Мониторинг и политика ограничения использования процессов на основе анализа их поведения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Прохоров, Роман Сергеевич

Введение

Актуальность темы исследования

Одной из главных задач при обеспечении информационной безопасности, является мониторинг процессов, который в свою очередь требует наличия надежной идентификации процессов. Прежде всего, идентификация процессов необходима при построении списка задач, выполняемых компьютерной системой. Анализ списка задач позволяет выявлять вредоносные и скрытые процессы. Также необходима идентификация процессов при реализации службы аудита, так как запись о каждом действии в системе должна содержать имя субъекта, выполнившего доступ.

Второй задачей, составляющей политику разграничения доступа в компьютерных системах, является ограничение использования программ Все современные операционные системы содержат механизмы ограничения возможности запуска тех или иных процессов для каждого из пользователей. В операционных системах семейства Linux данный механизм реализован с помощью запрета на исполнение файла для пользователя либо группы пользователей. В операционных системах семейства Windows реализована встроенная служба запрета запуска определенных процессов (Software restriction policies, SRP), позволяющая установить запрет па запуск по имени файла либо по хеш-значению исполняемого кода. Более совершенная реализация ограничения на запуск процессов присутствует в комплексных системах зашиты информации в виде замкнутых программных сред.

На сегодняшний день в прикладных задачах применяется три основных подхода к идентификации исполняемого кода: по имени исполняемого файла-источника, по хэш-значению исполняемого файла-источника, по данным из заголовка исполняемого файла-источника. Во всех случаях идентификация процесса происходит но исполняемому файлу-источнику, а не по контексту самого процесса. Вследствие этого всем стандартным методам идентификации присущ общий набор

недостатков. Во-первых, их достаточно легко обойти злоумышленнику с помощью модификации файла-источника. В первом случае достаточно изменить имя файла, а в двух других незначительные изменения содержимого исполняемого файла. Проблема может быть решена в рамках разделения доступа с помощью запрета на модификацию файла. Однако пользователь-злоумышленник может вносить в системы свои модифицированные файлы и запускать их на исполнение. Во-вторых, идентификация происходит исключительно до создания процесса. Все современные операционные системы позволяют заменить исполняемый код в рамках контекста одного процесса. Таким образом злоумышленник может запускать легитимный исполняемый код и подменять его нслигитимным в процессе выполнения. Это касается политики, организованной rio принципу как «черного списка», так и «белого».

Более того, известно немало фактов эксплуатации уязвимостей операционных систем с целью обхода ограничений безопасности, реализуемых SRP, AppLocker, UAC и т.п.. Для Windows наибольшую известность получили следующие уязвимости: злоупотребление runas, iKat CreateProcess, DLL Injection, Process-In-Memory-Patching и др. Стоит также отметить, что в в сети Интернет можно легко найти программное обеспечение, эксплуатирующее соответствующие уязвимости (например, iKat).

Одним из способов устранения недостатков традиционных методов идентификации исполняемого кода является дополнительная динамическая идентификация процессов в период их исполнения по действиям, производимым в системе. Идентификация процессов по их поведению позволяет повысить эффективность следующих встроенных средств защиты информации: система ограниченного запуска программ Windows, служба обеспечения замкнутой программной срсды в рамках комплексных систем защиты информации, монитор процессов для операционных систем Windows, служба аудита действий в системе.

На основе динамической идентификации процессов может быть реализован монитор процессов, позволяющий снизить риски следующих действий злоумышленника:

]. Запуск модифицированного исполняемого кода, запрещенного к выполнению в системе политикой ограниченного запуска программ Windows.

2. Нарушение замкнутой программной среды в рамках комплексной системы защиты информации путем запуска исполняемого кода с разрешенным именем и запрещенным кодом.

3. Попытка запуска запрещенного кода путем изменения имени и хэш-значения исполняемого файла. Задача предотвращения данной атаки решается путем сравнения списка процессов, формируемого стандартным диспетчером задач, со списком монитора процессов, формируемым на основе динамической идентификации процессов.

4. Попытка обхода системы аудита с помощью изменения имени процесса. Данная угроза может быть выявлена и предотвращена при сравнении стандартной службы аудита ОС Windows и записей динамического монитора процессов.

Таким образом, актуальной является задача разработки методики динамической идентификации процессов для создания дополнительных средств разграничения запуска программ и аудита действий процессов в системе. Также актуальным является реализация дополнительных средств защиты на базе динамической идентификации процессов.

Степень разработанности темы исследования

Области разработки методов и средств мониторинга процессов посвящены работы Ю.А. Брюхомицкого, Т.Р. Катаева, В.В. Костюкова, E.H. Крючкова, АЛО. Оладько, Г.А. Самигулиной и др. Стоит отметить, что методы распознавания аномального поведения, а также методы, применяемые в системах обнаружения вторжений, рассмотренные в работах C.B. Безобразова, С.С. Валеева, В.И. Ва-

сготъсва, М.Ю. Дьяконова, Д.М. Клионского, A.B. Корюкалова, В.Ф. Шапьгина и др., очень схожи с методами мониторинга процессов. Кроме того, имеются работы по системам мониторинга и обнаружения аномального поведения у зарубежных исследователей: J. Bhangoo, М. Damashek, Е. Eskin, S. Forrest., A.K. Ghosh, P. Helman, S. Hofmeyr, W. Lee, M. Schatz, A. Schwartzbard, C. Warrender и др.

Предлагаемые в большинстве работ решения используются для детектирования вредоносных и аномальных активностей в системе, а также для осуществления мониторинга действий пользователей и процессов. На данный момент центральной проблемой остается задача формирования образа (профайла) нормального поведения или образа поведения целевого процесса. Существует множество подходов к формированию этого образа. Однако многие из них не позволяют осуществлять анализ в реальном времени из-за жестких критериев оценки «нормальности», которые могут быть получены только после завершения процесса или высокой стоимости необходимых вычислений. Также часто не учитывается тот факт, что большое число процессов в современных операционных системах являются многопоточными, что делает затруднительным анализ четких последовательностей событий или системных вызовов.

Таким образом, создание легковесной системы, позволяющей осуществлять мониторинг одно- и многопоточных процессов в реальном времени, остается актуальной задачей.

Цель работы

Основной целыо диссертации является повышение безопасности операционных систем с помощью дополнительных средств защиты информации на основе идентификации процессов по их поведению.

Задачи исследования

1. Разработка алгоритмов фиксирования поведения процессов в системе в реальном времени.

2. Разработка методики идентификации процессов на основе анализа собранной информации об их поведении (динамического образа).

3. Разработка системы мониторинга и аудита процессов на основе их поведения в компьютерной системе.

4. Разработка системы ограничения использования программ по их поведению в компьютерной системе.

5. Разработка и реализация программного комплекса динамического мониторинга и аудита процессов, а также ограниченного использования программ и исследование эффективности работы программного комплекса.

Объект исследования

Объектом исследования являются процессы операционной системы семейства Windows и порождаемые ими события в компьютерной системе. Выбор операционной системы Windows обусловлен наличием в ней штатных механизмов генерации «событий» (events) при обращении процессов к системным службам.

Предмет исследования

Предметом исследования является эффективность систем защиты информации, базирующаяся на идентификации процессов в операционных системах семейства Windows.

Методы исследования

Для решения данного комплекса задач были использованы методы теории нейронных сетей, методы принятия решений, методы объектно-ориеитировапного программирования, методы формирования замкнутой программной среды, методы аудита действий в системе, а также методы ограниченного использования программ.

1. Алгоритмы фиксирования поведения процесса в операционной системе и формирования динамического образа процесса, позволяющие получать информацию о его действиях в реальном времени (п. 11. паспорта специальности 05.13.19).

2. Методика идентификации процесса по его динамическому образу на основе системы нейронных сетей, устойчивая к нефункциональным вставкам и чувствительная к изменению поведения (п. 11).

3. Система мониторинга и аудита процессов на основе их поведения в операционной системе, позволяющая следить за процессами на протяжении всей активности и выявлять скрытые процессы (и. 13, 14).

4. Система ограничения использования программ по поведению процессов в операционной системе, контролирующая использование процесса не только в момент запуска, но и во время его работы (и. 13).

5. Программный комплекс, реализующий разработанные системы мониторинга процессов, аудита процессов и ограниченного использования программ и повышающий эффективность системы защиты компьютерных систем под управлением ОС Windows (п. 11, 14).

Научная новизна

1. Разработаны алгоритмы фиксирования поведения процесса в операционной системе. Новизна состоит в том, что образ процесса формируется и анализируется без остановки протдссса, но при этом обладает всеми необходимыми признаками для идентификации процесса. Отличие предложенного алгоритма от традиционного состоит в том, что анализируется сам процесс, а не исполняемый файл-источник процесса.

2. Разработана методика идентификации процесса по его динамическому образу на основе системы нейронных сетей. Новизна состоит в использовании специализированного анализатора, включающего модуль предобра-

ботки последовательности событий, инициированных процессом, а также структуры нейронных сетей с модулем согласования выходов, ориентированного именно на распознавание динамических образов процессов. Отличие предложенной методики состоит в анализе действий, выполняемых программой, а не ее исполняемого кода.

3. Разработана система мониторинга и аудита процессов на основе их поведения в операционной системе. Новизна состоит в том, что система способна отслеживать и идентифицировать процессы на всем протяжении их «жизни», в отличие от традиционного диспетчера процессов, который идентифицирует процессы только в момент их запуска, а также встроенных систем аудита, которые используют идентификатор процесса, присвоенный ему при запуске, во всех записях о процессе.

4. Разработана система ограничения использования программ по поведению процессов в операционной системе. Новизна состоит в том, что ограничение использования программы может быть реализовано не только в момент запуска процесса, но и на любом этапе его выполнения, если поведение процесса становится аномальным.

5. Разработан программный комплекс, реализующий разработанные системы мониторинга процессов, аудита процессов и ограниченного использования программ, который повышает эффективность системы защиты компьютерных систем под управлением ОС Windows; разработанный программный комплекс зарегистрирован в «Фонде Алгоритмов и Программ Российской Академии Наук» под серийным номером PR13028 11 июля 2013 года.

Практическая и научная значимость результатов

Практическая значимость результатов заключается в разработке метода сбора достаточной для анализа информации о поведении процессов в реальном времени, методов идентификации процессов по поведению, монитора процессов и системы аудита, позволятощих идентифицировать и отслеживать процессы не только в мо-

мент их порождения, но и па всем протяжении их работы. Также предложена система ограниченного использования программ па основе динамической идентификации процессов, позволяющая устранять ряд недостатков традиционных систем подобного назначения.

Научная значимость результатов состоит в разработке методики идентификации процессов по их динамическому образу, которая может быть применена как в задачах защиты информации, гак и в системах диспетчеризации процессов в современных операционных системах.

Результаты внедрены на двух предприятиях.

Апробация работы

Основные результаты диссертации докладывались и обсуждались па следующих научных конференциях: XVI Международная научная конференция «Решет-невские чтения» (Красноярск, 2012); Международная научно-практическая конференция «Актуальные вопросы в научной работе и образовательной деятельности» (Тамбов, 2013); V Всероссийская научно-практическая конференция «Информационные технологии и автоматизация управления» (Омск, 2013); V Межрегиональная научно-практическая конференция «Информационная безопасность и защита персональных данных: проблемы и пути их решения» (Брянск, 2013); I Международная научно-практическая конференция «Информационная безопасность в свете стратегии Казахстаи-2050» (Астана, 2013), научная конференция «Математическое и компьютерное моделирование» (Омск, 2013).

Степень достоверности результатов работы

Достоверность основных результатов и положений диссертации подтверждается адекватностью применяемых методов и данными, полученными в процессе тестирования разработанных методов и алгоритмов.

Диссертация соответствует следующим пунктам паспорта специальности 05.13.19:

И. Технологии идентификации и аутентификации пользователей и субъектов информационных процессов. Системы разграничения доступа.

В диссертации предложен метод и разработан алгоритм идентификации процессов системы. На основе разработанного алгоритма разработан программный комплекс, позволяющий реализовать разграничение прав на использование программ.

13. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности.

Предложены системы мониторинга и аудита процессов, позволяющие повысить эффективность слежения за процессами в операционных системах, выявляющие скрытые процессы и совершенствующие существующие методы формирования замкнутой программной среды. Также предложена система ограничения использования программ по их поведению в операционной системе.

14. Модели, методы и средства обеспечения внутреннего аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности.

Разработанный метод идентификации процессов повышает эффективность аудита действий в системе, так как позволяет отслеживать процессы, скрывающиеся от стандартного диспетчера процессов.

Публикации

Материалы диссертации опубликованы в 11 печатных изданиях, из них 3 статьи в журналах из списка, рекомендованного ВАК.

Структура и объем диссертации

Диссертация содержит: введение, 3 основные главы, заключение и библиографический список. Общий объем диссертации 113 страниц, в диссертации присутствует 17 рисунков и 15 таблиц. Библиографический список содержит 128 источников.

Глава 1. Идентификация процессов по поведению

1.1. Введение

Задача идентификации процессов по их поведению схожа с задачами обнаружения аномального поведения и классификации процессов, так как основной целью применяемых методов является распознавание.

Современные системы анализа поведения процессов, происходящих в системе, делятся на две группы: системы, детектирующие процессы на соответствие сигнатурам определенных субъектов [14,15,48,51,78], и системы, детектирующие аномальное поведение определенного субъекта. В первом случае система имеет некую базу данных, состоящую из сигнатур, позволяющих опознать инородный процесс, если таковой появится в системе. Во втором случае система абстрагируется от составляющих процесс компонентов и пытается распознать наличие поведения, не свойственного для среды в целом. Как упоминалось выше, существуют и системы, объединяющие два данных подхода в различных пропорциях. Одним из примеров служит гибридная искусственная иммунная система [8]. Алгоритм сочетает в себе достоинства как сигнатурного анализа внутренней составляющей субъекта, так и анализ потока событий, связанных с данным процессом. Также существует система IDES [98], которая также объединяет оба подхода. Успешные попытки создания гибридных методик описаны в [106].

Вне сомнений, что сигнатурный анализ имеет преимущество над анализом аномального поведения: сигнатурный анализ более прост. К тому же, данный подход обеспечивает более низкие значения частот ошибок первого и второго рода. Однако, известно, что сигнатурный анализ нуждается в системе обновления и пополнения баз данных сигнатур в том или ином виде. Это является серьезным недостатком данного подхода: без обновления эффективность системы будет падать, и, следовательно, будет расти частота ошибок первого и второго рода.

Система распознавания аномального поведения способна отлавливать качественно новые вредоносные процессы, даже если не встречала их прежде. Вместо проверки на соответствие сигнатурам система распознавания аномального поведения чаще всего использует некие классификаторы и правила, позволяющие детектировать вторжение. Зачастую правила и классификаторы практически не нуждаются в обновлении — обновление необходимо лишь тогда, когда меняется понятие «нормального» поведения в среде. С другой стороны, такие системы, как правило, не способны определить тип атаки или атакующего процесса — система способна ответить лишь на вопрос, нормально ли поведение процесса или нет. Также при таком подходе наблюдается высокое значение частоты ошибок второго рода, когда нормальный процесс принимается за процесс с аномальным поведением. В таком случае «хороший» процесс «слегка» нарушает установленные правила и, как результат, оказывается «плохим».

Из этого всего можно сделать вывод, что основной проблемой в системах распознавания вредоносного программного обеспечения по сигнатурам является необходимость обновления базы данных сигнатур. В то время как основной проблемой систем обнаружения аномального поведения является изначальная установка параметров правил или критериев, используемых для классификации субъектов, и снижение частоты ложных срабатываний.

Изначально формирование правил и систем классификации осуществлялось с помощью человеческого ресурса— экспертами [57]. Но из-за стремительного роста объема анализируемых данных это стало слишком затратным по времени. С учетом того, что анализ требует серьезных интеллектуальных затрат, от этого метода пришлось быстро отказаться. Более того, такое формирование правил и систем классификации становилось сильно зависимым от обнаруженных специфических свойств тех или иных вредоносных субъектов. Для решения данной проблемы к решению задачи привлекались методы искусственного интеллекта (ИИ). В идеале, искусственный интеллект позволял бы системе идентифицировать такие процессы, с которыми система ранее не встречалась. Данное свойство еде-

лало методы искусственного интеллекта приоритетными для использования в задаче обнаружения вторжений. Но даже в таком случае оставалась центральной проблема определения модели поведения атакующего субъекта.

Основными направлениями при изучении эффективности использования искусственного интеллекта для решения поставленной задачи являются машинное обучение и интеллектуальный анализ данных (data mining) [41,67,97,99,109,113,123,125]. Для детектирования новых атак используются различные алгоритмы, такие как интеллектуальный анализ данных с использованием статистических методов [7,23,37,41,71] или методов классификации [43,45,58.74,77,93,95,99,107,110,117,126,127,128], а также метод опорных векторов [54,76,86,101.124]. Использовались и нейронные сети [42,55,56,61,65,82,96,109,121], обучающиеся как с учителем [9,36,53,62,100,102,118], так и без учителя [35,46,47,79,83,94]. Как известно, методы обучения с учителем используют набор пар паттернов «входные данные — ожидаемый ответ» для корректировки значений нейронов в нейронных сетях. Существуют и методы обучения без учителя, которые, в отличие от методов обучения с учителем, пытаются опознать аномальное поведение па основе полученных в прошлом знаний. Однако в работе [87] показано, что методы обучения без учителя дают результаты в среднем хуже, нежели методы обучения с учителем, если тестовые данные не содержат неизвестных атак. Среди разработанных подходов также стоит отметить подходы, основанные на функции расстояния аномального поведения от нормального поведения [33], а также комплексные подходы [10].

Эскином и другими исследователями [59,103] было предложено использовать методы обучения без учителя с еще не классифицированными данными. Данное предложение основывалось на мысли, что число нормальных процессов существенно больше, чем число аномальных, и аномальные процессы обладают рядом показателей, выпадающих из общего числа.

Форрест и ее коллегами было предложено построение программных профилей с помощью краткосрочных наборов системных вызовов, осуществляемых конкретным процессом [63]. Основной идеей являлось то, что последовательность системных вызовов в момент вторжения или атаки серьезно отличается от последовательностей вызовов нормальных процессов. Во время наблюдения за процессом формировалось представление о его поведении, и детектировалось аномальное поведение, если наблюдались серьезные различия. В качестве паттернов использовались lookahead-napbT — последовательности данных, указывающие, какой системный вызов следует за текущим. Длины таких цепочек варьировались. С помощью данного метода исследователями был получен приемлемый результат. Однако, в последующей работе [73] было установлено, что использование кадров жизни процесса, имеющих равную длину, дает более точное разделение нежели использование lookahead-nap [63].

Труд Форрест и ее единомышленников был дополнен Ли в работе по созданию программы, осуществляющей аудит системных вызовов, названной RIPPER'om (Repeated Incremental Pruning to Produce Error Reduction) [92]. Так как правила, сформированные RIPPER'om, могли быть ошибочными, использовался специальный алгоритм пост-обработки для установки факта вторжения. Этот алгоритм основывался на идее временной локализации и позволял отличать ложные предположения от реальных вторжений, в случае которых поведение атакующего субъекта выходило за рамки «нормального». Результаты, полученные Ли, позволили убедиться в том, что для идентификации субъекта (процесса) возможно использование списка системных вызовов, независимо от алгоритма, применяемого для их анализа.

Позже похожая работа была проведена участниками UNM group [81]. В работе использовались равновеликие кадры жизни процесса для определения наличия аномального поведения. Однако их работа серьезно отличалась анализом структуры системных вызовов, сделанных процессом. В процессе опытного анализа данных было установлено, что процессам свойственно повторение некоторых после-

довательностей системных вызовов, и такие повторы были свойственны для любой программы. Было также установлено, что программное поведение условно делится на три части: префикс (старт процесса), основная часть и постфикс (завершение процесса). Повторение было особенно заметным при старте и завершении процесса. В результате исследователями была предположена возможность построения конечного автомата для представления программного поведения на языке макросов. Для каждой программы выбирался макрос, который, как полагалось, максимально точно отражает нормальное поведение процесса. В случае несоответствия текущего поведения этому макросу детектировалось аномальное поведение процесса. К сожалению, процесс создания конечного автомата был процессом эвристическим — разработчиками вручную создавался каждый автомат. Это привело к тому, что данная методика не получила широкого распространения в реальных компьютерных системах. Более того, избыточно точный автомат мог создавать дополнительные проблемы.

В дополнение к работе UNM group исследователями из Айовы была также использована модель машины состояний для анализа программного поведения [112]. Однако, их подход не предназначался для обнаружения аномального поведения, как в вышеописанных работах. При этом, данный подход нуждался в разработке спецификационной модели поведения процесса. Для разработки представления ожидаемого и разрешенного поведений, основанных на спецификационной модели, использовался язык спецификации аудита (audit specification language, ASL). Аномальное поведение детектировалось при несоответствии ожиданий, установленных в модели, и текущих результатов деятельности процесса или запросов к важным или критичным ресурсам. Модель, использованная в данном подходе схожа с моделью «песочницы», в которой программное поведение ограничивается в соответствии с политикой приемлемого программного поведения [70,80].

Список литературы

1. Бсзобразов C.B. Искусственные иммунные системы для защиты информации: обнаружение и классификация компьютерных вирусов / C.B. Бсзобразов // Научная сессия МИФИ «Нейроинформатика»: материалы Вссросс. науч. конф., МИФИ. 2008. С. 23-27.

2. Безобразов C.B. Искусственные иммунные системы для защиты информации: применение LVQ сети / C.B. Безобразов // Нейроинформатика-2007: материалы IX Всеросс. пауч.-техн. конф., Москва. 2007. С. 27-35.

3. Белим C.B. Идентификация процессов по их поведению в компьютерной системе / C.B. Белим, P.C. Прохоров // Проблемы информационной безопасности. Компьютерные системы. 2013. №2 (2). С. 7—12.

4. Брюховецкий A.A. Обнаружение вторжений в компьютерных сетях на основе иммунологических принципов / A.A. Брюховецкий, A.B. Скатков // Оп-тим1зац1я виробиичих процеав: зб. наук. пр. Вип. 2011. №13. С. 115-118.

5. Брюхомицкий Ю.А. Использование принципов построения и функционирования иммунных систем в компьютерной безопасности / Ю.А. Брюхомицкий // Материалы XII Международной научно-практической конференции «Информационная безопасность». Ч. 1. 2012. С. 3-10.

6. Брюхомицкий Ю.А. Мониторинг информационных процессов методами искусственных иммунных систем / Ю.А. Брюхомицкий // Известия ЮФУ. Технические науки. 2012. №12. С. 82-90.

7. Булахов Н.Г. Методы обнаружения и обезвреживания саморазмножающихся вирусов / Н.Г. Булахов, В.Т. Калайда // Доклады ТУСУРа. 2008. №2 (18). С. 78-82.

8. Ваганов М.Ю. Разработка искусственной иммунной системы, предназначенной для обнаружения заражений компьютерной системы / М.Ю. Ваганов //Безопасность информационных технологий. 2012. №1. С. 80-81.

9. Валеев С.С. Пейросетевая система анализа аномального поведения вычислительных процессов в микроядерной операционной системе / С.С. Валеев, М.Ю. Дьяконов // Вестник УГАТУ. 2012. №5 (40). С. 198-204.

10. Васильев В.И. Комплексный подход к построению интеллектуальной системы обнаружения атак / В.И. Васильев, Т.Р. Катаев, JI.A. Свечников // Системы управления и информационные технологии. 2007. №2. С. 76-81.

11. Гаврилюк C.B. Применение искусственных иммунных систем для защиты сред распределенных вычислений от вредоносного программного обеспечения / C.B. Гаврилюк, Б.Н. Оныкий, A.A. Станкевичус // Безопасность информационных технологий. 2010. №6. С. 32-34.

12. Катаев Т.Р. Применение искусственной иммунной системы для решения задачи обнаружения атак / Т.Р. Катаев // Материалы 3-й Всероссийской зимней школы - семинара аспирантов и молодых ученых. 2008. С. 326-332.

13. Кашаев Т.Р. Система активного аудита / Т.Р. Кашаев // Информационная безопасность: Материалы VII Международной научно-практической конференции. - Таганрог: Изд-во ТРТУ. 2005. С. 139-142.

14. Корюкалов A.B. Анализ последовательностей API-вызовов во вредоносном программном обеспечении / A.B. Корюкалов, А.Н. Малышев, JI.IO. Ротков // Труды Научной конференции по радиофизике, ИНГУ. 2008. С. 267-268.

15. Корюкалов A.B. Анализ потоков данных в коде архитектуры х86 / A.B. Корюкалов, JI.IO. Ротков, В.А. Фролов // Труды Научной конференции по радиофизике, ННГУ. 2008. С. 266-267.

16. Котов В.Д. Система обнаружения сетевых вторжений на основе механизмов иммунной модели / В.Д. Котов, В.И. Васильев // Известия ЮФУ. Технические пауки. 2011. №12 (125). С. 180-190.

17. Литвиненко В.И. Искусственные иммунные системы как средство индуктивного построения оптимальных моделей сложных объектов / В.И. Литвиненко // Проблемы управления и информатики. 2008. №3. С. 43-61.

18. Литвиненко В.И. Кластерный анализ данных на основе модифицированной иммунной сети / В.И. Литвиненко // УСиМ. 2009. №1. С. 54—61.

19. Оладько А.Ю. Модель адаптивной многоагентной системы защиты в ОС Solaris 10 / А.Ю. Оладько // Известия ЮФУ. Технические науки. 2011. №12 (125). С. 210-217.

20. Оладько А.Ю. Подсистема мониторинга и аудита информационной безопасности в операционной системе LINUX / А.Ю. Оладько // Известия ЮФУ. Технические науки. 2012. №2. С. 22-28.

21. Прохоров Р. С. Бихевиористическая идентификация процессов / P.C. Прохоров // Математические структуры и моделирование. 2013. №1 (27). С. 103— 112.

22. Прохоров Р. С. Бихевиористический анализ процессов на основе мульти-нейронной сети / P.C. Прохоров // Решетневские чтения. Материалы XVI Международной научной конференции. 2012. С. 675.

23. Прохоров Р. С. Выявление процессов с аномальным использованием ресурсов по общему состоянию системы / P.C. Прохоров // Вестник омского университета. 2012. №2 (64). С. 191-193.

24. Прохоров Р. С. Идентификация образа процесса по его поведению с помощью нейронных сетей / P.C. Прохоров // Информационная безопасность и защита персональных данных: проблемы и пути их решения. 2013. С. 74—77.

25. Прохоров Р. С. Методика бихевиористического распознавания процессов в операционной системе Windows 7 / P.C. Прохоров // Вопросы защиты информации. 2013. №4. С. 54-57.

26. Прохоров Р. С. Методика бихевиористической классификации процессов в операционной системе Windows 7 / Р. С. Прохоров // Информационные технологии и автоматизация управления. 2013. С. 163-165.

27. Прохоров P.C. Идентификация процессов в операционной системе WINDOWS 7 по их поведению / P.C. Прохоров // Математическое и компьютерное моделирование: сборник материалов научной конференции. 2013. С. 87-89.

28. Прохоров P.C. Использование методики бихевиористической классификации субъектов в функциональных средах для идентификации процессов в операционной системе Windows 7 / P.C. Прохоров // Информационная безопасность в светс стратегии Казахстатт-2050: сборник трудов международной научно-практической конференции. 2013. С. 478-483.

29. Прохоров P.C. Методика бихевиористической идентификации субъектов в функциональной среде / P.C. Прохоров // Актуальные вопросы в научной работе и образовательной деятельности. Ч. 6. 2013. С. 116-117.

30. Прохоров P.C. Свидетельство о регистрации программы: Incinerate. Анализатор поведения процессов / PC. Прохоров // Фонд Алгоритмов и Программ Российской Академии Наук. 2013. URL: http://fap.sbras.ru/node/3978.

31. Самигулина Г.А. Интеллектуальный анализ данных для систем промышленной автоматизации па основе искусственных иммунных систем / ПА. Сами-1упина, З.И. Самигулина // Вестник национального технического университета харьковский политехнический институт. Серия: Информатика и Моделирование. 2013. №19 (992). С. 139-145.

32. Самигулина Г.А. Разработка интеллектуальных экспертных систем прогнозирования и управления на основе искусственных иммунных систем / Г.А. Самигулина // Проблемы информатики. 2010. №1. С. 15-22.

33. Сангалов В.А. Определение аномального поведения процессов на основе их процессорных вызовов в операционных системах семейства UNIX /В.А. Сангалов, C.B. Корелов, Л.Ю. Ротков // Труды Научной конференции по радиофизике, ННГУ. 2008. С. 274-276.

34. AForge .NET [Электронный ресурс]. 2013. URL: http://www.aforgenet.com (дата обращения: 28.07.2013).

35. Amini M. RT-UNID: A practical solution to real-time network-based intrusion detection using unsupervised neural networks / M. Amini, R. Jalili, H. Shahriari // Computers Security Journal. 2006. Vol. 25. R 459-468.

36. Anbalagan E. Datamining and Intrusion Detection Using Back-Propagation Algorithm for Intrusion Detection / E. Anbalagan, C. Puttamadappa, E. Mohan, B. Jayaraman, M. Srinivasarao // International Journal of Soft Computing. 2008. Vol. 3 (4). P. 264-270.

37. Anderson D. Detecting Unusual Program Behavior Using the Statistical Component of the Next-generation Intrusion Detection Expert System / D. Anderson, T.F. Lunt, H. Javitz, A. Tamara, A. Valdes. Computer Science Laboratory, 1995. 77 p.

38. Axelsson S. Research in intrusion-detection systems: A survey. Technical report TR 98-17 / S. Axelsson // Göteborg, Sweden: Department of Computer Engineering, Chalmers University of Technology. 1999.

39. Barbara D. ADAM: A testbed for exploring the use of data mining in intrusion detection / D. Barbara, J. Couto, S. Jajodia, N. Wu // ACM SIGMOD Record. 2001. Vol. 30 (4). P. 15-24.

40. Barbara D. An architecture for anomaly detection / D. Barbara, J. Couto, S. Jajodia, N. Wu. Applications of Data Mining in Computer Security, 2002. 252 p.

41. Barbara D. Detecting novel network intrusions using Bayes estimators / D. Barbara, N. Wu, S. Jajodia // First SIAM Conference on Data Mining, Chicago, IL. 2001.

42. Beghdad R. Critical study of neural networks in detecting intrusions / R. Beghdad // Computers and Security. 2008. Vol. 27 (5-6). P. 168-175.

43. Burbeck K. ADWICE - anomaly detection with real-time incremental clustering / K. Burbeck, S. Nadjm-tehrani // In Proceedings of the 7th International Conference on Information Security and Cryptology. 2004.

44. Carrasco R.C. Learning stochastic regulargrammars by means of a state merging method / R.C. Carrasco, J. Oncina // In Proceedings of the Second International ICGI Colloquium on Grammatical Inteference and Applications. 1994. P. 139— 152.

45. Cha S.H. Comprehensive survey on distance/similarity measures between probability density functions / S.H. Cha // International Journal of Mathematical Models and Methods in Applied Science. 2007. Vol. 1 (4). P. 300-307.

46. Chang R.I. Intrusion Detection by Back-propagation Neural Networks with Sample-Query and Attribute-Query / R.I. Chang, L.B. Lai // International Journal of Computational Intelligence Research. 2007. Vol. 3 (1). P. 6-10.

47. Chang R.I. Unsupervised query-based learning of neural networks using selective-attention and self-regulation / R.I. Chang, P.Y. Hsiao // IEEE Trans, on Neural Networks. 2007. Vol. 8 (2). P. 205-217.

48. Christodorescu M. Semantics-aware malware detection / M. Christodorescu, S. Jha, S. Seshia, D. Song, R. Bryant // the IEEE Symposiumon Security and Privacy. 2005.

49. Cohen W.W. Fast effective rule induction / W.W. Cohen // Machine Learning: the 12th International Confcrcncc. 1995.

50. D'haeseleer P. An Immunological Approach to Change Detection: Algorithms, Analysis, and Implications / P. D'haeseleer, S. Forrest, P. Helman // The 1996th IEEE Symposium on Computer Securityand Privacy. 1996. P. 110-119.

51. Dai J. Efficient Virus Detection Using Dynamic Instruction Sequences / J. Dai // Journal of Computers. 2009. Vol. 3 (5). P. 405.

52. Damashek M. Gauging similarity with n-grams: Language independent categorization of text / M. Damashek // Science. 1995. Vol. 267. P. 843-848.

53. Dao V.N.P. A Performance Comparison of Different Back Propagation Neural Networks Methods in Computer Network Intrusion Detection / V.N.P. Dao. V.R. Vemuri // Differential Equations and Dynamical Systems. 2002. Vol. 10 (1,2). P. 201-214.

54. Davenport M. Learning minimum volume sets with support vector machines / M. Davenport, R. Baraniuk, C. Scott // IEEE Int. Workshop on Machine Learning for Signal Processing. 2006.

55. Debar H. A neural network component for an intrusion detection system / H. Debar, M. Becker, D. Siboni // IEEE Computer Society Symposium on Research in Computer Security and Privacy. 1992. P. 240-250.

56. Debar H. Application of a Recurrent Network to an Intrusion Detection System / H. Debar, B. Dorizzi // International Joint Conference on Neural Networks. 1992. P. 478-483.

57. Denning D. An intrusion-detection model / D. Denning // IEEE Transactions on Software Engineering. 1987. Vol. 13 (2). P. 222-232.

58. Dunn J. C. Well separated clusters and optimal fuzzy partitions / J.C. Dunn // Journal of Cybernetics. 1974. Vol. 4 (1). P. 95-104.

59. Eskin E. A geometric framework for unsupervised anomaly detection / E. Eskin, A. Arnold, M. Prerau, L. Portnoy // Application of Data. 2002.

60. Event Tracing (Windows) [Электронный ресурс]. 2013. URL: http://msdn.microsoft.com/ru-

RU/library/windows/desktop/bb96 8 8 03 (v=vs. 8 5).aspx (дата обращения: 18.03.2013).

61. Faraoun K.M. Neural networks learning improvement using the K-means clustering algorithm to detect network / K.M. Faraoun, A. Boukelif // International Journal of Computational Tnteligcncc. 2006. Vol. 3 (2). P. 161-168.

62. Fares A. Intrusion Detection: Supervised Machine Learning / A. Fares, M. Sharawy // Journal of Computing Science and Engineering. 2011. Vol. 5 (4). P. 305-313.

63. Forrest S. A sense of self for unix processes / S. Forrest, S.A. Hofmeyr, A. Somayaji, T.A. Longstaff // 1996 TEEE Symposium on. 1996.

64. Forrest S. Computer immunology / S. Forrest, S.A. Hofmeyr, A. Somayaji // Communications of the ACM. 1997. Vol. 40 (10). P. 88-96.

65. Fox K.L. A neural network approach towards intrusion detection / K.L. Fox, R.R. Henning. J.II. Reed, R.R Simonian // Proceedings of 13th National Computer Security Conference. 1990. P. 125-134.

66. Frank J. Artifcial intelligence and intrusion detection: Current and future directions / J. Frank // 7th Nat'l Computer Security Conference. 1994.

67. Ghosh A.K. A study in using neural networks for anomaly and misuse detection. / A.K. Ghosh, A. Schwartzbard // In Proceedings of the 8th USENIX Security Symposium. 1999.

68. Ghosh A.K. Detecting anomalous and unknown intrusions against programs / A.K. Ghosh, J. Wanken, R. Charron // In Proceedings of the 14th annual computer security applications conference. 1998. P. 259-267.

69. Ghosh A.K. Learning program behavior profiles for intrusion detection / A.K. Ghosh, A. Schwartzbard, M. Schatz // ...on Intrusion Detection and.... 1999.

70. Goldberg I. A secure environment for un-trusted helper applications: Conning the wiley hacker /1. Goldberg, D. Wagner, R. Thomas, E. Brewer // In Proceedings of the 1996 Usenix Security Symposium. USENIX. 1996.

71. Hajji H. Statistical analysis of network traffic for adaptive faults detection / H. Hajji // IEEE Trans. Neural Networks. 2005. Vol. 16 (5). P. 1053-1063.

72. Helman P. A statistically based system for prioritizing information exploration under uncertainty / P. Helman, J. Bhangoo // IEEE Transactions on Systems, Man and Cybernetics, Part A: Systems and Flumans. 1997. Vol. 27 (4). P. 449-466.

73. Ilofmeyr S.A. Intrusion detection using sequences of system calls / S.A. Hofmcyr, S. Forrest, A. Somayaji //Journal of Computer Security. 1998. Vol. 6. P. 151-180.

74. Hsu C.C. Incremental clustering of mixed data based on distance hierarchy / C.C. Hsu, Y.P. Huang II Expert Syst. Appl. 2008. Vol. 35 (3). P. 1177-1175.

75. Hu W. Robust support vector machines for anomaly detection / W. Hu // International Conference on Machine Learning and Applications. 2003. P. 23-24.

76. Hu W. Robust support vector machines for anomaly detection in computer security / W. Hu, Y. Liao, V.R. Yemuri // International Conferenceon Machine. 2003.

77. Hubert L. Quadratic assignment as a general data-analysis strategy / L. Hubert, J. Schultz // British Journal of Mathematical and Statistical Psychology. 1976. Vol. 29. P. 190-241.

78. Jha S. Static analysis of exccutables to detect malicious patterns / S. Jha // USENIX Security Symposium. 2003.

79. Kayacik H.G. A hierarchical SOM-based intrusion detection system / H.G. Kayacik, A.N. Zincir-I ley wood, M.I. Ileywood // Engineering Applications of Artificial Intelligence. 2007. Vol. 20 (4). P. 439-451.

80. Ko C. Automated detection of vulnerabilities in privileged programsby execution monitoring / C. Ko, G. Fink, K. Levitt // 10th Annual Computer Security Application Conference. 1994.

81. Kosoresow A.P. Intrusion detection via system call traces / A.P. Kosoresow, S.A. Hofmeyr// Software. 1997. Vol. 14 (5). P. 35-42.

82. Kotulski Z. Analysis of Different Architectures of Neural Networks for Application in Intrusion Detection Systems / Z. Kotulski, P. Kukielka // International Multi conference on Computer Science and Information Technology. 2008. P. 807-811.

83. Labib K. NSOM: A real-time network-based intrusion detection system using self-organizing maps / K. Labib, R. Vemuri // Technical report, Dept. of Applied Science, University of California. 2002.

84. Lane T. Sequence matching and learning in anomaly detection lor computer security / T. Lane, C.E. Brodlcy // AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management. 1997. P. 43-49.

85. Lane T. Temporal sequence learning and data reduction for anomaly detection / T. Lane, C.E. Brodley // Proceedings of 5th conference on computer and communications security. 1999. P. 150-158.

86. Laskov P. Incremental support vector learning: Analysis, implementation and applications / P. Laskov, C. Gchl, S. Kruger, K.R. Muller // Journal of Machine Learning Research. 2006. Vol. 7. P. 1909-1936.

87. Laskov P. Learning intrusion detection: supervised or unsupervised? / P. Laskov, P. Dussel, C. Schafer, K. Rieck // Image Analysis and Processing, Proceedings of 13th ICIAP Conference. 2005. P. 50-57.

88. Lee W. A data mining and CIDF based approach fordetecting novel and distributed intrusions / W. Lee, R. Nimbalkar, K. Yee, S. Patil, P. Desai, T. Tran, S.J. Stolfo // 3rd International Workshop on Reccnt Advances in Intrusion Detection. 2000.

89. Lcc W. Data mining approaches for intrusion detection / W. Lee, S.J. Stolfo // 1998 USENIX Security Symposium. 1998.

90. Lee W. Data mining in work flow environments: Experiences in intrusion detection / W. Lee, S.J. Stolfo, K. Mok // Conference on Knowledge Discovery and Data Mining (KDD-99). 1999.

91. Lee W. Information-theoretic measures for anomaly detection / W. Lee, D. Xiang // Proceedings of 2001 IEEE symposium on security and privacy. 2001. P. 140-143.

92. Lcc W. Learning patterns from unix pro-cess execution traces for intrusion detection / W. Lee, S.J. Stolfo, P.K. Chan // AAAT Workshop on AI Approaches to Fraud. 1997.

93. Li J. A novel clustering method with network structure based on clonal algorithm / J. Li, X. Gao, L. Jiao // Proceedings of International Conference on Acoustics, Speech, and Signal Processing. 2004. P. 793-796.

94. Lichodzijewski P. Dynamic intrusion detection using self-organizing maps / P. Lichodzijewski, A. Zincir-Heywood, M. Heywood // 14th Annual Canadian Information Technology Security Symp. 2002.

95. Likas A. The global k-means clustering algorithm / A. Likas, N. Vlassis, J.J. Verbeek // Pattern Recognition. 2003. Vol. 36 (2). P. 451-461.

no

96. Liu G. Hierarchical intrusion detection model based on the PCA neural networks / G. Liu, Z. Yi, S. Yang //Neurocomputing. 2007. Vol. 70 (7-9). P. 1561-1568.

97. Lo D. Classification of Software Behaviors for Failure Detection: A Discriminative Pattern Mining Approach / D. Lo, H. Cheng, J. Han, S.C. Khoo, C. Sun // KDD'09. 2009.

98. Lunt T.F. IDES: The Enhanced Prototype. A real-Time Intrusion Detection Expert System / T.F. Lunt, R. Jagannathan, R. Lee, S. Listgarten // Final Technical Report. 1998.

99. Mahoney M. Learning nonstationary models of normal network traffic fordetecting novel attacks / M. Mahoney, P. Chan // Proceedings of 8th International Conference on Knowledge Discovery and Data Mining. 2002. P. 376-385.

100. Mukhopadhyay I. Back propagation neural network approach to Intrusion Detection System / I. Mukhopadhyay, M. Chakraborty, S. Chakrabarti, T. Chatterjee // Reccnt Trends in Information Systems (ReTIS), 2011 International Conference on. 2011. P. 303-308.

101. Mukkamala S. Intrusion Detection Using Support Vector Machines / S. Mukkamala, G.I. Janoski, A.H. Sung // Proceedings of the High Performance Computing Symposium - HPC 2002. 2002. P. 178-183.

102. Naoum R.S. An Enhanced Resilient Backpropagation Artificial Neural Network for Intrusion Detection System / R.S. Naoum, N.A. Abid, Z.N. Al-Sultani // IJCSNS International Journal of Computer Science and Network Security. 2012. Vol. 12(3). P. 11-16.

103. Portnoy L. Intrusion detection with unlabeleddata using clustering / L. Portnoy, E. Eskin, S. Stolfo //ACM CSS Workshop on Data. 2001.

104. Rabiner L.R. A tutorial on Hidden Markov Models and selected applications in speech recognition / L.R. Rabiner // Proceedings of the IEEE. 1989. Vol. 77 (2). P. 257-286.

105. Rabiner L.R. An introduction to Hidden Markov Models / L.R. Rabiner, B.II. Juang//IEEE ASSP Magazine. 1986. Vol. 1. P. 4-16.

106. Rasoulifard A. Incremental Hybrid Intrusion Detection Using Ensemble of Weak Classifiers / A. Rasoulifard, A.G. Bafghi, M. Kahani // Communications in Computer and Information Scicnce. 2008. Vol. 6. P. 577-584.

107. Ren F. Using density-based incremental clustering for anomaly detection / F. Ren, L. Hu, H. Liang, X. Liu, W. Ren // Proceedings of the 2008 International Conference on Computer Science and Software Engineering. 2008. P. 986-989.

108. Ron D. The power of amnesia: Learning probabilistic automata with variable memory length / D. Ron, Y. Singer, N. Tishby // Machine Learning. 1996. P. 117149.

109. Ryan J. Intrusion detection with neural networks / J. Ryan, M..T. Lin, R. Miikkulainen // Proceedings of AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management, AAATPress. 1997. P. 72-77.

110. Savaresi S. Cluster selection in divisive clustering algorithms / S. Savaresi, D.L. Boley, S. Bittanti, G. Gazzaniga // 2nd SI AM Int'l Conf. onData Mining. 2002. P. 299-314.

111. Sckar R. A fast automaton-based method for detecting anomalous program behaviors / R. Sekar, M. Bendre, D. Dhurjati, P. Bollineni // Proceedings of 2001 IEEE symposium on security and privacy. 2001. P. 144—155.

112. Sekar R. A specication-based approach for building survivable systems / R. Sekar, Y. Cai, M. Segal // Proceedings of the 1998 National Information Systems Security Conference (NISSC'98). 1998. Vol. 11. P. 338-347.

113. Shah H. Fuzzy clustering for intrusion detection / H. Shah, J. Undercoffer, A. Joshi // Proceedings of the 12th IEEE International Conference on Fuzzy Systems. 2003. P. 1274-1278.

114. Somayaji A. Principles of a Computer Immune System / A. Somayaji, S. Hofmeyr, S. Forrest // NSPW '97 Proceedings of the 1997 workshop on New security paradigms. 1997. P. 75-82.

115. Stolfo S.J. Cost-sensitive modeling for fraud and intrusion detection: Results from the JAM project / S.J. Stolfo, W. Fan, W. Lee. A. Prodromidis, P. Chan // DARPA Information Survivability Conference and Exposition. 2000.

116. Stolfo S.J. JAM: Java agents for meta-learning over distributed databases. / S.J. Stolfo, A.L. Prodromidis, S. Tselepis, W. Lee, D.W. Fan, P.K. Chan // 3rd International Conference on Knowledge Discovery and Data Mining. 1997. P. 74-81.

117. Storlokken R. Labelling clusters in an anomaly based IDS by means of clustering quality indexes / R. Storlokken // Master's thesis, Faculty of Computer Science and Media Technology Gjvik University College. 2007.

118. Sun N.Q. Intrusion Detection Based on Back-Propagation Neural Network and Feature Selection Mechanism / N.Q. Sun, Y. Li // Future Generation Information Technology Lecture Notes in Computer Science. 2009. P. 151-159.

119. Tan P.N. Introduction to Data Mining / P.N. Tan, M. Steinbach, V. Kumar // 4th edition ed. Dorling Kindersley (India) Pvt. Ltd. 2009.

120. Teng H.S. Adaptive real-time anomaly detection using inductively generated sequential patterns / H.S. Teng, K. Chen, S.C. Lu // Proceedings of 1990 IEEE symposium on security and privacy, IEEE Computer Socitey, Los Alamitos. 1990. P. 274-284.

121. Wang G. A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering / G. Wang, J. Hao, J. Mab, L. Huang // Expert Systems with Applications. 2010. Vol. 37 (9). P. 6225-6232.

122. Warrender C. Detecting Intrusions Using System Calls: Alternative Data Models / C. Warrender, S. Forrest, B. Pearlmutter // IEEE. 1999.

123. Xu X. Adaptive Intrusion Detection Based on Machine Learning: Feature Extraction, Classifier Construction and Sequential Pattern Prediction / X. Xu // International Journal of Web Services Practices. 2006. Vol. 2 (1-2). P. 49-58.

124. Xu X. Adaptive network intrusion detection method based on PCA andsupport vector machines / X. Xu, X.N. Wang // Lecture Notes in Artificial Intelligence, ADMA, LNAI3584. 2005. P. 696-703.

125. Yeung D.Y. Host-based intrusion detection using dynamic and staticbehavioral models / D.Y. Yeung,Y.X. Ding // Pattern Recognition. 2003. Vol. 36. P. 229-243.

126. Yu W.Y. An incremental-learning method for supervised anomaly detection by cascading service classifier and iti decision tree methods / W.Y. Yu, H.M. Lee // Proceedings of the Pacific Asia Workshop on Intelligence and Security Informatics. 2009. P. 155-160.

127. Zhang T. Birch: an efficient data clustering method for very large databases / T. Zhang, R. Ramakrishnan, M. Livny // SIGMOD Ree. 1996. Vol. 25 (2). P. 103114.

128. Zhong C. Incremental clustering algorithm for intrusion detection using clonal selection / C. Zhong, N. Li // In Proceedings of the 2008 IEEE Pacific-Asia Workshop on Computational Intelligence and Industrial Application. 2008.