Разработка модели и алгоритмов обнаружения вторжений на основе динамических байесовских сетей тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Дайнеко, Вячеслав Юрьевич

ВВЕДЕНИЕ

Актуальность темы. Развитие средств защиты для компьютерных систем продиктовано применением со стороны злоумышленников новых техник проникновения и появлением новых видов использования уязвимостей в компьютерных системах. С каждым годом количество вредоносных программ, реализующих новые типы атак, увеличивается. Для построения комплексной системы защиты наравне с остальными традиционно используемыми инструментами защиты все чаще применяют системы обнаружения вторжений (СОВ).

К сожалению, низкая надежность работы СОВ приводит к необходимости частого вмешательства человека в процесс обслуживания СОВ для корректировки метода обнаружения. Система обнаружения вторжений после ввода в эксплуатацию способна в течение некоторого промежутка времени эффективно функционировать. Однако с течением времени эффективность системы может снижаться, что приводит к увеличению ложных срабатываний и отсутствию реакции на вторжения. Поэтому СОВ сложны в наладке и требуют высококвалифицированного обслуживающего персонала. Изложенные особенности функционирования известных СОВ делают решение проблемы автономности работы СОВ актуальной.

Автором предложен подход для построения сетевой системы обнаружения вторжений на основе вероятностной модели, которая способна описывать процессы в условиях нехватки данных. При решении задач вероятностными моделями используются процедуры вероятностного вывода. Различные процессы порождают последовательности данных, которые находят свое отражение в пространстве окружения протекания процесса. Процесс вторжения в компьютерных системах проявляется в изменениях последовательности сетевого трафика, профиля поведения пользователя, последовательности системных вызовов к ядру операционной системы. В работе для сетевых СОВ

предлагается вероятностная модель на основе последовательности характеристик сетевого трафика, так как большинство вторжений происходит с использованием компьютерных сетей. Как правило, выделяют три этапа вторжения: сканирование сети; воздействие на уязвимость; повторное получение управления системой через загруженную программу, использующую недокументированный вход в систему. Среди разновидностей вероятностных моделей наиболее перспективным является применение динамических байесовских сетей (ДБС), которые описываются в пространстве состояний в виде ориентированных графов. Методы и алгоритмы, основанные на использовании ДБС, превосходят другие вероятностные модели в точности описания моделируемых процессов и гибкости применения, однако требуют применения более трудоемких алгоритмов, чем, например, скрытые Марковские модели или фильтр Калмана. В развитие теории ДБС большой вклад внести зарубежные ученые Murphy К., Pearl J., Zweig G. Для построения и использования динамических байесовских сетей требуется обучить параметры и структуру сети. Алгоритмы обучения структуры ДБС требуют высоких вычислительных затрат, поэтому задача разработки параллельного алгоритма обучения является также актуальной.

Таким образом, задача разработки методов и алгоритмов обнаружения вторжений с использованием ДБС также является актуальной.

Объектом исследования являются сетевые системы обнаружения процесса вторжения в компьютерную сеть.

Предметом исследования являются алгоритмы обучения и методы вероятностного вывода с использованием динамических байесовских сетей.

Цель диссертационной работы заключается в разработке модели и алгоритмов обнаружения вторжений на основе протоколирования характеристик сетевого трафика в компьютерной сети с использованием динамических байесовских сетей.

Задачи исследования. Для достижения указанной цели необходимо решить следующие задачи:

1. Разработать метод анализа информативных характеристик сетевого трафика для обнаружения вторжений.

2. Разработать вероятностную модель процесса вторжения в компьютерную сеть.

3. Разработать метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях.

4. Разработать параллельный алгоритм обучения структуры байесовских сетей.

5. Провести экспериментальное исследование и сравнительный анализ последовательного и параллельного алгоритма обучения структуры байесовских сетей.

6. Разработать систему обнаружения вторжений на основе функционирования динамических байесовских сетей и сравнить с существующими системами.

Методы исследования основаны на использовании теории вероятности, теории информации, математической статистики, математического моделирования, теории параллельных вычислений. В работе широко применяется компьютерное моделирование, в том числе с использованием самостоятельно разработанного программного обеспечения (ПО).

Информационной базой исследования являются отечественные и зарубежные литературные источники: методические рекомендации, монографии, публикации в отраслевых периодических журналах, материалы крупных исследовательских и методических центров. Также использованы материалы, размещенные в сети Интернет.

Научная новизна работы. В результате проведенного исследования были получены следующие результаты, характеризующиеся научной новизной:

1. Разработан метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений.

2. Разработана вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжений данная модель учитывает три основных этапа вторжения в компьютерную сеть.

3. Разработан оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Разработан параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт.

5. Разработана структура системы обнаружения вторжений, основанная на функционировании динамических байесовских сетей.

Реализация и внедрение результатов исследования. Основные результаты исследований использованы на кафедре проектирования и безопасности компьютерных систем НИУ ИТМО при выполнении ряда научно-исследовательских работ и внедрении в образовательный процесс лабораторных работ по защите информационных процессов в компьютерных сетях.

Достоверность полученных результатов подтверждается корректностью математического аппарата и теоретических обоснований, а также результатами экспериментов, проведенных с помощью разработанного в диссертации ПО.

Практическая значимость результатов диссертации заключается в следующем.

1. Разработанный метод анализа информативных характеристик сетевого трафика позволяет сократить затраты на вычисления в обучении и вероятностном выводе при выборе числа переменных в вероятностных моделях с заданным порогом отбора.

2. Разработанная вероятностная модель адекватно работает на всех трех этапах вторжения и может быть расширена для более точного описания различных аспектов особенностей атаки на сетевую систему.

3. Разработанная система обнаружения вторжений на основе функционирования динамических байесовских сетей позволяет обнаружить новые типы вторжений.

4. Разработан параллельный алгоритм обучения структуры байесовской сети, позволяющий сократить время ее обучения, реализованный в виде нескольких программных модулей. Их можно использовать и в других задачах, решаемых ДБС, например, в других областях исследований.

Внедрение и реализация. Практические результаты работы были внедрены и использованы в НИУ ИТМО, что подтверждено соответствующим актом о внедрении.

Публикации по теме диссертации. По теме диссертации опубликовано десять научных работ [3, 4, 6, 7, 37, 59, 60, 90, 91, 92], из них семь выполнено самостоятельно, три в соавторстве. Две статьи [90, 91] опубликованы в рецензируемом научном журнале, определенном в перечне ВАК.

Апробация работы. Основные научные положения и практические результаты работы были представлены и обсуждены на следующих научно-технических конференциях:

1. VII всероссийской межвузовской конференции молодых ученых, 2010 г.;

2. XL научной и учебно-методической конференции, 2011 г.;

3. VIII всероссийской межвузовской конференции молодых ученых,

2011 г.;

4. IX всероссийской межвузовской конференции молодых ученых,

2012 г.;

5. XLI научной и учебно-методической конференции, 2012 г.;

6. VIII mezinarodni vedecko-prakticka konference «Aktualni vymozenosti — 2012», 2012 г.;

7. XLII научной и учебно-методической конференции НИУ ИМТО,

2013 г.

Основные научные положения, выносимые на защиту:

1. Метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений. Метод не зависит от количества принимаемых значений для свойств.

2. Вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжения данная модель учитывает три основных этапа вторжения в компьютерную сеть и может быть уточнена путем включения в модель дополнительных переменных.

3. Оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт, что позволяет добиться уменьшения времени обучения и стоимости оборудования по сравнению с применением кластерных систем.

5. Структура системы обнаружения вторжений, основанная на функционировании динамических байесовских сетей.

Структура и объем диссертации. Диссертация состоит из введения, пяти глав, заключения, списка литературы. Материал изложен на 130 страницах компьютерного текста, иллюстрирован 31 рисунком и 10 таблицами.

В первой главе работы даются определения основных понятий, рассматривается типовая структура и классификация систем обнаружения вторжений. Анализируются существующие подходы и применяемые методы для решения задачи обнаружения вторжений. Исходя из приведенного анализа формулируется ряд проблем современного состояния теории обнаружений вторжений, на основании которых ставятся цели и задачи дальнейших исследований.

Вторая глава работы посвящена обоснованию выбора предметной области исследования. Приводится аналитический обзор существующих вероятностных моделей и алгоритмов обучения и вероятностного вывода. Обосновывается выбор динамических байесовских сетей. Дается описание проблемы задания априорных вероятностей.

В третьей главе описываются методы и модели, позволяющие использовать ДБС в решении задач обнаружения вторжений. Дается описание разработанного метода анализа информативных характеристик сетевого трафика для выбора оптимальной структуры ДБС. Разрабатывается вероятностная модель обнаружения вторжений, применяемая для моделирования процесса вторжения в динамических байесовских сетях. Описывается метод поиска новых типов вторжений с использованием вероятностного вывода.

Четвертая глава посвящена разработке и реализации параллельного алгоритма обучения структуры ДБС для множественных последовательностей наблюдений. Исследована эффективность параллельного алгоритма обучения структуры ДБС в зависимости от величины данных обучения.

В пятой главе приводятся результаты тестирования разработанной системы обнаружения вторжений на основе разработанных в диссертации алгоритмов и методов. Представлено сравнение разработанной системы с другими СОВ. Описана программная реализация разработанной системы. Приводятся рекомендации по практическому внедрению разработанной СОВ.

В заключение подводятся основные итоги диссертационной работы и приводятся основные результаты, полученные в ходе выполненной работы.

5.4 Выводы

В главе дано описание разработанной структуры системы обнаружения вторжений, основанной на функционировании динамических байесовских сетей для обнаружения сетевых вторжений. Для тестирования предложенного метода обнаружения вторжений, который анализирует последовательности контролируемого процесса, описанных с помощью вероятностных моделей в виде динамических байесовских сетей, была разработана тестовая доменная компьютерная сеть. Приведено описание тестирования нескольких систем обнаружения вторжений.

Тестирование систем показало, системы Snort и Suricata не обнаружили ни одного нового типа вторжения в отличие от разработанной СОВ. Данный результат связан с тем, что большинство современных СОВ используют метод обнаружения вторжений, основанный на сигнатурах и шаблонах правил, которые не способны обнаружить новые типы вторжений. Предложенная СОВ показала способность обнаружения новых типов вторжений и не худшую по сравнению с Snort и Suricata вероятность ложных срабатываний и пропусков на известных типах вторжений.

ЗАКЛЮЧЕНИЕ

В диссертационной работе были рассмотрены: формальное определение понятия «вероятностная модель», рассмотрены различные типы вероятностных моделей (Марковские сети, байесовские сети, фильтр Калмана), а также алгоритмы и критерии оценки для обучения байесовских сетей.

Предложена практическая реализация метода анализа последовательности контролируемого процесса, описанного с помощью вероятностных моделей в виде разработанной системы обнаружения вторжений, использующей динамические байесовские сети для моделирования последовательности данных, порожденных процессом вторжения.

При использовании вероятностных моделей возникает ряд проблем, которые сказываются на качестве получаемых вероятностной моделью оценок. Из-за особенности вероятностных моделей возникает проблема обучения — отсутствие или неполнота априорной информации или данных, которые заменяют вероятностные переменные. Таким образом, проблема задания априорной информации заставляет искать новые методы обучения и использовать различные теории при решении данной проблемы. Приведенный анализ используемых подходов к байесовскому выводу показывает, что применение теории информации гораздо удобнее для практической реализации системы. Применение алгоритмической сложности является перспективным подходом, однако его использование сопряжено с трудностями теории создания искусственного интеллекта и проблемой невычислимости на практике алгоритмической сложности, что осложняет и делает невозможным применение данного подхода для решения практических задач.

На этапе обучения ДБС важен выбор лучшей модели для эффективности работы системы обнаружения вторжений, которая описывает процесс вторжения. Решение проблемы использования ранее накопленного опыта работы системы обнаружения вторжений для последующего ее применения позволит функционировать системе без вмешательства человека в течение значительно большего промежутка времени. Предложенная структура системы обнаружения вторжений обладает способностью реконфигурации своей работы в тех случаях, когда текущая модель перестает корректно описывать наблюдаемые свойства сессий.

Модуль конфигурации системы обнаружения вторжений позволяет выбирать используемую процедуру байесовского вывода в зависимости от задачи и производить переобучение модели динамической байесовской сети.

Проблема выбора числа состояний или слоев перехода для моделирования того или иного процесса влияет на точность и вычислительную сложность. С одной стороны, большее число состояний позволяет точнее моделировать поведение процессов; с другой стороны, трудоёмкость алгоритмов обучения и вероятностного вывода с помощью вероятностных моделей квадратично зависит от числа состояний. В результате, если это число избыточно, возникают вычислительные затраты.

Применение динамических байесовских сетей — перспективный подход для моделирования процессов с неопределенностями различной природы. ДБС могут быть использованы как для моделирования статических, так и динамических процессов. Методы, основанные на использовании ДБС, превосходят другие методы в эффективности обнаружения вторжений, однако требуют применения более трудоёмких алгоритмов вычислений, чем скрытые Марковские модели и статические байесовские сети.

На основании полученных результатов диссертационной работы можно сделать вывод, что цель диссертации, сформулированная во введении, достигнута — поставленная задача решена.

Основные научные и практические результаты диссертационной работы:

1. Разработан метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений.

2. Разработана вероятностная модель обнаружения вторжений на основе динамических байесовских сетей. В отличие от существующих вероятностных моделей вторжения, данная модель учитывает три основных этапа вторжения в компьютерную сеть: сканирование, воздействие на уязвимость и повторное получение управления системой через загруженную программу, использующую недокументированный вход в систему.

3. Разработан оригинальный метод поиска новых типов вторжений с использованием вероятностного вывода в динамических байесовских сетях, который в отличие от существующих методов позволяет эффективно обнаруживать как известные, так и новые типы вторжений.

4. Разработан параллельный алгоритм обучения структур байесовских сетей с использованием технологии вычислений на основе графических видеокарт.

5. Разработано и внедрено программное обеспечение, реализующее модели и алгоритмы системы обнаружения вторжений, основанной на функционировании динамических байесовских сетей.

СПИСОК ЛИТЕРАТУРЫ

1. Приказ ФСТЭК России от 6 декабря 2011 г. N 638 «Об утверждении Требования к системам обнаружения вторжений» (зарегистрирован Минюстом России 1 февраля 2012 г., per. N 23088).

2. ГОСТ Р ИСО/МЭК 15408-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1 и 2.— М.: Стандартинформ, 2009.

3. Дайнеко В. Ю. Разработка комплексной системы защиты информации информационно-управляющей системы производственно хозяйственной деятельности линейно-производственного управления газотранспортного предприятия // Аннотируемый сборник научно-исследовательских выпускных квалификационных работ студентов СПбГУ ИТМО, 2010. — С. 30-31.

4. Дайнеко В. Ю. Разработка комплексной системы защиты информации линейно-производственного управления газотранспортного предприятия // Сборник трудов молодых ученых, аспирантов и студентов научно-педагогической школы кафедры ПКС «Информационная безопасность, проектирование и технология элементов и узлов компьютерных систем» / Под ред. Ю. А. Гатчина. — СПб.: СПбГУ ИТМО, 2010. — С. 21-22. — 60 с.

5. Методические документы ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети шестого класса защиты. Утвержден ФСТЭК России 6 марта 2012 г.

6. Дайнеко В. Ю. Модель автономной системы обнаружения вторжений // «Актуальные научные достижения — 2012»: Materiäly VIII mezinärodni vedecko-praktickä konference «Aktuälni vymozenosti vedy — 2012». Praha: Publishing House «Education and Science» s.r.o. — 2012. — C. 64-66.

7. Дайнеко В. Ю. Временной фактор в системах обнаружения вторжения // Сборник тезисов докладов конференции молодых ученых. — Вып. 1. — СПб: СПбГУ ИТМО, 2010. — С. 177.

8. Johansen К., Lee S. Network Security: Bayesian Network Intrusion Detection (BINDS). 2003.

9. Axelsson S. The base-rate fallacy and the difficulty of intrusion detection // ACM Transaction of Information System Security. 2000. V. 3. No. 3. P. 186-205.

10. Kruegel C., Mutz D., Robertson W., Valeur F. Bayesian event classification for intrusion detection. Proceedings of the 19th Annual Computer Security Applications Conference, Las Vegas. IEEE Computer Society. 2003. P. 14-23.

11. Alma C., LiY., Joseph M. Network Intrusion Detection Based on Bayesian Networks. In Proceedings of SEKE. 2008. P. 791-794.

12. Аникеев M. В. Метод обнаружения аномалий на основе скрытых Марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». — Таганрог: ТРТУ, 2005. — С. 58-60.

13. Аграновский А. В., Селин Р. Н., Милославская Н. Г., Толстой А. И. Анализ современных подходов к обнаружению компьютерных вторжений и их недостатков // Безопасность информационных технологий. — Москва: ВНИ-ИПВТИ, 2008. Вып. 2. — С. 5-11.

14. Scarfone К., MellGuide P. Guide to Intrusion Detection and Prevention Systems (IDPS) 11NIST Special Publication 800-94. 2007. P. 127.

15. Murphy K.P. Dynamic bayesian networks: representation, inference and learning. 2002. PP. 268.

16. Intel Corporation. Probabilistic Network Library — User guide and reference manual [Электронный ресурс]. — URL: http://www.sourceforge.net /projects/openpnl. — Режим доступа: свободный. Яз. англ. (дата обращения 15.12.2011).

17. Суетин 77. К. Работы академика А. А. Маркова по математическому анализу / В кн.: Гродзенский С. Я. Андрей Андреевич Марков. — М.: Наука, 1987.

18. Kindermann R., Snell J. Markov Random Fields and Their Applications.— American Mathematical Society. 1980. V. 1. P. 142.

19. Гихман И. И., Скороход А. В. Теория случайных процессов, т. 2, М., 1973.

20. Starrier Т, PentlandA. Real-Time American Sign Language Visual Recognition From Video Using Hidden Markov Models. Master's Thesis, MIT. 1995.

21. Pardo В., Birmingham W. Modeling Form for On-line Following of Musical Performances. AAAI 05 Proceedings of the 20th national conference on Artificial intelligence. 2005. V. 2. P. 1018-1023.

22. Lawrence R. R. A Tutorial on Hidden Markov Models and Selected Applications in Speech Recognition. Proceedings of the IEEE. 1986. V. 77. No. 2. P. 257-286.

23. Viterbi A. J. Error bounds for convolutional codes and an asymptotically optimum decoding algorithm. IEEE Transactions on Information Theory. 1967. V. 13. No. 2. P. 260-269.

24. Baum L. E., Petrie Т., Soules G., Weiss N. A maximization technique occurring in the statistical analysis of probabilistic functions of Markov chains. Ann. Math. Statist.. 1970. V. 41. No. 1. P. 164-171.

25. StridL, WalentinK. Block Kalman Filtering for Large-Scale DSGE Models. Springer: Computational Economics. 2009. V. 33. No 3. P. 277-304.

26. Moller Andreasen M. DSGE Models and Term Structure Models with Macroeconomic Variables. Chapter 3. A dissertation submitted to the Faculty of Social Sciences, University of Aarhus. 2008. P. 67-107.

27. Roweis S., Ghahramani Z. A unifying review of linear Gaussian models, Neural Comput. 1999. V. 11. No 2. P. 305-345.

28. Pearl J. Bayesian Networks: A Model of Self-Activated Memory for Evidential Reasoning (UCLA Technical Report CSD-850017). Proceedings of the

7th Conference of the Cognitive Science Society, University of California. 1985. P. 329-334.

29. Pearl J. Causality: Models, Reasoning, and Inference. 2-nd Edition. Cambridge University Press. 2009. P. 464.

30. Friedman N., Linial M., Nachman I., Peer D. Using Bayesian Networks to Analyze Expression Data. Journal of Computational Biology, Larchmont, New York: Mary Ann Liebert Inc. 2000. V. 7. No. 3/4. P. 601-620.

31. UebersaxJ. Genetic Counseling and Cancer Risk Modeling: An Application of Bayes Nets. Marbella, Spain: Ravenpack International. 2004.

32. Jiang X., Cooper G. F. A Bayesian spatio-temporal method for disease outbreak detection. J Am Med Inform Assoc. 2010. V. 17. No. 4. P. 462-71.

33. De Campos L. M., Fernandez J. M., Huete J. F. Bayesian networks and information retrieval: an introduction to the special issue". Information Processing & Management. 2004. V. 40. No. 5. P. 727-733.

34. Diez F.J., Mira J., Iturralde E., Zubillaga S. DIAVAL, a Bayesian expert system for echocardiography. Artificial Intelligence in Medicine, Elsevier. 1997. V. 10. No. 1. P. 59-73.

35. Davis G. A. Bayesian reconstruction of traffic accidents. Law, Probability and Risk. 2003. V. 2 No. 2. P. 69-89.

36. БидюкП. И., Терентъев A. H. Построение и методы обучения байесовских сетей. Таврический вестник информатики и математики, №2, 2004. — 139 с.

37. Дайнеко В. Ю. Динамическая байесовская сеть в системах обнаружения вторжения // Сборник тезисов докладов конференции молодых ученых. Вып. 1. —СПб.:СПбГУ ИТМО, 2011, —С. 122-123.

38. Zweig G. G. Speech Recognition with Dynamic Bayesian networks / University of California, Berkeley. 1994. P. 169.

39. Murphy K. A Brief introduction to graphical models and Bayesian networks. 2001. P. 19.

40. Intel Corporation. Probabilistic Network Library — User guide and reference manual [Электронный ресурс]. — Режим доступа: http://www.source forge.net/projects/openpnl, свободный. Яз. англ. (дата обращения 15.12.2011).

41. Song L., Kolar М, Xing Е. P. Time-Varying Dynamic Bayesian Networks // Advances in Neural Information Processing Systems 22. 2009. P. 1732-1740.

42. Doshi-Velez F., Wingate D., Tenenbaum J., Roy N. Infinite Dynamic Bayesian Networks. ICML (International Conference on Machine Learning). 2011.

43. Ng. В. M. Adaptive Dynamic Bayesian Networks. Joint Statistical Meetings Salt Lake City. 2007. [Электронный ресурс]. — URL: https://e-reports-ext.llnl.gov/pdi7353937.pdf. — Режим доступа: свободный. Яз. англ. (дата обращения 05.11.2011).

44. Pfeffer A., Tai Т. Asynchronous Dynamic Bayesian Networks. Appears in Proceedings of the Twenty-First Conference on Uncertainty in Artificial Intelligence (UAI2005). [Электронный ресурс]. — URL: http://arxiv.org/ftp/arxiv/papers/1207/1207.1398.pdf. — Режим доступа: свободный. Яз. англ. (дата обращения 05.11.2011).

45. Robinson J. W., Hartemink A. J. Non-stationary dynamic Bayesian networks. Advances in Neural Information Processing Systems 21. 2009.

46. Zweig. G. Bayesian network structures and inference techniques for automatic speech recognition. Computer Speech and Language. 2003. V. 17. P. 173-193.

47. Ромов П. Обучение структуры байесовских сетей при помощи пакета bnlearn системы R. [Электронный ресурс]. — URL: http://www.machinelearning.rU/wiki/images/5/58/Practice_Romov_R_bnlearn.pdf. — Режим доступа: свободный. Яз. рус. (дата обращения 05.10.2012).

48. CasteloR., Roverato A. A Robust Procedure For Gaussian Graphical Model Search From Microarray Data With p Larger Than n. Journal of Machine Learning Research. 2006. V. 7. P. 2621-2650.

49. SchaferJ., Strimmer К. A Shrinkage Approach to Large-Scale Covariance Matrix Estimation and Implications for Functional Genomics. Statistical Applications in Genetics and Molecular Biology. 2005. V. 4. P. 32.

50. Hastie Т., Tibshirani R., Friedman J. The Elements of Statistical Learning: Data Mining, Inference, and Prediction. Springer, 2nd edition. 2009.

51. VinhN.X., Chetty M. GlobalMIT: Learning Globally Optimal Dynamic Bayesian Network with the Mutual Information Test (MIT) Criterion. Bioinformatics. 2011.

52. Carvalho A. M. Scoring functions for learning Bayesian networks. 2009.

53. Campos L. M. A scoring function for learning bayesian networks based on mutual information and conditional independence tests. J. Mach. Learn. Res. 2006. V. 7. P. 2149-2187.

54. A. M. Carvalho. Scoring functions for learning Bayesian networks. 2009.

55. D. M. Chickering. Learning Bayesian Networks is NP-Complete. In D. Fisher and H. Lenz, editors, Learning from Data: Artificial Intelligence and Statistics. 1996. P. 121-130.

56. Dojer, N. Learning Bayesian Networks Does Not Have to Be NP-Hard. In Proceedings of International Symposium on Mathematical Foundations of Computer Science. 2006.

57. Akbar S., Rao K., Chandulal J. Intrusion detection system methodologies based on data analysis // International Journal of Computer Applications. 2010.

58. Потапов А. С. Распознавание образов и машинное восприятие: Общий подход на основе принципа максимальной длины описания. — СПб.: Политехника, 2007. — 548 с.

59. Дайнеко В. Ю. Динамические байесовские сети в системах обнаружения вторжений// Альманах научных работ молодых ученых. — СПб.: НИУ ИТ-МО, 2012. — С. 54-59. — 348 с.

60. Дайнеко В. Ю. Эффективные алгоритмы обучения динамических байесовских сетей в системах обнаружения вторжений // Сборник тезисов докладов конгресса молодых ученых. Вып. 1. — СПб.: СПбГУ ИТМО, 2012. — С. 128-129.—246 с.

61. Stolfo S. J., Fan W., Lee W., Prodromidis A., Chan P. K. Cost-based Modeling and Evaluation for Data Mining With Application to Fraud and Intrusion Detection: Results from the JAM Project by Salvatore. 2000.

62. Kayacik H. G., Zincir-Heywood A. N., Heywood M. I. Selecting Features for Intrusion Detection: A Feature Relevance Analysis on KDD 99. Proceeding of third annual conference on privacy, security and trust (PST), New Brunswick, Canada. 2005.

63. Максимей И. В. Математическое моделирование больших систем : учеб. пособие для спец. "Приклад, математика" / И. В. Максимей. — Минск: Высшая школа, 1985. — 119 с.

64. DARPA. Knowledge Discovery in Databases. 1999. DARPA archive. [Электронный ресурс]. — URL: http://www.kdd.ics.uci.edu/databases /kddcup99/task.htm. — Режим доступа: свободный. Яз. англ. (дата обращения 05.09.2011).

65. Jesen F. Bayesian Networks and Decision Graphs. Springer, New York. 2001.

66. Axelsson S. The base-rate fallacy and the difficulty of intrusion detection. ACM Transaction of Information System Security. 2000. V. 3. No. 3. P. 186-205.

67. Tavallaee M., Bagheri E., Lu W., Ghorbani A. A Detailed Analysis of the KDD CUP 99 Data Set," Submitted to Second IEEE Symposium on Computational Intelligence for Security and Defense Applications (CISDA). 2009.

68. McHugh J. Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory. ACM Transactions on Information and System Security. 2000. V. 3. No. 4. P. 262-294.

69. Kshirsagar V.P., Patil D. R. An overview of adaboost-based NISD and performance evaluation on NSL-KDD dataset. International Journal of Computer Engineering and Computer Application. 2010. V. 1.

70. Jain M. An Improved Techniques Bsed on Naive Bayesian for Attack Detection. 2012.

71. Cemerlic A., Yang L., Kizza J. M. Network Intrusion Detection Based on Bayesian Networks // In Proceedings of SEKE. 2008. P. 791-794.

72. Chebrolu S., Abraham A., Thomas J. P. Feature deduction and ensemble design of intrusion detection systems. Journal of Computers of Security, Elsevier. 2005. V. 24. P.295-307.

73. Касперски К. Техника хакерских атак. Фундаментальные основы хакерства. Издательство: СОЛОН — Р 2005. — 448 с.

74. Scutari М. Learning bayesian networks with the bnlearn R package // Journal of Statistical Software. 2010. V. 35. No. 3. P. 1-22.

75. Pearl J. Probabilistic Reasoning in Intelligent Systems: Networks of Plausible Inference. Morgan Kaufmann. 1988.

76. Margaritis D. Learning bayesian network model structure from data. Technical report, DTIC Document. 2003.

77. Tsamardinos I., Aliferis C. F., Statnikov A., Statnikov E. Algorithms for large scale markov blanket discovery // In Proceedings of the Sixteenth International Florida Artificial Intelligence Research Society Conference. 2003. P. 376-381.

78. Yaramakala S., Margaritis D. Speculative markov blanket discovery for optimal feature selection. In Data Mining, Fifth IEEE International Conference on. 2005. P. 4.

79. Tsamardinos I., Brown L. E., Aliferis C. F. The max-min hill-climbing bayesian network structure learning algorithm. Machine learning. 2006. V. 65. No. 1. P. 31-78.

80. KullbackS. Information Theory and Statistics. John Wiley & Sons, Hoboken. 1959.

81. Жилинискас А., Шатлянис В. Поиск оптимума: компьютер расширяет возможности. - М.: Наука, 1989. — 79 с.

82. Anderson Н. L. Metropolis, Monte Carlo and the MANIAC. Los Alamos Science. 1986. V. 14. P. 96-108.

83. Гладков JI. А., Курейчик В. В., Курейчик В. М. Генетические алгоритмы: Учебное пособие. — 2-е изд. — М: Физматлит, 2006. — С. 320.

84. Witten I. Н., Frank Е. Data Mining: Practical Machine Learning Tools and Techniques. 2nd edition. Morgan Kaufmann. 2005.

85. Heckerman D., GeigerD., Chickering D. M. Learning Bayesian Networks: The Combination of Knowledge and Statistical Data. Available as Technical Report MSR-TR-94-09. Machine Learning. 1995. V. 20. No. 3. P. 197-243.

86. Cooper G. F., Herskovits E. A Bayesian Method for the Induction of Probabilistic Networks from Data. Machine Learning. 1992. V. 9. No. 4. P. 309-347.

87. Friedman N., Peer D., Nachman I. Learning Bayesian Network Structure from Massive Datasets: The "Sparse Candidate" Algorithm. In Proceedings of Fifteenth Conference on Uncertainty in Articial Intelligence, Morgan Kaufmann. 1999. P. 206-221.

88. Verma T. S., Pearl J. Equivalence and Synthesis of Causal Models. Uncertainty in Articial Intelligence. 1991. V. 6. P. 255-268.

89. SpirtesP., Glymour C., Schemes R. Causation, prediction, and search. The MIT Press, second edition. 2000.

90. Арустамов С. А., Дайнеко В. Ю. Параллельный алгоритм обучения структуры байесовской сети // Научно-технический вестник информационных технологий, механики и оптики. — СПб.: НИУ ИТМО, № 2(84), 2013. — С. 170-171.

91. Арустамов С. А., Дайнеко В. Ю. Применение динамической байесовской сети в системах обнаружения вторжений // Научно-технический вестник информационных технологий, механики и оптики. — СПб.: НИУ ИТМО, № 3(79), 2012. — С. 128-133.

92. Арустамов С. А., Дайнеко В. Ю. Система обнаружения вторжения с использованием байесовских сетей // Сборник трудов молодых ученых, аспирантов и студентов научно-педагогической школы кафедры ПБКС «Информационная безопасность, проектирование и технология элементов и узлов компьютерных систем»/ Под ред. Ю.А.Гатчина. — СПб.: НИУ ИТМО, 2012. —С. 13-14. —59 с.

93. The WinPcap Team. WinPcap Documentation [Электронный ресурс]. — Режим доступа: http://www.winpcap.org/docs/docs_412/html/main.html, свободный. Яз. англ. (дата обращения 10.10.2011).

94. VMware, Inc. Getting Started with VMware Workstation VMware Workstation 8 [Электронный ресурс]. — Режим доступа: http://www.vmware.com/files/pdf/VMware-Workstation-Datasheet.pdf, свободный. Яз. англ. (дата обращения 13.08.2011).

95. Microsoft Security Bulletin MS 10-061 — Critical Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290) [Электронный ресурс]. — Режим доступа: http://technet.microsoft.com/en-us/security/bulletin/MS 10-061, свободный. Яз. англ. (дата обращения 11.04.2011).

96. Microsoft Security Bulletin MS08-067 - Critical Vulnerability in Server Service Could Allow Remote Code Execution (958644) [Электронный ресурс]. — Режим доступа: http://technet.microsofl.com/en-us/security /bulletin/ms08-067, свободный. Яз. англ. (дата обращения 09.04.2011).

97. Microsoft Security Bulletin MS 10-015 - Important Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (977165) [Электронный ресурс]. — Режим доступа: http://technet.microsoft.com/en-us/security/bulletin/MS10-015, свободный. Яз. англ. (дата обращения 09.04.2011).

98. Sourcefire. Inc. Snort Users Manual 2.9.2 [Электронный ресурс]. — Режим доступа: http://www.snort.org/assets/166/snort_manual.pdf, свободный. Яз. англ. (дата обращения 12.01.2012).

99. The Open Information Security Foundation. Suricata User Guide [Электронный ресурс]. — Режим доступа: https://redmine.openinfosecfoundation.org /projects/suricata/wiki/Suricata_User_Guide, свободный. Яз. англ. (дата обращения 15.01.2012).

100. Mattord H., Whitman M. Principles of Information Security // Course Technology. 2008. P. 290-301.

УТВЕРЖДАЮ

АКТ

внедрения в учебный процесс кафедры проектирования и безопасности компьютерных систем результатов диссертации Дайнеко В. Ю. на тему «Разработка модели и алгоритмов обнаружения вторжений на основе динамических байесовских сеьей», представленной на соискание ученой степени кандидата технических наук по специальности 05.13.19 — Методы и системы защиты информации, информационная безопасность.

Мы, нижеподписавшиеся, комиссия в составе председателя комиссии — заведующего кафедрой проектирования и безопасности компьютерных систем (ПБКС), д.т.н., профессора Гатчина Ю. А. и членов комиссии: к.т.н, доцента кафедры ПБКС Крылова Б. А. и доцента кафедры ПБКС Ивановой Н. Ю. удостоверяем, что результаты диссертационной работы Дайнеко В. Ю. внедрены на кафедре ПБКС при разработке практических занятий для студентов по курсу «Защита информационных процессов в компьютерных системах». Объектами внедрения являются:

1) Программный модуль сбора и обработки информации с сенсоров системы обнаружения вторжений.

2) Метод анализа информативных характеристик сетевого трафика для обучающих наборов данных при использовании в системах обнаружения вторжений.

3) Вероятностная модель обнаружения вторжений на основе динамических байесовских сетей.

Внедрение позволило повысить у студентов профессиональные компетенции, практические умения анализировать существующие средства для контроля и защиты информации, навыки использования и применения программно-аппаратных систем защиты.

Председатель комиссии:

Заведующий кафедрой проектирования и безопасности

доцент кафедры ПБКС

компьютерных систем, д.т.н., пр Члены комиссии:

к.т.н, доцент кафедры ПБКС

Иванова Н. Ю.

Гатчин Ю. А.

Крылов Б. А.