автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Адаптивное управление межсетевым экранированием информационно-телекоммуникационных сетей на этапе обнаружения вторжений

На правах рукописи

ЦЫГАНКОВ Александр Сергеевич

АДАПТИВНОЕ УПРАВЛЕНИЕ МЕЖСЕТЕВЫМ ЭКРАНИРОВАНИЕМ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ НА ЭТАПЕ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Специальность: 05.13.19 - Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж-20иб

003452131

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Оренбургский государственный университет»

Научный руководитель доктор технических наук, профессор

Соловьев Николай Алексеевич

Официальные оппоненты: доктор технических наук, профессор

Чопоров Олег Николаевич;

кандидат технических наук, доцент Пархоменко Андрей Петрович

Ведущая организация ФГНИИЦ РЭБ ОЭСЗ Мин. обороны

России

Защита состоится «27» ноября 2008 г. в 1330 часов в конференц-зале на заседании диссертационного совета Д 212.037.08 ГОУ ВПО «Воронежский государственный технический университет» по адресу: 394026, г. Воронеж, Московский просп., 14.

С диссертацией можно ознакомиться в научной библиотеке ГОУ ВПО «Воронежский государственный технический университет».

Автореферат разослан «2М» октября 2008 г.

Ученый секретарь i

диссертационного совета

Батшцев Р.В.

ОБШДЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Последние десятилетия характеризуются тенденцией слияния АСУП и АСУТП в единые интегрированные автоматизированные системы управления производством (ИАСУЩ технической основой которой становится информационно-телекоммуникационная сеть (ИТКС) Широкое внедрение ИАСУП, интеграция их с открытыми информационными системами, помимо явных преимуществ, порождают новые проблемы, связанные с их информационной безопасностью (ИБ), регламентирующей конфиденциальность, сохранность и доступность информационных ресурсов (ИР) ИАСУП Под ИР подразумевается совокупность содержащейся в базах данных ИАСУП информации и программного обеспечения, обеспечивающего ее обработку. В последнее десятилетие уровень потерь корпораций от деструктивных воздействий на ИР ИАСУП становится соизмерим со стоим остью собственно ИАСУП.

Проблемам обеспечения ИБ ИТКС, к классу которых относятся ИАСУП, посвящены работы таких известных российских ученых как П Д. Зегжда, А М. Ивашко, В.И. Курбатова, A.B. Лукацкого, А.Г. Остапенко, С.Н. Смирнова, А Ю. Щеглова, Л.М. Ухлинова и зарубежных исследователей К. Лендвера, Д. МакЛина, Р. Сандху и других. Обобщая результаты исследований, можно сделать вывод, что существующие средства защиты обеспечивают ИБ ИАСУП от известных информационных атак. Однако уровень автоматизации основного этапа защиты при появлении новых угроз ИБ - выработки решений о несанкционированном доступе (вторжении), остается низким.

Следовательно, одним из главных противоречий объекта исследований становится противоречие между скачкообразным ростом информационных объектов ИАСУП с эквивалентным ростом числа субъектов га аспатьзования и неадекватным уровнем автаиатют/ии принятия решений по управлению средствами защиты ИР на этапе обнаружения вторжений или анаматьной активности субъектов ИТКС ИАСУП

Работа выполнена в рамках госбюджетной НИР «Разработка и внедрение математического и программного обеспечения автоматизированных систем» (№ 01960005784).

Объект исследования: методы, модели и средства выявления угроз нарушения ИБ объектов ИТКС

Предмет исследования: технология управления межсетевым экранированием ИЖС ИАСУП.

Границы исследований: исследования проводились для методов защиты ИР ИТКС ИАСУП на этапе обнаружения вторжений.

Цель и задачи исследования: совершенствование методов защиты ИР ИАСУП путем разработки методической базы автоматизации управления средствами защиты при обнаружении вторжений или аномальной активности субъ-

ектовИЖС.

Основные задачи научного характера:

Во-первых, необходимо провести системный анализ проблем интеграции АСУП и АСУТП для выявления противоречий и обоснования необходимости-развития средств управления защитой ИР ИАСУП на этапе обнаружения вторжений или аномальной активности субъектов ИТКС.

Во-вторых, разработать математический аппарат моделирования, обеспечивающий определение несанкционированного доступа или аномальной активности субъектов ИТКС ИАСУП в условиях интервальной неопределенности объекта управления

В-третьих, обосновать архитектуру и разработать программное средство адаптивного управления межсетевым экранированием многосегментной ИАСУП.

В-четвертых, разработать прототип системы адаптивного управления межсетевым экранированием ИР ИАСУП и оценить его эффективность.

Методы исследования. Использованы методы теории системных исследований; информационной безопасности, теории управления; теории принятия решений; теории статистических решений и интервальной математики.

Научная новюна результатов исследования. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

1. Предложена модель сетевого трафика в условиях интервальной неопределенности его параметров, позволяющая значительно снизить вычислительные ресурсы при решении задачи обнаружения вторжений.

2. Разработан алгоритм обнаружения вторжений или аномальной активности субъектов ИТКС по технологии сжатия пространства решений, позволяющий решать задачу обнаружения вторжений в реальном масштабе времени.

3. Разработана система адаптивного управления МСЭ многосегмекгной ИАСУП, позволяющая изменять базу правил МСЭ в условиях неопределенности информационных атак.

4. Предложена методика оценки границ применимости реализованной системы адаптивного управления МСЭ ИТКС ИАСУП на основе теории рисков по критерию Неймана-Пирсона.

Практическая значимость полученных результатов. Полученные в ходе исследований результаты реализованы в системном программном обеспечении МСЭ ИТКС, что подтверждается дочернего предприятия ТНК-ВР- ООО «ТВинформ» (г. Оренбург) и государственной регистрацией программного продукт «ЗйрАйаск» (Свидетельство № 2008611080), а также в учебном процессе ГОУ ВПО «Оренбургский государственный университет».

Основные положения, выносимые на защиту.

1. Модель сетевого трафика в условиях интервальной неопределенности его параметров.

2. Алгоритм принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС.

3. Система адаптивного управления МСЭ многосегментной ИАСУП на этапе обнаружения вторжений и алгоритмы программных средств ее реализации

4. Методика оценки границ применимости предложенной системы адаптивного управления МСЭ ИТКС ИАСУП.

Апробация работы. Основные положения и результаты работы докладывались и обсуждались на 5 научно-практических конференциях: Всероссийской научно-практической конференции (НПК) «Роль современных информационных технологий в развивающейся экономике» (Оренбург, 2005), VI Региональной НПК с Международным участием «Современные информационные технологии в науке, образовании и практике» (Оренбург, 2007), Всероссийской НПК «Компьютерная интеграция производства и ИПИ - технологии» (Оренбург, 2007), Международной НПК «Проблемы автоматизации и управления в технических системах» (Пенза, 2007), IX Международной научно-технической конференции «Кибернетика и высокие технологии XXI века» (Воронеж, 2008).

Публикации. По теме диссертационной работы опубликовано 13 научных работ, в том числе 2 - в изданиях, рекомендованных ВАК РФ; 1 авторское свидетельство на программный продукт.

В работах, опубликованных в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: концептуальные основы интервального моделирования в задаче обнаружения вторжений [1], применение интервального моделирования к процедурам анализа заголовков сетевого трафика [2] и методика оптимизации двухальтернативного отождествления с помощью критерия Неймана-Пирсона [3].

Структура и объем работы. Диссертационная работа состоит из введения, четырех разделов, заключения и трех приложений. Основная часть работы изложена на 160 страницах, содержит 42 рисунка и 11 таблиц. Список использованной литературы содержит 120 наименований.

Приложения содержат акты внедрения результатов работ, результаты имитационного моделирования.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность исследования, определены объект и предмет исследования, сформулированы цель и научная задача, а также определены методы её решения.

В первой главе проведен системный анализ проблем интеграции АСУП и АСУТП, который позволил выявить основные противоречия и обосновать необходимость расширения функций ИАСУП. Основной частью ИАСУП стано-

вигся система управления защитой ИР. Анализ уязвимостей ИЖС, являющейся технической базой ИАСУП, позволили по-новому подойти к классификации угроз безопасности ИР ИАСУП, выделив особую группу внутренних угроз. Динамика потерь предприятий и организаций в результате нарушения ИБ, а также анализ научных публикаций отечественных и зарубежных авторов, занимающихся вопросами защиты информации, позволили выявить ряд противоречий между состоянием теории и требованиями практики, главным ю которых становится противоречие между скачкообразным ростом ИР ИАСУП с эквивалентным ростом числа субъектов их использования и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты на этапе обнаружения вторжений или аномальной активности субъектов ИТКС ИАСУП.

Результаты исследований угроз ИБ показали, что администратору безопасности для принятия решений будет выделено от 40 до 60 секунд на изменение базы правил доступа к ИР ИАСУП. Следовательно, администратор безопасности, работая в условиях острого дефицита времени, с задачей оперативного управления механизмами защиты сети без средств автоматизации принятия решений не справится.

Анализ эффективности функционирования существующих средств защиты ИР позволил сформулировать цель настоящего исследования. Опираясь на сформулированные противоречия и перечень задач научного характера, решения которых обеспечивают достижение целей исследования, сформулирована и формализована научная задача исследования.

Во второй главе получил развитие математический аппарат моделирования сетевого трафика в условиях интервальной неопределенности его параметров и разработана технология принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС.

Концептуальной основой математического аппарата описания информационных процессов ИТКС является интервальная модель и технология сжатия пространства решений. Суть развития предложенного подхода в следующем -модель объекта управления конкретной предметной области базируется на области значений параметров, удовлетворяющих некоторой, связанной с данной задачей, системой ограничений. Тогда любое множество к параметров модели задает А-мерное пространство, являющееся декартовым произведением областей значения всех переменных данного множества. Точки этого пространства соответствуют ¿-мерным наборам значений всех переменных. Каждая модель определяет в пространстве значений своих параметров некоторое тело, назовем его телом решений, образованное точками, удовлетворяющими всем отношениям данной модели.

Поскольку любые ограничения также являются отношениями, то их добавление к модели М (о1(1) определяет модель А/ (пей'), тело решений которой вложено в тело решений исходной модели М. Соответственно, области значе-

ний параметров внутри Л/ в общем случае уже, чем внутри М. Если ограничение задается прямым сужением области значений какого-либо го параметров, то из тела решений убираются части, проекция которых попадает в исключаемую зону значений данного параметра.

Возникает идеальная технология принятия решений - получая на вход формальную модель, машина автоматически сжимает тело решений до минимального А-мерного параллелепипеда, определяемого областями значений параметров внутри модели. При введении дополнительных ограничений или уточнении переменных модели параллелепипед в общем случае сжимается или изменяет свои размеры в соответствии с новыми областями значений параметров. Для нахождения решения, которое будет рациональным в данных условиях, достаточно ограничить искомый (целеобразуюший) параметр верхним лг+ (максимум) или нижним ,Х ' (минимум) элементам и его текущей области значений.

Суть технологии принятия решений при таком подходе отражена на рис

1.

Рис. 1. Технология принятия решений в условиях интервальной неопределенности моделируемого процесса

Не будучи связана с алгоритмическим стилем, эта новая технология принятия решений в форме сжатия пространства модели ста нов ится недетерминированной, внутренне децентрализованной, асинхронной, параллельной и, следовательно, естественным образом переносимой на сетевую платформу ИА-СУП. Применительно к управлению защитой ИР ИАСУП концепция моделирования в форме сжатия пространства решений приводит к двухуровневому

контуру управления вида, представленному на рис. 2.

Основной контур построен на основе регулятора, функции которого выполняет база правил МСЭ маршрутизатора База правил формируется администратором безопасности.

Дл'хуро шевый ал горитм зли шо го упраш <ни я

Рис. 2. Схема контура адаптивного управления защитой ИР ИТКС

Дополнительный контур - средство поддержки принятия решений (СППР), по сути являющийся контуром адаптации, настраивает вектор и(0 регулятора в основном контуре для достижения цели управления при не полностью определенных (определенных до интервалов) текущих значениях входных и выходных у (I) параметров объекта управления.

Интервальная математическая модель управляемого объекта контура управления защитой ИР 1С будет определена в виде оператора

[>"]= Я(ил-\.хЪа\и е и>х А, у е У,

(П

где М = (Ы,[Л].».Ш. [у]~ Яу' ,У1.у' .у'еУ},

М = ([^],...,[^],...[х/,]), [х]= Ох' .х'/.х ,хеХ}, А = (а1 ,а2,...,я4,..лр) е А -вектор базы правил доступа МСЭ.

При этом СППР на этапе обнаружения вторжений программно реализует три этапа:

-идентификация аномальности трафика;

-фиксация вторжения;

-изменение базы правил доступа субъектов сети.

В качестве объекта управления принят сетевой трафик, который рассматривается как последовательность сетевых пакетов, информационные параметры которых определяются используемым протоколом сети.

Исследования автора показали, что механизм идентификации аномалий возможен на основе анализа отдельных заголовков пакетов (IP Header Len, IP TOS, IP Length, IP FRAG ID, IP Frag Ptr, IP TTL, IP Dest Addr, IP Source Addr, TCP Source Port, TCP Dest Port, TCP Seq N um, TCP Ack Num, TCP FIN Num, TCP SYN Num, UDP Source Port, UDP Dest Port, UDP Length, UDP Checksum, ICMP Type, ICNP Code, ICMP Checksum) протоколов IP, TCP, UDP, а источником данных для анализа - специально сгенерированный журнал событий (ЖС) межсетевого экрана (МСЭ) На рис. 3 представлена схема формирования параметров объекта управления -21 -гозаголовка пакета (поля ЖС).

С целью перехода от истинных значений отсчетов полей ЖС к их интервальному представлению использован кластерный анализ. Для обоснования выбора алгоритмов реализации кластерного анализа в задаче моделирования объекта управления системы защиты ИР ИТКС исследованы агломеративные кластер-процедуры и процедуры поиска сгущений. Исследования показали, что для задачи расчета матрицы мер сходства наибольший эффект достигается с использованием алгоритма Уорда, который приводит к образованию кластеров приблизительно равных размеров с минимальной внутрикластерной вариацией. Первоначально объединяются два ближайших кластера. Для них определяются средние значения каждого признака и рассчитывается сумма квадратов отклонений СГ,

д>:' (2)

.-I

где к - номер кластера, / - номер объекта, j - номер признака; р - количество признаков, характеризующих каждый объект; пк - количество объектов в Ьм кластере.

Верен» (■< flHTij j Длин» larorutKi 1 (4 6m*) j тТГГ' I

Щ олифим юр 16 Ajn) j Флин Г

SptM j^ODIÙI (8 ) протокола 1 KoibpoJbHtA сумм* ') 1

AJJJÎC onpiWh" ф 02 Пит») 1 \ /

Пер» м тЯипИ Алрсс rtoi^tai cMcmv) длин») j OjTgi&n-») 1 __ Bfeipanfrwiltate (лг^гмечим ДЯ&)«)4

Лак ММ>Й (ntp м «шм /

Л орт па.туч»теяя ¡16 бт)

Pnwtp окна

(Ii Un)

IP He »4er Len tPTOS AP Leneb y ^FBAGiD x •"Î? FM* Рог у 'в>тп, / EP De« Ad^

IP Source A<Mr TCP S«ac. " TCP Peii ** TCP Sea Nurъ TCP Aik Kum ТСРПНМия* TCP SYN Num

UZ>P Soiree « UDP Dert Port TOP Length UDP Checlcs^n 1СШ Туье ICNP Co-ie гем?

Журнал событий

чНомерjfopr» отправителя (16 Chi)" Гомер порта получателя (16 бит)} / Шиш* (1 б бкт) Контрольная сумма (16 Сит) |

_Пш?едю<ньрс (переменная длина) |

Рис.3. Схема форм нрования журнала событий

В дальнейшем на каждом шаге работы алгоритма объединяются те объекты или кластеры, которые дают наименьшее приращение величины <ук.

Пусть имеется р параметров заголовков пакета сетевого трафика

х^,х1.....хр, которые формируют случайный одномерный числовой ряд х, ЖС.

После применения кластерного анализа исходные данные ЖС преобразуются в интервальный вариационный ряд дг = ([*,],],...[* ]) Имеется и отсчетов заголовка пакета х, = ([*,],, .[*,,]„), где [х,], = [х, ,х,~], - верхнее* и нижнеех значения (-го поля у'-ой строки ЖС. Тогда - значение интервальной переменной поля заголовка пакета в}-ом наблюдение за время I.

Тогда матрица интервальных вариационных рядов [х] характеризующая состояние трафика в момент времени I, может быть представлена в виде:

(3)

'м,

М' = Ах Л

№

Для представления интервальной модели трафика, отражающей состояние информационных процессов сети, рассчитывается ковариационная матрица

м. „'

миг =

а <т

Л.Г.1.11 °ии<

1 " 1 где а9 =-2м-м,'), /41Г

"м ' ' п ы

1б[1 />],./е[1 р]

(4)

Для выполнения второго этапа - фиксации вторжений предложена следующая методика. Определим переменную 2, как Евклидово расстояние между матрицей М , характеризующей текущее состояние системы, и матрицей, характеризующей эталонный режим сети, Е{Мх1):

К-^К/ км.,-и,)3.

(5)

' Тогда если принять г, как меру изменения состояния трафика между эталонным и аномальным режимами работы сети, то ее можно назвать показателем аномальности сетевого трафика.

На рис. 4 представлены результаты оценки показателя аномальности сетевого трафика эталонного режима работы сети и при имитации информационных атак соответственно.

+ .4. ...

и 14-, и IX

'"¡Л:

9 ■ЮСВВЙЯ

Рис. 4. Оценка показателя аномальности трафика сети

Таким образом, получили дальнейшее развитие научные основы теории принятия решений в условиях интервальной неопределенности управляемых переменных по технологии сжатия пространства решений и их новое применение для адаптивного управления информационными процессами ИТКС ИАСУП.

Третья глава посвящена разработке прототипа контура адаптивного управления базой правил доступа МСЭ ИТКС ИАСУП.

Объединение способности МСЭ блокировать сетевой трафнк и возможность СППР определять показатель аномальности сетевого трафика, при необходимости изменяя базу правил доступа МСЭ, позволили реализовать адаптивное управление защитой ИР ИАСУП в условиях параметрической неопределенности объекта управления и сигнальной неопределенности несанкционированных воздействий.

Прототип системы адаптивного управления затщггой ИР ИАСУП как совокупность идентичных контуров защиты внешнего периметра сети и внутренних сегментов ИТКС на основе МСЭ ¡рТаЫез представлен на рис. 5.

Пусть требования, сужающие область допустимых управлений (У, формализованы в виде

7е = (7)

где С - число ограничений, отображающих декартово произведение пространств и, X, К на числовую ось Я,

г *" - уровень требований по доступу субъектов ТС, г-.ХхУхЦ

Х(0

Сетевой трафик

У(1)

А.

ад»

База правил доступа

Молуть) пратешябаээй правп

мсэ

Модуль принятия решений

СППР

Мод сп ь те1у щеги тр афи ка

н>бл<н

Модет ь эталонного тр афи ка

Жуошп оэбьпий

Рис. 5. Двухуровневый контур адаптивного управления МСЭ

Задача двухуровневого управления заключается в отыскании вектора А' = (а, ,а[, ..,а ,..д'д) е А, при котором достигнет максимума целевая функция к{А), К . и х X х У Л, определяемая количеством пакетов сетевого трафика на выходе МСЭ у' :

к'(А') = тахк(А), (8)

1е I

при выполнении условий: ттг =(« [х),{у})<: """,£ = !.С, (9)

(10)

В основном контуре решается задача при заданном векторе базы правил А = (а, ,а,,...,а е А с использованием детерминированной модели

у = Я{и^х) найти такого управление иА, при котором достигнет максимума пропускная способность МСЭ к(А)

к(А) = тах±±у,\. (11)

Изменения базы правил и, определяется решением дополнительной задачи:

и* = англах к(и ,,у,х,у), (12)

при выполнении условия (9) и уравнения интервальной модели (10).

Следовательно, результатом решения задачи двухуровневого управления является пара (А*, и*), удовлетворяющая условиям (9)- (12).

Предложенный контур является развитием архитектуры МСЭ с поддержкой функции автоматизированного управления базой правил доступа при обна-

I руженни вторжения иди аномальной активности субъектов ИТКС.

Для реализации СППР разработан алгоритм программного средства:

Шаг 1 Считывание параметров анализа из файла настроек ЖС МСЭ.

Шаг 2 Выбор заголовков сетевых пакетов х,.х2, ,.,хр из ЖС МСЭ.

Шаг 3 Реализация алгоритма Уорда кластерного анализа для получения модели сетевого трафика в виде матрицы интервальных рядов [х]' (3).

Шаг 4 Расчет ковариационной матрицы Е(М () (4), характеризующей

эталонное состояние трафика.

Шаг 5 Расчет текущей ковариационной матрицы М|г |( в установленные

администратором временные интервалы /

Шаг б Нахождение показателя аномальности трафика гп как расстояния между эталонной и текущей матрицами (5) с алгоритмом сжатия пространства решений за счет изменения базы правил А' ~{а' ,а,,...,а'ч,...а'0) е А.

Шаг 7 Сравнение показателя аномальности трафика г, с заданным пороговым значением ; А" и изменение базы правил МСЭ для блокирования сетевых соединений при идентификации их аномальной активности.

Шаг 8 Коррекция эталонной ковариационной матрицы £(Л/ ) с учетом сжатия интервалов элементов текущей базы правил Л и пересчета к(А) и г/"" .

Таким образом, предложено решение ключевой задачи защиты информации ИТКС на этапе обнаружения вторжений - автоматизации выработки решения по управлению средствами защиты на основе использования технологии сжатия пространства параметров интервальной модели сетевого трафика.

В четвертом разделе исследована эффективность защиты ИР ИТКС прототипа ИАСУП на основе новой технологии принятия решений по управлению средствами разграничения доступа. В основу исследования положен метод имитационно-аналитического эксперимента, схема которого показана на рис. б (СИА - средства информационных атак; СВС - субъекты внешней сети; КЗВП - контур защиты внешнего периметра сети; КЗЛС - контур защиты сегмента локальной сети).

По результатам эксперимента получена регрессионная модель, определяющая зависимость ошибок первого а и второго (3 рода (вероятности пропуска атаки и ложной тревоги) от вероятности вторжений р и характеристики СППР (порог аномальности г) вида:

а = 0,0096 + 0,8* г + 0 213* р Р = 0,045+ 6 27* г-66 114* р (13)

Рис. 6. Схема имнгационного эксперимента

На основании дерева решений предложенной технологии обнаружения вторжений выведен показатель риска Я, определяющий «цену» принятия решений СГ1ПР, вида

Я = Мт{срр,(\-сс)(\-р)} + Мт{С{\-0)р,а{\~ Р)\, (14)

С а

где С - относительная цена ошибки принятия решений С = .

Для определения границ применимости предложенной СППР исследована зависимость (14), результаты которого представлены на рис. 7.

го .001)

07 05 05 ■

0.4

03 • 0.2 0.1

Оценка показателя риска позволяет определить уровень аномальности сетевого трафика z, который обеспечивает минимальную вероятность пропуска ИА а при допустимой вероятности ложной тревоги р (критерий Неймана -Пирсона)с учетом заданной цены ошибки принятия решений С.

На рис. 8 представлена сравнительная оценка эффективности известного средства обнаружения вторжений Snort и разработанного СППР StopAttack.

iE-08 1E-Q? 0,000рр.1 0£jt)001 0.0001 0,001. Q.pt. . 0.1

0.01

0.00I -

00001 ■ 0.00001 -0.000001 -0.0000001 •

c = 1000 « С =500

Рис. 7. Область применимости метода

0.8 ......•,•. ....... , --------------г ........Г

0.7 л—

■ . \/ \ "' . ■'-•••.• •

0.6 -г—

0.5 0.3 0.2

Т'-'-.-.: .....* —БюрАПасК

-.-вп«

0.1

0.13 0 13 0.14 0.14 0.15 0.16 0 16 0.17 0.1 ЬеСа 0 0.19 0.2 0.21 0.22 0.23 0.24

Рис. 8. Оценка эффективности средств обнаружения вторжений

Таким образом, результаты моделирования свидетельствуют, что с применением новой технологии принятия решений следует ожидать повышение эффективности средств защиты ИР ИАСУП на 20...25%, причем положительный эффект новой технологии принятия решений усиливается по мере роста ИР и числа субъектов ИАСУП. Этот факт подтверждает достижение цели исследования и целесообразность выбранного направления совершенствования методов защиты ИР ИЖС ИАСУП.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. В результате анализа структуры и функций современного интегрированного производства выявлена основополагающая тенденция слияния АСУП и АС УТЛ в единые ИАСУП, технической основой которой является ИЖС. Доказано, что основной частью ИАСУП, требующей дополнительных научных исследований, становится система управления защитой ИР ИЖС.

2. Установлено, что основной проблемой защиты ИР ИАСУП становится противоречие между скачкообразным ростом ИР с эквивалентным ростом числа субъектов их использования и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты информации на этапе обнаружения вторжений или аномальной активности субъектов ИЖС.

3. Получил развитие математический аппарат интервального моделирования в теории принятия решений и его новое применение для моделирования информационных процессов ИЖС с целью идентификации аномальной активности внешних и внутренних субъектов сети по технологии сжатия пространства решений.

4. Разработана архитектура прототипа системы адаптивного управления межсетевым экранированием многосегментной ИАСУП, решающая ключевую задачу зашиты ИР ИЖС на этапе обнаружения вторжений - автоматизацию выработки решения по управлению средствами защиты на основе использова-

13

ния технологии сжатия пространства параметров интервальной модели сетевого трафика.

5. Разработано системное программное обеспечение, автоматизирующее управление базой правил МСЭ Iptables, прошедшее регистрацию в Российском агентстве по патентам и товарным знакам.

6. Проведен имитационно-аналитический эксперимент, результаты которого свидетельствуют о повышении эффективности системы защиты ИР с использованием предложенной технологии принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС многосегментной ИАСУП на 20 - 25 %.

Основные результаты диссертации опубликованы в следующих работах:

Публикации в изданиях, рекомендованных ВАК РФ

1. Цыганков A.C. Методология автоматизации принятия решений по управлению средствами защиты АСУ в условиях информационного противоборства / A.C. Цыганков, H.A. Соловьев // Вестник Оренбургского государственного университета. 2005. №10. С. 55-58.

2. Цыганков A.C. Технология интервального моделирования в задаче обнаружения вторжений / А.С Цыганков, Н.А Соловьев // Научно-технические ведомости СПбГПУ «Информатика. Телекоммуникации. Управление». 2008. №2. С.188-192.

Статьи и материалы конференций

3. Цыганков A.C. Программная реализация столкновений объектов с ин-тервапьно заданными параметрами / A.C. Цыганков //Сборник XXV юбилейной научной конференции студентов ОГУ - Оренбург: ИПК ОГУ, 2003. С. 259.

4. Цыганков A.C. Реализация сетевого варианта автоматизированной системы поддержки принятия решений / A.C. Цыганков // Актуальные проблемы автоматизированного управления в человеко-машинных системах: сб. -Оренбург: Тип. ВУ ВПВО, 2004 . С. 37 - 44.

5. Цыганков A.C. Определение показателя аномальности трафика с помощью заголовков пакетов /A.C. Цыганков // Проблемы автоматизации и управления в технических системах.сб тр. Междунар. науч.-техн. конф. - Пенза: ИИЦ ПГУ, 2007. С. 167-169.

6. Цыганков A.C. Адаптивное управление базой правил средств защиты информационных ресурсов АСУ на основе анализа сетевого трафика/А.С. Цыганков // Компьютерная интеграция производства и ИПИ - технологии: сб. тр. Всерос. науч.- практ. конф. - Оренбург. ИПК ГОУ ОГУ, 2007. С. 394-398.

7. Цыганков A.C. Подход к снижению размерности задачи выявления аномальности сетевого трафика/ A.C. Цыганков // Современные информационные технологии в науке, образовании и практике: сб. VI Всерос. науч.-техн.

1 конф. (с Между нар. участием). - Оренбург: ИПК ГОУ ОГУ,2007. С. 131-135.

8. Цыганков A.C. Метод выявления информационных атак и оценка их критичности /A.C. Цыганков//Современное образование и глобализация, опыт, проблемы, перспективы: материалы Между нар. науч.-практ. конф. - Оренбург: Издательский центр «Скорпион», 2007. С. 180-184

9. Щудро И.А. Развитие математического аппарата решения задач многоальтернативного отождествления объектов / И.А. Щудро, A.C. Цыганков // Актуальные проблемы информационных технологий теории управления: сб. тр. межвуз, науч. семинара- Оренбург: Тип. ОВЗРУ, 2007. С. 3-10.

10. Цыганков A.C. Контур управления межсетевым экранированием при неизвестных сигнатурах вторжений /A.C. Цыганков // Актуальные проблемы информационных технологий теории управления: сб тр. межвуз. науч семинара. - Оренбург: Тип. ОВЗРУ, 2007. С. 31-36.

И Цыганков A.C. StopAttack 0.1. Свидетельство о государственной регистрации программы для ЭВМ № 2008611080/-А.С Цыганков. М.. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2008.

12. Цыганков A.C. Управление межсетевым экранированием на основе использования технологии сжатия пространства параметров интервальной модели сетевого трафика/ А.С.Цыганков // Кибернетика и высокие технологии XXI века - Воронеж: ИПЦ ВГУ, 2008. С 540-550

13. Цыганков A.C. Адаптивное управление защитой информации телекоммуникационной сети на этапе обнаружения вторжений / A.C. Цыганков // Управлением созданием и развитием систем, сетей и устройств телекоммуникаций. -СПб., 2008. С. 383-388.

Подписано в печать 23.10.2008. Формат 60x84/16. Бумага для множительных аппаратов. Уел печ. л. 1,0. Тираж 90 экз. Заказ №

ГОУВПО «Воронежский государственный технический университет» 394026 Воронеж, Московский просп., 14

ВВЕДЕНИЕ.

1 СИСТЕМНЫЙ АНАЛИЗ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ.

1.1 Характеристика защиты информационных ресурсов.

1.1.1 Анализ проблем интеграции АСУП и АСУТП.

1.1.2 Информационно-технологический характер процесса управления защитой информационных ресурсов ИАСУП.

1.1.3 Анализ ущерба ИАСУП от нарушения защиты информационных ресурсов.

1.1.3.1 Ущерб предприятий от внешних информационных атак.

1.1.3.2 Ущерб предприятий от внутренних несанкционированных действий.

1.2 Анализ противоречий между возможностями средств нападения и эффективностью средств защиты.

1.2.1 Анализ средств информационного нападения.

1.2.2 Анализ особенностей сетевых атак на информационные ресурсы ИАСУП.

1.2.3 Анализ средств защиты информационных ресурсов ИАСУП.

1.3 Цель исследования и решаемая научная задача.

1.3.1 Формулирование цели исследования.

1.3.2. Постановка научной задачи и её формализация.

Выводы.

2 РАЗРАБОТКА ИНТЕРВАЛЬНОЙ МОДЕЛИ СЕТЕВОГО ТРАФИКА

2.1 Концептуальные основы моделирования информационных процессов в условиях неопределенности.

2.2 Информационные характеристики трафика и источники данных для их оценки.

2.3 Методика преобразования массивов заголовка пакета в интервальный вариационный ряд.

2.4 Разработка методики выявления аномальности трафика в условиях интервальной неопределенности.

Выводы.

3 РАЗРАБОТКА ПРОТОТИПА КОНТУРА АДАПТИВНОГО УПРАВЛЕНИЯ МЕЖСЕТЕВЫМ ЭКРАНИРОВАНИЕМ ИТКС.

3.1 Архитектура межсетевого экрана с пакетными фильтрами и базой правил под управлением администратора сети.

3.2 Развитие контура управления межсетевым экранированием на основе интервальной модели сетевого трафика.

3.3 Разработка алгоритма средства поддержки принятия решений по управлению базой правил межсетевого экрана.

Выводы.

4 ОЦЕНКА ЭФФЕКТИВНОСТИ СРЕДСТВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ В ИТКС.

4.1 Развитие методического аппарата оценки эффективности средств обнаружения вторжений в ИТКС.

4.1.1 Построение структуры имитационного эксперимента для оценки эффективности средств обнаружения вторжений.

4.1.2 Построение моделей информационных атак имитационного эксперимента.

4.1.3 Планирование имитационного эксперимента.

4.2 Обоснование области применимости метода обнаружения вторжений в условиях интервальной неопределенности информационных атак.

4.2.1 Развитие методов анализа рисков . в задаче обнаружения вторжений.

4.2.2 Сравнительный анализ эффективности предложенных программных средств поддержки принятия решений по обнаружению вторжений.

4.3 Анализ результатов имитационного эксперимента.

Выводы.

Последние десятилетия характеризуются тенденцией слияния АСУП и АСУТП в единые интегрированные автоматизированные системы управления производством (ИАСУП), технической основой которой становится информационно-телекоммуникационная сеть (ИТКС). Широкое внедрение ИАСУП, интеграция их с открытыми информационными системами, помимо явных "преимуществ, порождают новые проблемы, связанные с их информационной безопасностью (ИБ), регламентирующей конфиденциальность, сохранность и доступность информационных ресурсов (ИР) ИАСУП. Под ИР подразумевается совокупность содержащейся в базах данных ИАСУП информации и программного обеспечения, обеспечивающего ее обработку. В последнее десятилетие уровень потерь корпораций от деструктивных воздействий на ИР ИАСУП становится соизмерим со стоимостью собственно ИАСУП.

Проблемам обеспечения ИБ ИТКС, к классу которых относятся ИАСУП, посвящены работы таких известных российских ученых как Зегжда П.Д., Ивашко A.M., Курбатова В.И., Лукацкого A.B., Остапенко А.Г., Смирнова С.Н., Щеглова А.Ю., Ухлинова JI.M. и зарубежных исследователей К. Лендвера, Д. МакЛина, Р. Сандху и других. Обобщая результаты исследований, можно сделать вывод, что существующие средства защиты обеспечивают ИБ ИАСУП от известных информационных атак. Однако, уровень автоматизации основного этапа защиты при появлении новых угроз ИБ — выработки решений о несанкционированном доступе (вторжении), остается низким.

Следовательно, одним из главных противоречий объекта исследований становится противоречие между скачкообразным ростом информационных объектов ИАСУП с эквивалентным ростом числа субъектов их использования и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты ИР на этапе обнаружения вторжений или аномальной активности субъектов ИТКС ИАСУП.

Работа выполнена в рамках госбюджетной НИР «Разработка и внедрение математического и программного обеспечения автоматизированных систем» (№ 01960005784). Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Оренбургский государственный университет»

Объект исследования: методы, модели и средства выявления угроз нарушения ИБ объектов ИТКС.

Предмет исследования; технология управления межсетевым экранированием ИТКС ИАСУП.

Границы исследований: исследования проводились для методов защиты ИР ИТКС ИАСУП на этапе обнаружения вторжений.

Цель и задачи исследования: совершенствование методов защиты ИР ИАСУП путем разработки методической базы автоматизации управления средствами защиты при обнаружении вторжений или аномальной активности субъектов ИТКС.

Основные задачи научного характера:

Во-первых, необходимо провести системный анализ проблем интеграции АСУП и АСУТП для выявления противоречий и обоснования необходимости развития средств управления защитой ИР ИАСУП на этапе обнаружения вторжений или аномальной активности субъектов ИТКС.

Во-вторых, разработать математический аппарат моделирования, обеспечивающий определение несанкционированного доступа или аномальной активности субъектов ИТКС ИАСУП в условиях интервальной неопределенности объекта управления.

В-третьих, обосновать архитектуру и разработать программное средство адаптивного управления межсетевым экранированием многосегментной ИАСУП.

В-четвертых, разработать прототип системы адаптивного управления межсетевым экранированием ИР ИАСУП и оценить его эффективность.

Методы исследования. Использованы методы теории системных исследований; информационной безопасности, теорий управления; теории принятия решений; теории статистических решений и интервальной математики.

Научная новизна результатов исследования. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

1 Предложена модель сетевого трафика в условиях интервальной неопределенности его параметров, позволяющая значительно снизить вычислительные ресурсы при решении задачи обнаружения вторжений.

2 Разработан алгоритм обнаружения вторжений или аномальной активности субъектов ИТКС по технологии сжатия пространства решений, позволяющий решать задачу обнаружения вторжений в реальном масштабе времени.

3 Разработана система адаптивного управления МСЭ многосегментной ИАСУП, позволяющая изменять базу правил МСЭ в условиях неопределенности информационных атак.

4 Предложена методика оценки границ применимости реализованной системы адаптивного управления МСЭ ИТКС ИАСУП на основе теории рисков по критерию Неймана-Пирсона.

Практическая значимость полученных результатов. Полученные в ходе исследований результаты реализованы в системном программном обеспечении МСЭ ИТКС, что подтверждается актами дочернего предприятия ТНК-ВР - ООО «ТБинформ» (г. Оренбург) и государственной регистрацией программного продукта «БШрАНаск» (Свидетельство № 2008611080), а также в учебном процессе ГОУ ВПО «Оренбургский государственный университет».

Апробация работы. Основные положения и результаты работы докладывались и обсуждались на 5 научно-практических конференциях: всероссийской научно-практической конференции (НПК) «Роль современных информационных технологий в развивающейся экономике» (г. Оренбург, 2005 г.), VI региональной НПК с международным участием «Современные информационные технологии в науке, образовании и практике» (г. Оренбург, 2007 г.), всероссийской НПК «Компьютерная интеграция производства и ИЛИ - технологии» (г.Оренбург, 2007г.), международной НПК «Проблемы автоматизации и управления в технических системах» (г.Пенза, 2007 г.), IX международной научно-технической конференции «Кибернетика и высокие технологии XXI века» (г.Воронеж,2008).

Публикации. По теме диссертационной работы опубликовано 13 научных работ, в том числе 2 - в издании, рекомендованным ВАК РФ; 1 авторское свидетельство на программный продукт.

В работах, опубликованных в соавторстве, лично соискателю принадлежат: концептуальные основы интервального моделирования в задаче обнаружения вторжений, применение интервального моделирования к процедурам анализа заголовков сетевого трафика и методика оптимизации двухальтернативного отождествления с помощью критерия Неймана-Пирсона .

Основные положения, выносимые на защиту.

1 Модель сетевого трафика в условиях интервальной неопределенности его параметров.

2 Алгоритм принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС.

3 Система адаптивного управления МСЭ многосегментной ИАСУП на этапе обнаружения вторжений и алгоритмы программных средств её реализации.

4 Методика оценки границ применимости предложенной системы адаптивного управления МСЭ ИТКС ИАСУП.

Структура и объем работы. Диссертационная работа состоит из введения, четырех разделов, заключения и приложений, изложена на 136 страницах машинописного текста, иллюстрирована 60 рисунками и 4 таблицами. Список использованной литературы содержит 120 наименований.

Выводы по основному содержанию работы:

1 В результате анализа структуры и функций современного интегрированного производства выявлена основополагающая тенденция слияния АСУП и АСУТП в единые ИАСУП, технической основой которой является ИТКС. Доказано, что основной частью ИАСУП, требующей дополнительных научных исследований, становится система управления защитой ИР ИТКС.

2 Установлено, что основной проблемой защиты ИР ИАСУП становится противоречие между скачкообразным ростом ИР с эквивалентным ростом числа субъектов их использования и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты информации на этапе обнаружения вторжений или аномальной активности субъектов ИТКС.

3 Получил развитие математический аппарат интервального моделирования в теории принятия решений и его новое применение для моделирования информационных процессов ИТКС с целью идентификации аномальной активности внешних и внутренних субъектов сети по технологии сжатия пространства решений.

4 Разработана архитектура прототипа системы адаптивного управления межсетевым экранированием многосегментной ИАСУП, решающая ключевую задачу защиты ИР ИТКС на этапе обнаружения вторжений - автоматизацию выработки решения по управлению средствами защиты на основе использования технологии сжатия пространства параметров интервальной модели сетевого трафика.

5 Разработано системное программное обеспечение, автоматизирующее управление базой правил МСЭ 1р1аЬ1ез, прошедшее регистрацию в Российском агентстве по патентам и товарным знакам.

6 Проведен имитационно-аналитический эксперимент, результаты которого свидетельствуют о повышение эффективности системы защиты ИР с использованием предложенной технологии принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС многосегментной ИАСУП на 10 - 15 %.

ЗАКЛЮЧЕНИЕ

В настоящей работе проведены исследования в области обеспечения защиты информационных ресурсов ИТКС на этапе обнаружения вторжений. Данная работа посвящена разработке методики обнаружения вторжения при использовании ранее неизвестных типов информационных атак, а так же способов снижения используемых в задаче обнаружения вторжений вычислительных ресурсов. В ходе выполнения настоящей работы было разработано средство поддержки принятия решений по управлению межсетевым экранированием ИТКС, которое зарегистрировано в федеральном институте правовой собственности, что подтверждается авторским свидетельством о регистрации. Разработанное программное средство 81орАйаск внедрено в эксплуатацию в ООО «ТБ Информ» и в учебный процесс на кафедру «Программное обеспечение вычислительной техники и автоматизированных систем» Оренбургского государственного университета, что подтверждается соответствующими актами внедрения. Внедрение в ООО «ТБ Информ» позволило повысить оперативность выявления несанкционированных вторжений к информационному и программному обеспечению телекоммуникационной сети предприятия на 10%, тем самым, подтверждая важность результатов диссертационных исследований для предприятия ООО «ТБинформ».

1. Александровская JI.H. Современные методы обеспечения безотказности сложных технических систем / Александровская JI.H., Афанасьев А.П., Лисов A.A.// —М: ЛОРИ, 2001. -410 с.

2. Алефельд, Г. Введение в интервальные вычисления/Г. Алефельд, Ю.Херцбергер//. М.: Мир, 1987. -356с.

3. Анфилатов B.C. Системный анализ в управлении / Анфилатов B.C., Емельянов A.A., Кукушкин A.A.// М.: Финансы и статистика, 2003. - 367с.

4. Артемьев В.М. Основы автоматического управления систем радиоэлектронных средств. Учебник /Артемьев В.М., Яшугин Е.А.// Воениздат, 1984 -456 с.

5. Барлоу Р. Математическая теория надежности / Барлоу Р., Прошан Ф. // М.: Советское радио, 1969. 488с.

6. Безопасность информационных технологий / Госкомитет РФ по высшему образованию. М.: МИФИ. 1994. Вып. 1.

7. Беллман Р. Динамическое программирование. Пер. с англ. М.: ИЛ, 1960. - 480 с.

8. Блекуэл Д. Теория игр и статистических решений. Пер. с англ/ Блеку-эл Д., Гиршик М.// М.: ИЛ, 1958. 370 с.

9. Брентон К. Разработка и диагностика многопротокольных сетей. М. : ЛОРИ, 1999.-408 с.

10. Бусленко Н.П. Моделирование сложных систем. М.: Наука, 1978. —399 с.

11. Васильков Ю.В. Компьютерные технологии вычислений в математическом моделировании /Васильков Ю.В, Василькова H.H. // М.: Финансы и статистика, 2002. -253с.

12. Вентцель Е.С. Теория вероятностей и ее инженерные приложения /Вентцель Е.С., Овчаров Л.А.// М.: Наука, 1988. 480с.

13. Гаскаров Д.В. Малая выборка./ Гаскаров Д.В., Шаповалов В.И // М.: Статистика, 1978. - 248с.

14. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. М.: Энергоатомиздат, 1994.Кн.1. - 400с. Кн.2. - 175с.

15. Гермейер Ю.Б. Введение в теорию исследования операций. -М.: Наука,1971. 384с.

16. Гмурман В.Е. Руководство к решению задач по теории вероятностей и математической статистике. — М.: Высшая школа, 2003. — 404 с.

17. Горский Ю.М. Системно информационный анализ процессов управления. - М.: Наука, 1988. - 328 с.

18. Гришин Ю.П. Радиотехнические системы: учебное пособие для вузов по специальности «Радиотехника» /Ю.П. Гришин, В.П. Ипатов, Ю.М. Казари-нов, Ю.А. Коломенский, Ю.Д. Ульяницкий// М.: Высшая школа, 1990, 496 с.

19. Грушо A.A. Теоретические основы защиты информации./ Грушо A.A. Тимонина Е.Е. // М.: «Яхтсмен», 1996. - 192 с.

20. Гук М. Аппаратные средства локальных сетей. СПб: «Питер», 2000г.-208 с.

21. Дегтярев Ю.И. Системный анализ и исследование операций. М.: Высшая школа, 1996. - 331 с.

22. Добронец Б.С. Интервальная математика. Красноярск: Издательство КГУ, 2004.

23. Дружинин Г.В. Качество информации./ Дружинин Г.В., Сергеева И.Н // М.: Радио и связь, 1990. - 172 с.

24. Дубров, A.M. Многомерные статистические методы: для экономистов и менеджеров. / A.M. Дубров, B.C. Мхитирян, Л.И Трошин//. М.: Финансы и статистика, 1998. -352с.

25. Елисеева И.И. Теория статистики с основами теории вероятностей/ Елисеева И.И., B.C. Князевский, Л.И. Ниворожкина, З.А. Морозова. // М.:1. ЮНИТИ, 2001.-427 с.

26. Емельянов A.A. Имитационное моделирование экономических процессов./ Емельянов A.A., Власов Е.А., Дума P.B.// М.: Финансы и статистика, 2004.-368 с.

27. Завгородний В.И. Комплексная защита информации в компьютерных системах. М.: «Логос», 2001.- 262с.

28. Зегжда П.Д. Основы безопасности информационных систем /Зегжда П.Д., Ивашко A.M.// М.: Горячая линия - Телеком, 2000. - 420 с.

29. Закляков П. Обнаружение телекоммуникационных атак: теория и практика Snort. // Системный администратор, октябрь, 2003.

30. Закляков П. Удобнее, эффективнее, лучше: Snort+MySQL. // Системный администратор, ноябрь 2003.

31. Запорожец Г.И. Руководство к решению задач по математическому анализу. -М: Высшая школа, 1964 г. -480 с.

32. Игнатьев В. Безопасность беспроводных сетей. // Системный администратор, январь, 2004.

33. Касперский К. Жизненный цикл червей. // Системный администратор, февраль, 2004.

34. Касперский Е.В. Компьютерные вирусы, что это такое и как с ними бороться.—М.: CK Пресс, 1998.—288 с.

35. Кендалл М.Дж. Многомерный статистический анализ и временные ряды: Пер. с англ./Кендалл М. Дж., Стюарт А.// М.: Наука, 1976. - 736с.

36. Клейнен Дж. Статистические методы в имитационном моделировании. -М.: Статистика, 1978. -228с.

37. Колмогоров А.Н. Теория информации и теория алгоритмов. -М.: Наука,1987.303с.

38. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ Гостехкомиссии России. М.: ГТК РФ, 1992.

39. Костин H.A. Общая математическая модель защиты информации. //Вестник Рос. Об-ва инф-ки и ВТ, №6, 2001.

40. Костров Д.В. Рынок систем обнаружения компьютерных атак» // Конфидент, №6, 2002.

41. Кукушкин A.A. Теоретические основы автоматизированного управления. 4.1: Основы анализа и оценки сложных систем. Орел: Изд. ВИПС, 1998.-254с.

42. Кукушкин A.A. Теоретические основы автоматизированного управления. 4.2: Основы управления и построения автоматизированных систем. — Орел: Изд. ВИПС, 1999.- 209с.

43. Кульгин М. Практика построения компьютерных сетей. СПб.: «Питер», 2001г.-412 с.

44. Кульгин М.В. Коммутация и маршрутизация 1Р/ IPX трафика. М.: КомпьютерПресс, 1998. - 320 с.

45. Лагоша Б.А. Основы системного анализа./Лагоша Б.А., Емельянов

46. A.A. // М.: Изд-во МЭСИ, 1998. - 191 с.

47. Лебедь C.B. Межсетевое экранирование. Теория и практика защиты внешнего периметра. М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. 301с.

48. Ловцов Д.А. Контроль и защита информации в АСУ. В 2-х кн. Кн. 1. Вопросы теории и применения. М.: В А им.Ф.Э. Дзержинского, 1991.- 172с.

49. Ловцов Д.А. Имитационное моделирование выработки решений в АСУ/Ловцов Д. А., Семеряко И.И. //. М.: В А им. Ф.Э. Дзержинского, 1989. -235 с.

50. Лукацкий, А. Адаптивное управление защитой /А.Лукацкий// СЕТИ. 1999 г. октябрь (№10).

51. Малин A.C. Исследование систем управления / Малин A.C. , Мухин

52. B.И.// М.: Изд. дом ГУ ВШЭ, 2004. 397с.

53. Мамиконов А.Г. Достоверность, защита и резервирование информации в АСУ/ Мамиконов А.Г., Кульба В.В., Шелков А.Б //-М.: Энергоиздат,1986.- 304с. ;

54. Мамиконов А.Г. Основы построения АСУ. М.: Высшая школа, 1951.-248с

55. Мельников В.В. Защита информации в компьютерных системах. — М.: ЛОРИ, 1997.-302 с.

56. Мельников Д.А. Информационные процессы в компьютерных сетях- М. : Филинъ, 2001. 277 с.

57. Месарович М. Общая теория систем: Математические основы./ Ме-сарович М., Такахара Я. // М.: Мир, 1978. - 311с.

58. Норенков И.П. Телекоммуникационные технологии и сети./ Норен-ков И.П., Трудоношин В.А.//-М.: Изд. МГТУ им. Н.Э. Баумана, 2000. -246с.

59. Овчинников В.А. Алгоритмизация комбинаторно-оптимизационных задач при проектировании ЭВМ и систем М.: Изд. МГТУ им. Н.Э. Баумана, ; Москва 2001.-360 с.

60. Резников Б.А. Системный анализ и методы системотехни-ки.Ч.1.Методология системных исследований. Моделирование сложных систем. Л.: МО СССР, 1990. 522с.

61. Романец Ю.В. Защита информации в компьютерных системах и сетях./ Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.// М.: Радио и связь, 1999.

62. Ростовцев Ю.Г. Теоретические основы защиты информации. Вып.2.С-Пб.: ВИККА им. А.Ф.Можайского, 1999. 109с.

63. Сердюк, Ю.А. Сетевые технологии как составная часть интегрированных систем управления промышленных предприятий/ Ю.А. Сердюк, A.B. Ловейкин// АОЗТ "САТУРН® Дейта Интернешнл", г. Киев

64. Сёмыкин С.Н. Основы информационной безопасности объектов обработки информации./Сёмыкин С.Н., Сёмыкин А.Н. // М.: Дельта, 2000. 340 с.

65. Скрыль С. Информационная безопасность телекоммуникационных систем: учебное пособие для системы высшего профессионального образования России / C.B. Скрыль и др//. М.: Радио и связь, 2004. - 388 с.

66. Советов Б.Я. Моделирование систем./ Советов Б.Я., Яковлев С.А.// -М: Высшая школа, 2001. 342 с.

67. Сошников JI.A. Многомерный статистический анализ. — Минск: БГТУ, 2004, 162 с.

68. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. Руководящий документ Гостехкомиссии России. М.: ГТК РФ, 1992.

69. Стратонович Р.Л. Теория информации. М.: Наука, 1967. 432 с.

70. Сяо Д. Защита ЭВМ./ Сяо Д., Керр Д., Мэдник С. // М.: Мир, 1982.263с.

71. Таили Э. Безопасность компьютеров / Пер. с англ.-Минск: 1997.-201 с.

72. Таненбаум, Э. Компьютерные сети. Третье издание. -СПб.: Питер, 2002. -848с.

73. Ухлинов Л.М. Анализ безопасности протоколов управления ключами в сетях ЭВМ. //АВТ 1990, №1, с. 11-16.

74. Ухлинов Л.М. Принципы построения системы управления безопасностью данных в информационно- вычислительных сетях. ЭВМ. //АВТ 1990, №4, с.11-17.

75. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации.

76. Финни Д. Введение в теорию планирования эксперимента. — М.: Наука. 1970.-480 с.

77. Хоффман JI. Дж. Современные методы защиты информации. М.: Сов. Радио, 1980. -246с.

78. Цыганков, A.C. Методология автоматизации принятия решений поуправлению средствами защиты АСУ в условиях информационного противоборства / A.C. Цыганков, H.A. Соловьев // Вестник ОГУ, 2005, №10, с. 55-58.

79. Цыганков, A.C. Технология интервального моделирования в задаче обнаружения вторжений / A.C. Цыганков, H.A. Соловьев // Научно-технические ведомости СпбГПУ «Информатика. Телекоммуникации. Управление», 2008, №¡2, ст.188-192.

80. Цыганков, A.C. Программная реализация столкновений объектов с интервально заданными параметрами. /Сб. XXV юбилейной научной конференции студентов ОГУ. Оренбург: ИПК ОГУ, 2003 г., с. 259.

81. Цыганков, A.C. Реализация сетевого варианта автоматизированной системы поддержки принятия решений. /A.C. Цыганков //Сб. «Актуальные проблемы автоматизированного управления в человеко-машинных системах». -Оренбург: Тип. ВУ ВПВО, 2004 г., с. 37 44.

82. Цыганков, A.C. Развитие математического аппарата решения задач многоальтернативного отождествления объектов. /Щудро И.А., Цыганков A.C.

83. Сб. трудов межвузовского научного семинара «Актуальные проблемы информационных технологий теории управления». Оренбург: Тип. ОВЗРУ, 2007. ст. 3-10.

84. Цыганков, А.С. StopAttack 0.1. Свидетельство о государственной регистрации программы для ЭВМ № 2008611080. М.: Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2008.

85. Цыганков, А.С. Управление межсетевым экранированием на основе использования технологии сжатия пространства параметров интервальной модели сетевого трафика. /А.С.Цыганков// Кибернетика и высокие технологии XXI века. Воронеж: ИПЦ ВГУ, 2008. ст.540-550

86. Цыганков, А.С. Адаптивное управление защитой информации телекоммуникационной сети на этапе обнаружения вторжений. /А.С. Цыганков// Управлением созданием и развитием систем, сетей и устройств телекоммуникаций. -СПб. 2008. ст. 383-388.

87. Чирилло Д. Обнаружение хакерских атак. Спб.: «Питер», 2002г.540 с.

88. Чмора A.JI. Современная прикладная криптография. М.: 2001. — 390с.

89. Шокин Ю.И. Интервальный анализ. Новосибирск: Сибирское отделение изд-ва "Наука", 1981.

90. Щербаков А.К. Разрушающие программные воздействия. М. : Эдель, 1993.-64 с.

91. Яремчук С. Маленький Linux в качестве FireWall. // Системный администратор, сентябрь, 2003

92. Яремчук С. Три составных части защиты. //Системный администратор, июль, 2003.

93. Chi-Shih Chao. Abnormal Event Détection for Network Flooding Attacks / Chi-Shih Chao, Yu-Xin Chen, An-Chi Liu // Journal of information science and engineering 20, 2004, pages 1079-1091.

94. Information Technology Security Evaluation Criteria. Harmonized Criteria of France- Germany — Netherlands- United Kingdom. — Department of Trade and Industry, London, 1991.

95. Floyd S. Sharing and Resource Management Models for Packet Networks/ Floyd S., Jacobson V. Link// IEEE ACM Transactions on Networking, Vol.3, No.4,1995.

96. Lakhina A. Impact of Packet Sampling on Anomaly Detection Metrics/ Lakhina A., Brauckhoff D., Teilenbach B., Wagner A., May M.// IMC'06, Rio de Janeiro, Brazil.October 25-27, 2006.

97. Lakhina A. Mining Anomalies Using Traffic Feature Distributions /Lakhina A., Crovella M., Diot C.// SIGCOMM'05, Philadelphia, Pennsylvania, USA. August 2005.

98. Lunt T. A Prototype Real-time Intrusion-Detection Expert System/ T. Lunt ,R. Jagannathan, // in Proceedings of IEEE Symposium on Security and Privacy, 1988, pp. 59.66.

99. Matthew V. Learning Nonstationary Models of Normal Network Traffic for Detecting Novel Attacks /Matthew V. Mahoney , Philip K. Chan// SIGKDD '02, July 23-26, 2002, Edmonton, Alberta, Canada.

100. Moore R.E. Methods and applications of interval analysis. Philadelphia: SIAM, 1979.

101. Neumaier A. Interval methods for systems of equations. Cambridge: Cambridge University Press, 1990.

102. RFC 1508. Linn, J. Generic Security Service API.

103. RFC 1509. Wray, J. Generic Security Service API: C- bindings.

104. RFC 1579. Firewall Friendly FTP.

105. RFC 1597. Address Allocation for Private Internets.

106. RFC 1928. Socks Protocol Version 5.

107. RFC 2196. Site Security Hand book.

108. RFC 2341. Cisco Layer Two Forwarding (Protocol) "L2F".

109. RFC 2406. IP Encapsulating Security Payload.

110. RFC 2409. Internet Key Exchange (IKE).

111. RFC 2894. Router Renumbering for Ipv6.

112. Schuba C. L. Analysis of a Denial of Service Attack on TCP/ C. L. Schuba, I. V. Krsul, M. G. Kuhn, E. H. Spafford, A., D. Zamboni,/ In Proceedings of the 1997 IEEE Symposium on Security and Privacy. IEEE Computer Society Press, May 1997, pp. 208-223.

113. Shuyuan Jin, A Covariance Analysis Model for DDoS Attack Detection/ Shuyuan Jin, Daniel S. Yeung A// IEEE Communications Society, 2004.