автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Модель и методика обнаружения несанкционированных действий и атак в сетях ТСР/IP

СЫПИН Алексей Александрович

МОДЕЛЬ И МЕТОДИКА ОБНАРУЖЕНИЯ НЕСАНКЦИОНИРОВАННЫХ ДЕЙСТВИЙ И АТАК В СЕТЯХ TCP/IP

Специальность 05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

Автореферат диссертации на соискание ученой степени кандидата технических наук

Тула-2006

Работа выполнена на кафедре электронных вычислительных машин в Тульском государственном университете

Научный руководитель

- доктор технических наук, профессор Ильин Анатолий Александрович

Официальные оппоненты

Ведущая организация

- доктор технических наук, профессор Есиков Олег Витальевич

- кандидат технических наук, доцент Евсюков Владимир Васильевич

■ Рязанский государственный радиотехнический университет

Защита состоится « 27 » декабря 2006 г. в 10 часов на заседании диссертационного совета Д 212.271.07 при Тульском государственном университете (300600, г. Тула, пр. Ленина, 92, 9 - 101).

С диссертацией можно ознакомиться в библиотеке университета. Автореферат разослан « 24 » ноября 2006 г.

Ученый секретарь диссертационного совета

■ Ф.А. Данилкин

Общая характеристика работы

Актуальность темы. В настоящее время существует множество информационных систем (ИС) со сложной структурой, большим числом элементов и информационных связей, которые при этом находятся в общем информационном пространстве. Из-за подверженности ИС внутренним и внешним угрозам, несовершенству их реализации, а также высокой стоимости хранящейся и обрабатываемой в них информации возникает задача обеспечения информационной безопасности в сети ИС, частично решить которую позволяют появившиеся сравнительно недавно системы обнаружения атак (COA). Однако недостаточное развитие математических основ технологии обнаружения атак не позволяет разрабатывать по-настоящему эффективные модели и методы обнаружения большинства видов несанкционированных действий и атак в сети ИС. Этим объясняется актуальность исследования в этой области.

Попыткой систематизации знаний в области обнаружения сетевых атак являются работы Лукацкого A.B., обобщенные в книге «Обнаружение атак», согласно которым «большинство существующих методов основано на личных предпочтениях разработчиков COA либо на достижениях в смежных областях; под разработанные средства и механизмы пока не подведен научный базис, что не позволяет подтвердить или опровергнуть эффективность предлагаемых решений». Анализ принципов работы современных COA подтверждает эти выводы. Мало внимания уделено проблеме обнаружения сложных атак, осуществляемых путем параллельной реализации нескольких видов атак, выявляемых с использованием методов математической статистики. Не смотря на возрастающую с каждым днем сложность политики безопасности ИС, в современных COA практически не учитывается проблема обнаружения несанкционированных действий в сети. В связи с этим очевидна актуальность задачи разработки математической модели обнаружения несанкционированных действий и атак в сети, позволяющей учесть как известные сетевые атаки, так и политику безопасности ИС. Для использования модели в математическом программном обеспечении необходимо разработать методику обнаружения несанкционированных действий и атак в сети. Под политикой безопасности будем понимать совокупность норм и правил, регламентирующих процесс обработки информации в ИС, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности будем называть моделью политики безопасности.

Анализ существующих подходов к определению надежности программных средств (ПС) выявил их обобщенность и универсальность, что не всегда позволяет учесть особенности функционирования отдельных классов ПС. Так, например, методика, предложенная в ГОСТ 28195-89, не

учитывает особенностей COA, требует проведения большого числа экспертных оценок на разных фазах разработки и эксплуатации ПС и базируется на сравнении с некоторым эталоном. Так как для оценки надежности COA не всегда можно найти эталон и необходимо учитывать особенности ее функционирования, то становится актуальной "задача разработки методики оценки надежности функционирования COA. Для решения этой задачи необходимо разработать систему критериев и показателей надежности COA, учесть относительную важность критериев и минимально допустимые уровни показателей надежности.

Объектом исследования являются программные средства обнаружения несанкционированных действий и атак в сети.

Предметом исследования являются характеристики ПС обнаружения несанкционированных действий и атак в сети и методы оценки надежности функционирования COA.

Цель н задачи диссертации. Целью является повышение надежности обнаружения несанкционированных действий и~ атак в сети путем использования специальной математической модели политики безопасности и методики обнаружения, позволяющих выявлять как сетевые атаки, так и нарушения политики безопасности ИС.

Для достижения указанной цели поставлены и решены следующие задачи:

1. Анализ методов осуществления сетевых атак для выбранного стека протоколов, а также существующих технологий и методов их обнаружения с целью определения характеристик событий ИС, влияющих на надежность обнаружения сетевых атак.

2. Анализ существующих моделей политики безопасности с целью определения характеристик событий ИС, влияющих на надежность обнаружения несанкционированных действий в сетях на основе выбранного стека протоколов.

3. Разработка модели политики безопасности обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов, совокупности норм и правил, регламентирующих процесс обработки информации в ИС.

4. Разработка методики обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов с использованием впервые предложенной математической модели политики безопасности.

5. Анализ возможности использования существующих методик оценки надежности ПС применительно к COA.

6. Разработка системы критериев и показателей надежности COA.

7. Разработка методики оценки надежности функционирования COA, учитывающей относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

8. Разработка программного пакета «Система обнаружения несанкционированных действий и атак», позволяющего обнаруживать несанкционированные действия и атаки в сетях на основе выбранного стека протоколов, задавать правила обнаружения, вести журнал регистрации событий.

Методы исследования. В качестве основного инструмента теоретического исследования использовались методы функционального анализа, линейной алгебры, теории вероятностей и математической статистики, защиты информации.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1. Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса позволяет выявлять сложные атаки и несанкционированные действия.

2. Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности.

3. Разработана система критериев и показателей надежности COA, учитывающая особенности функционирования рассматриваемого класса ПС.

4. Разработана методика оценки надежности функционирования COA, учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

Общие модели политики безопасности были разработаны ранее (дискреционная модель Харрисона-Руззо-Ульмана, типизированная матрица доступа, мандатная модель Белла и Ла Падулы, ролевая модель безопасности и т.д.), а впервые предложенная модель послужила их дальнейшим развитием применительно к процессу обнаружения несанкционированных действий и атак в сети.

На защиту выносятся следующие основные результаты:

- предикатная математическая модель безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС;

- методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP;

- методика оценки надежности функционирования COA.

Достоверность полученных результатов подтверждена корректным использованием методов функционального анализа, операционного исчисления, линейной алгебры, теории вероятностей и математической статистики, защиты информации. Разработка алгоритмов и программ осуществлялась на основе объектно-ориентированного подхода к организации данных и методов их обработки.

Экспериментальное подтверждение эффективности предложенных модели и методик получено путем их применения в пакете программ для контроля безопасности сетевой среды ряда организаций.

Практическая ценность работы. Разработанные математическая модель безопасности и методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, позволяют расширить функциональные возможности задания правил обнаружения сетевых атак и нарушений политики безопасности, а их использование в СОА позволяет повысить надежность ее функционирования.

Разработанная методика оценки надежности функционирования СОА позволяет учесть относительную важность предложенных критериев и минимально допустимые уровни показателей надежности.

Программная реализация разработанных модели и методик отличается компактным программным кодом.

Реализация н внедрение результатов работы. Разработанные модель политики безопасности и методики были программно реализованы в разработанном пакете программ «Система обнаружения несанкционированных действий и атак».

Прикладные результаты данной работы внедрены автором в рамках научно-технического сотрудничества для контроля безопасности сетевой среды в ООО «Омега» (г. Тула), ООО «Леке» (г. Тула), ООО «Экосталь» (г. Тула), ООО «Мегатаб» (г. Рязань), ООО «Мегатрейд» (г. Калуга). Для каждой ИС разрабатывались группы разрешающих и запрещающих правил политики безопасности, проводились настройка и тестирование разработанного пакета в рабочем режиме. В результате удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (Attack Detection Plug-In) и Sourcefire Snort 2.6.0.2).

Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

Апробация работы. Результаты исследования докладывались и обсуждались на студенческих конференциях и семинарах ТулГУ, а также на следующих научно-технических и научно-практических конференциях: Всероссийской научно-практической конференции «Проблемы информатизации образования» в 2001 г. (г. Тула), Третьей региональной научно-практической конференции «Проблема качества подготовки студентов в системе открытого образования» в 2002 г. (г. Калуга), Межрегиональной научно-практической конференции «Информационные ресурсы как фактор социально-экономического развития региона» в 2003 г. (г. Тула), Межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» в 2003, 2004, 2005, 2006 гг. (г. Тула), XLII Всероссийской конференции по проблемам математики, информатики, физики и химии в 2006 г. (г. Москва).

Публикации. По результатам исследований опубликовано 13 работ, в том числе 7 статей и 6 тезисов докладов.

Структура и объем диссертации. Диссертационная работа изложена на 150 страницах и состоит из введения, четырех глав, заключения и приложений на семи страницах. Библиографический список включает в себя 121 наименование. Работа содержит 16 рисунков и 13 таблиц.

Краткое содержание работы

Во введении обоснована актуальность исследуемых вопросов, определены цель и задачи диссертационного исследования, сформулированы основные положения, выносимые на защиту.

В первой главе дается краткий обзор основных аспектов организации обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP. Рассмотрены основные угрозы безопасности ИС, задача обеспечения информационной безопасности в сети и ее решение с помощью СОА. Приведен анализ возможностей, принципов функционирования, используемых технологий и тенденций развития СОА. Рассмотрены основные методики оценки надежности ПС.

Проведен анализ использования различных стеков протоколов в сетях современных ИС. Обоснован выбор стека сетевых протоколов TCP/IP как наиболее распространенного с 1998 года (в настоящий момент его доля превышает 90 %) для решения задачи обнаружения несанкционированных действий и атак. Рассмотрены архитектура и принципы реализации межсетевого взаимодействия с помощью стека протоколов TCP/IP на следующих уровнях: сетевого доступа, межсетевом, межхостовом и прикладном, а также вложенность пакетов различных уровней друг в друга.

Проведен анализ методов осуществления сетевых атак для стека протоколов TCP/IP, а также существующих технологий и методов их

обнаружения. Определены характеристики событий ИС, влияющие на надежность обнаружения сетевых атак.

Проанализированы основные подходы к обнаружению атак: сигнатурный (на базе шаблона атаки) и аномальный (на базе профиля поведения субъекта ИС). Показано, что существующие подходы не ориентированы на разработку эффективного математического и программного обеспечения вычислительных машин, комплексов и компьютерных сетей.

Проведены анализ и классификация современных методов обнаружения атак, для каждого из которых определены базовый принцип и область применения, выделены недостатки. Показано, что для обнаружения некоторых видов атак необходим учет частотных характеристик сетевого вычислительного процесса.

Проведен анализ существующих формальных моделей безопасности. Показано, что известные модели политики безопасности: дискреционная модель Харрисона-Руззо-Ульмана, типизованная матрица доступа, модель Белла и Ла Падулы, модели совместного доступа, ролевая модель безопасности не позволяют учесть частотные характеристики сетевого вычислительного процесса и использование правил, предлагаемых в этих моделях безопасности, не позволяет обнаруживать сложные атаки. Определены характеристики событий ИС, влияющие на надежность обнаружения несанкционированных действий в сетях на основе стека протоколов TCP/IP.

Из анализа известных методов и подходов к обнаружению атак, а также формальных моделей безопасности сделан вывод, что их использование не позволяет одновременно обнаруживать как известные сетевые атаки, так и нарушения политики безопасности ИС, поэтому необходимо разработать модель и методику обнаружения несанкционированных действий и атак, расширяющие функциональные возможности задания правил обнаружения атак и нарушений политики безопасности ИС.

Проанализированы основные методики оценки надежности функционирования ПС. Рассмотрены особенности COA, позволяющие их выделить в отдельный класс ПС. Показано, что они не позволяют учесть особенности функционирования COA из-за их обобщенности и универсальности, требуют проведения большого числа экспертных оценок на различных фазах разработки и эксплуатации ПС и основываются на сравнении с некоторым эталоном. Сделан вывод, что для оценки надежности работы COA необходимо разработать методику определения надежности функционирования COA, позволяющую учесть особенности этого класса ПС без использования эталона.

Поставлены задачи диссертационного исследования.

Во второй главе приводятся разработанные теоретические

положения, описывающие модель политики безопасности и методику обнаружения несанкционированных действий и атак в сети на основе стека протоколов TCP/IP, использование которых в программном обеспечении (ПО) позволяет выявлять сетевые атаки и нарушения политики безопасности ИС. Также приводятся разработанные теоретические положения методики оценки надежности функционирования СОА, не требующей наличия эталона.

Показано, что в общем случае, любое сетевое взаимодействие в рамках стека протоколов TCP/IP между узлами ИС или между ИС сводится к обмену сетевыми пакетами. Под обменом понимается либо формирование и отправка, либо прием и сборка пакета. Любой обмен пакетами можно представить в виде события ИС, имеющего набор определенных характеристик. Для регистрации и анализа событий необходимо осуществлять перехват всех сетевых пакетов.

Для определения основных характеристик сетевых событий кратко рассмотрены структуры заголовков пакетов и особенности взаимодействия следующих основных протоколов стека TCP/IP: ARP, IP, TCP, UDP, ICMP, IGMP. Каждое поле заголовка пакета для приведенных выше протоколов будет являться одной из определяемых характеристик события и использоваться для построения разрешающих и запрещающих правил обнаружения несанкционированных действий и атак в сети.

Проведена формализация задачи обнаружения несанкционированных действий и атак в сети. Ее можно свести к перехвату сетевых пакетов, определению числовых характеристик события и вычислению с помощью модели политики безопасности обнаружения несанкционированных действий и атак оценок события. Анализ полученных оценок позволит определить вид нарушения политики безопасности ИС или вид атаки в случае их возникновения, а также принять меры по их устранению.

Определены вспомогательные характеристики событий, использование которых при построении правил обнаружения позволяет выявлять не только сетевые атаки, но и нарушения политики информационной безопасности ИС. К ним решено отнести характеристики, описывающие время наступления события: дата, время, день недели, год, номер месяца, день месяца). Использование вспомогательных характеристик в правилах обнаружения позволит выявлять несанкционированные действия в сети, не соответствующие регламенту ИС, например, осуществление определенных действий в сети в нерабочее время.

Каждому возможному сетевому событию может быть сопоставлен лишь один элемент а из множества разрешений Л={0;1}: событие либо разрешено (а=0), либо запрещено (а=1). Также любому событию может быть сопоставлен только один элемент d множества текстовых описаний D={di, d2, ..., do), где d!t d2, ..., dg — текстовые описания нарушений

политики безопасности и атак в сети, Q — число обнаруживаемых несанкционированных действий и атак в сети. Каждое событие имеет К определяемых характеристикл>, где к=\+К.

Для обнаружения несанкционированного действия или атаки,в сети по определенным характеристикам события впервые предложено использовать множество групп правил обнаружения С, каждый элемент g которого, т.е. отдельная группа, состоящая из некоторых дополнительных характеристик и множества правил Rg и, каждое правило г которого описывает значения различных характеристик события, одновременное появление которых будет означать выявление разрешенного или запрещенного в ИС сетевое событие.

Введем понятие диапазона Ам значений числовой характеристики события X/,, задаваемого двумя граничными значениями непрерывного интервала [**„,„,; хктах], где хктп - минимальное значение характеристики хк, а Хкптх — максимальное значение характеристики хк. Будем считать, значение характеристики хк входит в диапазон значений А,а, если выполняется неравенство хкп„„< хк < хктах.

Введем понятие списка диапазонов значений числовой

характеристики события хк, представляющего собой упорядоченное конечное множество диапазонов Ахк значений числовой характеристики события хк:

Ухк = {А.да, Л№2, ..., Ахш), (1)

где М - число элементов в списке диапазонов значений числовой характеристики события хк, а Ахк - значений числовой характеристики события хк.

Для построения группы правил обнаружения g были разработаны правила вида:

где УХк - список диапазонов значений числовой характеристики события хк, К— число определяемых характеристик события, к=1±К.

Множество правил обнаружения Rg, входящих в группу g будем задавать в виде списка правил обнаружения Ьг:

где /•/ - правило обнаружения, Ь - число правил в группе, 1=\+Ь.

Введем понятие списка текстовых описаний Ьс1, представляющее собой упорядоченное множество текстовых описаний событий:

¿(^{¿¡у й2, ..., с/«}, где й0 - текстовое описание разрешенного события, с11, (¡2, ..., с/о - текстовые описания нарушений политики безопасности и атак в сети, 2 - число обнаруживаемых несанкционированных действий и атак в сети.

Для использования в обнаружении несанкционированных действий и атак в сети были разработаны группы правил вида:

(2)

Ьг={г,,г2, ...,п},

(3)

g = <£г, а, /, с, р>,

(4)

где Lr — список правил обнаружения, входящие в группу g, а - элемент множества разрешений Л={0;1}, i — порядковый номер текстового описания в списке Ld (i=\+Q, где Q — число обнаруживаемых несанкционированных действий и атак в сети), с — счетчик срабатывания группы, р — пороговое значение счетчика срабатывания группы правил.

Группы правил, у которых а= 1 являются запрещающими. Если зарегистрированное событие соответствует хотя бы одному правилу такой группы, то считается что обнаружено несанкционированное действие или атака, которым соответствует г-й элемент списка текстовых описаний Ld. Группы правил, у которых а= 0 являются разрешающими. Если зарегистрированное событие не соответствует ни одному правилу такой группы, то считается что обнаружено несанкционированное действие, которому соответствует г-й элемент списка текстовых описаний Ld.

Для обнаружения сложных атак и некоторых видов атак, выявляемых путем вычисления частоты повторения определенных событий, в описание группы правил обнаружение введены счетчик срабатывания группы обнаружения с, который сбрасывается каждую секунду и пороговое значение счетчика срабатывания группы правил р. При с>р считается, что несанкционированное действие или атака, описываемые данной группой правил, обнаружены (при каждом достижении порога срабатывания необходимо сбросить счетчик с). В случае отсутствия необходимости учета частотных характеристик срабатывания группы правил достаточно принять р=1.

Для оценки сетевых событий была разработана модель политики безопасности обнаружения несанкционированных действий и атак. Анализ полученных оценок позволяет определить вид нарушения политики безопасности ИС или вид атаки в случае их возникновения, а также принять меры по их устранению.

Исходя из введенных обозначений, в общем случае модель политики безопасности обнаружения несанкционированных действий и атак в сети на основе стека протоколов TCP/IP можно описать в виде:

IDS={X, G, Ld, I, Т}. (5)

Входные параметры этой модели политики безопасности:

— X - список характеристик сетевого события, содержащий К характеристик;

— G — список групп правил обнаружения, содержащий Q групп;

— Ld — список текстовых описаний несанкционированных действий и атак, содержащий Q описаний.

Выходными параметрами модели политики безопасности являются числовые оценки зарегистрированного события: значения оценочного параметра /е{0,1} и параметра классификации £>e{0,l,...,g}. При 1=0 и D=0 зарегистрированное сетевое событие соответствует политике безопасности ИС, а при 1=1 и £»0 обнаружено нарушение политики

безопасности или атака. Описанию обнаруженного несанкционированного действия или атаки в сети будет соответствовать D-й элемент списка текстовых описаний Ld.

Показано, что для групп правил, описываемых выражением (4), оценочный параметр будет вычисляться по формуле (7), а параметр классификации по формуле (6):

t К Mtr*

■sgn(i(min(c?>^)-^)2n 2 -(JW*. +Л)))+ (б)

9=1 (q-\ *.( mtqk=t j=0

Iqrn| i.l m/gA=l j-o

где 5 - дельта-функция, sgn — сигнум-функция, Q — число групп правил обнаружения в политике безопасности и число обнаруживаемых несанкционированных действий и атак в сети, aq — элемент множества разрешений Л={0;1}, относящийся к q-й группе, \ч - порядковый номер текстового описания в списке Ld (iq=l+Q), относящийся к q-й группе, с, -счетчик срабатывания q-й группы, рч — пороговое значение счетчика срабатывания q-й группы правил, lq - номер правила в q-й группе обнаружения (lq=\+Lq, где Lq - число правил в q-й группе), к - номер характеристики события (к=1+К, где К — число определяемых характеристик сетевого события), mi,,k — номер списка диапазонов £-й характеристики в lq-м правиле q-ii группы (»?/,,*= l-j-M/,,*, где М — число списков диапазонов А>й характеристики в lq-м правиле q-ii группы), хк — к-тая характеристика сетевого события, х„,/ч/,„„„ и xmtqkmax — соответственно минимальное и максимальное значения fc-й характеристики m/qt-го списка диапазонов в /„-м правиле q-й группы.

Показано, что для вычисления оценки зарегистрированного события на основе выражения (6) получается компактный программный код.

/ = sgn(D) > (7)

Отмечается, что частные случаи разработанной модели позволяют реализовать известные модели политики безопасности: дискреционную модель Харрисона-Руззо-Ульмана, типизированная матрицу доступа, модель Белла и Ла Падулы, модели совместного доступа, ролевую модель безопасности. В отличие от перечисленных выше формальных моделей политики безопасности, разработанная модель позволяет учитывать частотные характеристики сетевого вычислительного процесса, обнаруживать сложные атаки. Использование разработанной модели в ПО позволяет расширить функциональные возможности задания правил обнаружения атак и нарушений политики безопасности ИС.

Методика обнаружения несанкционированных действий и атак в сети на основе стека протоколов TCP/IP и использованием впервые предложенной математической модели политики безопасности заключается

в следующем.

1. Осуществляется планирование политики информационной безопасности ИС. С помощью программного интерфейса производится настройка групп правил обнаружения несанкционированных и атак в сети.

2. Запускается механизм обнаружения несанкционированных действий и атак. Для этого организовывается перехват всех сетевых пакетов. При регистрации сетевого события определяются его характеристики. На основе входных данных модели политики безопасности обнаружения (имеющихся групп правил обнаружения и характеристик события) вычисляются выходные параметры модели политики безопасности (оценки) согласно выражениям (б, 7). Если при расчете оценок выяснилось, что их значения соответствуют санкционированному действию, то обработка события прекращается и ожидается следующее событие. Если при расчете оценок события выяснилось, что их значения соответствуют несанкционированному действию или атаке, то, при необходимости, принимаются меры по блокировке действия, вызвавшего наблюдаемое событие, а также формируется новая запись в журнале регистрации событий, содержащая информацию о временных характеристиках события и о сути нарушения безопасности (на основе значения параметра классификации описание обнаруженного несанкционированного действия или атаки выбирается из списка текстовых описаний).

3. При появлении информации о новых видах атак или при изменениях в политике безопасности ИС вносятся изменения в настройки механизма обнаружения несанкционированных действий и атак в сети (см. выше п. 1).

Для оценки надежности функционирования COA были выявлены основные ошибки обнаружения несанкционированных действий и атак (НДиА), которые могут возникнуть в процессе эксплуатации COA.

Разработана система критериев и показателей надежности COA. Предложены следующие показатели надежности COA: устойчивость функционирования, работоспособность. Были впервые введены следующие вероятностные критерии (ВК) надежности COA: ВК обнаружения НДиА, ВК отсутствия ложного обнаружения НДиА, ВК адекватной идентификации НДиА, ВК успешной блокировки НДиА, ВК полной обработки сетевых данных, ВК безотказного функционирования COA, ВК отсутствия сбоев функционирования COA.

Для оценки работы COA, использующей разработанные модель политики безопасности и методику обнаружения несанкционированных действий и атак в сети на основе стека протоколов TCP/IP была разработана методика оценки надежности функционирования COA не требующая наличия эталона и учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

Оценка надежности СОА включает выбор минимально допустимых значений критериев надежности, определение относительной важности каждого из критериев, их оценку и анализ.

Методика оценки надежности обнаружения несанкционированных действий и атак заключается в следующем.

Для всех критериев надежности СОА принимается единая шкала оценки от 0 до 1. В случае различной важности критериев методом попарного сравнения определяется их относительная значимость:

А/

2 2>,

М(М +1), (8)

где Су - результат попарного сравнения критерия / с критерием у", с,/= 1 когда /-й критерий важнее 7-го, и с0=0 когда _/-й критерий важнее /-го (с,у е {0,1}); М— число критериев надежности.

При наличии требований к минимальному уровню надежности каждого из критериев задаются минимально допустимые значения критериев. Для каждого из выбранных критериев вычисляется оценка:

N, (9)

где N - число проведенных экспериментов; Q¡ — число экспериментов, в которых произошла ошибка функционирования СОА, относящаяся к /-му критерию.

Общая оценка надежности функционирования СОА определяется либо по формуле (10) в случае одинаковой важности критериев или по формуле (11) в случае их различной важности: М

ЕЛ

М , (10)

м

'■=1 • (11) При наличии требований к минимально допустимому уровню значений критериев проводится расчет оценки соответствия требованиям по формуле (12) в случае их одинаковой важности критериев или по формуле (13) в случае их различной важности: м

- ЕЩ

М , (12)

м

Надежность COA в рамках проведенной серии испытаний определяется путем анализа полученных в выражениях (10-13) оценок и сравнения их с требованиями к надежности: при Л»1 надежность функционирования исследуемой COA близка к абсолютной; при Л<1, чем меньше значение R, тем более ненадежным является функционирование COA; при RF=\ надежность функционирования исследуемой COA полностью соответствует минимальным требованиям; при RF< 1 надежность функционирования исследуемой COA не соответствует одному или нескольким минимальным требованиям к критериям. Чем меньше значение RF, тем больше важных требований к допустимой надежности не выполнено.

В третьей главе рассматривается разработка групп правил для описанной выше методики обнаружения несанкционированных действий и атак в сети на основе стека протоколов ТСРЛР, а также подход к вычислению порога срабатывания группы правил обнаружения, обеспечивающего минимальные значения вероятностей пропуска атаки и ложного срабатывания для конкретной ИС

Для обнаружения известных сетевых атак с использованием разработанных модели политики безопасности и методики проведена классификация 17 видов атак по особенностям их реализации .и определения: отказ в обслуживании (Floods, ICMP Flooding, Identification Flooding, SYN Flooding); подмена (Unreachable, ARP Redirect, Smurf, Host spoofing, UDP Storm); рассылка некорректных пакетов (Land, Fuzzy); сканирование (сканирование TCP SYN, сканирование TCP RST); рассылка фрагментированных пакетов (ICMP атака, IGMP атака, Boink); внедрение вредоносных программ (сетевой «червь» NetBus). Для каждого вида атаки были рассмотрены особенности выявления, а также разработаны примеры построения групп правил обнаружения.

Пример, описания группы правил обнаружения сетевой активности «червя» NetBus с учетом введенных ранее обозначений приведен ниже (указаны только значащие характеристики группы и правил):

1. Параметры группы правил.

Параметр GID GPolicyType GLimit GDescription

Значение 5 1 1 «Червь NetBus»

2. Параметры правил группы.

Параметр RID RGroupID EthernetHeader. ProlocolType IPHeader. Version IPHeader. Protocol TCPHeader. TCPSourcePort

Значение 1 5 {(0800h, 0800h)} {(0100b, 0100b)} {(6,6)} {(12345,12346), (20034,20034)}

В приведенном примере в группу обнаружения входит только одно правило, значения параметров которого имеют следующий смысл:

— EthernetHeader.ProtocolType = 0800h - признак IP-пакета;

- IP Header. Version = 0100b - признак протокола IPv4;

- IPHeader.Protocol = 6 - признак TCP-протокола;

- TCPHeader. TCPSourcePort = 12345, 12346 или 20034 - TCP-порты

используемые «червем».

Показано, что для обнаружения 8 видов атак (Floods, ICMP Flooding, Identification Flooding, SYN Flooding, Smurf, сканирование TCP SYN, сканирование TCP RST, Boink) необходимы статистические данные и задание порога срабатывания группы правил.

Для обнаружения нарушений политики безопасности, т.е. несанкционированных действий в ИС были рассмотрены особенности выявления, а также разработаны примеры построения групп правил обнаружения. Показано, что для этих групп часто используются следующие параметры: дата, день недели, время начала, продолжительность по времени.

Для обнаружения сетевых атак, выявляемых на основе частотных характеристик, рассмотрен подход к вычислению, порога срабатывания группы правил обнаружения, обеспечивающего минимальные значения вероятностей пропуска атаки и ложного срабатывания для конкретной ИС (косвенно зависит от целей и регламента функционирования ИС).

В четвертой главе рассматриваются основные аспекты программной реализации разработанных модели политики безопасности и методик и основные результаты их внедрения.

Разработан программный пакет, состоящий из модульной СОА, позволяющей использовать политику безопасности ИС для обнаружения и блокирования сетевых атак на базе ОС Windows.

ПО «Система обнаружения несанкционированных действий» работает в режимах настройки, обнаружения, реализуя следующие возможности:

— настройка на обнаружение сетевых атак и нарушений политики безопасности ИС (в режиме настройки);

— обнаружение несанкционированных действий (в режиме обнаружения);

— ведение журнала регистрации событий (в режиме обнаружения);

При разработке пакета был применен объектно-ориентированный

подход. В пакете можно выделить следующие модули: модуль настройки и оптимизации правил; модуль обнаружения, отслеживающего события ИС, анализирующего их характеристики и выявляющего несанкционированные действия и атаки, а также сохраняющего экспериментальные данные; модуль реагирования и ведения журнала регистрации событий.

При разработке пакета было принято решение сохранять информацию о настройках политики информационной безопасности в файлы специально разработанного формата. Для хранения записей журнала регистрации используются текстовые файлы.

Проведен краткий обзор аналогов разработанного пакета. Отмечается, что известные программные решения для обнаружения сетевых атак:

RealSecure, NetProwIer, Network Flight Recorder, NetRanger, Network Intrusion Detector, Shadow, NIDES, Sourcefire Snort, Agnitum Outpost Firewall Pro — позволяют обнаруживать атаки и задать реакцию на них. Практически все они используют сигнатурные методы. Самые сложные из них состоят из консоли и агентов-датчиков и могут осуществлять защиту как отдельных узлов, так целой сети. Одними из наиболее интеллектуальных являются COA RealSecure и Sourcefire Snort. Первая система использует политику, описывающую значимые события, и позволяет в любой момент ее изменить в «менеджере» и направить «датчикам», не перезагружая их. События отображаются в «реальном времени» на консоли в соответствии с их приоритетом. Вторая система имеет три режима работы и поставляется с большим набором правил обнаружения известных атак. Оба рассмотренных средства позволяют выбрать из имеющегося набора правил политику реагирования и обеспечивают обнаружение определенных видов атак. Прототипами COA для сравнения были выбраны последние версии пакетов Agnitum Outpost Firewall Pro 4.0.964.6926 (582) и Sourcefire Snort 2.6.0.2. Эти программные продукты отличаются относительно высоким распространением и широким признанием.

Экспериментально проведено функциональное тестирование и сравнение возможностей выбранных прототипов COA и разработанного пакета, которое позволило сравнить их основные возможности. Показано, что для разработанного пакета надежность обнаружения несанкционированных действий и атак в исследованных ИС превосходит эти средства, а группы правил обнаружения имеют более простую структуру и меньшую сложность.

Было показано, что надежность обнаружения некоторых видов атак в различных ИС существенно зависит от учета в правилах особенностей ИС. Это особенно актуально для атак, выявляемых с использованием статистических методов. Для этих видов атак нет универсального для всех ИС порога срабатывания правил обнаружения, превышение которого позволяло бы выявить атаку. Разработанный пакет благодаря возможности группировки правил и учету частотных характеристик сетевого вычислительного процесса выгодно отличается от других COA и позволяет обнаруживать сложные атаки и несанкционированные действия.

Сравнение надежности обнаружения несанкционированных действий и атак в сети с помощью разработанного пакета и выбранных прототипов показало, что разработанная методика обнаружения имеет более высокую надежность и эффективность, а также позволяет расширить функциональные возможности задания правил обнаружения атак и нарушений политики безопасности ИС, позволяя использовать группы правил.

Для одноранговых сетей на базе ОС Windows 2000/ХР были получены простые группы правил обнаружения, которые позволили повысить

надежность выявления несанкционированных действий и атак из сети Интернет в среднем на 25 % по сравнению с использовавшимися ранее средствами.

Для ИС с доменной структурой была разработана более сложная система групп правил, позволившая повысить надежность выявления несанкционированных действий от 35 % до 40 % в зависимости от сложности принятой в ИС политики информационной безопасности.

В результате внедрения разработанного ПО удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее в ИС средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (582) (Attack Detection Plug-In) и Snort 2.6.0.2).

В заключении сформулированы основные выводы по работе.

Основные результаты

В целом по диссертационной работе можно сформулировать следующие основные выводы и результаты.

1. Показано, что технологии и методы обнаружения сетевых атак, используемые в современных COA, слабо учитывают политику безопасности ИС и позволяют обнаруживать только общеизвестные атаки без учета возможных несанкционированных действий в сети.

2. Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса позволяет выявлять сложные атаки и несанкционированные действия.

3. Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности, позволяющая расширить функциональность и повысить надежность и быстродействие COA.

4. Показано, что существующие методики оценки надежности функционирования ПС недостаточно учитывают особенности COA и требуют наличия эталона.

5. Разработана система критериев и показателей надежности COA, учитывающая особенности функционирования рассматриваемого класса ПС.

6. Разработана методика оценки надежности функционирования COA, учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

7. Разработан программный пакет «Система обнаружения несанкционированных действий и атак», позволяющий обнаруживать несанкционированные действия и атаки в сетях на основе стека протоколов TCP/IP, задавать правила политики безопасности, вести журнал регистрации событий. Это позволило повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 %.

8. Разработанные модель политики безопасности и методики внедрены в ряде ИС для осуществления контроля безопасности сетевой среды. Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

Основные публикации по теме диссертации

1. Ильин A.A., Сыпин A.A. Автоматизированная обучающая система с поддержкой ЛВС // Материалы Всероссийской научно-практической конференции «Проблемы информатизации образования» (Тулаинформ -2001). - Тула: ТулГУ, 2001. С. 89 - 91

2. Ильин A.A., Сыпин A.A. Сбор и использование статистики в обучающих системах // Известия Тульского государственного университета. Серия Вычислительная техника. Автоматика. Управление. Том 4. Выпуск 1. Вычислительная техника. - Тула: ТулГУ, 2002. С. 184 -190.

3. Ильин A.A., Сыпин A.A. Особенности подготовки специалистов по специальности прикладная информатика // Материалы третьей региональной научно-практической конференции «Проблема качества подготовки студентов в системе открытого образования». - Калуга: ИНУПБ, 2002. С. 96- 100.

4. Ильин A.A., Сыпин A.A. Индивидуализация процесса обучения в автоматизированных системах // Материалы научно-практической межрегиональной конференции «Информационные ресурсы как фактор социально-экономического развития региона». - Тула: ТулГУ, 2003. С. 229 -230.

5. Ильин A.A., Сыпин A.A. Системы искусственного интеллекта в задачах обнаружения и классификации объектов // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2003). - Тула: ТулГУ, 2003. С. 8 - 9.

6. Ильин A.A., Сыпин A.A. Графовая модель взаимодействия объектов распределенной вычислительной сети // Известия Тульского государственного университета. Серия Вычислительная техника. Информационные технологии. Системы управления. Том 1.

Выпуск 2. Вычислительная техника. - Тула: ТулГУ, 2003. С. 154- 159.

7. Ильин A.A., Сыпин A.A. Архитектура систем интеллектуального обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2004). - Тула: ТулГУ, 2004. С. 40 - 41.

8. Ильин A.A., Сыпин A.A. Классификация угроз безопасности распределенных вычислительных систем // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Т. 1. Вып. 3. Вычислительная техника. - Тула: ТулГУ, 2004. С. 188- 192.

9. Сыпин A.A. Идентификация, сетевых атак // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Вып. 1. Вычислительная техника. - Тула: ТулГУ, 2005. С. 151-155.

10.Сыпин A.A. Использование нейронных сетей для обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2005). - Тула: ТулГУ, 2005. С. 53 - 54.

11.Сыпин A.A. Математическая модель информационных потоков . клиентской вычислительной системы // XLII Всероссийская конференция по проблемам математики, информатики, физики и химии: тез. докл. секции математики и информатики. - М.: Изд-во РУДН, 2006. С. 38.

12.Ильин A.A., Сыпин A.A. Математическая модель и методика обнаружения несанкционированных действий // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Вып. 1. Вычислительная техника. - Тула: ТулГУ, 2006. С. 132 -140.

13.Сыпин A.A. Методика оценки надежности систем обнаружения атак Н Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Вып. 1. Вычислительная техника. — Тула: ТулГУ, 2006. С. 141 - 147.

Изд. лиц. ЛР № 020300 от 12.02.97. Подписано в печать 17.11.06. Формат бумаги 60x84 '/,6. Бумага офсетная. Усл.-печ. л. 1,1. Уч.-изд. л. 1,0.

Тираж 100 экз. Заказ 318

Государственное образовательное учреждение Высшего профессионального образования «Тульский государственный университет» 300600, г. Тула, пр. Ленина, 92.

Отпечатано в Издательстве ГОУ ВПО «ТулГУ» 300600, г. Тула. ул. Болдина, 151.

ОСНОВНЫЕ ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ АРХИТЕКТУРЫ И МЕТОДИК ОЦЕНКИ

НАДЕЖНОСТИ СОВРЕМЕННЫХ СИСТЕМ ОБНАРУЖЕНИЯ АТАК.

1.1 Информационная безопасность.

1.1.1 Основные понятия информационной безопасности.

1.1.2 Основные направления, механизмы и принципы обеспечения информационной безопасности.

1.1.3 Основные средства обеспечения информационной безопасности.

1.1.4 Формальные модели безопасности.

1.2. Системы обнаружения атак.

1.2.1 Основные возможности, принципы и механизмы функционирования систем обнаружения атак.

1.2.2. Современные технологии обнаружения атак.

1.2.3 Тенденции развития систем обнаружения атак.

1.3. Обнаружение атак в сетях TCP/IP.

1.3.1 Архитектура стека протоколов TCP/IP.

1.3.2 Основные методы обнаружения атак в сетях TCP/IP.

1.3.3. Основные методы противодействия несанкционированным действиям и атакам.

1.4 Оценка надежности программных средств.

1.5 Постановка задач исследования.

1.6 Выводы.

ГЛАВА 2. ОБНАРУЖЕНИЕ НЕСАНКЦИОНИРОВАННЫХ ДЕЙСТВИЙ И АТАК В СЕТЯХ TCP/IP.

2.1 Разработка модели обнаружения несанкционированных дейс твий и атак в сети.

-32.1.1 Определение основных аспектов, влияющих на надежность обнаружения несанкционированных действий и атак в сети.

2.1.2 Определение основных характеристик событий.

2.1.3 Определение вспомогательных характеристик событий.

2.1.4 Определение характеристик для различных событий.

2.1.5 Классификация основных видов несанкционированных действий и атак в сетях TCP/IP.

2.1.6 Разработка правил информационной безопасности.

2.1.7 Формализация задачи обнаружения несанкционированных действий и атак в сетях TCP/IP.

2.1.8 Построение модели обнаружения.

2.2 Методика обнаружения несанкционированных действий и атак в сети

2.3 Методика оценки надежности функционирования систем обнаружения атак.

2.4 Выводы.

ГЛАВА 3. ИСПОЛЬЗОВАНИЕ РАЗРАБОТАННЫХ МОДЕЛИ И МЕТОДИК ДЛЯ ОБНАРУЖЕНИЯ НЕСАНКЦИОНИРОВАННЫХ ДЕЙСТВИЙ И АТАК В СЕТЯХ TCP/IP.

3.1 Обнаружение атак в сетях TCP/IP.

3.1.1 Отказ в обслуживании.

3.1.2 Подмена.

3.1.3 Рассылка некорректных пакетов.

3.1.4 Сканирование.

3.1.5 Рассылка фрагментированных пакетов.

3.1.6 Внедрение вредоносных программ.

3.2 Обнаружение несанкционированных действий в сетях TCP/IP.

3.3 Обнаружение сложных атак.

3.4 Использование разработанных модели и методики.

3.5 Выводы.

ГЛАВА 4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ РАЗРАБОТАННЫХ МОДЕЛИ И МЕТОДИК, ИХ ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И

СРАВНЕНИЕ С АНАЛОГАМИ.

4.1 Архитектура пакета программ.

4.1.1 Модуль настройки.

4.1.2 Модуль обнаружения.

4.1.3 Модуль реагирования.

4.2 Описание программной реализации.

4.3 Сравнение с аналогами.

4.3.1 Основные возможности современных систем обнаружения атак.

4.3.2 Экспериментальное сравнение с аналогами.

4.4 Выводы.

В настоящее время существует множество ИС со сложной структурой, большим числом элементов и информационных связей, чаще всего находящихся в общем информационном пространстве. Из-за подверженности ИС внутренним и внешним угрозам, несовершенству их реализации, а также высокой стоимости хранящейся и обрабатываемой в них информации возникает задача обеспечения информационной безопасности ИС. Она осложняется тем, что устранение большинства угроз ИС требует усовершенствования их отдельных элементов, что не всегда возможно ввиду их закрытости и сложности (ОС, драйверы, ПО сторонних обработчиков).

Так как не всегда возможны изменение или замена одних элементов ИС на другие в силу различных причин и ограничений, то для решения задачи обеспечения информационной безопасности ИС необходимо внесение изменений в структуру ИС. Это можно сделать путем добавления новых элементов, удаления или замены старых на более надежные и безопасные, если такое возможно, и изменения информационных связей между элементами ИС. Основной задачей таких изменений будет устранение или минимизация влияния внутренних и внешних угроз информационной безопасности ИС, вносимых всеми ее элементами.

Актуальность темы. Частично решить задачу обеспечения информационной безопасности ИС позволяют появившиеся сравнительно недавно СОА. Однако недостаточное развитие математических основ технологии обнаружения атак не позволяет разрабатывать по-настоящему эффективные модели и методы обнаружения большинства видов несанкционированных действий и атак в сети ИС. Этим объясняется актуальность исследования в этой области.

Попыткой систематизации знаний в области обнаружения сетевых атак являются работы Лукацкого А.В., обобщенные в книге «Обнаружение атак» [54], согласно которым «большинство существующих методов основано на личных предпочтениях разработчиков СОА либо па достижениях в смежных областях; под разработанные средства и механизмы пока не подведен научный базис, что не позволяет подтвердить или опровергнуть эффективность предлагаемых решений». Анализ принципов работы современных СОА подтверждает эти выводы. Мало внимания уделено проблеме обнаружения сложных атак, осуществляемых путем параллельной реализации нескольких видов атак, выявляемых с использованием методов математической статистики. Несмотря на возрастающую с каждым днем сложность политики безопасности ИС, в современных СОА практически не учитывается проблема обнаружения несанкционированных действий в сети. В связи с этим очевидна актуальность задачи разработки математической модели обнаружения несанкционированных действий и атак в сети, позволяющей учесть как известные сетевые атаки, так и политику безопасности ИС. Для использования модели в математическом программном обеспечении необходимо разработать методику обнаружения несанкционированных действий и атак в сети. Под политикой безопасности будем понимать совокупность норм и правил, регламентирующих процесс обработки информации в ИС, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а ииогда и достаточное) условие безопасности системы. Формальное выражение политики безопасности будем называть моделью политики безопасности.

Анализ существующих подходов к определению надежности ПС выявил их обобщенность и универсальность, что не всегда позволяет учесть особенности функционирования отдельных классов ПС. Так, например, методика, предложенная в ГОСТ 28195-89 [12], не учитывает особенностей СОА, требует проведения большого числа экспертных оценок на разных фазах разработки и эксплуатации ПС и базируется на сравнении с некоторым эталоном. Так как для оценки надежности СОА не всегда можно найти эталон и необходимо учитывать особенности ее функционирования, то становится актуальной задача разработки методики оценки надежности функционирования СОА. Для решения этой задачи необходимо разработать систему критериев и показателей надежности СОА, учесть относительную важность критериев и минимально допустимые уровни показателей надежности.

Объектом исследования являются программные средства обнаружения несанкционированных действий и атак в сети.

Предметом исследования являются характеристики ПС обнаружения несанкционированных действий и атак в сети и методы оценки надежности функционирования СОА.

Цель и задачи диссертации. Целью является повышение надежности обнаружения несанкционированных действий и атак в сети путем использования специальной математической модели политики безопасности и методики обнаружения, позволяющих выявлять как сетевые атаки, так и нарушения политики безопасности ИС.

Для достижения указанной цели поставлены и решены следующие задачи:

1. Анализ методов осуществления сетевых атак для выбранного стека протоколов, а также существующих технологий и методов их обнаружения с целью определения характеристик событий ИС, влияющих на надежность обнаружения сетевых атак.

2.Анализ существующих моделей политики безопасности с целыо определения характеристик событий ИС, влияющих на надежность обнаружения несанкционированных действий в сетях на основе выбранного стека протоколов.

3. Разработка модели политики безопасности обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов, совокупности норм и правил, регламентирующих процесс обработки информации в ИС.

- 104. Разработка методики обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов с использованием впервые предложенной математической модели политики безопасности.

5. Анализ возможности использования существующих методик оценки надежности ПС применительно к СОА.

6. Разработка системы критериев и показателей надежности СОА.

7. Разработка методики оценки надежности функционирования СОА, учитывающей относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

8. Разработка программного пакета «Система обнаружения несанкционированных действий и атак», позволяющего обнаруживать несанкционированные действия и атаки в сетях на основе выбранного стека протоколов, задавать правила обнаружения, вести журнал регистрации событий.

Методы исследования. В качестве основного инструмента теоретического исследования использовались методы функционального анализа, линейной алгебры, теории вероятностей и математической статистики, защиты информации.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1.Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях па основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса позволяет выявлять сложные атаки и несанкционированные действия.

2.Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности.

3.Разработана система критериев и показателей надежности СОА, учитывающая особенности функционирования рассматриваемого класса ПС.

4.Разработана методика оценки надежности функционирования СОА, учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

Общие модели политики безопасности были разработаны ранее (дискреционная модель Харрисона-Руззо-Ульмана, типизированная матрица доступа, мандатная модель Белла и Ла Падулы, ролевая модель безопаснос ти и т. д.), а впервые предложенная модель послужила их дальнейшим развитием применительно к процессу обнаружения несанкционированных действий и атак в сети.

На защиту выносятся следующие основные результаты:

- предикатная математическая модель безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС;

- методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP;

- методика оценки надежности функционирования СОА.

Достоверность полученных результатов подтверждена корректным использованием методов функционального анализа, операционного исчисления, линейной алгебры, теории вероятностей и математической статистики, защиты информации. Разработка алгоритмов и программ осуществлялась на основе объектно-ориентированного подхода к организации данных и методов их обработки.

Экспериментальное подтверждение эффективности предложенных модели и методик получено путем их применения в пакете программ для контроля безопасности сетевой среды ряда организаций.

Практическая ценность работы. Разработанные математическая модель безопасности и методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, позволяют расширить функциональные возможности задания правил обнаружения сетевых атак и нарушений политики безопасности, а их использование в СОА позволяет повысить надежность ее функционирования.

Разработанная методика оценки надежности функционирования СОА позволяет учесть относительную важность предложенных критериев и минимально допустимые уровни показателей надежности.

Программная реализация разработанных модели и методик отличается компактным программным кодом.

Реализация и внедрение результатов работы. Разработанные модель политики безопасности и методики были программно реализованы в пакете программ «Система обнаружения несанкционированных действий и атак».

Прикладные результаты данной работы внедрены автором в рамках научно-технического сотрудничества для контроля безопасности сетевой среды в ООО «Омега» (г. Тула), ООО «Леке» (г. Тула), ООО «Экосталь» (г. Тула), ООО «Мегатаб» (г. Рязань), ООО «Мегатрейд» (г. Калуга). Для каждой ИС разрабатывались группы разрешающих и запрещающих правил политики безопасности, проводились настройка и тестирование разработанного пакета в рабочем режиме. В результате удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (Attack Detection Plug-In) и Sourcefire Snort 2.6.0.2).

Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

Апробация работы. Результаты исследования докладывались и обсуждались на студенческих конференциях и семинарах ТулГУ, а также на следующих научно-технических и научно-практических конференциях: Всероссийской научно-практической конференции «Проблемы информатизации образования» в 2001 г. (г. Тула), Третьей региональной научно-практической конференции «Проблемы качества подготовки студентов в системе открытого образования» в 2002 г. (г. Калуга), Межрегиональной научно-практической конференции «Информационные ресурсы как фактор социально-экономического развития региона» в 2003 г. (г. Тула), Межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» в 2003, 2004, 2005, 2006 гг. (г. Тула), XLII Всероссийской конференции по проблемам математики, информатики, физики и химии в 2006 г. (г. Москва).

Публикации. По результатам исследований опубликовано 13 работ, в том числе 7 статей и 6 тезисов докладов.

Структура и объем диссертации. Диссертационная работа изложена на 150 страницах и состоит из введения, четырех глав, заключения и приложений на семи страницах. Библиографический список включает в себя 121 наименование. Работа содержит 18 рисунков и 58 таблиц.

4.4 Выводы

1. Разработан программный пакет «Система обнаружения несанкционированных действий и атак», который позволяет задать модель политики ИБ конкретной ИС, обнаруживать несанкционированные действия и атаки в сети, вести журнал регистрации событий, собирать экспериментальные данные, включающие характеристики событий ИС и описание их соответствия политике информационной безопасности.

2. Экспериментально проведены функциональное тестирование и сравнение возможностей выбранных прототипов СОА и разработанного пакета, которое позволило сравнить их основные возможности. Показано, что для разработанного пакета надежность обнаружения атак и несанкционированных действий в исследованных ИС превосходит эти средства, а группы правил обнаружения имеют более простую структуру и меньшую сложность.

3. Показано, что надежность обнаружения некоторых видов атак в различных ИС существенно зависит от учета в правилах особенностей ИС. Это особенно актуально для атак, выявляемых с использованием статистических методов. Для этих видов атак нет универсального для всех ИС порога срабатывания правил обнаружения, превышение которого позволяло бы выявить атаку. Разработанный пакет, благодаря возможности группировки правил и учету частотных характеристик сетевого вычислительного процесса, выгодно отличается от других СОА и позволяет обнаруживать сложные атаки и несанкционированные действия.

4. Сравнение надежности обнаружения несанкционированных действий и атак в сети с помощью созданной системы обнаружения атак и выбранных прототипов показало, что разработанная методика обнаружения имеет более высокую надежность и эффективность, а также позволяет расширить функциональные возможности задания правил обнаружения атак и нарушений политики безопасности ИС, позволяя использовать группы правил.

5. Для одноранговых сетей на базе ОС Windows 2000/ХР были получены простые группы правил обнаружения, которые позволили повысить надежность выявления несанкционированных действий и атак из сети Интернет в среднем на 25 % по сравнению с использовавшимися ранее средствами.

6. Для ИС с доменной структурой была разработана более сложная система групп правил, позволившая повысить надежность выявления несанкционированных действий от 35 % до 40 % в зависимости от сложности принятой в ИС политики информационной безопасности.

7. В результате внедрения разработанной системы обнаружения атак для осуществления контроля безопасности сетевой среды (см. акты внедрения в приложениях 2-6) удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее в ИС средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (582) (Attack Detection Plug-In) и Snort 2.6.0.2).

ЗАКЛЮЧЕНИЕ

В целом по диссертационной работе можно сформулировать следующие основные выводы и результаты.

1. Показано, что технологии и методы обнаружения сетевых атак, используемые в современных СОА, слабо учитывают политику безопасности ИС и позволяют обнаруживать только общеизвестные атаки без учета возможных несанкционированных действий в сети.

2. Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая, благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса, позволяет выявлять сложные атаки и несанкционированные действия.

3. Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности, позволяющая расширить функциональность и повысить надежность и быстродействие СОА.

4. Показано, что существующие методики оценки надежности функционирования ПС недостаточно учитывают особенности СОА и требуют наличия программы-эталона.

5. Разработана система критериев и показателей надежности СОА, учитывающая особенности функционирования рассматриваемого класса ПС.

6. Разработана методика оценки надежности функционирования СОА, учитывающая относительную важность введенных критериев и минимально допустимые уровни показателей надежности.

- 1337. Разработан программный пакет «Система обнаружения несанкционированных действий и атак», позволяющий обнаруживать несанкционированные действия и атаки в сетях на основе стека протоколов

TCP/IP, задавать правила политики безопасности, вести журнал регистрации событий. Это позволило повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 %.

8. Разработанные модель политики безопасности и методики внедрены в пяти ИС для осуществления контроля безопасности сетевой среды. Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

1. Агеев А. Д. Нейрокомпьютеры и их применение. Кн. 6. Нейроматематика / Учеб. пособие для вузов / Агеев А.Д., Балухго А.Н., Бычков А.В. и др.; Общая ред. Галушкина А.И. М., 2002.

2. Бармен С. Разработка правил информационной безопасности. / Пер. с англ. М., 2002.

3. Браун Д. Интерактивный анализ компьютерных преступлений. // Браун Д., Гундерсон Л., Эванс М. / Открытые системы, 2000. - № 11, С. 40-49.

4. Вакка Дж. Секреты безопасности в Internet. Киев, 1997.

5. Васильев В.И. Применение нейронных сетей при обнаружении атак на компьютеры в сети Internet (на примере атаки SYNFLOOD). // Васильев В.И., Хафизов А.Ф. / Нейрокомпьютеры: разработка и применение, 2001.-№4-5,-С. 108-114.

6. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия, М., 1996.

7. Гайкович В. Безопасность электронных банковских систем. / Гайкович В., Першин А. М., 1993.

8. Галатенко А.В. Активный аудит. // Галатенко А. В. / Jetlnfo, -1999.-№ 8.

9. Галатенко А.В. О применении методов теории вероятностей для решения задач информационной безопасности. // Галатенко А.В. / Вопросы кибернетики, РАН, НИИСИ, М., 1999.

10. Гаценко О.Ю. Защита информации. Основы организационного управления, СПб., 2001.

11. Гольдштейн Б.С. Протоколы сети доступа. Том 2 (2-е издание). -М., 2001.

12. ГОСТ 28195-89. Методика оценки качества программных средств, -1989.- 13513. ГОСТ Р ИСО/МЭК 12119-2000. Информационная технология. Пакеты программ. Требования к качеству и тестирование. 2000.

13. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1 Введение и общая модель. -2002.

14. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2 Функциональные требования безопасности. - 2002.

15. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. М., 1999.

16. Губенков А.А. Информационная безопасность, М., 2005.

17. Джей Бил Short 2.1. Обнаружение вторжений, М., 2006.

18. Евстафиди С.П. Нейросетевой подход к формированию баз знаний динамических экспертных систем защиты информации. // Евстафиди С.П., Феник Е.В. / Материалы научно практической конференции «Информационная безопасность», ТРТУ, - Таганрог, 2002. - С.119-121.

19. Ерхов Е. Сценарии атак на банковские системы в сети Internet. // Ерхов Е. / Аналитический банковский журнал, 1998, № 7.

20. Жданов А.А. Моделирование высшей нервной деятельности // Жданов А.А. / Наука и жизнь, 2000. - № 1, - С. 58-64.

21. Жданов А.А. Об одном имитационном подходе к адаптивному управлению. // Жданов А.А. / Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика» РАН, -М, 1996.-С. 171-206.

22. Жданов А.А. Формальная модель нейрона и нейросети в методологии автономного адаптивного управления. // Жданов А.А. / Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика», РАН. М.,1997. Выпуск 3, -с. 258-274.

23. Зайцев О.В. ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита, СПб., 2006.

24. Зегжда П.Д. Теория и практика информационной безопасности. / под ред. Зегжды П.Д. М., 1996.

25. Ильин А.А., Сыпин А.А. Автоматизированная обучающая система с поддержкой ЛВС // Материалы Всероссийской научно-практической конференции «Проблемы информатизации образования» (Тулаинформ -2001). Тула: ТулГУ, 2001. С. 89 - 91

26. Ильин А.А., Сыпин А.А. Архитектура систем интеллектуального обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2004). Тула: ТулГУ, 2004. С. 40 - 41.

27. Ильин А.А., Сыпин А.А. Системы искусственного интеллекта в задачах обнаружения и классификации объектов // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2003). Тула: ТулГУ, 2003. С. 8-9.

28. Казенное В.Н. Защита от троянских коней в Windows 9х. // Казенное В.Н. / Конфидент, 2000. - № 6.

29. Касперски К. Техника и философия хакерских атак- М. 2004.

30. Касперски К. Техника сетевых атак. Приемы противодействия. Том 1, -М„ 2001.

31. Касперски К. Фундаментальные основы хакерства. М. 2004.

32. Кеммерер Р. Обнаружение вторжений: краткая история и обзор. // Кеммерер Р., Виджна Дж. / Открытые системы, 2002. - № 07-08.

33. Конев И.Р. Информационная безопасность предприятия / Коиев И.Р., Беляев А.В. СПб., 2003.

34. Коэн Фред. 50 способов обойти систему обнаружения атак / Пер. с англ. Лукацкого А.В., http://www.infosec.ru/themes/default/publication.asp? folder=1988&matID=l 699

35. Курушин В.Д. Компьютерные преступления и информационная безопасность. / Справочник / Курушин В. Д., Минаев В.А., М., 1998.

36. Левин М. Библия хакера, М., 2006.

37. Левин М. Введение в хакинг, М., 2005.

38. Леонов А.П. Безопасность автоматизированных банковских и офисных систем. / Леонов А.П., Леонов К.А., Фролов Г.В. Минск, 1996.

39. Локхарт Э. Антихакинг в сети. Трюки, СПб., 2005.

40. Лукацкий А.В. «Аномальные решения» — новый подход в обнаружении атак, http://www.cnews.ru/reviews/free/security2004/world/

41. Лукацкий А.В. Атаки на операторов связи миф или реальность // Лукацкий А.В. / PCWeek/RE, - 2002, - № 21.

42. Лукацкий А.В. Вирусы на службе силовых ведомств // Лукацкий А.В. / PCWeek/RE, 2002, - № 4.

43. Лукацкий А.В. Мир атак многообразен // Лукацкий А.В. / Сетевой, -2001,-№ 11.

44. Лукацкий А.В. Мировой рынок систем обнаружения атак, http://www.cnews.ru/reviews/free/security/part2/

45. Лукацкий А.В. Можно ли в России создать свою систему обнаружения атак? // Лукацкий А.В. / PCWeek/RE, 2003, - № 23.

46. Лукацкий А.В. Новые грани обнаружения и отражения угроз // Лукацкий А.В. / Системы безопасности, связи и телекоммуникаций, -2000, № 36.

47. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. -СПб., 2003.

48. Лукацкий А.В. Распределенные атаки: миф или реальность? // Лукацкий А.В. / PCWeek/RE, 2000, - № 5.

49. Лукацкий А.В. Рынок систем обнаружения атак в России http://www.cnews.ru/reviews/free/security/part3/detectrus.shtml

50. Лукацкий А.В. Рынок средств обнаружения и предотвращения атак. http://www.cnews.ru/reviews/free/security2005/articles/prevention.shtml

51. Лукацкий А.В. Сетевая контрразведка как обнаружить сканирование узлов и портов. // Лукацкий А.В. / BYTE, - 2001, - № 5.

52. Лукацкий А.В. Системы обнаружения атак // Лукацкий А.В. / Сетевой, -2002, № 4.

53. Лукацкий А.В. Технологии обнаружения и предотвращения атак. http://www.cnews.ru/reviews/free/security/part8/

54. Львов В.А. Проблемы внедрения и оценки качества средств и систем защиты информации при ее компьютерной обработке. // Львов В.А., Шеин А.В. / Безопасность информационных технологий. 1994. - № 1.

55. Мак-Клар Стюарт Секреты хакеров. Безопасность сетей готовые решения / Мак-Клар Стюарт, Скембрей Джоэл, Курц Джордж, М., 2004

56. Макклуре С. Секреты хакеров: проблемы и решения сетевой зашиты. / Макклуре С., Скембрей Д., Куртц Д. М., 2001.

57. Маркоф Д. Хакеры. / Маркоф Д., Хефнер К. Киев, 1996.

58. Медведовский И.Д. Атака из Internet / Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. 2002.

59. Медведовский И.Д. Атака на Internet / Медведовский И.Д., Семьянов П.В., Леонов Д.Г. 1999.

60. Медведовский И.Д. Атака через Интернет. / Медведовский И.Д., Семьянов П.В., Платонов В.В. 1997.

61. Норткат С. Обнаружение нарушений безопасности в сетях. / Норткаг С., Новак Дж. / Пер. с англ. М., 2003.

62. Овчаров А.С. Экспертные системы в технологиях защиты информации. // Овчаров А.С., Дорошенко И.Н. /Материалы научно-технической конференции «Информационная безопасность автоматизированных систем». Воронеж, 1998. - С. 285-294.

63. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы. / Олифер В.Г. Олифер Н.А. СПб., 1999.

64. Правиков Д.И. Об одном подходе к поиску программных закладок. // Правиков Д.И., Чибисов В.Н. / Безопасность информационных технологий, 1995. - № 1.

65. Пружинин А.В. Построение системы безопасности информации корпоративной сети. // Пружинин А.В. / Материалы конференции АДЭ «Электронное ведение бизнеса в России путь к открытому глобальному рынку», - 2000.

66. Райан Джек Обнаружение атак с помощью нейросетей. / Райан Джек, Менг-Джанг Лин, Миккулайнен Ристо. / Пер. с англ. Лукацкого А.В., ЦаплеваЮ.Ю.- 1999.

67. Рамодин Д. Обзор технологий автоматического поиска ошибок. // Рамодин Д. / Компьютер-Пресс, 1996. - № 10.

68. Ранум Маркус. Обнаружение атак: реальность и мифы. / Пер. Лукацкого А. В.

69. Ребекка Бейс Введение в обнаружение атак и анализ защищенности / Пер. Лукацкого А., Цаплева В., http://bugtraq.ru/library/books/ icsa/index.html

70. Ричард Пауэр. Эксперты дискутируют о настоящем и будущем систем обнаружения атак. / Пер. Лукацкого А.В. / Computer Security Journal, vol. XIV, № 1.

71. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия РФ, 1992.

72. Руководящий документ. Защита от несанкционированного доступа. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Гостехкомиссия России, 1999.

73. Симеон Г. Все под контролем: частная жизнь под угрозой / Пер. Мяснянкина В., http://bugtraq.ru/library/books/dbnation/index.html

74. Стерлинг Б. Охота на хакеров. Закон и беспорядок на электронном пограничье, http://bugtraq.ru/library/books/crackdownrus/index.html

75. Столингс В. Криптография и защита сетей. Принципы и практика, 2-е издание, М., 2002.

76. Сыпин А.А. Идентификация сетевых атак // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системыуправления. Вып. 1. Вычислительная техника. Тула: ТулГУ, 2005. С.151 - 155.

77. Сыпин А.А. Использование нейронных сетей для обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2005). -Тула: ТулГУ, 2005. С. 53 54.

78. Сыпин А.А. Математическая модель информационных потоков клиентской вычислительной системы // XLII Всероссийская конференция по проблемам математики, информатики, физики и химии: тез. докл. секции математики и информатики. М.: Изд-во РУДН, 2006. С. 38.

79. Сыпин А.А. Методика оценки надежности систем обнаружения атак // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Вып. 1. Вычислительная техника. -Тула: ТулГУ, 2006. С. 141 147.

80. Фисенко Л.И. Особенности национальной СИБ // Фисенко Л.И. / ИнформКурьер-Связь, 2007/ - №1.

81. Фисенко Л.И. Системы защиты: фокус на комплексные решения // Фисенко Л.И./ Экспресс Электроника 2005. - № 6, С. 93-96.

82. Черней Г.А. Безопасность автоматизированных информационных систем. / Черней Г.А., Охрименко С.А., Ляху Ф.С. 1996.

83. Чирилло Дж. Обнаружение хакерских атак. СПб, 2002.

84. Chuguev K.V. Multilanguage and Multicharset Web Server. // INI-T96 Proceedings. Monreal, Canada, 1996. - Pp. 208 - 225.

85. Coar K., Robinson D. The WWW Common Gateway Interface Version 1.1. IBM Corp., 1999.

86. Computer Incident Response Guidebook. Module 19. Information Systems Security (INFOSEC). Program Guidelines. Department of the NAVYNAVSO, 1996.

87. Computer Security Incident Handling, Step by Step. SANS Institute, 2000.

88. Fox K.L. A Neural Network Approach towards Intrusion Detection. // Fox K.L., Henning R.R., Reed J.H. and Simonian R.P. / In Proceedings of the 13th National Computer Security Conference, 1990. - Pp. 273-279.

89. Geva S. Progress in supervised neural networks // Geva S., Sitte J. / IEEE Trans. N.N., Vol.3., 1992. - Pp. 49-67.

90. Graham R. FAQ: Network Intrusion Detection Systems.

91. Gybenko G. Cognitive Hacking : A Battle for the Mind. // Gybenko G., Giani A., Thompson P. / Computer Security, 2002. - № 8, - Pp. 50-56.

92. Haykin S. Neural networks, a comprehensive foundation. 1994.

93. Hecht-Nielsen R. Neurocomputing. Amsterdam, 1991.

94. Hecht-Nielsen R., Counterpropagation Networks // Proceedings of the IEEE First International Conference of Neural Networks. 1987. - Pp. 19-32.

95. Hertz J. Introduction to the Theory of Neural Computation. / Hertz J., Krogh A., Palmer R.G. 1991.

96. Hofmeyr S. Intrusion Detection Using Sequences of System Calls. // Hofmeyr S., Forrest S., Somayaji A. / Journal of Computer Security, 1998. -№6-Pp. 151-180.

97. Hornik K. Multilayer feedforward networks are universal approximators // Hornik K., Stinchcombe ML, White H. / Neural Networks, 1989. -Pp. 359-366.

98. Householder A. Computer Attack Trends Challenge Internet Security. // Householder A., Houle K., Dougherty Ch. / Security & Privacy, 2002. -Pp. 5-7.

99. Howard Jh.D. A Common Language for Computer Security Incidents. / Howard Jh.D., Longstaff T.A., Sandia National Laboratories. 1998.

100. Howard Jh.D. An Analysis Of Security Incidents On The Internet. 19891995, http://www.cert.org

101. Jain A.K. Artificial Neural Networks. // Jain A.K., Mao J., Mohiuddin K.M. / A Tutorial. Computer, Vol.29, 1996. - № 3, - Pp.31-44.

102. Joyce Ch. Intrusion Detection System. Overview and Concepts. http://www.cc.gatech.edu/people/home/cjoyce/intrusion-detection.pdf

103. Khafizov A. Intrusion detection in WEB technology using neural networks. // Proceedings of the 3rd International Workshop on Computer Science and Information Technologies CSIT'2001. Ufa, Russia, 2001. - Pp. 191-194.

104. Kohonen T. Self- organizing maps. Berlin, 1995.

105. Lichodzijewski P. Host-Based Intrusion Detection Using Self-Organizing Maps. // Lichodzijewski P., Zincir-Heywood A.N., Heywood M.I. / Proceedings IEEE

106. Loris Degioanni. Development of an Architecture for Packet Capture and Network Traffic Analysis.

107. Network Based Intrusion Detection. A review of technologies, www.denmac.com

108. RFC 2236 Internet Group Management Protocol, Version 2, http://www.ietf.org/rfc/rfc2236.txt

109. RFC 768 User Datagram Protocol, http://www.ietf.org/rfc/rfc768.txt

110. RFC 791 Internet Protocol, http://www.ietf.org/rfc/rfc791.txt

111. RFC 792 Internet Control Message Protocol, http://www.ietf.org/rfc/rfc792.txt

112. RFC 793 Transmission Control Protocol, http://www.ietf.org/rfc/rfc793.txt

113. RFC 826 An Ethernet Address Resolution Protocol, http://www.ietf.org/rfc/rfc826.txt

114. Snort Users Manual. http://www.snort.org/docs/snorthtmanuals/ htmanual 261/