Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Рудик, Кирилл Петрович

В настоящее время информационные технологии во многом определяют успех в деятельности организаций любого уровня от небольших предприятий до общенациональных государственных и коммерческих структур. Вместе с тем, с широким внедрением современных информационных технологий, информация становится все более критичным ресурсом, а ее изменение, хищение или уничтожение могут привести к большим потерям. По данным специалистов в области компьютерной экономики и информационной безопасности, основную угрозу в настоящее время представляют компьютерные вирусы. Годовой ущерб от некоторых вирусных эпидемий превышает десятки миллиардов долларов. В оценку ущерба входят: убытки компаний от потерь пропускной способности в каналах передачи данных, утечка конфиденциальных данных, снижение производительности сетевых ресурсов и служб, увеличение задержек в управлении и стоимости восстановления работоспособности зараженных систем.

Началом истории массового распространения компьютерных вирусов [55] можно считать 1988 год. Впервые заражение было массовым от написанного 23-летним американским программистом "червя", поразившего ARPANET: при этом пострадали 6 тыс. компьютеров. Впервые суд осудил автора компьютерного вируса: он был приговорен к $10 тыс. штрафа и трем годам испытательного срока. С тех пор масштабы вирусных эпидемий только увеличивались.

Наиболее благоприятной средой для распространения вредоносного программного обеспечения является сеть Интернет [1,6]. В основном, это объясняется следующими особенностями:

• быстрые каналы для распространения;

• наличие множества различных сервисов информационного обмена (FTP и WWW сервера, электронная почта, файл-обменные сети и.т.д.);

• огромное количество связанных между собой компьютеров;

• большой процент неквалифицированных пользователей, слабо разбирающихся в современных информационных технологиях, и, как следствие, большое число плохо защищённых компьютеров.

В числе основных целей, которые преследуют создатели вредоносных программ, можно отметить следующие [6,55]:

• похищение информации (кража паролей или любой другой конфиденциальной информации, хранимой на компьютере пользователя или доступной с компьютера пользователя);

• совершение деструктивных действий по отношению к инфицированному узлу (модификация или удаление данных, нарушение нормального функционирования системы);

• использование инфицированных узлов для проведения сетевых атак на другие узлы;

• использование инфицированных узлов для рассылки вредоносных программ или «спама»;

• выполнение инфицированными узлами другой «полезной» работы (например, для увеличения показаний счётчиков посещаемости веб-ресурсов).

В связи с развитием и распространением сети Интернет растёт и число способов распространения вредоносных программ [36,56], к которым можно отнести: электронную почту (с использованием «социальной инженерии» или/и уязвимостей в клиентском ПО), файл-обменные сети, различные интернет-пейджеры (типа ICQ и Windows Messenger), интернет-чаты, а также непосредственную передачу от одного сетевого узла другому, используя уязвимости в программном обеспечении.

Из возможных путей распространения в сети Интернет вирусы активно используют каналы электронной почты. Об этом свидетельствуют отчёты [33], предоставляемые компаниями, занимающимися антивирусной защитой. Так, при анализе данных по вирусной активности, предоставленных компанией «Лаборатория Касперского», выяснилось, что практически все самые распространенные в 2007 году вирусы оказались способны рассылать свои копии с использованием электронной почты [1].

Существует ещё один важный связующий элемент, объединяющий вредоносные программы и электронную почту — спам (незапрошенная массовая рассылка электронной почты). Тенденция к объединению вирусных технологий с технологиями анонимной незапрошенной массовой рассылки электронной почты [1] сегодня приобретает всё большую значимость. По оценкам экспертов по информационной безопасности [2], при рассылке спама, в основном, используются сети компьютеров обычных пользователей, превращённых посредством использования уязвимостей в ПО или использования вирусных технологий в компьютеры-зомби1.

По данным различных компаний, занимающихся проблемами спамовых рассылок, процент спамовых сообщений, рассылаемых с использованием компьютеров-зомби, превышает 60% (по данным экспертов компании SophosLabs[3]), а по другим оценкам может превышать 80%[4] от всего объёма «спама». Компьютеры-зомби дают возможность авторам спама не только, рассылать миллионы писем, но и скрывать истинные источники рассылок, оставаясь безнаказанными.

Исходя из вышесказанного, можно сделать вывод, что правильно определённые источники рассылки «спама» могут с высокой достоверностью указывать на инфицированные вредоносным ПО компьютеры.

Целесообразной составляющей процесса защиты является проведение ответных действий. Данное утверждение справедливо и для защиты от несанкционированной рассылки сообщений, где такие действия могут проводиться с целью прекращения дальнейшего распространения несанкционированной рассылки. Однако, для проведения «ответных действий» предварительно необходимо локализовать источник несанкционированных действий.

1 Компьютеры с функционирующим на них вредоносным программным обеспечением, дающим злоумышленнику возможность удалённого управления.

Возможным источником информации об источниках несанкционированной рассылки могли бы быть системы по антивирусной фильтрации почтового трафика и анти-спамовские фильтры, а также системы обнаружения/предотвращения вторжений(ГО8ЯР8); однако представленные на сегодняшнем рынке подобные системы предоставляют ограниченную информацию об источнике несанкционированных действий, т.е. сетевом узле, являющемся источником несанкционированной почтовой рассылки. В? качестве информации о нарушителе эти системы используют электронный адрес отправителя или IP-адрес системы, отправляющей почтовое сообщение, но в большом числе случаев электронный адрес отправителя является ложным, а определённый IP-адрес (то есть IP-адрес узла, установившего соединение с почтовым сервером получателя), в силу специфики протокола, является адресом промежуточного узла. Поэтому использование систем обнаружения/предотвращения вторжений (IDS/IPS), а также систем антивирусной фильтрации почтового трафика и анти-спамовых фильтров, с целью определения источников несанкционированной рассылки может оказаться неэффективным. Причём, чем больше процент сообщений, пришедших в систему не напрямую (через промежуточные почтовые сервера), тем меньше эффективность традиционных способов обнаружения источника нарушений.

Единственным возможным способом определения источника несанкционированной рассылки на стороне получателя [11] является детальный анализ и проверка информации, находящейся в служебных заголовках сообщений электронной почты с целью определения IP-адреса сетевого узла, с которого велась рассылка. Под источником рассылки будем понимать сетевой узел, который первым передал для доставки сформированное почтовое сообщение, используя протокол SMTP.

Если участники процесса пересылки почтового сообщения соблюдали требования протокола (SMTP), то источник рассылки, в большинстве случаев, может быть найден путём разбора служебных заголовков [11,32]. Вместе с тем, в связи с большими и постоянно возрастающими объёмами почтового трафика, ручной анализ и проверка такой информации оказываются крайне неэффективными. Поэтому возникает потребность в автоматизированных системах, которые позволили бы, на основе собираемых данных, локализовать скомпрометированный сетевой узел, с тем чтобы впоследствии принять решение об адекватных ответных действиях.

Резюмируя вышеизложенное, можно, сделать заключение, что одним из возмоэ/сных способов локализации инфицированных вредоносным ПО компьютеров является определение источников рассылки почтовых сообщений (о которых априорно известно, что они являются спамом или содержат вредоносный код) путём анализа их служебных заголовков. Следовательно, разработка специализированных моделей, методов и алгоритмов, предназначенных для автоматизации процесса определения источников рассылки почтовых сообщений, является актуальной задачей.

Информация о сетевых узлах, участвующих в распространении' вредоносных программ или «спама» по электронной почте, несомненно, будет важна как при решении задачи нейтрализации вирусных эпидемий, так и для решения других задач, связанных с распространением вирусов. А системы, предоставляющие такую информацию, могут с успехом применяться как в глобальных, так и в локальных сетях для обеспечения более эффективной работы систем информационной безопасности.

Другим важным вопросом, возникающим при рассмотрении задачи локализации, является задача сбора и хранения данных, полученных от подсистем антивирусной и антиспамовой фильтрации почтовых сообщений. Собранные данные могут быть использованы как с целью локализации источников несанкционированной рассылки, так и для последующего-анализа конфликтных ситуаций (например, в случаях, когда антиспамовая система ошибочно приняла сообщение за спам и важное для пользователя-письмо было удалено).

Объектом исследования данной работы являются проблемы безопасности информации, связанные с распространением вредоносных программ и «спама», а также механизмы рассылки электронных сообщений, использующие сокрытие сетевых узлов отправителя.

Предметом исследования являются методы определения источников несанкционированной рассылки вредоносных программ и «спама» с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе.

Целью работы является повышение эффективности методов борьбы с вредоносными программами на основе своевременного автоматизированного определения очагов вирусной активности, которая проявляется в виде рассылки ими сообщений электронной почты, содержащих известное (антивирусным системам и системам антиспамовой защиты) вредоносное ПО или спам, а также создание автоматизированной системы, реализующей эти методы.

Для достижения поставленной цели в ходе работы, над диссертацией были проведены исследования существующих методов несанкционированной рассылки почтовых сообщений и анализ методов, используемых для сокрытия» источника несанкционированной рассылки, а также решались следующие научные задачи:

1. Построение математической модели выявления фальсификации служебных заголовков почтового сообщения, включающей формализацию условий присутствия фиктивных заголовков.

2. Разработка метода выявления источника несанкционированной рассылки сообщений электронной почты с учётом возможного наличия фиктивной информации в служебных заголовках и его алгоритмического обеспечения.

3. Разработка способов сбора информации о несанкционированной рассылке почтовых сообщений от различных источников и её анализа.

4. Разработка1 алгоритма принятия решений о действиях, имеющих целью противодействие распространению вредоносных программ.

Методы исследования. Для решения поставленных задач использовались

С -1 системный анализ, теория алгоритмов, теория множеств, методы математической логики, теория конечных автоматов.

Научная новизна результатов, полученных в диссертации, состоит в следующем:

1. Предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

2. Показано, что в общем случае источник почтовой рассылки в рамках протокола SMTP определить невозможно. Определены и обоснованы

• условия, при которых возможно решение данной задачи.

3. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка. Численное значение степени достоверности заголовка зависит от того, какие из имеющихся условий присутствия фиктивных заголовков выполнены. Показано, что с помощью введённого критерия для численного значения степени достоверности заголовка устанавливается, является он истинным или фиктивным.

4. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и «спама», с учётом возможного присутствия в нём фальсифицированных данных. Метод заключается- в последовательном анализе цепочки служебных заголовков почтового сообщения. Истинность или фиктивность каждого заголовка устанавливается в соответствии с разработанной математической моделью выявления фальсифицированных служебных заголовков. 5. Впервые разработаны концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

Следует отметить, что в открытых источниках отсутствует информация об автоматизированных системах, предназначенных для сбора и анализа информации о несанкционированных почтовых рассылках с целью определения источников рассылки, с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе и принятия каких-либо действий по отношению к источнику рассылки.

Практическую ценность представляют разработанное алгоритмическое обеспечение автоматизированной системы, а' также полученные в диссертационной' работе рекомендации по выбору численного значения степени достоверности заголовка, от которого зависит точность выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты.

Автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты (далее АСВСУ), была разработана на основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи. Основными возможностями автоматизированной системы являются:

• сбор и хранение электронных почтовых сообщений, попавших в категорию «вирусов» и «спама», для последующего анализа конфликтных ситуаций (например, антиспамовая система ошибочно приняла сообщение за спам, и важное для пользователя письмо было удалено);

• обнаружение сетевых узлов, инфицированных как известными, так и не известными ранее вредоносными программами, путём анализа активности этих программ, которая проявляется в виде рассылки сообщений электронной почты, содержащих спам или известные (антивирусным системам) вредоносные программы.

• сбор информации о сетевом узле, участвующем в распространении вредоносных программ, которая необходима для идентификации владельца скомпрометированного сетевого узла;

• уведомление пользователя/владельца скомпрометированного сетевого узла об имеющей место несанкционированной деятельности с его компьютера;

• информирование провайдера о нелегальных действиях с идентифицированного сетевого узла (компьютера пользователя);

• формирование на основе IP-адресов источников рассылки «чёрных списков» для систем фильтрации электронной почты;

• противодействие путём изменения прав доступа или пропускной способности на сетевых устройствах (межсетевых экранах, маршрутизаторах).

Внедрение результатов работы. Результаты диссертационной работы внедрены в:

• ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (акт об использовании в приложении 7).

• Московском инженерно-физическом институте (государственном университете). Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции - «СЛЕДОПЫТ» (акт об использовании в приложении 8). Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях и выставках:

1. XI Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2004г.

2. XIV Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2005г.

3. XIII Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2006г.

4. XIV Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2007г.

5. XI Выставка-конференция "Телекоммуникации и новые информационные технологии в образовании" - Москва, 2007г.

6. XVII Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2008г.

За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем антивирусной и антиспамовой фильтрации электронной почты автор был награждён дипломом XI-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании" (см. приложение 6). Публикации. По теме диссертации опубликованы 6 научных работ.

Основные положения, выносимые на защиту:

1. Математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения.

2. Классификация ключевых признаков, указывающих на присутствие фиктивных заголовков.

3. Алгоритм определения источников несанкционированной рассылки.

4. Метод определения заражённых вредоносными программами сетевых узлов путём анализа заголовков распространяемых ими электронных почтовых сообщений, содержащих инфицированные вложения.

5. Методы противодействия несанкционированной рассылке.

6. Концептуальная модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

7. АСВСУ, как средство: активного информационного противодействия угрозам нарушения информационной безопасности; обеспечения внутреннего аудита и мониторинга каналов электронной почты с целью обнаружения инфицированных вредоносными программами сетевых узлов; защиты от потери информации в связи с некорректной обработкой почтовых сообщений системами «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (удаление писем при ложных срабатываниях).

Объем и структура.

Диссертация состоит из введения, четырех глав, изложенных на 128 страницах машинописного текста, 22 рисунка, 8 таблиц, заключения, списка использованной литературы и приложений.

Выводы к главе 4

1. Разработана, концептуальная модель и фукциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной, почты, решающая^ следующие задачи:

• определение вероятного маршрута следования почтового пакета от предполагаемого скомпрометированного сетевого узла;

• сбор дополнительной информации о начальной точке генерации почтового пакета;

• выбор и реализация ответных действий по отношению к начальной точке генерации почтового пакета.

2. Модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты реализована в виде программного решения для операционных систем семейства Windows (2000/ХР/2003).

3. Разработанная автоматизированная система позволила существенно ^ снизить время, необходимое на разбор заголовков с целью определения источников рассылки вредоносного программного обеспечения.

4. Проверка работы автоматизированной системы на тестовой выборке показала её эффективность в плане правильности определения источника несанкционированной рассылки и времени реакции. Число заголовков, неправильно классифицированных как истинные, но являющихся фиктивными, стремится к 0 при значении критерия Q>4. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Заключение

Таким образом, могут быть отмечены нижеследующие основные результаты выполненной работы.

1. Проведённый анализ существующих на сегодняшний момент способов распространения вредоносного программного обеспечения в сети Интернет показал, что наиболее благоприятной средой для распространения является каналы электронной почты.

2. Показано, что в силу специфики протокола передачи электронных почтовых сообщений использование систем типа IDS/IPS, а также системы антивирусной фильтрации почтового трафика и анти-спамовских фильтров для определения источников несанкционированной рассылки является неэффективным.

3. В работе предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

4. Показано, что невозможно, в общем случае, определение источника почтовой рассылки в рамках протокола SMTP.

5. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка.

6. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама, с учётом возможного присутствия в нём фальсифицированных данных.

7. Впервые разработан алгоритм определения фиктивных данных в служебных заголовках электронного почтового сообщения, основанный на анализе значений заданных параметров.

8. Предложен алгоритм определения параметра «показатель корреляции заголовков», входящего в алгоритм определения фиктивных данных в служебных заголовках.

9. Впервые разработаны концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении, вредоносного программного обеспечения и спама в системах электронной почты.

10. На основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи, реализована автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

11. Автоматизированная система, реализующая предложенные методы анализа заголовков, позволила существенно снизить время, необходимое на разбор заголовков с целью определения^ источников» рассылки вредоносного программного обеспечения.

12. Проверка работы автоматизированной системы на тестовой выборке показала её эффективность, в плане правильности определения источника несанкционированной рассылки и времени реакции.

13. Определено оптимальное значение критерия степени достоверности заголовка на примере тестовой выборки. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Результаты диссертационной работы внедрены в:

• ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной»' и «антиспамовой» фильтрации электронной почтовой корреспонденции (акт об использовании в приложении 7).

• Московском инженерно-физическом институте (государственном университете). Результаты диссертационной, работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции - «СЛЕДОПЫТ» (акт об использовании в приложении 8).

За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем антивирусной и- антиспамовой фильтрации электронной почты автор был награждён дипломом XI-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании" (см. приложение 6).

1. «Почтовые вирусы становятся все умнее»; интернет-ресурс -http.7/www.ivnet.ru/modules/news/article.php?storyid=412. 2. «Спам. Аналитический отчёт»; интернет-ресурс -http://www.spamtest.ru/dovraloads/report2005/2005_spam_report_lk.pdf.

2. Уголовный кодекс РФ.

3. Рудик К.П. Построение активной сетевой защиты // Сборник научных трудов конференции «XI Всероссийская научно-техническая конференция. Проблемы информационной безопасности в системе высшей школы», Москва, 2004г. 130-131.

4. Laurent Oudot, «Fighting Spammers With Honeypots»; интернет-ресурс - http://www.securityfocus.com/infocus/1747.

5. А.В.Лукацкий. Право на контратаку; интернет-ресурс— http://www.bugtraq.ru/library/misc/counterstrike.html.

6. Рудик К.П. Способы сбора сетевой информации о нарушителе.//«Безопасность информационных технологий» М. МИФИ 2004. №2. 76-79.

7. Интернет-ресурс - http://www.iana.org.

8. Интернет-ресурс - http://www.iana.org/ipaddress/ip-addresses.htm.

9. Fyodor . "Remote OS detection via TCP/IP Stack FingerPrinting" (http://www.insecure.org/nmap/nmap-fingeфrinting-article.html).

10. Tod A. Beardsley. "Intrusion Detection and Analysis:Theory, Techniques, and Tools" (http://www.giac.org/practical/Tod_Beardsley_GCIA.pdf).

11. Veysset, Courtay, and Keen. "New Tool And Technique For Remote Operating System Fingerprinting."; интернет-ресурс - http://www.intranode.com/fr/doc/ring-full-paper.pdf.

12. Ste Jones. "Port 0 OS Fingeфrinting"; интернет-ресурс - http://packetstonnsecurity.org/papers/os-detection/portOpaper.txt.

13. Michal Zalewski. "Strange Attractors and TCP/IP Sequence Number Analysis"; интернет- ресурс - http://lcamtuf.coredump.cx/newtcp/.

14. Arkin, Ofir. "ICMP Usage in Scanning - The Complete bCnow How"; интернет-ресурс - http://www.sys-security.eom/archive/papers/ICMP_Scanning_v3.0.pdf.

15. Craig Smith, Peter Grundl. "Know Your Enemy: Passive Fingerprinting"; интернет-ресурс - http://project.honeynet.org/papers/finger/.

16. Passive FingerprintingToby Miller. "Passive OS Fingerprinting: Details and Techniques"; интернет-ресурс - http://www.incidents.org/papers/OSfingeфrinting.php.

17. Altsoph. "Алгоритмы анализа удаленной системы"; интернет-ресурс - http://bugtraq.ru/library/security/ф.html.

18. Fyodor. "The Art of Port Scanning"; интернет-ресурс - http://www.insecure.org/nmap/nmap_doc.html.

19. Алексей Волков, Вячеслав Семенов. "Определение активных портов удаленного компьютера"; интернет-ресурс - http://cherepovets-city.ru/insecure/runmap/portscanning-argv.htm.

20. Winfingeфrint ; интернет-ресурс - http://winfingeфrint.sourceforge.net.

21. Петенко А., Петренко А.А. Аудит безопасности Internet. М. ДМК Пресс, 2002

22. Мартыненко Б.К.Издательство -Петербургского Университета 2004. Языки и трансляции: Учебное пособие для вузов.

23. CERT/CC Statistics,; интернет-ресурс Центра Безопасности Интернет CERT http://www.cert.org/

24. Петренко А., Петренко АА., «Аудит безопасности bitemet» - М.:ДМК Пресс, 2002.

25. Переводы и публикации сотрудников компании НИП «Информзащита»; интернет- pecypc-http://www.infosec.ru/press/pub_main.html.

26. Герасименко В.А., Малюк А.А. Основы защиты информации. - М. 1997.

27. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - М.: Энергоатомиздат, 1994.

28. Петров В. А., Пискарев А. С , Шеин А. В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995.

29. Горбатов B.C., Фатьянов А.А. Правовые основы защиты информации. М.: МИФИ, 1999г.

30. Гостехкомиссия России. Информационная безопасности и защита информации. Сборник терминов и определений, 2001.

31. Центр исследования проблем компьютерной преступности. Угрозы безопасности АС; интернет-ресурс - http://www.crime-research.org.

32. Вирусная активность. Аналитические обзоры; интернет-ресурс - http://www.viruslist.com/ru/viruses/analysis.

33. Рудик К.П. Вьывление сетевых узлов, участвующих в распространении вредоносных программ и спама в системах электронной почты .// <dDe3onacHOCTb информационных технологий» М. МИФИ 2008. №1. 35-45

34. Максим Кузнецов, Игорь Симдянов. «Социальная инл<енерия и социальные хакеры» БХВ-Петербург 2007.

35. И. Д. Медведовский, Б. В. Семьянов, Д. Г. Леонов, А. В. Лукацкий «Атака из bitemet» СОЛОН-Р 2006.

36. Кевин Д. Митник, Вильям Л. Саймон «Искусство обмана The Art of Deception» Компания АйТи, 2004.

37. Питер Джексон, «Введение в экспертные системы». Вильяме. 2006.

38. Литвак Б.Г., «Экспертные технологии в управлении». Дело. 2004.

39. Евланов Л.Г., Кутузов В.А., «Экспертные оценки в управлении», "Экономика" 1978.

40. Касперски Крис «Компьютерные вирусы изнутри и снаружи». Питер 2006. 56. «Мгновенные» угрозы, интернет-ресурс -http://www. viruslist.com/ru/analysis?pubid=204007611

41. А. Бахмутов. «Метод согласованных распределений для вьщеления бот-сетей, рассылающих спам»; интернет-ресурс — http://www.viraslist.com/ru/analysis?pubid=204007582

42. И. Братко., «Программирование на языке Пролог для искусственного интеллекта» Москва, "МИР", 1990.

43. Т. Саати <dlPИHЯTИE РЕШЕНИЙ. Метод анализа иерархий», Москва «Радио и связь», 1993.

44. Грушо А.А., Тимонина Е.Е. «Теоретические основы защиты информации» Издательство Агентства "Яхтсмен", 1996.

45. Шаль А.В. Методическое пособие «Математико-статистические методы в менеджменте» Ростов-на-Дону, Изд-во РГУ, 2000.

46. Eric Filiol, «Viruses: From Theory to Applications», Birkhauser, 2005

47. Deirdre Day-MacLeod, «Viruses and spam». New York : Rosen Central, 2008

48. Курбатов В., Скиба В., «Руководство по защите от внутренних угроз информационной безопасности». Издательство «Питер», 2007

49. Д. Лавникевич, "Анатомия DDoS-атаки", интернет-ресурс - http://www.comprice.ru/articles/detail.php?ID=41077

50. Lance Spitzner, Tracking Hackers, Addison-Wesley, 2003

51. Ларри Уолл, Том Кристиансен, Джон Орвант, «Программирование на Perl», Символ- Плюс, 2006 г.

52. Линкольн Д. Штайн, «Разработка сетевых программ на Perl», Вильяме, 2001.

53. Энди Гутмане, Стиг Баккен, Дерик Ретанс, «РНР 5. Профессиональное программирование», Символ-Плюс, 2006 г.

54. Поль Дюбуа, «MySQL», Вильяме, 2007 г.

55. RFC 2822; интернет-ресурс-ftp://ftp.rfc-editor.org/in-notes/rfc2822.txt.

56. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ. Сборник руководящих документов по защите информации от несанкционированного доступа. - М.: Гостехкомиссия России, 1998.

57. Центр исследования проблем компьютерной преступности. Угрозы безопасности АС, интернет-ресурс-http://www.crime-research.org/library/security7.htm

58. А. Лукацкий, <Атаки на информационные системы. Типы и объекты воздействия» Электроника: Наука, Технология, Бизнес. №1, 2000.

59. А. Лукацкий, (Анатомия распределенной атаки.», PCWeek/RE, №5, 2000.

60. Алиса Шевченко, «Эволюция технологий самозащиты вредоносных программ», интернет-ресурс-http://www.viruslist.com/ru/analysis?pubid=204007553.

61. Viruslist.com/интерент-безопасность, Аналитика, интернет-ресурс- http://www.viruslist.com/ru/analysis.

62. Васин А.А., Морозов В.В., «Введение в теорию игр с приложениями к экономике» (ученое пособие). - М.: 2003.

63. Моренин Алексей Викторович, «Анализ математических методов поддержки принятия решений», интернет-ресурс- http://www.olap.ru/best/analysis.asp.

64. Заболотский В.П., Оводенко А.А., Степанов А.Г., «Математические модели в управлении: учебное пособие», СПбГУАП. СПб., 2001.

65. Ахо А., Хопкрофт Дж., Ульман Д., «Структуры данных и алгоритмы», Вильяме, 2000.

66. Ларичев О.И., «Теории и методы принятия решений, а также хроника собьггий в волшебных странах», Логос, 2000.

67. Ашихмин И.В., Ройзензон Г.В., «Выбор лучшего объекта на основе парных сравнений на подмножествах критериев», интернет-ресурс-www.raai.org/about/persons/royzenzoп/pagesЯS A_RAS_2001 .pdf.

68. SecurityLab.ru - информационный портал, интернет-ресурс- http://www.securitylab.ru/.

69. SecurityFocus - информационный портал, интернет-ресурс— http://www.securityfocus.com/. 91. «Что такое ботнет?», интернет-ресурс—http://forum.hack-team.info/showthread.php?t= 1849

70. Пуа Evseev, «Detection mailing viruses in corporate network», интернет-ресурс- http://ilya- evseev.narod.ru/articles/smtptrap/smtptrap-article.html.

71. Евгений Патий, «Honeypot: приманка для злоумышленника», интернет-ресурс- http://citcity.ru/15560/.

72. Переводы и публикации сотрудников компании НИП «Информзащита», интернет-ресурс -http://www.infosec.ru/presscentre/publication/ 95. «The Honeynet Project», интернет-ресурс - http://www.honeynet.org/

73. Международный стандарт ISO/IEC 17799, интернет-ресурс - http://www.iso.org/

74. ФСТЭК России. Специальные нормативные документы. Интернет-ресурс - http://www.fstec.ru/_spravs/_spec.htm.

75. Алексей Тутубалип, «Технология SPF - за и против», интернет-ресурс - http://www.lexa.ru/articles/spf-l.html.

76. Matt Bishop, «Theft of Information in the Take-Grant Protection Model», интернет- ресурс- http://nob.cs.ucdavis.edu/bishop/papers/1995-jcs/tgtheft.pdf.

77. Paul A. Booth, «An hitroduction to Human-computer Interaction», Psychology Press, 1989.

78. S CuLS Dtn-LS C/b 0.5 D^n• 0.5 0.5 0.5 0.5 0.5 . Dm 0.5 0.5 0.5 DA 0.5 DA 0.5 Dm DA 0.5 0.5 0.5 0 5 Dm