Разработка методов и программных средств выявления аномальных состояний компьютерной сети тема диссертации и автореферата по ВАК РФ 05.13.13, кандидат технических наук Дружинин, Евгений Леонидович

Актуальность проблемы. Важнейшим атрибутом нашего времени является глобальная информационная интеграция, основанная на построении компьютерных сетей масштаба предприятия и их объединении посредством сети Internet.

Сложность логической и физической организации современных сетей приводит к объективным трудностям при решении вопросов управления и защиты сетей. В процессе эксплуатации компьютерных сетей администраторам приходится решать две главные задачи:

• Диагностировать работу сети и подключенных к ней серверов, рабочих станций и соответствующего программного обеспечения;

• Защищать информационные ресурсы сети от несанкционированной деятельности хакеров, воздействий вирусов, сетевых червей и т.п., то есть обеспечивать их конфиденциальность, целостность и доступность.

При решении задач, связанных с диагностикой и защитой сетевых ресурсов, центральным вопросом является оперативное обнаружение состояний сети, приводящих к потере полной или частичной ее работоспособности, уничтожению, искажению или утечке информации, являющихся следствием отказов, сбоев случайного характера или результатом получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности. Раннее обнаружение таких состояний позволит своевременно устранить их причину, а также предотвратит возможные катастрофические последствия.

Для их обнаружения используется большой спектр специализированных систем. Так, при решении проблем диагностики сетей применяются средства систем управления, анализаторы сетевых протоколов, системы нагрузочного тестирования, системы сетевого мониторинга. Проблемы защиты информационных ресурсов сетей решаются с помощью межсетевых экранов (firewall), антивирусов, систем обнаружения атак (IDS), систем контроля целостности, криптографических средств защиты.

Характерными особенностями использования этих систем является либо их периодическое и кратковременное применение для решения определенной проблемы, либо постоянное использование, но с довольно статическими настройками. Так, методы анализа, используемые в современных системах, направлены на обнаружение известных и точно описанных типов воздействий, но зачастую оказываются не в состоянии обнаружить их модификации или новые типы, что делает их использование малоэффективным.

Таким образом, на сегодняшний день очень актуальной задачей является поиск более эффективных методов выявления недопустимых событий (аномалий) в работе сети, являющихся следствием технических сбоев или несанкционированных воздействий. Основным требованием к этим методам является возможность обнаружения произвольных типов аномалий, в т.ч. новых, а также воздействий, распределенных во времени.

Это направление научных исследований является очень молодым. Первые работы, посвященные данной проблеме, были опубликованы в 90-х годах прошлого столетия.

В настоящий момент, исследования в этой области ведутся как крупными зарубежными коммерческими компаниями (Cisco [18,19], Computer Associates [21], ISS [74], Symantec [80] и др.), так и университетскими научно- исследовательскими центрами (Columbia University [26,50,70], Florida Institute of Technology [17,56,57,58], Purdue University [46], Ohio University [5,13,72,73] и др.). К сожалению, в свободном доступе представлено очень мало информации по аналогичным российским исследованиям.

Общий подход, лежащий в основе этих исследований, заключается в поиске методов анализа, позволяющих выявлять аномальные состояния информационных ресурсов в виде отклонений от обычного («нормального») состояния. Эти отклонения могут являться результатами сбоев в работе аппаратного и программного обеспечения, а также следствиями сетевых атак хакеров. Такой подход теоретически позволит обнаруживать как известные, так и новые типы проблем. От эффективности и точности аппарата, определяющего «нормальное» состояние и фиксирующего отклонение, зависит в целом эффективность решения вопросов диагностики и защиты сетевых ресурсов.

Особую важность на текущий момент представляет проблема обнаружения аномальных состояний в работе сети, имеющих распределенный во времени характер (APB). АРВ могут являться следствиями: специально маскируемых сетевых атак злоумышленников, скрытых аппаратно-программных сбоев, новых вирусов и т.п.

Цели работы. Целью работы являлась разработка методики выявления АРВ компьютерной сети на основе анализа сетевого трафика и создание программной системы, реализующей предложенную методику.

Основные направления работы сводятся к решению следующих задач:

• Разработка принципов структуризации сетевого трафика;

• Выбор объекта анализа, обоснование выбора;

• Разработка принципов и механизмов формирования характеристик объекта анализа;

• Исследование статистических свойств сетевых потоков, характеризующих поведение объекта анализа на сетевом и транспортном уровнях TCP/IP, выявление закономерностей в их поведении и степени влияния на них АРВ;

• Разработка математической модели объекта анализа, позволяющей задать шаблон его «нормального» поведения;

• Разработка СПР, позволяющей фиксировать переход объекта анализа в аномальное состояние (по степени отклонения от шаблона «нормального» поведения) и корректировать собственные параметры при объективно «нормальных» изменениях в сетевой среде (свойство адаптивности);

• Разработка принципов использования математической модели объекта анализа и системы принятия решений для выявления сетевых аномалий;

• Разработка архитектуры программной системы, реализующей предложенную методику;

• Создание прототипа САВС.

Сетевой трафик выбран в качестве информационных данных для выявления сетевых аномалий не случайно. Он является наиболее полным источником данных о происходящих в сети взаимодействиях.

Другими источниками данных могут выступать данные, накапливаемые активным сетевым оборудованием в собственных базах MIB (Management Information Base) или данные, содержащиеся в лог-файлах операционных систем и приложений. Это также очень важные источники информации, но эффективность выявления аномалий на их основе будет ниже вследствии изначально более низкой информационной насыщенности.

Выбор TCP/IP в качестве анализируемых протоколов обусловлен их повсеместным распространением при построении современных сетей.

Методы исследований. В теоретических исследованиях применены современные методы теории вероятностей, математической статистики, кластерный анализ.

При разработке программной системы использовались методы объектно-ориентированного проектирования и программирования.

Достоверность научных результатов. Достоверность научных результатов подтверждена результатами статистических исследований реального сетевого трафика, а также результатами внедрения и практического использования в действующих компьютерных сетях.

Научная новизна диссертации заключается в следующем:

1) Впервые предложена методика решения важной научно-технической задачи выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Создана новая математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Предложена система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Получены сравнительные результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений.

Замечание. В источниках, доступных в свободном доступе, автору не удалось обнаружить результатов исследований, делающих акценты на выявлении АРВ на основе анализа сетевого трафика. Поэтому можно утверждать, что приводимые в работе результаты получены впервые.

5) Разработаны и обоснованы методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Предложена распределенная архитектура программной системы, автоматизирующая методику выявления АРВ;

7) Разработаны и реализованы алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами программной системы. Создан ее прототип.

Положения, выносимые на защиту:

1) Методика выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений.

5) Методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Архитектура распределенной программной системы, автоматизирующая методику выявления АРВ;

7) Алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами системы.

Практическая ценность. Основной практический результат: создание научно - обоснованной методики выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер.

Разработаны и внедрены алгоритмы структуризации сетевого трафика и формирования интегральных показателей функционирования СУ.

Разработаны и внедрены алгоритмы визуализации истории сетевых взаимодействий.

Разработаны и внедрены алгоритмы решающих правил для оценивания степени аномальности поведения сетевого устройства на временных интервалах различной длительности.

Предложенные методы могут быть использованы при построении систем, предназначенных для выявления аномальных состояний компьютерных сетей.

Реализация результатов. Методы и алгоритмы, предложенные в диссертации, были реализованы в виде программного комплекса, получившего название «Система Аудита Вычислительной Сети» (САВС).

САВС внедрена в сети МИФИ, а также в представительствах коммерческих компаний "Beauty&Co" и "Aria" (что подтверждено соответствующими актами о внедрении (см. приложение 8)).

Апробация работы. Основные положения и результаты диссертации докладывались и обсуждались:

• На научных сессиях МИФИ с 2001 по 2004 гг.;

• На Х1-ом и ХН-ом Международных научно-технических семинарах «Современные технологии в задачах управления, автоматики и обработки информации» (г. Алушта 2002, 2003 гг.);

• Работа участвовала в конкурсе молодых ученых «Ползуновские гранты'2002» (Барнаул, 2002г.) и стала ее лауреатом. В результате был получен грант на проведение исследовательских работ от Фонда поддержки развитию малых форм предприятий в научно-технической сфере.

• На ХШ-ой ежегодной конференции «Техникон'2003» (г.Москва 2003г.).

• В начале 2004 года данная работа в виде проекта по созданию программного комплекса «Система Аудита Вычислительной Сети» прошла конкурсный отбор по программе «СТАРТ», проводимой Фондом поддержки развитию малых форм предприятий в научно-технической сфере для поддержки малых предприятий, занимающихся наукоемкими разработками. Для ее реализации в виде инновационного коммерческого программного продукта были выделены финансовые средства. В настоящий момент продолжается реализация и доведение до совершенства всех предложенных в работе идей в рамках этой программы.

Публикации. По теме диссертации опубликовано 13 печатных работ.

Далее кратко изложено содержание диссертации.

Первая глава посвящена анализу текущего состояния решения в мире проблемы выявления аномальных состояний компьютерный сетей на основе анализа сетевого трафика.

В ней приводится классификация известных типов сетевых аномалий, анализируются результаты анализа методов обнаружения аномалий, реализованных в коммерческих системах.

Рассматриваются и анализируются доступные в свободном доступе результаты исследований по данной проблеме в крупнейших западных научно-исследовательских центрах и университетах.

Приводятся выявленные недостатки существующих подходов и методов обнаружения сетевых аномалий и формулируются основные требования к программной реализации системы выявления аномальных состояний компьютерной сети.

Вторая глава посвящена разработке методики выявления распределенных во времени аномалий.

В ней рассматриваются и обосновываются входные данные для обнаружения АРВ, принципы структуризации сетевого трафика, общие идеи выявления АРВ, принципы создания и модификации шаблона «нормального» поведения сетевых устройств, ключевые идеи, связанные с автоматизацией методики в целом.

Третья глава посвящена разработке системы принятия решений (СПР), реализующей принципы выявления АРВ.

В ней приводятся результаты исследований математических свойств характеристик сетевых устройств. Исследования осуществлялись на основе реальных данных, полученных при захвате и структуризации трафика в течении нескольких месяцев в сети МИФИ с помощью прототипа САВС. Анализ был направлен как на выявление свойств отдельных характеристик, так и их совокупности.

Кроме этого, в третьей главе предлагаются и обосновываются алгоритмы работы СПР по выявлению распределенных во времени аномалий сетевых устройств, приводится оценка их эффективности и рассматриваются результаты проверки их реальной работоспособности.

Четвертая глава диссертационной работы описывает практические аспекты разработки и создания Системы Аудита Вычислительной Сети (САВС). В этой главе рассматривается программная архитектура САВС.

Детально описываются отдельные программные компоненты САВС: сетевой агент, система управления ресурсами (СУР), система отображения и анализа данных (СОАД).

Рассматриваются вопросы программной реализации, связанные с воплощением конкретных положений методики и оптимизацией работы отдельных компонент.

Приводятся результаты опытной эксплуатации САВС.

Основные результаты работы заключаются в следующем:

1. Предложена методика выявления аномалий, распределенных во времени (АРВ), на основе формирования (и дальнейшей модификации) шаблона нормального поведения (ШНП) сетевого устройства (СУ) и выявления отклонений от него, указывающих на наличие АРВ.

2. Предложена новая формальная модель сетевого устройства (МСУ), представляющая собой способ формирования его нормированных интегральных показателей, являющихся входными данными для процессов выявления АРВ. Она обобщает и существенно расширяет известные на сегодняшний день модели. В рамках МСУ определены наиболее информативные наборы характеристик СУ, определяющие его взаимодействия по протоколам IP, TCP, UDP и ICMP.

3. Разработана система принятия решений (СПР), включающая в себя алгоритмы автоматизированного выявления АРВ в отношении СУ. На реальном сетевом трафике и имитационных примерах АРВ оценена ее эффективность по четырем критериям (точность, полнота, вероятности ошибок 1-го и 2-го рода). Так, полученные оценки точности находятся в пределах 0,54+0,72, полноты -0,70+0,85, вероятности ложного срабатывания (1-го рода) - 0,08+0,17, вероятности пропуска АРВ (2-го рода) - 0,14+0,26. Полученные оценки достаточно хорошо согласуются с оценками методов зарубежных исследователей, направленных на выявление кратковременных аномалий, и по отдельным критериям превосходят их.

4. Выявлено, что современные методы обнаружения аномалий обладают принципиальными недостатками и на сегодняшний день не существует единой теории эффективного обнаружения АРВ.

5. Сформулированы основные требования к методике выявления АРВ и ее программной реализации, предусматривающие возможность выявления произвольных типов АРВ (в т.ч. неизвестных) и позволяющие сетевому администратору эффективно использовать соответствующий инструмент для решения вопросов диагностики и защиты информационных ресурсов компьютерной сети.

6. Предложены принципы структуризации сетевого трафика, позволяющие сохранять служебную информацию из заголовков сетевых пакетов без потери информативности с точки зрения выявления АРВ, и формировать на их основе интегральные показатели СУ. Предложенные принципы позволяют сохранять только 1-г5% данных от первоначального объема сетевого трафика.

7. Получены результаты сопоставления статистических свойств интегральных показателей СУ в случае его «нормальной» работы и при наличии АРВ. Исследования проводились на основе реального сетевого трафика. Проводился анализ как отдельных характеристик, так и их совокупности в целом. Полученные результаты позволили предложить алгоритмы выявления АРВ для СПР.

8. Предложен метод создания и актуализации ШНП, который позволил реализовать принцип адаптивности методики к объективно нормальным изменениям в сети. Это удалось достичь на основе модифицирования ШНП в соответствии с результатами анализа.

9. Продемонстрирована работоспособность алгоритмов СПР на основе реального сетевого трафика коммерческой компании "Beauty&Co" (выявлено три вирусных эпидемии, являвшихся следствиями различных модификаций сетевого червя MyDoom).

10. Разработан прототип программной системы САВС, реализующий методику. В ходе проектирования и создания САВС предложены программные решения по повышению эффективности работы ее отдельных компонент. САВС является системой, органично дополняющей функциональность систем, используемых в настоящий момент в сетях для решения вопросов диагностики и защиты, и позволяет существенно повысить эффективность решения этих вопросов.

11. Прототип САВС запущен в опытную эксплуатацию в сети МИФИ. В составе САВС работают два сетевых агента. Один из них анализирует канал, соединяющий Лабораторию Сетевых Технологий ЦНИТ МИФИ с сетью МИФИ, а другой - канал, соединяющий сеть МИФИ с провайдером услуг

Internet. Кроме того, САВС внедрена в представительствах коммерческих компаний "Beauty&Co" и "Aria". Это подтверждено соответствующими актами о внедрении (см. приложение 8).

Большая часть приведенных результатов получена автором лично, ряд программных модулей САВС был создан в рамках студенческих учебно-исследовательских и дипломных работ, проводимых под руководством автора в течении 2000-2004 гг.

Полученные результаты имеют большую теоретическую и практическую значимость в связи с высокой актуальностью данной проблемы.

Промежуточные результаты, получаемые в ходе выполнения этой работы были неоднократно представлены автором на научной сессии МИФИ в 20002004гг., XI -ом Международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» в 2002г., XII -ом Международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» в 2003г.

Автор имеет серию публикаций, в которых отражены отдельные как теоретические, так и практические составляющие всей диссертационой работы.

В 2002 году автор стал лауреатом конкурса молодых ученых «Ползуновские гранты'2002», был получен грант на проведение исследовательских работ от Фонда поддержки развитию малых форм предприятий в научно-технической сфере.

В начале 2004 года данная работа в виде проекта по созданию «Системы Аудита Вычислительной Сети» прошла конкурсный отбор по программе «СТАРТ», проводимой Фондом поддержки развитию малых форм предприятий в научно-технической сфере для поддержки малых предприятий, занимающихся наукоемкими разработками. Для ее реализации в виде инновационного коммерческого программного продукта были выделены финансовые средства. В настоящий момент продолжается реализация и доведение до совершенства всех предложенных в работе идей в рамках этой программы.

Заключение

В результате проведенных исследований решен ряд важных задач, составляющих проблему выявления аномальных состояний в работе компьютерной сети на основе анализа сетевого трафика.

1. Abry P., Veitch D. Wavelet analysis of long range dependent traffic // 1.EE Transactions on Information Theory, vol.44, no.l, 1998

2. Agilent WireScope 350 Specification, http://we.home.agiIent.com

3. Anderson D., Lunt T.F., Lavitz H., Tamaru A., Valdes A. Detecting Unusual Program Behavior Using the Statistical Component of the Next-generation Intrusion Detection Expert System (NIDES) // SRI Computer Science Laboratory, 1995.

4. Axelsson S. Intrusion Detection Systems: A Survey and Taxonomy. Chalmers University of Technology, Sweden, 2000

5. Balupari R. Real-time network-based anomaly intrusion detection. Ohio University, 2002.

6. Barbara D., Wu N., Jajodia S. Detecting Novel Network Intrusions Using Bayes Estimators // First SIAM Conference on Data Mining, Chicago,2001

7. Barford P., Plonka D. Characteristics of Network Traffic Flow Anomalies. University of Wisconsin, Madison, 2001

8. Barford P., Kline J., Plonka D., Ron A. A Signal Analysis of Network Traffic Anomalies // In Proceedings of ACM Sigcomm Internet Measurement Workshop, 2002

9. Big Brother. Web-based systems and network monitor, http://bb4.com

10. Bivens A., Palagiri C., Smith R., Szymanski В., Embrechts M. Network-Based Intrusion Detection Using Neural Networks. Rensselaer Polytechnic Institute Troy, New York, 2002

11. Bloedorn E., Data Mining for Network Intrusion Detection: How to Get Started // MITRE Technical Report, 2001

12. Brutlag J. Aberrant behavior detection in time series for network monitoring // LISA XIV, New Orleans, 2000

13. Bykova M. Statistical analysis of malformed packets and their origins in the modern Internet. School of Electrical Engineering & Computer Science Ohio University, 2002

14. Cabrera J., Lewis L., Qin X., Lee W., Prasanth R.K., Ravichanran В., Mehra R.K. Proactive Detection of Distributed Denial of Service Attacks using MIB Traffic

15. Variables A Feasible Study, Proc. 7th IFIP/IEEE International Symposium on Integrated Network Management, Seatle, 2001

16. Cannady J. Next Generation Intrusion Detection: Autonomous Reinforcement Learning of Network Attacks // 23rd National Information Systems Security Conference, Baltimore, 2000

17. Cannady J. Artificial Neural Networks for Misuse Detection. School of Computer and Information Sciences Nova Southeastern University Fort Lauderdale, 1998

18. Chan P.K., Mahoney M.V., Arshad M.H. A Machine Learning Approach to Anomaly Detection // Technical report, Florida Institute of Technology, Melbourne, 2003

19. Cisco IDS 4200 Series Sensors, http://www.cisco.com/en/US/products/hw

20. Cisco Integrated Firewall Solutions, http://www.cisco.com/en/US/products/hw

21. Cohen W.W. Fast effective rule induction. In Machine Learning // The 12th International Conference, Lake Taho, 1995

22. Computer Associates eTrust Intrusion Detection 1.5. http://ca.com/channel/emea/mktg/datasheetsnew/etrust

23. Das K. Protocol Anomaly Detection for Network-based Intrusion Detection. SANS Institute,2002

24. Dasgupta D., Forrest S. Artificial Immune Systems in Industrial Applications // International conference on Intelligent Processing and Manufacturing Material (IPMM), Honolulu, 1999

25. Enterasys Networks. Intrusion Detection Methodologies Demystified, http://www.enterasys.com/products

26. Enterasys Networks. Dragon Intrusion Defence System Network Sensor User's Guide. Version 6.3, http://www.enterasys.com, 2004

27. Eskin E. Sparse Sequence Modeling with Applications to Computational Biology and Intrusion Detection. PhD thesis, Columbia University, 2002

28. FAQ: Network Intrusion Detection Systems, http://www.robertgraham.com/pubs

29. Firewall-1, http://www.checkpoint.com/products

30. Ftest 3.2. Руководство пользователя, http://www.prolan.ru/pdf/ftest

31. Gerken M. Statistical-Based Intrusion Detection. Air Force Rome Laboratory. Carnegie Mellon University. 2004.

32. Ghosh A., Schwartzbard A. A Study in Using Neural Networks for Anomaly and Misuse Detection // Proceedings of the 8th USENIX Security Symposium. 1999

33. Gonzalez F., Dasgupta D. Neuro-Immune and Self-Organizing Map Approaches to Anomaly Detection: A Comparison, The University of Memphis and Universidad Nacional de Colombia. 2002

34. Hood Cynthia S., Ji Chanyi. Proactive Network Fault Detection. Illinois Institute of Technology, Chicago, 1997

35. How Tripwire Works, http://www.tripwire.com/products

36. Iris Network Traffic Analyzer, http://www.eeye.com/~data

37. Jakobson G., Weissman M.D. Alarm correlation I I IEEE Network, vol.7, 1993

38. Jung J., Krishnamurthy В., Rabinovich M. Flash crowds and denial of service attack: Characterization and implications for CDNs and web sites, in WWW-02, Hawaii, 2002

39. K2. ADMmutate README. ADMmutate source code distribution. Version 0.8.4. URL: http://www.ktwo.ca/c/ADMmutate-0.8.4.tar.gz. 2002.

40. Katzela I., Schwartz M. Schemes of fault identification in communications networks // IEEE/ACM Transactions on Networking, vol.3, 1995

41. KDD99. KDD99 cup dataset. http://kdd.ics.uci.edu/databases/kddcup99/ kddcup99.html

42. Kendal K. A database of computer attacks for the evaluation of Intrusion Detection Systems. Master's Thesis, Massachusetts Institute of Technology, 1998.

43. Kim J., Bentley P.J. Towards an Artificial Immune System for Network Intrusion Detection: An Investigation of Dynamic Clonal Selection. Department of Computer Science King's College London, 2002

44. Kim J. Integrating Artificial Immune Algorithms for Intrusion Detection. PhD Thesis, Department of Computer Science, University College London, 2002.

45. Krugel C., Toth Т., Kirda E. Service Specific Anomaly Detection for Intrusion Detection. Vienna, Austria, 2002

46. Krugel C. Network Alertness Towards an adaptive, collaborating Intrusion Detection System. Dissertation, Vienna, Austria, 2002

47. Kumar S. Classification and Detection of Computer Intrusions. PhD thesis, Dept. of Computer Science, Purdue University, 1995

48. Lancope Optimizing Security and Network Operations: StealthWath Delivers Security through Network Intelligence, http://www.lancope.com

49. Lazar A., Wang W., Deng R. Models and algorithms for network fault detection and identification // IEEE Int. Contr. Conf., 1992

50. Lazarevic A., Ertoz L., Kumar V., Ozgur A., Srivastava J. A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection // Proceedings of SIAM International Conference on Data Mining. 2003.

51. Lee W. A Data Mining Framework for Constructing Features and Models for Intrusion Detection Systems. Columbia University, 1999.

52. Lee W., Stolfo S.J. Data Mining Approaches for Intrusion Detection // USENIX Security Symposium, 1998

53. Lee W., Xiang D. Information-Theoretic Measures for Anomaly Detection // Proceedings. IEEE Symposium, 2001

54. Lewis L., Dreo G. Extending trouble ticket systems to fault diagnosis // IEEE Network, vol.7, 1993

55. Luo J. Integrating Fuzzy Logic With Data Mining Methods for Intrusion Detection, Missisipi State University, 1999

56. M.Roesch, C.Green. Snort Users Manual. Sourcefire, Inc. 2003, http://www.snort.org/docs/snort manual/

57. Mahoney Matthew V., Chan Philip K. Learning Models of Network Traffic for Detecting Novel Attacks // Florida Institute of Technology Technical Report CS-2002-08.

58. Mahoney Matthew V. Network Traffic Anomaly Detection Based on Packet Bytes // Florida Institute of Technology. Technical Report CS-2002-13.

59. Mahoney Matthew V. A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic, Ph.D. Dissertation, Florida Tech., 2003

60. Man tcpdump. http://www.tcpdump.org/tcpdunipman.html

61. Manganaris S., Christensen M., Serkle D., Hermix K. A Data Mining Analysis of RTID Alarms // RAID 99,West Lafayette, 1999

62. McCarthy L. A Justification for Intrusion Detection, Symantec Enterprise Security. 2003.

63. MicroScanner Pro. Users Manual, http://www.flukenetworks.com

64. Multi Router Traffic Grapher MRTG. http://www.mrtg.org

65. Ndousse T.D., Okuda T. Computational intelligence for distributed fault management in networks using fuzzy cognitive maps // IEEE ICC, Dallas, 1996

66. Network traffic probe NTOP. http://www.ntop.org

67. Next Generation Security Technologies. Polymorphic Shellcodes vs. Application IDSs. http://www.ngsec.com. 2002.

68. Observer product family, http://www.networkinstruments.com

69. Paxon V. Measurements and Analysis of End-to-End Internet traffic, Ph.D. thesis, University of California Berkeley, 1997

70. Paxon V., Floyd S. Wide-area traffic: The failure of poisson modeling // IEEE/ACM Transactions on Networking, vol.3(3), 1995.

71. Portnoy L., Eskin E., Stolfo S. Intrusion Detection with Unlabeled Data Using Clustering, Department of Computer Science Columbia University, New York, 2001

72. Ptacek Т., Newsham T. Insertion, evasion, and denial of service: eluding network intrusion detection // Secure Networks, 1998.,

73. Ramadas M. Detecting anomalous network traffic with self-organizing maps. Ohio University, 2002.

74. Ramadas M. Detecting Anomalous Network Traffic with Self-Organizing Maps/ Master's Thesis, Ohio University, 2002

75. RealSecure Network 10/100, http://documents.iss.net/literature/RealSecure

76. Roesch, Martin. Snort FAQ. Snort source code distribution. URL: http://www.snort.Org/dl/snort-2.l.3.tar.gz

77. Ryan J., Lin Meng-Jang, Miikkulainen R. Intrusion Detection with Neural Networks. Department of Computer Sciences The University of Texas at Austin, 1998

78. Shah H., Undercoffer J., Joshi A. Fuzzy Clustering for Intrusion Detection // Proceedings of the 12th IEEE International Conference on Fuzzy Systems, 2003

79. Snort Users Manual, http://www.snort.org/docs/snortmanual/

80. Staniford S., Hogland J.A., McAlerney J M. Practical automated detection of Stealthy Portscans // In Proceedings of the IDS Workshop of the 7th Computer and Communication Security Conference, Athens, 2000.

81. Symantec. ManHunt 3.0 R2 Administration Guide, ftp://ftp.symantec.com

82. Thottan M., Ji C. Anomaly detection in IP Networks // IEEE Transactions on signal processings, vol.51, no.8, 2003

83. WEB- сайт Системы Аудита Вычислительной Сети, http://www.eveadmin.com

84. Willinger W., Taqqu M., Sherman R., Wilson D. Self-similarity through high-variability: Statisticl analysis of Ethernet LAN traffic at the source level // IEEE/ACM Transactions on Networking, vol.5, 1997.

85. Ye Nong, Emran S.M., Chen Q., Vilbert S. Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection // IEEE transaction on computers, vol.51, no.7. 2002

86. Айвазян C.A., Мхитарян B.C. Теория вероятностей и прикладная статистика, т.1. М.: Юнити-ДАНА, 2001. - 656с .

87. Антивирус AVP. http://www.kaspersky.ru

88. Антивирус DrWeb. http://www.drweb.ru/products.shtml

89. Барабаш Ю.Л., Варский Б.В., Зиновьев В.Т., Кириченко В.С, Сапегин В.Ф. Вопросы статистической теории распознавания. М.: Советское радио, 1967г. -399 с.

90. Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите информации // Экспресс-Электроника №2, 2004 г. С. 86 - 96.

91. Боровиков В. Statistica. Искусство анализа данных на компьютере: Для профессионалов. 2-е изд.-СПб.: Питер, 2003. 688 с.

92. Буч Г. Объектно-ориентированный анализ и проектирование. М.: Издательство Бином, 2001. - 560 с.

93. Буч Г., Рамбо Д., Джекобсон А. Язык UML. Руководство пользователя. М.:ДМК, 2000г. 432 с.

94. Вентцель Е.С. Теория вероятностей. М.: Наука, 1969. - 576 с.

95. Вирусная энциклопедия, http://vvww.viruslist.com.

96. Дружинин E.JL, Самохин A.M., Чернышев Ю.А., Смирнов С.Ю. Система мониторинга ЛВС, включающая возможности по анализу безопасности. Научная сессия МИФИ- 2001. Сб. науч. тр., т. 10. С. 60-61.

97. Дружинин E.JI., Самохин A.M., Чернышев Ю.А. Разработка системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 37-38.

98. Дружинин E.JL, Самохин A.M., Чернышев Ю.А. Проблемы и принципы структуризации событий о функционировании вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 93-94.

99. Дружинин E.JI., Самохин A.M., Чернышев Ю.А., Куцыгин С.А. Разработка XML-сервера. Научная сессия МИФИ- 2002. Сб. науч. тр. т. 10. С. 77-78.

100. Дружинин E.JI., Жданова М.С., Самохин A.M., Чернышев Ю.А. Поиск методов выявления аномалий в поведении сетевых устройств на основе анализа сетевого трафика. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 33-34.

101. Дружинин E.JI., Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 46-47.

102. Дружинин E.JI., Гребенников B.C., Жинкин Д.В., Самохин A.M., Чернышев Ю.А. Исследование возможностей статистических методов для обнаружения аномалий в работе сети. Научная сессия МИФИ-2004. Сб. науч. тр. Т.10. С. 61-62.

103. Дружинин E.JI., Кувшинов Е.М., Самохин A.M., Чернышев Ю.А. Система аудита вычислительной сети. Научная сессия МИФИ- 2004. Сб. науч. тр. Т. 10. С. 31-32.

104. Дружинин E.JI. Выявление аномалий функционирования сетевых устройств на основе анализа сетевого трафика. // Наука производству. 2004. № 10. С. 51-58.

105. Дубров A.M., Мхитарян B.C., Трошин Л.И. Многомерные статистические методы: Учебник. М.: Финансы и статистика, 2000. - 352 с.

106. Дюк В., Самойленко A. Data Mining: учебный курс, СПб: Питер, 2001 .368 с.

107. Жульков Е. Поиск уязвимостей в современных системах IDS// Открытые системы. СУБД -2003. N 7/8. С. 37 - 42.

108. Иберла К. Факторный анализ. М.: Статистика, 1980.

109. Кокс Д., Льюис П. Статистический анализ последовательностей событий

110. Кремер Н.Ш. Теория вероятностей и математическая статистика. М.:Юнити-ДАНА, 2004г. 573 с.

111. Кретов М.В. Теория вероятностей и математическая статистика. -Калининград: Янтар. сказ. 2004 г. 227 с.

112. Крупин A.M., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка пользовательского интерфейса для системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 87-88.

113. Свешников А.А. Сборник задач по теории вероятностей, математической статистике и теории случайных функций. М.: Наука, 1970. -656 с.

114. Система обнаружения сетевых атак NFR. http://www.nfr.net

115. Фрагментатор сетевых пакетов fragrouter. http://www.packetst0rrnsecurity.0rg/UNIX/IDS/fragr0uter-l.6.tar.gz

116. Хохлов С.А., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка сервера аутентификации и разграничения доступа (САРД). Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 95-96.

117. Сопоставление значений математических ожидании и среднеквадратнческихотклонений