Средства противодействия скрытым угрозам информационной безопасности в среде облачных вычислений тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Моляков, Андрей Сергеевич

ВВЕДЕНИЕ

Стремительное развитие технологий виртуализации и создание сред облачных вычислений формирует новые источники угроз, которые необходимо учитывать при обеспечении кибербезопасности современных компьютерных систем и сервисов. При этом динамический характер процессов информационного взаимодействия существенно затрудняет возможности оперативной оценки рисков нарушения конфиденциальности, целостности и доступности программных и инфраструктурных ресурсов, предоставляемых в режиме удаленного доступа. Традиционные средства обеспечения информационной безопасности {средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений и т.п.) контролируют только те информационные потоки, которые проходят по каналам, предназначенным для их передачи, поэтому угрозы, реализуемые посредством скрытых каналов передачи информации, с их помощью не могут быть блокированы. В этих условиях важное значение приобретают технологии защиты от угроз, которые формируются с использованием скрытых каналов информационного воздействия или внутри периметра безопасности корпоративной компьютерной сети. Защита от таких деструктивных воздействий должна осуществляться на уровне процессов управления системными вызовами или контроля недекларированных возможностей (НДВ) прикладного программного обеспечения (ПО), что требует создания новых моделей и методов противодействия попыткам внешних и внутренних пользователей изменить состояние защищенности информационных ресурсов среды облачных вычислений.

Актуальность решения этой важной научно-технической задачи отмечается многими российскими и зарубежными учёными, в том числе В.А. Курбатовым, П.Д. Зегждой, А.А.Грушо, В.Ю. Скибой, H.A. Гайдамакиным, A.A. Гладких, B.C. Заборовским, С. Воглом, Р. Сэйлером, Ф. Мортинелли, Дж. Рутковской и др. В работах перечисленных авторов

большое внимание уделяется разработке средств защиты информации, в которых учитываются особенности технологий виртуализации и возможности современных аппаратно-программных компонент вычислительных систем, непосредственно влияющие на защищенность системных и прикладных процессов.

В отечественных и зарубежных научных публикациях описываются лишь базовые подходы контроля сигнальных событий в контуре распределенных вычислительных систем [ 5 - 20] . В современных научных школах США и Великобритании (на основании открытых публикаций) по исследованию вирусного кода и изучению методов обнаружения программных «закладок» используется классический подход - спецификация базовых информационных сервисов операционных систем (ОС), маркерные сигнатуры, динамический анализ исполняемого кода на уровне KOS (Kernel Object Specification) [21 - 68].

Данные исследования не затрагивают рассмотрение проблемы неявных механизмов контроля ресурсов операционной системы и принципов «невидимости». Классические подходы и методы с использованием упомянутой выше спецификации KOS не позволяют обнаруживать новые образцы вредоносного ПО, использующего технологии DKOM (Direct Kernel Object Manipulation) и VICE(Virtual ICE) [69 - 74].

Перспективным направлением совершенствования систем защиты информации в среде облачных вычислений является разработка новых средств противодействия, основанных на контроле процессов выделения ресурсов в соответствии с результатами оперативной идентификации потенциальных уязвимостей, возникающих как на уровне процессов контроля доступа к прикладным информационным сервисам гостевых ОС, так и на уровне системных вызовов гипервизоров. Сложность этой задачи связана с тем, что в среде облачных вычислений выделение ресурсов носит динамический характер, и в зависимости от состояний субъектов и объектов

информационного взаимодействия порождаемые ими системные вызовы на выделение ресурсов могут становиться источниками различных видов разрушающих воздействий. Отмеченные особенности часто учитываются нарушителями для организации атак на подсистемы гипервизора, отвечающих за планирование задач и верификацию команд на соответствие требованиям политики безопасности. Такие угрозы необходимо не только оперативно выявлять, но и эффективно блокировать каналы информационных воздействий, которые используются для нарушения функционирования приложений и системного ПО. Для создания средств защиты от угроз, недоступных для выявления со стороны гостевых ОС, требуется разработка новых моделей угроз, которые учитывают свойства операций выделения системных ресурсов, соответствие выполняемых транзакций требованиям политики безопасности (ПБ), а также механизмы контроля контекста взаимодействия системных процессов, реализуемых в ОС виртуальных машин и гипервизоре.

С учетом вышесказанного, противодействие угрозам информационной безопасности, направленных на модификацию программных кодов, подмену субъектов и объектов информационного обмена, нарушение целостности и доступности ресурсов, блокирование доступа и навязывание ложной информации, является актуальной научно-технической задачей, решению которой посвящена данная диссертационная работа.

Целью исследования является разработка средств противодействия скрытым угрозам информационной безопасности в среде облачных вычислений, учитывающих архитектуру гипервизора и особенности современных технологий виртуализации аппаратных ресурсов.

Для Достижения поставленной цели в диссертационной работе были решены следующие задачи:

1. Разработана модель скрытых угроз информационной безопасности, учитывающая контекст выполнения операций информационного взаимодействия в среде облачных вычислений.

2. Разработана модель операций, выполняемых над данными при их обработке в среде облачных вычислений, позволяющая формализовать описание информационных процессов в виде мультиграфа транзакций.

3. Разработан метод противодействия скрытым угрозам, основанный на контроле запросов на выделение ресурсов в соответствие с оценкой безопасности выполняемых транзакций.

4. Разработан алгоритм предикативной идентификации угроз, возникающих для подсистем гипервизора при реализации запросов гостевых ОС на выделение информационных ресурсов.

5. Создан опытный образец программного обеспечения под названием «Альфа - монитор» и проведена его успешная апробация в среде облачных вычислений.

Методы исследования: для решения сформулированных задач использовался аппарат теории графов, теории алгоритмов, теории вероятностей, методы защиты информации и компьютерного реверс-инжиниринга.

Объект исследования: скрытые угрозы информационной безопасности в среде облачных вычислений.

Предмет исследования: модели, методы и алгоритмы обнаружения скрытых угроз на уровне гипервизора среды облачных вычислений и гостевых операционных систем виртуальных машин (ВМ).

Научная новизна работы состоит в применении теории графов и методов декомпозиции иерархических структур для формализации процессов информационного взаимодействия и построении модели операций противодействия скрытым угрозам в среде облачных вычислений с учетом

архитектуры гипервизоров и особенностей современных технологий виртуализации аппаратных ресурсов.

Положения, выносимые на защиту:

1. Модель скрытых угроз информационной безопасности, основанная на декомпозиции динамических процессов взаимодействия субъектов и объектов среды облачных вычислений.

2. Модель операций в виде мультиграфа процессов, формируемых в среде облачных вычислений с учетом атрибутов объектов и контроля параметров субъектов информационного взаимодействия.

3. Метод противодействия скрытым угрозам в среде облачных вычислений, основанный на формализации описания транзакций и контроле процессов выделения ресурсов для гостевых ОС, отвечающих требованиям выбранной политики безопасности.

4. Алгоритм идентификации скрытых угроз, основанный на предикативном анализе мультиграфа процессов и верификации команд, выполнение которых не нарушает требований безопасности на уровне процессов гостевой ОС и гипервизора среды облачных вычислений.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается учетом особенности современных технологий виртуализации, корректностью использования аналитического аппарата и апробацией полученных результатов в печатных трудах и докладах на всероссийских и международных научных конференциях.

Практическая значимость работы. Результаты исследований, полученные в ходе выполнения диссертационной работы, были успешно апробированы автором при создании У1РКе1 ОШсеРете^уаИ 3.0, при разработке программного комплекса «Альфа-монитор», при выполнении ряда договорных научно-исследовательских работ со стороны заказчика

(ФГУП НИИ «Квант», НПО РУСНЕТ, НПО ФРАКТЕЛ), а также в учебном процессе и научных исследованиях на кафедре «Телематика (при ЦНИИ РТК)» ФГАОУ ВО «СПбПУ» по дисциплинам «Сети ЭВМ и телекоммуникаций» и «Методы и средства защиты компьютерной информации».

Апробация и публикация результатов работы. Основные результаты исследования обсуждались на семинаре «Проблемы современных информационно-вычислительных систем», Москва, 2014 г.; на Общероссийской научно-технической конференции «Информационная безопасность регионов России», Санкт-Петербург, 2013 г.; на международной научно-технической конференции С1Т, г. Пенза, 2009 г.; на XXXVII научной и учебно-методической конференции СПбГУ ИТМО, Санкт-Петербург, 2008 г.; на 9 Международной научно-практической конференции, Таганрог, 2008 г.; на IV межвузовской конференции молодых ученых, Санкт-Петербург, 2007 г.; на XI научно-практической конференции «Теория и технология программирования и защиты информации», Санкт-Петербург, 2007 г.; на научно-технической конференции «День антивирусной безопасности», Санкт-Петербург, 2007 г.

Основные результаты и положения работы опубликованы в 20 научных статьях, в том числе 12 статей в изданиях, входящих в перечень Высшей аттестационной комиссии Министерства образования и науки Российской Федерации.

Структура и объем диссертационной работы. Диссертационная работа объемом 137 машинописных страниц, содержит введение, четыре главы и заключение, список литературы, содержащий 76 наименований, и 2 приложения. Общий объём работы -137 страниц, 20 рисунков и 13 таблиц.

ГЛАВА 1. АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ И ПОСТАНОВКА ЗАДАЧИ

ИССЛЕДОВАНИЯ

1.1. Проблема защиты информации в среде облачных вычислений

Доктрина информационной безопасности Российской Федерации [1] определяет понятие информационной сферы как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и пользование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная безопасность в широком смысле представляет собой такое состояние объекта защиты, которое, исключает возможность нанесения вреда свойствам объекта, обусловленным его взаимодействием с информационной сферой [2]. Согласно ГОСТ Р 51624-00 [3] угроза безопасности определяется как совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

Целесообразно в начале диссертационной работы дать определение понятиям, которые довольно часто будут встречаться в тексте.

Принцип «невидимости» основан на том, что существуют недокументированные состояния в системе, которые никак не различимы для монитора безопасности и которые позволяют вредоносному кода маскироваться под штатный процесс.

Под определением «руткиты» понимается набор утилит или специальный модуль ядра, которые злоумышленник использует для скрытого встраивания вредоносного программного обеспечения(ВПО) в операционные системы пользователей.

Под вредоносностью понимается способность программ нанести ущерб вычислительной системе посредством блокирования, хищения, уничтожения и несанкционированной передачи информации.

Среда облачных вычислений - это совокупность вычислительных ресурсов в виде виртуальных машин, предоставляемых пользователю с помощью общих сервисов доступа. Физический уровень облачной системы состоит из аппаратных ресурсов, которые необходимы для обеспечения предоставляемых сервисов, и, как правило, включает серверы, системы хранения и сетевые компоненты. Рассматриваемые облачные системы относятся к типу «инфраструктура как сервис», и для них характерно наличие гипервизора для управления вычислительными ресурсами, который рассматривается как дополнительный источник уязвимостей, список которых с каждым годом увеличивается. Применение технологий облачных вычислений определяет необходимость рассмотрения возможных способов дестабилизирующих воздействий, приводящих к нарушению функционирования компонентов информационной среды.

Характерной особенностью современной среды облачных вычислений является активный характер субъектов и объектов информационного взаимодействия. Это позволяет рассматривать целевую функцию системы безопасности как сохранение конфиденциальности, целостности и доступности программных и инфраструктурных сервисов, предоставляемых в режиме удаленного доступа в условиях динамического изменения состояния вычислительных ресурсов. В современных антивирусах, обманных системах защиты и сканерах безопасности не учитываются угрозы, которые реализуются внутри периметра безопасности, Разработчики программно-технических средств защиты руководствуются собственными представлениями о создании прототипа продукта, используя традиционные шаблоны реализации механизмов безопасности, именно поэтому зачастую представленные на рынке средств защиты информации

(СЗИ) обладают множеством общеизвестных уязвимостей даже в условиях применения новейших технологий. Построение перспективных механизмов обеспечения безопасности в среде облачных вычислений связывается не с защитой от выявленных уязвимостей, а заключается в возможности предотвращения новых неизвестных методов проведения атак, в разработке новых моделей угроз и методов предотвращения или отражения компьютерных атак на информационные ресурсы, которые используют возможности предикативной идентификации скрытых каналов и потенциально опасных процессов информационного взаимодействия.

В сложившихся условиях развития рыночной экономики специалистами в разных странах все большее внимание уделяется вопросам разработки средств защиты, позволяющих противодействовать угрозам информационной безопасности со стороны злоумышленников, на основе единого концептуального подхода, сочетающего в себе преимущества разных методов защиты информации. Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей [6].

Причины, обуславливающие возникновения уязвимостей в среде облачных вычислений, следующие:

• объем обрабатываемой информации постоянно увеличивается с учетом расширения информационного пространства сетей общего и специального назначения;

• доступ к ресурсам вычислительных комплексов получает все большее число пользователей, операторов в связи с применением Шегпе1:-техно логий;

• за счет использования новых, не прошедших длительную апробацию в различных социальных структурах технологий

увеличивается вероятность возникновения новых классов уязвимостей;

• низкий уровень компьютерной грамотности пользователей, недостаточная квалификация системных администраторов;

• использование передачи информации с использованием Wi-Fi сетей беспроводного доступа, что значительно упрощает злоумышленника процесс несанкционированного съема информации, распространяемой за пределы контролируемой зоны.

Для подтверждения сказанного следует посмотреть на рисунке 1.1. На нем № 1 представленной выборки показывает динамику изменений с ноября 2005 г. по январь 2006 г., № 2 - совокупные изменения с октября 2008 г. по июль 2010, № 3 - общее количество атак с сентября 2010 г. по январь 2014. Количество опубликованных за период с 2006 по 2014 годы атак, использующих функциональные уязвимости всех современных ОС (Windows, Linux, Mac OS, QNX, Solaris, VMS), значительно увеличилось.

Г'"'-^.....

177/////,£1_

I' "

Атаки с использованием программ -«троянов» Атаки с использованием полиморфных вирусов Атаки с использованием «руткитов»

Рисунок 1.1 Статистика атак с 2006 по 2014 гг.

Снижение уровня защищенности вычислительных систем объясняется тем обстоятельством, что на современном этапе все большее распространение получают атаки с использованием «руткитов», реализующих технологии DKOM и VICE, позволяющих злоумышленнику встраиваться в управляющие операционные системы и напрямую осуществлять взаимодействие с объектами ядра.

«Руткиты» данного класса функционируют на более низком уровне, чем модули современных средств защиты информации, что весьма затрудняет обнаружение вредоносного кода. В дальнейшем будут рассмотрены модель операций и модель скрытых угроз информационной безопасности по отношению к среде облачных вычислений, реализуемых злоумышленником посредством использования новейших «руткит»-технологий, и описаны функциональные уровни встраивания ВПО на примере гостевой ОС Windows. При этом необходимо обратить особое внимание на уровни протоколов взаимодействия разных модулей ОС, и рассмотреть механизмы скрытого наблюдения за процессами операционных систем, реализующие принципы «невидимости» для вредоносного кода, поскольку с наибольшей вероятностью атака на компьютерную систему происходит именно на этих уровнях.

Дальнейшее разработку новых технологий необходимо осуществлять на уровне протоколов взаимодействия ОС и драйверов устройств, так как программные модули на указанных интерфейсных уровнях обладают привилегированными полномочиями и могут осуществлять произвольные действия в операционных системах. Одной из важнейших задач компьютерной безопасности является борьба с вредоносным программным обеспечением и подзадача его обнаружения. Все методики обнаружения можно разделить на 2 типа: методики обнаружения известного ВПО и методики обнаружения неизвестного ВПО [9, 14].

Методы, основанные на экспертных знаниях [11, 12], используются для формализации понятия «вредоносности» и знаний экспертов в области исследования вредоносных программ. Знания могут быть связаны, например, с тем, какие действия являются вредоносными (поведенческий анализ), или какие особенности структуры могут говорить о вредоносности (статический или динамический структурный анализ). В дальнейшем эти формализованные знания применяются для обнаружения вредоносности в исследуемых данных.

Представителями данной группы методом являются метод продукционных правил и метод поведенческих сигнатур.

В основу метода продукционных правил[13] положена модель представления знаний в виде конструкций «№ - БО». С помощью таких правил можно лишь указать одиночные признаки вредоносности изучаемого программного кода.

Метод сигнатур[14] разработан для проведения поведенческого анализа. За основу взят метод продукционных правил, который был адаптирован для определения перехода системы в«инфицированное» состояние.

Методы машинного обучения [16,17] используются для получения знаний на основе анализа известных вредоносных программ. Эффективность этих методов зависит от характера обнаруживаемых признаков, набора входных параметров и качества проводимого обучения, следовательно, точность указанных методов в общем случае сравнить весьма затруднительно.

Однако можно выбрать наиболее подходящий метод для обнаружения одиночного признака при наличии конкретного набора данных и обучающей выборки.

Методы обнаружения аномалий основаны на описании эталонных особенностей программы и попытке обнаружения отклонений от этого эталона. Описание эталона затрудняется наличием очень сложных программ, а также описанной выше проблемой полноты исследования программы [15, 18].

Данный подход алгоритмически более сложный и требует больше ресурсов, чем обнаружение инцидентов, однако он позволяет обнаруживать не только известные, но и новые признаки вредоносного программного кода.

Создать защищенную вычислительную систему с учетом масштабируемости предложенных решений, тесного взаимодействия с компонентами других информационных систем, затруднительно, во-первых, защищенные ВС требуют специализированной аппаратной платформы, их функционал ограничивается решением определенного класса задач в сетях специального назначения ФСБ РФ и Министерства обороны РФ. Для коммерческих сетей данные технологические решения не являются эффективными, поскольку не учитывают поддержку оборудования различных сторонних производителей, неудобны для массовых пользователей с учетом эргономических показателей.

Также данная позиция объясняется тем, что сложность программ постоянно возрастает, причем сложность архитектуры современного ПО настолько велика, что без использования ранее разработанного программного кода невозможно с приемлемой для современных компаний-разработчиков скоростью создавать новые программы, необходимые и востребованные на 1Т — рынке.

Сегодня невозможно разрабатывать ПО, полностью защищенное от внешних воздействий, так как любой программный код содержит уязвимости, невыявленные на этапе разработки и тестирования, для верификации кода требуются значительные финансовые и научно -

технологические затраты, что большинство организаций не может себе позволить в условиях коммерческой конкуренции, более того, нет стопроцентной гарантии, что будущем не будут выявлены новые классы уязвимостей.

1.2. Анализ современных подходов и технологий защиты

информационных ресурсов среды облачных вычислений

Облачные технологии станут основой для формирования нового пространства, создаваемого в рамках инициативы, получившей название Intelligence Community Information Technology Enterprise (ICITE) [25].

В работе по развертыванию облачной платформы участвуют специалисты всего разведывательного сообщества США, на долю которых приходится основная часть бюджета американской разведки.

Например, ЦРУ разрабатывает защищенную облачную

вычислительную среду для всего разведывательного сообщества.

Разведывательное управление министерства обороны (Пентагон) США реализуют единую концепцию рабочего стола для всех ведомств. В марте 2013 года к сформированной сети были подключены 4000 пользователей.

В документе ICITE отражены намерения Пентагона трансформировать подходы, по которым он закупает, эксплуатирует свои информационные средства и управляет ими в интересах повышения эффективности выполнения поставленных задач, производительности, а также безопасности своих информационных систем. Таким образом, и в военном ведомстве США началась масштабное преобразование структуры, предусматривающее формирование единого информационного пространства.

По замыслу разработчиков, оно должно обеспечить новые возможности по сбору, обработке, обмену информацией, ее безопасности независимо от местонахождения пользователя и аппаратных средств.

Идея, лежащая в основе развития и внедрения распределенных информационных технологий облачных вычислений в разведывательную деятельность, давно стала устойчивым трендом для многих федеральных ведомств и коммерческого сектора США и привела к существенному сокращению их трудозатрат. При этом пользователи будут отстранены от технических деталей, таких как операционная система, инфраструктура и прикладное программное обеспечение. Все это предоставляется пользователям посредством облачного сервиса. Министерство обороны США вышло с инициативой подключить к нему не только свои ведомства, но и промышленность, а также другие правительственные учреждения. Уже к 2016-2020 годам в формируемое пространство должны интегрироваться многочисленные разрозненные облачные платформы Министерства обороны США, разведывательного сообщества, военно-промышленного комплекса, правительства и другие организации.

Объединение разнородных вычислительных систем обуславливает реализацию расширенных механизмов защиты персональных данных пользователей, использование надежных алгоритмов шифрования, программно-аппаратных средств контроля целостности, создание доверенной среды загрузки. В среде облачных вычислений много пользователей, запускающих разные дистрибутивы ОС, поэтому необходимо разграничивать каналы обмена, физические и виртуальные ресурсы в соответствие с ролевыми политиками безопасности, чтобы исключить повреждение и хищение защищаемой информации с разными уровнями доступа, несанкционированный доступ (НСД) со стороны злоумышленника.

Создание сети для распределенной облачной среды получило кодовое название «Huddle». Предусматривается разработка при участии компаний Mellanox, Trinity-Networks, Luxent Group нового маршрутизатора InfiniBand Cloud VPI - switch (с встроенной поддержкой аппаратной в up ту ал изац н н), скорость передачи в котором будет 100 Гб/с.

СПИСОК ЛИТЕРАТУРЫ

1. Доктрина информационной безопасности Российской Федерации / М.: Ось-89, 2004. - 48 с.

2. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия / / О.О. Андреев [и др.]. Под ред. В.А. Васенина. - М.: МЦНМО, 2008. - 198 с .

3. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. — Введ. 30.06.00. Действ. -М.: Изд-во стандартов, 2000. - 12 с .

4. Ухлинов, JI.M. Основы обеспечения информационной безопасности таможенных органов Российской Федерации // Управление защитой информации. - 2000. - № 1. - 123 с.

5. Скиба, В.Ю. О проблеме обеспечения собственной безопасность межсетевых экранов // Межрегиональная конференция Информационная безопасность регионов России («ИБРР-99»), Г.С.Петербург, 13-15 октября 1999г.: Тезисы конференции. Часть 1 / В.Ю. Скриба, A.M. Сычев.- СПб.: Изд-во Политех. Ун-та, 1999.- С. 77 - 78.

6. Сычев, A.M. Обоснование требований к межсетевым экранам и системам управления безопасностью в распределенных информационных систем: диссертация на соискание ученой степени кандидата технических наук: 05.13.19 / Сычев Артем Михайлович - М: МИФИ, 2002.- 149 с.

7. Зелимов, P.P. Моделирование и разработка алгоришов функционирования обманных систем защиты информационно-расчетных комплексов: диссертация на соискание ученой степени кандидата технических наук: 05.13.18/Зелимов РафикРавильевич.-Ульяновск: УлГТУ, 2006. - 133 с.

8. Скиба, В.Ю. Модель адаптивного управления процессами обеспечения безопасности информации/ В.Ю. Скриба, J1.M. Ухлимов // Тезисы докладов научно-технической конференции в ВИККА им. А.Ф. Можайского - СПб: Изд-во ВИККА им. А.Ф.Можайского, 1995. - С. 12 -13.

9. Хоффман, Л.Дж. Современные методы защиты информации: пер. с англ. / Л.Дж. Хоффман. - М.: Изд-во Сов. радио, 1989. - С. 50 - 52.

Ю.Воробьев, А.А.. Анализ методов синтеза систем обнаружения вторжений / А.А. Воробьев, А.В. Непомнящих // Сб. материалов X республиканской

научно - технической конференции Методы и технические средства. -СПб.: Изд-во Политех. Ун-та.- 2007. - С. 135 - 138 .

П.Воробьев, A.A. Методы адаптивного управления защищенностью автоматизированных систем / A.A. Воробьев // Техника — машиностроение. — 2001.- №1.-С. 156-157.

12. Щеглов, A.IO. Защита компьютерной информации от несанкционированного доступа/А.Ю. Щеглов.-СПб, 2004.- С. 119-121.

13.Моляков, A.C. Новые методы систематического поиска недекларированных возможностей ядра Windows NT 5. с введением контроля ContextHooking и PspCidHooking / A.C. Моляков // Вопросы защиты информации - М.: Изд-во ВИМИ , 2008. - №1. - С. 39 - 45.

14.Моляков, A.C. Исследование ядра Windows NT на платформе Intel 3000: систематический поиск недекларированных возможностей: монография / A.C. Моляков. - М: Изд-во Спутник Плюс, 2007. - 129 с.

15. Моляков, A.C. Исследование скрытых механизмов управления ОС на различных платформах /A.C. Моляков // Известия Южного Федерального Университета..Технические науки. - Таганрог: Изд — во ТТИ ЮФУ, 2007. — №1. -С. 137-138.

16. Моляков, A.C. KPROCESSORCIDTABLE факторинг - новый метод в теории компьютерного анализа вирусного кода и поиска программных закладок/ A.C. Моляков // Проблемы информационной безопасности. Компьютерные системы. - СПб.: Изд-во Политех. Ун - та, 2009.-№1.-С. 17-19.

17. Моляков, A.C. Мультиграфовая модель операций для защиты среды облачных вычислений от скрытых угроз информационной безопасности / A.C. Моляков, B.C. Заборовский, A.A. Лукашин // Проблемы информационной безопасности. Компьютерные системы. - СПб.: Изд-во Политех. Ун-та, 2014. - №2. - С. 37-40.

18.Подпружников Ю. В. Классификация методов обнаружения неизвестного вредоносного программного обеспечения / Ю. В. Подпружников // Современные тенденции технических наук: материалы междунар. науч. конф. (г. Уфа, октябрь 2011 г.). - Уфа: Лето, 2011. - С. 22-25.

19.Моляков, A.C. Тихоокеанско-азиатские петафлопсы / A.C. Моляков, B.C. Горбунов, П.В. Забеднов // Открытые системы. СУБД. - 2011. - №7. - С. 26 - 29.

20.Грушо, A.A. Распределенные атаки на распределенные системы./ A.A. Грушо, Е.Е. Тимонина // Информационный бюллетень JET INFO. - 2006. -С. 123 - 125.

21. Гладких, A.A. Концептуальная модель функционирования обманной системы в условиях информационного противоборства. / A.A. Гладких, P.P. Зелимов // Сборник рефератов депонированных - М: ЦВНИ МО РФ, 2004. - С. 12-15.

22. Гладких, A.A. Обманные системы - как средство повышения уровня защищенности вычислительной сети / A.A. Гладких, P.P. Зелимов // Сборник научных трудов ОАО «Ульяновский механический завод». — Ульяновск: Изд-во УлГТУ, 2004.- С. 57 - 59.

23.Гладких, A.A.. Построение модели компьютерного обмана / A.A. Гладких, P.P. Зелимов // Материалы Всероссийского научно-практического семинара «Сети и системы связи». - Рязань, РВВКУС, 2005. - С. 119 — 121.

24.Schnedier, В. Applied Cryptography: Protocols, Algorithms, and Source Code in С / В. Schnedier // 2nd edition -John Wiley & Sons, New York. - 1996. -PP. 23 -25.

25.ICITE doing in common [Электронный ресурс]. - Режим доступа:

htt^?://vvwwлnsaonl^neд^rй/CMDownloaclлspx?ContentKcy--b()443984-Зc2a-4456-bbb9-ct570ci61b7be&ContcntIteiii?<Cev^bdd62985-393b-4662-l)422-8i79a840d67e. свободный. - Загл. с экрана (дата обращения 22.10.2013).

26. Продуктовые линейки ViPNet [Электронный ресурс]. - Режим доступа: http://w\vw.infotecs.ru/products/line. свободный. - Загл. с экрана (дата обращения 25.11.2013).

27. Пархоменко, Н. Новые реалии и адекватность классификации / Н. Пархоменко, С. Яковлев, П. Пархоменко, Н. Мисник // Защита информации. Конфидент. -2003. - №6. - 16-21.

28.Гасанов, Э.Э. Теория хранения и поиска информации / Э.Э.Гасанов, В.Б. Кудрявцев. - М: Изд - во Открытые системы,2002. - С. 51 - 52.

29.Гладких, А.А. Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А.Гладких, В.Е.Дементьев. - Ульяновск: УлГТУ,2009. - 168 с.

30. Олифер, В.Г.. Компьютерные сети / В.Г. Олифер. - СПб.: Изд - во Питер, 2004. - 199 с.

31.Larochelle, D. Statically detecting likely buffer overflow vulnerabilities / D. Larochelle, D. Evans // In USENIX Security Symposium. - 2001. - PP. 177 - 190.

32. Bush, W.R. A static analyzer for finding dynamic programming errors / W. R. Bush, I D. Pincus, D. J. Sielaff // In Proceedings of Software Practice and Experience. -2000,- PP. 775 - 802.

33. Benjamin, V. Finding security errors in Java programs with static analysis / V. Benjamin, S. Monica // In Proceedings of the 14th USENIX Security Symposium. -2005.- PP. 271-286.

34. Milanova, A. Precise and Practical Flow Analysis of Object-Oriented Software / A. Milanova // PhD thesis, Rutgers University, Available as Techical Report DCS-TR-539.-2003. - PP. 234 - 242.

35.Zhu, J. Symbolic Pointer Analysis / J. Zhu // Proc. International Conference in Computer-Aided Design. - 2002. - PP. 150 - 157.

36.Fahndrich, M. Scalable context-sensitive flow analysis using instantiation constaints / M. Fahndrich, J. Rehof, M. Das // In Conference on Programming Language Design and Implementation. - 1994. - PP. 242 - 256.

37. Wales, D.J. Methods of testing system core / D.J. Wales, R.S. Berry // J. Phys.

-1999.-V. 92 .-PP. 343 -345. 38.Saaty, T. Eigenweinghtor an logarithmic lease sguares / T.Saaty // Eur. J. Oper. Res . -1990. - V.48. - No 1. - PP.156 - 160.

39.Churchmen, C.W., Ackoff R. An approximate Measure of Value / C.Churchmen, R.Ackoff// Operations Research. - 1954. - V.2. - PP. 172-181

40.Berkeley Lab APEX - Map V3.0 [Электронный ресурс]. - Режим доступа: http://crd.lbl.gov/groups-depts/ftg/projects/previous-projects/apex/apex-map-v3-0, свободный. - Загл. с экрана (дата обращения 25.03.2014).

41.Rootkit: What is a Rootkit, Scanners, Detection and Removal Software [Электронный ресурс]. — Режим доступа: http://www.veracode.com/securitv/rootkit. свободный. - Загл. с экрана (дата обращения 29.03.2014).

42.The F-PROT Antivirus Daemon Scanner (fpscand) [Электронный ресурс]. -Режим доступа: http://www.f-prot.com/support/helpfiles/unix/fpscand.html, свободный. - Загл. с экрана (дата обращения 25.11.2013).

43.Landy, W. Undecidability of static analysis / W. Landi // ACM Letters on Programming Languages and Systems. - 1992. - PP. 323 - 337.

44.Ramalingam, G. The undecidability of aliasing / G. Ramalingam. // J. ACM Transactions on Programming Languages and Systems. -1994.- V.16. - PP. 340-341.

45.Andersen, L. Program Analysis and Specialization for the С Programming Language / L.Andersen // PhD thesis, DIKU, University of Copenhagen . -1994.

46.Burke, M. Flow-insensitive interprocedural alias analysis in the presence of pointers M. Burke, P. Carini, L. Choi, M. Hind // Lecture Notes in Computer Science. Springer -Verlag. - 1995. - PP. 234 - 250.

47.Choi, J. Efficient flow-sensitive interprocedural computation of pointer induced aliases and side effects / J. Choi, M. Burke, P. Carini // In 20th Annual

ACM SIGACT-SIGPLAN Symposium on the Principles of Programming Languages. - 1993. - V. 21. - PP. 232 - 245. 48.Hind, M. Interprocedural pointer alias analysis / M. Hind, M. Burke, P. Carini, J. Choi // ACM Transactions on Programming Languages and Systems. - 1999. -V.21. - PP. 848-894. 49.Steensgaard, B. Points-to analysis in almost linear time / B. Steensgaard // In 23rd Annual ACM SIGACT-SIGPLAN Symposium on the Principles of Programming Languages.-1996.-PP. 32-41. 50.1sraeli, A. Bounded time stamps / A.Israeli, M. Li // J. Distributed Computing.

- 1993. - V.6. - PP. 205 - 209. 51. Shapiro, M. Fast and accurate flow-insensitive point-to analysis./ M. Shapiro, S. Horwitz. Fast and accurate flow-insensitive point-to analysis. // In 24th Annual ACMSIGACT-SIGPLAN Symposium on the Principles of Programming Languages. - 1997. - PP. 1- 14. 52.Обнаружение скрытых процессов [Электронный ресурс]. - Режим доступа: http://www.wasm.ru/wault/article/show/hiddndt, свободный. - Загл. с экрана (дата обращения 25.11.2013).

53.NSA/CSS Strategy [Электронный ресурс]. - Режим доступа: https://www.nsa.gov/about/strategic_plan/index.shtml свободный. - Загл. с экрана (дата обращения 02.06.2013).

54. Liang, D. Efficient points-to analysis for whole-program analysis / D. Liang, M. Harrold // Lecture Notes in Computer Science. Springer -Verlag. - 1999. - PP. 199 -215.

55.Welcome to the DTK Software web site [Электронный ресурс]. - Режим доступа: http://www.dtksort.com, свободный. - Загл. с экрана (дата обращения 05.01.2013).

56. Atkinson, D.C. Effective whole-program analysis in the presence of pointers. / D. C. Atkinson, W. G. Griswold // ACM SIGSOFT 1998 Symposium on the Foundations of Software Engineering. - 1998. - PP. 46 - 55.

57.Morgenthaler, J.D. Static Analysis for a Software Transformation Tool [Электронный ресурс] / J.D. Morgenthaler // PhD thesis, Department of Computer Science and Engineering, University of California (UCSD). - 1997.

58.Режим доступа: http://cseweb.ucsd.edu/~wgg/Abstracts/idm.thesis.ps.gz, свободный. - Загл. с экрана (дата обращения 18.08.2013).

59.Cousot, Р . Static determination of dynamic properties of programs / P. Cousot, R. Cousot // In Proceedings of the Second International Symposium on Programming,, Dunod, Paris, France. - 1976. - PP. 106 - 130.

60.Rutkowska, J. Following the White Rabbit: Software Attacks against Intel VT-d technology [Электронный ресурс] / J. Rutkowska, R.Wojtczuk. - 2011. -Режим доступа: http://www.invisiblethingslab.com/resources/201 l/Software%20Attacks%20o n%20Intel%20VT-d.pdf, свободный. - Загл. с экрана (дата обращения 18.08.2013).

61.Haldar, S. Bounded concurrent timestamp system using vector clocks / S. Haldar, P. Vitanyi // Journal of the ACM . - 2002. - V.15. - PP. 101 - 126.

62.Aigner, G. Eliminating virtual function calls in С++ programs / G. Aigner, U. Holzle // In 10 th Europian Conference ECOOP'96, Spinger-Verlag. - 1996. -PP. 142- 166.

63.Haldar, S. Constructing 1 - writer multireader multivalued atomic variables from regular variables / S. Haldar, K. Vidyasankar// Journal of the ACM . - 1995. - V. 42. - PP. 186-203.

64.Timothy, F. LOMAC: Low Water-Mark Integrity Protection for COTS Environments [Электронный ресурс]. - Режим доступа: http://alum.wpi.edu/~tfraser/Papers/timothy-fraser-2000-l .pdf. свободный. -Загл. с экрана (дата обращения 02.08.2013).

65.Garfinkel, Т. Ostia: A delegating architecture for secure system call interposition [Электронный ресурс] / Т. Garfinkel. - Режим доступа: 1 ittp://benp Faff.org/papers/ostia.pd Г„ свободный. - Загл. с экрана (дата обращения 09.07.2013).

66.Garfinkel, Т. Traps and Pitfalls: Practical Problems in System Call Interposition Based Security Tools [Электронный ресурс] / Т. Garfinkel. -Режим доступа: https://erypto.stanford.edu/csl 55/papers/traps.pdf. свободный. - Загл. с экрана (дата обращения 15.03.2013).

67. «Лаборатория Касперского» о неуловимом рутките [Электронный ресурс]. -Режим доступа: http://оld.compuierra.ru/focus/359295 , свободный. - Загл. с экрана (дата обращения 02.11.2013).

68. What is Cyber Сор ? [Электронный ресурс]. - Режим доступа: http://www.3dg.com/cybercop. свободный. - Загл. с экрана (дата обращения 28.11.2013).

69. Virus Encyclopedia of Panda Security: AFXRootkit [Электронный ресурс]. -Режим доступа : http://www.pandasecurity.coin%>meiisere/security-info/84859/AFXrootkit свободный. - Загл. с экрана (дата обращения 28.11.2013).

70. Exploring new lands on Intel CPUs [Электронный ресурс]. - Режим доступа: http://theiiivisiblethings.blogspot.ru/2011/12/exploring-new-lands-on-intel-cpus-sinit.html, свободный. - Загл. с экрана (дата обращения 29.11.2013).

71. Процессорные руткиты - новая угроза безопасности ? [Электронный ресурс]. — Режим доступа: http://www.cybersecurity.ru/crvpto/47820.html. свободный..- Загл. с экрана (дата обращения 27.11.2013).

72. Understanding the Distinction between Vulnerability Assessment Tools and Penetration Testing Suites [Электронный ресурс]. - Режим доступа:

73. http://www. immunitysec.com/downloads/vulnassess_vs_pentest. pdf, свободный. - Загл. с экрана (дата обращения 27.11.2013).

74. Viega, J. ITS4: Vulnerability Scanner for С and С++ Code / J. Viega, J. Bloch, T. Kohno // In Proceedings of the 16th Annual Computer Security Applications Conference . -2000. - PP. 257 - 267.

75. Фред, К. 50 способов обойти систему обнаружения атак [Электронный ресурс] / К. Фрэд; пер. с англ. под ред. А.Лукацкого. - Режим доступа:

Siupy/buulraq.ru/'iibrary/security/luka/jOattacks.hUnl , свободный.. - Загл. с экрана (дата обращения 26.11.2013). 76. Release of Hypersight Rootkit Detector [Электронный ресурс]. - Режим доступа: http://northsecuritylabs.blogspot.ru/2011/1 1/greetings-to-all-we-ha ve - gre a t - не w s. ht m 1 , свободный. - Загл. с экрана (дата обращения 27.11.2013).

77.IDA Pro - интерактивный дизассемблер и отладчик [Электронный ресурс].

- Режим доступа: http://www.iilapio.ru/description,. свободный. - Загл. с экрана (дата обращения 27.11.2013).

78.0penStack: The Open Source Cloud Operating System [Электронный ресурс].

- Режим доступа: http://www.openstack.org/software, свободный. — Загл. с экрана (дата обращения 29.01.2014).