Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Силиненко, Александр Витальевич

Актуальность темы диссертации. Деятельность большинства хозяйствующих субъектов в настоящее время проходит в условиях интеграции в глобальную информационную сферу [1], одной из составных частей которой являются распределённые системы передачи, обработки и хранения данных. В связи с этим особое внимание уделяется вопросам обеспечения информационной безопасности (ИБ) объектов различного назначения [2]. Многие из вопросов связаны с организацией противодействия реализации угроз сетевого характера, обусловленных удалёнными деструктивными воздействиями на средства вычислительной техники [3]. Наиболее подверженными такого сорта воздействиям являются информационно-вычислительные и коммуникационные ресурсы (именуемые далее сетевыми) распределённых автоматизированных систем (АС), построенных с использованием компьютерных сетей на базе стека протоколов TCP/IP (далее — IP-сети) [4]. Одной из главных причин такого положения дел является существенная неадекватность механизмов обеспечения ИБ, встроенных в базовые протоколы стека TCP/IP, современному уровню развития средств реализации угроз. По данным источника [5] наиболее распространёнными видами удалённых деструктивных воздействий являются атаки злоумышленников, обусловленные возможностью несанкционированного доступа (НСД) к сетевым ресурсам, активность вредоносного программного обеспечения и «ботнетов» в IP-сетях, атаки на отказ в обслуживании, а также спам, доля которого в настоящее время достигает 95% от общего объёма почтового трафика.

Одним из основных методов защиты сетевых ресурсов АС от распределённых деструктивных воздействий в IP-сетях является разграничение доступа (РД) [6]. Согласно принятой политике ИБ этот метод реализуется на основе идентификации, аутентификации и моделей логического разграничения доступа пользователей или процессов, действующих от их имени, к сетевым ресурсам. Попытки несанкционированного обращения к подконтрольным ресурсам при этом блокируются средствами, реализующими указанные сервисы ИБ [7]. Как правило, такими средствами являются программные или программно-аппаратные средства межсетевого экранирования и фильтрации трафика [8, 9]. Наряду с разграничением доступа пользователей к сетевым ресурсам межсетевые экраны (МЭ) обеспечивают выполнение ряда важных сервисов и функций ИБ, включая криптографическую защиту данных, сокрытие структуры защищаемой сети, мониторинг трафика и обнаружение некоторых видов сетевых атак.

Используемые в настоящее время подходы к реализации РД в IP-сетях основаны на анализе сетевого трафика на предмет его соответствия политике доступа, выраженной в виде совокупности правил фильтрации. При этом следует подчеркнуть, что возможности такого анализа не позволяют обеспечить защиту от всего существующего многообразия вредоносных сетевых воздействий. Это обусловлено постоянным совершенствованием методов и средств реализации сетевых угроз через разрешённые политикой доступа виртуальные соединения (ВС). С точки зрения задачи РД под ВС понимается информационное взаимодействие сетевых приложений, выполняющихся на различных узлах сети, посредством формирования одно- или двунаправленного потока IP-пакетов, а также логическая организация сетевых ресурсов, необходимых для обеспечения такого взаимодействия [10].

Важной особенностью, которую необходимо учитывать при обеспечении ИБ сетевых ресурсов АС, является возможность появления ситуации, при которой в момент установления ВС соответствует требованиям политики доступа, а во время обмена данными - перестаёт им соответствовать. Необходимо отметить также, что сетевые средства защиты информации сами могут оказаться объектом деструктивных воздействий. Это обстоятельство, при успешном проведении атаки, влечёт за собой серьёзные нарушения политики ИБ, которую такие средства призваны обеспечивать.

С учётом изложенного актуальной научно-технической задачей является разработка и совершенствование методов и средств РД в IP-сетях на основе выявления и блокирования ВС, представляющих угрозу ИБ сетевых ресурсов распределённых АС. Создаваемые для этого средства должны надёжно парировать направленные на них уделённые деструктивные воздействия.

В диссертационной работе предлагается подход к решению задачи РД в IP-сетях, основанный на представлении каждого виртуального соединения в виде модели состояния. Эта модель включает в себя, как детерминированные параметры сетевого, транспортного и прикладного уровней межсетевого взаимодействия, так и статистические характеристики потока IP-пакетов. Анализ параметров модели производится межсетевым экраном, функционирующим в скрытном режиме. Скрытность МЭ обеспечивается за счёт прозрачности этого устройства для безопасных ВС и отсутствия логических и физических адресов на его фильтрующих интерфейсах.

Диссертационная работа опирается на исследования таких российских и зарубежных учёных, как В.А. Васенин, В.А. Галатенко, П.Н. Девянин, Д. фон Биддер-Сенн и других.

Целью исследования является разработка подхода к решению задачи разграничения доступа в IP-сетях на основе моделей состояния виртуальных соединений.

Для достижения поставленной цели в диссертационной работе сформулированы и решены следующие задачи.

1. Разработать теоретико-множественную модель описания виртуального соединения для её использования при решении задачи разграничения доступа в IP-сетях.

2. Предложить формальное описание политики доступа к сетевым ресурсам на основе множества правил фильтрации.

3. Разработать модели состояния виртуальных соединений, учитывающие особенности используемых протоколов транспортного уровня в различных фазах межсетевого взаимодействия.

4. Сформировать методику выявления атак типа «затопление» на основе анализа статистических характеристик виртуальных соединений.

5. Разработать архитектуру системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе предложенных моделей состояния виртуальных соединений.

Объектом исследования являются виртуальные соединения, которые организуются в IP-сетях для обеспечения информационного взаимодействия сетевых приложений. Предметом исследования являются модели виртуальных соединений и их использование для решения задачи разграничения доступа в IP-сетях.

Методы исследований. Для решения сформулированных задач использовался аппарат теории множеств, теории алгоритмов, основ теории защиты информации, а также методы статистической обработки данных, процедурного и объектно-ориентированного программирования. Научные результаты и их новизна.

1. Предложена теоретико-множественная модель виртуального соединения, которая является универсальным способом описания информационного потока, возникающего при доступе пользователя к сетевому ресурсу. Такая модель может применяться при решении различных задач по обработке трафика в IP-сетях, включая разграничение доступа, маршрутизацию, биллинг, мониторинг и анализ сетевых протоколов.

2. Впервые предложена алгебра правил фильтрации, формально описывающая политику доступа к сетевым ресурсам. Алгебра позволяет в автоматическом режиме производить оптимизацию набора правил, определять его полноту и непротиворечивость.

3. Разработаны модели состояния виртуальных соединений, позволяющие контролировать корректность использования транспортных протоколов в различных фазах межсетевого взаимодействия. Модели состояния предназначены для реализации в межсетевых экранах, которые функционируют в скрытном режиме и не разрывают транспортные соединения между взаимодействующими приложениями в IP-сетях.

4. Сформирована методика выявления межсетевыми экранами атак типа «затопление», основанная на анализе статистических характеристик виртуальных соединений. Предложенная методика позволяет идентифицировать атаку для заданных значений вероятностей ошибок 1-го и 2-го рода и минимальном в среднем объёме выборки.

5. Предложена архитектура системы разграничения доступа в IP-сетях, обеспечивающая постоянный режим скрытной фильтрации трафика на основе разработанных моделей состояния виртуальных соединений. Такой режим позволяет добиться высокого уровня нечувствительности системы разграничения доступа к широкому классу удалённых атак на сетевые средства защиты информации.

Положения, выносимые на защиту.

1. Теоретико-множественная модель описания виртуального соединения как последовательности IP-пакетов, формируемых в рамках взаимодействия пользователя и сетевого ресурса.

2. Алгебра правил фильтрации для формального описания политики доступа к сетевым ресурсам.

3. Модели состояния виртуальных соединений на основе конечных автоматов, учитывающих параметры протоколов сетевого, транспортного и прикладного уровней в различных фазах межсетевого взаимодействия.

4. Методика выявления межсетевыми экранами атак типа «затопление» на основе анализа статистических параметров моделей состояния виртуальных соединений.

5. Архитектура и программная реализация системы разграничения доступа в IP-сетях, которая обеспечивает скрытную фильтрацию трафика на основе разработанных моделей состояния виртуальных соединений и подходов к определению их безопасности.

Обоснованность и достоверность представленных в диссертационной работе научных положений подтверждается согласованностью теоретических результатов с результатами, полученными при реализации, а также апробацией основных теоретических положений в печатных трудах и докладах на научных конференциях.

Практическая ценность работы. Разработанные модели, подходы и архитектура системы разграничения доступа могут быть использованы для создания средств защиты сетевых ресурсов АС, позволяющих производить многоуровневый контроль трафика и блокирование опасных виртуальных соединений в IP-сетях. В основу диссертационной работы положены результаты, полученные автором в период с 2003 по 2009 год в ходе выполнения НИР и ОКР в ЦНИИ РТК, а также на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

Внедрение результатов. Результаты проведённых исследований нашли практическое применение в перечисленных далее разработках, в которых автор принимал личное участие.

1. Разработанное программное обеспечение вошло в состав межсетевого экрана ССПТ-2, сертифицированного на соответствие требованиям руководящих документов ФСБ и ФСТЭК РФ по 3 классу защищённости. В составе систем защиты информации ССПТ-2 внедрён в эксплуатацию в сетях Федеральной таможенной службы РФ, ФГУ ГНИИ ИТТ «Информика», ОАО «ТГК-1», ЦНИИ РТК, правительства Ленинградской области и в других учреждениях

2. Модели и алгоритмы, полученные в результате работы, используются в учебном процессе при проведении лабораторных работ по курсам «Методы и средства защиты компьютерной информации», «Сети ЭВМ и телекоммуникации», а также в студенческих НИР на кафедре «Телематика» ГОУ ВПО «СПбГПУ».

3. Программная реализация алгоритмов и подходов, полученная в работе, применяется в составе системы защиты информации, используемой при проведении космического эксперимента «Контур» по управлению роботом-манипулятором, находящимся на борту Международной космической станции, через Интернет.

Апробация и публикация результатов работы. Результаты, полученные в ходе работы над диссертацией, докладывались на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 14 статей, в том числе - 3 в изданиях, публикации в которых рекомендуются Высшей аттестационной комиссией Министерства образования и науки Российской Федерации.

Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства грантов в сфере научной и научно-технической деятельности за 2008 и 2009 годы.

Структура и объем диссертации. Диссертационная работа общим объемом 144 страниц состоит из введения, четырех глав, заключения, списка литературы из 99 наименований, включает 35 рисунков и 2 таблицы.

4.4. Выводы по главе 4

На основе разработанных моделей состояния виртуальных соединений была выполнена программная реализация подсистемы фильтрации для межсетевого экрана, являющегося средством разграничения доступа в IP-сетях. В главе 4 были представлены следующие результаты данной разработки.

1. Архитектура и состав подсистемы фильтрации, назначение и требования к модулям подсистемы. Основными модулями подсистемы являются таблица векторов состояний виртуальных соединений, политика доступа в виде набора правил фильтрации, а также модули выявления аномалий, связанных с некорректным использованием транспортных протоколов и организацией удалённых деструктивных воздействий (flood-атак).

2. Разработанная подсистема фильтрации на основе моделей состояния виртуальных соединений вошла в состав программного обеспечения межсетевого экрана ССПТ-2. Представлена архитектура ПО ССПТ-2, назначение его подсистем, описание возможностей и режимов работы.

3. Представлено описание порядка настройки правил фильтрации протоколов прикладного уровня, которые необходимы для разграничения доступа в IP-сетях на этапе обмена данными в рамках установленных виртуальных соединений.

ЗАКЛЮЧЕНИЕ

В диссертационной работе решалась задача разграничения доступа в IP-сетях на основе моделей состояния виртуальных соединений. В ходе решения поставленной задачи были получены следующие выводы и результаты.

1. Операция доступа субъекта к объекту в сетевой среде сопровождается возникновением информационного потока в виде последовательности IP-пакетов, которая именуется в работе виртуальным соединением. Решение задач по обработке трафика в IP-сетях, в том числе и связанных с разграничением доступа, требуют формального описания виртуальных соединений. Предложена теоретико-множественная модель виртуального соединения. Обоснован переход к формальному описанию виртуального соединения в виде вектора состояния, который включает детерминированные и статистические параметры последовательности IP-пакетов.

2. Разграничение доступа в IP-сетях осуществляется на основе политики, регламентирующей возможность взаимодействия субъектов и объектов в сетевой среде. В работе предложено формальное описание политики доступа к сетевым ресурсам на основе алгебры правил фильтрации, которая учитывает параметры сетевых, транспортных и прикладных протоколов, используемых в виртуальном соединении.

3. Подход, связанный с анализом параметров виртуальных соединений в межсетевых экранах позволяет контролировать не только требования политики разграничения доступа, но и корректность использования протоколов стека TCP/IP. Разработанные модели состояния виртуальных соединений определяют соответствие используемых протоколов их спецификациям, тем самым, исключая возможность проведения удалённых атак, связанных с установкой некорректных значений в полях протокольных заголовков в различных фазах жизни виртуального соединения.

4. В межсетевых экранах реализуются упрощённые (по сравнению с системами обнаружения вторжений) алгоритмы выявления удалённых деструктивных воздействий в силу существенных ограничений на время принятия решения в процессе обработки IP-пакетов. Проведённое исследование статистических характеристик виртуальных соединений позволило предложить методику выявления атак типа «затопление» для межсетевых экранов на основе построенных моделей параметра, характеризующего мгновенную интенсивность пакетов для виртуальных соединений различных уровней безопасности. Методика базируется на процедуре последовательной проверки статистических гипотез с использованием критерия Вальда.

5. Детальное описание архитектуры современных межсетевых экранов является, как правило, информацией «для служебного пользования», что затрудняет анализ особенностей функционирования таких устройств. В диссертации разработана архитектура и реализованы алгоритмы системы фильтрации для межсетевого экрана, осуществляющего разграничение доступа в IP-сетях в режиме скрытного функционирования с использованием предложенных в работе моделей состояния виртуальных соединений и методики выявления атак типа «затопление».

1. Доктрина информационной безопасности Российской Федерации / М.: Ось-89, 2004. 48 с.

2. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия / О.О. Андреев и др.. Под ред. В.А. Васенина. М.: МЦНМО, 2008. - 398 с.

3. Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия / О.О. Андреев и др.. Под ред. В.А. Васенина. М.: МЦНМО, 2008. - 607 с.

4. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие / В.Ф. Шаньгин. М.: ИД «ФОРУМ»: ИНФРА-М, 2009.-416 с.

5. Рейтинг угроз информационной безопасности Электронный ресурс. / Журнал «Information Security. Информационная безопасность» — Электрон, дан. Компания «Гротек», декабрь, 2009. - Режим доступа: http://www.itsec.ru, свободный. - Загл. с экрана.

6. Галатенко, В.А. Основы информационной безопасности: учебное пособие. 4-е изд. / В.А. Галатенко. Под ред. В.Б. Бетелина. М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2008. - 205 с.

7. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей / В.В. Платонов. -М.: Академия, 2006. 240 с.

8. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Введ. 2008 г. - М.: Изд-во стандартов, 2008. - 12 с.

9. Руководящий документ ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения // Сборник руководящих документов по защите информации от несанкционированного доступа. — М.: Гостехкомиссия России, 1998.

10. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов и др.. М.: Горячая линия - Телеком, 2006. - 544 с.

11. Грушо, А.А. Теоретические основы компьютерной безопасности: учеб. пособие для студентов высш. учеб. заведений / А.А. Грушо, Э.А. Применко, Е.Е. Тимонина. М.: Издательский центр «Академия», 2009. -272 с.

12. Department of Defense Trusted Computer System Evaluation Criteria. DoD 5200.28, STD. 1993.

13. Стивене, У.Р. Протоколы TCP/IP. Практическое руководство / У.Р. Стивене / Пер. с англ. и коммент. А.Ю. Глебовского. СПб.: «Невский

14. Диалект» «БХВ-Петербург», 2003. - 672 с.

15. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. / В.Г. Олифер, Н.А. Олифер. СПб.: Питер, 2006. - 958 с.

16. Таненбаум, Э. Компьютерные сети. 4-е изд. / Э. Таненбаум. СПб.: Питер, 2003.-992 с.

17. Филимонов, А.Ю. Протоколы Интернета / А.Ю. Филимонов. СПб.: БХВ-Петербург, 2003. - 528 с.

18. Чеппел, JI. ТСРЛР.Учебный курс / Л. Чеппел, Э. Титтел / Пер. с англ. -СПб.: БХВ-Петербург, 2003. 976 с.

19. Leiner, В.М. The DARPA Internet Protocol Suite / B.M. Leiner, R. Cole, J. Postel, D. Mills,// IEEE Communications Magazine March, 1985. - vol. 23. -pp. 29-34.

20. Zimmermann, Н. OSI Reference Model The ISO Model of Architecture for Open System Interconnection / H. Zimmermann . IEEE Transaction on Communications - April, 1980. - vol. 28. - pp. 425-432.

21. Stallings, W. Data and Computer Communications. Eight Edition / W. Stallings. New Jersey: Prentice Hall, 2006. - 896 pp.

22. Уилсон, P. Введение в теорию графов / Р. Уилсон. М.: Мир, 1977. - 208 с.

23. Веревченко, А.П. Информационные ресурсы: определение и краткая характеристика / А.П. Веревченко // Прикладная информатика. — 1991. -Вып. 17. С. 5-32.

24. Девянин, П.Н. Модели безопасности компьютерных систем: учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин. М.: Издательский центр1. Академия», 2005. 144 с.

25. Корт, С.С. Теоретические основы защиты информации: учебное пособие / С.С. Корт. М.: Гелиос АРВ, 2004. - 240 с.

26. Harrison, М. Protection in operating systems / M. Harrison, W. Ruzzo, J. Ullman // Communication of ACM. August 1976. - № 19. P. 461-471.

27. Harrison, M. Monotonic protection systems / M. Harrison, W. Ruzzo // Foundation of Secure Computation. New York: Academic Press, 1978. - P. 337-365.

28. Стивене, У. UNIX. Разработка сетевых приложений. Третье издание / У.Стивене, Б.Феннер, Э.Рудофф. СПб.: Питер, 2006. - 1040 с.

29. ГОСТ 26556-85. Элементы процедур передачи информации и форматы пакетов в сетях передачи данных с коммутацией пакетов, ориентированных на виртуальные соединения. Введ. 01.07.86. Действ. -М.: Изд-во стандартов, 1985. 32 с.

30. RFC 793. Transmission Control Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, September, 1981. - Режим доступа: http://tools.ietf.org/html/rfc793, свободный. - Загл. с экрана.

31. Медведовский, И.Д. Атака через Internet. Под научной редакцией П.Д. Зегжды / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. СПб.: НПО «Мир и семья-95», 1997. 296 с.

32. RFC 768. User Datagram Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, August, 1980. - Режим доступа: http://tools.ietf.org/html/rfc768, свободный. -Загл. с экрана.

33. RFC 792. Internet Control Message Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, September, 1981. - Режим доступа: http://tools.ietf.org/html/rfc792, свободный. - Загл. с экрана.

34. Wireshark Электронный ресурс. / Wireshark: Go deep Электрон, дан. -September, 2009. - Режим доступа: http://www.wireshark.org/, свободный. -Загл. с экрана.

35. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. Введ. 30.06.00. Действ. — М.: Изд-во стандартов, 2000. — 12 с.

36. Беляев, А.В. Современное состояние проблемы обнаружения вторжений / А.В. Беляев, С.А. Петренко, А.В. Обухов // Inside. Защита информации. -2009. №4.-С. 21-31.

37. ФЦП:: Программа «Электронная Россия (2002-2010 годы)» Электронныйресурс. / Федеральные целевые программы России Электрон, дан. - ТС ВПК. - Режим доступа: http://fcp.vpk.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/ View/ 2010/134/, свободный. - Загл. с экрана.

38. Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

39. Грибунин, В.Г. Цифровая стеганография / В.Г. Грибунин, И.Н. Оков, И.В. Туринцев. М.: «Солон-Пресс», 2002. - 272 с.

40. Лапин, А.А. Обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации: дис. канд. тех. наук : 05.13.19 : защищена 24.05.07 : утв. 12.12.07 / Лапин Андрей Анатольевич. СПб, 2007. - 153 с.

41. Лапин, А.А. Анализ процессов в компьютерных сетях для обоснования выбора настроек межсетевого экрана, работающего в режиме скрытной фильтрации / А.А. Лапин // Научно-технические ведомости СПбГПУ -2006.-№2.-С. 97-101.

42. Лебедь, С.В. Межсетевое экранирование. Теория и практика защиты внешнего периметра / С.В. Лебедь. М.: Изд-во МВТУ им. Баумана, 2002. -301с.

43. Заборовский, B.C. Система семантического управления доступом к сетевым ресурсам / B.C. Заборовский, Ю.Н. Рыжов, А.В. Силиненко // Научно-технические ведомости СПбГПУ. 2008. - №2. - С. 17-21.

44. Силиненко, А.В. Система семантического управления доступом к сетевым ресурсом (на основе межсетевых экранов) / А.В. Силиненко // Компьютер Информ. 2008. - 23 июня (№12). - С. 15-16.

45. Васенин, В.А. Автоматизированная система тематического анализа информации / В.А. Васенин, С.А. Афонин, А.С. Козицын // Прил. к журн. «Информационные технологии» №4/2009: — М.: Изд-во «Новые технологии», 2009. 53 с.

46. Силиненко, А.В. Системы защиты информации на базе контроля состояний транспортных соединений / А.В. Силиненко // БДИ. Российский журнал о безопасности бизнеса и личности. — 2003. №5. - С. 39-43.

47. Stateful Inspection Technology Электронный ресурс. / Check Point® Software Techologies. Электрон, дан. — August, 2005. — Режим доступа: http://www.checkpoint.com/products/downloads/StatefulInspection.pdf, свободный. - Загл. с экрана.

48. RFC 959. File Transfer Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, October, 1985. - Режим доступа: http://tools.ietf.org/html/rfc959, свободный. - Загл. с экрана.

49. Поляков, А. Безопасность Oracle глазами аудитора. Нападение и защита / А. Поляков. М.: ДМК-Пресс, 2009. - 336 с.

50. RFC 3261. SIP: Session Initiation Protocol Электронный ресурс. / Internet Engineering Task Force, Network Working Group. Электрон, дан. - IETF, June, 2002. - Режим доступа: http://tools.ietf.org/html/rfc3261, свободный. -Загл. с экрана.

51. Worldwide Threat Management Security Appliances 2004-2008 Forecast and 2003 Vendor Shares: The Rise Of the Unified Threat Management Security

52. Устройства UTM-1 Электронный ресурс. / Check Point® Software Technologies Ltd. Электрон, дан. - 2009. - Режим доступа: http://rus.checkpoint.com/datasheets/UTM-lru.pdf, свободный. - Загл. с экрана.

53. Силиненко, А.В. Модели и методы скрытной контентной фильтрации прикладных протоколов / А.В. Силиненко // Научно-технические ведомости СПбГПУ. 2007. - №4. - С. 117-121.

54. Тюхтин, М.Ф. Системы Интернет-телевидения / М.Ф. Тюхтин. М.: Горячая линия - Телеком, 2008. - 320 с.

55. Кострикин, А.И. Введение в алгебру. Основы алгебры / А.И. Кострикин. -М.: Наука, 1994.-319 с.

56. Шафаревич, И.Р. Основные понятия алгебры / И.Р. Шафаревич. Ижевск: Ижевская республиканская типография, 1999. - 348 с.

57. Скорняков, Л.А. Элементы общей алгебры / Л.А. Скорняков М.: Наука, 1983.-253 с.

58. Босс, В. Лекции по математике. Том 6. От Диофанта до Тьюринга / В. Босс. М.: Изд-во КомКнига, 2006. - 208 с.

59. Кремер, Н.Ш. Теория вероятностей и математическая статистика. Учебник. 3-е издание / Н.Ш. Кремер. М.: ЮНИТИ-ДАНА, 2007. - 551 с.

60. ГОСТ Р ИСО/МЭК 15408-2002. Информационные технологии. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Введ. 01.01.2004. - М.: Изд-во стандартов, 2002.

61. Романцев, Ю.В. Защита информации в компьютерных системах и сетях. 2-е издание / Ю.В. Романцев, П.А. Тимофеев, В.Ф. Шаньгин / М.: Радио и связь, 2002. 328 с.

62. Wikipedia, the free encyclopedia Электронный ресурс. / Wikipedia. -October, 2009. Режим доступа: http://en.wikipedia.org/wiki/MainPage, свободный. - Загл. с экрана.

63. Bidder-Senn, Dianna von. Specification-based Firewall Testing: dissertation for degree of Doctor of the Sciences, 2007 / Dianna von Biddr-Senn . Zurich, 2007. - 156 p.

64. Кнут, Д. Искусство программирования. Том 3. Сортировка и поиск. Второе издание / Д. Кнут. М.: Издательский дом «Вильяме». 2003. - 832 с.

65. Межсетевой экран ССПТ-2. Руководство администратора. СПб.: ЗАО «НПО РТК». 2008. - 348 с.

66. Межсетевой экран ССПТ-2. Утилиты. Руководство пользователя. СПб., ЗАО «НПО РТК». 2008. - 34 с.

67. Руководящий документ ГТК РФ «Автоматизированные системы. Защитаот несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». М.: Военное издательство, 1992 г.

68. Гамаюнов, Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дис. канд. физ.-мат. наук : 05.13.11 : защищена 2007 / Гамаюнов Денис Юрьевич. М., 2007. - 88 с.

69. Wagner, A. Entropy Based Worm and Anomaly Detection in Fast IP Networks / A. Wagner, B. Plattner // Proceedings of the 14th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise, 2005. -Pp. 172-177.

70. Chan-Kyu, H. Effective Discovery of Attacks using Entropy of Packet Dynamics / H. Chan-Kyu, C. Hyoung-Kee // IEEE Network: The Magazine of Global Internetworking, Vol. 23, Sep., 2009. Pp. 4-12.

71. Шеннон, К. Работы по теории информации и кибернетике / К. Шеннон -М.: Изд. иностранной литературы, 1963. 829 с.

72. Колмогоров, А.Н. Теория информации и теория алгоритмов / А.Н. Колмогоров М.: Наука, 1987. - 304 с.

73. Zero Day Exploits: The Holy Grail Электронный ресурс. / About.com: Internet / Network Security, 2010. Режим доступа: http://netsecurity.about.eom/od/newsandeditoriall/a/aazeroday.htm, свободный. - Загл. с экрана.

74. Andersson, S. Network-Based buffer overflow detection by exploit code analysis / S. Andersson, A. Clark, G. Mohay // Proceedings of the Information Technology Security Conference, 2007. Pp. 39-53.

75. Yoon, S. Abnormal Traffic Detection using Flow-Based Traffic Measuring