Идентификация недекларированных воздействий в процессе сетевой передачи информации тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат технических наук Бабенко, Герман Валерьевич

Современные тенденции построения телекоммуникационных сетей предполагают наличие сложных и разнородных структур передачи данных, сетей сбора и обработки технологической информации, телефонных и видео систем, в основном использующих Ethernet технологии. Большинство современных промышленных объектов имеют распределенные сети сбора информации с различных датчиков, главными особенностями структурной реализации которых, является территориальная распределенность, разнородность применяемого оборудования и интеграция их в компьютерные сети более высокого уровня [61, 75]. Таким образом, в условиях роста применения сетевых приложений, пропорционально увеличивается и объем информации обрабатываемой и передаваемой по каналам связи (рис. 1).

20000 Д

18000 ШЖ

16000 ^И И

14000

12000 И

10000 И И И ■ ГБайт

8000 ^ шЩ■ Щ

6000 Щ Щ Щ Щ

4000 —Щ Ш И Ш /иР ШШ ^т ^Р^т иш

0 -1-1-1-1-1-1-г

2005 2006 2007 2008 2009 2010 2011

Рис. 1. Объем передаваемой информации

В тоже время стремительный рост масштабности и разнообразия топологий сетей приводит к усложнению их корректного функционирования, а для обеспечения необходимого уровня надежности компьютерной сети в ней должны быть предусмотрены аппаратные и программные средства выявления и локализации отказов, а также средства реконфигурации сети и анализа процессов передачи информации по каналам связи.

Надежность информационного взаимодействия в компьютерной сети требует решения нескольких задач, основной из которых является защита подключенных компонентов сетевой инфраструктуры, как от угроз внешнего, из сетей общего пользования, так и от внутреннего негативного воздействия. Для обеспечения высокого уровня надежности необходимо иметь возможность получения более глубоких знаний и полного понимания того, где могут возникать уязвимости сетей, для предотвращения и локализации возможности их эксплуатации.

Проблемой анализа корректного функционирования сетей занимались и продолжаются заниматься. Однако сферы исследований разделены либо вопросами телекоммуникации: Гамаюнов Д.Ю., Тишина H.A., Гугель Ю.В., Наумов Д.A., Lazarevich A., J. Stolfo., либо исследованиями в области сетевых атак и безопасности: Васильев В.И., Зегжда П.Д., Остапенко А.Г., Расторгуев С.П., Шевченко A.C., Дружинин Е.Л., Mahoney М. V., McClean D.

По оценке специалистов в области сетевых технологий [72], в период с 2012 года ожидается появление множества новых факторов снижения надежности систем, в связи, с чем произойдёт перераспределение ИТ-приоритетов. С другой стороны, появятся новые технологии обеспечения информационной безопасности, которые смогут предоставить более высокий уровень защиты. По их оценкам все большую роль в обработке информации, с использованием сетевых технологий, приобретают облачные сервисы вычислений, обладающие достаточным уровнем защиты [88, 110]. Однако безопасность подготовленной информации, передаваемой в облако, ее целостность и конфиденциальность на необходимом уровне, должна быть обеспечена инфраструктурой сети, в которой она была сгенерирована. Активное использование социальных сетей и высокий уровень доверия в них, также способствует распространению программных реализаций направленных воздействий в локальных сетях, подключенных к Internet.

Согласно [71] решения, основанные исключительно на сигнатурном методе анализа сетевого трафика, являющимся на сегодняшний день наиболее 6 распространенным, не справляются с воздействием вредоносных программ. За период с 2007 по 2011 год, количество новых видов вирусов и вредоносного программного обеспечения возросло в геометрической прогрессии, в то время как системы, основанные исключительно на сигнатурном анализе, уже не способны обеспечивать должный уровень надежности функционирования при сетевом взаимодействии (рис. 2).

3500000 3000000 2500000 2000000 1500000 1000000 500000 0

2005 2006 2007 2008 2009 2010 2011

Рис. 2. Соотношения факторов и описателей

Ярчайшим примером описанного выше является программа, получившая в «Лаборатории Касперского» наименование Worm.Win32.Flame [2], которая позволяла реализовать возможность удалённого изменения настроек компьютера, создания снимков экрана, похищения файлов, документов, переписки из программ обмена сообщениями, контактных данных, перехват сетевого трафика, паролей, и осуществление аудиозаписи разговоров через подключённый микрофон. Далее перехваченные данные передаются по открытым каналам связи на командные серверы в разных частях света. По предварительной оценке, Flame действует уже порядка двух лет, с марта 2010 года. До сих пор он не был обнаружен ввиду исключительной сложности, географической и целевой направленности — определённые компьютеры преимущественно из сферы бизнеса и академических учреждений. Примечательно то, что обнаружена данная программа была 30 мая 2012 г. совершенно случайно, в процессе анализа абсолютно другого проекта. Экспертами данные виды программ уже все больше и больше относят к проектам ведения «кибервойн», с использованием сетей передачи информации.

Так только за 2011 год известная компания - разработчик выявила более 35 миллионов новых типов вирусов, что по сравнению с суммарным количеством уникальных вирусов, обнаруженных за всю историю существования данной компании, наглядно показывает, бесперспективность применения системы обнаружения вредоносного программного обеспечения, основанных на сигнатурном анализе без сочетания с другими решениями сетевого анализа: межсетевыми экранами, системами обнаружения атак и вторжений, экспертными системами, анализаторами протоколов, нагрузочными тестовыми комплексами.

Поскольку сетевые уровни взаимодействия систем содержат уязвимости, у нарушителей появляется множество возможностей для осуществления различных атак. Негативное воздействие может исходить из широкого круга источников, включая профессиональных хакеров, конкурентов или собственных работников [44]. Технологии и протоколы, лежащие в основе функционирования современных компьютерных сетей, с точки зрения надежности функционирования систем обработки информации, обладают достаточно большим количество недостатков (рис. 3).

Модель ОБ! л ^

Прикладной

Представительный

Сеансовый

Транспортный

Сетевой

Канальный

Физический .

Применение

-N,

Службы приложений RPC SMB NetBios TCP IP

ARP Ethernet j

Теоретическое количество комбинаций техник воздействия

2х 2хх j-—> 32 ^ 65533 j v| ~™» 20482& л,—» 4 Г> ,12100'

16~~*6553в\ mi&smu б-*64 — "л068611827779

Рис. 3. Количество возможных техник воздействия

В этом случае наибольшую опасность при сетевом взаимодействии влекут за собой реализации недекларированных воздействий, которые вызывают наибольшее беспокойство экспертов в области сетевых технологий передачи, хранения и обработки информации [58, 62]. Исходя из определения данного типа уязвимостей, они характеризуются как впервые реализованные методики и техники скрытого воздействия на объект атаки, с целью нарушения основных свойств информации. Основным преимуществом данного типа воздействий перед системами защиты информации и контроля надежности, является их уникальность, заключающаяся в том, что методы анализа не имеют ключевой информации, характеризующий объект противодействия. Ранее данный тип воздействий определялся как «эксплуатация уязвимостей», однако сегодня к нему относятся любые состояния, приводящие к нарушению регламентированного, ожидаемого функционирования контролируемого объекта - сетевой инфраструктуры и сетевого взаимодействия.

Существует множество практических приемов и технологий для ослабления воздействий [66], однако при реализации подходов обеспечения надежности сетевого взаимодействия, во всех системах контроля и анализа процесса сетевого взаимодействия, объектом анализа выступает сетевой трафик, генерирующийся при взаимодействии компонентов сети. Анализ сетевого трафика и поиск в нем отклонений, свидетельствующих о возникновении неопределенных состояний и нарушениях в инфраструктуре сети, является основой сетевых систем анализа трафика. Стоит также отметить, что не меньшее внимание необходимо уделять программно-аппаратной среде, являющейся источником генерации сетевого трафика, т.к. некорректно сконфигурированный режим работы может кардинально изменить общую характеристику анализируемой информации.

Таким образом, сегодня актуальной проблемой при обеспечении корректного функционирования объектов сетевого взаимодействия, становится разработка и реализация систем анализа компонентов сетевой инфраструктуры с целью выявления предпосылок к успешной реализации недекларированных 9 воздействий или их идентификации, возникающих при сетевом взаимодействии, основанной на анализе сетевого трафика без использования классического набора сигнатур. Это подтверждается увеличением количества ведущихся разработок по данному направлению, как программных, так и аппаратных, и перспективностью данного направления обеспечения корректного функционирования сетей [4].

Настоящая работа заключается в модернизации методов анализа сетевого трафика Ethernet TCP/IP и разработке методики контроля целостности среды генерации трафика, интеграции их в единую систему и адаптации их в автоматизированной системе анализа сетевой инфраструктуры с целью идентификации недекларированных воздействий при передаче и обработке информации в каналах связи.

Целью работы является увеличение уровня надежности и корректного функционирования сетевых компонентов при реализации взаимодействия между ними на основе оценок комплексного анализа сетевого трафика.

Объект исследования - процессы сетевого взаимодействия, характеристики потоков сетевого трафика и среды его генерации в инфраструктуре сети.

Предмет исследования - методы анализа сетевого трафика и среды генерации на основе ключевых поведенческих характеристик и определения в них отклонений.

В соответствии с поставленной целью в диссертационной работе необходимо решить следующие задачи:

- провести классификацию факторов, влияющих на уменьшение уровня надежности функционирования систем при сетевом взаимодействии;

- разработать процедуры и алгоритм контроля целостности среды генерации сетевой инфраструктуры;

- определить и разработать методы и алгоритмы анализа сетевого трафика «Ethernet-TCP/IP», позволяющие в совокупности уменьшить доли ошибок 1-ого и 2-ого рода, при определении отклонений;

- разработать автоматизированную систему анализа сетевой инфраструктуры и выявления недекларированных воздействий, оценить эффективность системы.

Методы исследования. Для решения сформулированных задач и достижения поставленной цели использовались методы математического моделирования, построения алгоритмов, методы статистического, сигнатурного, нейросетевого анализа, методы экспертного оценивания. Выводы и рекомендации, сформулированные в диссертации, основаны на теоретических и экспериментальных исследованиях.

Научная новизна диссертационного исследования состоит в: усовершенствовании метода статистического анализа трафика в области контроля надежности сетевых ресурсов, на основе построения шаблона штатного функционирования и определения отклонений, которые позволяют анализировать, как частотную, так и объемную характеристики потока передаваемой информации; разработке процедуры контроля неизменности компонентов в среде генерации трафика с использованием аппарата \УМ1 и экспертной классификации важности, позволяющей вести динамический мониторинг свойств сетевых объектов; разработке алгоритма интеграции оценок анализа контролируемых объектов в единую характеристику состояния сетевой инфраструктуры с возможностью идентификации недекларированных воздействий в процессе обработки передаваемой сетевой информации; построении общей технологической и структурной схемы системы анализа и управления сетевой инфраструктурой и информирования об идентификации недекларированных воздействий.

Практическая значимость работы заключается в следующем: реализована автоматизированная система по выявлению предпосылок к реализации недекларированных воздействий (свидетельство о регистрации программы для ЭВМ «Автоматизированная система анализа сетевой инфраструктуры «АС2-И ЕхрЬАИег» №2011612924 от 05.05.2011 г.). представлены технические предложения по развертыванию системы в существующей сетевой инфраструктуре с организацией вычислительного облака за счет компонентов сети, результаты диссертационной работы используются в практической деятельности Службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС «Звездочка».

Апробация работы. Основные результаты диссертации доложены и обсуждены на международных научно-практических конференциях: «Перспективы развития информационных технологий», (г. Новосибирск, 2011), «Актуальные задачи математического моделирования и информационных технологий», (г. Сочи, 2011), «Молодежь и наука XXI века», (г. Ульяновск, 2010), ежегодных научно-технических конференциях профессорско-преподавательского состава Астраханского государственного технического университета в период с 2009 по 2012 гг.

В первой главе работы рассматриваются основные методы и средства обработки сетевой информации с целью увеличения уровня надежности элементов сетевой инфраструктуры. На основе современных исследований и разработок выявлено, что наиболее перспективным направлением является применение проактивных технологии. В то же время выявление недекларированных воздействий в режиме реального времени является наиболее актуальной задачей, и определение минимально необходимых принципов построения системы анализа, позволит более качественно решить эту проблему.

На основе исследований других авторов определено, что трафик обладает характеристиками самоподобия, в его потоке возможны всплески активности.

12

Рассмотрены основные методики, используемые при анализе трафика, также рассмотрены методы поведенческого анализа, применение которых теоретически может способствовать предотвращению любого типа негативного воздействия. В итоге проведен совокупный анализ потенциальных воздействий на сетевую инфраструктуру на основе методики структуризации функций и целей, с представлением стандартно-структурированной компьютерной вычислительной сети. На основе декомпозиции процесса сетевой передачи информации определены объекты анализа: среда генерации трафика; характеристики потоков сетевого трафика.

Во второй главе разработаны и описаны алгоритмы и методы получения итоговых оценок. Усовершенствован метод статистического анализа трафика в области контроля надежности сетевых ресурсов, адаптирован метод нейросетевого анализа на основе карт самоорганизации Кохонена, к структуре сетевого трафика, разработана методика выявления доминирующего признака недекларированного воздействия на основе сигнатурного анализа, сформирована функция по определению важности и контролю неизменности компонентов в среде генерации трафика.

Получены наборы оценок среды генерации, а так же оценки статистического, сигнатурного и нейросетевого анализа сетевого трафика, где результат анализа каждого метода корректируется коэффициентом достоверности. В результате описан алгоритм получения итоговой оценки анализа процесса передачи информации, с применением набора оценок целостности среды генерации и передаваемого между абонентами сети трафика.

Третья глава посвящена вопросам разработки автоматизированной системы, рассмотрена ее концептуальная схема, в качестве модульного ядра.

Определены основные принципы построения и предложена общая технологическая и структурная схемы автоматизированной системы, позволяющие использовать объекты сети в качестве вычислительных элементов системы. Определено, что процедура выявления инцидентов

13 воздействия может быть описана циклом процесса - взаимодействия программной системы и решений системного персонала по работе с ней. Описан процесс получения оценки достоверности результатов применения автоматизированной системы и реализованных в ней методов в спроектированной сетевой среде. В ходе испытаний получены коэффициенты достоверности применяемых методов.

В четвертой главе описаны этапы внедрения в процессы обработки информации, проанализированы результаты внедрения системы в существующие сетевые структуры, с целью повышения надежности их функционирования. Проведя анализ полученной информации, сделан вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем.

4.3. Основные выводы и результаты по четвертой главе

В данной главе работы были рассмотрены:

1. Схемы внедрения, как в качестве автономной системы, так и в качестве сетевых агентов.

2. Функционирование системы в реальной сетевой инфраструктуре с совместным использованием иных систем анализа, ранее развернутых в сетевой инфраструктуре.

Проведя анализ полученной информации можно сделать вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем. Также сравнив показатель эффективности системы на двух независимых объектах в разной степенью распределенности, можно сделать вывод о незначительном уменьшении положительных показателей системы с увеличением топологии сетевой инфраструктуры.

ЗАКЛЮЧЕНИЕ

Настоящая работа посвящена в разработке методов анализа сетевого трафика Ethernet TCP/IP и среды генерации, интеграции их в единую систему и адаптации их в автоматизированной системе анализа сетевой инфраструктуры с целью выявления предпосылок к реализации недекларированных воздействий.

В ходе данной работы автором получены следующие результаты:

1. Проведен анализ современных методик и техник негативных воздействий, основные из которых были представлены как многоуровневая система. Представлена их классификация, описаны схемы их выполнения и возможные последствия от их успешной реализации. Проанализировано современное состояние средств сетевого анализа и увеличения надежности функционирования, указаны преимущества и недостатки, а также рассмотрены основные архитектуры, используемые при разработке данных систем.

2. Определено, что на этапе эксплуатации вероятность возникновения угрозы нарушения корректного функционирования имеет самое высокое значение, а ошибки, допущенные на этапе настройки, влекут за собой существенный рост вероятности возникновения негативного воздействия во время эксплуатации. Количество УЗ напрямую зависит от размеров и инфраструктуры сети, а наличие СЗИ снижает вероятность успешной реализации негативного воздействия, но не гарантирует их полное отсутствие.

3. Рассмотрев вопросы организации сетевых пакетов согласно спроецированной на модель OSI стек протоколов TCP/IP, методы их структуризации, были определены основные характеристики трафика.

4. Разработан метод сигнатурного анализа, основанный на свойствах ключевых характеристик потока сетевого трафика, таких как флаги пакетов, параметры адресации, и т.п., с последующим определением доминирующего признака, для идентификации источника недекларированного негативного воздействия на объект, с применением стандартов RFC и динамических характеристик полученных эмпирически.

5. Определив ключевые характеристики потока сетевого трафика, в работе были сформированы входные вектора, которые использовались при реализации алгоритма построения СОКК. С использованием линейного градиента был разработан способ визуализации полученных карт. Расшифровка полученной совокупности карт признаков позволяет проводить анализ взаимодействий в сетевой инфраструктуре, а реализованный в «АС2-И» автоматический режим чтения карт позволяет анализировать сети на заданном временном интервале. В результате аппарат СОКК возможно применить для поиска скрытых закономерностей в трафике, идентификации аномалий сетевого трафика и детектирования деятельности «инсайдеров» в совокупности с иными, широко распространенными, системами защиты информации (антивирусные системы, межсетевые экраны, системы обнаружения вторжений и атак, системы анализа защищенности), для повышения уровня надежности.

6. Усовершенствованы статистические методы обнаружения попыток нарушения безопасности в сети, основанные на изменении статистические характеристик потока пакетов. Реализована методика предельного порогового значения и допустимого отклонения. Реализована возможность визуального сравнения текущих характеристик потока пакетов, с характеристиками положенными в ТТПТТФС, а также анализе сообщений автоматического контроля сетевой активности.

7. Рассмотрев потенциальные факторы нарушения надёжности при функционировании сетевой инфраструктуры и, разделив их на классы, в работе были рассмотрены аспекты функционирования программно-аппаратной компоненты сети или среды генерации. В работе были разработаны принципы структуризации информации, поступающей с сенсоров системы, разработаны методы контроля целостности программно-аппаратного окружения и технология обработки информации. При разработке методов контроля целостности программно-аппаратного окружения была применена функция анализа, основной шкалой которой являлись экспертные оценки важности компонентов генерации.

8. Разработана структура системы анализа и контроля потоков информации сетевого взаимодействия и среды генерации, успешно реализованная в программной среде разработки. С применением данной системы, процедура выявления инцидентов негативного воздействия может быть описана циклом процесса - взаимодействия программной системы и решений системного персонала по работе с ней. Система является инструментом, позволяющим администратору управлять процессом выявления изменений в функционировании компьютерной сети. Применение разработанной системы анализа сетевой инфраструктуры позволяет выявлять 68% потенциальных недекларированных воздействий, тем самым повышает надежность работоспособности сетевых систем.

9. Проведен анализ информации полученной в ходе экспериментов в реальных сетевых средах, на основе которого сделан вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем. Сравнив показатель эффективности системы на двух независимых объектах с разной степенью распределенности, сделан вывод о незначительном уменьшении положительных показателей системы с увеличением топологии сетевой инфраструктуры.

10. Анализ результатов работы системы в тестовых и реальной средах позволяет говорить об актуальности применения данной системы совместно с классическими сигнатурными системами защиты информации при сетевом взаимодействии. Предложена обобщенная схема, в которой реализован интегральный подход при систематизации результатов анализа. Разработаны принципы структуризации информации, поступающей с сенсоров системы. В результате снижены доли ошибок 1-ого и 2-ого рода до уровня в 17 и 25% в отдельно взятом методе.

11. Практические результаты диссертационной работы применяются в деятельности службы безопасности и информационной защиты Астраханской области (г. Астрахань), СРЗ ОАО ЦС «Звездочка».

12. Дальнейшее развитие исследований по данным направлениям может включать совершенствование методов построения признаков поведенческих сигнатур, интеграцию дополнительных методов анализа сетевого трафика, включению в систему техник воздействия на источники негативного воздействия сетевой коммутации. Рассмотрение вопросов фильтрации трафика и анализа содержимого сетевых пакетов также должно увеличить точность определения предпосылок к реализации недекларированных воздействий.

1. Cisco Systems и др. Руководство по поиску неисправностей в объединенных сетях Cisco. — М.: Издательский дом "Вильяме", 2003. — 1040 с.

2. Flame — самый сложный вирус, применяемый для шпионажа. Электронный ресурс., сайт], [2012]. URL: http://www.3dnews.ru/software-news/630129. (дата обращения: 21.07.2012).

3. IDC: российский рынок систем информационной безопасности. Электронный ресурс., [сайт], [2009]. URL: http://www.plusworld.ru/open-theme/pagel4745.php. (дата обращения: 10.01.2011).

4. Intel разрабатывает технологию, которая "изменит правила игры" на рынке компьютерной безопасности. Электронный ресурс., [сайт], [2011]. URL: http://www.itland.com.ua/news/index.php?news=T 1673 (дата обращения: 10.07.2011).

5. Muller В., Reinhardt J. Neural Networks. An introduction. — Berlin: Springer Verlag, 1991. —266 p.

6. Айвенс К. Компьютерные сети. Хитрости. — СПб.: Питер, 2006. — 298 с.

7. Амато, Вито. Основы организации сетей Cisco, том 1.: Пер. с англ.— М.: Издательский дом "Вильяме", 2002. — 512 е.: ил.

8. Амато, Вито. Основы организации сетей Cisco, том 2.: Пер. с англ.— М.: Издательский дом "Вильяме", 2002. — 464 е.: ил.

9. Андронов A.M., Копытов Е.А. Теория вероятностей и математическая статистика. СПб.: «Питер», 2004. 461 с.

10. Андрончик А.Н., Богданов В. В., Домуховский H.A. Защита информации в компьютерных сетях. Практический курс: учебное пособие / под ред. Н.И. Синадского. Екатеринбург: УГТУ-УПИ, 2008. - 248 с.

11. Антонов В.В. Системный анализ. М.: Высшая школа, 2004. - 454 с.

12. Афонцев Э.В. Разработка методики выявления аномалий трафика в магистральных интернет-каналах: автореферат диссертации. -Екатеринбург: 2007. 18 с.

13. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утверждена заместителем директора ФСТЭК России от 15.02.2008 г.

14. Баранов П.А. Обнаружение аномалий на основе анализа однородности параметров компьютерных систем: автореферат диссертации. СПб.: 2007.- 19 с.

15. Барский А.Б. Нейронные сети: распознавание, управление, принятие решений. М.: Финансы и статистика, 2004 - 176 с.

16. Бигелоу С. Сети: поиск неисправностей, поддержка и восстановление: Пер. с англ. СПб.: БХВ-Петербург, 2005 - 1000 с.

17. Биячуев Т.А. / под ред. Л.Г. Осовецкого. Безопасность корпоративных сетей. СПб: СПб ГУ ИТМО, 2004,- 161 с.

18. Болотова J1.C., Волкова В.Н., Денисов А.А. Теория систем и системный анализ в управлении организациями: Учеб. пособие / под ред. В.Н. Волковой и А.А. Емельянова. М.: Финансы и статистика, 2006. - 848 с.

19. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003. M.: Издательско-торговый дом «Русская редакция», 2006. - 672 с.

20. В.Г. Олифер. Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. 4-е изд. СПб.: Питер, 2010. - 944 с.

21. В.Г. Олифер. Н.А. Олифер. Сетевые операционные системы. СПб.: Питер, 2002. - 544 с.

22. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512 с.

23. Вороновский Г.К., Махотило К.В., Петрашев С.Н. Генетические алгоритмы, искусственные нейронные сети и проблемы виртуальной реальности. Харьков: Основа, 1997. - 112 с.

24. Гаврилова Т.А. Хорошевский В.Ф. Базы знаний интеллектуальных систем. СПб.: Питер, 2000. - 384 с.

25. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: автореферат диссертации. Москва: 2007. -32 с.

26. Глушаков C.B. Секреты хакера: защита и атака / C.B. Глушаков, М.И. Бабенко, Н.С. Тесленко. изд. 2-е, доп. и перераб. - М.: ACT: ACT Москва: Хранитель, 2008. - 544 с.

27. Гришина Н.В. Организация комплексной системы защиты информации. -М.: Гелиос АРВ, 2007. 256 с.

28. Громов Ю.Ю., Земской H.A., Лагутин A.B. Системный анализ в информационных технологиях: учеб.пособие. / Под ред. Ю.Ю. Громова, Тамбов: изд-во: ТГТУ, 2007. - 176 с.

29. Девятков В.В. Системы искусственного интеллекта: Учеб. Пособие для вузов. М.: Изд-во МГТУ им. Н.Э. Баумана, 2001.-352 с.

30. Дж. Макконел. Анализ алгоритмов. Вводный курс. М.: «Техносфера», 2002.-304 с.

31. Джарратано, Джозеф, Райли, Гари. Экспертные системы. Принципы разработки и программирование, 4е изд.: пер. с англ. М.: ООО ИД «Вильяме», 2007. - 1152 с.

32. Джерри Ли Форд. Персональная защита от хакеров. Руководство для начинающих. Пер. с англ. М.: КУДИЦ-ОБРАЗ, 2002. - 272 с.

33. Дружинин Е.Л. Разработка методов и программных средств выявления аномальных состояний компьютерной сети: автореферат диссертации. -Москва: 2005.-24 с.

34. Дьяконов М.Ю. Нейросетевая система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем: автореферат диссертации. Уфа: 2010. - 16 с.

35. Жульков Е.В. Построение модульных нейронных сетей для обнаружения классов сетевых атак: автореферат диссертации. СПб.: 2007. - 16 с.36,37,38