Нейросетевая система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Дьяконов, Максим Юрьевич

Актуальность темы

Основной задачей исследований* в области защиты информации-является совершенствование известных и разработка новых методов, алгоритмов' обеспечения безопасности информации в процессе ее сбора, хранения, обработки, передачи и распространения. В документе «Приоритетные проблемы научных исследований» в области обеспечения информационной, безопасности Российской Федерации» приведен список приоритетных направлений научных исследований, в числе которых под номером 63 указано* следующее: «Исследование проблем обнаружения компьютерных атак на информационно-телекоммуникационные системы и противодействия компьютерному нападению». Статистика по числу инцидентов в области информационной безопасности, приводимая в различных Интернет-изданиях, показывает, что многие методы проведения атак на информационные системы (ИС) вгнекоторых случаях не удается распознать с использованием существующих средств защиты информации. Этот недостаток может привести к нарушению конфиденциальности, целостности или доступности информации. Возникают задачи, связанные с созданием методов и алгоритмов, способных достоверно распознавать новые типы атак и предупреждать их распространение в ИС.

Одним из уязвимых мест ИС является программное обеспечение. Большинство атак направлено на использование существующих известных уязвимостей прикладного и системного программного обеспечения. Существующие средства защиты информации достаточно эффективно справляются с обнаружением известных типов атак на основе их сигнатур. В то же время существует иной класс атак, для которых сигнатуры не известны. Обнаружение и предотвращение атак с неизвестными сигнатурами наиболее сложная и нетривиальная задача. К сложному по архитектуре и реализации системному программному обеспечению относятся операционные системы.

Существует множество классификаций типов операционных систем и областей их практического применения. Как показал анализ, выделяют три типа операционных систем: монолитные, микроядерные и гибридные: Монолитные и гибридные архитектуры в основном применяются!в.серверных многопользовательских системах и персональных компьютерах общего назначения. К основным особенностям указанных архитектур следует отнести высокую сложность реализации и подверженность к нестабильной-работе в случае нарушения работоспособности отдельных программ, входящих в. состав операционной системы (драйверы устройств, подгружаемые модули ядра и» т.п.). К достоинствам относится их универсальность. Микроядерные операционные системы, в большинстве случаев имеют практическую применимость в? классе встраиваемых систем. Иод встроенными системами понимаются* механические или электронные устройства, управляемые вычислителем, встроенным в само устройство; Примеры встраиваемых систем: автоматизированные системы управления технологическими процессами, технические системы защиты информации, бортовые компьютеры летательных аппаратов, ЗСАОА-системы, телекоммуникационные устройства, платежные терминалы и т.п. Область применения встраиваемых систем расширяется с каждым годом. В* некоторых случаях возможна интеграция их в сетевые приложения. С точки зрения информационной безопасности во встраиваемых системах применение распространенных средств защиты информации оказывается малоэффективным ввиду специфики встраиваемых систем, области их приложений и ограниченной номенклатуры используемых программных средств. В результате анализа выяснилось, что известные типы атак также могут нарушать безопасность микроядерных операционных систем встраиваемых устройств. В данной работе рассматривается задача обеспечения безопасности микроядерных операционных систем на примере встраиваемых систем, обладающими внешними интерфейсами взаимодействия.

Вопросам обнаружения атак на различные компоненты ИС посвящены исследования В. И. Васильева, Д. Денинг, А. В. Лукацкого, А. В. Мельникова, Ю. В. Романец, С. Форестер, В. Ф. Шаньгина, и др. Несмотря на это область исследования безопасности встраиваемых систем недостаточно проработана: к нерешенным задачам можно отнести анализ в реальном времени аномального поведения вычислительных процессов микроядерных операционных систем. В результате анализа выяснилось, также, что при разработке систем обнаружения, атак в недостаточной мере используются потенциал нейросетевых классификаторов. Таким образом, задача разработки эффективных методов и алгоритмов обнаружения атак на- ИС с микроядерными операционными системами является актуальной.

Цели и задачи исследования

Объектом исследования в работе, является обеспечение основных свойств информационной безопасности вычислительных процессов в микроядерной операционной системе (МОС). В качестве предмета исследования рассматриваются методы^ и алгоритмы «распознавания аномального поведения вычислительных процессов на основе технологий искусственных нейронных сетей.

Целью исследования является повышение защищенности микроядерных операционных систем на основе методов и алгоритмов распознавания аномального поведения процессов.

Для достижения поставленной цели в работе были сформулированы следующие задачи:

1. Разработка принципов построения системы обнаружения аномального поведения вычислительных процессов микроядерных операционных систем.

2. Разработка модели вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного поведения вычислительных процессов, необходимой для решения задачи распознавания аномального поведения вычислительных процессов и выявления новых типов атаке неизвестными сигнатурами.

3. Разработка метода и алгоритмов для нейросетевой системы обнаружения аномального; поведения вычислительных процессов в .микроядерной операционной системе.,

4. Разработка исследовательского) прототипа нейросетевой; системы обнаружения аномального поведения вычислительных процессов« в микроядерной операционной" системе, реализующей функции сбора статистической информации о поведении вычислительных процессов и классификацию» состояний на основе самообучаемой нейроннойсети;

5. Оценка эффективности предложенного метода и алгоритмов на базе микроядерной операционной системы.

Методы?исследования

При работе над диссертацией использовались: методология защиты информации, методы системного анализа,, теория» множеств, теория вероятности, теория моделирования дискретных систем; теория нейронных, сетей. Для оценки- эффективности предлагаемых решений^ использовались! методы математического и имитационного моделирования.

Основные научные результаты, полученные автором и выносимые на защиту

1. Принципы построения системы? обнаружения аномального поведения вычислительных процессов в микроядерной операционной; системе; для осуществления сбора статистической информации о поведении системных процессов на уровне микроядра и распознавания класса поведения на основе нейросетевого классификатора.

2. Модель вычислительного процесса в микроядерной операционной системе на основе сбора статистики штатного; поведения? вычислительных-процессов.

3. Метод и алгоритмы обнаружения аномального поведения вычислительных процессов на основе иерархической структуры микроядерной операционной системы^ модели вычислительного процесса и нейронных сетей;. ■ • '/•■■.''•'. ■ ■'.

4. Методика обнаружения .аномального•. поведения вычислительных' процессов в микроядерной операционной системе на базе нейронной сети.

Обоснованность и достоверность результатов диссертации

Обоснованность результатов, полученных в диссертационной работе, базируется на использовании апробированных научных положений и методов исследования^. корректным применением математического? аппарата; согласованности: новых результатов: с известными теоретическим положениями. "

Достоверность полученных теоретических положений и выводов подтверждается результатами имитационного; моделирования,, апробации и промышленного внедрения; предложенных алгоритмов обнаружения аномального поведенияпроцессов. Практическая ценность полученных результатов

1. Обеспечивается повышение эффективности решения задач защиты информации в микроядерной операционной системе.

2. Разработан алгоритм обнаружения аномального поведения вычислительных процессов в микроядерной операционной системе на базе нейронной сети, позволяющий решать задачи обеспечения информационной безопасности.

3. Результаты исследования приняты к внедрению в виде программного прототипа для анализа поведения вычислительных процессов телекоммуникационного оборудования в Уфимский филиал ОАО «Вымпелком» (Би

Связь исследований с научными,программами

Исследования, выполнялись »с 2006 г. по 2010 г. на кафедре вычислительной техники и, защиты^ информации Уфимского государственного авиационного технического университета, в том числе в рамках гранта РФФИ? № 07-08-00386- «Методы и алгоритмы интеллектуального управления информационной'безопасностью высшего учебного заведения» (2007-2009 гг.)

Апробация работы

- Основные научные и практические результаты диссертационной работы' докладывались и обсуждались на следующих-конференциях:

- 2-я региональная зимняя школа-семинар аспирантов и молодых ученых. Интеллектуальные системы обработки информации и управления, Уфа, 2007;

- XXXIII Международная молодежная научная конференция «Гага-ринские чтения». Научные труды в 8 томах, Москва, 2007 г.;

- Всероссийская молодежная научная конференция с международным участием «IX Королевские чтения», Самара, 2007 г.

- 10, 11, 12 Международные научные конференции «Компьютерные науки и информационные технологии» (С81Т), Красноусольск, 2007 г., Анта-лия, Турция 2008, Крит, Греция, 2009;.

- Всероссийская молодежная научная конференция «Мавлютовские чтения», Уфа, 2007 г., 2008 г., 2009 г.;

- Всероссийская научно-техническая конференция с международным участием «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств», Самара, 2008 г.;

- 4-я региональная зимняя школа-семинар аспирантов *и> молодых ученых. Интеллектуальные системы обработки информации и-управления, Уфа,

2009 г.;

- Всероссийская научно-техническая конференция студентов, аспирантов и молодых ученых, г. Томск, 2009 г.;

- III Международная научно-практическая конференция «Актуальные проблемы безопасности информационных технологий», Красноярск, 2009 г.;

- Научно-техническая конференция «Свободный полет», Уфа, 2010 г.

- Зимняя школа-семинар молодых ученых и аспирантов, Уфа, 2010 г.

Публикации

Результаты диссертационной работы отражены в 16 публикациях: в 11 научных статьях, в том числе 1 статья в рецензируемом журнале из списка периодических изданий, рекомендованных ВАК, в 5 тезисах докладов в материалах международных и российских конференций.

Структура и объем работы

Диссертационная работа состоит из введения, четырех глав, заключения, приложений, библиографического списка и изложена на 154 страницах машинописного текста. Библиографический список включает 82 наименования литературы.

Выводы по третьей главе

1. Осуществляется постановка и решаются задачи сбора статистической информации на уровне системных вызовов, задачи анализа состояния процесса и классификации векторов поведения процессов. Приводятся алгоритмы решения задач в виде блок-схем.

2. Приводятся статистические данные о поведении процессов в МОС с указанием численных значений для различных процессов, исполняющихся в МОС в произвольные промежутки времени.

3. Приводятся результаты классификации поведения процессов на основе обученной самоорганизующейся карты с указанием меток.

ГЛАВА 4 РЕАЛИЗАЦИЯ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПРОЦЕССОВ В МИКРОЯДЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ

Рассматривается'разработанная программная реализация исследовательского прототипа системы обнаружения аномального поведения процессов в микроядерной операционной системе, используемой во встраиваемых системах. Рассматривается интерфейсная часть разработанных модулей СОАПП с выделением целей и задач, решаемых компонентами СОАПП. Приводится численный эксперимент и сравнительный анализ различных классификаторов.

4.1 Реализация модуля сбора статистики поведения процесса

СОАПП реализован в виде-модулей, совместно реализующих алгоритм, представленный на рисунке 4.1.

МСС представляет собой программный компонент, написанный^ на-языке С. Язык С выбран для реализации* СОАПП из принципа унификации кода микроядерной операционной системы MINIX 3: вся система реализована на данном языке за исключением платформозависимой части, реализованной на языке ассемблера. Кроме того, язык С позволяет достаточно просто реализовать работу с системными'структурами данных МОС. Для улучшения эффективности функционирования и повышения защищенности код МСС встраивается в микроядро ОС MINIX 3.

В качестве основной цели модуля сбора статистики можно выделить сбор первичной информации из различных системных структур данных.

PID процесса

Поиск идентификатора процесса > текущей БД поседения

3 ап ись сущ ест» ует

Режим обучений

Системный вызов »ходит» множество вызовов процесс

Уведомление поп ьзо отеля о нею вести ом процессе

Анализ системных структур МО С

Нормализация вектора поведения процесса

Анализ содержимого стека процесса

НСМК

Обновление записи в текущей БД поведения

Н ей рон- поб ед ител ь содержится в маске поведения процесса

Вектор попадает в разреш енный для класса интервал ^

Возврлтуправления диспетчеру сообщений MOC

Возврат кода ошибки

Рисунок 4.1 - Обобщенный алгоритм работы модулей СОАПП

Для реализации поставленной цели необходимо выполнение следующих задач:

1. Перехват сообщений с запросами на выполнение системных вызовов, пересылаемых микроядру.

2. Сбор исходных данных о поведении процесса из системных структур МОС и секции стека процесса, либо специализированных регистров процессора.

3. Ведение БД поведенческих характеристик процессов.

4. Установка режима работы СОА1111.

Интерфейсная часть МСС представлена набором функций, приведенных в таблице.

ЗАКЛЮЧЕНИЕ

В работе поставлена и решена задача повышения защищенности; микроядерных операционных систем: на основе методов и алгоритмов распознавания: аномальногоповедениявычислительных процессов. По итогам работы получены следующие результаты и выводы. .

1. Предложены принципы построения! системы, обнаружения ано-мальногоповедения: вычислительных процессов в микроядерной: операционной системе, позволяющие осуществлять сбор статистической информации о поведении системных процессов на уровне микроядра и проводить распознавание класса поведения на основе нейросетевого классификатора; что в отличие от существующих подходов1 позволяет повысить эффективность обнару-женияшеизвестных типов атак за. счет модификации микроядра операционной системы.

2:. Предложена модель вычислительного процесса в микроядерной операционной системе; основанная! на1, собранной» статистическою информации о штатном, поведении вычислительных процессов; отличающуюся? тем, что - она может быть использована для* решения задачи распознавания; аномального поведения вычислительных процессов:? и: выявления* новых типов атак с неизвестными сигнатурами.

3. Предложен эффективный, метод и алгоритмы классификации поведения г вычислительных процессов на основе нейросетевого классификатора; отличающиеся от существующих тем, что позволяют на базе собранной статистики нормального поведения процессов эффективно решать задачу выявления аномальностей, влияющих на информационную безопасность микроядерной операционной системы.

4. Предложен программный прототип системы обнаружения аномального поведения вычислительных процессов^ позволяющий оценить эффективность предложенного метода и алгоритмов: и, повысить, число обнару-живаемьргновых типов атак на 5-8%.

1. Баррет, Пак Встраиваемые системы. Проектирование приложений на. микроконтроллерах. / Изд-во ДМК, 2007. 640 с.

2. ВалеевС.С., Дьяконов М.Ю. Нейросетевая система анализа аномального поведения- вычислительных процессов в микроядерной' операционной системе // Вестник УГАТУ, Т. 14 № 5'(40), 2010: с. 198-2041

3. Васильев- В. И. Интеллектуальные системы защиты информации: учеб. пособие / М1: Машиностроение, 2010. — 163 с.

4. ГОСТ 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие, технические требования / Госстандарт России, М^: 1995, с. 5*

5. ГОСТ ИСО/МЭК 15408-2002 Информационная технология'. Методы и* средства обеспечения' безопасности. Критерии оценки, безопасности информационных технологий. Часть 2. Функциональные требования / Госстандарт России, М.: 2002, с. 12-14

6. ГОСТ Р 51241-98г Средства и системы управления, доступом. Классификация. Общие технические- требования. Методы испытаний / Госстандарт России, М.: 1998, с. 8

7. ГОСТ Р 51904-2002 «Программное обеспечение встроенных систем. Общие требования к разработке и документированию».

8. Дьяконов М.Ю. Интеллектуальная система защиты операционной системы на основе анализа процессов // Всероссийская научно-техническая конференция студентов, аспирантов и- молодых ученых: Материалы докладов,Ч.З, □ Томск, 2009 С. 303-309.

9. Дьяконов М.Ю. Интеллектуальная система обеспечения защищенности на уровне микроядра ОС // Мавлютовские чтения: Сборник трудов Всероссийской молодежной научной конференции, Уфа, 30-31 октября, 2007-С. 87-89.

10. Дьяконов М.Ю. Использование методов искусственного интеллекта для классификации состояний операционной системы // Мавлютовские чтения: Сборник трудов Всероссийской молодежной научной конференции, Т. 3, Уфа, 27-28 октября, 2009 С. 18-20.

11. Дьяконов М.Ю. Мониторинг процессов в операционных системах с использованием нейросетевых технологий // Гагаринские чтения: XXXIII международная молодежная научная конференции. Научные труды в 8 томах, Т. 4, Москва, 2007. □ С. 81-82.

12. Дьяконов М.Ю; Повышения! защищенности ОС на. основе анализа последовательностей системных вызовов; процессов // Мавлютовские чтения: Сборник трудов Всероссийской молодежной? научной; конференции, Уфа, 28-29 октября, 2008 С. 35-37.

13. Лукацкий А.В: Обнаружение атак / 2-е изд., перераб. и доп., СПб.: БХВ-Петербург, 2003. 608 с.26.0совский С. Нейронные сети для обработки информации / Пер. с польского И.Д: Рудинского М.: Финансы и статистика, 2004. - 344 е.: ил.

14. Столлингс В. Операционные системы с. 144-156

15. Таненбаум Э., Вудхалл А. Операционные системы. Разработка и реализация (+CD). Классика CS. 3-е изд. СПб.: Питер, 2007. - 704 с: ил.

16. Хайкин С. Нейронные сети: полный курс, 2-е изд, испр.: Пер. с англ. -М.: ООО «И.Д. Вильяме», 2006 1104 с.

17. Хогланд Г., Мак-Гроу Г. Взлом программного обеспечения: анализ и использование кода / изд. Вильяме, 2005 г.

18. Aaraj N., Raghunathan A., Jha N. Dynamic Binary Instrumentation-Based Framework for Malware Defense // In Proceedings of the 5th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2008, pp. 64-88.

19. Akira M., Toshimi S., Tmonori I., Tadashi I. Detecting unknown computer viruses a new approach // Journal of the institute of information and communications technology vol. 52, Nos. 1/2 2005, pp. 75-88.

20. Anderson D., Lunt Т., Javitz H.? Tamaru A., Valdes A. Detecting unusual program behavior using statistical component of next-generation1 intrusion. detection;expert system (NIDES). SRI-CSL-95-06, May 1995.

21. Ashcraft K., Engler D R. Using Programmer-Written Compiler Extension to Catch Security Holes, // IEEE Symposium on Security and Privacy, Oakland, CA, 2002.

22. Aycock J. Computer Viruses and Malware / Springer, 2006, pp. 11-19.

23. Base Group Deductor Academic Электронный* ресурс. • http://www.basegroup.ru/download/.

24. Bickford M., Constable R. Formal Logical Methods for System Security and Correctness//. O. Grumberg et al. (Eds.) IOS Press, 2008, ppi 29-52. .

25. Blunden B. Memory Management: Algorithms and Implementation in C/C4-+ / Wordware Publishing; 2003, 360 p.

26. BruschrD., Cavallaro L., Lanzi A. Static Analysis on x86 Executables for Preventing Automatic Mimicry Attacks // In Proceedings of the 4th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA; 2007, pp. 213-230.

27. Bruschi D., Martignoni L., Monga M. Detecting Self-mutating Malware Using Control-Flow Graph Matching //> In' Proceedings of the Third International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA; 2006, pp. 129-142

28. Cabrera J., Lewis L., Mehra R. Detection and classification of intrusion and faults using sequence of system calls. // SIGMOD Rec., Vol. 30, No. 4. (December 2001), pp. 25-34

29. Christodorescu M., Jha S., Kruegel C. Mining Specifications of Malicious Behavior // In Proceedings of the 6th joint meeting of the European Software Engineering Conference, 2007,10 p.

30. Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) — международный стандарт (ISO/IEC 15408, ИСО/МЭК 15408-2002).

31. Dasgupta D: Immunity-based intrusion detection system: a- general framework // Proc. 22nd-National Information Systems Security Conf. (NISSC), 1999.

32. Dunham K. Mobile Malware Attacks and Defense / Elsevier, 2009, 386 p.

33. Embedded Systems Handbook / ed. Zurawski R., Taylor&Francis Group; 20061089 p:

34. Enhancing computer security with smart technology / ed. V Rao Vemuri, 2006i

35. Feng H., Kolesnikov O., Fogla P., Lee W., Gong W. Anomaly* detection using- call* stack information. In Proceedings:. IEEE Symposium on Security and Privacy, Berkley, California, IEEE Computer Society, 2003.

36. Filiol E. Compiter Viruses: from-Theory to Application / Springer, 2005, p. 99.

37. Fleury Т., Khurana H., Welch V. Towards a Taxonomy of Attacks Against Energy Control Systems // In Proceedings of the IFIP International Conference on Critical Infrastructure Protection, 2008,16 p.

38. Forrest S., Hofmeyr S.A., Longstaff T.A. A sense of self for UNIX processes. // In Proceedings of the 1996 IEEE Symposium on Security» and Privacy, 1996, pp. 120-128.

39. Frossi A., Maggi F., Rizzo G., Zanero S. Selecting and Improving System^ CalL Models for Anomaly Detection // In Proceedings of the 6th International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2009, pp. 206-221.

40. Hacking Exposed. Malware and Rootkits: Malware and Rootkits Security Secrets and Solutions / M.Davis, S.Bodmer, A.Lemasters, 2010, pp.225-227

41. Handbook of Information Security / ed. Bidgoli H:, Vol. 3, John Wiley and Sons Inc., 2006, p.689.

42. Keromytis A. The case for self-healing software // Aspects of Network and; Ihf6rmation£ Security^. NATQ Science for Peace and? Security Series? D: Inr formation and Communication Security- Vol. 17, 2008, pp. 47-54.

43. Kinder J., Katzenbeisser S;, Schallhart C., Veith H. Detecting malicious code:by model checking // ImProceedings of the SecondsInternational« Conference Detection» of Intrusions and MaKvare & Vulnerability Assessment DIMVA, 2005, pp. 174-187.

44. KolterJ.,MaloofM. Learning to detect and classify malicious executables in the wild I I Journal of Machine Learning Research 7, 2006.

45. Kruegel C. Behavioral and structural properties of malicious code // Aspects of Network and' Information Security, NATO Science: for Peace and Security Series D: Information and Communication Security Vol; 17, 2008, pp. 92-L09.

46. Larson U., Lundin-Barse E., Jonsson E. METAL A Tool for Extracting

47. Attack Manifestations Behavior // In Proceedings of the Second International Conference Detection of Intrusions and Malware & Vulnerability Assessment DIMVA, 2005, pp. 85-108.

48. Lee W., Stolfo J: Data mining approaches for intrusion! detection. In Proceedings of the.7thUSENIX, Security Symposium, 1998.65i,Mathworks Matlab Электронный ресурс. http://www.mathworks.com.

49. Rabek J., Khazan R., Lewandowski S., Cunningham R. Detection of injected; dynamically generated and obfuscated malicious code.

50. Rieck K., Holz Т., Willems C., Dussel P., Laskov P. Learning and Classification of Malware Behavior // In Proceedings of the 5th International» Conference Detection of Intrusions and Malware, & Vulnerability Assessment^ DIMVA, 2008, pp. 108-125.

51. Sauermann J. Real-Time Operating System: Goncepts and Implementation of Microkernels for Embedded Systems / Sauermann J., Thelen M., 2005, p. 33

52. Sekar R., Bendre M., Bollineni' P., Dhurjati D. A Fast Automaton-Based" Method "for Detecting'Anomalous Program Behaviors // IEEE Symposium on Security and Privacy, Oakland, CA, 2001'.

53. Shafiq Z., Khayam S., Farooq M. Embedded Malware Detection- Using Markov n-Grams // In- Proceedings of the 5th International Conference Detection of Intrusions and* Malware & Vulnerability Assessment- DIMVA, 2008, pp. 89-106.

54. Silberschatz A. Operating Systems. Concepts / Silberschatz-A., Galvin P., Gagne G., John Wiley & Sons Inc., 2005, p.47-48

55. Sloss A. ARM System Developer's Guide Designing and Optimizing System Software / Sloss A., Symes D., Wright C., Elsevier Inc., 2004, p. 22.

56. Stopko T. Practical Embedded Security:Building Secure Resource-Constrained Systems / Newnes, 2008; pp. 3-9

57. Szor P. The Art of Computer Virus Research and Defense / Addison Wesley Professional, 2005,744 p.• 75.Wagner D~ Dean D. Intrusion Detection via Static Analysis // IEEE Symposium on Security and Privacy, Oakland, CA, 2001.

58. Waikato Environment Knowledge Analysis (WEKA) Электронный ресурс. http://citylan.dl.sourceforge.net/project/weka/.

59. Walls С. Embedded Software: The Works / Newnes, 2006, pp. 2-10

60. Warrender C., Forrest S., Pearlmutter B. Detecting Intrusion Using System Calls: Alternative Data Models, I I In Proceedings of the 1999 IEEE Symposium on Security and Privacy, 1999, pp. 133-145.

61. Weber M., Schmid M., Geyer D., Shatz M. A toolkit for detecting and analyzing malicious software. // In 18th Annual Computer Security Applications Conference, 2002, pp. 423-431

62. Y00 I. Visualizing windows executable viruses using self-organizing maps // Proceedings of the 2004 ACM Workshop on Visualization and data mining for computer security, pp. 82-89.

63. Young A., Yung M. Malicious Cryptography. Exposing Cryptovirology / Wiley Publishing, 2004, pp. 182-183.

64. Young S., Aitel D. The hacker's handbook. The strategy behind breaking into and defending network / CLC Press, 2004 p. 90.