Исследование и разработка методов и средств создания эталонов для оценки защищённости корпоративных программных систем тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат наук Петров, Сергей Андреевич

ВВЕДЕНИЕ

Современное общество не представляет своё существование без множества программных систем (ПС), в том числе и сложных систем автоматизации производства, управления полётами, управления электростанциями (включая атомные и тепловые) и т.п. И, конечно, без корпоративных информационных систем (КИС), обеспечивающих обработку больших объемов ценной информации.

Качество КИС и корпоративных программных систем (КПС) напрямую влияет на эффективность работы предприятий и организаций, а одним из показателей качества КПС (в соответствии с 180/1ЕС 9126:1993) является их защищенность. Обеспечение защиты усложняется тем, что нельзя формально описать и предсказать действия злоумышленника. Постоянное развитие и рост сложности КПС — это ещё один фактор, влияющий на их защищённость. Весьма важной становится задача создания эталонов для оценки текущей защищённости КПС, учитывающих не только известные, но и новые уязвимости и угрозы. Такие эталоны безопасности можно было бы применять как при разработке новых систем, так и для оценки защищённости уже функционирующих систем. Задача получения таких эталонов является слабо формализованной и для её решения требуется детальный анализ множества параметров систем.

На сегодняшний день одной из наиболее перспективных областей для проведения исследований является область искусственного интеллекта (ИИ). На данный момент активно ведутся исследования в области ИИ, результаты которых успешно внедряется в различные сферы человеческой деятельности. Поэтому перспективным направлением исследований представляется применение методов, используемых в системах ИИ, для решения задач контроля безопасности (КБ) ПС. Уже имеется несколько примеров успешного использования продукционных систем [15], нейронных сетей [21], многоагентных систем [41] для решения задач КБ. Исследованием различных методов анализа защищённости ПС с применением ИИ занимались и продолжают заниматься отечественные и

зарубежные авторы: Котенко И.В., Саенко И.Б., Степашкин М.В., Брюхомицкий Ю.А., Резник A.M., Карпов В.В, Ю.Р. Айдаров, Herzog, N. Shahmehri и др.

Целью данной работы является повышение эффективности средств оценки защищённости корпоративных программных систем на основе статических и динамических эталонов безопасности. Объект исследования — корпоративные программные системы. Предмет исследования - методы и средства создания эталонов для оценки защищённости корпоративных программных систем. Соответствующие области исследований: модели, методы, алгоритмы, языки и программные инструменты для организации взаимодействия программ и программных систем (п. 3 паспорта специальности ВАК 05.13.11); оценка качества, стандартизация и сопровождение программных систем (п. 10 паспорта специальности ВАК 05.13.11). Для достижения поставленной цели в диссертационной работе должны быть решены следующие научно-практические задачи:

• анализ методов, используемых в системах ИИ, и их применимости для создания эталонов защищенности КПС;

• анализ требований и принципов обеспечения безопасности КПС для уточнения понятия эталона их защищенности;

• разработка методов построения эталонов КПС, позволяющих обнаруживать и устранять как известные, так и новые угрозы безопасности КПС;

• программная реализация и проверка эффективности разработанных методов при создании и эксплуатации реальных КПС.

Методы исследования. При выполнении работы использованы методы эмпирического исследования, методы теоретического исследования, метод построения онтологий, метод агентного моделирования, статистические методы, нейронные сети, объектно-ориентированное программирование и тестирование программ.

Достоверность полученных результатов. Достоверность полученных результатов и выводов подтверждается их сравнением с результатами

использования существующих средств оценки защищённости КПС, результатами оценки защищённости реальных КПС на основе построенного с применением предложенной онтологии статического эталона, результатами программного моделирования разработанной многоагентной системы (MAC) и результатами внедрения разработанных алгоритмов оценки отклонений в корпоративной информационной системе (КИС) НИУ «МЭИ».

Научная новизна. Научная новизна работы заключается в следующем:

1. Предложено представление КПС в виде комбинации «прототип-

реализация», позволяющее выполнять анализ систем целиком или их подсистем и получать статический эталон безопасности КПС. Для предложенного представления формально описана онтология, позволяющая оценивать защищённость КПС с учётом ценности подлежащих защите ресурсов.

2. На основе введенного понятия динамического эталона разработана MAC, позволяющая получать оценки защищенности КПС с учетом новых видов уязвимостей и угроз: определены состав агентов и требования к ним, взаимосвязи между агентами, разработаны алгоритмы работы агентов. Выполнена оценка защищенности КПС на базе MAC на моделях реальных систем.

3. Разработаны алгоритмы оценки отклонения SQL запросов с использованием статистических методов и нейросетевых технологий, позволяющие обнаруживать потенциально опасные для КПС запросы.

Практическая значимость. Практическая значимость полученных результатов определяется использованием их при анализе защищённости систем КИС НИУ «МЭИ» и подтверждается внедрением интеллектуальных агентов защиты для системы «Планирование учебного процесса» (ПЛУП) и выявленными неправомерными действиями в результате их работы.

Регистрация результатов интеллектуальной деятельности. Зарегистрировано два программных продукта: «Программа для поиска конфигураций, обеспечивающих минимум издержек компании на защитные средства и возможные потери от компьютерных атак» (заявка № 2014612380) и

«Анализатор DML запросов для выявления нарушений целостности базы данных» (заявка №2014612899).

Апробация работы. Основные результаты диссертации докладывались и обсуждались на международных научно-технических конференциях «Радиоэлектроника, электротехника и энергетика» (Москва, 2011,2012,2014), международных научно-технических конференциях «Информационные средства и технологии» (Москва, 2011-2013), международных научно-технических конференциях «Информатизация инженерного образования» (Москва, 2012, 2014), международной научно-технической конференции «Информационный технологии. Радиоэлектроника. Телекоммуникации» (Тольятти, 2012, заочно), международной научно-практической конференции «Перспективные инновации в науке, образовании, производстве и транспорте 2012» (Одесса, 2012, заочно), на международной научно-практической конференции «Science, Technology and Higher Education» (Канада, 2013, заочно).

Публикации по теме работы. Основные результаты, полученные при выполнении диссертационной работы, опубликованы в 14 печатных работах, в том числе в трёх изданиях из списка ВАК: «Вестник МЭИ» (2013, № 3), «Вестник МГТУ Станкин» (2013, № 3(№26)), «Безопасность информационных технологий» (2013, №2).

Структура и объём работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы, включающего 97 наименований, списка сокращений и приложений. Диссертация содержит 150 страниц машинописного текста без учёта приложений.

В первой главе проводится анализ подходов и методов, используемых в системах ИИ. Рассматриваются продукционные системы, нейронные сети, сети Байеса, многоагентные системы, метод опорных векторов и онтологии. Описывается теоретическое обоснование данных методов, их преимущества и недостатки. Приводятся примеры успешного применения для контроля безопасности (КБ), которые доказывают возможность адаптации рассмотренных

методов для задач обеспечения безопасности и перспективность данного направления.

Во второй главе рассматриваются особенности современных корпоративных программных систем (КПС) и требования, предъявляемые к их защите. Кратко излагаются основные понятия и принципы обеспечения защиты ПС. Особое внимание уделяется концепции адаптивной защиты. Рассматриваются элементы, входящие в её состав: методика анализа рисков, средства анализа защищённости и средства обнаружения вторжений. Описываются существующие наработки в данной области.

В третьей главе предлагается два варианта подхода к анализу защищённости КПС. Для первого из них — статического эталона, описывается представление КПС, с помощью которого он может быть получен. Приводятся преимущества и недостатки статического эталона. Предлагается онтология как возможный вариант формализации. Для второго подхода - динамического эталона, предлагается архитектура MAC и входящие в неё агенты. Особое внимание уделяется агентам защиты (A3), которые рассчитывают коэффициент отклонения (КО) в работе подопечного компонента и выявляют возможную атаку. Предлагаются адаптивные алгоритмы работы A3 для оценки КО SQL запроса на основании статистики и с использованием нейронной сети.

В четвёртой главе с использованием программных средств формально описывается онтология на языке OWL DL. С её помощью анализируются системы «Студент» и «ПЛУП», разработанные ИВЦ МЭИ для НИУ «МЭИ», и отмечается состоятельность предложенного подхода. Описывается реализация модели MAC и анализируются результаты моделирования для системы «Студент». Наконец, описывается реализация предложенных алгоритмов оценки КО SQL запроса и результаты внедрения для системы «ПЛУП».

В заключении приводятся основные результаты работы.

1. МЕТОДЫ СИСТЕМ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА, ИСПОЛЬЗУЕМЫЕ ПРИ КОНТРОЛЕ БЕЗОПАСНОСТИ ПРОГРАММНЫХ

СИСТЕМ

1.1. Продукционные системы

Продукционные системы — системы, которые используют продукционную модель представления знаний. Эта модель описывает любые знания как правила вида [1]: ЕСЛИ <условие> ТО <действие>. Правила называются продукциями. Левая часть (<условие>) описывает необходимые предпосылки для выполнения правой части - <действия>. Может быть несколько простых условий, которые объединяются в одно с помощью таких логических операций, как И, ИЛИ, НЕ. Общий недостаток продукционных моделей состоит в том, что при накоплении большого числа продукций они могут начать противоречить друг другу. Часто это возникает из-за того, что правила, на самом деле, являются эвристиками, которые не гарантируют стопроцентного результата. Эвристики обычно описывают эксперты на основании своего опыта, поэтому системы, использующие их называются экспертными системами (ЭС). В общем случае продукционную модель можно представить в следующем виде [2]:

* = < 5; 1-, А В; >, где

• 5 — описание класса ситуаций;

• Ь — условие, при котором продукция активизируется;

• А -> В — ядро продукции;

• (2 — постусловие продукционного правила.

Для упрощения механизма логического вывода продукционная модель расширяется порядком, который вводится на множестве продукций [3]. Порядок означает, что каждая последующая продукция должна проверяться только после попыток применить предыдущие продукции. Другой вариант упрощения - это использование приоритетов [4]. При таком подходе в первую очередь рассматриваются продукции, у которых наивысший приоритет. Проблема роста противоречивости базы знаний решается вводом механизмов исключений и/или

возвратов [5]. Основные компоненты продукционной системы это база знаний, рабочая память и механизм вывода [6]. Структура продукционной системы представлена на рис. 1.1:

Механизм вывода

I

База знаний

I

Рабочая память

Рис. 1.1. Структура продукционной системы

База знаний описывает предметную область с помощью продукций. Рабочая память содержит множество фактов, которые соответствуют текущему этапу логического вывода. Обычно объём рабочей памяти увеличивается по ходу применения правил. Механизм вывода позволяет определить, какие правила применимы к текущей ситуации, и выполнить соответствующие продукции.

Продукционные системы используются при сигнатурном методе анализа [7]. Такой анализ предполагает, что большинство атак развиваются по схожему сценарию и имеют общие черты. В системах защиты информации сигнатуры описывают характерные особенности, необходимые условия, задействованные устройства и последовательность действий при проведении атаки. Одной из реализаций данного подхода является использование БД с сигнатурами известных вторжений и сверка с ними текущих действий пользователя и параметров системы. В случае частичного совпадения система защиты оповещает системного администратора о возможном вторжении. Полное совпадение сигнатуры с текущей активностью маловероятно, так как сценарий атаки может изменяться или сигнатура «зашумлена» другими пользователями, поэтому необходимо использовать именно частичное совпадение характеристик. Чтобы распознать такое совпадение часто используются продукционные системы. Яркими

представителями программ, которые в своей работе используют метод сигнатурного анализа, являются системы обнаружения сетевых атак (например, Snort, RealSecure, eTrust Intrusion Detection и др.) и антивирусные сканеры (например, AVZ, Kaspersky Anti-Virus, Microsoft Security Essentials и др.). Первые используют сигнатуры удалённых атак, а вторые - сигнатуры известных вирусов.

Системы обнаружения вторжений (СОВ) хранят информацию о вторжениях в правилах вида: ЕСЛИ <причина> ТО <решение>. Часть ЕСЛИ содержит причины, которые необходимы для выполнения успешной атаки. Текущая активность сравнивается с возможными причинами атак и, в случае совпадения, СОВ пытается не допустить неблагоприятного развития событий за счёт выполнения действий, описанных в части ТО [13].

Ещё одним примером системы, содержащей продукционные правила, является брандмауэр Windows [14]. Он позволяет определять правила, разрешающие и запрещающие обращения к заданным портам машины (рис. 1.2).

Windows Firewall with Advanced Security

Fite Action View Help

#»■» S Й1'а I B a

Inbound Rules

tone «• | Action 1 Program | Protocol 1 Local Port j Remote Port | Allowed Users j Allowed Computers |

•f§: BranchCache Content Retrieval (HTTP-In) Allow SYSTEM TCP 80 Any Any Any

O BranchCache Hosted Cache Server (HTTP-In) Allow SYSTEM TCP 443 Any Any Any

O BranchCache Peer Discovery (W5D-In) Allow %syste... UDP 3702 Any Any Any

O COM+ Network Access (DCOM-In) Allow %syste... TCP 135 Any Any Any

it COM+ Remote Administration (DCOM-In) Allow %syste... TCP RPC Dyna... Any Any Any

HjjfCore Networking - Destination Unreachable (,,. Allow System ICMPv6 Any Any Any Any

t^SlCore Networking - Destination Unreachable ... Allow System ICMPv4 Any Any Any Any

i ,Core Networking - Dynamic Host Configurai... Allow %Syste... UDP 68 67 Any Any

I <S#Core Networking - Dynamic Host Configurai... IÀ- Allow -Ul- %Syste... UDP 546 547 Any Any

Рис. 1.2. Настройка правил в брандмауэре Windows

В антивирусных сканерах продукционные системы могут быть использованы для подтверждения факта вторжения. Эти системы работают с файлами аудита, а также имеют большое количество функций для сбора информации о системе, например, список запущенных процессов, активные сетевые соединения, открытые порты и многое другое. Продукции позволяют строить эвристический вывод на основании правил, заданных экспертом.

Примером системы, использующей такой логический вывод, может быть утилита АУЪ [15]. Она использует эвристическую проверку системы на наличие программ-шпионов и вирусов. Правила, которые использует механизм вывода АУ2, описывают косвенные признаки вредоносных программ: определённые записи в реестре, наличие файлов на жёстком диске и в оперативной памяти. Программа активно развивается и набор эвристик постоянно обновляется. Пример продукционного правила выглядит следующим образом: ЕСЛИ процесс использует библиотеки для работы с сетью И количество обнаруженных сигнатур, типичных для отправки почты > X ТО записать в рабочую память факт "программа работает с электронной почтой"

В этом примере, в случае выполнения составного условия, в рабочую память попадает новый факт. Он может использоваться в ходе дальнейшего вывода, результатом которого будет информация о наличии в системе вирусов и сведений об их файлах и процессах.

Ещё одной системой, использующей подобие продукционных правил, является ЕББА "Экспертная система для анализа защищённости компьютерных систем и сетей" [9]. Система имеет базу рисков, для каждого из которых задана вероятность возникновения, частота и его воздействие на классы возможных активов компании. Также в системе содержится информация по устранению рисков, которая задаётся с помощью конфигураций безопасности. Пользователю предлагается задать активы, которыми располагает его компания. После чего механизм вывода, реализованный в системе, подбирает конфигурации безопасности, которые позволят снизить возможные потери. При этом анализируется стоимость активов и средств защиты. В ЕББА продукционные правила используются для уточнения информации об активах компании и для уточнения приоритета применения конфигурации при выводе.

Продукционные системы имеют ряд преимуществ, которые повлияли на их широкое распространение. Среди преимуществ можно выделить разделение решения проблемы и её формулировки, устойчивость и высокую точность

обнаружения известных угроз. Однако вместе с преимуществами имеется и большое количество недостатков, которые затрудняет применение ЭС для анализа защищённости:

1. Обнаруживаются только известные уязвимости (атаки, вирусы и т.п.). Метод уязвим к атакам О-ёау, т.е. атакам через обнаруженные, но еще не исправленные ошибки в ПО.

2. Необходимость наличия квалифицированного администратора системы для её настройки. Стоит отметить, что знания такого эксперта (в данном случае системного администратора) могут относиться сугубо к окружению, в котором он работает. В таком случае введённые правила будут плохо подходить для применения в других системах.

3. Требуются огромные усилия экспертов для постоянного поддержания базы правил. Необходима ежедневная работа над её качественным пополнением. Невозможно выработать исчерпывающее множество правил. Правила должны быть не противоречивы.

4. Недостаточная эффективность при работе с большими объемами данных. Количество новых видов угроз постоянно растёт, а продукционным системам для успешной работы необходимо содержать информацию о каждой известной атаке. Подготовка, распространение, хранение и обработка таких огромных объёмов данных крайне затрудняет использование продукционных систем.

Устранить некоторые из недостатков позволяет комбинация с другими подходами искусственного интеллекта.

1.2. Нейронные сети

Искусственные нейронные сети (или просто нейронные сети (НС)) — математические модели, а также их программные или аппаратные реализации, построенные по принципу организации и функционирования биологических нейронных сетей- сетей нервных клеток живого организма [19]. Понятие возникло в результате изучения и попыток смоделировать процессы, протекающие в человеческом мозге. Его родоначальниками являются У.

Маккалок и У.Питтс. Они впервые в 1943 году формально описали понятие НС в своей статье о логическом исчислении идей и нервной активности. НС — это система соединённых и взаимодействующих между собой простых процессоров, которые называются нейронами. Такие процессоры довольно просты по сравнению с современными процессорами в персональных компьютерах. Каждый нейрон обрабатывает входные сигналы, которые он периодически получает, и вычисляет выходные сигналы для передачи другим нейронам, входящим в сеть. Организованные в достаточно большую сеть с управляемым взаимодействием, локально простые процессоры вместе способны выполнять довольно сложные задачи.

Отличительной особенностью НС является то, что они не программируются, а обучаются [20]. Это одно из главных преимуществ НС перед традиционными алгоритмами. Обучение состоит в нахождении коэффициентов связей между нейронами, которые определяют соотношение входных и выходных сигналов нейрона. В ходе обучения НС способна выявлять сложные зависимости между входными и выходными данными, а также выполнять обобщение. В итоге, если сеть успешно обучена, то она может получить верный результат для данных, которые отсутствовали в обучающей выборке. Также верное решение может быть получено в случае, если исходные данные неполные и/или частично искажены. Важные преимущества НС - это автоматическое получение новых знаний (обучение) и способность к обобщению.

Основой НС является искусственный нейрон [18] - это математическая модель биологической нервной клетки (рис. 1.3).

Хо

Рис. 1.3. Модель нейрона

На рис. 1.3 ()' = 1, 2, ..., п) - это входные сигналы ьго нейрона. Они суммируются с учётом весовых коэффициентов Связи часто называют

синапсами, по аналогии с человеческой нервной системой, а коэффициенты синоптическими. Значение х0, вес которого составляет - это порог,

определяющий уменьшение или увеличение входного сигнала на заданную величину. Сумма всех входных сигналов с учётом их коэффициентов обозначается как и;. Эта сумма выступает в качестве аргумента функции ^и;), которая и «выдаёт» размер выходного сигнала нейрона. Работа ьго нейрона, представленного на рис. 1.3, описывается следующей функцией:

Функцию называют функцией активации (активационная функция,

функция возбуждения). В зависимости от её вида различают различные типы нейрона. Наиболее распространенными функциями являются пороговая, сигмовидная и гиперболический тангенс.

Отдельные нейроны объединяются в сети с разнообразной архитектурой (рис. 1.4). Нейроны, принимающие входной сигнал, называются входными, а те, которые выдают сигнал на выходе из НС, - выходными. Нейроны, находящиеся между входными и выходными, образуют скрытый слой. Наиболее используемыми при решении практических задач являются следующие архитектуры НС: сети прямого распространения, рекуррентные НС, радиально базисные функции, самоорганизующиеся карты (сети Кохонена) [20].

п

Нейронные сети

Сети прямого распространения

Однослойный лерцептрон

Многослойный перцептром

Сеть радиальных базисных функций

Модели АРЗТ

Соревновательные сети

БОМ

Рекуррентные сети (с обратной связью)

Рис. 1.4. Классификация НС по характеру связей

Решение задачи с использованием НС обычно делится на следующие этапы: постановка задачи в терминах нейронной сети, выбор и построение подходящей для задачи нейроархитектуры, отбор данных и формирование обучающей выборки, разработка или использование существующего нейроимитатора, анализ результатов. Принято выделять следующие варианты обучения НС [18]: обучение с учителем (выходное пространство решений известно), обучение без учителя (самоорганизующаяся НС формирует выходное пространство решений только на основе входных воздействий) и обучение с подкреплением (система назначения штрафов и поощрений от среды). НС используют для решения задач классификации и распознавания образов, задачи кластеризации, прогнозирования и аппроксимации. НС применяются для сжатия данных и в качестве ассоциативной памяти, а также для решения задач управления.

Активно НС применяются и для решения различных задач защиты информации в компьютерных системах. Например, для идентификации поведения пользователя в компьютерной сети [21]. Для этого НС обучается прогнозировать его следующую команду. Если относительное количество правильно предсказанных команд на протяжении сеанса работы пользователя выше заданного порога, то поведение считается «нормальным», иначе либо

пользователь резко изменил свое поведение, либо под его именем работает нарушитель. Преимущество подхода заключается в независимости от количества пользователей в системе, так как с каждым пользователем связывается отдельная НС. К недостаткам можно отнести то, что топология сети и веса узлов определяются только после достаточно большого количества проб и ошибок. Кроме этого количество команд М, по которым осуществляется прогнозирование, имеет огромное значение при разработке. Если количество команд мало, то НС может часто ошибаться, а анализ большого количества команд может замедлять работу всей системы. Определить адекватное количество М можно только методом проб и ошибок.

Существуют и другие примеры применения НС. В работе [22] описано их применение для классификации пользователя по «компьютерному почерку», т.е. по характерным временным задержкам между нажатиями определённых клавиш. Задача решалась с использованием многослойной нейронной сети прямого распространения, обучаемой по методу обратного распространения ошибки. В [23] предлагается использовать сеть Хопфилда для контроля правильности ввода пароля пользователя компьютерной сети. В [24] многослойная нейронная сеть персептронного типа применялась для идентификации событий в сетях на базе протокола TCP/IP и выявления злоупотреблений. НС может быть использована и для отражения DDOS атак [25].

В целом НС придаёт системам безопасности возможность обучения и могут быть использованы для анализа защищённости ПС. В отличии от продукционных систем, для хранения НС требуется гораздо меньше памяти, обновления требуются реже и занимают также меньший объём памяти. Однако при построении НС следует особенно обращать внимание на размер и качество обучающей выборки, так как это может существенно повлиять на время обучения и на пространство решений [21]. Кроме того, обученная НС является «черным ящиком» для пользователя. Он может лишь задавать сигналы на входе и проверять значения на выходе, поэтому анализ работы НС достаточно сложен.

Подходящая топология и другие параметры сети определяются методом подбора, что во многом является «искусством». 1.3. Теорема Байеса

СПИСОК ЛИТЕРАТУРЫ

1. Уэно X., Исидзука М. Представление и использование знаний. — М.: Мир, 1989.-220 с.

2. Поспелов Д.А. Справочник. Искусственный интеллект в трех книгах. Книга 2. Модели и методы. - М.: Радио и связь, 1990. - 304 с.

3. Гаврилова Т. А., Хорошевский В. Ф. Базы знаний интеллектуальных систем. - СПб.: Питер, 2000. - 384 с.

4. Абдикеев Н.М. Интеллектуальные информационные системы: Учебное пособие. - М.: КОС-ИНФ, Рос. экон. акад., 2003. - 188 с.

5. Люггер Дж. Ф. Искусственный интеллект: стратегии и методы решения сложных проблем. - М.: Издательский дом «Вильяме», 2004. - 864 с.

6. Лорьер Ж.-Л. Системы искусственного интеллекта. - М.: Мир, 1991. - 568

с.

7. Лукацкий A.B. Обнаружение атак. - СПб.: «БХВ-Петербург», 2001. - 596

с.

8. Тарасов В.Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика. — М.: Эдиториал УРСС, 2002. - 352 с.

9. Петров С.А., Хорев П.Б. Исследование возможностей применения экспертных систем при анализе и настройке систем оценки компьютерной безопасности // Труды 19 международной научно-технической конференции "Информационные средства и технологии". - Издательский дом МЭИ, 2011. — Том 2, с. 303-306.

10. Петров С.А., Хорев П.Б. Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей // Труды 18 МНТК "Радиоэлектроника, электротехника, и энергетика", - Издательский дом МЭИ, 2012.-Том 2, с. 63.

11. Петров С.А., Хорев П.Б. Построение адаптивной защиты на базе многоагентной системы // Труды 20 МНТК "Радиоэлектроника, электротехника и энергетика", Издательский дом МЭИ, 2014, Том 2, стр. 35.

12. Petrov S.A. Building adaptive security system based on multi-agent system, materials of the second international research and practice conference. Vol. 2. Westwood-Canada, 2013. p. 196-201.

13. Porras P. A., Neumann P.G., EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy. - Oakland, CA, May 1997.

14. Пол Мак-Федрис. Microsoft Windows 7. Полное руководство. - M.: Вильяме, 2012. - 800 с.

15. Зайцев О. Сайт «Информационная безопасность» [Электронный ресурс]. - Режим доступа: http://www.z-oleg.com

16. Бэстенс Д-Э., Ван Ден Берг В.-М., Вуд Д. Нейронные сети и финансовые рынки. Принятие решений в торговых операциях. — М.: ТВП, 1997. - 254 с.

17. Газета IT-News: № 18/2012 (07.11)

18. Хайкин С. Нейронные сети: полный курс, 2-е издание. - М.: Издательский дом «Вильяме», 2006. - 1104 с.

19. Каллан Р. Основные концепции нейронных сетей. - М.: Издательский дом «Вильяме», 2001. - 288 с.

20. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. - М.: Горячая линия - Телеком, 2001. - 382 с.

21. Резник A.M., Куссуль Н.Н., Соколов A.M. Нейросетевая идентификация поведения пользователей компьютерных систем. -Кибернетика и выч. техника, 1999.-Вып. 123, с. 70-79

22. Obaidat M.S., Macchairolo D.T. A multilayer neural network system for computer access security // IEEE Trans, on Syst., Man. and Cybern. - 1994, V.24, N 5, pp. 806-813

23. Lozano C.M., Lopez F., Lopez J., and others. Neural Networks for System Security // Proc. Of 5th European Congress on Intelligent Techniques and Soft Computing (Aachen, Germany). - 1997, V.l, pp. 410-414

24. Tan K.M., Collie B.S. Detection and Classification of TCP/IP Network Services // Computer Security Applications Conference, 13th Annual. - 1997, pp. 99 -107

25. Хабрахабр. Статья "Нейронная сеть против DDoS'a" [Электронный ресурс]. - Режим доступа: http://habrahabr.ru/post/136237/

26. Гмурман В. Е. Теория вероятностей и математическая статистика. -М.: Высшее образование, 2005. - 479 с.

27. Bayes Т., Price R. An Essay towards solving a Problem in the Doctrine of Chance. By the late Rev. Mr. Bayes, communicated by Mr. Price, in a letter to John Canton, M. A. and F. R. S. // Philosophical Transactions of the Royal Society of London 53. - 1763, pp. 370-418

28. McCarthy J. Some Expert system need common sense // Stanford University,

1984

29. Fenton N., Neil M., Risk Assessment and Decision Analysis with Bayesian Networks // Queen Mary University of London and Agena Ltd, 2012

30. Dezide: http://www.dezide.com

31. Википедия. Статья "Байесовская фильтрация спама" [Электронный ресурс]. - Режим доступа: http://ш.wikipedia.org/wiki/Бaйecoвcкaя_фильтpaция_cпaмa

32. Livingston В. Paul Graham provides stunning answer to spam e-mails // InfoWorld, 2002

33. Burton B. SpamProbe - Bayesian Spam Filtering Tweaks // SpamProbe, 2003

34. Zdziarski J. A. Bayesian Noise Reduction: Contextual Symmetry Logic Utilizing Pattern Consistency Analysis // In MIT Spam Conference, 2005

35. Лаборатория Касперского: технология фильтрации спама [Электронный ресурс]. — Режим доступа: http://www.spamtest.ru

36. Портал искусственного интеллекта [Электронный ресурс]. - Режим доступа: http://www.aiportal.ru

37. Устюжанин А.Е. Многоагентные интеллектуальные системы: Учебный курс. - М.: МФТИ, 2007

38. Holland J. Н. Emergence: From Chaos to Order // Oxford University Press, 2000. - 258 p.

39. Shoham Y. Multiagent systems: Algorithmic, Game-Theoretic, and Logical Foundations // Cambridge University Press, 2009. - 504 p.

40. FTPA 1998 Specifications. Part 12. Ontology Service. October, 1998. http://www.cset.it/fipa.

41. Котенко И.В, Уланов A.B. Кооперативная работа команд агентов при защите от сетевых атак нарушения доступности // Труды Международных научно-технических конференций "Интеллектуальные системы (AIS'06)" и "Интеллектуальные САПР (CAD-2006)". -М.: Физматлит, 2006. - с. 306-313

42. Котенко И.В., Уланов A.B. Агентно-ориентированное моделирование процессов защиты информации: противоборство агентов за доступность ресурсов компьютерных сетей // Труды МНТК "Интеллектуальные системы (AIS'05)" и "Интеллектуальные САПР (CAD-2005)". - М.: Физматлит, 2005

43. Лифшиц Ю. Курс лекций "Алгоритмы для интернет", 2006

44. Воронцов К.В. Лекции по методу опорных векторов, 2007

45. Hsu C.W, Lin С J. A comparison of methods for multi-class support vector machines // IEEE Transactions on Neural Networks, Vol. 13, 2002. - pp. 415-425

46. Laskov, P., Schäfer, С., and Kotenko, I. Intrusion detection in unlabeled data with quarter-sphere Support Vector Machines // In Detection of Intrusions and Malware & Vulnerability Assessment, 2004. - pp. 71-82

47. Xiujian L., ZhiCheng S., Jing W. Improved Support Vector Machine Wireless Network Security Detection Algorithm Model // EMEIT-12, Advances in Intelligent Systems Research, 2012. - pp. 2353-2356

48. Hansung L., Jiyoung S., Daihee P. Intrusion Detection System Based on Multi-class S VM // Rough Sets, Fuzzy Sets, Data Mining, and Granular Computing. Lecture Notes in Computer Science Volume 3642, 2005. - pp. 511-519

49. Gruber T.R. A translation approach for portable ontologies // Knowledge Acquistion, 1993, №5 - pp. 199-220

50. Gray N. ACLs in OWL: practical reasoning about access. // 3rd European Semantic Web Conference, Budva, Montenegro, 2006

51. Patterson R.S., Miller J.A., Cardoso J., Davis M. Security and Authorization Issues in HL7 Electronic Health Records: A Semantic Web Services Based Approach. // Masters Thesis, Univ. of Georgia, U.S.A , 2006.

52. Priebe Т., Dobmeier W., Schlager C., Kamprath N. Supporting Attribute based Access Control in Authorization and Authentication Infrastructures with Ontologies. // Journal of software, Vol. 2, No. 1, 2007

53. Li H., Zhang X., Wu H., Qu Y. Design and Application of Rule Based Access Control Policies. // IS WC Workshop on Semantic Web and Policy, 2005

54. Toninelli A., Montanari В., Kagal L., Lassila O. A Semantic Context-Aware Access Control Framework for Secure Collaborations in Pervasive Computing Environments. // International Semantic Web Conference, 2006. - pp. 473-486.

55. extensible Access Control Markup Language (XACML) Version 2.0, OASIS Standard, 2005.

56. William S. Davis, David C. Yen. The Information System Consultant's Handbook. Systems Analysis and Design. - CRC Press, 1998. - 800 p.

57. Маглинец Ю. А. Анализ требований к автоматизированным информационным системам. — М.: Бином, 2008. - 200 с.

58. Лукацкий А. В. Новые грани обнаружения и отражения угроз // Системы безопасности, связи и телекоммуникаций. - 2000. - № 36. - с. 44-48.

59. ГОСТ Р ИСО/МЭК 15408-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

60. Лукацкий А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. - 624

с.

61. Лукацкий A.B. Выявление уязвимостей компьютерных сетей // Компьютеры в учебном процессе. -2002 - №9. - с. 79-89.

62. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.

63. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России. — 2008.

64. Хабрахабр. Распространенные угрозы безопасности [Электронный ресурс]. - 2008. - Режим доступа: http://habrahabr.ru/post/27704/

65. Евтеев Д. SQL-injection от "А" до "Я". - Positive Technologies, 2010. - 62

с.

66. Кадер М. Типы сетевых атак, их описания и средства борьбы [Электронный ресурс]. - CNews, 2010. — Режим доступа: http://www.cnews.ru/reviews/free/oldcom/security/cisco_attacks.shtml

67. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

68. Агурьянов И. Классификация методов и средств защиты информации [Электронный ресурс]. -Securitylab, 2012. - Режим доступа: http://www.securitylab.ru/blog/personal/aguryanov/30011 .php

69. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика, 1997. - 368 с.

70. Getting Past the Cyberspace Hype: Adaptive Security—A Model Solution— A Solution Model, Internet Security Systems, - Jun. 15, 1997 - pp. 1-24.

71. Лукацкий A.B. Адаптивная безопасность сети // Компьютер-Пресс. -1999.-№8.

72. Лукацкий A.B. Новые подходы к обеспечению информационной безопасности сети // Компьютер-Пресс. - 2000. - № 15.

73. Концепция адаптивного управления безопасностью [Электронный ресурс] // Your Private Network, Лаборатория Сетевой Безопасности. - 2010. -Режим доступа: http://ypn.ru/437/adaptive-security-management-conception/.

74. Нестеров С.А. Анализ и управление рисками в информационных системах на базе операционных систем Microsoft. - INTUIT, 2009. - 136 с.

75. Герасименко В.А., Малюк А.А. Основы защиты информации. — М.: Инкомбук, 1997.-191 с.

76. Peltier Thomas R. Information security risk analysis. Second Edition - CRC Press, 2005.-361 p.

77. Варфоломеев А.А. Управление информационными рисками. - M.: Издательство РУДН, 2008. - 158 с.

78. Yazar, Zeki. A Qualitative Risk Analysis and Management Tool - CRAMM. - SANS Institute, 2002. - 15 p.

79. Симонов С.А. Технологии и инструментарий для управления рисками // Jetlnfo. - 2003. - № 2.

80. Лукацкий А.В. Как работает сканер безопасности // Компьютеры в учебном процессе. - 2002 - №7. - с. 101-113.

81. Бормотов С. Прочная паутина XSpider'a // Мой компьютер. - 2003. -

№14.

82. Rogers R. Nessus Network Auditing, 2nd Edition. - Syngress, 2008. - 448 p.

83. Хоуи Дж. Обеспечение безопасности с помощью MBSA 2.0 // Windows IT Pro. - 2006. - №04- 36-39 с.

84. Учебные материалы по курсу Безопасность Информационных Технологий (Курс БТ01). - Учебный Центр «Информзащита», 2012. - 377 с.

85. Аграновский А.В, Хади Р.А. Новый подход к защите информации — системы обнаружения компьютерных угроз // Jet Info. - 2007. - №4.

86. Лапонина О.Р. Защита информации в сети интернет. - МГУ, 2012. - 28 с.

87. Бил Дж. Snort 2.1. Обнаружение вторжений. — М.: ООО «Бином-Пресс», 2006. - 656 с.

88. Технические данные продукта McAfee Network Security Platform (NS-Series) [Электроный ресурс]. - McAfee, 2013. - Режим доступа: http://www.mcafee.com/ru/resources/data-sheets/ds-network-security-platform-ns-series.pdf

89. Яремчук С. OSSEC-HIDS // Системные администратор. - 2009. - №10.

90. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва

91. ФСБ России. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, 2008. - 33 с.

92. ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, 2008. - 10 с.

93. ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), 2008. - 69 с.

94. Официальный сайт OSVDB. Документация [Электронный ресурс]. -Режим доступа: http://osvdb.org/documentation

95. Mell P., Scarfone К., Romanosky S. A Complete Guide to the Common Vulnerability Scoring System. - V. 2.0, 2007. - 23 p.

96. StatSoft, Inc. (2012). Электронный учебник по статистике. Москва, StatSoft. [Электронный ресурс]. - Режим доступа: http://www.statsoft.ru/home/textbook/default.htm

97. Herzog, N. Shahmehri, С. Duma. An Ontology of Information Security, International Journal of Information Security and Privacy, 1(4): 1-23, 2007.