Метод обнаружения информационных угроз безопасности передачи данных на основе анализа сетевой статистики тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Гирик, Алексей Валерьевич

Введение

В настоящее время наблюдается рост количества информационных угроз и факторов, приводящих к нестабильному функционированию сетей передачи данных (СПД). Предпосылками этого роста являются массовость применения, усложнение иерархии вычислительных сетей и увеличение их структурной сложности, увеличение гетерогенности программных и аппаратных средств, усложнение функциональности сетевых сервисов, приводящее к появлению разнообразных уязвимостей. В таких условиях разработка и совершенствование способов обнаружения информационных угроз в СПД приобретают большую важность. Одним из компонентов обеспечения информационной защиты сетей являются программные комплексы, предназначенные для обнаружения вредоносной или подозрительной активности - системы обнаружения вторжений (СОВ). СОВ решают задачи обнаружения аномалий в работе ключевых узлов СПД: маршрутизаторов, коммутаторов, серверов, АТС и другого телекоммуникационного оборудования.

Аномалии определяются как изменения показателей функционирования компонентов СПД, свидетельствующие об отклонениях от нормального режима работы, в частности, о вторжениях в СПД. Примерами показателей функционирования могут быть количество пакетов или байтов, принятых или отправленных портом оборудования в единицу времени, количество отброшенных входящих или исходящих пакетов в единицу времени, загрузка процессора и т.д. Это могут быть также производные величины, например, дисперсия количества входящих пакетов в единицу времени или коэффициент корреляции количества многоадресных пакетов в единицу времени на разных портах оборудования.

Внимание к данной области исследований имеет значительную историю. Теоретические и практические наработки, реализованные в

закрытых решениях ведущих производителей сетевого оборудования (Cisco, Juniper, Huawei) ограниченно применимы из-за дороговизны и сложности интеграции, а открытые продукты обладают недостатками, не позволяющими решать задачи своевременного и достоверного обнаружения аномалий. На этом основании, а также учитывая растущую публикационную активность в данной области, развитие методов и средств обнаружения аномалий следует признать актуальной задачей как в научном, так и в практическом отношении.

Целью работы является повышение информационной безопасности СПД за счет увеличения достоверности обнаружения аномалий в работе ключевых узлов СПД и уменьшения количества ложных срабатываний при автоматизации обнаружения аномалий.

Задачи исследования. Поставленная цель достигается решением следующих задач:

1. Анализ методов мониторинга и обнаружения информационных угроз передачи данных в вычислительных сетях.

2. Разработка метода построения профиля нормального функционирования (ПНФ) компонентов СПД на основе адаптивной модели временного ряда.

3. Разработка метода обнаружения аномалий в работе компонентов СПД на основе динамической оценки отклонений фактических значений показателей функционирования от ПНФ.

4. Разработка метода моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

5. Экспериментальная проверка и оценка эффективности разработанных методов.

6. Программная реализация разработанных методов в виде прототипа СОВ.

Методы исследования включают методы теории вероятностей и математической статистики, теории вычислительных систем и сетей, теории информационной безопасности и защиты информации.

Научная новизна результатов, полученных в диссертационной работе, заключается в следующем:

1. Разработан метод построения ПНФ компонентов СПД на основе адаптивной модели временного ряда, в качестве которой использована трехпараметрическая модель Уинтерса, отличающаяся от аналогичных моделей, описанных в публикациях по данному вопросу, использованием динамических параметров адаптации, и предложены способы введения обратной связи для корректировки ПНФ.

2. Разработан метод обнаружения аномалий в работе компонентов СПД, основанный, в отличие от методов, описанных в публикациях по данному вопросу, на динамической оценке отклонений фактических значений показателей функционирования от ПНФ.

3. Разработан метод моделирования аномалий в функционировании СПД для оценки чувствительности методов обнаружения аномалий без проведения натурных экспериментов.

Объектом исследования являются сети передачи данных в части информационной безопасности. Предметом исследования являются методы обнаружения аномалий функционирования компонентов СПД и реализация этих методов в СОВ.

Практическая значимость работы. Применение предложенных методов в разработанных на их основе программных модулях при создании СОВ позволяет решать задачи своевременного и достоверного обнаружения аномалий в работе компонентов СПД. Это автоматизирует обнаружение информационных угроз и приводит к повышению информационной безопасности СПД и более эффективной работе системных администраторов и специалистов по сетевой безопасности.

Глава 1. Методы и средства обеспечения информационной безопасности сетей

Информационная безопасность - такое состояние информационного поля, при котором исключается его случайный или преднамеренный перехват, декодирование и расшифровка, его несанкционированное использование и копирование, внесение в информационное поле инородных информационных потоков, которые ведут к искажению первичного информационного поля либо его разрушению [36].

Угроза информационной безопасности, или информационная угроза, - это совокупность условий, создающих опасность нарушения информационной безопасности. С самой общей точки зрения информационные угрозы можно поделить на три категории: угрозы целостности информации, угрозы конфиденциальности информации и угрозы доступности информации [21].

Безопасность сетей передачи данных - защита СПД от несанкционированного использования, приводящего к изменению, раскрытию или разрушению структуры СПД, функциональных свойств СПД или данных, которые передаются в СПД. Задача обеспечения информационной безопасности СПД должна решаться ■ комплексно в силу следующих обстоятельств:

1. Сеть представляет собой совокупность взаимодействующих программных и аппаратных средств, построенных в соответствии с множеством различных стандартов различными производителями, то есть вычислительную среду с высокой степенью гетерогенности. Специфика каждого сетевого элемента должна учитываться при проектировании системы управления безопасностью сети.

2. Сетевое взаимодействие осуществляется по протоколам, принадлежащим определенному сетевому стеку, например, TCP/IP или OSI. Необходимо заботиться о том, чтобы на каждом уровне была обеспечена надежная защита передаваемых данных.

3. Наличие разнородных механизмов защиты в сети, их взаимное влияние и влияние на производительность сети должны тщательно исследоваться. Работа различных подсистем безопасности должна быть согласована, что на практике, однако, достигается не всегда.

4. При проектировании системы защиты необходимо ориентироваться на статистику угроз, и учитывать возможность появления потенциальных (неизвестных) угроз.

Сетевая атака представляет собой реализованную информационную угрозу, то есть деструктивное воздействие на информационную систему через СПД. Существует множество разновидностей сетевых атак, которые более подробно будут рассмотрены ниже. Термин «вторжение» (intrusion) зачастую используется как синоним термина «атака», однако, говоря строго, вторжение может являться лишь частью атаки. Тем не менее, далее будем подразумевать под вторжениями сетевые атаки.

Для того, чтобы успешно противостоять атакам на СПД (целью атак может быть как само управляемое оборудование СПД, так и ресурсы, доступ к которым предоставляется через СПД), необходимо получать информацию о работе компонентов СПД. Под компонентами СПД понимаются ключевые узлы вычислительной сети - коммутаторы, маршрутизаторы, серверы, АТС и другое активное телекоммуникационное оборудование. В некоторых случаях компонентами СПД можно считать и программные системы, например, приложение-веб-сервер или приложение-ОНСР-сервер. Получение информации достигается с помощью мониторинга компонентов СПД. Методы мониторинга подробно рассматриваются в настоящей главе. Данные о работе оборудования и информационных систем становятся доступны для

анализа в виде показателей функционирования - временных рядов величин, описывающих тот или иной аспект функционирования компонента СПД. Мониторинг информационных потоков с СПД является важной частью процесса обеспечения информационной безопасности СПД. Для обнаружения и предупреждения сетевых атак используются специальные программные комплексы - системы обнаружения и предотвращения вторжений.

1.1. Системы обнаружения вторжений

Система обнаружения вторженнй {СОВ) - программное или аппаратное средство обнаружения информационных угроз в вычислительных системах и сетях передачи данных. В англоязычной литературе используется термин Intrusion Detection System (IDS). Системы обнаружения вторжений являются ключевым элементом комплекса средств сетевой защиты.

В [43] СОВ определяется как системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [31,32].

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора информации (событий, связанных с безопасностью защищаемой системы);

• подсистему хранения данных, предназначенную для долговременного хранения собранных данных и результатов анализа;

• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе полученной статистики о работе вычислительной системы или СПД;

• подсистему представления данных и управления, позволяющую конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты. Отметим, что в настоящее время перед системами обеспечения информационной безопасности ставится задача не только обнаружения и идентификации информационных угроз, но и принятия ответных мер и автоматического противодействия атакам. Такие системы называются системами предотвращения вторжений (СПВ) (Intrusion Prevention Systems, IPV) и все еще находятся в стадии экспериментальных прототипов.

1.1.1. История исследований в области обнаружения вторжений

Концепция СОВ впервые была сформулирована Д. Андерсоном в статье, посвященной методам и средствам мониторинга вычислительных сетей [73]. В 1986 Д. Деннинг была опубликована статья с описанием модели СОВ, сформировавшую основу для большинства современных систем [79]. В этой модели было предложено использовать статистические методы для обнаружения вторжений. Разработка носила название IDES {Intrusion detection expert system, Экспертная система обнаружения вторжений) и, как следует из названия, по функциональности была ближе к экспертным системам, так как не предполагала оперативного анализа данных. Система анализировала как сетевой трафик, так и данные пользовательских приложений [90]. Экспертная система содержала данные для определения известных видов аномалий и сетевых атак. Также система содержала модуль анализа, основанный на статистических методах. Т. Лунт [91] было предложено использовать нейронную сеть для повышения эффективности обнаружения аномалий, что и было реализовано в качестве прототипа в 1993

в системе NIDES (Next generation intrusion detection expert system, Экспертная система обнаружения вторжений нового поколения). В 1988 году была разработана система MIDAS (Multics intrusion detection and alerting system) - экспертная система, ядро которой было написано на LISP [100], что позволяло добавлять сколь угодно сложные правила обнаружения. Не прекращались разработки систем обнаружения вторжений, применяющих оперативный анализ: в 1988 была разработана СОВ Haystack [101], в 1989 -W&S (Wisdom & Sense), которые применяли подход к обнаружению аномалий на основе статистических методов [103].

С 1990 ведется разработка систем, способных к обучению в процессе работы: TIM (Time-based inductive machine) [104], написанная, как и MIDAS, на LISP; 1SOA (Information Security Officer's Assistant), предлагающая множество стратегий обнаружения, включая анализ сетевой статистики, проверку действий пользователей на рабочих станциях и экспертную систему [106]; ComputerWatch, разработанная AT&T Bell Labs [82]; NSM (Network Security Monitor, Монитор сетевой безопасности), сравнивающая матрицы доступа на рабочих станциях для выявления случаев злоупотреблений правами [84]. Однако вопрос обеспечения обучения системы в процессе работы является актуальным и в настоящее время - далеко не во всех СОВ, реализованных в сетевом оборудовании ведущих поставщиков, имеются компоненты, позволяющие системе модифицировать свое поведение на основе анализа поступающих данных и делать выводы об уровне угрозы. Достаточно рано СОВ разделились на два класса: применяющие сигнатурный анализ данных и статистический анализ. К СОВ первого типа можно отнести все антивирусные средства, выбор которых на рынке в настоящее время необыкновенно широк, что связано с распространением персональных компьютеров и мобильных устройств. СОВ второго типа нашли применение главным образом на предприятиях, эксплуатирующих СПД среднего и большого размеров.

К системам, использующим статистический подход к анализу данных можно отнести разработанные в 1991 системы DIDS {Distributed intrusion detection system) [102] и NADIR {Network anomaly detection and intrusion reporter) [91].

Системы анализа сетевой статистики и обнаружения злоупотреблений и вторжений впоследствии часто разрабатывались либо как дополнения к сетевому брандмауэру, либо в качестве его составной части. Так обстоит дело с рядом систем, использующих библиотеку libpcap для захвата трафика, проходящего через сетевой узел с unix-подобной ОС (Вго, NFR, АРЕ, Snort) [87, 97-100].

Продукты ведущих производителей сетевого оборудования всегда привязаны к аппаратной платформе и почти всегда являются частью аппаратного межсетевого экрана (файервола) [75-77].

1.1.2. Классификация систем обнаружения вторжений

Системы обнаружения вторжений можно классифицировать по следующим признакам:

1. По распределенности.

2. По типу анализа.

3. По типу обучения.

4. По типу реакции на обнаружение вторжения.

5. По типу лицензирования.

По распределенности можно выделить сетевые, узловые и гибридные СОВ. В сетевой {Network-based IDS, NIDS) СОВ сенсоры расположены на важных для наблюдения компонентах СПД. Сенсор может перехватывать весь сетевой трафик и анализировать содержимое каждого пакета на наличие подозрительной информации. Сетевая СОВ может получать доступ к трафику, путем зеркалирования портов или использования ТАР устройства.

Узловая СОВ {Host-based IDS, HIDS) - COB, расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников, главными из которых являются соответствующие API ОС. Гибридная СОВ совмещает два подхода к разработке СОВ. Данные от агентов на узлах СПД комбинируются с сетевой информацией, поступающей от активного оборудования, для создания наиболее полного представления о безопасности сети.

По типу анализа можно разделить СОВ на два класса: сигнатурные и статистические. Сигнатурная СОВ анализирует исходные данные на предмет обнаружения определенной последовательности байтов или характерных признаков в виде определенных совокупностей байтов - так называемых сигнатур. Сигнатура может быть представлена строкой символов, описана выражением на специальном языке, представлена некоторой математической моделью и т.д. Появление сигнатуры в исходных данных свидетельствует о передачи через сеть тела вредоносной программы, нежелательной или запрещенной к передаче информации, последовательности команд, имеющей цель получить несанкционированный доступ к ИС или оборудованию и т.д. Конкретные сигнатуры определяются аналитиками сетевой безопасности экспериментально, то есть в результате опытов с соответствующими атаками или вредоносным ПО. Естественно, предугадать сигнатуры той или иной атаки в подавляющем большинстве случаев очень трудно. В отличие от сигнатурных статистические СОВ анализируют исходные данные не на предмет обнаружения некоторых качественных признаков, а на предмет обнаружения количественных изменений в данных, свидетельствующих о наличии информационной угрозы. Для описания совокупности количественных изменений показателей функционирования компонентов СПД термин «сигнатура» обычно не применяется. Нехарактерное изменение поведения показателя или

показателей функционирования называется «аномалией». Таким образом, статистические СОВ выполняют анализ исходных данных с целью поиска аномалий. Сравнивая два подхода, можно отметить, что преимуществом сигнатурных СОВ является высокая точность определения факта атаки, а недостатком - невозможность обнаружения атак, сигнатуры которых пока не определены. Напротив, статистические СОВ могут обнаружить атаки, для которых определить сигнатуры невозможно (например, подавляющее большинство ВБоБ-атак). Что же касается точности обнаружения факта атаки, то в случае СОВ на основе статистического подхода можно говорить лишь об обнаружении атаки с определенной долей вероятности. Разработки в области статистических СОВ в последние десятилетия сосредоточены на увеличении этой вероятности и уменьшении вероятности так называемых «ложных срабатываний». Необходимо отметить, что с помощью СОВ на основе статистического подхода можно обнаруживать любые аномалии в исходных данных, а не только те, которые являются атаками или их последствиями.

По типу обучения можно выделить СОВ без возможности обучения, с возможностью ограниченного обучения и с возможностью обучения без контроля со стороны ЛПР. СОВ без возможности обучения не способна корректировать работу механизма обнаружения вторжений в зависимости от входящей информации, набор правил (сигнатур, моделей и т.д.) задается жестко и ни сами они, ни их параметры не меняются в процессе работы. СОВ с возможностью ограниченного обучения предполагают наличие обратной связи в механизме обнаружения вторжений, что позволяет адаптировать поведение системы и обнаруживать новые типы вторжений, кроме тех, что были заданы в правилах системы изначально. В таких СОВ обучение контролируется ЛПР. СОВ с возможностью обучения без контроля со стороны ЛПР носят в основном экспериментальный характер и

используют технологии машинного обучения (так называемое обучение без учителя, unsupervised learning).

По типу реакции на обнаружение вторжения СОВ делятся на активные и пассивные. Пассивные СОВ ограничиваются логированием и уведомлением администратора системы о факте атаки. Активные СОВ могут предпринять меры по поиску источника атаки и устранению последствий атаки. В случае, если СОВ интегрирована с межсетевым экраном, ответными мерами могут быть фильтрация определенного типа пакетов, ограничение доступа по IP-адресу и т.д.

По типу лицензирования можно выделить СОВ с коммерческими лицензиями и свободно распространяемые. Свободно распространяемые (бесплатные) СОВ поставляются со свободными лицензиями и крайне ограниченной поддержкой. Некоторые из них относятся к классу free software, то есть поставляются вместе с исходными текстами. В качестве примеров наиболее известных свободно распространяемых СОВ можно привести Bro, NFR, OSSEC, Snort, Tripwire, Untangle. Коммерческие СОВ обладают гораздо большей функциональностью и лучшей поддержкой. Они рассчитаны на большую нагрузку. В большинстве случаев это разработки компаний-производителей активного сетевого оборудования. Такие системы являются закрытыми продуктами и требуют серьезных денежных вложений. В качестве примеров коммерческих СОВ можно привести Centrax, Huawei NIP IDS, Juniper IDP, NetRanger, NetProwler, RealSecure.

1.2. Организация сетевого мониторинга

Существенным аспектом функционирования СОВ является применяемая в ней технология мониторинга компонентов СПД. Организация мониторинга компонентов СПД - сложная задача, которая должна решаться комплексно. Общее направление развития сетевых технологий ставит

серьезные вопросы относительно информационной безопасности и управляемости СПД. Возрастает необходимость во всестороннем наблюдении за сетью, в том числе за работой сетевого оборудования, активностью пользователей и приложений.

Можно выделить следующие основные тенденции в области сетей передачи данных:

1. Увеличение количества локальных сетей. Растет количество офисных сетей, домашних сетей, домовых сетей, сетей провайдеров, а также происходит их интеграция, что в некоторых случаях приводит к усложнению иерархии сетей, к появлению неоптимальных топологий и множеству «узких» мест. На поведение трафика влияет также сегментация физических сетей с помощью технологии виртуальных локальных сетей (VLAN). Усложняется структура сетей, в результате чего становится труднее идентифицировать угрозы безопасности и выявлять неоптимальности конфигурации [4].

2. Рост скоростей в сетях передачи данных. Рынок широкополосного доступа непрерывно растет, в первую очередь за счет применения схемы FTTB, использующей технологию Ethernet [52]. ADSL постепенно уступает рынок, так как скорость доступа в локальных сетях существенно выше. Высокая скорость необходима для качественного оказания услуг передачи потового аудио или видео. ADSL судя по всему будет менее популярным, чем сети на основе FTTB. Инициатива Gigabit to Desktop предполагает, что абоненты в ближайшем будущем будут подключаться к сети на скорости 1 Гбит/с вместо сегодняшних 100 Мбит/с. Исследование проблем мониторинга и прогнозирования поведения трафика в сетях на основе Ethernet более актуально и востребовано, особенно принимая во внимание тот факт, что на основе Ethernet строятся сети не только масштаба предприятия, но и городского масштаба (Metro Ethernet) [52]. Распространение

получают также сети на основе высокочастотной радиосвязи, которые удается легко совмещать с Ethernet-сетями.

3. Увеличение доли мультимедийного трафика. Постепенно понятие «мультисервисная сеть» распространяется и на обычные сети, по которым передаются аудио и видео данные. Обеспечение надежной доставки мультимедийного трафика сейчас успешно решается в ядре сети с помощью применения таких технологий, как Cisco Video САС, Visual Quality Experience и других, реализованных в различных коммерческих продуктах, однако мониторинг и контроль качества на границе сети и на участке последней мили затруднен. Очевидно, что роль сдерживающего фактора играет дороговизна оборудования, поддерживающего сквозной контроль качества на всем протяжении маршрута передачи мультимедийной информации. Приложения, генерирующие мультимедийный трафик, такие, например, как IP-телефония, видеоконференцсвязь, видео мониторинг в системах безопасности или дистанционное медицинское обслуживание, чувствительны к перегрузкам в сети. В IP-сетях на основе Ethernet, в отличие от ATM или Frame Relay, доставка дейтаграмм осуществляется по принципу best effort, что может приводить к искажениям и задержкам звука и изображения. Тем не менее, производители оборудования и разработчики протоколов и кодеков прикладывают значительные усилия, для того, чтобы защититься от перегрузок [63]. Несмотря на значительно выросшие скорости и применение многоадресной адресации {multicast addressing) и других технологий, нагрузка на сеть, вызванная передачей мультимедийной информации, будет постоянно увеличиваться. Следовательно, будут увеличиваться количество угроз стабильности функционирования сети и сетевых сервисов.

4. Рост гетерогенности аппаратных и программных средств. На рынке представлено активное управляемое и неуправляемое сетевое оборудование для локальных сетей различных производителей аппаратных средств. Многие аспекты работы устройств не оговариваются открытыми стандартами и отданы на откуп производителю, что приводит к неустойчивому совместному функционированию устройств разных производителей и сложностям настройки, что в свою очередь создает угрозу безопасности [36].

СПД может обладать рядом структурных и функциональных особенностей в зависимости от области применения. Большая часть СПД, входящих в состав крупных сетей, представляет собой локальные вычислительные сети (ЛВС), построенные с помощью технологии Ethernet. В современной ЛВС масштаба предприятия или сети провайдера последней мили можно выделить три уровня:

1. Уровень доступа (access layer).

2. Уровень распределения (distribution layer).

3. Ядро сети (core).

Коммутаторы уровня доступа предоставляют порты конечным пользователям (скорость от 10 Мбит/с до 1 Гбит/с), образуют виртуальные локальные сети. Соединения между уровнем доступа и уровнем распределения могут быть выполнены каналами Gigabit Ethernet или 10 Gigabit Ethernet. Коммутаторы уровня распределения связывают блоки второго уровня (кварталы, районы) по высокоскоростным каналам с ядром, охватывающим всю сеть L3 коммутацией. На уровне ядра выполняются маршрутизация внешнего трафика, шейпирование, трансляция сетевых адресов, фильтрация и учет трафика. Возможно совмещение нескольких логических уровней, например Access/Distribution или Distribution/Core в одном физическом устройстве.

Список литературы

1. Александров В.В., Кулешов C.B., Цветков О.В. Цифровая технология инфокоммуникации. Передача, хранение и семантический анализ текста, звука, видео. - СПб.: Наука, 2008. - 244 е., ил.

2. Андерсон Т. Введение в многомерный статистический анализ - М.: ГИМФЛ, 1963.

3. Афанасьев В.Н., Юзбашев М.М. Анализ временных рядов и прогнозирование. - М.: Финансы и статистика, 2010. - 320 е., ил.

4. Бабаш A.B., Баранова Е.К., Ларин Д.А. Информационная безопасность. История защиты информации в России. - М.: ИД КДУ, 2013. - 736 е., ил.

5. Барабанов A.B., Марков A.C., Цирлов В.Л. Методы оценки несоответствия средств защиты информации - М.: Радио и связь, 2012. -192 е., ил.

6. Барабанов A.B., Марков A.C., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации // Вопросы защиты информации. - 2011. - № 3. - С.19-24.

7. Барабанов A.B., Марков A.C., Цирлов В.Л. Сертификация систем обнаружения вторжений // Открытые системы. СУБД. - 2012. - № 3. -С. 31-33.

8. Бендат Дж., Пирсол А. Применения корреляционного и спектрального анализа: Пер. с англ. - М. : Мир, 1983. - 312 е., ил.

9. Бендат Дж., Пирсол А. Прикладной анализ случайных данных: Пер. с англ. - М. : Мир, 1989. - 540 е., ил.

10. Бил Дж. Snort 2.1. Обнаружение вторжений. - М. : Бином, 2006. - 656 с.

11. Брандт 3. Анализ данных. Статистические и вычислительные методы для научных работников и инженеров. - М.: Мир, ООО «Издательство ACT», 2003. - 686 е., ил.

12. Будько М.Б., Будько М.Ю., Гирик A.B., Жигулин Г.П. Разработка технологии обнаружения и противодействия вторжениям, основанной на методах статистического анализа потоков данных и прогнозирования отклонений показателей сетевой активности // Отчет о научно-исследовательской работе "Разработка методов обнаружения и

противодействия вторжениям в вычислительных сетях военного назначения". - Санкт-Петербург, 2010. - 128 с.

13. Будько М.Б., Будько М.Ю., Гирик A.B. Заявка на патент на изобретение №2007111888/09 «Способ адаптивного управления передачей потоковых медиаданных» : Федеральная служба по интеллектуальной собственности, патентам и товарным знакам. Бюллетень № 28. — М., 2008.

14. Будько М.Б., Будько М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. - 2007. - № 39, С. 319-323.

15. Будько М.Б., Будько М.Ю., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // XIV Всероссийской научно-методической конференции «Телематика'2007» : сб. науч. тр. - 2007. -С. 430-432.

16. Будько М.Б., Будько М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // IV межвузовская конференция молодых ученых : сб. тезисов. - СПб : Изд-во СПбГУ ИТМО, 2007. - С. 60.

17. Быков С.Ф. Журавлев В.И., Шалимов И.А., Цифровая телефония, учебное пособие для ВУЗов. - М. : Радио и связь, 2003.

18. Вегешна Ш. Качество обслуживания в IP-сетях. - М., СПб, Киев : Вильяме, 2003.

19. Вентцель Е.С. Теория вероятностей: Учебник для вузов. - 9-е изд., стер. - М.: Издательский центр «Академия», 2003. - 576с., ил.

20. Витязев В.В. Вейвлет-анализ временных рядов : учебн. пособие. - СПб : Изд-во СПбГУ, 2001. - 58 с.

21. Гатчин Ю.А., Сухостат В.В. Теория информационной безопасности и методология защиты информации. - СПб: СПбГУ ИТМО, 2010. - 98 с.

22. Гирик A.B. Применение методов многокритериального прогнозирования в сетевых системах обнаружения вторжений // Известия высших учебных заведений. Приборостроение. Том 52. Номер выпуска 5. - СПб.: СПбГУ ИТМО, 2009. - С. 34 - 38.

23. Гирик A.B. Организация мониторинга в телекоммуникационных сетях с целью обнаружения информационных угроз безопасности передачи данных // Научно-технический вестник СПбГУ ИТМО № 01(59). - 2009. -С. 72-78.

24. Гирик A.B. Обнаружение информационных угроз безопасности передачи данных в телекоммуникационных сетях // Труды XV Всероссийской научно-методической конференции "Телематика'2008". -2008.-С. 178- 179.

25. Гирик A.B. Многокритериальное прогнозирование в задачах обнаружения сетевых аномалий // Труды XII международной научно-технической конференции "Теория и технология программирования и защиты информации". - СПб.: СПбГУ ИТМО, 2008. - С. 66 - 70.

26. Гирик A.B., Жигулин Г.П. Принципы формирования профиля нормального функционирования объектов мониторинга в задачах обнаружения сетевых аномалий // Журнал «Труды СПИИРАН». - СПб : СПИИРАН, 2013. - Выпуск 4(27). - С. 172 - 181.

27. Гирик A.B., Тимченко Б.Д. Инструментирование клиент-серверных приложений // Научно-технический вестник СПбГУ ИТМО. Выпуск 19. Программирование, управление и информационные технологии / Главный редактор д.т.н., проф. В.Н. Васильев. - 2005. - № 19. - С. 150 -154.

28. Гнеденко Б.В. Курс теории вероятностей. - М.: УРСС, 2001.

29. Гольдштейн Б.С. Пинчук A.B., Суховицкий A.J1. IP-телефония. - М. : Радио и связь, 2001.

30. Горелова Г.В., Кацко И.А. Теория вероятностей и математическая статистика в примерах и задачах с применением Excel. - Ростов-на-Дону: Феникс, 2006. - 475 е., ил.

31. Городецкий В.И., Котенко И.В., Карсаев О.В., Хабаров A.B. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах // ISINAS 2000 : сб. науч. тр. - СПб, 2000.

32. Гриняев С. Системы обнаружения вторжений // BYTE Россия. - 2001. -№ 10.

"'«J 'j

33. Громов Ю.Ю., Драчёв В.О., Иванова О.Г., Шахов Н.Г. Информационная безопасность и защита информации. - М.: ООО "ТНТ", 2010. - 384 е., ил.

34. Дайитбегов Д.М., Гармаш А.Н., Орлова И.В., Половникова В.А., Федосеев В.В. Экономико-математические методы и прикладные модели: Учебное пособие для вузов. -М.: ЮНИТИ, 1999. - 391 е., ил.

35. Добеши И. Десять лекций по вейвлетам : Пер. с англ. - Ижевск : НИЦ «Регулярная и хаотическая динамика», 2001. - 464 е., ил.

36. Жигулин Г.П. Прогнозирование устойчивости субъектов информационного взаимодействия. - СПб.: СПб ГУ ИТМО, 2006. - 190 е., ил.

37. Зегжда Д.П., Ивашко A.M. Основы информационной безопасности информационных систем - М.: Горячая линия - Телеком, 2000 - 449 е., ил.

38. Ивченко Г.И., Медведев Ю.И. Математическая статистика. - М.: Высшая школа, 1984.

39. Кевин И. Сонг Азбука сетевой безопасности. - 2004. URL: http://www.certification.ru/library/articlesdir/bigl67.html?30

40. Кендалл М. Дж., Стьюарт А. Многомерный статистический анализ и временные ряды. - М.: Наука, 1976. - 439 е., ил.

41. Ким Дж., Мыоллер Ч., Клекка У. и др. Факторный, дискриминантный и кластерный анализ. Под ред. И.С. Енюкова. -М.: Финансы и статистика, 1989.-215 с.

42. Коноплев В.В., Бауман М.Н., Назиов P.P. Особенности трафика инфраструктурного мониторинга в системах ГРИД-компьютинга. URL: http://www.robyshoes.com/manual_235_0_gen.html.

43. Корниенко A.A., Слюсаренко И.М. Системы и методы обнаружения вторжений: современное состояние и направления совершенствования. -2009. URL: http://www.citforum.ru/security/internet/ids_overview/.

44. Ларионцева Е.А., Марков A.C., Стельмашук H.H. Многофакторные модели планирования сертификационных испытаний программных средств защиты информации // Вопросы радиоэлектроники. - 2013. -№2.-С. 76-83.

45. Лившиц Б.С., Пшеничников А.П., Харкевич А.Д. Теория телетрафика. 2-е изд., перераб. и доп. - М.: Связь, 1979. - 224 е., ил.

46. Лукашин Ю.П. Адаптивные методы краткосрочного прогнозирования временных рядов: Учебное пособие. -М.: Финансы и статистика, 2003. -416 с., ил.

47. Лукацкий A.B. Системы обнаружения атак // Сетевой. - 2002. - № 4. -С. 45-48.

48. Мельников В.П., Клейменов С.А., Петраков A.M. Информационная безопасность. - М.: Академия, 2012. - 412 с.

49. Минами С. Обработка экспериментальных данных с использованием компьютера. - М. : Радио и связь, 1999.

50. Минько A.A. Статистический анализ в MS Excel. - М. : Вильяме, 2004. -448 е., ил.

51. Новиков Л. Адаптивный вейвлет-анализ сигналов // Научное приборостроение. - 1998. - Т. 9, № 2. - С. 35.

52. Олифер И.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. 3-е изд. - СПб.: Питер, 2007. - 960 е., ил.

53. Орлов Ю.Н., Осминин К.П. Нестационарные временные ряды. Методы прогнозирования с примерами финансовых и сырьевых рынков. - М.: Либроком, 2011. - 384 е., ил.

54. Отнес Р., Эноксон Л. Прикладной анализ временных рядов. Основные методы : Пер. с англ. - М.: Мир, 1982. - 429 с.

55. Петренко С.А. Методы обнаружения вторжений и аномалий функционирования киберсистем // Труды ИСА РАН. - 2009. - Т. 41. - с. 194-202.

56. Pao С. Р. Линейные статистические методы и их применение. - М.: . Наука, 1968.

57. Рыков A.C. Методы системного анализа: многокритериальная и нечеткая оптимизация, моделирование и экспертные оценки. - М.: НПО «Издательство «Экономика», 1999. - 191 е., ил.

58. Себер Дж. Линейный регрессионный анализ. - М.: Мир, 1980.

59. Северин В.А. Правовое обеспечение информационной безопасности предприятия. -М.: Городец. - 2000. - 192 е., ил.

60. Сердюк В. Новое в защите от взлома корпоративных систем. - М.: Техносфера, 2007. - 360 с.

61. Сигел Э.Ф. Практическая бизнес-статистика. - М.: Издательский дом «Вильяме», 2004. - 1056 е., ил.

62. Скуратов А.К. Использование временных рядов для целей статистического анализа телекоммуникационных сетей на основе исследования информационных потоков // Вестник Новгородского государственного университета. - № 34. - 2005. - с. 112-117.

63. Столлингс В. Современные компьютерные сети. 2-е издание. - СПб.: Питер, 2003. - 783 е., ил.

64. Терехов С.А. Байесовы сети // Научная сессия МИФИ 2003, V Всеросийская научно-техническая конференция «нейроинформатика-2003» : лекции по нейроинформатике. - М. : МИФИ, 2003. - Часть 1. -С. 188.

65. Тьюки Дж. Анализ результатов наблюдений. Разведочный анализ. - М.: Мир, 1981.

66. Харкевич А.А. Спектры и анализ. - М. : Связь, 1957.

67. Хеннан Э. Многомерные временные ряды. - М.: Мир, 1974.

68. Хованова Н.А., И.А. Хованов И.А. Методы анализа временных рядов : учеб. пособие. - Саратов : Изд-во Государственного УНЦ «Колледж», 2001.- 120 с.

69. Хьюбер П. Робастность в статистике. -М.: Мир, 1984.

70. Шурыгин A.M. Прикладная статистика: робастность, оценивание, прогноз. — М.: Финансы и статистика, 2000.

71. Электронный учебник по статистике StatSoft. URL: http://www.statsoit.ru/home/textbook/modules/sttimser.html.

72. Allen J., Christie A., Fithen W., McHuge J., Pickel J., Stoner E. State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. - 2000.

73. Anderson J.P. Computer Security Threat Monitoring and Surveillance. -Washing, PA, James P. Anderson Co., 1980.

74. Barbara D., et. al. ADAM: Detecting Intrusions by Data Mining // Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY. - June 5-6, 2001.

75. Cisco. The NetRanger Intrusion Detection System. URL: http://www.cisco.com/waф/public/778/security/netranger/prodlit/netra_ov.htш.

76. Cisco. NetRanger Intrusion Detection System. URL: http://www.cisco.com/waф/public/778/security/netranger/netra_ds.htm.

\

77. Cisco. NetRanger - General Concepts. URL: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm.

78. Debar H., Becker M., Siboni D. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy. - Oakland, CA, USA. -May 1992.-pp. 240-250.

79. Denning D.E. An Intrusion Detection Model // Proceedings of the Seventh IEEE Symposium on Security and Privacy. - May 1986. - pp. 119-131.

80. Dickey D.A., Fuller W.A. Distribution of the estimators for autoregressive time-series with a unit root // Journal of the American statistical association. -1979.-V. 74.-pp. 427-431.

81. Dickey D.A., Fuller W.A. Likelihood ratio statistics for autoregressive time series with a unit root // Econometrica. - 1981. - V. 49. - №. 4. - pp. 1057-1072.

82. Dowell C., Ramstedt P. The ComputerWatch Data Reduction Tool // Proceedings of the 13th National Computer Security Conference, Washington, D.C. - 1990.

83. Gripenberg G., Norros I. On the prediction of fractional Brownian motion -Applied Probability, vol. 33, pp. 400 - 410, 1995.

84. Heberlein L.T., Dias G.V., Levitt K.N., Mukherjee B., Wood J., Wolber D. A Network Security Monitor // Symposium on Research in Security and Privacy, Oakland, CA. - 1990. - pp. 296-304.

85. Ilgun K., Kemmerer R.A., Porras P.A. State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. - 1995. -Vol. 21, №3.

86. Jackson K., DuBois D.H., Stallings C.A. A Phased Approach to Network Intrusion Detection // 14th National Computing Security Conference. -1991.-Vol.1.

87. Kohlenberg T., et. al. Snort IDS and IPS Toolkit // Syngress. - 2007. - ISBN 978-1-59749-099-3.

88. Leland W.E., Taqqu M.S., Willinger W. Statistical analysis and stochastic modeling of self-similar traffic. // Proceedings of 14th International Teletraffic Congress. - 1994. - V. 1. - pp. 319 - 328.

89. Lindqvist U., Porras P. A. Detecting Computer and Network Misuse Through the Production-Based Expert System Toolset (P-BEST) // Proceedings of the IEEE Symposium on Security and Privacy. - Oakland, CA, May 9-12, 1999.

90. Lunt T.F. IDES: An Intelligent System for Detecting Intruders // Proceedings of the Symposium on Computer Security; Threats, and Countermeasures; Rome, Italy.-November 22-23, 1990.-pp. 110-121.

91. Lunt T.F. Detecting Intruders in Computer Systems // Conference on Auditing and Computer Technology, SRI International. - 1993.

92. Mukherjee B., Heberlein L.T., Levitt K.N. Network Intrusion Detection // IEEE Network. - May/June 1994. - pp. 26-41.

93. Nelson D.B. Conditional heteroscedasticity in asset returns: a new approach // Econometrica. - 1991. - V. 59. - pp. 347-370.

94. Nokes S. Estimating Network Traffic for TCP/IP Distributed Application Workload Modeling // Proceedings of International CMG Conference. -1998.-pp. 409-421.

95. Norros I., Gripenberg G. On the prediction of fractional Brownian motion // Applied Probability. - 1995. - V. 33. - pp. 400-410.

96. Papadopouli M., Shen H., Raftopoulos E., Ploumidis M., Hernandez-Campos F. Short-term traffic forecasting in a campus-wide wireless network // Proceedings of the 16th Annual IEEE International Symposium on Personal Indoor and Mobile Radio Communications, Berlin. - 2005. - pp. 349-357.

97. Paxson V. Bro: A System for Detecting Network Intruders in Real-Time, Proceedings of 7th USENIX Security Symposium. - San Antonio, TX, January 1998.

98. Porras P.A., P.G. Neumann EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy. - Oakland, CA, May 1997.

99. Scambray J., McClure S., Broderick J. Network Intrusion-Detection Solutions // InfoWorld. - May 1998.

100. Sebring M.M., Whitehurst R.A. Expert Systems in Intrusion Detection: A Case Study // The 11th National Computer Security Conference. - October, 1988.

101. Smaha S.E. Haystack: An Intrusion Detection System // The Fourth Aerospace Computer Security Applications Conference, Orlando, FL. -December, 1988.

102. Snapp S.R., et. al. DIDS (Distributed Intrusion Detection System) -Motivation, Architecture, and An Early Prototype // The 14th National Computer Security Conference. - October, 1991. - pp. 167-176.

103. Vaccaro H.S., Liepins G.E. Detection of Anomalous Computer Session Activity // The 1989 IEEE Symposium on Security and Privacy. - May, 1989.

104. Veng H.S., Chen K., Lu S. Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns // IEEE Symposium on Security and Privacy. -1990.

105. Vern P. Bro: A system for detection network intruders in real time // Proceeding of the 7th USENIX Security Symposium. - San Antonio, TX, USA. - January 1998.

106. Winkeler J.R. A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks // The Thirteenth National Computer Security Conference, Washington, DC. - 1990. - pp. 115-124.

107. Winters P.R. Forecasting sales by exponentially weighted moving averages // Management Science. - 1960. - Vol. 6. - №3.