Многоагентная система обнаружения атак на информационную систему предприятия тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Никишова, Арина Валерьевна

Введение

Актуальность задачи. Современный этап развития информационных систем основан на достижениях телекоммуникационных технологий, применяемых для распределенной обработки информации. [17] Это обусловило появление нового вида атак на информационные системы, распределенных как во времени, так и в пространстве.

Согласно статистике McAfee Inc в 2012 году был показан стабильный рост количества атакующих воздействий (рисунок 1).

120,000,000 100,000,000 80,000,000 60,000,000 40,000,000 20,000,000

о —

JAN FEB MAR APR MAY JUN JUL AUG SEP OCT NOV DEC 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012 2012

Рисунок 1. Рост количества атакующих воздействий за период 2012г.

Кроме того, также наблюдается относительно стабильный рост количества новых образцов атакующих воздействий по кварталам за последние 3 года (рисунок 2). [112]

Постоянно возникающие новые виды атак в совокупности с ростом общего количества атак на информационные системы обуславливает необходимость применения более гибких средств обнаружения и реагирования на атаки в качестве дополнения к статичным средствам защиты

информации. Этими средствами являются, в том числе, и системы обнаружения атак (СОА).

12,000,000

10,000,000

8,000,000

6,000,000

4,000,000

2,000,000 о

! '

;

: -

■т'Н-

ЯНЕ

■

1 вш

01 02 03 04 01 02 03 04 01 02 03 04 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012 2012 2012

Рисунок 2. Количество новых образцов атакующих воздействий по кварталам 20102012 гг.

Необходимость наличия СОА в составе системы защиты информации подтверждается руководящим документом Гостехкомиссии России «Руководство по разработке профилей защиты и заданий по безопасности» от 2003 года [5] и положением ФСТЭК «О методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом ФСТЭК от 5 февраля 2010 г. N 58 [4].

По прогнозам на 2013 год, данным Лаборатории Касперского, будет расти объем целевых атак, проводимых с целью проникновения в корпоративную сеть конкретной организации. Кибершпионаж будет становиться все более распространенным явлением. При этом мишенью злоумышленников может оказаться любая организация, в том числе и для того, чтобы подобраться к другим компаниям.

Также сохраняется тенденция увеличения сложности атакующих воздействий. Зачастую атаки имеют многошаговый алгоритм действий и распределенный характер. [111]

Для учета этих особенностей COA должна выполнять распределенный сбор из нескольких источников и интеллектуальный анализ информации, а также быть способной обнаруживать новые атакующие воздействия, число которых велико по данным статистики. Существующие COA не в полной мере обладают данными свойствами. [20]

Для распределенного сбора и анализа информации современные COA обладают набором датчиков. [96] Так как различные датчики COA представляют собой независимые сущности, осуществляющие независимый сбор и интеллектуальный анализ данных, то они могут быть представлены агентами, a COA - многоагентной системой. Для обнаружения новых атакующих воздействий COA должна применять адаптивный метод обнаружения атак.

Исходя из этого, в работе сформулирована научная задача исследования: модернизация методов обнаружения атак на информационные системы предприятия и разработка на их основе COA.

Цель исследования - разработка COA, позволяющей проводить распределенный интеллектуальный анализ данных о наличии следов атак в основных компонентах информационной системы и их совместный анализ.

Объект исследования - информационная система предприятия.

Предмет исследования - методы работы систем обнаружения атак.

Для достижения цели исследования решаются следующие задачи:

1. Исследовать особенности функционирования и структуру информационных систем предприятий.

2. Исследовать наиболее распространенные атаки на информационную систему и процесс реализации атак.

3. Исследовать существующие системы обнаружения атак и методы обнаружения атак.

4. Разработать структуру и состав многоагентной системы обнаружения атак.

5. Разработать структуру агентов системы обнаружения атак.

6. Разработать модель представления знаний агентов о состоянии информационной системы.

7. Разработать метод совместного анализа агентами данных о состоянии информационной системы.

8. Разработать методику работы с многоагентной системой обнаружения атак.

9. Провести оценку эффективности предложенной в диссертационном исследовании модели и метода совместного анализа, используя разработанные программные решения.

В рамках исследования используются методы теории графов, теории нейронных сетей, многоагентных систем, теории принятия решений. Для оценки эффективности предлагаемых решений используются методы математического и имитационного моделирования.

Основные положения, выносимые на защиту:

1. Многоагентная СОА, осуществляющая сбор сведений о состоянии информационной системы из нескольких источников и их нейросетевой анализ для обнаружения атак.

2. Метод анализа данных о состоянии информационной системы и принятия совместного решения.

3. Методика обнаружения атак на информационную систему.

Основные научные результаты исследования заключается в следующем:

разработана многоагентная система обнаружения атак, проводящая распределенный интеллектуальный анализ сведений о наличии следов атак в основных компонентах ИС и совместный анализ результатов из нескольких источников.

Научная новизна исследования заключается в следующем:

1. Предложена структура и состав многоагентной COA, позволяющей осуществлять сбор сведений из разных источников и, анализируя их совместно, делать вывод о состоянии информационной системы.

2. Разработан метод принятия агентами совместного решения, позволяющий сформировать круглый стол агентов и на основании их результатов анализа сведений, полученных из различных источников, оценить состояние информационной системы в целом.

3. Разработана методика обнаружения атак с использованием многоагентных технологий, позволяющая обучить многоагентную систему обнаружения атак и использовать ее для дальнейшего обнаружения атак.

Практическая значимость исследования состоит в следующем:

1. Использование разработанной многоагентной COA позволяет повысить эффективность обнаружения атак на информационную систему предприятия.

2. Разработанный прототип многоагентной COA может быть интегрирован в существующую инфраструктуру систем защиты информации и использоваться системой управления информационной безопасностью предприятия.

3. Результаты диссертации в виде методического и программного обеспечения внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИ!11 химнефтеаппаратуры», что позволило повысить эффективность системы защиты за счет расширения перечня собираемых и анализируемых событий информационной системы и выявления основных атак на информационную систему и отклонения от ее нормального функционирования.

Реализация и внедрение результатов. Основные результаты исследования были внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИПТхимнефтеаппаратуры».

Кроме того, результаты исследования используются в учебном процессе на кафедре Информационной безопасности Волгоградского государственного университета при проведении лекций и лабораторных работ по курсам «Программно-аппаратные средства обеспечения информационной безопасности» и «Основы теории нейронных сетей» для студентов специальности 090303.65 «Информационная безопасность автоматизированных систем».

Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата, а также проведением экспериментов на имитационных моделях с целью анализа и оценки функционирования реального объекта.

Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список, содержащий 115 наименований. Основной текст диссертации изложен на 109 страницах, включая 35 рисунков и 11 таблиц.

Во введении обоснована актуальность исследований, сформулированы цель и задачи работы, определена практическая ценность и научная новизна выносимых на защиту результатов.

В первом разделе исследуются информационные системы предприятия и типовые атаки на них. Также исследуются существующие системы обнаружения атак и методы обнаружения атак. По результатам первой главы определяются требования к разрабатываемой системе.

Во втором разделе разрабатываются структуры агентов и многоагентной системы обнаружения атак и методы их функционирования.

В третьем разделе разрабатывается программный прототип и методика работы с программным прототипом.

В четвертом разделе приводится оценка эффективности предложенной модели и метода совместного анализа на основе результатов моделирования на примере ФГАОУ ВПО «Волгоградского государственного университета».

В заключении описываются основные результаты исследований, и приводится перечень конференций и семинаров, на которых обсуждались основные результаты проведенного исследования.

1. Исследование предметной области обнаружения атак

1.1. Исследование информационной системы предприятия

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств. [1]

Основными функциями информационных систем являются сбор, передача, хранение, защита информации и такие операции обработки, как ввод, выборка, корректировка и выдача информации.

Эти функции реализуются в информационных системах по-разному в зависимости от способа их построения.

Наиболее распространенной архитектурой для информационных систем предприятий является клиент-серверная архитектура. Согласно этой архитектуре для реализации перечисленных функций используются следующие типовые компоненты:

• автоматизированное рабочее место (клиенты) - рабочая станция, оборудованная необходимыми средствами для решения задач пользователя;

• сервер - центральная выделенная высокопроизводительная рабочая станция, предназначенная для реализации централизованных функций ИС;

• сетевое оборудование - система программно-аппаратных средств, обеспечивающих передачу данных между рабочими станциями и серверами через каналы связи;

• каналы связи - это среда распространения сигналов, используемая сетевым оборудованием для передачи данных между перечисленными элементами ИС.

По результатам анализа ряда информационных систем предприятий [19] была построена типовая ИС предприятия (рисунок 3).

Рисунок 3. Типовая информационная система предприятия

Основными чертами типовой ИС предприятия являются:

• выделение серверов предприятия в отдельную подсеть;

• обработка серверами трафика из Интернета;

• соединение серверов с сетью Интернет и внутренней сетью предприятия осуществляется через маршрутизатор;

• отделение подсетей внутри предприятия либо маршрутизатором, либо коммутатором;

• использование в сети стека протоколов TCP/IP;

• в сети применяется пакетная передача данных;

• использование подсетями стандарта Ethernet.

1.2. Исследование типовых стадий компьютерной атаки

Уязвимость информационной системы - это свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. [3]

Угроза безопасности информации - это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. [3]

Атакой на информационную систему называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей этой информационной системы. [88]

По данным [110 - 113] компаний, специализирующихся в сфере защиты информации, таких как McAfee, Symantec, Trustware и Kaspersky Labs, растет число сложных и целенаправленных атак, а также многошаговых атакующих воздействий. При этом типовое распределенное атакующее воздействие обычно реализуется по сценарию, представленному на рисунке 4.

Стадия Стадия вторжения

рекогносцировки в систему

АВТОМАТИЗИРОВАННАЯ ^ СИСТЕМА ^^

Стадия дальнейшего Стадия атакующего

развитияетаки воздействия на систему

Рисунок 4. Сценарий распределенного атакующего воздействия

На стадии рекогносцировки нарушитель осуществляет сбор данных об объекте атаки, на основе которых планирует дальнейшие стадии атаки. При этом в качестве объекта атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование ИС.

На стадии вторжения нарушитель получает несанкционированный доступ к ресурсам тех узлов ИС, на которые направлена атака.

Стадия атакующего воздействия на ИС направлена на достижение злоумышленником тех целей, ради которых предпринималась атака. При

этом атакующий может совершать действия, которые могут быть направлены на удаление следов его присутствия в ИС.

На стадии дальнейшего развития атаки выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов ИС. [21]

Для выявления атаки на стадии рекогносцировки, на котором осуществляется сбор информации об ИС, эффективно могут использоваться только методы, выявляющие определенные признаки вредоносного поведения. Это связано с тем, что все операции нарушителя, при помощи которых он получает необходимую ему информацию, в большинстве случаев не вызывают никакого отклонения от штатного поведения ИС. Подобные методы обнаружения в свою очередь позволяют чётко зафиксировать признаки, которыми характеризуется эта стадия атаки.

Целью данного этапа является раскрытие диапазона адресов, пространства имен, идентификация работающих служб и т.д. Примерами наиболее распространенных атакующих воздействий на данном этапе могут быть:

• Перенос зоны DNS. Злоумышленник посылает запрос на получение базы DNS, из которой он может получить информацию о количестве хостов ИС, их операционных системах и структуре сети предприятия.

• Сканирование портов, путем, например, многократных посылок TCP-запросов на установление соединения с различными портами для определения открытых портов. Часто после определения открытых портов, определяются функционирующие на них приложения.

Подобные признаки в основном могут быть обнаружены на сетевом уровне. [23]

Обнаружение атаки на стадии вторжения в ИС возможно как при помощи методов, выявляющих определенные признаки вредоносного поведения, так и при помощи методов, реагирующих на отклонения от

нормального поведения. Это объясняется тем, что с одной стороны любое вторжение характеризуется определёнными признаками, а с другой стороны это же вторжение может также быть описано как некоторое отклонение от штатного поведения ИС. Поэтому, принимая во внимание специфику этих методов, наиболее эффективным является комбинированное использование данных методов обнаружения атак.

На этом этапе злоумышленник пытается идентифицировать учетные записи пользователей, перехватить или подобрать пароли, идентифицировать и захватить плохо защищенные совместно используемые ресурсы.

Примерами атакующих воздействий на данном этапе могут быть:

• попытки подбора паролей протокола ICMP. Большое число сообщений SNMP с различными строками community за ограниченный период времени должны рассматриваться как подозрительная активность, и как попытка подобрать корректное значение поля community;

• осуществление сбора маркеров с помощью telnet или netcat;

• подключение к хосту через нулевой сеанс;

• идентификация записей списков управления доступом (ACL) для совместно используемых ресурсов;

• реализация атаки переполнения буфера.

Подобные признаки могут быть обнаружены как на уровне хоста, так и на сетевом уровне. [30]

Эффективное выявление атак на стадии атакующего воздействия возможно при помощи методов, реагирующих на отклонения от нормального поведения, т.к. действия нарушителей на этом этапе могут сильно варьироваться в зависимости от целей проводимой атаки и поэтому не могут быть однозначно определены фиксированным множеством признаков атак.

На этом этапе злоумышленник пытается захватить полный контроль над системой, а также инициировать идентификацию механизмов для получения доступа к доверенным системам.

Примерами атакующих воздействий на данном этапе могут быть:

• нарушение политики безопасности;

• получение и взлом файла с паролями пользователей;

• выявление доверительных отношений;

• получение доступа к данным пользователя, файлам конфигурации, системному реестру.

Учитывая тот факт, что действия злоумышленника на данном этапе характеризуются действиями непосредственно на хостах ИС, признаки атакующих воздействий могут быть в основном обнаружены на уровне хоста. [51,90]

Эффективное выявление атак на стадии развития атаки возможно при помощи методов, реагирующих на отклонения от нормального поведения, поскольку действия нарушителей на этих этапах могут сильно варьироваться в зависимости от целей проводимой атаки и поэтому не могут быть однозначно определены фиксированным множеством признаков атак.

Целью данного этапа является сокрытие от администратора системы фактов своего пребывания в ней, чтобы тот не прекратил его деятельность, а также создание «потайных ходов» - средств, с помощью которых он сможет легко вернуться в систему. После этого злоумышленник может инициировать развитие атаки, повторив этапы развития атаки, направив их на другие хосты ИС.

Примерами атакующих воздействий на данном этапе могут быть:

• очистка журнала событий;

• создание учетных записей.

Подобные признаки в основном могут быть обнаружены на уровне хоста. [43]

В обобщённом виде характеристики применимости методов, выявляющих определенные признаки вредоносного поведения (методов обнаружения злоупотреблений), и методов, реагирующих на отклонения от

нормального поведения (методов обнаружения аномалий), для выявления атак на разных стадиях представлены в таблице 1.

Таблица 1

Характеристики применимости методов обнаружения злоупотреблений и аномалий __для обнаружения различных стадий атак

—Л4етод обнаружения Стадия атаки Метод обнаружения злоупотреблений Метод обнаружения аномалий

Стадия рекогносцировки + уровень сети и хоста

Стадия вторжения + уровень сети и хоста + уровень сети и хоста

Стадия атакующего воздействия + датчики хоста

Стадия развития атак + датчики хоста

Анализ показал, что целесообразно создать СОА, собирающую данные о состоянии ИС на различных уровнях и анализирую их как методом обнаружения злоупотреблений, так и методом обнаружения аномалий.

Т.о. основные группы событий, которые должны обнаруживаться и распознаваться как атакующие воздействия:

• события, соответствующие описаниям известных атак;

• события, соответствующие недопустимым или несоответствующим политике безопасности предприятия событиям;

• события, несоответствующие нормальному поведению информационной системы предприятия.

1.3. Исследование существующих систем обнаружения атак

Были проанализированы современные свободно распространяемые СОА

[26]:

• Snort;

• Вго;

• Prelude;

• OSSEC;

• Suricata.

Сравнительный анализ COA проводился по следующим критериям:

1. Многоуровневость наблюдения за ИС. Определяет какому уровню ИС принадлежит источник сведений об ИС, анализируемых для обнаружения атак. Выделяют сетевой и системный уровни, иногда на системном уровне выделяют уровень приложений. Уровень наблюдения за системой определяет достаточность и достоверность получаемых результатов анализа.

2. Адаптивность. Определяет способность метода обнаружения атак выявлять ранее неизвестные атаки или модификации известных атак.

3. Проактивность. Определяет возможность COA реагировать на обнаруженную атаку. Простейшей реакцией является регистрация факта атакующего воздействия и оповещение об этом специалиста по защите информации. Дополнительно COA может заблокировать или завершить процесс или соединение.

4. Открытость. Определяет способность COA изменять перечень контролируемых объектов ИС в случае изменения ее состава.

5. Тип управления. Определяет способ настройки и управления COA. Для этих целей в COA может быть предусмотрено одно рабочее место администратора, позволяющее управлять всей COA или возможность осуществлять настройки и управления каждым элементом COA в отдельности.

6. Защищенность COA. Определяет способность COA противостоять атакующим воздействиям, направленным против ее компонентов. Защищенность COA должна обеспечивать доверие к ее результатам анализа. Средства защиты обычно включают обеспечение защищенного взаимодействия и аутентификацию компонентов COA. [33,57,92]

Snort [24, 54] представляет собой гибкую сетевую COA, предлагающую как множество уже готовых правил, так и возможность писать пользовательские правила. Snort имеет большой набор функций, множество препроцессоров для анализа данных разных типов, набор ключевых слов для сравнения содержимого, портов, протоколов и др. Существуют также дополнительные модули, поддерживающие регистрацию сигналов тревоги в форматах баз данных, автоматическую загрузку новых правил и управление ими, распределение правил по сенсорам и т.д. Snort имеет открытый исходный код, а потому позволяет работать с внешними программами, реализующими дополнительные функции.

Система Snort может функционировать в одном из трех режимов: режиме перехвата всех пакетов из сети, режиме записи пакетов в журнал, режиме перехвата и анализа сетевого трафика. Для анализа Snort использует базу сигнатур известных атак. Кроме этого Snort предлагает дополнительные подключаемые модули, осуществляющие эвристический анализ, поэтому можно считать, что Snort обладает частичной адаптивностью.

COA способна обнаружить атакующие воздействия в основном на стадиях рекогносцировки и вторжения, которые используют сетевой уровень ИС для своей реализации.

Управление COA осуществляется централизованно, с использованием файлов конфигурации. Snort не обладает открытостью, т.е. не содержит механизмов для добавления элементов в COA при изменении состава ИС.

Snort способна реагировать на факты обнаружения атакующих воздействий. Для этого предусмотрены возможности пересылки по адресу -источнику атаки TCP-пакета с установленным флагом RST разрыва соединения или ICMP-пакета, с установленным типом ICMP-пакета, соответствующим недоступности адреса назначения.

Система Вго [103] осуществляет анализ на сетевом уровне. COA предоставляет возможность для анализа множества протоколов, в том числе обеспечивает высокоуровневый семантический анализ на прикладном

уровне. Вго хранит обширные сведения о состоянии прикладного уровня анализируемой ИС.

Система является программным обеспечением (ПО) с открытыми кодами и предоставляет интерфейсы для взаимодействия с внешними программами. Обладает возможностью применять различные методы анализа сведений, собранных системой на прикладном уровне. Основным методом анализа для Вго является сопоставление полученной совокупности событий прикладного уровня с образцами атакующих воздействий, представляющих собой регулярные выражения для полей протоколов.

Вго поддерживает язык управления, основанный на языке Python, позволяющий осуществлять настройку функционирования COA. Имеется возможность дополнительно к регистрации в журнале и оповещению специалиста по защите информации реализовать выполнение заданной команды операционной системы.

COA способна обнаружить атакующие воздействия в основном на стадиях рекогносцировки и вторжения, которые используют сетевой уровень ИС для своей реализации.

Управление Вго осуществляется на том хосте ИС, но котором она была установлена. Для управления используются файлы конфигурации. При расширении ИС и возникновении необходимости добавить элементы к COA Вго, необходимо будет установить новые независимые экземляры системы.

Prelude [39, 115] представляет собой COA, осуществляющую сбор и анализ сведений об ИС не только на сетевом уровне, но и на системном уровне хостов ИС, что повышает вероятность обнаружения попытки вторжения. Система разрабатывалась для работы на компьютерах под управлением GNU/Linux, но поддерживаются также и BSD-системы, как и другие POSIX-совместимые системы. Prelude является ПО со свободно распространяемой лицензией GPL.

Для задачи обнаружения атак система анализирует сведения о состоянии ИС, полученные из файлов журналов хостов и маршрутизаторов и пакетов,

передаваемых по сети. Также есть возможность анализировать журналы регистрации типовых сервисов и межсетевого экрана.

Система Prelude способна обнаруживать любые стадии атакующего воздействия. Она содержит библиотеку, которая позволяет защититься от атак типа format string и buffer overflow, проверяя запросы к потенциально опасным вызовам вроде sprintf, strcpy, wcscpy.

Управление COA происходит по защищенному каналу (SSL), централизовано. Сведения о состоянии ИС собираются и на их основе выявляются аномалии. Предоставляется дополнительная возможность управлять отдельными элементами COA с помощью локальных конфигурационных файлов.

В качестве реакции на обнаруженное атакующее воздействия Prelude может прервать выполнение опасной программы или блокировать сетевое взаимодействие при помощи межсетевого экрана.

Кроме защищенного канала обмена данными между элементами COA, дополнительно используются механизмы контроля ошибок выхода за границы массивов и переполнения буферов, обеспечивающие защищенность элементов Prelude. А также осуществляется проверка на корректность полей сетевых пакетах на разных уровнях, что предотвращает их влияние на COA.

Такие атакующие воздействия, как отправка пакетов с неправильными контрольными суммами, обнуленными флагами TCP, ресинхронизация сессий, случайная отправка и «обрезание» сегментов системой игнорируются.

Система OSSEC [94] является COA, осуществляющей сбор и анализ сведений о состоянии ИС на системном уровне. В функции COA входит анализ журналов, проверка целостности файлов и реестра, отслеживание изменений в политике безопасности и обнаружение rootkit.

Система осуществляет оповещение при обнаружении атакующих воздействий и принимает активные действия, направленные на их предотвращение или прекращение.

OSSEC анализирует как журналы, принадлежащие операционной системе, так и журналы отдельных приложений, например: SSH, MS Exchange, Apache, Sendmail, ARP Watch, FTPD, IIS, Squid.

Анализ производится на основании правил, записанных в формате XML. Правила представляют собой последовательность событий на элементах ИС, которая должна быть расценена как атак. Такой способ формирования сигнатур является трудно расширяемым с точки зрения пополнения базы знаний системы. При обнаружении атакующего воздействия, система оповещает об этом специалиста по защите информации.

OSSEC может отслеживать разрешения, размер и владельца файла, сохраняет значения хэш-функций MD5 и SHA1 для файлов из списка наблюдения. База данных всех значений для сравнения хранится на сервере. Кроме того, в файловой системе осуществляется поиск образцов известных закладок, аналогичный поиск осуществляется на уровне ядра.

COA предназначена в основном для обнаружения стадии вторжения и атакующего воздействия, которые характеризуются реализацией злоумышленником действий на уровне хоста.

Система OSSEC используется как централизованное управление с центрального сервера OS SEC, так и распределенное управление, осуществляемое при помощи файлов конфигурации.

При обнаружении атакующего воздействия COA позволяет выполнить указанную команду, для каждого типа атакующего воздействия есть возможность указать свою команду.

Система Suricata [114] - высоко производительная COA, производящая анализ сведений об ИС на сетевом уровне. Предоставляет возможности производить мониторинг сети, производя анализ собранных сведений, обнаруживать атаки и реагировать на их появление.

COA является легко расширяемой, позволяя балансировать нагрузку процессора для каждого элемента Suricata. Это позволяет обрабатывать большие объемы трафика, передаваемого по сети.

Система анализирует сведения о состоянии ИС на основе предопределенных правил. В системе содержатся правила для наиболее распространенных протоколов, в том числе протоколов прикладного уровня. Кроме этого можно добавлять в систему правила обработки и сигнатуры для дополнительных протоколов.

В правилах записаны выражения для поиска совпадений с шаблоном или превышения граничных значений. Предоставляются алгоритмы поиска множественных совпадений, при этом можно выбрать алгоритм для использования.

Дополнительно Suricata осуществляет контроль целостности выбранного множества файлов в файловой системе на основании хэш-функции MD5.

Система осуществляет регистрацию пакетов, передаваемых по сети. А в случае возникновения атакующего воздействия, применяется блокировка сетевого соединения.

COA может управляться распределено с помощью файлов конфигурации. [34 - 37]

Приведенная актуальность и результаты анализа в пунктах 1.1-1.3, показывают, что:

1. Сбор сведений COA о состоянии ИС должен осуществляться как на уровне сети, так и на уровне хоста, причем как на уровне рабочей станции, так и на уровне сервера.

2. COA должна обладать способностью обнаруживать новые атаки или модификации известных атак.

3. Т.к. большинство современных COA обладают встроенными механизмами реакции на атаки, то COA должна быть проактивной.

4. Т.к. современные ИС весьма динамичны, то COA должна обладать возможностью добавления новых анализируемых ресурсов информационной системы.

5. Для удобства администрирования COA должна совмещать как централизованное, так и децентрализованное управление.

6. Как и все средства защиты СО А должна обладать средствами защиты своих компонентов.

Результаты сравнительного анализа СОА по предложенным критериям представлены в таблице 2. Знак «-» в таблице означает неудовлетворение критерию, знак «+» - удовлетворение критерию, знак «-/+» - частичное удовлетворение критерию. Значения указанных характеристик получены из их документации.

Таблица 2

Результаты анализа систем обнаружения атак

Многоуров невость Адаптивность Проактив-ность Открытость тип управления Защищенность

БпоП сетевой -/+ эвристический модуль + централизованный

Вго системный + централизованный

Рге1ис1е + сетевой системный + централизованный/ децентрализованный +

С^БЕС системный -/+ обнаружение аномалий + централизованный/ децентрализованный

8ипса1а сетевой + децентрализованный

Анализ современных свободно распространяемых СОА показал, что ни одна из них не удовлетворяет в полной мере всем предъявленным критериям.

1.4. Исследование существующих методов обнаружения атак

Проведен анализ следующих методов обнаружения атак [32,86]: • анализ систем состояний;

• графы сценариев атак;

• нейронные сети;

• иммунные сети;

• экспертные системы;

• методы, основанные на спецификациях;

• сигнатурные методы;

• статистический анализ;

• кластерный анализ.

Сравнительный анализ методов обнаружения атак проводился по следующим критериям:

1. Адаптивность. Определяет способность метода получать верный результат при малых изменениях во входных данных, при этом неизменном результате реализации атаки. Отсутствие адаптивности не позволяет СОА своевременно реагировать на неизвестные атаки или модификации известных атак и требует организации системы регулярного обновления базы знаний. Показатель критерия I] принимает следующие значения: высокая адаптивность =1), низкая адаптивность (Рх = 0).

2. Вычислительная сложность. Определяет теоретическое увеличение числа операций при увеличении базы знаний. Рассматривается только сложность метода в режиме обнаружения, без учёта возможных предварительных этапов настройки и обучения. Данный критерий имеет большее значение, нежели сложность по памяти из-за удешевления машинной памяти. Показатель критерия Р2 принимает следующие значения: Ып)(Р2 =1), 0(п)(Р2 =0,75), 0(п3)(Р2 = 0,5), ЫР{Р2 = 0,25).

3. Устойчивость. Определяет, зависит ли выход метода от ИС, в которой он функционирует - при неизменном значении входа. Если метод выдает одно и тот же выходное значение, то говорят о глобальной

устойчивости. Если в качестве примера рассмотреть статистические методы, которые рассчитывают статистические характеристики для параметров производительности и загруженности элементов ИС, которые могут быть различны для элементов ИС и различных ИС. Сформирование статистический профиль для элемента ИС в общем случае не может быть использован для других элементов ИС, т.к. результат его применения может оказаться неверным. Тогда говорят о локальной устойчивости. Методы обнаружения атак, анализирующие семантику ввода, более устойчивы, чем статистические. Показатель критерия Ръ принимает следующие значения: глобальная устойчивость ( Ръ = 1), локальная устойчивость ( Ръ = О).

4. Верифицируемость. Определяет возможность за определенный промежуток времени (в режиме реального времени) проверить правильность результата, полученного при анализе методом, сопоставив набор входных и выходных данных. Данное свойство является важным при необходимости использовать СОА в качестве доказательной базы при обнаружении атакующего воздействия. Показатель критерия Р4 принимает следующие значения: высокая верифицируемость (Р4 = 1), низкая верифицируемость (Р4 = 0). [40,44] Анализ систем состояний [45,48]. Для ИС выделяется множество состояний, состоящее из подмножества допустимых и подмножества недопустимых состояний. Для множества состояний определяется функция состояния ИС, которая определяет множество переходов между состояниями. Т.о. ИС представляется в виде ориентированного графа, вершины которого соответствуют состояниям ИС, а дуги - переходам между состояниями.

При наличии среди состояний подмножества недопустимых состояний, часть переходов между состояниями также помечается как недопустимые. Для использования данного метода для задачи обнаружения атак, необходимо из процесса функционирования определять текущее состояние

ИС и следующий переход между состояниями. Если ИС находится в одном из недопустимых состояний или был осуществлен один из недопустимых переходов, процесс функционирования ИС должен быть признан атакой.

Метод сложен в построении, и для него необходимо решить вопрос доказательства полноты построения орграфа ИС.

Графы сценариев атак [41,52,55]. Граф атак - это граф, представляющий множество действий злоумышленника для достижения цели злоумышленника, путем эксплуатации уязвимостей ИС. Последовательность таких действий называется трассой атаки. Для построения графа атак необходимо формализовать понятие атаки, разработать формальный язык представления атак и ИС в целом. После этого встает задача построить и проанализировать граф атак.

Т.к. граф представляет собой все множество действий злоумышленника по эксплуатации уязвимостей, то немаловажным является вопрос полноты построенного графа. Для задачи обнаружения атак необходимо отслеживать процессы эксплуатации уязвимостей ИС и при наличии последовательности наблюдаемых в ИС действий в графе атак сигнализировать об атаке. Данный метод обладает высокой вычислительной сложностью, а потому практически неприменим для обнаружения атак в реальном времени, основное его применение заключается в использовании его на стадии проектирования ИС и системы защиты информации.

Нейронные сети [84,91,105]. Нейронные сети используются для решения различных задач, в том числе и для распознавания образов и классификации. Если представить все события ИС как два подмножества или класса: нормальные события ИС и атакующие воздействия на ИС, то возможно использовать нейронные сети, для того чтобы классифицировать текущее событие ИС, отнеся его к нормальным событиям или атакам.

Все множество событий ИС отображается на некоторое числовое пространство, определяемое отслеживаемыми нейронными сетями параметрами. Пространство разбивается на подпространства и тогда, в

зависимости от выхода нейронной сети, событие относится к одному из подпространств, на основании чего и осуществляется классификация.

Относительно задачи обучения, нейронная сеть должна обучать на образцах распознаваемых событий. Т.о. можно обучать нейронную сеть на образцах нормального функционирования ИС или на образцах атакующих воздействий на ИС. Первый способ подходит для систем с устоявшимся функционированием, тогда представляется возможным формирования адекватного подпространства нормального поведения ИС. Во втором случае нейронная сеть может обучать на нескольких группах образцов атакующих воздействий и может быть обучена распознавать различные классы атак.

Сложной задачей при использовании нейронных сетей является выявление множества признаков, на основании которых нормальное поведение можно отличить от атакующего воздействия, и формирование обучающей выборки, которая была бы репрезентативна и позволила бы нейронной сети разделить между собой подпространства нормального поведения ИС и атакующего воздействия на ИС.

Иммунные сети [82,83]. Иммунные сети являются искусственным аналогом иммунной системы человека. Иммунная сеть также как и нейронная сеть может быть применена для распознавания образов. При этом формируются антитела, которые, сопоставляя свойства атак с характеристиками, заложенными в них, относят данное событие ИС к атакующему воздействию. При этом иммунная сеть способна получить, на основании существующих, новые антитела для распознавания новых атак и новых разновидностей известных атак. В работе [7] предложена модель иммунной сети и заявлена возможность ее применения для решения задачи обнаружения атак. Однако позже было показано, что вычислительна сложность этого метода составляет 0(п ) при использовании метода Рунге-Кутта для решения системы дифференциальных уравнений в режиме обнаружения.

Экспертные системы [85,87]. Использование экспертных систем призвано заменить эксперта-специалиста при разрешении проблемной ситуации, например принятии решения о наличие или отсутствии атаки в И С. Для функционирования экспертной системы необходимо сформировать базу знаний в виде множества элементарных фактов и правил вывода на них.

При обнаружении атак сведения о событиях в ИС должны быть представлены в виде набора неких фактов, и на основании полученных фактов и существующих правил вывода можно принять решение о наличие или отсутствии атаки на ИС.

Использование данного метода в общем случае является КР-полной задачей, что не позволяет применять его для обнаружения атак в реальном времени.

Методы, основанные на спецификациях. Для функционирования данного метода необходимо сформировать множество всех возможных атакующих воздействий в виде спецификаций атак. Спецификации могут содержать как описание атакующих воздействий на ИС, так и возможных нарушений политики безопасности и нехарактерных для данной ИС событий.

Совпадение текущего события ИС со спецификацией должно расцениваться как атака. Для метода сложно сформировать набор спецификаций, обладающий свойством полноты, а также проводить расширение набора спецификаций.

Сигнатурные методы [98,101]. Для данного метода необходимо формирование некоторого алфавита для описания наблюдаемых событий ИС и построение множества правил - сигнатур с использованием сформированного алфавита. Правила обычно представляются собой регулярные выражения. Совпадение характеристик события ИС с одной из сигнатур свидетельствует о наличие атаки. Алфавит обычно включает характеристики событий на низком уровне абстракции, например сведения о пакетах, передаваемых по сети или о событиях операционной системы.

Сигнатуры могут быть усложнены, представляя регулярные выражения для последовательности событий ИС. Сигнатурные методы широко используются, однако, их главным недостатком является неадаптивность.

Статистический анализ [47,102]. Для функционирования данного метода формируется некоторое множество статистических характеристик, описывающих функционирование ИС. Статистические характеристики обычно формируются в течение некоторого периода времени, для которого функционирование ИС считается нормальным.

Для каждой характеристики строится множество допустимых значений, с использованием некоторого известного закона распределения. Для решения задачи обнаружения атак оценивается отклонение значения наблюдаемой характеристики текущего события ИС от полученного во время обучения множества допустимых значений. Если наблюдаемое значение не попало в доверительный интервал для заданной характеристики, то фиксируется отклонение от нормального функционирования ИС, что расценивается как атака.

Для статистического анализа характерен высокий уровень ложных срабатываний.

Кластерный анализ [107]. Для функционирования данного метода множество событий ИС отображается на числовое пространство в соответствии с множеством выбранных свойств событий. Далее пространство разбивается на кластеры, среди которых выделяются кластеры нормального поведения.

Для задачи обнаружения атак для текущего события ИС оценивается принадлежность наблюдаемого события одному из кластеров нормального поведения в соответствии с заданной метрикой. Если событие не принадлежит ни одному из кластеров нормального поведения, событие расценивается как атака.

Приведенная актуальность и предыдущий анализ показывают, что для СОА требуется метод обнаружения атак:

• с высокой адаптивностью;

• с как можно меньшей вычислительной сложностью;

• с глобальной устойчивостью;

• с высокой верифицируемостью.

При этом первые два критерия имеют большую значимость в сравнении с другими. Коэффициенты значимости критериев имеют следующие значения:

• адаптивность - Кх =0,35;

• вычислительная сложность - К2 = 0,45;

• устойчивость - Кг= 0,1;

• верифицируемость - К4 = ОД; причем ^К, =1.

Таблица 3

Результаты анализа методов обнаружения атак

адаптив ность вычислительная сложность устойчивость верифицируемость Обобщенный показатель Р

анализ систем состояний 0 0,75 1 1 0,5

графы сценариев атак 1 0,25 1 1 0,6625

нейронные сети 1 0,75 0 0 0,6875

иммунные сети 1 0,5 0 0 0,575

экспертные системы 1 0,25 1 1 0,6625

методы, основанные на спецификациях 0 1 0 1 0,55

сигнатурные методы 0 1 1 1 0,65

статистический анализ 1 0,75 0 0 0,6875

кластерный анализ 1 0,75 0 0 0,6875

Обобщенный показатель метода обнаружения атак определяется суммой показателей критериев анализа:

Р = ^К,Р. (!)

Результаты сравнительного анализа методов обнаружения атак по предложенным критериям представлены в таблице 3.

Анализ показал, что ни один из рассмотренных методов не обладает одновременно адаптивностью, устойчивостью и верифицируемостью, обладая при этом вычислительной сложностью, подходящей для обнаружения атак в режиме реального времени.

С учетом обобщенного показателя Р, три метода обладают наилучшим значением в сравнении с другими: нейронные сети, статистический анализ и кластерный анализ.

В итоге в качестве метода обнаружения атак были выбраны нейронные сети, т.к. данный метод обладает меньшей сложностью обучения, чем статистический анализ и применяется для более сложных и многофакторных задач, чем кластерный анализ [8].

Приведенная актуальность и анализ в пунктах 1.3-1.4 показали, что перспективным направлением развития СОА является применение адаптивных методов анализа данных для обнаружения атак. Однако основным недостатком этих методов является большое число ложных срабатываний. [50,89]

Пусть поставлена бинарная задача проверки статистических гипотез: Н0 - основная гипотеза «Произошла атака»; Нх - альтернативная гипотеза «Произошло нормальное событие». Пусть задан статистический критерий ->{Я0,Я,} - отображение из множества всех возможных событий ПС X во множество гипотез. Тогда произошла ошибка 1-го рода критерия £ если критерий отверг верную гипотезу Н0, и ошибка 2-го рода критерия если критерий отверг верную гипотезу Н^ И вероятность ошибок 1-го ах(/) и 2-го а2(/) рода критерия f равны:

<х1(Л = Р„о(Ах)*Н0), а2(Л = Рн^/{х)ФНх).

(2) (3)

Теперь предлагается проводить распределенный анализ данных о состоянии ИС из п независимых источников. Тогда поставлено п бинарных задач проверки статистических гипотез и задано п статистических критериев f„i = \..n. Стоит задача определить вероятности ошибок 1-го и 2-го рода для всей COA в целом. Если COA способна совместно анализировать данные из различных источников согласно этапам реализации атак, приведенных в пункте 1.1, то вероятность ошибок 1-го и 2-го рода для COA, будет равна вероятности одновременного наступления нескольких или всех ошибок 1-го и 2-го рода для источников данных:

«,(/) = «/(/) n a,2 (f) п... о *,"(/), (4)

«г (Л = «г'СЛ n a2\f) n... n a2m(J), (5)

где aXf) - вероятность ошибки i-ro рода для COA, а/ (/) - вероятность ошибки i-ro рода для j-ro источника данных, m - количество источников, при анализе данных от которых были допущены ошибки.

Так как источники данных независимы и анализ данных проводится независимо для каждого источника, то, согласно определению условной вероятности независимых событий, ошибки 1-го и 2-го рода для COA равны:

«,(/) = Рн1 Ш*,) * Н\) ■ Рн1 (/202) ФИ2,)-... • Рн. (fm(xm) фЩ), (6)

«2(/) = PH¡ Ш*,) ^ Н\) ■ Рн1 (/2(х2) ^ Я,2) -...• Рн. (fm(xm) * ЯГ), (7)

где Я/ - i-ая гипотеза для j-ro источника данных.

Что дает нам оценки

7=1 т

а2(Л^ min^W^í). (9)

Заключение

Основной итог диссертационной работы состоит в разработке многоагентной системы обнаружения атак.

В процессе достижения основного результата были решены следующие задачи:

1. Исследованы особенности функционирования и структура информационных систем предприятий. Выделены основные типовые элементы ИС предприятия: автоматизированное рабочее место, сервер, сетевое оборудование, канал связи, и основные черты типовой ИС предприятия.

2. Исследованы наиболее распространенные атаки на информационную систему и процесс реализации атак. Выделены типовые стадии распределенных атак и особенности их обнаружения.

3. Исследованы существующие свободно распространяемые системы обнаружения атак: Snort, Bro, Prelude, OSSEC, STAT, по критериям многоуровневое™, адаптивности, проактивности, открытости, типа управления, защищенности. Анализ показал, что ни одна из COA не удовлетворяет полному набору критериев.

4. Исследованы методы обнаружения атак: анализ систем состояний, графы сценариев атак, нейронные сети, иммунные сети, экспертные системы, методы, основанные на спецификациях, сигнатурные методы, статистический анализ, кластерный анализ, по критериям адаптивности, вычислительной сложности, устойчивости, верифицируемости. По результатам исследования был выбран метод нейронные сети.

5. Разработаны структура и состав многоагентной системы обнаружения атак на основе результатов исследований структуры информационных систем предприятий и атак на информационную систему, включающая в себя агентов рабочих станций, серверов, маршрутизаторов и сетей.

6. Разработана структура агента системы обнаружения атак, включающая в себя ощущения, убеждения, ситуацию, цели и намерения.

7. Разработана модель представления знаний агентов о состоянии информационной системы на основе результатов исследования методов обнаружения атак, представляющая собой нейронную сеть.

8. Разработан метод совместного анализа агентами данных о состоянии информационной системы на основе голосования.

9. Разработан программный прототип всех предложенных методов и алгоритмов.

10. Разработана методика обнаружения атак с помощью разработанной многоагентной СОА.

11. Проведена оценка эффективности всех предложенных в диссертационном исследовании методов, используя разработанные программные решения. Экспериментальные исследования показали способность обнаруживать атаки, входящие в обучающую выборку и новые виды атак, не входящие в обучающую выборку, и уменьшение количества ошибок 1-го рода в 1,1 раз и уменьшение ошибок 2-го рода в 3,8 раз при использовании алгоритма принятия общего решения агентами.

По теме диссертации опубликовано 20 работ [61-81]. Результаты работы обсуждались на: XII, XIII Региональная конференция молодых исследователей Волгоградской области (г. Волгоград, 2008-2009 гг.), I, II, III, IV региональной научно-практической конференции «Проблемы обеспечения информационной безопасности в регионе» (г. Волгоград, 2008 -2011 гг.), X Международной научно-практической конференции «Информационная безопасность» (г. Таганрог, 2008 г.), I Всероссийской молодежной конференции по проблемам информационной безопасности

ПЕРСПЕКТИВА-2009 (г. Таганрог, 2009 г.), VI межрегиональной научно-практической конференции «Проблемы модернизации региона в исследованиях молодых ученых» (г. Волгоград, 2010 г.), VIII всероссийской научной конференции молодых ученых, аспирантов и студентов «Информационные технологии, системный анализ и управление» (г. Таганрог, 2010 г.), региональной научно-практической конференции «Актуальные вопросы информационной безопасности региона в условиях модернизации общества и внедрения инновационных технологий» (г. Волгоград, 2011 г.), I и II всероссийской научно-практической конференции «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» (г. Волгоград, 2012 - 2013 гг.).

Список использованных источников

1. Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ.

2. Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению: ГОСТ 19.301-79.

3. Защита информации. Основные термины и определения: ГОСТ Р 50922-2006.

4. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных: Приказ от 5 февраля 2010 г. N 58 // Федеральная служба по техническому и экспортному контролю.

5. Руководство по разработке профилей защиты и заданий по безопасности: Руководящий документ // Гостехкомиссия России, 2003 г.

6. Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты ИТ.СОВ.С4.ПЗ: Методический документ ФСТЭК России // Утвержден ФСТЭК России 3 февраля 2012 г.

7. Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты ИТ.СОВ.У4.ПЗ: Методический документ ФСТЭК России // Утвержден ФСТЭК России 3 февраля 2012 г.

8. User datagram protocol: RFC 768.

9. Internet protocol: RFC 791.

10. Internet control message protocol: RFC 792.

11. Transmission control protocol: RFC 793.

12. Internet protocol, version 6: RFC 2460.

13. Protocol Syslog: RFC 5424.

14. Formally deprecating some ICMPv4 message types: RFC 6918.

15. ACL message structure specification: Standard SC00061G // FIPA 2002/12/03.

16. Галушкин А. И. Нейрокомпьютеры и их применение. - М.: ИПРЖР, 2000. - Кн. 3.

17. Годин В.В., Корнеев И.К. Управление информационными ресурсами: 17-модульная программа для менеджеров "Управление развитием организации". Модуль 17. Часть 2. - М.: ИНФРА-М, 2000. - 352 с

18. Заенцев И.В. Нейронные сети. Основные модели. Воронеж, 1999

19. Избачков Ю.С., Петров В.Н. Информационные системы: Учеб. для вузов — 2-е изд. - СПб.: «Питер», 2003. - 688с.

20. Лукацкий A.B. Обнаружение атак. СПб.: БХВ-Петербург, 2001. 624с.

21. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений - Москва: Юнити 2001г.

22. Нечаев Ю.И. Искусственный интеллект: концепции и приложения. СПб.: ГМТУ, 2002

23. Норткат С, Новак Дж. Обнаружение нарушений безопасности в сетях.: пер. с англ. — М.: Изд. «Вильяме», 2003.

24. Олдер Р., Бабин Дж., Докстейтер А. [и др.] Snort 2.1. Обнаружение вторжений. 2-е издание.Пер. с англ. М.: БИНОМ, 2006 г. 656 с.

25. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. -М.: ACT, 2006.-504 с.

26. Смелянский PJL, Гамаюнов Д.Ю. Современные некоммерческие средства обнаружения атак // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2002 г.

27. Смелянский Р.Л., Качалин А.И. Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004.

28. Совский С. Нейронные сети для обработки информации / Пер. с польского И. Д. Рудинского. - М.: Финансы и статистика, 2002.

29. Тарасов В.Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика. - М.: Эдиториал УРСС, 2002. - 352 с.

30. Хокдал С. Дж. Анализ и диагностика компьютерных сетей.: Пер. с англ. - М.: Издательство «ЛОРИ», 2001. - 354с.

31. Чернецки К., Айзенекер У. Порождающее программирование: методы, инструменты, применение / Пер. с англ. СПб: Питер, 2005. 736 с.

32. Abraham A. and Thomas J., Distributed Intrusion Detection Systems: A Computational Intelligence Approach. // Applications of Information Systems to Homeland Security and Defense, Abbass H.A. and Essam D. (Eds.), Idea Group Inc. Publishers, USA, 2005

33. Alam M.S. APHIDS++: Evolution of A Programmable Hybrid Intrusion Detection System. // The University Of British Columbia, Vancouver, Canada, 2005

34. Amoroso, Edward, G., Intrusion Detection // 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999

35. Axelsson St., Research in Intrusion-Detection Systems: A Survey // Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999

36. Axelsson St., "Intrusion detection systems: A survey and taxonomy." // Technical Report 99-15, Chalmers Univ., March 2000

37. Bace R. An Introduction to Intrusion Detection Assessment for System and Network Security Management. 1999.

38. Balasubramaniyan J., Garcia-Fernandez J.O., Spafford E.H., Zamboni D., An Architecture for Intrusion Detection using Autonomous Agents. // Department of Computer Sciences, Purdue University; Coast TR 98-05; 1998

39. Blanc M., Oudot L., and Glaume V., Global Intrusion Detection: Prelude Hybrid IDS. // Technical Report, 2003

40. Bolzoni D., Etalle S., APHRODITE: an Anomaly-based Architecture for False Positive Reduction // University of Twente, The Netherlands, Arxiv preprint cs.CR/0604026,2006

41. Cheung S., Crawford R., Dilger M., Frank J., Hoagland J., Levitt K., Rowe J., Staniford-Chen S., Yip R., Zerkle D., The design of GrIDS: a graph-based intrusion detection system. // Technical Report CSE-99-2, Department of Computer Science, University of California at Davis, Davis, CA, January 1999.

42. Configuration Guide for Cisco Secure ACS 4.1. December 2006

43. Cui W., Katz R., and Tan W. BINDER: An Extrusion - Based Break-In Detector for Personal Computers. // Proc. USENIX Annual Technical Conference, 2005

44. Denning, Dorothy. An Intrusion-Detection Model. // IEEE Transactions on Software Engineering, Vol. SE-13, No. 2., 1987

45. Eckmann S.T., Vigna G., and Kemmerer R.A. STATL: An Attack Language for State-based Intrusion Detection. // Dept. of Computer Science, University of California, Santa Barbara, 2000.

46. Heady R., Luger G., Maccabe A., Servilla M., The architecture of a network level intrusion detection system. // Technical Report, University of New Mexico, Department of Computer Science, August 1990.

47. Jalili R., Imani-Mehr F., Amini M., Shahriari H.R., Detection of Distributed Denial of Service Attacks Using Statistical Pre-Processor and Unsupervised Neural Networks. // Lecture notes in computer science, 2005

48. Ko C., Execution Monitoring of Security-critical Programs in a Distributed System: A Specification-based Approach. // PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996

49. Kumar S. and Spafford E.H., A software architecture to support misuse intrusion detection. // Technical report, The COAST Project, Dept. of Comp. Sciences, Purdue Univ.,West Lafayette, IN, 47907-1398, USA, 17 March 1995

50. Lu W., Traore I., A new unsupervised anomaly detection framework for detecting network attacks in real-time. // Department of Electrical and Computer Engineering, University of Victoria, Lecture notes in computer science, 2005

51. Ptacek Т.Н., Newsham T.N., Insertion, evasion, and denial of service: eluding network intrusion detection. // Technical Report, Secure Networks, January 1998.

52. Sheyner O. Scenario Graphs and Attack Graphs. // PhD thesis, SCS, Carnegie Mellon University, 2004.

53. Shoham Y. Leyton-Brown K. Multiagent system. Algorithmic, Game-Theoretic, and Logical Foundations. 2009 r. 513 c.

54. SNORT. Users Manual 2.9.4 // The Snort Project. April 15, 2013

55. Stani ford Chen S., Cheung S., Crawford R., Dilger M., Frank J., Hoagland J., Levitt K., Wee C., Yip R., and Zerkle D., GrIDS—A graph based intrusion detection system for large networks. // In Proceedings of the 19th National Information Systems Security Conference, 1996

56. Vidal J.M. Fundamentals of Multiagent Systems. 2009 r.

57. Vigna G., Kemmerer R., NetSTAT: A Network-based Intrusion Detection Approach. // Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.

58. Zielinski M.P., Applying Mobile Agents in an Immune-system-based intrusion detection system. // University of South Africa, 2004

59. Negneyitsky M. Artificial intelligence: a guide to intelligent systems. Addison-Wesley, 2002.

60. Тараканов A.O. Математические модели обработки информации на основе результатов самосборки // Диссертация д.ф.-м.н., С.-П., 1999.

61. Цыбулин A.M., Никишова А.В., Умницын М.Ю. Исследование противоборства службы безопасности и злоумышленников на многоагентной модели // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2008, №8 (85), стр. 94 - 99

62. Никишова A.B. Многоагентная модель оценки защищенности информационной системы // Обозрение прикладной и промышленной математики, 2008, том 15, Выпуск 4, М.: ООО Редакция журнала «ОПиПМ», 2008, стр. 672-673

63. Никишова A.B. Архитектура типовой информационной системы для задачи обнаружения атак // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2011, №12 (125), стр. 104 - 109

64. Никишова A.B. Принципы функционирования многоагентной системы обнаружения атак // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность» - Таганрог: Изд-во ТТИ ЮФУ, 2012, №12 (137), стр. 28 - 33

65. Никишова A.B. Программный комплекс диагностики атак на информационную систему // XII Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2008, стр. 201 - 203

66. Цыбулин A.M., Никишова A.B., Умницын М.Ю. Интеллектуальная многоагентная модель противоборства службы безопасности и злоумышленников // Материалы X Международной научно-практической конференции «Информационная безопасность». 4.1. - Таганрог: Издательство ТТИ ЮФУ, 2008, стр. 141 - 143

67. Никишова A.B. Многоагентная модель взаимодействия службы безопасности и злоумышленников // XIII Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2009, стр. 208-212

68. Никишова A.B. Представление знаний в многоагентной модели // Проблемы обеспечения информационной безопасности в регионе: материалы II региональной научно-практической конференции. Волгоград, 27 марта 2009 года. - В.: Изд-во ВолГУ, 2009, стр. 43 - 46

69. Никишова A.B. Многогоагентное моделирование систем информационной безопасности // Записки семинара "Сверхмедленные процессы". Выпуск 4. - В.: Изд-во ВолГУ, 2009, стр. 165 - 168

70. Никишова A.B. Многоагентная модель взаимодействия злоумышленника и службы защиты информации. Формирование знаний // Материалы I Всероссийской молодежной конференции по проблемам информационной безопасности ПЕРСПЕКТИВА-2009. - Таганрог: Изд-во ТТИ ЮФУ, 2009, стр. 12-18

71. Никишова A.B. Многоагентные системы обнаружения атак // Проблемы обеспечения информационной безопасности в регионе: материалы III региональной научно-практической конференции, г. Волгоград, 20 апреля 2010 года. - В.: Изд-во ВолГУ, 2010, стр. 70 - 73

72. Никишова A.B. Применение многоагентных технологий для задачи обнаружения атак // Проблемы модернизации региона в исследованиях молодых ученых: материалы VI Межрегиональной научно-практической конференции, г. Волгоград, 30-31 марта 2010 г. - В.: Изд-во ВолГУ, 2010, стр. 353-354

73. Никишова A.B. Многоагентные системы обнаружения атак // Проблемы обеспечения информационной безопасности в регионе: материалы III региональной научно-практической конференции, г. Волгоград, 20 апреля 2010 года. - В.: Изд-во ВолГУ, 2010, стр. 70 - 73

74. Никишова A.B. Применение агентов для обнаружения атак на информационную систему // Информационные технологии, системный анализ и управление: сборник трудов VIII Всероссийской научной конференции молодых ученых, аспирантов и студентов, г. Таганрог, 2010г. -Т.: Изд-во ТИ ЮФУ, 2010, стр. 254-255

75. Никишова A.B. Многоагентная адаптивная система обнаружения атак на информационную систему // Проблемы обеспечения информационной безопасности в регионе: материалы IV Региональной науч.-

практ. конф., г. Волгоград, 25 марта 2011г. - В.: Изд-во ВолГУ, 2011, стр. 100-103

76. Никишова A.B. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 5. 2011 г. В.: Изд-во ВолГУ, 2011, стр. 35-37

77. Никишова A.B. Архитектура многоагентной системы обнаружения атак // Актуальные вопросы информационной безопасности региона в условиях модернизации общества и внедрения инновационных технологий: материалы Региональной научно-практ. Конф., г. Волгоград, 9-10 июня 2011 г. - В.: Изд-во ВолГУ, 2011, стр. 101 -103

78. Никишова A.B. Анализ источников сведений о состоянии сервера для задачи обнаружения атак // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы Всероссийской науч.-практ. конф., г. Волгоград, 27 апреля 2012г. - В.: Изд-во ВолГУ, 2012, стр. 165-167

79. Никишова A.B. Множество миров многоагентной системы обнаружения атак II Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012,стр. 87-88

80. Никишова A.B. Программный комплекс обнаружения атак на основе анализа данных реестра / А.Е. Чурилина, A.B. Никишова // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152-155

81. Никишова A.B. Кооперация агентов многоагентной системы обнаружения атак // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы II Всероссийской науч.-практ. конф., г. Волгоград, 26 апреля 2013г. - В.: Изд-во ВолГУ, 2013, стр. 118-120

82. Бочков M. В. Реализация методов обнаружения программных атак и противодействия программному подавлению в компьютерных сетях на основе нейронных сетей и генетических алгоритмов оптимизации // Сб. докл. VI Межд. конф. по мягким вычислениям и измерениям SCM'2003. - СПб.: СПГЭТУ, 2003. т. 1. С. 376 - 378.

83. Бочков М. В., Крупский С. А., Саенко И. Б. Применение генетических алгоритмов оптимизации в задачах информационного противодействия сетевым атакам. // Управление и информационные технологии. Всерос. науч. конф.. Сб. док. Том 2. - СПб.: ЛЭТИ, 2003. С. 13-16.

84. Веселов В.В., Елманов О.А., Карелов И.Н. Комплекс мониторинга информационных систем на основе нейросетевых технологий // Нейрокомпьютеры: разработка и применение. 2001, № 12.

85. Ивахненко А.Г., Савченко Е.А., Ивахненко Г.А., Гергей Т., Надирадзе А.Б., Тоценко В.Г. Нейрокомпьютеры в информационных и экспертных системах // Нейрокомпьютеры: разработка и применение. 2003, №2.

86. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор.- "Открытые системы", №07-08, 2002г.

87. Корнеев В.В., Васютин C.B. Самоорганизующийся иерархический коллектив экспертов // Нейрокомпьютеры: разработка и применение. 2003, № 2.

88. Котенко И. В., Карсаев А. В., Самойлов В. В. Онтология предметной области обучения обнаружению вторжений в компьютерные сети // Сб. докл. V Междунар. конф. SCM'2002. - СПб.: СПГЭТУ, 2002. т. 1. С. 255-258.

89. Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети. - Компьютер-Пресс, №7, 2000г.

90. Митин В.В. Борьба с внешними ИТ-угрозами на предприятиях малого и среднего бизнеса - PCWeek/RE, №19,2006г.

91. Нестерук Г. Ф., Осовецкий JI. Г., Нестерук Ф. Г. Адаптивная модель нейроеетевых систем информационной безопасности // Перспективные информационные технологии и интеллектуальные системы. 2003, № 3.

92. Нестерук Ф. Г., Осовецкий JI. Г., Нестерук Г. Ф., Воскресенский С.И. К моделированию адаптивной системы информационной безопасности // Перспективные информационные технологии и интеллектуальные системы. 2004, № 4, С.25 - 31.

93. Уэллс Б. Особенности WMI - "Windows & .NET Magazine/RE", #02/2003 г.

94. Ahmet О., OSSEC-HIDS Capabilities, Architecture and plans. // Presentation at the 5th Linux and Free Software Festival, Ankara, Turkey, 2006.

95. Bradshaw J.M., An introduction to software agents // J.M. Bradshaw (Ed.), Software Agents, AAA1 Press/MIT Press, Cambridge, MA, 1997, pp. 3-46 (Chapter 1).

96. Debar H., Dacier M., and Wespi A., Towards a Taxonomy of Intrusion Detection Systems. // Computer Networks, vol. 31, pp. 805-822, 1999

97. Debar H., Becker M., and Siboni D., A neural network component for an intrusion detection system. // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992

98. Habra J., Le Charlier В., Mounji A., and Mathieu L, ASAX: Software architecture and rule-based language for universal audit trail analysis. // In Yves Deswarte et al., editors, Computer Security - Proceedings of ESORICS 92, volume 648 of LNCS, pages 435^50, Toulouse, France, 23-25 November 1992

99. Helman, P., Liepins, G., and Richards, W. Foundations of Intrusion Detection. // Proceedings of the Fifth Computer Security Foundations Workshop pp. 114-120. 1992

100.Hochberg J., Jackson K., Stallings C., McClary J. F., DuBois D., and Ford J.. NADIR: An automated system for detecting network intrusion and misuse. // Computers & Security, 12(3):235-248, 1993

lOl.Ilgun К., Kemmerer R.A., and Porras P.A., State transition analysis: A rule-based intrusion detection approach. // IEEE Transactions on Software Engineering, 21(3): 181-199, March 1995

102.KumarS. and Spafford E.H., A pattern matching model for misuse intrusion detection. // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994

103.Paxson V., Bro: A System for Detecting Network Intruders in Real-Time. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999

104.Puketza N., Chung M., Olsson R.A. & Mukherjee B. (September/October, 1997). A Software Platform for Testing Intrusion Detection Systems. // IEEE Software, Vol. 14, No. 5

105.Ryan J., Lin M., Miikkulainen R. Intrusion Detection with Neural Networks. AI Approaches to Fraud Detection and Risk Management: Papers from the 1997 AAAIWorkshop (Providence, Rhode Island), pp. 72-79. Menlo Park, CA: AAAI. 1997.

106. Spafford E.H., Zamboni D., Intrusion detection using autonomous agents. // Computer Networks, 34(4):547-570, October 2000.

107.Бериков В.Б., Лбов Г.С. Современные тенденции в кластерном анализе // Информационно-коммуникационные технологии в образовании. Раздел 2. Математич. и алгоритмич. основы программирования [Электронная библиотека]

108.Борисов Е.С. Агенториентированная технология построения систем искусственного интеллекта // Дом-страница Евгения Сергеевича Борисова. 16 февраля 2003 г.

109.Борисов Е.С. Классификатор на основе многослойной нейронной сети // Дом-страница Евгения Сергеевича Борисова. 20 октября 2005 г.

110.Free Security Test // Trustware [Электронный ресурс]

111.Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году [Электронный ресурс]

112.McAfee Threats Report: Fourth Quarter 2012 By McAfee Labs [Электронный ресурс]

113. Security Response 11 Symantec [Электронный ресурс]

114.Suricata User Guide // Suricata [Электронный ресурс]: URL: http://suricata-ids.org

115.Vandoorselaere Y., Oudot L., Prelude, an Hybrid Open Source Intrusion Detection System [Электронный ресурс]: URL: http://www.prelude-ids.org/