Программная система и способ выявления угроз информационной безопасности в компьютерных сетях тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Селин, Роман Николаевич

ВВЕДЕНИЕ

В ходе своего развития глобальная вычислительная сеть Интернет постепенно оказывает влияние на все новые и новые сферы нашей жизни, становясь наиболее востребованным каналом социальных коммуникаций. Отрасли экономики, непосредственно связанные с информационными и телекоммуникационными технологиями, по сравнению с традиционной промышленностью, растут более быстрыми темпами и приобретают все большее значение. Происходит стремительное развитие единого глобального информационно-телекоммуникационного пространства. Появляются новые социальные группы, формируется новая идеология, новый образ жизни. К сожалению, на сегодняшний день наблюдается стремительный рост не только новых технологий, обеспечивающих информационную потребность антропогенной сферы, но и разнообразия преступных действий, осуществляемых с помощью этих же новых средств и зачастую имеющих последствия, выходящие далеко за пределы области их реализации.

Сегодня мы наблюдаем появление новых видов преступлений, область действия которых не привязана к какой-либо конкретной территории или юрисдикции - например, мошенничество и промышленный шпионаж посредством доступа в компьютерные сети предприятий и организаций.

В данной работе речь идет о системах обнаружения вредоносной деятельности в компьютерных сетях, которая может быть направлена на реализацию различных угроз информационной безопасности.

Актуальность темы определяется несколькими группами факторов. С одной стороны, системы обнаружения сетевых атак на компьютерные сети уже давно применяются как одно из средств защиты компьютерных сетей. Разработчиками систем защиты информации и консультантами в этой области активно применяются такие понятия (перенесенные из области обеспечения физической безопасности), как защита "по периметру", "стационарная" и "динамическая" защита, стали появляться собственные

термины - в виде, например, "проактивных" средств защиты информации (правда, отдельно от СО А).

С другой стороны аналитические обзоры [24,21,10] компаний, специализирующиеся в сфере Интернет-технологий и защиты информации, такие как Symantec, Trustware, Kaspersky Labs показывают, что за последние несколько лет количество атак на различные информационные системы продолжает расти, а средства, которыми пользуются злоумышленники, превращаются из простых хакерских инструментов в серьезное информационное оружие. Уже достаточно давно большая часть успешных атак осуществляется изнутри защищаемых сетей и зачастую внутренними пользователями (как умышленно, так и непреднамеренно). Такое положение вещей требует пересмотра существующего подхода к обнаружению атак, новых архитектурных решений, новых методов обнаружения атак и противодействия им.

Исследования в области обнаружения атак на компьютерные сети и системы ведутся за рубежом уже больше четверти века [36]. Исследованы признаки атак, разработаны и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты, как межсетевой, так и локальной - на логическом и даже на физическом уровнях [54]. На российском рынке широко представлены коммерческие системы обнаружения атак иностранных компаний (ISS RealSecure, Snort, Cisco и т.д.), и в тоже время почти не представлены комплексные решения российских разработчиков (несмотря на то, что например, в области антивирусной защиты российские разработчики, такие как Лаборатория Касперского, являются одними из ведущих в мире). Данное положение дел вызвано тем, что многие отечественные исследователи и разработчики реализуют СОА, сохраняя аналогии архитектур и типовых решений уже известных систем, не стараются увеличить эффективность превентивного обнаружения атак и реагирования на них.

На сегодняшний день СОА представляют собой программные и аппаратно-программные решения, которые автоматизируют процесс сбора, хранения и анализа (контроля) событий, протекающих в компьютерной системе или сети, а также самостоятельно анализируют эти события в поисках признаков нарушения информационной безопасности (далее ИБ). Данные системы защиты существуют только в качестве программ, которые могут сигнализировать о том, что в настоящий момент обнаружился определенный признак атаки. Кроме того, применяемые на сегодняшний день системы обнаружения сетевых атак решают, как правило, только одну частную задачу - защиту от внешнего нарушителя, пытающегося преодолеть используемые системы защиты информации извне локальной сети, оставляя нерешенной задачу защиты от реализации внутренних угроз

Методы обнаружения, используемые в современных СОА, недостаточно проработаны в части построения формальных моделей атаки. Сетевые атаки имеют разную природу и могут проводиться на разных уровнях информационной системы [59]. Как известно, атаки имеют не только количественные, но и качественные характеристические признаки (например, появление сигнатуры приводящей к переполнению буфера сетевой службы и дальнейшему захвату командной оболочки злоумышленником является качественным событием, о котором необходимо сигнализировать немедленно). Атаки типа 8С)Ь-инъекций или межсайтовый скриптинг (Х88), напротив, не имеют сигнатур, которые позволяли бы достаточно точным образом их обнаружить, однако часто порождают последовательность однотипных действий злоумышленника, которые в достаточном количестве можно трактовать как атаку. Злоумышленник может проводить вредоносные воздействия на разные уровни информационной подсистемы, поэтому модель атаки должна предусматривать возможные взаимосвязи разных событий с разных уровней информационной системы, а также позволять учитывать количественные и качественные признаки, характеризующие атаки.

Состояние научной разработанности темы. Поскольку количество различных типов и способов организации несанкционированных проникновений в чужие компьютерные сети за последние несколько лет катастрофически увеличилось, COA стали важным компонентом инфраструктуры безопасности большинства организаций. Этому способствует и огромное количество литературы, и стремительное появление все более изощренных и сложных подходов и методов к обнаружению атак в ИС. Согласно существующей литературе [58,61,63], все COA можно разделить на системы, ориентированные на поиск:

- аномалий взаимодействия контролируемых объектов;

- сигнатур всех узнаваемых атак;

- искажения эталонной профильной информации.

Описание "атаки", как и описание действия, не являющегося "атакой", подразумевает определение набора параметров, подлежащих наблюдению и анализу, поэтому такое разделение на классы позволяет разделить системы, анализирующие информацию из различных источников ее возникновения. Необходимо отметить, что на сегодняшний день практически отсутствуют описания и результаты исследований систем гибридного типа, а также систем, использующих информацию распределенного во времени и пространстве характера. Согласно [52], подавляющее большинство современных систем использует только сигнатурный метод распознавания атакующих воздействий или только поиск аномалий в поведении контролируемой сети.

Методологическая основа для проведения самостоятельных исследований в данной области уже сформирована, о чем говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как А. Аграновский, В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Е. Касперский, О. Макаревич, Д. Деннинг, К. Лендвер, М. Ранум, Ю. Язов и др. [37,47,48,51,60,94]. Следует отметить, что значительное внимание эти ученые уделяют решению вопросов формального описания и моделирования

систем разграничения доступа, антивирусной защите, формированию защищенных операционных систем и защите информации от несанкционированного доступа. В тоже время вопросы, связанные с решением практических задач, пока не находят должного внимания.

Вопросы создания систем обнаружения компьютерных атак рассматривались также в диссертационных работах А. Хафизова [92], Ф. Нестерука [64] и Е. Абрамова [28] (изучались возможности и способы построения нейросетевых систем обнаружения атак), А. Оголюк [65], Г.Жигулина [50], Д.Ушакова [91] и В. Сердюка [82] (анализировались и предлагались собственные математические модели защиты автоматизированных систем от информационных атак), А. Сыпина [89] и М. Гайдара [38] (разрабатывались модели частных компьютерных атак), Т. Жгун [49], Е. Тимониной [90], Б. Битжока [32] и М. Каримова [55] (проводился анализ скрытых каналов и разрабатывались частные методы построения защищенных автоматизированных систем). Кроме того, вопросы оценки эффективности систем обнаружения сетевых атак изучались в работах В. Кулакова [57] и А. Шевченко [93].

Целью работы является расширение функциональных возможностей систем обнаружения сетевых вторжений.

Объект исследования. Программные системы обнаружения и противодействия сетевым атакам.

Предмет исследования. Функционал, принципы построения и методы работы систем обнаружения сетевых атак.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных методов обнаружения атак и существующих программных и программно-аппаратных средств обнаружения атак для выявления недостатков практического применения этих средств и используемых в них методов и алгоритмов. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

1. Разработка модели атаки на основе событий безопасности и метода выявления угроз на базе событий безопасности, генерируемых разными методами обнаружения атак на разных подсистемах ИС с целью уменьшения количества ложных срабатываний.

2. Разработка модели сетевого сенсора и способа размещения сетевых сенсоров для обеспечения полноты контроля СОА в информационной системе.

3. Разработка способа обработки сетевого трафика и локальных данных с сетевых узлов, позволяющего выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сетевого сенсора.

4. Разработка алгоритма быстрого поиска сигнатур, допускающего неточное соответствие искомым образцам.

5. Разработка макета программной системы обнаружения угроз информационной безопасности, реализующей разработанный метод выявления угроз для проведения экспериментальных исследований.

Методология исследования основана на использовании математических и описательных моделей, базирующихся на использовании теории вероятностей, математической статистики, теории автоматов, а также на методах и алгоритмах защиты информации, способах обеспечения информационной безопасности в современных компьютерных сетях.

Достоверность результатов исследования обусловлена корректной постановкой задач, применением математически обоснованных методов, отсутствием противоречий с базовыми результатами аналогичных исследований, а также с экспериментальными данными, полученными в ходе испытаний разработанной программной системы.

Границы исследования. В работе не рассматриваются вопросы выявления вредоносной деятельности мошеннического характера (как составной части сетевого вторжения), эффективности работы систем распознавания информации (как составной части подсистемы обнаружения

атак из набора сетевых событий), методы и алгоритмы противодействия сетевым атакам.

Научная новизна исследования заключается в следующем:

- разработан новый метод обнаружения угроз, отличающийся от известных способом моделирования атак в виде последовательности событий безопасности с указанием фазы атаки и оценки цепочки данных событий;

- разработан способ обработки сетевого трафика и локальных событий уровня узла сети при помощи программной системы с архитектурой микроядра и набором специальных обработчиков, который отличается от известных тем, что позволяет выполнять гибкую обработку сетевого трафика и регистрацию событий безопасности различными методами выявления признаков атак с различных подсистем сети и узлов сети;

- разработана модификация алгоритма быстрого поиска Ахо-Корасик, позволяющая выполнять поиск неточного соответствия задаваемым образцам, с целью повышения адаптивности метода сигнатурного поиска.

Практическая ценность работы заключается в возможности применения на практике разработанных методов анализа сетевых событий, что позволяет повысить функциональные возможности систем обнаружения сетевых атак и уменьшить вероятность ошибки ложного срабатывания за счет: учета взаимосвязей между последовательно поступающими событиями безопасности и сопоставления их с определенной фазой типовой атаки; возможности регистрации событий безопасности различными методами обнаружения атак с различных подсистем сети и узлов сети.

Апробация результатов работы. Основные результаты исследований использованы при:

1) выполнении НИР "Мониторинг-Р", НИР "Идентификация" в ФГНУ

"НИИ "Спецвузавтоматика", г.Ростов-на-Дону;

2) выполнении НИР "Реальность-08", "Центр-1" в ГНИИИ ПТЗИ ФСТЭК

России, г.Воронеж;

3) выполнении ОКР "Заслонка", ОКР "Эстамп", в ОАО ВНИИНС,

г.Москва;

4) организации защиты сети доступа Узла Интернет ФСБ России,

г. Москва;

5) выполнении ОКР "Ребус-КР" в ФГУП НИИР, г. Москва.

Результаты исследований также докладывались на всероссийских и

международных конференциях:

1) Всероссийский симпозиум по прикладной и промышленной математике, г. Кисловодск, 2008;

2) Общероссийская научно-техническая конференция "Методы и технические средства обеспечения безопасности информации", г. Санкт-Петербург, 2007;

3)Международная научно-практическая конференция "Современные проблемы борьбы с преступностью", г. Воронеж, 2006;

4) Международная научно-практическая конференция "Методы и алгоритмы прикладной математики в технике, медицине и экономике", г. Новочеркасск, 2006;

5) Международная научно-техническая конференция "Искусственный интеллект. Интеллектуальные и многопроцессорные системы", г. Таганрог, 2005.

Публикации и личный вклад автора. По теме диссертации опубликовано 25 научных работ, из них 5 статей опубликованы в журналах из "Перечня ведущих рецензируемых научных журналов и изданий" ВАК, защищены 2 патента на изобретения в Федеральном агентстве РФ по патентам и товарным знакам, опубликована одна монография (в соавторстве) и 3 статьи в других научных журналах, зарегистрировано одно свидетельство об официальной регистрации программы для ЭВМ в реестре Федерального агентства РФ по патентам и товарным знакам.

Основные положения, выносимые на защиту:

1. Модель атаки на основе событий безопасности, учитывающая фазы развития атак на компьютерные сети, и метод выявления угроз, на основе разработанной модели, позволяющие снизить уровень ложных срабатываний СОА.

2. Метод планирования размещения сетевых сенсоров, обеспечивающий требуемую полноту контроля системы обнаружения угроз в сети при минимизации суммарной вычислительной нагрузки на сетевые узлы.

3. Способ обработки сетевого трафика и локальных данных узлов сети при помощи диспетчера микроядра и подключаемых обработчиков, позволяющий выполнять разбор сетевых протоколов произвольной вложенности и реализовать гибкую модульную архитектуру сенсоров СОА.

4. Модификация алгоритма Ахо-Корасик для выполнения поиска сигнатур в сетевом трафике, позволяющий производить поиск неточного соответствия и таким образом выполнять поиск модифицированных сигнатур.

Структура и объем диссертации. Диссертационная работа изложена на 130 страницах и состоит из введения, четырех глав и заключения.

Во введении обоснована актуальность исследуемой темы, определена цель диссертационного исследования, представлены научная новизна, предмет и объект исследования, сформулированы основные положения, выносимые на защиту.

В рамках первой главы рассмотрены основные направления научных исследований, проводимых в направлениях, близких к теме диссертационной работы, проведен обзор и анализ существующих методов обнаружения атак и реализаций систем обнаружения атак, приведено сравнение некоторых из базовых характеристик систем обнаружения атак.

По результатам анализа в конце главы сформулирована постановка задач исследования.

Глава 2 посвящена разработке модели сетевой атаки на основе событий безопасности и метода обнаружения угроз на основе данной модели. В рамках модели атака представляется как последовательность процессов, имеющая двухуровневое описание. Верхний уровень представляет последовательность этапов атаки, нижний - описание каждого этапа как последовательности или набора отдельных событий сетевой безопасности. В главе показано, что для работы такой модели необходимо предъявлять дополнительные требования к архитектуре сенсоров системы обнаружения атак, описана предлагаемая архитектура сенсора СОА и предложен алгоритм планирования размещения сенсоров СОА в сети с произвольной топологией.

В главе 3 рассматриваются вопросы разработки способа декодирования сетевого трафика и локальных событий узлов сети, позволяющего организовать эффективную программную обработку данных, а также приведена разработанная модификация алгоритма быстрого поиска Ахо-Корасик, позволяющего выполнять поиск неточного соответствия искомых сигнатур.

В главе 4 отражены вопросы разработки макета программной системы обнаружения угроз на основе разработанного метода обнаружения и способа обработки трафика и локальных событий. Программная система используется для проведения экспериментальных исследований. Первая часть экспериментальных исследований направлена на проверку работоспособности и производительности разработанных методов декодирования трафика и поиска неточного соответствия, вторая часть на сравнение разработанной программной системы с системой Snort при выявлении некоторых типовых вредоносных воздействий на узлы компьютерной сети.

Общая структура диссертационной работы приведена на рисунке 1 ниже.

4.4 Выводы

В рамках четвертой главы рассмотрены вопросы разработки архитектуры и программных модулей системы обнаружения угроз, функционирующей по принципу обработки событий безопасности.

Результаты проведения экспериментов указывают на возможность использования предложенного метода обнаружения угроз в реальных системах. Подходы, связанные с обработкой трафика и узловых событий, также показали свою эффективность, но следует отметить, что производительность реальной системы будет существенно зависеть от скорости получения и характера входных данных, а также набора дополнительно подключаемых обработчиков и используемых сигнатур. Однако видно, что запаса производительности для каналов передачи данных, используемых в современных сетях, достаточно для нормальной работы.

Сравнение функциональных возможностей разработанной системы с функциональными возможностями системы Snort показало, что выявление угроз на базе оценки последовательных воздействий, фиксируемых различными компонентами системы на разных уровнях (сетевом, операционной системы и т.п.), существенно повышает информативность сообщений при срабатывании системы и позволяет снизить общее количество ложных срабатываний.

ЗАКЛЮЧЕНИЕ

Диссертация посвящена актуальной задаче повышения функциональных возможностей современных систем обнаружения атак на компьютерные сети. В процессе проведения диссертационного исследования были решены все поставленные задачи.

В рамках решения задачи по обзору существующих подходов к обнаружению атак, методов обнаружения, программных и программно-аппаратных средств обнаружения атак, были сделаны следующие выводы:

- современные COA должны иметь возможность максимально полно контролировать события безопасности, для чего хорошо подходят COA имеющие многосенсорную, многомодульную архитектуру;

- с существующих многосенсорных COA не решается задача оптимального размещения сенсоров в сложных сетях;

- существующие методы не учитывают типовые сценарии развития сетевых атак;

- в рамках одной COA целесообразно обеспечить возможность совместного использования разных подходов к обнаружению атак;

- необходим эффективный с точки зрения возможной программной реализации метод поиска сигнатур, позволяющий обнаруживать неточные соответствия искомым образцам.

По результатам обзора и анализа были сформулированы дальнейшие задачи диссертационного исследования и последовательно приведены способы их решения.

Вторая глава посвящена решению задач разработки модели атаки и способа обнаружения угроз на базе данной модели. В рамках первой задачи предложена модель сетевой атаки, заключающаяся в представлении сетевой атаки, как последовательности событий безопасности, каждое из которых определяет одну из возможных фаз атак, и предложен метод позволяющий оценивать последовательность событий как атаку на компьютерную сеть. На основе данной модели разработана концептуальная архитектура сетевого сенсора новой системы обнаружения атак и предложен способ планирования оптимального размещения сетевых сенсоров в сложных сетях, сводящийся к решению линейной оптимизационной задачи.

В рамках третей главы предложен способ обработки сетевого трафика, позволяющий реализовать гибкую модульную архитектуру сетевого сенсора, для выполнения разбора сетевых протоколов произвольной вложенности и анализа локальных событий сетевых узлов. Разработанный способ согласуется с концептуальной архитектурой сетевого сенсора, требуемой для работы алгоритма размещения сенсоров.

Разработана модификация алгоритма быстрого поиска Ахо-Корасик, позволяющая выполнять поиск сигнатур с неточным соответствием, для случаев, когда злоумышленник может намеренно изменить атакующее воздействие. Особенностью работы систем обнаружения атак, является то, что набор сигнатур известен заранее, до старта программы, и не требует изменения в процессе работы. С этой точки зрения предложенный алгоритм может иметь эффективную программную реализацию, поскольку позволяет перед стартом построить все необходимые программные структуры и в процессе работы использовать одну копию базовой структуры (графа) для параллельной работы многих копий автоматов.

Глава 4 посвящена описанию разработки основных элементов программной системы обнаружения атак, реализующей методы обнаружения атак на основе событий безопасности и проведены экспериментальные исследования. Исследования проводились с двумя основными задачами: проверить работоспособность принятых программных решений и оценить из производительность, а так же показать, что существуют ситуации, в которых предложенный метод позволяет на качественном уровне обнаруживать атаки, которые гораздо сложнее обнаружить наблюдая за системой лишь с одного уровня.

Экспериментальные исследования, проведенные при помощи разработанной программной системы в целом показали работоспособность способа обработки сетевого трафика и локальных данных узлов сети, а так же предложенной модели оценки актуальности угроз в процессе из реализации. Скоростные характеристики подсистемы обработки и анализа сетевого трафика показывают возможность их применения в современных сетях. Характерной особенностью предложенного метода обнаружения угроз, является то, что его использование позволяет расширить функциональные возможности систем обнаружения атак, поскольку появляется возможность учета и анализа не единичных признаков атак, а целенаправленных последовательный воздействий, которые могут выявляться различными методами на разных уровнях информационной системы, что было подтверждено в ходе экспериментальных исследований. Кроме того, предложенная архитектура сетевого сенсора и метод планирования размещения сетевых сенсоров на узлах сети позволит решить практическую задачу автоматизированного конфигурирования сетевых сенсоров и размещения их на узлах сети таким образом, чтобы удовлетворить требованиям политики мониторинга для данной сети и обеспечить суммарный минимальный уровень использования вычислительных ресурсов сети за счет устранения избыточности при обработке данных, получаемых с сетевой подсистемы.

Таким образом цель диссертационного исследования можно считать достигнутой.

СПИСОК ЛИТЕРАТУРЫ

1. Aho Alfred V., Corasick Margaret J. Efficient String Matching: An Aid to Bibliographic Search // Communications of the ACM, Number 6, 1975.

2. Boyer R.S., J.S. Moore. A fast string searching algorithm // Communications of the ACM 20, October 1977.

3. Commentz-Walter, B. A string matching algorithm fast on the average. // Proc. 6th International Colloquium on Automata, Languages, and Programming 1979.

4. CVE-Common Vulnerabilities and Exposures [Электронный ресурс] / The MITRE Corporation, 2011/ Режим достуа: http://cve.mitre.org/.

5. Cormen T.M., Leiserson C.E., Rivest R.L., Stein C. Introduction to Algorithms, Second Edition // MIT Press and McGraw-Hill. Chapter 32: String Matching,

2001, pp.906-932.

6. Coull Scott, Branch Joel, Szymansky Boleslaw, Bremier Eric. Intrusion Detection: A Bioinformatics Approach/ // Computer Security Applications Conference, 2003. Proceedings. 19th Annual.

7. Common Vulnerability Scoring System (CVSS-SIG) [Электронный ресурс.]/ FIRST.org, Inc. Режим доступа: http://www.first.org/cvss/.

8. Gorodetskiy V., Kotenko I., Attacks against Computer Network: Formal Grammar-Based Framework and Simulation Tool. Conference proceedings // Fifth International Symposium. RAID 2002. Zurich, Switzerland. October

2002. Proceedings. P.219-238.

9. Karp Richard M., Rabin Michael O. Efficient randomized pattern-matching algorithms // IBM Journal of Research and Development, Volume: 31 Issue:2, 1987.

10.Kaspersky Security Bulletin 2010 [Электронный ресурс]/ Kaspersky Lab ZAO, 2010 Режим доступа http://www.securelist.com/.

11. Knuth Donald E., Morris James H., Pratt Vaughan R. Fast pattern matching in strings // SIAM Journal on Computing 6 (2), 1977

12.Lindqvist U., Porras P.A. Detecting Computer and Network Misuse with the Production-Based Expert System Toolset // IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif., 1999.

13.Sandeep Kumar and Eugene H. Spafford, "A pattern matching model for misuse intrusion detection." // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994

14. Sandeep Kumar and Eugene H. Spafford, "An application of pattern matching in intrusion detection." // Technical Report CSD-TR-94-013, The COAST Project, Dept. of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994

15. Schneier B. Modelling security threats // Dr. Dobb's Journal, December, 1999.

16.Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in

Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988

17. Sheyner, Oleg "Scenario Graphs and Attack Graphs." // PhD thesis, SCS, Carnegie Mellon University, 2004.

18. Snort IDS [Электронный ресурс] /Sourcefire. Режим доступа: http://www.snort.org/

19. Staniford-Chen S., Cheung S., Crawford R., Dilger M., Frank J., Hoagland J., Levitt K., Wee C., Yip R., Zerkle D. GrIDS - A Graph-Based Intrusion Detection System for Large Networks // 19th National Information Systems Security Conference, 1996.

20. Symantec Critical System Protection [Электронный ресурс] / Symantec. Режим доступа: http://www.symantec.com/ru/ru/business/critical-system-protection.

21. Symantec Report on AttackKits and Malicious Websites-2010 [Электронный ресурс]/ Symantec. Режим доступа: http://scm.symantec.com.

22. Teng H. S., Chen К., and Lu S. C. Adaptive real-time anomaly detection using inductively generated sequential patterns. // Proceedings of the 1990 IEEE Symposium on Research in Computer Security and Privacy, 278-284, 1990

23.Debar H., Curry D., Feinstein B. The Intrusion Detection Message Exchange Format (IDMEF) [Электронный ресурс]/ The Internet Engineering Task Force (IETF). Режим доступа, http://www.ietf.org/rfc/rfc4765.txt

24.Trustware Global Security Report 2011 [Электронный ресурс]/ Trustwave, 2010. Режим доступа: http://www.trustwave.com/GSR.

25. Vigna Giovanni, Kemmerer Richard A. NetSTAT: A Network-based Intrusion Detection Approach [Электронный ресурс] // 1998. Режим доступа: http://citeseer.ist.psu.edu.

26. Wu Sun, Manber Udi. A fast algorithm for multi-pattern searching, 1994.

27.Zhu R.F., Takaoka Т., On improving the average case of the Boyer-Moore string matching algorithm, Journal of Information Processing 10(3), 1987, pp. 173-177.

28. Абрамов E.C. Разработка и исследование методов построения систем обнаружения атак : автореф. дис. на соиск. учен. степ, к.т.н., Таганрог, гос. радиотехн. ун-т, Каф. безопасности инф. технологий, 2005.

29. Александров В.В. Показатели эффективности реализации информационных процессов в ИТКС в условиях противодействия угрозам информационной безопасности // Теория и практика инновационного развития кооперативного образования и науки: материалы международной науч.-практ. конф. - Белгород, 2010. - С.18-20.

30. Барский А.Б. Логические нейронные сети - М.: Интернет-университет информационных технологий, 2007, 352с.

31. Безобразов С.В., Головко В.А. Алгоритмы искусственных иммунных систем и нейронных сетей для обнаружения вредоносных программ // Научная сессия МИФИ - 2010. Сборник научных трудов. -М.:МИФИ, 2010. Ч.2:ХП Всероссийская научно-техническая конференция. Нейроинформатика - 2010.- с.273-290.

32.Битжок Б.Г. Повышение стойкости системы простой замены в целях улучшения защиты информации в информационно-телекоммуникационных системах общего назначения : автореф. дис. на

соиск. учен. степ. канд. техн. наук, С.-Петерб. гос. ун т информ. технологий, механики и оптики, Тверь, 2007.

33.Брюхомицкий Ю.А. Параметрический метод биометрической аутентификации пользователей информационных систем / Информационное противодействие угрозам терроризма. - 2003. №1. □ С. 42-48. - http://www.contrterror.tsure.ru/

34.Брюхомицкий Ю.А., Казарин М.Н. Биометрическая аутентификация пользователя на основе параметрического обучения классификатора / Перспективные информационные технологии и интеллектуальные системы. - 2003. №4 (16). - http://pitis.tsure.ru

35.Брюхомицкий Ю.А., Казарин М.Н. Многофакторная система парольно-клавиатурной аутентификации / Вестник БГТУ, серия "Физика, математика, информатика". - 2007. № 5. - С. 53-56.

36. Валов С.Г. Инфокоммуникационные сети будущего: архитектура сети // Вестник связи, № 2, 2003 г.

37.Вьюкова Н.И., Галатенко В.А. Информационная безопасность систем управления базами данных // Системы управления базами данных, 1996, № 1

38. Гайдар М.Б. Разработка и исследование математической модели удаленной атаки типа "подмена доверенного субъекта ТСР-соединения" с целью построения эффективного механизма защиты элементов компьютерной сети : автореф. дис. на соиск. учен. степ, к.т.н., С.-Петебург. гос. политехи, ун-т, СПб., 2004.

39. Галушкин А.И. Нейронные сети. Основы теории. - Горячая Линия -Телеком, 2010, 496с.

40.Гмурман В.Е. Теория вероятностей и математическая статистика. Учеб. Пособие для вузов. Изд. 7-е, стер. - М.: Высш. Шк., 2000. 479 с.

41. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.

42. ГОСТ Р ИСО/МЭК 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

43. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности.

44. ГОСТ Р 50275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. 1999.

45. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования,- М.: Издательство стандартов, 1995.

46. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

47.Грушо A.A., Тимонина Е.Е. Преодоление защиты от скрытого канала. Обозрение прикладной и промышленной математики, Т. 10 (3), Москва: ТВП, 2003

48.Девянин П.Н., Михальский О.О., Правиков Д.И. и др. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. - М.: Радио и связь, 2000, 192 с.

49.Жгун Т.В. Модель скрытой передачи информации в каналах связи : Автореф. дис. на соиск. учен. степ, к.ф.-м.н., Новгор. гос. ун-т им. Ярослава Мудрого, Великий Новгород, 2003.

50. Жигулин Г.П. Метод и модель ресурсов поля угроз системы защиты информации сетевых автоматизированных систем : Автореф. дис. на соиск. учен. степ, к.т.н., С.-Петерб. гос. ин-т точной механики и оптики, СПб., 2001.

51. Зегжда Д.П. Отечественная защищенная ОС Феникс // М: ОСП, Открытые системы №4, 2001

52. Зима В.М., Молдовян A.A., Молдовян H.A. Безопасность глобальных сетевых технологий // СПб.: БХВ-Петербург, 2000

53.Искусственные иммунные системы и их применение / Под ред. Д. Дасгупты. Пер. с англ. под ред A.A. Романюхи. - М. Физматлит, 2006 -344с.

54.Карве А. Обнаружение атак как средство контроля за защитой сети // LAN/Журнал сетевых решений № 05/99.

55. Каримов М.М. Организация корпоративных компьютерных сетей с интегрированной системой защиты информации : Автореф. дис. на соиск. учен. степ, д.т.н., М-во высш. и среднего спец. образования Респ. Узбекистан, Ташкент, гос. техн. ун-т им. Абу Райхана Беруни, Ташкент, 2003.

56. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности, пер. с анг. - НИП "Информзащита", 1999

57. Кулаков В.Г. Управление региональной системой защиты информации на основе мониторинга показателей информационной безопасности : Автореф. дис. на соиск. учен. степ. канд. техн. наук, Воронеж, гос. техн. ун-т, Воронеж, 2000.

58. Лукацкий А. Адаптивное управление защитой // "Сети", №10, 1999 г.

59. Лукацкий А. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. - 624с.

60.Макаревич О.Б., Пащенко В.А., Шилов А.К. САПР служб безопасности защищенных протоколов, ТРТУ, 1999.

61.Медведовский И.Д., Семьянов Б.В., Леонов Д.Г., Лукацкий A.B. Атака из Internet.- М.:Солон-Р, 2002. - 368с.

62. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Руководящий документ ФСТЭК России. 2008г.

63. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита. Учебное пособие для вузов // М.: ЮНИТИ-ДАНА, 2000.

64.Нестерук Ф.Г. Разработка модели адаптивной системы защиты информации на базе нейро-нечетких сетей : автореф. дис. на соиск. учен.

степ. канд. техн. наук, С.-Петерб. гос. ун-т ннформ. технологий, механики и оптики, Санкт-Петербург, 2005.

65.0голюк A.A. Метод и механизмы защиты информационных систем уровневым контролем списков санкционированных событий : Автореф. дис. на соиск. учен. степ, к.т.н., С.-Петерб. Гос. Ин-т Точ. Механики и Оптики (Техн. Ун-т), СПб., 2002.

66. Олифер В., Олифер Н. Компьютерные сети. - Спб: Издательство "Питер", 1999. 672с.

67.Польман Н., Кразерс Т. Архитектура брандмауэров для сетей предприятия: Пер. с англ. Издательство Вильяме, 2003 - 432 стр.

68. Программно-аппаратный комплекс Symantec Network Security 7100. [Электронный ресурс] / Symantec. Режим доступа: http ://www. Symantec. com/region/ru/product/SNS_71 xx. html.

69. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. // Гостехкомиссия России. - М.,1992.

70. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. // Гостехкомиссия России.-М.,1992.

71. Сборник руководящих документов по защите информации от несанкционированного доступа. // Гостехкомиссия России. - М.,1998.

72. Селин Р.Н. Алгоритм распознавания сетевых атак на основе ретроспективного анализа // Методы и алгоритмы прикладной математики в технике, медицине и экономике: Материалы VI Международной науч.-прак. конф., часть 3., г. Новочеркасск, 2006 г.: в Зч. / Юж.-Рос. гос. техн. ун-т (НПИ). Новочеркасск: ЮРГТУ, 2006. - Ч.З., стр. 4-6.

73. Селин Р.Н. Алгоритм распознавания сетевых атак с мониторингом подозрительной активности и ретроспективным анализом // Известия высших учебных заведений. Северо-Кавказский регион. Технические науки. Приложение №1, 2006, стр. 15-20.

74. Селин Р.Н. Модель высокоуровневого распознавания подозрительных сетевых событий для распределенных систем обнаружения атак // Обозрение прикладной и промышленной математики. Том 13, выпуск 2. Тезисы докладов. ч.2,2006 стр. 353-354.

75. Селин Р.Н., Аграновский A.B., Алиев А.И., Реаплов С.А., Хади P.A. Способ обработки сетевых пакетов для обнаружения компьютерных атак // Патент на изобретение № 2304302. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, опубликовано 10.08.2007.

76. Селин Р.Н., Алиев А.Т., Балакин A.B., Хади P.A. Способ маркировки и способ проверки маркировки строк ответов на запросы пользователей к базе данных с использованием цифровых водяных знаков. Патент на изобретение № 2338248. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, опубликовано 10.11.2008.

77. Селин Р.Н., Букатов A.A., Шагов Т.Н., Шаройко О.В. Комплекс программных средств Traffic Accounter для сбора и обработки качественных и количественных характеристик пакетов, прошедших через IP сеть. Версия 1.1. Свидетельство об официальной регистрации программы для ЭВМ N 2005612109, Федеральная служба по интеллектуальной собственности, патентам и товарным знакам -М.,19.08.2005.

78. Селин Р.Н., Костюхин A.A. Метод быстрого поиска сигнатур в сетевом трафике // Современное состояние и приоритеты развития фундаментальных наук в регионах". Труды III Всероссийской научной конференции молодых ученых и студентов. Краснодар: Просвещение-Юг. 2006, стр. 215-216.

79. Селин Р.Н., Лежнев A.B., Мамай В.И., Хади P.A. Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей. // Патент на изобретение № 2314562, Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, опубликовано 10.01.2008 г.

80. Селин Р.Н., Лежнев A.B., Хади P.A. Двухуровневый анализ событий в информационных системах // Журнал "Электросвязь", №11/2007, с. 43-45.

81. Селин Р.Н.:, Карюкова М.Б., Чурилов С.А. Обнаружение каналов утечек информации в корпоративной сети, использующих протокол HTTP. // IX Всероссийский симпозиум по прикладной и промышленной математике (весенняя сессия) Региональный макросимпозиум "Насущные задачи прикладной и промышленной математики в Ставрополье", 2008.

82. Сердюк В.А. Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак : автореф. дис. на соиск. учен. степ. канд. техн. наук, Моск. гос. ин-т электроники и математики, 2004.

83. STAT IDS [Электронный ресурс] / Department of Computer Science, University of California, Santa Barbara. - Режим доступа: http ://www. es .ucsb. edu/~seclab/proj ects/stat/index.html.

84. The Bro Network Security Monitor [Электронный ресурс] / Режим доступа: http://bro-ids.org/.

85. Cisco Intrusion Prevention System (IPS) [Электронный ресурс] /Cisco Systems - Режим доступа http://www.cisco.com/en/US/products/ps5729/Products_Sub_Category_Home. html

86. IBM RealSecure Network (IDS) [Электронный ресурс] / IBM. Режим доступа: http://www.ibm.com/ru/services/iss/realsecure_network.html.

87. Open Source Host-based Intrusion Detection System (OSSEC) [Электронный ресурс]/ Trend Micro. Режим доступа: http://www.ossec.net/.

88. Степашкин В.М. Модели и методика анализа защищенности компьютерных сетей на основе построение деревьев атак: Автореф. дис. на соиск. учен. степ, к.т.н., С.-Петерб. институт информатики и автоматизации РАН, СПб., 2007.

89.Сыпин A.A. Модель и методика обнаружения несанкционированных действий и атак в сетях TCP/IP : автореф. дис. на соиск. учен. степ. канд. техн. наук, Тул. гос. ун-т, 2006.

90.Тимонина Е.Е. Анализ угроз скрытых каналов и методы построения гарантированно защищенных распределенных автоматизированных систем : Автореф. дис. на соиск. учен. степ, д.т.н., Рос. НИИ информ. технологий и систем автоматизир. проектирования, М., 2004.

91. Ушаков Д.В. Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы : автореф. дис. на соиск. учен. степ. канд. техн. наук, Моск. инженер.-физ. ин-т (гос. ун-т)], М., 2005.

92.Хафизов А.Ф. Нейросетевая система обнаружения атак на www-сервер : Автореф. дис. на соиск. учен. степ, к.т.н., Уфим. гос. авиац.-техн. ун-т, 2004.

93. Шевченко A.C. Исследование и разработка комплексной методики обнаружения сетевых вторжений : автореф. дис. на соиск. учен. степ, канд. техн. наук, Моск. гос. ин-т электроники и математики, Москва, 2007.

94.Язов Ю.К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах: Монография. Ростов-на-Дону: Изд-во СКНЦ ВШ, 2006. 240с.: ил.