Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Сердюк, Виктор Александрович

Актуальность работы. В настоящее время для обработки, хранения и передачи информации повсеместно используются автоматизированные системы (АС). АС являются одним из краеугольных камней, на основе которых построены бизнес-процессы предприятий различных форм и назначений. Однако за последние несколько лет наметилась тенденция к неуклонному увеличению числа информационных атак на ресурсы АС, реализация которых привела к значительным материальным потерям. Так, например, по данным координационного центра немедленного реагирования CERT/CC [76], в 2003 г. было зафиксировано 137529 успешных информационных атак, что почти в два раза превышает аналогичный показатель 2002 г. и в десятки раз выше числа атак, реализованных в 1999 году. В качестве основных причин постоянного увеличения количества атак на информационные ресурсы АС можно выделить следующее [26]:

• увеличение количества уязвимостей, обнаруживаемых в программно-аппаратном обеспечении АС;

• увеличение типов возможных объектов атаки. Так, если несколько лет назад в качестве основных объектов атаки рассматривались исключительно серверы стандартных Интернет-служб, такие как Web-серверы, почтовые SMTP-серверы и файловые FTP-серверы, то к настоящему моменту уже существуют методы проведения атак на ресурсы маршрутизаторов, коммутаторов, межсетевых экранов и других компонентов АС;

• увеличение доступности программных средств, предназначенных для автоматизации процессе проведения информационной атаки. В настоящее время в сети Интернет можно без труда найти большое количество готовых программ, при помощи которых пользователь имеет возможность реализовать различные типы атак. При этом использование этих средств не требует от пользователя высокой квалификации;

• увеличение количества пользователей общедоступных сетей связи, таких как сеть Интернет, где в качестве пользователей выступают и отдельные клиентские рабочие станции, и целые корпоративные сети. Рост числа пользователей приводит к увеличению количества потенциальных источников и целей для атаки. Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения информационной безопасности АС. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. [2, 6, 8, 60, 78, 89, 96]. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищенных операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на АС, а также способов защиты от них.

Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты АС от информационных атак. Для достижения поставленной цели в работе решались следующие задачи:

• систематизация и анализ существующих типов информационных атак, а также средств защиты АС;

• сравнительный анализ существующих математических моделей защиты АС от информационных атак, включая модели атак, модели процесса обнаружения атак и модели процесса оценки рисков информационной безопасности;

• разработка математической модели информационных атак на АС, модели процесса выявления атак, а также модели процесса оценки рисков информационной безопасности с учётом выявленных недостатков существующих моделей;

• разработка действующего прототипа системы обнаружения атак, реализующего разработанную модель выявления атак;

• разработка структуры системы обнаружения атак, предназначенной для промышленной реализации.

Методы исследования. При решении поставленных задач использован математический аппарат теории графов, теории множеств, теории автоматов и теории вероятностей.

Научная новизна проведённых исследований и полученных в работе результатов заключается в следующем:

• разработана классификационная схема информационных атак на ресурсы АС, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий;

• разработана математическая модель информационных атак, которая может быть использована для представления разных типов атак в виде графовых структур. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки -уязвимость, метод реализации атаки и её возможные последствия;

• разработана поведенческая модель процесса выявления атак на основе конечных автоматных распознавателей, которая, в отличие от существующих моделей, позволяет более эффективно выявлять как известные, так и новые типы информационных атак. Модель также предусматривает возможность прослеживания процесса принятия решения о выявлении атаки в АС;

• разработана модель процесса оценки рисков информационной безопасности, которая базируется на созданной графовой модели атак. Модель позволяет вычислять значение риска путём определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы.

Практическая значимость работы заключается в следующем:

1. Разработан программный прототип системы обнаружения атак, предназначенного для защиты Web-сервера Microsoft Internet Information Services. Прототип базируется на разработанной математической модели процесса выявления атак.

2. Разработана структура системы обнаружения атак, предназначенная для промышленной реализации.

3. Создана методика разработки рекомендаций по повышению уровня защиты АС от информационных атак.

Полученные результаты могут быть использованы для создания и оценки эффективности средств защиты АС от информационных атак.

Апробация работы. Основные теоретические и практические результаты работы обсуждались на Десятой конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2002 г.), Второй и Четвёртой Международной научно-практической конференции «Моделирование. Теория, методы и средства» (Новочеркасск, 2002 г., 2004 г.), Десятой юбилейной Международной студенческой школы-семинара «Новые информационные технологии» (Судак, 2002 г.), Второй всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003), Тринадцатой Международной научной конференция «Информатизация и информационная безопасность правоохранительных органов» (Москва, 2004 г.), а также на XXVIII, XXVIV и XXX Международных молодёжных научных конференциях «Гагаринские чтения» (Москва, 2002,2003 и 2004гт.).

Основные положения и результаты диссертационной работы вошли в отчёты по научно-исследовательской работе по теме «Разработка предложений по технологии обеспечения информационной безопасности сети передачи данных дорожного уровня» (инвентарный номер 1872) и по специальной теме (инвентарные номера 14с, 15с, 82с и 83с), а также отражены в ряде работ, опубликованных в научно-технических журналах: "Информационные технологии", "Connect. Мир связи", "Сетевой журнал", "Системы безопасности и телекоммуникаций", "Ведомственные и корпоративные сети связи", "BYTE/Россия", "Сети и системы связи", "Informatica / Slovenia".

Публикации. По теме диссертации опубликовано 52 работы, в том числе 5 отчётов о

НИР.

Объём и структура работы. Диссертационная работа состоит из введения, четырёх глав, заключения и одного приложения. Основное содержание работы изложено на 171 странице, включая 74 рисунка, 34 таблицы и список литературы из 157 наименований.

4.4. Выводы

На основе поведенческой модели процесса выявления атак (см. п. 3.2), созданной в результате проведенных исследований, был разработан прототип СОА, предназначенный для выявления и блокирования атак на Web-сервер Microsoft IIS. Проведённые испытания прототипа СОА позволяют сделать следующие выводы:

• прототип СОА позволяет эффективно выявлять и блокировать как известные, так и новые типы атак;

• прототип СОА не снижает производительности работы защищаемого им Web-сервера поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра;

• в конфигурационном файле прототипа СОА предусмотрено большое количество параметров, которые позволяют гибко настраивать прототип на выявление новых классов атак.

Разработанный прототип может быть заложен в основу промышленной реализации СОА. Для этого в архитектуру СОА должны быть включены следующие компоненты: сетевые датчики, предназначенные для обнаружения атак в рамках того сегмента, где они установлены;

• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы;

• модули-агенты, выполняющие функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации;

• модуль координации потоков информации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА;

• информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА;

• модуль реагирования на информационные атаки, выявленные средствами СОА;

• консоль администратора, предназначенная для централизованного управления компонентами СОА, а также для отображения результатов работы системы.

ЗАКЛЮЧЕНИЕ

Проведенные в диссертационной работе «Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак» исследования позволили получить научно-теоретические и практические результаты, которые дают основание сделать следующие выводы.

1. Разработана структурная модель АС, которая представляет АС в виде множества узлов, каждый из которых представлен уровнем аппаратного, общесистемного и прикладного программного обеспечения. Модель позволяет учитывать возможность локального и сетевого взаимодействия с узлами АС, которое представляется в виде семиуровневой модели ВОС.

2. Разработана классификационная схема информационных атак на АС, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий. С помощью разработанных классификационных схем имеется возможность определить к какому уровню структурной модели АС относится атака.

3. Проведен анализ функциональных возможностей существующих средств защиты АС от информационных атак на основе разработанной классификации этих средств. В соответствии с этой классификацией рассмотрены функциональные возможности средств криптографической защиты информации, средств разграничения доступа, средств анализа защищённости, средств обнаружения атак и средств антивирусной защиты.

4. Проведён сравнительный анализ существующих моделей информационных атак на АС, который показал, что наибольшей эффективностью обладают модели Б. Шнайера и СПИИ РАН, которые могут наиболее эффективно использоваться для исследования свойств атак нарушителей. Однако, ни одна из этих моделей не является многофакторной и не включает в себя одновременно три базовых параметра атаки -уязвимость, метод реализации атаки и её возможные последствия.

5. Проведён сравнительный анализ существующих моделей сигнатурных и поведенческих моделей процесса обнаружения атак, который показал, что на момент проводимых исследований наибольшей эффективностью обладала сигнатурная модель контекстного поиска информации, основанная на специализированных языках. Однако, принимая во внимание тот факт, что сигнатурные модели выявления атак не имеют возможности обнаруживать новые типы атак, целесообразнее их использовать совместно с поведенческими моделями. В тоже время полученные результаты показывают, что рассмотренные в работе поведенческие модели процесса обнаружения атак не способны эффективно выявлять новые типы атак.

6. Проведён сравнительный анализ существующих моделей процесса оценки рисков безопасности, который показал, что эти модели могут быть разделены на два основных типа: 1) модели, предназначенные для оценки рисков путём определения соответствия текущего уровня безопасности АС заданному множеству требований безопасности; 2) модели, предназначенные для оценки рисков посредством определения вероятности проведения атак и уровня ущерба от них. Показано, что программные комплексы, основанные на моделях оценки рисков первого типа могут быть эффективно использованы для проверки организационных мер защиты применяемых в АС. Однако для оценки эффективности применяемых технических средств защиты целесообразнее применять модели, позволяющие определить вероятность атаки и уровень ущерба. Согласно результатам проведённых исследований, эти модели имеют ряд следующих недостатков: отсутствие формализации, невозможность оценки риска сценариев атак, состоящих из нескольких этапов, а также высокая сложность настройки параметров моделей.

7. Разработана математическая модель информационных атак, которая обладает свойством универсальности, поскольку она может быть использована для представления разных типов атак, и является расширяемой за счёт возможности добавления новых параметров в модель атаки. Модель может легко воспринимается, поскольку она предусматривает возможность как текстового, так и графического изображения в виде графа. Модель может быть представлена в формализованном виде при помощи математического аппарата теории графов. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки - уязвимость, метод реализации атаки и её возможные последствия. Наличие всех этих свойств позволяет сделать вывод о том, что использование разработанной модели позволяет более продуктивно исследовать особенности моделируемых информационных атак и, следовательно, более эффективно выбирать средства защиты от этих атак.

8. Разработана математическая модель процесса выявления атак, которая в отличие от существующих, позволяет выявлять как известные, так и новые атаки, функционируя при этом в режиме «белого ящика», что даёт возможность полностью проследить процесс принятия решения о выявлении атаки в АС. Модель может быть задана в формализованном виде на основе аппарата теории графов. Кроме формульного представления модель может быть описана в графическом виде при помощи графовых структур. Модель обнаружения атак расширяема, что даёт возможность добавлять новые параметры, необходимые для выявления информационных атак. С учетом этих свойств можно утверждать, что разработанная поведенческая модель позволяет более эффективно обнаруживать атаки в АС в сравнении с аналогичными моделями, рассмотренными в диссертационной работе.

9. Разработана модель процесса оценки рисков информационной безопасности, которая базируется на графовой модели атак. Это позволяет формально описать модель оценки рисков в терминах математического аппарата теории графов, а также обеспечить возможность текстового и графического представления модели. Модель позволяет вычислять значение риска с учетом уровня ущерба от атаки, а также вероятность её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы. Созданная модель оценки учитывает три возможных последствия атак: нарушение конфиденциальности, целостности и доступности информации. Модель позволяет также вычислять значение риска безопасности для сложных сценариев атак, состоящих из нескольких этапов реализации. Таким образом, обладая этими свойствами, разработанная модель позволяет более эффективно проводить оценку рисков информационной безопасности.

10. Разработан действующий прототип системы обнаружения атак (СОА) и успешно проведены его испытания. Проведённые испытания прототипа показали следующее: прототип СОА позволяет эффективно выявлять и блокировать как известные, так и новые типы атак; прототип СОА не снижает производительности работы защищаемого им Web-cepeepa поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра; параметры, предусмотренные в конфигурационном файле прототипа СОА, позволяют гибко настраивать прототип на выявление новых классов атак.

11. Разработана структура полнофункционального варианта СОА, включающий в себя следующие компоненты:

• сетевые датчики, предназначенные для обнаружения атак в рамках того сегмента, где они установлены;

• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы; модули-агенты, выполняющие функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации; модуль координации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА; информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА; модуль реагирования на информационные атаки, выявленные средствами СОА; консоль администратора, предназначенная для централизованного управления компонентами СОА, а также для отображения результатов работы системы

1. Гайкович В.Ю., Першин А. Безопасность электронных банковских систем. М.: Единая Европа, - 1994 г.

2. Галатенко В. Информационная безопасность //Открытые системы. №1-5 (1996).

3. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

4. ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

5. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

6. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации.

7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 1994.

8. Грушо А.А., Тимонина Е.Е., Основы защиты информации, М: «Яхтсмен», - 1996.

9. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ // Сборник руководящих документов по защите информации от несанкционированного доступа. М.: Гостехкомиссия России, 1998.

10. Карпов Ю.Г., Теория автоматов СПб.: Питер, 2002.-224 с.

11. Лукацкий А. Обнаружение атак. СПб.: БХВ-Петербург, 2001.

12. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на Интернет, М: ДМК, 2000.

13. Новиков А.А., Устинов Г.Н., Сердюк В.А. Отчёт о НИР по специальной теме (Шифр «Глазурь»), инвентарный номер №14с, 15с, ЗАО «РНТ», 2000.

14. Новиков А.А., Устинов Г.Н., Сердюк В.А. Отчёт о НИР по теме «Разработка предложений по технологии обеспечения информационной безопасности сети передачи данных дорожного уровня», инвентарный номер №1872, ЗАО «РНТ», 2000.

15. Новиков А.А., Шарков А.Е., Сердюк В.А. Новые продукты активного аудита информационной безопасности //Тезисы. Научная конференция «Методы и технические средства обеспечения безопасности информации».Санкт-Петербург. 2002. с. 153- 154.

16. Олифер В.Г., Олифер Н.А., Компьютерные сети. Принципы, технологии, протоколы, Спб.: Питер, 2000.

17. Олифер В.Г., Олифер Н.А., Новые технологии и оборудование IP-сетей, Спб.: БХВ-Санкт-Петербург, 2000.

18. Портнов Ю.В. Информационное противоборство //Управление защитой информацией. 2000. Том 4. №4.

19. Программный комплекс анализа и управления рисками информационной безопасности "Гриф" Электронный документ. (http ://www.dsec .ш/soft/grif.php-).

20. Программный комплекс управления политикой информационной безопасности "Кондор" Электронный документ. (http://www.dsec.ru/soft/kondor.phpy

21. Российская Федерация. Федеральный закон № 24 от 20 февраля 1995 г.: Об информации, информатизации и защите информации. М., 1995.

22. Сердюк В.А. Математическая модель оценки уровня защищённости сетей передачи данных //Доклад. II Международная научно-практическая конференция «Моделирование. Теория, методы и средства». Новочеркасск. 2002. с. 31-34.

23. Сердюк В.А. Алгоритмы работы транспортных протоколов и их влияние на производительность сети. //Информационные технологии. 2001. №2. с. 43-47.

24. Сердюк В.А. Анализ современных тенденций построения моделей информационных атак. //Информационные технологии. 2004. №5. с. 20-26.

25. Сердюк В.А. Анализ уязвимостей технологии Х.25 //Ведомственные корпоративные сети связи. 2002. №2. с. 93-103.

26. Сердюк В.А. Ахиллесова пята информационных систем //BYTE/Россия. 2004. №4 (68). с. 19-22.

27. Сердюк В.А. Возможна ли криминализация ATM-сетей? //Connect. Мир связи. 2001. №2. с. 78-83.

28. Сердюк В.А. Вы атакованы защищайтесь //BYTE/Россия. 2003. №9 (61). с. 61-64.

29. Сердюк В.А. Защищённость информационной сферы глобальных сетей передачи данных //Приложение к журналу «Информационные технологии». 2003. №3. С. 1-24.

30. Сердюк В.А. Интегрированный подход к обеспечению безопасности информационной сферы сети передачи данных //Информационные технологии. 2001. №10. с. 46-50.

31. Сердюк В.А. Как пользователям ОС Windows 95/98 повысить уровень безопасности работы в сети Интернет. Практические рекомендации. //ДОГ. (Приложение к журналу «Системы безопасности связи и телекоммуникации»). 2000. №12. с. 40-42.

32. Сердюк В.А. Классификация угроз информационной безопасности сетей связи, их уязвимостей и атак нарушителя //Информационные технологии. 2002. №9. с. 7-12.

33. Сердюк В.А. Криминализация глобальных информационных систем: миф или реальность. //Системы безопасности связи и телекоммуникации. 2000. №35. с. 84-87.

34. Сердюк В.А. Математическая модель поведенческого метода обнаружения информационных атак //Тезисы. Международная молодёжная научная конференция «XXIX Гагаринские чтения». Москва. МАТИ. Т. 5, с. 5 6.

35. Сердюк В.А. Методические указания к выполнению лабораторного практикума по дисциплине «Программирование для WWW» //Часть I. Типографический центр «МАТИ». Российский государственный технологический университет им. К.Э. Циолковского. 2001. с. 1-115.

36. Сердюк В.А. Методические указания к выполнению лабораторного практикума по дисциплине «Программирование для WWW» //Часть II. Типографический центр «МАТИ». Российский государственный технологический университет им. К.Э. Циолковского. 2001. с. 1 97.

37. Сердюк В.А. Новое в технологиях обнаружения атак на информационную сферу сетей связи. //Ведомственные корпоративные сети связи. 2001. №4. с. 19-28.

38. Сердюк В.А. Обеспечение безопасности передачи информации и роль SSL протокола //Системы безопасности связи и телекоммуникации. 2000. №36. с. 38-40.

39. Сердюк В.А. Перспективы развития новых технологий обнаружения информационных атак //Системы безопасности связи и телекоммуникаций. 2002. №5. с. 82-84.

40. Сердюк В.А. Предотвращение информационных атак //Сетевой. 2003. №2. с. 62-67.

41. Сердюк В.А. Проблемы защиты web-порталов от информационных атак и их практические решения //Тезисы. Международная молодёжная научная конференция «XXX Гагаринские чтения». Москва. МАТИ. 2004. Т. 5. с. 55.

42. Сердюк В.А. Сбор данных системами обнаружения атак //BYTE/Россия. 2003. №2 (54). с. 74-78.

43. Сердюк В.А. Системы обнаружения компьютерных атак и их роль в защите информационных сетей. //BYTE/Россия. 2000. №10. с. 28-31.

44. Сердюк В.А. Средства защиты информационных систем от компьютерных атак //Системы безопасности связи и телекоммуникации. 2000. №34. с. 38-42.

45. Сердюк В.А. Технологии несанкционированных воздействий на Интернет //Приложение к журналу «Информационные технологии». 2001. №5. с. 1-24.

46. Сердюк В.А. Уязвимость и информационная безопасность ERP-систем //Connect. Мир связи. 2002. №9. с. 78-81.

47. Сердюк В.А. Уязвимость информационной сферы глобальных сетей связи //Тезисы. Международная молодёжная научная конференция «XXVIII Гагаринские чтения». Москва. МАТИ. 2002. с. 11.

48. Сердюк В.А. Уязвимость информационных сетей, функционирующих на базе стека протоколов TCP/IP, и методы их защиты. //Системы безопасности связи и телекоммуникации. 2000. №33. с. 77-81.

49. Сердюк В.А. Уязвимость информационных сетей, функционирующих на базе стека протоколов TCP/IP и методы их защиты // Тезисы. Международная молодёжная научная конференция «XXVI Гагаринские чтения». Москва. МАТИ. 2001. Том 5. с. 55-56

50. Сердюк В.А. Эффективность новейших технологий в повышении производительности IP-сетей. //BYTE/Россия. 2000. №9. с. 56-59.

51. Сердюк В.А., Алгулиев P.M. Защищённость технологии Frame Relay //Системы безопасности связи и телекоммуникации. №3. 2002. с. 84-87.

52. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info№ 1(68). 1999. с. 1-28.

53. Стюарт Макклуре, Джоед Скембрей, Джордж Куртц. Секреты хакеров: Проблемы и решения сетевой защиты. -М.: Издательство «Лори», 2001.

54. Теория и практика обеспечения информационной безопасности. Под ред. П.Д. Зегжды.-М: «Яхтсмен», 1996.

55. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: «СИНТЕГ», 2000.

56. Устинов Г.Н., Алгулиев P.M., Сердюк В.А. Автоматизация процесса восстановления работоспособности сетей передачи данных //Системы безопасности связи и телекоммуникации. 2001. №39. с. 78-80.

57. Устинов Г.Н., Сердюк В.А. Обеспечения качества обслуживания сетей передачи данных в условиях преднамеренных информационных воздействий нарушителя. //Ведомственные корпоративные сети связи». 2001. №6. с. 104-113.

58. Устинов Г.Н., Сердюк В.А. Качество обслуживания сетей передачи данных общего пользования в условиях преднамеренных воздействиях нарушителя //Доклад. Научно-техническая конференция профессорско-преподавательского состава МТУСИ. 2002. с. 270-271.

59. Устинов Г.Н., Сердюк В.А. Уязвимость ATM-сетей и пути их защиты //Тезисы. Научная конференция «Электронное ведение бизнеса в России. Путь к открытому глобальному рынку». Москва. Декабрь 18-19. 2001.С.80.

60. Шарков А.Е., Белов С.А., Статьев В.Ю., Сердюк В.А, Кузнецов Д.Ю., Тиньков В.А. Отчёт о НИР по специальной теме (Шифр «Зонд»), инв. номер 82с, ЗАО "РНТ", 2002.

61. Шарков А.Е., Белов С.А., Статьев В.Ю., Сердюк В.А., Кузнецов Д.Ю., Тиньков В.А. Отчёт о НИР по специальной теме (Шифр «Сенсор»), инв. номер 83с, ЗАО "РНТ", 2002.

62. Шарков А.Е., Сердюк В.А. Мониторинг политики безопасности ИС //Тезисы. VI Международная научно-практическая конференция «Безопасность информации в информационно телекоммуникационных системах». Киев. 2003. с.22-23.

63. Шарков А.Е., Сердюк В.А. Защита корпоративного почтового документооборота //Сети и системы связи. 2003. №13 (105). с. 88-93.

64. Amoroso G. Fundamentals of Computer Security Technology, Prentice-Hall PTR, NJ, 1994.

65. Avdoshin Sergey, Serdiouk Victor. Some approaches to information security of communication networks. // Slovenia. Informatica. 2002. №26. c. 1-10.

66. Berners-Lee Т., "Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web", RFC 1630, CERN, June 1994

67. Berners-Lee Т., Fielding R. and Frystyk H., Hypertext Transfer Protocol HTTP/1.0, RFC 1945, May 1996.

68. CERT/CC Statistics 1988-2004 Электронный документ. (http://www.cert.org/stats/).

69. Cohen F., Phillips C., Swiler L., Gaylor Т., Leary P., et al. A Preliminary Classification Scheme for Information System Threats, Attacks, and Defenses. A Cause and Effect Model and Some Analysis Based on That Model. Sandia National Laboratories, 1998.

70. Denning E. Dorothy. An intrusion detection model. IEEE Transactions on software engineering SE 13 (2) (1987) 222-232.

71. Debar H., Curry D. The Intrusion Detection Message Exchange Format. Internet-Draft. 2004.80. eEye Digital Security. Vulnerability Management Solutions Электронный документ. (http://www.eeye.com/html/products/retina/index.html).

72. Fielding R., Gettys J., Mogul J., Frystyk H., Masinter L., Leach P., Berners-Lee Т., "Hypertext Transfer Protocol HTTP/1.1", RFC 2616, June 1999

73. Gorodetski V., Kotenko I., Attacks against Computer Network: Formal Grammar-Based Framework and Simulation Tool. Conference proceedings // RAID' 2002, p. 219-238.

74. Harris В., Hunt R. TCP/IP security threats and attack methods //Computer communications. 1999. №22.

75. Howard D. John, Longstaff A. Thomas. A Common Language for Computer Security Incidents, Sandia National Laboratories, 1-26, 1998.

76. Howard J.D. An Analysis Of Security Incidents On The Internet: 1989 1995. Engineering and Public Policy dissertation, Carnegie-Mellon University, Pittsburg, 1997.

77. ISOAEC 17799, Information technology Code of practice for information security management, 2000

78. ISO/IEC 7498-1:1994. Information technology Open Systems. Interconnection - Basic Reference Model: The Basic Model.

79. Kerschbaum Florian, E. H. Spafford, Diego Zamboni, Using embedded sensors for detecting network attacks, CERIAS Tech Report 2000-25. 2000.

80. Landwehr C.E. Best available technologies for computer security. //IEEE Comput 16(7): 86-100,1983.

81. McHugh John, Christie Alan, Allen Julia. Defending Yourself: The Role of Intrusion Detection Systems, IEEE Software, 2000.

82. MITRE Systems Engineering Library. Risk Matrix Электронный документ. (http://www.mitre.org/work/sepo/library/docs/riskmatrix.html).

83. Moore A., Ellison R., Linger R. Attack Modeling for Information Security and Survivability, Tech report CMU/SEI-2001-TN-001,2001.

84. Nmap security scanner for network security audits Электронный документ. (http://www.insecure.org/nmap/).

85. OCTAVE security risk evaluation Электронный документ. (http://www.cert.org/octave).

86. PCRE Perl Compatible Regular Expressions Электронный документ. (http://www.pcre.org).

87. Ranum Marcus, Landfield Kent, Stolarchuk Mike, Sienkiewicz Mark, Lambeth Andrew, and Wall Eric. Proceedings of the Eleventh Systems Administration Conference (LISA '97), San Diego, California, October 1997.

88. Roesh M. Snort lightweight intrusion detection for networks, Proceedings of LISA 99, 1999

89. Ryan Peter. Mathematical Models of Computer Security, The Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA 15213, Springer-Verlag Berlin Heidelberg 2001

90. Schneider F.B. Trust in cyberspace. Committee on Information Systems Trustworthiness, National Research Council. National Academy Press, Washington, D.C. 1999.

91. Schneier B. Modeling security threats // Dr. Dobb's Journal, December, 1999.

92. SecurityFocus BID 2906. MS Visual Studio RAD Support Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/2906).

93. SecurityFocus BID 4474. Microsoft IIS HTR IS API Extension Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4474).

94. SecurityFocus BID 4476. Microsoft IIS HTTP Header Field Delimiter Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4476).

95. SecurityFocus BID 4478. Microsoft IIS ASP Server-Side Include Buffer Overflow Vulnerability Электронный документ. (http://www.securityfocus.com/bid/4478).

96. SecurityFocus BID 4490. Microsoft IIS Chunked Encoding Heap Overflow Variant Vulnerability Электронный документ. (http://www.securitvfocus.com/bid/44901.

97. Sekar R., Bendre M., Dhuqati D., Bollineni P., A Fast Automaton-based Method for Detecting Anomalous Program Behaviors //Proceedings of the 2001 IEEE Symposium on Security and Privacy.

98. Sekar R., Guang Y., Verma S., Shanbhag T. A High-Performance Network Intrusion Detection System //Proceedings of the 6th ACM Conference on Computer and Communications Security, pp. 8-17, Nov. 2-4, 1999.

99. Shatz M., Ghosh A. K. Learning Program Behavior Profiles for Intrusion Detection //Proceedings 1 st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California, April 1999.

100. Shatz M., Ghosh A. K., Schwatzbard A. Learning Program Behavior Profiles for Intrusion Detection // Proceedings 1 st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California, April 1999.

101. Spafford H. Eugene, Kumar Sandep. A pattern matching model for misuse intrusion detection. COAST Project, Purdue University, 1994.

102. Stolfo S. J., Lee W., Mok K. W. Adaptive intrusion detection: a data mining approach. //Artificial Intelligence Review, 1999.

103. Stolfo S., Cost-Based Modeling for Fraud and Intrusion Detection Results from the JAM Project, Technical Report, Columbia University.

104. Stolfo S., Fan W., Lee W., Miller M. A multiple model cost-sensitive approach for intrusion detection // Eleventh European Conference on Machine Learning (ECML-2000), May 2000.

105. Stolfo S., Lee W., Chan P., Eskin E., Fan W., Miller M., Hershkop S., Zhang J. Real Time Data Mining-based Intrusion Detection //DARPA Information Survivability Conference and Exposition II. June 2001.

106. Stolfo S., Lee W., Miller M. Toward cost-sensitive modeling for intrusion detection. Technical Report CUCS-002-00, Computer Science, Columbia University, 2000.

107. Strayer W. Т., Sanchez L. A., Milliken W. C. Hardware Support for a Hash-Based IP Traceback. In Proceedings of the 2nd DARPA Information Survivability Conference and Exposition (DISCEXII), pp. 146-152, 2001.

108. Uppuluri P., Sekar R., Experiences with Specification-Based Intrusion Detection //Recent Advances in Intrusion Detection RAID, 2001.

109. Varghese G., Fisk M. Fast ContentBased Packet Handling for Intrusion Detection, tech. report CS2001-0670, Univ. of California, San Diego, 2001.

110. Vemuri V. R., Liao Y. Using text categorization techniques for intrusion detection //Proc. 11th USENIX Security Symposium, August 2002.

111. Verwoerd Theuns, Hunt Ray. Intrusion detection techniques and approaches, Computer Communications, №25, 2002.

112. Vigna G., Eckmann S., Kemmerer R. The STAT Tool Suite //Proceedings of DISCEX 2000, Hilton Head, South Carolina, IEEE Computer Society Press, 2000.

113. Vigna G., Kemmerer R. NetSTAT: A Network-based Intrusion Detection Approach //Proceedings of the 14th Annual Computer Security Conference, Scottsdale, Arizona, December 1998.

114. Vigna G., Kemmerer R. STATL: An Attack Language for State-based Intrusion Detection. Dept. of Computer Science, University of California, Santa Barbara, 2000.

115. Vigna G., Kemmerer R.A., NetSTAT: A Networkbased Intrusion Detection System //Journal of Computer Security, #7(1), pp.37-71,1999.

116. Vigna G., Kruegel C., Valeur F., Kemmerer R. Stateful intrusion detection for high-speed networks // Proceedings of the IEEE Symposium on Security and Privacy, pp. 285-294.

117. Vigna G., Mittal V. Sensor-based intrusion detection for intra-domain distance-vector routing //Proceedings of the CCS, pp. 127 137. ACM, 2002.

118. Wagner D., Dean D. Intrusion detection via static analysis //IEEE Symposium on Security and Privacy, 2001

119. Wagner D., Karlof C. Secure Routing in Wireless Sensor Networks: Attacks and Countermeasures //IEEE SPNA, 2002.

120. Wagner D., Foster J., Brewer E., Aiken A. A first step towards automated detection of buffer overrun vulnerabilities // Network and Distributed System Security Symposium, San Diego, CA, February 2000.

121. Wagner D., Thomas R., Brewer E. A Secure Environment for Untrusted Helper Applications Confining the Wily Hacker. In Proceedings of the 1996 USENIX Security Symposium, 1996.

122. Wang S., Ning P., Jajodia S. Abstraction-based intrusion detection in distributed environments //Information and System Security, №4(4), pp.407-452,2001.

123. Wang X., Jajodia S. Abstraction-based misuse detection: High-level specications and adaptable strategies //Proceedings of the 11th IEEE Computer Security Foundations Workshop, Rockport, Massachusetts, June 1998.

124. Warshaw L., et. al. Monitoring Network Logs for Anomalous Activity. Applied Research Laboratories at the University of Texas at Austin, technical report #TP-99-l, 1998.

125. Warshaw L., Obermeyer L., Miranker D., Matzner S. //VenusIDS: An Active Database Component for Intrusion Detection. Technical Report LR-ISL-99-04, Applied Research Laboratories, University of Texas, Austin. 52,1999.

126. Wee C., Hoagland J. Audit Log Analysis Using the Visual Audit Browser Toolkit. Technical Report TR CSE-95-11, U.C. Davis Computer Science Department, 1995.

127. Wicks M., Huang Y. A Large-scale Distributed Intrusion Detection Framework Based on Attack Strategy Analysis //Proceedings of the First International Workshop on Recent Advances in Intrusion Detection RAID'98,1998.

128. Wu F., Zhi F., Xu C., IPSec/VPN Security Policy: Correctness, Conflict Detection, and Resolution, // Policy 2001, LNCS1995, pp. 3956,2001.

129. Wu J., Rehg M., Mullin M. Learning a Rare Event Detection Cascade by Direct Feature Selection //Advances in Neural Information Processing Systems №16,2004.

130. Wu S. Sleepy Network-Layer Authentication Service for IPSEC //4th European Symposium on Research in Computer Security ESORICS 96, LNCS-1146, pp. 146-159, Rome, Italy, September 1996.

131. Wu S., Vetter В., Wang F. An experimental study of insider attacks for the ospf routing protocol //5th IEEE International Conference on Network Protocols, Atlanta, GA. IEEE press, October 1997.

132. Wu Т., Malkin M., Boneh D. Building intrusion-tolerant applications //Proceedings of USENIX Security Symposium, August 1999.

133. Xiang D., Lee W. Information-theoretic measures for anomaly detection //Proceedings of the 2001 IEEE Symposium on Security and Privacy, May 2001.

134. Xu K., Kong J., Luo H. Adaptive security for multi-layer ad-hoc networks //Special Issue of Wireless Communications and Mobile Computing, Wiley Interscience Press, 2002.

135. Yang Y. An evaluation of statistical approaches to text categorization //Journal of Information Retrieval, 1999.

136. Yasinsac A. Active Protection of Trusted Security Services. Department of Computer Science, Florida State University, Jan 2000.

137. Yasinsac A. An Environment for Security Protocol Intrusion Detection //Special edition of the Journal of Computer Security, 2001.

138. Ye N., Li X., Emran S. Decision tree for signature recognition and state classification //IEEE Systems, Man, and Cybernetics Information Assurance and Security Workshop, June 6-7, 2000 at West Point, New York. pp. 194-199, 2000.

139. Ye. N. A markov chain model of temporal behavior for anomaly detection //Proceedings of the 2000 IEEE Systems, Man, and Cybernetics Information Assurance and Security Workshop, 2000.

140. Yuill J., Wu S. F., Gong F., Huang Y. Intrusion Detection for an On-Going Attack //Proceedings of the 2nd International Workshop on Recent Advances in Intrusion Detection RAID'99,1999.

141. Zhang K., Chung M., Mukeijee B. A Methodology for Testing Intrusion Detection Systems //IEEE Transaction on Software Engineering, 1996, pp. 719-729.

142. Zhang Y., Paxson V. Detecting stepping stones //Proceedings of 9th USENIX Security Symposium, August 2000.

143. Zhao W., Bettati R., Teodor, D. Real-Time Intrusion Detection and Suppression in ATM Networks //Proceedings of the 1st USENIX Workshop on Intrusion Detection and Network Monitoring, 1999.