволит снизить нагрузку на эксперта. Для решения этой задачи предлагается дополнить существующую СВУ подсистемой обработки данных анализа и подсистемой принятия решения.

По результатам обоснованного выбора математического аппарата установлено, что наиболее подходящим для решения задачи принятия решения о соответствии ПО требованиям безопасности является аппарат ИНС. Показано, что использование ИНС является перспективным решением для применения в СППР, решающих задачу верификации соответствия ПО заявленным требованиям.

В третьей главе детально рассмотрены преимущества и недостатки аппарата ИНС. Разработан метод принятия решения о безопасности ПО. Дано детальное описание основных этапов метода. Также приведены результаты тестовой апробации, которые показывают, что предложенный метод позволит получить корректное решение в 99,8% случаев. Во многом, такой высокий процент был получен за счет применения нового метода обучения ИНС, который является модификацией метода обратного распространения ошибки.

Предложена методика использования разработанного метода при проведении сертификационных испытаний ПО на соответствие требованиям РДНДВ.

Четвертая глава данной работы посвящена разработке прототипа системы выявления уязвимостей. Дано детальное описание прототипа. Особое внимание уделено МПР. Для подтверждения работоспособности прототипа был проведен ряд практических экспериментов, в ходе которых установлено, что время, необходимое для проведения сертификационных испытаний сократилось на 27%. Полученный процент не является предельным, так как в 30% случаев потребовалось дополнительное вмешательство эксперта. Это было вызвано тем, что система не смогла принять окончательное решение.

Таким образом, решены все задачи, поставленные для достижения сформулированной в работе цели.

Показано, что использование ИНС повышает гибкость механизмов поиска уязвимостей и оперативность принятия решения, что, в общем, способствует повышению эффективности СБУ и сокращению временных затрат. Следовательно, можно сделать вывод, что цель работы достигнута.

Таким образом, в ходе проведенного исследования были решены частные задачи, главная научная задача исследования и достигнута цель, состоящая в повышении оперативности и полноты выявления НДВ в ОЦ и триггерах реляционных БД.

На основе решенных в диссертации задач можно определить следующие направления дальнейших исследований:

- развитие требований к безопасности ПО;

- разработка единой базы уязвимостей (опасных конструкций).

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Cenzic, Web Application Security Trends Report, 2009. - 23

2. Chess, Brian, Secure programming with static analysis - Addison-Wesley, 2007.-588

3. Christopher Alberts, Audrey Dorofee, Managing Information Security Risks: The OCTAVESM Approach - Addison Wesley, 2002. - 512

4. Dustin, Elfriede, Effective software testing: 50 specific ways to improve your testing - Addison-Wesley, 2003. - 203

5. Haykin, Kalman filtering and neural networks - New York: John Wiley & Sons, 2001.-284

6. Info Watch, Глобальное исследование утечек - Info Watch, 2009. - 11

7. Ivanov-Sotirov A., Automatic vulnerability detection using static source code analysis - Alabama, 2005. - 108

8. Foster, Osipov, Bhalla, Buffer Overflow Attacks: Detect, Exploit, Prevent -Syngress Publishing,Inc, 2005. - 497

9. Tian, Software Quality Engineering - Testing, Quality Assurance, and Quantifiable Improvement - New Jersey: John Wiley & Sons, Inc., 2005. - 412

10. Erickson, Hacking The Art Of Exploitation - No Starch Press, 2003. - 241

11. Krose, Smagt, An introduction to Neural networks - , 1996. - 135

12. Lewis, William E. Software Testing and Continuous Quality Improvement - AUERBACH PUBLICATIONS, 2005. - 534

13.Fewster, Graham, Software Test Automation: Effective use of test execution tools - Addison-Wesley, 1999. - 574

14. Bishop, Introduction to Computer Security - Prentice Hall PTR, 2004. -

15. Microsoft, Microsoft Security Intelligence Report volume 7. Jan-Jun2009 -

Microsoft Press, 2009. - 232

16. Myers, Glenford, The Art of Software Testing - New Jersey: John Wiley & Sons, Inc., 2004.-234

17. OWASP, OWASP Top 10 - 2010, 2010. - 21

18. Patton, Software Testing - Sams Publishing, 2005. - 408

19. WAS С, WASC THREAT CLASSIFICATION, 2010. - 172

20. Агафонов B.H., Спецификация программ: понятийные средства и их организация. - Новосибирск: Наука, 1987. - с.30-73

21. Аксенов C.B., Новосельцев В.Б., Организация и использование нейронных сетей (методы и технологии) - Томск: Издательство HTJI, 2005. -

128

22. Андерсон Р., Доказательство правильности программ. - М.: Мир, 1982.

- 163

23. Анин Б.Ю., Защита компьютерной информации. - СПб.: БХВ, 2000. -

384

24. Архангельский Б.В., Черняховский В.В., Поиск устойчивых ошибок в программах. - М.: Радио и связь, 1989. - 237

25. Астахов А., Анализ защищенности корпоративных систем. // Открытые системы, №7-8, 2002. - с.44-49

26. Ахо А., Сети Р., Ульман Дж., Компиляторы: принципы, технологии и инструменты. - М.: Издательский дом «Вильяме», 2003. - 768

27. Ахо А., Ульман Дж., Теория синтаксического анализа, перевода и компиляции, т.1: Синтаксический анализ. - М.: Мир, 1978. - 614

28. Ахо, Альфред В., Лам, Компиляторы: принципы, технологии и инструментарий, 2-е изд. - М.: ООО Издательский дом "Вильяме", 2008. - 1184

29. Барнетт М., Фостер Д., Хаккинг кода: ASP.NET Web Application

Security - M.: ЗАО "Новый издательский дом", 2005. - 464

30. Барский А.Б., Нейронные сети: распознавание, управление, принятие решений. - М.: Финансы и статистика, 2004. - 176

31. Барсуков B.C., Комплексная защита от электромагнитного терроризма. // Системы безопасности, связи и телекоммуникаций, №32, 2000. - с.94

32. Беркинблит М.Б.Нейронные сети: Учебное пособие - М.: МИРОС и ВЗМШ РАО, 1993.-96

33. Боровиков В.П., Нейронные сети. STATISTICA Neural Networks: Методология и технологии современного анализа данных - М.: Горячая линия-Телеком, 2008. - 392

34. Боэм Б.У., Инженерное проектирование программного обеспечения: пер с англ. - М.: Радио и связь, 1985. - 325

35. Бьерн Страуструп, Язык программирования С++ - Бином, 2008. - 1104

36. Вихорев С., Кобцов Р., Как определить источники угроз. // Открытые системы, №7-8, 2002. - с.50-53

37. Воронцов Ю.В., Гайдамакин H.A., Модель комплексной оценки защищенности компьютерных систем в идеологии ущерба от угроз безопасности // Вопросы защиты информации, №1, 2003. - с.45-53

38. Гагарина JI. Г., Кокорева Е. В., Виснадул Б.Д., Технология разработки программного обеспечения: учебное пособие - М.: ИД «ФОРУМ», 2007. - 400

39. Галатенко А. В., Пучков Ф. М., Шапченко К. А.Способ анализа программ на наличие угроз переполнения буферов. // Материалы конференции «Информационная безопасность регионов России» (ИБРР-2003), 2003. - с.33

40. Галушкин А.И., Теория нейронных сетей. Кн. 1: Учеб. пособие для вузов - М.: ИПРЖР, 2000. - 416

41. Геловани В.А., Башлыков A.A., Бритков В.Б., Интеллектуальные

системы поддержки принятия решений в нештатных ситуацях с использованием информации о состоянии природной среды. - М.: Эдиториал, 2001.-304

42. Гордеев A.B., Молчанов А.Ю., Системное программное обеспечение -СПб.: Питер, 2003.-736

43. ГОСТ 16504-81, Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения.

44. ГОСТ 28195-89, Оценка качества программных средств. Общие положения.

45. ГОСТ Р 50922-96, Защита информации. Основные термины и определения.

46. ГОСТ Р 51188-98, Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.

47. Гостехкомиссия России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М.: Военное издательство, 1992.

48. Гроувера, Защита программного обеспечения - М.: Мир, 1992. - 125

49. Дал.У., Дейкстра Э., Хоор К. Структурное программирование, Пер. с англ. - М.: Мир, 1975. - 247

50. Дамарацкий А.Н., Дамарацкий Я.А., Вероятность обнаружения дефектов во время тестирования программных изделий // Программные продукты и системы, №4 - , 1999. - с.27-30

51. Дастин, Рэшка, Пол, Автоматизированное тестирование программного обеспечения: Внедрение, управление и эксплуатация - М.: Лори, 2003. - 592

52. Дейкстра Э., Дисциплина программирования: Пер. с англ. - М.: Мир, 1978.-225

53. Домарацкий Я.А., Модульное тестирование операционной системы реального времени // Программные продукты и системы, №4 - , 1998. - с.37^40

54. Донаху Дж., Семантика языков программирования - М.: Мир, 1980. -

396

55. Крылов, Острейковский, Типикин, Техника разработки программ. В 2 книгах. Книга 2. Технология, надежность и качество программного обеспечения - Высшая школа, 2008. - 472

56. Евстигнеев В.А. и др., Топологические меры сложности программ. -Препринт №23, 1985.- 125

57. Еремеев М.А., Глухарев М.Л., Корниенко A.A., Анализ методов проверки корректности программ // Сборник докладов 10 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2005» - С-Пб.: ПГУПС, 2005. -с.276-280

58. Ершов А.П., Введение в теоретическое программирование - М.: Наука, 1972.-288

59. Жорницкий В.Б. и др., Измерительный комплекс для динамического анализа ПЛ/1- программ // Программирование, №5 - , 1982. - с.52-57

60. Жульков Е.Поиск уязвимостей в современных системах IDS // Открытые системы, № 7-8 - , 2003. - с.37^2

61. Заенцев И.В., Нейронные сети: основные модели - , 2002. - 76

62. Захаров В.К. и др., Теория вероятностей - М.: Наука, 1983. - 160

63. Захаров В.Н., Хорошевский В.Ф., Искусственный интеллект. Книга 3. Программные и аппаратные средства - М.: Радио и связь, 1990. - 363

64. Зиглер К., Методы проектирования программных систем. - М.: Мир, 1985.-328

65. Зима В.М., Молдовяи A.A., Многоуровневая защита информационно-программного обеспечения вычислительных систем. Учебное пособие -ВИККА им. А.Ф. Можайского -СПб., 1997. -

66. Зима В.М., Молдовян A.A., Молдовян H.A., Безопасность глобальных сетевых технологий. - СПб.: БХВ-Петербург, 2000. - 320

67. Зиндер Е., Реинжиниринг + информационные технологии = Новое системное проектирование // Открытые системы, №1 - , 1996. - с.56-59

68. Зиновьев Э.В., Управление сетевыми информационными процессами и ресурсами. - Рига: Зинанте, 1987. - 303

69. Зыль С., Проектирование, разработка и анализ программного обеспечения систем реального времени - БХВ-Петербург, 2010. - 336

70. Йодан Э., Структурное проектирование и конструирование программ. -М.: Мир, 1979.-416

71. Казарин О.В., Безопасность ПО компьютерных систем. Монография -М.: МГУЛ, 2003.-212

72. Каллан, Роберте, Основные концепции нейронных сетей - М.: ООО Издательский дом "Вильяме", 2001. - 288

73. Канер, Фолк, Нгуен, Тестирование программного обеспечения -ДиаСофт, 2008.-544

74. Карпов В.В., Вероятностная модель оценки защищенности средств вычислительной техники с аппаратным комплексом защиты информации от несанкционированного доступа // Программные продукты и системы, №1 - , 2003. - с.31-36

75. Карпов В.В., Критерии и показатели защищенности автоматизированных систем от несанкционированного доступа.// Программные продукты и системы, №1 - , 2001. - с. 18-21

76. Карповский У.Я., Надежность специального математического

обеспечения. - Киев: Вища школа, 1982. - 425

77. Кауфман A.B., Черноножкин С.К., Критерии тестирования и система оценки полноты набора тестов // Программирование, №6 - , 1998. - с.44-59

78. Ключевский Б., Программные закладки // Системы безопасности, связи и телекоммуникаци, №22, 1998. - с.60-66

79. Ковалев В.И., Осьминин А.Т., Грошев Г.М., Системы автоматизации и информационные технологии управления перевозками на железных дорогах -М: Маршрут, 2006. - 544

80. Колищак А., Атака на переполнение буфера // Защита информации. Конфидент, №3, 2000. - с.42^16

81. Колмогоров А.Н. и др., Введение в теорию вероятностей - М:Наука, 1982.- 160

82. Комашинский В.И., Смирнов Д.А., Нейронные сети и их применения в системах управления и связи - М.: Горячая линия - Телеком, 2003. - 94

83. Кормен Т., Лейзерсон Ч., Ривест Р., Алгоритмы: построение и анализ. Второе издание. - М.: Издательский дом «Вильяме», 2011. - 1296

84. Корниенко A.A. и др., Методика экспресс-анализа информационно-управляющих систем железнодорожного транспорта на отсутствие недекларированных возможностей // Сборник докладов 11 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2006» - С-Пб.: ПГУПС, 2006. -с.286-287

85. Корт С.С., Разработка методов и средств поисков уязвимостей при сертификационных испытаниях защищенных вычислительных систем. Кандидатская диссертация. - 1999.

86. Костырко B.C., Об одной методике доказательства правильности программ. // Кибернетка, №1, 1978. - с.51-58

87. Котенко И.В., Многоагентные технологии анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Защита информации. Конфидент, №2, 2004. - с.78-82

88. Криницкий Н.А. и др., Автоматизированные информационные системы. - М.: Наука. Гл. ред. физ.-мат. лит., 1982. - 384

89. Круглов В.В., Борисов В.В., Искуственные нейронные сети. Теория и практика - М.: Горячая линия - Телеком, 2002. - 382

90. Круглов В.В., Дли М.И., Нечеткая логика и искусственные нейронные сети - М.: Физматлит, 2001. - 224

91. Кузин Ф.А., Кандидатская диссертация. Методика написания, правила оформления и порядок защиты: Практическое пособие для аспирантов и соискателей учёной степени. - М.: Ось-89, 2004. - 224

92. Куксенко C.B., Шелехов В.И., Статический анализатор семантических ошибок периода исполнения // Программирование, №6, 1998. - с.27^3

93. Курило А.П., Зевиров С.Л., Головани В.Б., Аудит информационной безопасности - М.: Издательская группа "БДЦ-пресс", 2006. - 304

94. Ларичев О.И., Теория и методы принятия решения, а так же хроника событый в волшебных странах - М.: Логос, 2000. - 296

95. Левин В.И., Структурно-логические методы исследования сложных систем с применением ЭВМ. - М.: Гл. ред. физ.-мат. лит., 1987. - 304 с.

96. Леффиигуэл, Дин, Уидриг, Принципы работы с требованиями к программному обеспечению. Унифицированный подход - М.: Издательский дом "Вильяме", 2002.-448

97. Лингер Р. и др., Теория и практика структурного программирования. -М.:, 1982.-406

98. Липаев В.В., Качество программного обеспечения. - М.: Финансы и статистика, 1983.-263

99. Липаев В.В., Методы обеспечения качества крупномасштабных программных средств. - М.: Синтег, 2003. - 520

100. Липаев В.В., Отладка сложных программ: Методы, средства, технология. - М.: Энергоатомиздат, 1993. - 384

101. Липаев В.В., Программная инженерия. Методологические основы. -М.: Теис, 2006.-608

102. Липаев В.В., Процессы и стандарты жизненного цикла сложных программных средств. - М.: Синтег, 2006. - 276

103. Липаев В.В., Тестирование программ. - М.: Радио и связь, 1986. -

296

104. Ломако А.Г., Зима В.М. . Многомодельное исследование программ // Приборостроение, №2, 1993. - с.76-84

105. Ломако А.Г., Ковалев В.В., Зима В.М. . Автотестирование программ по спецификациям // Приборостроение, №2, 1993. - с.48-66

106. Ломако А.Г., Новиков В.А., Специфика вскрытия недекларированных возможностей программ при отсутствии исходных текстов // Постоянно действующий научно-технический семинар, №10 - С-Пб.: BKA, 2007.

107. Лоскокко П.И. и др., Неизбежность провала: ошибочные предположения о безопасности современных компьютерных систем // Защита информации. Конфидент, №2, 2003. - с.38^48

108. Ховард, Лебланк, Защищенный код для Windows Vista - СПб.: Питер, 2008.-224

109. Майерс Г, Искусство тестирования программ. - М.: Финансы и статистика, 1982. - 176

110. Макгрегор Джон, Сайке Девид, Тестирование объектно-ориентированного программного обеспечения. Практическое пособие. - К.: ООО "ТИД "ДС", 2002. - 432

111. Мак-Клар С., Скембрей Дж., Курц Дж., Секреты хакеров. Безопасность сетей — готовые решения, 3-е издание. - М.: Издательский дом «Вильяме», 2002. - 736

112. Маликов O.P., Несов B.C., Автоматический поиск уязвимостей в больших программах. // Известия ТРТУ, Тематический выпуск «Информационная безопасность», №7, 2006. - с.114-120

113. Маликов O.P., Автоматическое обнаружение уязвимостей в исходном коде программ. // Известия ТРТУ №4, 2005. - с.48-53

114. Маликов O.P., Исследование и разработка методики автоматического обнаружения уязвимостей в исходном коде программ на языке Си. // Дис. . канд. физ.-мат. наук: 05.13.11,2006.- 101

115. Манна 3., Волдингер Р., Знания и рассуждения о синтезе программ // Труды IV Межд. конф. по Искусственному Интеллекту т.4, 1975. - с.53-75

116. Марков A.C., Миронов С.В, Цирлов B.JI. и др., Выявление уязвимостей программного обеспечения в процессе сертификации. Научно-практический журнал «Информационное противодействие угрозам терроризма» №7 - М.: ФГУП НТЦ, 2006. - с. 177-186

117. Мартин Р., Чистый код: создание, анализ и рефакторинг. Библиотека программиста - СПб.: Питер, 2010. - 464

118. Медведев B.C., Потемкин В.Г.Нейронные сети. MATHLAB 6 - M.: Диалог-МИФИ, 2002. - 496

119. Мозговой М.В., Классика программирования: алгоритмы, языки, автоматы, компиляторы. Практический подход - СПб.: Наука и техника, 2006. -320

120. Непомнящий В.А., Ануреев И.С., Михайлов И.Н., На пути к верификации С-программ. Часть 1. Язык C-light. // РАН. Сиб. Отд-ние. ИСИ, №84, 2001.

121. Несов B.C., Маликов О.Р., Использование информации о линейных зависимостях для обнаружения уязвимостей в исходном коде программ. // Труды ИСП РАН, №9, 2006. - с.51-57

122. Новиков В.А и др., Верификация защищенных информационно-управляющих систем железнодорожного транспорта на наличие недекларированных возможностей // Сборник докладов 11 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2006» - С-Пб.: ПГУПС, 2006. -с.299-303

123. Новиков В.А., Анализ существующих подходов по вскрытию НДВ // Сборник статей - Орел.: Академия ФСО, 2003.

124. Новиков В.А. и др., «Спецпроверка» программного обеспечения // Журнал «INSAID» № 2, 2006. - с. 18-27

125. Новиков В.А. и др., Выявление дефектов и исследование недекларированных возможностей программ // Сборник статей научно-технической конференции - М.: ГШ ВС РФ, 2006.

126. Орлов С.А., Технологии разработки программного обеспечения -Питер, 2009.-464

127. Осовский С., Нейронные сети для обработки информации - М.: Финансы и статистика, 2002. - 344

128. Полаженко С, Актуальность вопросов тестирования безопасности и защищенности программных продуктов

129. Половко A.M., Бутусов П.Н., MATHLAB для студента - СПб.: БХВ-Петербург, 2005.-320

130. Проскурин В.Г., Microsoft WINDOWS. Программные закладки // Защита информации. Конфидент, №3, 2000. - с.47-51

131. Пучков Ф.М., Шапченко К.А., Способ верификации программного

обеспечения распределенных вычислительных комплексов и система для его реализации. // Патент на изобретение №2373570, 2009.

132. Пучков Ф.М., Шапченко К.А., Способ генерации баз данных и баз знаний для систем верификации программного обеспечения распределенных вычислительных комплексов и устройство для его реализации. // Патент на изобретение №2373569, 2009.

133. Рассел, Стюарт, Норвиг, Искусственный интеллект: современный подход, 2-е изд. - М.: Издательский дом "Вильяме", 2006. - 1408

134. Розенблатт, Принципы нейродинамики: Перцептроны и теория механизмов мозга - М.: Мир, 1965. - 480

135. Рутковская Д., Пилиньский М., Рутковский Л., Нейронные сети, генетические алгоритмы и нечеткие системы - М.: горячая линия - Телеком, 2006.-452

136. Рыжов А.П., Элементы теории нечетких множеств и измерения нечеткости - М.: Диалог-МГУ, 1998. - 116

137. Синицын, Налютин, Верификация программного обеспечения -Бином, 2008.-368

138. Макконнелл, Совершенный код - Питер, 2007. - 896

139. Савельев А.Г., Оценка надежности функционирования компьютерных систем защиты информации // Программные продукты и системы, №2 - , 2002. - с.47^8

140. Советов С.К., Гостехкомиссия. Сертификация операционных систем Microsoft // Системы безопасности, №3, 2003. - с. 12-13

141. Сырков Б.Ю., Перехват паролей при помощи программных закладок внедряемых в операционные системы. // Системы безопасности, связи и телекоммуникаций, №23, 1998. - с. 19-23

142. Тампе Л., Введение в тестирование программного обеспечения - М.:

Издательский дом "Вильяме", 2003. - 368

143. Тейчроу Д., Херши Э., PSL/PSA: Автоматизированная методика структурированного документирования и анализа систем обработки информации. // Требования и спецификации в разработке программ / Пер. с англ. - M.: Мир, 1984. - с.7-27

144. Хайкин С., Нейронные сети. Полный курс - М.: Издательский дом "Вильяме", 2006.- 1104

145. Абельсон, Сассман, Структура и интерпретация компьютерных программ - The MIT Press, 2006. - 608

146. Ховард M., Лебланк Д., Защищенный код - М.: Издательство «Русская Редакция», 2005. - 704

147. Хогланд, Грег, Мак Гроу, Взлом программного обеспечения: анализ и использование кода - М.: ООО Издательский дом "Вильяме", 2005. - 400

148. Прохоров, Математический энциклопедический словарь, 1988. - 847

149. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Руководящий документ Гостехкомиссии России (введен в действие приказом Председателя Гостехкомиссии России N114 от 4.06.99 г.).

150. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. ФСТЭК России. - М.: Военное издательство, 2004. -

151. Статический анализ байт-кода Java. // Автоматика и вычислительная техника, №6 - , 2002. - с.2—42. Cenzic Web Application Security Trends Report -2009 - 23