Выявление нарушений информационной безопасности по данным мониторинга информационно-телекоммуникационных сетей тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Ковалев, Дмитрий Олегович

Информационно-телекоммуникационная сеть (ИТС) представляет собой интегрированную автоматизированную мультисервисную систему, обеспечивающую информатизацию функциональной деятельности организации и предоставляющую информационные и телекоммуникационные сервисы должностным лицам и структурным подразделениям организации с применением современных информационных технологий, средств вычислительной техники и связи. ИТС крупной организации часто насчитывает десятки средств защиты информации (СЗИ), входящие в состав системы обеспечения информационной безопасности (СОИБ). Данные СЗИ включают:

• средства управления доступом;

• межсетевые экраны (МЭ);

• сетевые системы обнаружения и предотвращения вторжений (СОПВ);

• СОПВ уровня хоста;

• средства защиты от атак «отказа в обслуживании»;

• средства контентной фильтрации и защиты Веб-приложений;

• средства защиты от спама;

• средства антивирусной защиты;

• средства защиты от утечки конфиденциальной информации;

• и т.п.

Каждое из СЗИ может регистрировать сотни тысяч событий информационной безопасности (ИБ) в день. Большинство из этих сообщений ИБ являются результатом нормальной сетевой активности, и лишь немногие свидетельствуют о наличии реальных атак в ИТС. Поэтому в настоящее время мониторинг ИБ ИТС в динамически меняющейся сетевой среде является очень важной и сложной задачей.

Мониторинг ИБ - это постоянное наблюдение за объектами и субъектами, влияющими на ИБ ИТС, а также сбор, анализ и обобщение результатов наблюдений [10]. Системы мониторинга ИБ, осуществляют сбор сообщений ИБ, приведение их к единому виду, агрегацию и корреляцию для выявления аномальной сетевой активности. Для этого системы мониторинга ИБ, как правило, имеют в своем составе информационно-аналитическую систему, позволяющую оценить реальное состояние ИТС, выявить тенденции развития внутренних и внешних изменений, проанализировать возможные последствия управляющих воздействий.

Необходимость широкого применения систем мониторинга ИБ в сложных организационно-технических системах диктует усложнение и расширение круга задач 5 управления ИБ ИТС, высокую меру ответственности за принятое решение, потребность агрегирования данных для оценки и прогнозирования ситуации и потребность в эффективном реагировании на ее быстрые изменения [3]. Примерами таких систем являются: Netforencics, Cisco MARS, IBM Tivoli, HP Arcsight и т.п.

Помимо сообщений ИБ современные системы мониторинга ИБ хранят в своем банке данных большое количество данных, имеющих отношения к ИБ: сведения об уязвимости конечных систем, сведения о выполнении политик ИБ и т.п. Совокупность информации, хранящейся в подобном банке данных, может быть использована для поддержки принятия решений по обеспечению ИБ. Однако объемы этих данных их разнородный характер делают сложным учет всех возможных параметров. Таким образом, возникает противоречие между наличием параметров, влияющих на обеспечение ИБ организации, и отсутствием методики, позволяющей одновременно учесть все эти параметры. Это противоречие подчеркивает актуальность настоящей работы.

Данное противоречие может быть разрешено посредством оперативной обработки разнородных данных хранящихся в БД системы мониторинга ИБ и расчета на их основе некоторой консолидированной оценки результатов мониторинга ИБ. Консолидированная оценка позволит учесть все множество данных, хранящихся в системе мониторинга ИБ, при этом сведя их к значимому, релевантному и понятному единому индикатору. Полученный индикатор может быть далее использован для принятия быстрых корректных ответных действий обслуживающим персоналом системы мониторинга ИБ.

Поскольку принятие решения по управлению ИБ сложных систем, к числу которых относятся ИТС, происходит в условиях многокритериальности, многофакторности, неопределенности и при наличии большого числа ограничений, что приводит к тому, что лица, принимающие решения, без дополнительной аналитической и инструментальной поддержки используют упрощенные, а иногда противоречивые решающие правила. Многопараметричность и многокритериальность управленческой деятельности предполагает подключение на помощь человеку системы поддержки принятия решений (СППР) [69]. Положительный эффект от методики получения консолидированной оценки результатов мониторинга ИБ заключается в том, что она может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.

Формальная постановка задачи заключается в том, чтобы найти функцию, которая преобразует множество различных показателей ИБ, содержающихся в БД системы мониторинга, в единый индикатор - консолидированную оценку результатов мониторинга ИБ.

Системы мониторинга ИБ является важной частью реализации стратегии обеспечения ИБ различных организаций. Однако процессы обеспечения ИБ будут работать наиболее эффективно в случае, когда операционные (текущие), тактические (в ближайшей перспективе) и стратегические (в отдаленной перспективе) задачи будут четко определены и будут решаться, поддерживая друг друга [78]. Системы мониторинга ИБ предназначены для решения оперативных и тактических задач, содействуя в достижении стратегических целей.

В направлении исследования систем мониторинга ИБ работали многие отечественные и зарубежные ученые: П.Д. Зегжда, А.В Лукацкий, О.Б. Макаревич, В.В Романов, Д.В. Ушаков, И.А. Шелудько, M. Basseville, A. Benveniste, R. Bidou, H. R. Debar, L. A. Johnson, R. Marchan, J. Myers, V. Paxson, D. Shin, F.W. Feather, M. Thottan, С. Ji G. Wang, H. Zhang и другие.

В тоже время дальнейшего развития требуют методы обобщения результатов мониторинга ИБ, получения консолидированной оценки результатов мониторинга ИБ и способы построения централизованной упреждающей защиты.

Научно-технические проблемы защиты информационных ресурсов, информационных и телекоммуникационных систем определены в качестве основных направлений научных исследований в области обеспечения ИБ РФ, утвержденных Советом безопасности в 2008 г., что подчеркивает актуальность настоящей работы.

Тема работы соответствует пунктам 2, 14, 15 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Объектом исследования являются системы мониторинга ИБ ИТС.

Предметом исследования являются методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС. В работе рассматриваются корпоративные ИТС, представляющие собой открытые среды с возможностью выхода в Интернет, а также сетевые атаки, которые могут быть идентифицированы посредством анализа данных, содержащихся в системах мониторинга ИБ. Рассматриваются системы мониторинга ИБ, построенные на базе реляционных СУБД.

Целью данной работы является повышение защищенности ИТС посредством своевременного результативного выявления нарушений ИБ.

В рамках работы решаются следующие задачи:

• исследовать методы и алгоритмы, используемые в работе систем мониторинга

ИБ;

• исследовать закон распределения количества сообщений ИБ; I

• разработать метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ

ИТС;

• разработать методику получения консолидированной оценки результатов мониторинга ИБ ИТС;

• разработать практические рекомендации по улучшению систем мониторинга

ИБ;

• разработать программную реализацию для получения консолидированной оценки результатов мониторинга ИБ и провести экспериментальную проверку ее работы.

В качестве основных методов исследования применялись методы системного анализа, теории вероятности и математической статистики, теории нечетких множеств и нечеткой логики.

Научная новизна работы заключается в следующем.

1. Исследован закон распределения количества сообщений ИБ для различных временных интервалов при отсутствии атак в ИТС, который в дальнейшем используется в методе выявления нарушений ИБ в потоке сообщений ИБ ИТС.

2. Разработан метод выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ. Данный метод позволяет определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, что может являться сигналом аномальной сетевой активности.

3. Создана методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки, используемая в процессе обеспечению ИБ ИТС.

Сформулированные в работе теоретические положения и выводы развивают и дополняют разделы теории ИБ, посвященные построению комплексных систем ЗИ ИТС. Поставленные в диссертации вопросы повышения защищенности и удобства использования ИТС определяют теоретически важный аспект фундаментальных проблем ИБ, а их теоретическое осмысление обусловливает теоретическую значимость и ценность исследования.

Практическая значимость работы заключается в следующем.

1. Результаты исследования могут использоваться организациями при проектировании и разработке собственных систем мониторинга ИБ и наметить дальнейшие перспективы развития систем мониторинга ИБ и комплексных систем защиты информации в целом;

2. Программная реализация для получения консолидированной оценки результатов мониторинга ИБ может быть применена организациях для в процессе обеспечения ИБ ИТС;

3. Материалы диссертации также могут быть использованы при чтении курсов лекций по теории и практике защиты информации.

На защиту выносятся следующие основные результаты работы:

1. Метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ;

2. Методика получения консолидированной оценки результатов мониторинга ИБ, основанная на методах нечеткой логики и включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки.

Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, соответствием предложенных улучшений общим архитектурным принципам построения систем ЗИ и результатами лабораторного эксперимента.

Использование результатов исследования. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные положения диссертационной работы нашли отражение в 11 публикациях по теме проведенного исследования, 2 из которых опубликованы в журналах Перечня ВАК и 8 тезисов научных докладов. Результаты диссертационной работы докладывались на Всероссийской научно-технической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2008-2010 гг.), конференции «Технологии Microsoft в теории и практике программирования» (Москва, 2008 г.), конференции «Информационная безопасность» (Красноярск, 2008 г.), международная конференция «Информационная безопасность» (Таганрог, 2008 г.), общероссийской научно-технической конференции «Методы и 9 технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008 г.), а также на семинарах кафедры «Информационной безопасности банковских систем» НИЯУ МИФИ (Москва, 2009-2010 гг.).

Структура и объем работы. Структура диссертации подчинена логике исследования и состоит из введения, четырех глав, заключения и списка литературы. Объем работы составляет 170 страниц, 42 рисунка, 19 таблиц, 4 приложения.

4.7 Выводы по главе 4

• В ходе работы была создана программная реализация для получения консолидированной оценки результатов мониторинга ИБ ИТС и экспериментальная проверка ее работы. Архитектура программной реализации для получения консолидированной оценки результатов мониторинга ИБ включает в себя следующие элементы: модуль взаимодействия с системой мониторинга ИБ, локальное хранилище данных, интерфейс пользователя, модуль настройки параметров ПО и модуль нечеткой логики.

• Для проведения эксперимента и получения статистических данных использовался стенд, основанный на программно-аппаратном комплексе Spirent ThreatEx 3.30, предназначенном для эмуляции сетевых атак, сетевом оборудовании компании Cisco, ПЭВМ и серверах под управлением ОС Windows, реализованных в виде виртуальных машин VMWare.

• Для симуляции работы оператора системы мониторинга ИБ в рамках лабораторного эксперимента использовался блок адаптивной настройки СЗИ, а также были разработаны различные варианты настроек СЗИ, которые автоматически отправлялись на СЗИ в зависимости от значения консолидированной оценки результатов мониторинга ИБ.

• В ходе проведения эксперимента было показано, что система мониторинга ИБ ИТС на базе консолидированной оценки в среднем позволила заблокировать на 25.35% атак, по сравнению с обычной системой мониторинга ИБ. Таким образом, методику получения консолидированной оценки результатов мониторинга ИБ целесообразно использовать в процессе обеспечения ИБ и реализации упреждающей защиты ИТС.

• Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Заключение

Основным результатом диссертационной работы является разработка методики получения консолидированной оценки результатов мониторинга ИБ, которая включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки и используется в процессе обеспечения ИБ ИТС.

В соответствии с поставленными задачами в диссертации получены следующие результаты:

1. Проанализированы современное состояние систем мониторинга ИБ, включая уровень технического обеспечения, уровень методов и алгоритмов и уровень организационного обеспечения систем мониторинга ИБ, а также методы и алгоритмы, используемые в них. На основе анализа литературных источников и документов, связанных с системами мониторинга ИБ, произведена формальная постановка задачи определения функции получения консолидированной оценки результатов мониторинга ИБ.

2. Исследован закон распределения количества сообщений ИБ посредством использования непараметрического статистического критерия Колмогорова на уровне значимости а = 0.05. Знание данного закона позволяет определить случаи аномального количества сообщений ИБ, сигнализирующие об атаках в ИТС и разработать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС.

3. Создан метод выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для нормального закона распределения сообщений ИБ. Данный метод использует технику квадратичной интерполяции значений, хранящихся в таблице моментов, для получения оценок математического ожидания и дисперсии, являющихся параметрами закона распределения количества сообщений ИБ на заданном интервале времени.

4. Построен алгоритм выявления нарушений ИБ в потоке сообщений ИБ ИТС. Данный алгоритм позволяет практически реализовать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС и предоставить входные данные для метода и алгоритма адаптивной настройки СЗИ.

5. Разработана методика получения консолидированной оценки результатов мониторинга ИБ. Данная методика включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки результатов мониторинга ИБ, используемой в процессе обеспечения ИБ ИТС.

6. Исследованы системы мониторинга ИБ и на основе полученных результатов выработаны практические рекомендации по их улучшению, которые включают: блок адаптивной настройки СЗИ, многоуровневую систему хранения сообщений ИБ, развитие корреляционного анализа сообщений ИБ и межкорпоративную корреляцию событий ИБ. Данные улучшения позволят повысить качество мониторинга ИБ и, как следствие, защищенность ИТС.

7. Разработана программная реализация для получения консолидированной оценки результатов мониторинга ИБ, включающая SQL-запросы к таблицам базы данных, Bash-скрипты для настройки СЗИ, библиотека, реализующая нечеткую логику и графический интерфейс, выполненный на языке Microsoft Visual Basic.

Разработанная программная реализация для получения консолидированной оценки рекомендуется для использования в составе систем мониторинга ИБ ИТС и создания упреждающей защиты.

В качестве дальнейшего развития работы можно назвать профессиональную практическую реализацию методики получения консолидированной оценки результатов мониторинга ИБ, обобщение методики для территориально распределенных ИТС, работающих в различных временных поясах, добавление и разработку дополнительных показателей ИБ, более глубокое изучение взаимосвязи между заданными показателями ИБ и различными настройки СЗИ, а также применение разработанной методики к другим областям знания (например, к анализу производительности труда сотрудников ИТС на рабочем месте, посредством отслеживания таких показателей, как количество обращений пользователей к серверам социальных сетей, количество встреч в календарях Outlook, распределению количества телефонных звонков, запросов пользователей к новостным сайтам и т.п.).

1. Лукацкий А.В., Ситуационные центры по информационной безопасности / А.В. Лукацкий // Журнал. «Information Security/Информационная безопасность». 2005. — №2.- С. 28-30. ссылка.

2. Романов В.В., Ситуационные центры в решении проблем информационной безопасности / В.В. Романов // Журнал «Information Security/Информационная безопасность». 2006. - №3,4. - С. 28. ссылка]

3. Security Information Management Электронный ресурс] : Веб-сайт / Netforensics. 2003- .- Режим доступа к Веб-сайту: http://www.netforensics.com.

4. Построение центра мониторинга и управления безопасностью Cisco. Архитектура, процессы и результаты Электронный ресурс]: Веб-сайт / Cisco. 2006- . Режим доступа к Веб-сайту: http://www.cisco.ru.

5. Rationalizing Security Events with Three Dimensions of Corrélation Электронный ресурс]: Веб-сайт / Cisco. 2005- . Режим доступа к Веб-сайту: http://www.cisco.com.

6. Security Opération Center Concepts & Implementation Электронный ресурс]: Веб-сайт / R. Bidou. 2005- Режим доступа к Веб-сайту:http://www.iv2-technologies.com/~rbidou/SOCConceptAndImplementation.pdf

7. Northcutt S. Network Intrusion Détection / S. Northcutt, J. Novak. SAMS, 2002.- 3 Edition. 512 p.

8. Spafford E.H., Intrusion détection using autonomous agents / E.H. Spafford, D. Zamboni // Computer Networks. 2000. - №34. - P. 547-570.

9. СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы российской федерации. Общие положения. Введ. 2010-06-21. — М.: 2010.-42 с.

10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления безопасностью. Введ. 2009-29-12. - М.: Стандартинформ, 2006. -62 с.

11. Игнатьев М., Общий Центр Обслуживания как инструмент повышения эффективности крупной компании / М. Игнатьев // Журнал «Нефтегазовая вертикаль». -2005.-№15. ссылка]

12. Лукацкий А.В., Безопасность сети оператора / А.В. Лукацкий // Журнал «Информкурьер-связь». — 2005. № 2. ссылка]

13. Bypassing Intrusion Detection Systems Электронный ресурс]: Веб-сайт / R. Gula. 2000- . Режим доступа к Веб-сайту: http://blackhat.com

14. Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection Электронный ресурс]: Веб-сайт / T.Ptacek, Т. Newsham. 1998- — Режим доступа к Вебсайту: http://citeseer.ist.psu.edu/ptacek98insertion.html

15. Almgrent М. Application-Integrated Data Collection for Security Monitoring / M. Almgren, U. Lindqvist // RAID International Symposium. Davis. - 2001.

16. Welz M. Interfacing Trusted Applications with Intrusion Detection Systems / M. Welz // Recent Advances in Intrusion Detection / M. Welz, A. Hutchison. Springer Berlin/Heidelberg, 2001, P. 37-53.

17. Intrusion Detection Exchange Format Электронный ресурс]: Веб-сайт / M. Erlinger, S. Staniford-Chen. 2001— . — Режим доступа к Веб-сайту: http://www.ietf.org

18. Valdes A. Probabilistic Alert Corelation / A. Valdes, K. Skinner // RAID International Symposium. Davis. — 2001.

19. Designing a Web of High-Configurable Intrusion Detection Sensors Электронный ресурс]: Веб-сайт / G. Vigna, R.A. Kemmerer, P. Blix. 2001- . Режим доступа к Веб-сайту: http://citeseerx.ist.psu.edu

20. Cisco Monitoring Analysis and Response System Электронный ресурс]: Веб-сайт / Cisco Systems. 2006- . Режим доступа к Веб-сайту: www.cisco.com [ссылка]

21. Debar Н. Aggregation and Correlation of Intrusion-detection Alerts / H. Debar // Recent Advances in Intrusion Detection / H. Debar, A. Wespi. Springer Berlin/Heidelberg, 2001, P. 85-103.

22. Vert G. A Visual Mathematical Model for Intrusion Detection / G. Vert, D.A. Frincke, J.C. McConnel // NISS Conference. Crystal City. - 1998.

23. A Framework for Cooperative Intrusion Detection Электронный ресурс]: Веб-сайт / D. Frincke, D. Tobin, J. McConnel, J. Marconi, D. Polla. 1998- . Режим доступа к Веб-сайту: http://www.cs.umbc.edu/research/cadip/pubs.html

24. Modeling and Simulation of Intrusion Risk Электронный ресурс]: Веб-сайт / R. Bidou. 1998- . — Режим доступа к Веб-сайту: http://www.intexxia.com

25. Radatz J. The IEEE Standard Dictionary of Electrical and Electrics Terms / J. Radatz. -N.Y.: IEEE Standards Office, 1997. 1278 p.

26. Amoroso E.G. Fundamentals of Computer Security Technology / E.G. Amoroso. -Prentice Hall PTR, 1994. 432 p.

27. A Common Language for Computer Security Incidents Risk Электронный ресурс]: Веб-сайт / J.D. Howard, Т.A. Longstaff. 1998- . — Режим доступа к Веб-сайту: http://citeseerx.ist.psu.edu

28. RFC 1757. Remote Network Monitoring Management Information Base. Введ. 2005-02.-IETF, 1995.-91 c.

29. Attack trees Электронный ресурс]: Веб-сайт / В. Schneier. 1999- . Режим доступа к Веб-сайту: http://www.schneier.com

30. Survivable Networks Systems: An Emergency Discipline / R.J. Ellison et al.]. -Pittsburgh, PA: Carnegie Mellon University, 1997. 58 p.

31. Handbook for Computer Security Incident Response Teams / M.J. West-Brown et al.] — Pittsburgh, PA: Carnegie Mellon University, 2003. 222 p.

32. ГОСТ P ИСО/МЭК 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. — Введ. 2008-01-07. М.: Стандартинформ, 2009. - 50 с.

33. Банковская система России. Центробанк и коммерческие банки Электронный ресурс]: Веб-сайт / Е. Трубович. 2008- . Режим доступа к Веб-сайту: http://www.zanimaem.ru [ссылка]

34. ФЗ № 86 «О Центральном банке Российской Федерации (Банке России)». Введ. 2002-06-10. -М.: Кремль, 2002. 61 с.

35. ФЗ № 395-1 «О банках и банковской деятельности». Ред. 2010-02-15. -М.: Кремль, 2010.-32 с.

36. COBIT 4.1. Control Objectives for Information Technologies Электронный ресурс]: Веб-сайт / IT Governance Institute . 2007- . Режим доступа к Веб-сайту: http://www.isaca.org

37. RFC 4765. Intrusion Detection Message Exchange Format. Введ. 2007-03. - IETF, 2007.- 157 c.

38. RFC 1700. Assigned Numbers-Введ. 1994-10. IETF, 1994.-230 c.

39. Analysis Techniques for Detecting Coordinated Attack and Probes / J. Green et al.] Santa Clara, CA: Workshop on Intrusion Detection and Network Monitoring-1999 - 10 p.

40. Kuri J. A Pattern Matching Based Filter for Audit Reduction and Fast Detection of Potential Intrusions / J. Kuri // Recent Advances in Intrusion Detection / J. Kuri et al.] -Springer Berlin/Heidelberg, 2000, P. 17-27.

41. Скородумов Б.И. Информационная безопасность современных коммерческих банков / Б.И. Скородумов // Журнал «Информационное общество». 2004. № 6. -С. 41-45. ссылка]

42. Нив Г.Р. Цикл Деминга / Г.Р. Нив // Пространство доктора Деминга / Г.Р. Пив. -Альпина Бизнес Букс, 2005. Гл.9. - С. 74-78.

43. Заде JI. Понятие лингвистической переменной и его применение к принятию приближенных решений / JI. Заде. М.: Мир, 1976. - 165 с.

44. Круглов В.В. Интеллектуальные информационные системы: компьютерная поддержка систем нечеткой логики и нечеткого вывода / В.В. Круглов, М.И. Дли М.: Физматлит, 2002. - 252 с.

45. Классификатор Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

46. Системный анализ Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

47. Голубков З.П. Использование системного анализа при принятии решений / З.П. Голубков М.: Экономика, 1992. - 456 с.

48. Игнатьева А. В. Исследование систем управления / A.B. Игнатьева, М.М. Максимцов. М.: ЮНИТИ-ДАНА, 2000. - 157 с.

49. Кузьмин В. П. Исторические предпосылки и гносеологические основания системного подхода / В.П. Кузьмин // Психол. журн. 1982. -№3, -С. 3-14; №4. -С. 3-13.

50. Леоленков A.B. Нечеткое моделирование в среде MATLAB и fuzzyTECH / A.B. Леоленков. СПб.: БХВ-Петербург, 2005. - 736 с.

51. Рутковская Д. Нейронные сети, генетические алгоритмы и нечеткие системы / Д. Рутковская, М. Пилиньский, Л. Рутковский, М.: Горячая линия-Телеком, 2004. - 452 с.

52. Масалович А. Нечеткая логика в бизнесе и финансах Электронный ресурс]: Вебсайт / ТОРА-Центр. 2005- . Режим доступа к Веб-сайту: http://www.tora-centre.ru [ссылка]

53. Kosko В. Fuzzy systems as universal approximators / В. Kosko // IEEE Transactions on computers.- 1994. -№ 11.-P. 1329-1333.

54. Cordon O. A General study on genetic fuzzy systems / O. Cordon, F. Herrera // Genetic Algorithms in engineering and computer science. 1995. - P. 33-57.

55. Герасименко В.А. Основы защиты информации / В.А. Герасименко, А.А. IVTemioK. -М.: МИФИ, 1997.-537 с.

56. Домарев В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев. М.: ТИД ДС, 2004. - 992 с.

57. Application for Fuzzy Logic Электронный ресурс]: Веб-сайт / Univercity of Strathclyde ESRU. 1996- . Режим доступа к Веб-сайту: http://www.esru.strath.ac.uk/Reference/concepts/fuzzy/fuzzyappl.10.htm

58. Метод Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Вебсайту: http://www.wikipedia.ru [ссылка]

59. Методика Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

60. Дьяконов В. П. MATLAB. Анализ, идентификация и моделирование систем. Специальный справочник / В.П. Дьяконов В. П., В.В. Круглов -СПб.: Питер, 2002. — 443 с

61. Основы языка SQL Электронный ресурс]: Веб-сайт / Каталог программиста. 2004. Режим доступа к Веб-сайту: http://articles.org.ru/docum/sql/sqlnew.php

62. Боллапрагада В. Структура операционной системы Cisco IOS / В. Боллапрагада, К.' Мэрфи, Р. Уайт. М.: «Вильяме», 2002. - 208 с.

63. Cooper М. Advanced Bash Scripting Guide / M. Cooper. UK.: Paul-Robert Archibald, 2006. 695 p. ссылка]

64. СТО БР ИББС-2.2-2009. Обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки рисков нарущения информационной безопасности. Введ. 2010-01-01. - М.: 2009. - 23 с.

65. Cisco на российском рынке ИБ Электронный ресурс]: Веб-сайт / CNews. 2008— . -Режим доступа к Веб-сайту: http://www.cnews.ru [ссылка]

66. Ковалев Д.О. Операционные центры информационной Безопасности / Д.О. Ковалев, Н.Г. Милославская // Научная сессия МИФИ-2008. Проблемы информационной безопасности в системе высшей школы. М.: МИФИ. -2008.

67. Ковалев Д.О. Современные центры управления безопасностью / Д.О. Ковалев, II.Г. Милославская // X Международная конференция «Информационная безопасность». -Таганрог: ЮФУ. 2008. С. 25-27.

68. Ковалев Д.О. Идеология и реализация операционных центров информационной безопасности / Д.О. Ковалев // Безопасность информационных технологий. 2008. - N4. С. 103.

69. Ковалев Д.О. Особенности построения современных систем управления информационной безопасностью / Д.О. Ковалев, Н.Г. Милославская // Доклады Томского государственного университета систем управления и радиоэлектроники. 2008. -№ 2(18) часть 1.-С. 112-113.

70. Ковалев Д.О. Архитектура операционного центра информационной безопасности / Д.О. Ковалев, Н.Г. Милославская // Научная сессия МИФИ-2009. Проблемы информационной безопасности в системе высшей школы. — М.: МИФИ. -2009.

71. Ковалев Д.О. Основные тенденции обеспечения информационной безопасности в 2009 году / Д.О. Ковалев // Аналитический банковский журнал. 2009. - N3(166). С. 7073.

72. Ковалев Д.О. Управление информационной безопасностью / Д.О. Ковалев // Аналитический банковский журнал. -2009. -N10(173). С. 79-81.

73. Ковалев Д.О. «Новый подход к использованию систем обнаружения вторжений для защиты банковских Интернет-приложений» / Д.О. Ковалев // Аналитический банковский журнал. -2009. -N3(166). С. 70-73.

74. Harris S. CISSP Certification All-in-One Exam Guide / S. Hams N.Y.: McGraw-Hill Osborne Media, 2007. - 1145 p.

75. Центр координации деятельности по информационной безопасности Электронный ресурс]: Веб-сайт / Лаборатория информационных систем. М.:2008- . Режим доступа к Веб-сайту: http://wwvv.lins-m.ru

76. Сгатьев В.Ю. Информационная безопасность распределенных информационных систем / В.Ю. Статьев, В.А. Тиньков // Журнал «Информационное общество». 1997. -№. 1.С. 68-71.

77. Marty R. Applied Security Visualization / R. Marty. Addison-Wesley Professional, 2009. - 552 p.

78. Carter E. Intrusion Prevention Fundamentals / E. Carter, J. Hogue. Indianapolis, IN: Cisco Press, 2006.-312 p.

79. Корреляция Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wilcipedia.ru [ссылка]

80. Центроид треугольника Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . — Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

81. Doyle J. Routing TCP/IP. Volume 1 / J. Doyle, J. Carroll. Indianapolis, IN: Cisco Press, 2006.-936 p.

82. Bastien G. CCSP SNPA Official Exam Certificatino Guide / G. Bastien et al.]. -Indianapolis, IN: Cisco Press, 2006. 768 p.

83. Вирусы и антивирусы: гонка вооружений Электронный ресурс]: Веб-сайт / Securelist.com. 2008- . — Режим доступа к Веб-сайту: http://www.securelist.com [ссылка]

84. Служба информационной безопасности Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . — Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

85. Голов А. «Обеспечение информационной безопасности современного банка» / А. Голов // СЮ. 2006. - N6. ссылка]

86. Евтеев Д. «Анализ защищенности Web-приложений» / Д. Евтеев // Открытые системы. 2009. -N3. ссылка]

87. Курило А.П. «О новой редакции Стандарта Банка России» / А.П. Курило // Деньги и кредит. 2009. -N2. С. 3-7. ссылка]

88. Netforensics Электронный ресурс]: Веб-сайт / Netforensics. 2008- . Режим доступа к Веб-сайту: http://www.netforensics.com.

89. CA E-trust Электронный ресурс]: Веб-сайт / Computer Associates. 2008- . Режим доступа к Веб-сайту: http://www.ca.com. [ссылка]

90. Cisco MARS Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com. [ссылка]

91. Tivoly TSOM Электронный ресурс]: Веб-сайт / IBM. 2010- . Режим доступа к Веб-сайту: http://www.ibm.com. [ссылка]

92. Eventia Analyzer Электронный ресурс]: Веб-сайт / Checkpoint. 2009- . Режим доступа к Веб-сайту: http://www.checkpoint.com. [ссылка]

93. Шювба С.Д. Проектирование нечетких систем средствами MATLAB / С.Д. Штовба. М.: Горячая линия - Телеком, 2007. - 288 с.

94. Сенаторов М.Ю. Информационно-телекоммуникационная система Банка России / М.Ю. Сенаторов. М.: 2007. - 199 с.

95. Castro J.L. Fuzzy systems with defuzzification are universal approximators / J.L Castro, M. Delgado // Systems, Man, and Cybernetics, Part B: Cybernetics. 1996. -N26(1). P. 149152

96. Thottan M. Proactive anomaly detection using distributed agents / M. Thottan, C. Ji // IEEE Network. 1998. P. 21-27

97. Feather F. W. Fault Detection in Ethernet Networks via Anomaly Detection / F.W. Feather // Ph.D. thesis, Department of Electrical Engineering and Computer Engineering, Carnegie Mellon University. 1992.

98. Feather F. W. Fault Detection In Ethernet Network Using Anomaly Signature Matching / F.W. Feather, D. Siewiorek, R. Maxion // Proceedings of the SIGCOMM93. 1993, P. 279-288.

99. Баранов П. А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности / П.А. Баранов // Проблемы информационной безопасности СПб , 2006, - № 3, С 15-24.

100. Шевченко А.С. Методы обнаружения сетевых вторжений / А.С. Шевченко, А.К. Зыков // Информационные, сетевые и телекоммуникационные технологии. Сборник научных трудов, под ред. проф. д.т.н. Жданова B.C., МГИЭМ, М.:, 2005. С. 114-117.

101. Дружинин Ф.Д. Выявление и предотвращение злоумышленной активности на отдельном сервере или рабочей станции / Ф.Д. Дружинин // III Общероссийская студенческая электронная научная конференция «Студенческий научный форум 2011». М.:, 2011.-С. 1-13.

102. Шелудько И.А. Регистрация и анализ событий безопасности в информационныхсистемах / О.Б. Макаревич, И.А. Шелудько // Известия ТРТУ. Тематический выпуск.145

103. Материалы V Международной научно-практической конференции «Информационная безопасность», Таганрог, 2003 г., с. 211-216.

104. Ковалев Д.О. Оценка количества сообщений ИБ в автоматизированных системах как метод выявления сетевых атак / Д.О. Ковалев, Н.Г. Милославская // Безопасность информационных технологий. 2011. -N1. С. 44-50.

105. Условия применения экстраполяции Электронный ресурс]: Веб-сайт / Extrapolation.ru. 2009- . Режим доступа к Веб-сайту: http://extrapolation.ru [ссылка]

106. Махотило К.В. Разработка методик эволюционного синтеза нейросетевых компонентов систем управления / К.В. Махотило // Диссертация на соискание ученой степени кандидата технических наук, ХГПУ, Харьков, 1998.

107. Интерполяция Электронный ресурс]: Веб-сайт / Wikipedia. 2009-. Режим доступа к Веб-сайту: http://wikipedia.ru [ссылка]

108. Интерполяционный многочлен Лагранжа Электронный ресурс]: Веб-сайт / Wikipedia. 2009- Режим доступа к Веб-сайту: http://wikipedia.ru [ссылка]

109. Han К. Development of threat evaluation tool for distributed network environment / K. Han, I. Kim, K. Lee, J. Choi, S. Jeon // Department of Computer Science and Engineering Korea University, Seoul, 2005.

110. Axelsson S. On a Difficulty of Intrusion Detection / S. Axelsson // Department of Computer Engineering, Chalmers University of Technology, Gothenburg, 1999.

111. Bass T. Intrusion Detection Systems and Multisensor Data Fusion / T. Bass // Communications of the ACM, Vol. 43, 2001, N 4, P 99-105.

112. Костогрызов А.И. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем / Безкоровайный М. М., Костогрызов А. И., Львов В. М. // Вооружение, политика, конверсия, М.: 2001, 303 с.

113. Craddock R. What can Modern Data Fusion do for you / R. Craddock R // Thales Research and Technology, UK, 2009.

114. Kagey P. Data Fusion / P. Kagey // Lockheed Martins, 2006.

115. Tan R. Impact of Data Fusion on Real-Time Detection in Sensor Networks / R. Tan, G. Xing, B. Liu, J. Wang // Michigan State University, Tech. Rep., 2009, MSU-CSE-09-19.

116. Voice and Unified Communitcations Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com.146

117. Fibre Channel over Ethernet Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com.

118. Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой. -М.: Юнити-Дана, 2004. 592 с.

119. Magic Quadrant for Network Inrusion Preventio Systems Электронный ресурс]: Вебсайт / Gartner. 2008- . — Режим доступа к Веб-сайту: http://www.gartner.com

120. Buyer's Guide For Intrusion Prevention Systems Электронный ресурс]: Веб-сайт / Intrusion Forum. 2008- . Режим доступа к Веб-сайту: http://forum-intrusion.com

121. Гмурман В.Е. Теория вероятностей и математическая статистика / В.Е. Гмурман -Москва: Высшая школа, 2003. 479 с.