автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных систем

На правах рукописи

КАШАЕВ Тимур Рустамовнч

АЛГОРИТМЫ АКТИВНОГО АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ

ТЕХНОЛОГИЙ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ

»

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Уфа 2008

003447155

Работа выполнена на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета

Научный руководитель д-р техн. наук, проф.

Васильев Владимир Иванович

Официальные оппоненты д-ртехн наук, проф

Миронов Валерий Викторович

канд техн наук, доцент Набатов Александр Нурович

Ведущая организация ООО «Башпромавтоматика»

Защита диссертации состоится «17» октября в 10.00 на заседании диссертационного совета Д-212 288.07 при Уфимском государственном авиационном техническом университете по адресу 450000, Уфа, ул К Маркса, 12

С диссертацией можно ознакомиться в библиотеке университета Автореферат разослан « » сентября 2008 г.

Ученый секретарь диссертационного совета, д-р техн наук, профессор

С.С. Валеев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы

Обеспечение безопасности информации в современном бизнесе является одной из ключевых задач Развитие компьютерных сетей и их объединение в глобальную сеть Интернет привело к росту числа преступлений, связанных с нарушением основополагающих принципов информационной безопасности- доступности, целостности и конфиденциальности информации Несмотря на развитие средств защиты, таких как брандмауэры, количество вторжений в информационные системы компаний возрастает с каждым годом Увеличение числа атак на ресурсы локальных вычислительных сетей (ЛВС) приводит к необходимости применения средств защиты не только на рубеже «Интернет/Интранет», но и внутри самой ЛВС Согласно статистическим отчетам аудиторской компании Deloitte & Touche, в 2007 г внутренним атакам подвергались более 38% опрошенных компаний Для обнаружения атак внутри сетей используются различные классы инструментальных средств, такие как системы обнаружения атак, системы предотвращения атак, сканеры уязвнмостей, комплексные системы управления безопасностью Однако использование этих средств сегодня ограничено рядом факторов

- высокая стоимость и сложность их развертывания и поддержки, -впзкая эффективность функционирования при наличии неизвестных

атак;

- высокая на1рузка на компоненты ЛВС

В настоящее время исследования в области защиты объектов ЛВС ведутся в направлении разработки средств «активного аудита» (CAA), которые позволяют решить часть этих проблем за счет использования технологий интеллектуального анализа данных, модульности и многоагентного подхода Вместе с тем, многие вопросы при построении этих систем, связанные с эффективностью применения новых методов и технологий и их реализацией в режиме реального времени, остаются открытыми и не до конца исследованными, поэтому тема диссертации, посвященная разработке интеллектуальных систем активного аудита информационных систем с использованием одного из перспективных направлений - искусственных иммунных систем, является актуальной

Объект исследования - информационная система локальной вычислительной сети

Предмет исследования - математическое, алгоритмическое и программное обеспечение CAA

Цель работы

Целью диссертационной работы является повышение эффективности процессов аудита безопасности информационной системы (ИС) на основе разработки алгоритмов и программного обеспечения интеллектуальной системы активного аудита с использованием технологий искусственных иммунных систем

Задачи исследования

Для достижения поставленной цели в диссертационной работе решаются следующие задачи

1. Разработка комплекса системных моделей системы активного аудита

2 Разработка алгоритмов активного аудита ИС на основе технологии искусственных иммунных систем

3 Оценка эффективности предложенных алгоритмов активного аудита ИС на основе технологий искусственных иммунных систем

4 Реализация исследовательского прототипа интеллектуальной системы активного аудита ИС с использованием механизмов искусственных иммунных систем

Методы исследования

В работе использовались методы теории принятия решений, математической статистики, системного анализа, теории распознавания образов, теории нейронных сетей и нечеткой логики, искусственных иммунных систем, теории информационной безопасности

Научная новизна

Научная новизна работы заключается в следующем

1 Разработан комплекс системных моделей системы активного аудита ИС с применением 8АБТ-методолоши, позволивших выделить основные бизнес-процессы, лежащие в основе ее функционирования, и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС

2. Разработаны алгоритмы активного аудита ИС, основанные на применении технологий искусственных иммунных систем, повышающие эффективность обнаружения атак за счет отказа от использования конечного множества сигнатур известных атак и перехода к использованию более общего принципа распознавания «свой - чужой»

3. Предложен модифицированный алгоритм генерации детекторов системы обнаружения атак, основанный на использовании генетического алгоритма, позволяющий сократить сроки обучения и повысить

эффективность функционирования системы активного аудита на основе механизмов искусственной иммунной системы

Практическая ценность

Предложенные алгоритмы построения интеллектуальной системы обнаружения атак позволяют повысить эффективность обнаружения атак, в том числе обнаружения неизвестных атак, т е. атак, для которых не существует эталонной сигнатуры, до 85%, при этом в проведенных экспериментах ошибка второго рода не превысила 6%

Исследовательский прототип интеллектуальной системы активного аудита ИС зарегистрирован в Федеральной службе по интеллектуальной собственности, патентам и товарным знакам (№2008611107 от 29 февраля 2008г) Разработанный прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в I етерогенных ЛВС

Основные результаты диссертационной работы внедрены в РНТИК «Баштехинформ», а также в учебный процесс Уфимского государственного авиационного технического университета

Результаты, выпосимые на защиту

1 Функциональная, информационная и динамическая модели системы активного аудита ИС

2 Алгоритмы обнаружения атак в ИС на основе технологий искусственных иммунных систем

3 Результаты экспериментальных исследований эффективности предложенных алгоритмов построения интеллектуальной системы активного аудита ИС

4 Исследовательский прототип интеллектуальной системы активного аудита ИС с использованием технологий искусственных иммунных систем

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на

- Всероссийской молодежной научно-технической конференции «Интеллектуальные системы управления и обработки информации», г Уфа, 2003 г

- Научно-практической конференции студентов и молодых ученых с международным участием «Вопросы теоретической и практической медицины», Уфа, 2004

- 7 и 8 Международных научных конференциях «Компьютерные науки и информационные технологии» (СЭГГ), Уфа, 2005, Карлсруэ, Германия, 2006

- 2 Региональной зимней школе-семинаре аспирантов и молодых ученых "Интеллектуальные системы обработки информации и управления", Уфа, 2007

- 3 Всероссийской зимней школе - семинаре аспирантов и молодых ученых, Уфа, 2008

Публикации

Результаты диссертационной работы отражены в 13 публикациях, в том числе в 7 научных статьях, из них 1 статья в издании из перечня ВАК РФ, а также в 6 материалах докладов международных и российских конференций

Структура работы

Диссертация состоит из введения, четырех глав, заключения, приложений и библиографического списка Работа содержит 130 страниц машинописного текста, включая 40 рисунков и 17 таблиц Библиографический список включает 105 наименований

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследований в области построения систем активного аудита информационных систем (ИС) Формулируются цель работы и задачи исследований, научная новизна и практическая ценность выносимых на защиту результатов

В первой главе проводится анализ существующих подходов к решению задачи обнаружения внутренних атак в информационной системе

На основе проведенного анализа сделан вывод о том, что существующие прототипы систем обнаружения внутренних атак обладают рядом недостатков, не позволяющих широко использовать их в корпоративных сетях Это обусловлено, прежде всего, сложностью их реализации, включающей в себя

- выбор методики сбора данных об информационной системе,

- выбор метода обнаружения внутренних атак, '

- обработку полученных данных,

- выбор способа противодействия атаке;

- распределение нагрузки на компоненты информационной системы

Традиционные методы обнаружения атак, такие, как сигнатурный

метод или метод обнаружения аномалий, не позволяют достичь оптимальных характеристик обнаружения внутренних атак Нейросетевые методы

обнаружения атак в принципе позволяют достичь приемлемых характеристик, однако обладают такими недостатками, как трудность выбора параметров и структуры нейронных сетей, ресурсоемкий характер обучения нейронной сети, сложность дообучения и переобучения нейронной сети

Поэтому возникает необходимость в выборе и применении метода, который позволил бы избежать указанных выше недостатков при допустимом уровне надежности обнаружения внутренних атак Анализ показал, что достаточно перспективным для этих целей является построение систем активного аудита на основе технологий искусственных иммунных систем Этот подход обладает рядом преимуществ по сравнению с другими методами, обеспечивая

- высокую скорость работы,

- сравнительно простой алгоритм обучения,

- низкую ресурсоемкость

В данной работе под «активным аудитом» понимается непрерывный системный процесс проверки ИС на соответствие декларируемым целям политики безопасности, организации обработки данных, норм эксплуатации средств вычислительной техники, а также автоматического реагирования на выявленные отклонения Таким образом, «система активного аудита» сочетает в себе как элементы традиционных систем аудита (сканеров безопасности), так и элементы систем обнаружения и предотвращения вторжений

В заключении главы формулируются цели и задачи исследования

Во второй главе проводится анализ субъектов и объектов ИС на основе БАЛТ-методологии, позволяющей представить основные процессы в ИС и ее компонентах в графическом, удобном для понимания виде Разработаны функциональная, информационная и динамическая модели системы активного аудита Функциональная модель ГОЕРО системы активного аудита состоит из блоков «собрать информацию», «обработать информацию», «выявить нарушение политики безопасности» и «реагировать на нарушение» Данные блоки отражают различные функции системы активного аудита, включая функции сбора информации, обнаружения атак и выработки реакции на атаку Функциональный состав каждого из блоков раскрывается в соответствующих функциональных диаграммах

Поскольку состояние защищенности ИС зависит от совокупности происходящих в этой сети событий, ее функционирование описывается с помощью нечеткой сети Петри Для этого определяется множество состояний ИС

5 = {5ь 5з, $4, £5}, (1)

где 5] - состояние нормального функционирования ИС;

52 - состояние атаки на ИС, при котором злоумышленник воздействует на ИС с целью нарушения ее нормального функционирования,

53 - состояние нарушения конфиденциальности ресурсов ИС,

54 - состояние нарушения целостности ресурсов ИС, - состояние нарушения доступности ресурсов ИС

Определяется множество событий в ИС

К={К1,..,К6}, (2)

где К] - событие появления злоумышленника,

К2 - множество событий, приводящих к нарушению конфиденциальности,

Кз - множество событий, приводящих к нарушению целостности, К а, - множество событий, приводящих к нарушению доступности, К5 - множество событий срабатывания средств защиты ИС, Кь - множество событий восстановления ИС после атаки Множество событии в ИС представляет собой объединение множеств указанных выше событий в ИС, т е

к=к1ик2ик3ик4ик5ик6 (3)

Нечеткая сеть Петри (НСП), описывающая поведение ИС, представляется в виде

С/=(Ы,/,Х,т0), (4)

где ЛГ~ структура НСП, N = (Р, Т, I, О),

/ = {/}> ■ > /и} — вектор значений функции принадлежности нечеткого срабатывания переходов,[0,1], } - 1, и,

К = (Кь , К) ~ вектор значений порогов срабатывания переходов,

то - вектор начальной маркировки, т,°е [0,1], г = 1, , и Структура НСП N ~ (Р, Т, I, О) при этом аналогична структуре традиционных сетей Петри и может быть представлена следующими элементами (рис 1)

Р-{Рь , Ра} ~ множество позиций НСП, Т = {¡ь Н, . , г„} - множество переходов НСП, иЕ.Ы, /-входнаяфункция переходов, / РхТ—> {0,1}, О - выходная функция переходов, О ТхР —> {0,1} В работе формулируется база правил нечеткого логического вывода, определяющих условия срабатывания переходов НСП Каждому предикату из составленных правил сопоставляется определенная позиция НСП Каждой позиции Р= {ри ,рп} сопоставляются элементы множеств Б яК

Р - $2, К2, Кз, Ка, К5, 5з, 55, К6}.

Определяется вектор начальной маркировки.

✓ О 0 0 0 _О 0 0 0 0 0 0\

т0=(т \,т2,т ъ,т л,т 5,т 6,т 7, от 8, от 9,т 10, тии).

Здесь т°, (г = 1, 3, 8, 9, 10) - значения функций принадлежности наличия маркеров в позициях 5) 5, т е значения функций принадлежности определяющих различные состоягшя ИС, т°2 - значение функции принадлежности наличия маркера в позиции К1, т е фактически вероятность появления злоумышленника в ИС, от0, (/ = 4, 5, 6) - значения функций принадлежности наличия маркеров в позициях К2, К3, К*, те значения функций принадлежности возникновения событий, приводящих к нарушению конфиденциальности, целостности и доступности информации в ИС, т°7- значение функции принадлежности наличия маркера в позиции К$, т е фактически вероятность корректной реакции на атаку средств активного аудита, т°и — значение функции принадлежности наличия маркера в позиции К6, те вероятность правильной реакции средств восстановления после атаки

В работе приняты следующие значения функций принадлежности ОТ0! = 1, т°зд9;ю = 0, т°4Д6 = 1./18 = 1

Динамика изменения маркировок НСП определяется следующими правилами

1) правило определения текущей маркировки Любое состояние НСП определяется вектором от, компоненты которого интерпретируются как

значения функции принадлежности наличия одного маркера в соответствующих позициях НСП,

2) правило активности перехода Переход fj Е Т НСП является активным, если выполнено условие

min {mj г At; (5)

('£{1,2, ,n})K(I(pt,tk)>lS)

3) правило нечеткого срабатывания перехода Если переход t^ ET НСП является активным, то нечеткое срабатывание приводит к новой маркировке т1, компоненты вектора которой определяются следующим образом

т:= О, (Ур1еР)л(/(А)у>0)> (6)

т" - тах{от , mm{m,,/t} }, ЕР) л (/(р,,^) > 0)

ßfl,2, /1})Л(/(А4)>0)

Отмечается, что при начальной маркировке переход ij является активньм при

т°2> h, (7)

те в случае, если вероятность появления злоумышленника будет больше порога срабатывания перехода t\ Далее производится анализ следующих переходов в информационной системе Если условие (7) выполняется, тогда нечеткое срабатывание перехода t, приведет к новой маркировке тг При этом т\ = т\ - 0, поскольку позиции S1 и Ki являются входными для перехода Для позиции Sj • т\ = max {0, min {т°г, 1}}, т е. т1 з = т°2 > Все остальные позиции остаются без изменений Поскольку = 1, то

переходы t2, h и h будут активными при выполнении условий т\ > Х2, от1 з > Х.3, т\ > >ч Переход is будет активным при вьшолнении условия. min {m1 з, m'7} > к; или

mm {m°2, m°7j > ks (8)

Анализ выражений (7) и (8) показал, что безопасная работа ИС достигается

а) повышением значения коэффициента X], что достигается корректной настройкой правил политики безопасности ИС,

б) уменьшением значения коэффициента Х^, который представляет собой порог чувствительности системы активного аудита. Кроме того, необходимо добиваться увеличения коэффициента тг7.

Предложена структура системы активного аудита (рис 2), которая включает в себя набор сенсоров для анализа и обработки информации о функционировании информационной системы и действиях пользователя, базу данных, в которой хранится полученная информация, блок анализа и

обработки данных для потоковой обработки поступающих данных и выработки управляющих воздействий на информационную систему, блок реагирования, воздействующий на информационную систему, консоль администратора, журнал работы системы активного аудита

Рисунок 2 - Структура системы активного аудита

Системные сенсоры предназначены для анализа параметров системы и действий пользователя, а также выдачи предупреждений для обработки в блоке анализа и обработки данных о заранее заданных событиях, например, о попытках перебора паролей, монтирования носителей, входе/выходе пользователя из системы и тд Статистические сенсоры анализируют поведение каждого пользователя системы При этом для каждого пользователя создаются отдельные профили, в которые заносятся информация о типичном поведении пользователя, собираемая в течение определенного интервала времени. Фильтр данных предназначен для удаления из очереди повторяющихся предупреждений для ускорения работы системы

В третьей главе рассматривается метод построения системы активного аудита информационной системы на основе технологий искусственных иммунных систем

Отмечается, что для повышения эффективности обработки входных сигналов необходимо

1) обеспечить надежное хранение поступающей информации до ее обработки системой активного аудита,

2) обеспечить быструю обработку сигналов сенсоров с целью обнаружения атак системой активного аудита и принятия решения по предотвращению атаки,

3) обеспечить безопасное хранение необходимой информации в целях сохранения истории атак и обновления профилей пользователей

Поведение информационной системы обычно характеризуется дискретными временными рядами наблюдений При этом проблему обнаружения атак можно сформулировать как задачу «разладки», т е задачу выявления недопустимых отклонений в характеристиках системы

Существует несколько методов анализа недопустимых отклонений, включающих в себя сигнатурный метод и применение нейронных сетей Однако данные методы не позволяют достичь оптимальных характеристик обнаружения внутренних атак Нейросетевые методы обнаружения в принципе позволяют достичь приемлемых характеристик, но обладают такими существенными недостатками, как сложность выбора параметров и структуры нейронных сетей, ресурсоемкий характер обучения нейронной сети, сложность дообучения / переобучения нейронной сети Анализ показал, что достаточно перспективным является построение систем обнаружения атак на основе технологий искусственных иммунных систем Этот метод обладает рядом преимуществ по сравнению с другими методами, обеспечивая высокую скорость работы, сравнительно простой алгоритм обучения, низкую ресурсоемкость

Особенностью иммунной системы живых организмов является способность отличать собственные клетки от любых чужеродных клеток и молекул, что дает основание использовать данный подход для построения интеллектуальной системы обнаружения атак в классе искусственных иммунных систем Распознавание в иммунной системе живого организма основано на выработке т н Г-клеток, выполняющих роль шаблонов чужеродных клеток При построении искусственной иммунной системы данный процесс обобщается и выглядит следующим образом

1. Определяются нормальные шаблоны активности системы (множество 5) в виде строк равной длины I, составленных из букв конечного алфавита (рис 3)

2 Генерируется набор детекторов Я, каждый из которых не совпадает ни с одной из строк из нормального шаблона активности При этом кандидат в детекторы считается совпадающим с нормальным шаблоном в том и только

том случае, когда совпадают символы в г одинаковых позициях Величина г подбирается в соответствии с решаемой задачей

3 Данные контролируются путем сопоставления детекторов с поведением системы Любое совпадение на данном шаге означает изменение в работе системы (аномалию)

шаг смещения э = 3

\

АГ=

А В 8 А Е А В Е А В А

ч_/

окно (/ = 4) в момент времени / V_

окно (/ ~ 4) в момент времени М-1

О

А В В А

А В

шаблон 1

шаблон 2

шаблон 3

А В А

шаблон 4

профиль пользователя

Рисунок 3 - Обработка входных данных для алгоритма отрицательного отбора (построение нормальных шаблонов активности)

Отмечается, что в известном варианте алгоритма отрицательного отбора детекторы генерировались случайным образом, а затем сравнивались с нормальными шаблонами активности для обнаружения совпадения Для повышения эффективности процесса обработки входных сигналов, в работе предложен модифицированный алгоритм генерации детекторов, основанный на использовании генетического алгоритма.

В работе решена задача определения необходимого числа детекторов Для этого использовались следующие исходные данные.

Л^о - число детекторов, сформированных алгоритмом генерации, ЛГД - число детекторов, оставшихся после удаления детекторов, совпадающих с нормальными шаблонами активности, Ы& — число нормальных шаблонов активности, Рт - вероятность совпадения двух случайных строк,

/ = (1 — Pm)Ns - вероятность того, что случайная строка не совпадет с одним из N¡ нормальных шаблонов активности,

Pf - вероятность того, что оставшиеся NR детекторов не смогут обнаружить атаку

Отмечается, что если величина Рт достаточно мала, a Ns~ достаточно велико, то можно/и Pf аппроксимировать следующим образом

f = (1 - Pm)Ns « e~PmNs, р, = с 1 - Рт)"» « e-p"N», (9) откуда, с учетом зависимости

NR=NR0*f = (10)

вытекает выражение Nr0

Формула (11) позволяет определить число детекторов Nm, которое необходимо сгенерировать с помощью генегического алгоритма как функцию вероятности обнаружения атаки (1 - Pf), числа нормальных шаблонов активности Ns и вероятности совпадения двух строк Рт

Результаты тестирования эффективности искусственной иммунной системы с генерацией детекторов с помощью генетического алгоритма подтверждают преимущества использования предложенного модифицированного алгоритма генерации детекторов.

В четвертой главе обсуждаются результаты практической реализации исследовательского прототипа системы активного аудита В качестве базовой платформы для реализации системы выбрана ОС Microsoft Windows и технология NET, которая обладает такими преимуществами, как возможность взаимодействия служб и программ, написанных на разных языках программирования, гибкость, высокая скорость работы

Исследуется задача выбора системы хранения информации о пользователях системы активного аудита, профилях и настройках. Учитывая, что наибольшее распространение на российском рынке в настоящее время получили СУБД MySQL и Microsoft SQL, произведено сравнительное тестирование этих систем СУБД, которое показало преимущества использования Microsoft SQL 2005 в качестве СУБД для хранения базы знаний разрабатываемой системы активного аудита

В работе представлен пример реализации сенсора системы активного аудита безопасности, отмечается удобство использования интерфейса "Windows Management Interface (WMI) для сбора информации об информационной системе

В работе выполнена сравнительная оценка эффективности системы аудита на основе искусственных иммунных систем и системы на основе нейронных сетей, а также получена зависимость эффективности обнаружения атак от параметров искусственной иммунной системы (рис. 4, 5).

; % обнаружения

0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9

Рисунок 4 - Зависимость эффективности обнаружения атак от параметра Рг

Рисунок 5 - Зависимость ошибок I и II рода при обнаружения атак от параметра Рг

Из графиков следует, что по мере роста параметра Р{ ошибка первого рода возрастает, а ошибка второго рода уменьшается. Иначе говоря, при снижении качества процесса обнаружения атак (что вызвано уменьшением

числа генерируемых детекторов искусственной иммунной системы), вероятность пропуска неизвестных атак увеличивается, однако уменьшается вероятность ложных срабатываний системы, в результате которых легальные действия пользователя принимаются за атаку

Таким образом, необходимо подобрать такие значения г и Р{, при которых работа системы активного аудита была бы наиболее эффективной Очевидно, что наибольшая эффективность достигается при значениях Р/=0,2. 0,3 и при г - 3 При этом значения ошибок первого и второго рода -минимамльны В случае необходимости задачу выбора значений этих параметров можно возложить на администратора системы активного аудита

При обнаружении атаки система активного аудита принимает решение о способе ее нейтрализации Система выработки решения построена на основе нечёткой логики, позволяющей выработать верное действие в зависимости от типа объекта, подвергающегося угрозе и условий выполнения атаки Эти действия могут включать в себя уведомление администратора системы активного аудита о происходящей атаке, блокирование работы пользователя в системе, перезагрузку рабочей станции, выгрузку программ из памяти рабочей станции и т д

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1 Разработан комплекс системных моделей системы активного аудита ИС с применением БАВТ-методологии, позволивших выделить основные бизнес-процессы, лежащие в основе ее функционирования, и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС

2 Предложены алгоритмы активного аудита ИС, основанные на применении технологий искусственных иммунных систем, что позволяет повысить эффективность обнаружения атак за счет отказа от использования конечного множества сигнатур известных атак и выполнить переход к использованию более общего принципа распознавания «свой - чужой».

3 Предложен модифицированный алгоритм генерации детекторов системы обнаружения атак, основанный на использовании генетического алгоритма, что позволяет сократить сроки обучения и повысить эффективность функционирования системы активного аудита на основе механизмов искусственной иммунной системы

4. Произведено сравнительное тестирование предложенных алгоритмов активного аудита ИС на основе искусственной иммунной системы и нейронной сети Результаты тестирования показали преимущество

использования искусственной иммунной системы при решении задачи обнаружения атак В частности, нейронная сеть показывала лучшее значение ошибки второго рода, однако не была способна с достаточной надежностью обнаруживать неизвестные типы атак

5 Разработан исследовательский прототип системы активного аудита ИС на основе технологии искусственных иммунных систем Тестирование прототипа доказало эффективность его использования для обнаружения известных и неизвестных внутренних атак В частности, в проведенных экспериментах разработанный прототип позволил обнаруживать до 85% атак, при этом в проведенных экспериментах ошибка второго рода не превысила 6% Созданный прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в гетерогенных ЛВС

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикация в периодическом издании из списка ВАК

1 Комплексный подход к построению интеллектуальной системы обнаружения атак / Васильев В И, Катаев Т Р., Свечников JIА // Системы управления и информационные технологии, №2,2007 - С 76-81

Другие публикации

2 Проблема построения защищенных Internet - серверов / Катаев Т.Р, Свечников JI А // Интеллектуальные системы управления и обработки информации. Материалы Всероссийской молодежной науч -технич конференции - Уфа УГАТУ, 2003 - С 9.

3. Использование AD для разработки защищенных приложений / Кашаев Т Р, Свечников JI А, Кустов ГА // Интеллектуальные системы управления и обработки информации Материалы Всероссийской молодежной науч -технич конференции - Уфа УГАТУ, 2003 - С 21

4 Система обработки и анализа медицинской информации / Кашаев ТР., Кашаев МШ // Вопросы теоретической и практической медицины Материалы 69-й республиканской итоговой научно-практической конференции студентов и молодых ученых Республики Башкортостан с международным участием - Уфа. БГМУ, 2004 - С 255-256

5 Система активного аудита / Кашаев TP // Информационная безопасность Материалы VII Международной научно-практической конференции - Таганрог. Изд-во ТРТУ, 2005 - С 139-142

6 Применение скрытых Марковских моделей для построения систем активного аудита / Кашаев TP// Компьютерные науки и информационные

технологии Труды 7-го Международного семинара (С81Т-2005), Т 3 -Уфа, 2005 - С 224 - 227 (на англ языке)

7. Использование адаптивных профилей для обнаружения внутренних атак в локальных вычислительных сетях / Васильев В И, Катаев ТР // Информационная безопасность Материалы VIII Международной научно-практической конференции -Таганрог Изд-воТРТУ, 2006 -С 177-180

8 Обнаружение атак на основе профилей пользователя / Васильев В И, Катаев Т Р // Компьютерные науки и информационные технологии Труды 8-го Международного семинара (С81Т-2006), ТЗ. - Карлсруэ, Германия, 2006 - С 224 - 227 (на англ. языке)

9 Применение нечетких сетей Петри для анализа безопасности локальной вычислительной сети / Васильев В И, Кашаев Т Р // Вычислительная техника и новые информационные технологии Межвузовский научиый сборник Вып 6 - Уфа УГАТУ, 2007 - С 166-170

10 Моделирование состояния безопасности локальной вычислительной сети / Кашаев ТР // Интеллектуальные системы обработки информации и управления Материалы 2-й региональной зимней школы-семинара аспирантов и молодых ученых -Т1 -Уфа УГАТУ,2007 - С 171 -174

11 Автоматизированный анализ состояния безопасности ЛВС / Кашаев Т Р. // Гагаринские чтения Материалы ХХХШ Всероссийской конференции -Т4 -М МАТИ,2007 -С 145

12 Васильев В И., Кашаев Т.Р Свид об офиц рег программы для ЭВМ № 2008611107 Модуль обнаружения атак и принятия решений системы активного аудита М Роспатент, 2008. Зарег. 29 02 2008.

13 Применение искусственной иммунной системы для решения задачи обнаружения атак / Кашаев ТР // Материалы 3-й Всероссийской зимней школы - семинара аспирантов и молодых ученых - Уфа. УГАТУ, 2008 - С 326-332

V** т:/

КАШАЕВ Тимур Рустамович

АЛГОРИТМЫ АКТИВНОГО АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ ТЕХНОЛОГИЙ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ

Специальность 05.13 19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 12 09 2008 Формат 60x841/16 Бумага офсетная Печать плоская Гарнитура Times New Roman Cyr. Уел печ л 1,0 Уел кр-отг 1,0 Уч-изд л 0,9 Тираж 100 экз Заказ № 375

ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул К Маркса, 12

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ И СРЕДСТВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ И АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ.

1.1 Безопасность в локальных вычислительных сетях.

1.1.1 Компьютерные сети.

1.1.2 Атаки на информационную систему.

1.1.3 Классификации угроз и уязвимостей информационной системы.

1.1.4 Противодействие атакам.

1.2 Состояние проблемы обеспечения информационной безопасности локальных вычислительных сетей.

1.3 Обзор методов обнаружения атак.

1.3.1 Сигнатурные методы.

1.3.2 Методы обнаружения аномалий.

1.4 Обзор и сравнительный анализ характеристик современных систем активного аудита.

Выводы по первой главе. Цели и задачи исследования.

ГЛАВА 2. ФОРМАЛИЗАЦИЯ ПРОЦЕССА АКТИВНОГО АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ.

2.1 Разработка онтологической модели компьютерной сети.

2.2 Разработка динамической модели информационной системы на основе нечетких сетей Петри.

2.3. Функциональная модель системы активного аудита.

2.4 Информационная модель системы активного аудита.

2.4 Структура и алгоритм работы системы активного аудита.

Выводы по второй главе.

ГЛАВА 3. МЕТОДЫ И АЛГОРИТМЫ ПОСТРОЕНИЯ СИСТЕМЫ АКТИВНОГО АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ.

3.1 Методы обработки входных сигналов.

3.2 Алгоритм отрицательного отбора.

3.3 Подготовка входных данных для определения нормальных шаблонов активности системы.

3.4 Модифицированный алгоритм генерации детекторов.

3.5 Определение числа необходимых детекторов.

3.6 Использование механизмов искусственной иммунной системы для построения системы обнаружения атак.

3.7 Результаты экспериментов.

Выводы по третьей главе.

ГЛАВА 4. РЕАЛИЗАЦИЯ ИССЛЕДОВАТЕЛЬСКОГО ПРОТОТИПА СИСТЕМЫ АКТИВНОГО АУДИТА НА ОСНОВЕ МЕХАНИЗМОВ ИСКУССТВЕННОЙ ИММУННОЙ СИСТЕМЫ.

4.1 Выбор программно-аппаратной платформы функционирования системы активного аудита.

4.2 Использование платформы .NET для реализации прототипа системы активного аудита.

4.3 Разработка классов в прототипе системы активного аудита.

4.4 Обмен данными в рамках прототипа системы активного аудита.

4.5 Реализация модуля анализа, обнаружения атак и принятия решений.

4.5 Тестирование прототипа системы активного аудита.

4.5.1 Оценка времени обучения системы активного аудита.

4.5.2 Оценка эффективности обнаружения известных и неизвестных атак.

4.5.3 Сравнительная оценка эффективности применения механизмов искусственной иммунной системы и нейронной сети для обнаружения атак.

4.6 Управление внешними средствами защиты.

Выводы по четвёртой главе.

Актуальность темы

Обеспечение безопасности информации в современном бизнесе является одной из ключевых задач. Быстрое развитие компьютерных сетей и их объединение в глобальную сеть Интернет привело к росту числа преступлений, связанных с нарушением основополагающих принципов информационной безопасности: доступности, целостности и конфиденциальности информации. Несмотря на развитие средств защиты, таких как межсетевые экраны, количество вторжений в информационные системы компаний возрастает с каждым годом. Увеличение числа атак на ресурсы локальных вычислительных сетей (ЛВС) приводит к необходимости применения средств защиты не только на рубеже «Интернет/Интранет», но и внутри самой ЛВС. Согласно статистическим отчетам аудиторской компании Deloitte & Touche, в 2007 г. внутренним атакам подвергались более 38% опрошенных компаний. Для обнаружения атак внутри сетей используются различные классы инструментальных средств, такие как системы обнаружения атак (IDS), системы предотвращения атак (IPS), сканеры уязвимостей, комплексные системы управления безопасностью. Однако использование этих средств сегодня ограничено рядом факторов:

- высокая стоимость и сложность их развертывания и поддержки;

- низкая эффективность функционирования при наличии неизвестных атак;

- высокая нагрузка на компоненты ЛВС.

В настоящее время исследования в области защиты объектов ЛВС ведутся в направлении разработки средств «активного аудита», которые позволяют решить часть этих проблем за счет использования технологий интеллектуального анализа данных, модульности и многоагентного подхода. Вместе с тем, многие вопросы при построении этих систем, связанные с надёжностью применения новых методов и технологий и их реализацией в режиме реального времени, остаются открытыми и не до конца исследованными, поэтому тема диссертации, посвященная разработке интеллектуальных систем активного аудита информационных систем с использованием одного из перспективных направлений на основе искусственных иммунных систем, является актуальной.

Цель работы

Целью диссертационной работы является повышение эффективности процессов аудита безопасности информационной системы (ИС) на основе разработки алгоритмов и программного обеспечения интеллектуальной системы активного аудита с использованием технологий искусственных иммунных систем.

Задачи исследования

Для достижения поставленной цели в диссертационной работе решаются следующие задачи:

1. Разработка комплекса системных моделей системы активного аудита.

2. Разработка алгоритмов активного аудита ИС на основе технологии искусственных иммунных систем.

3. Оценка эффективности предложенных алгоритмов активного аудита ИС на основе технологий искусственных иммунных систем.

4. Реализация исследовательского прототипа интеллектуальной системы активного аудита ИС с использованием механизмов искусственных иммунных систем.

Методы исследования

В работе использовались методы теории принятия решений, математической статистики, системного анализа, теории распознавания образов, теории нейронных сетей и нечеткой логики, искусственных иммунных систем, теории информационной безопасности.

Научная новизна

Научная новизна работы заключается в следующем:

1. Разработан комплекс системных моделей системы активного аудита ИС с применением SADT-методологии, позволивших выделить основные бизнес-процессы, лежащие в основе её функционирования, и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС.

2. Разработаны алгоритмы активного аудита ИС, основанные на применении технологий искусственных иммунных систем, повышающие эффективность обнаружения атак за счёт отказа от использования конечного множества сигнатур известных атак и перехода к использованию более общего принципа распознавания «свой - чужой».

3. Предложен модифицированный алгоритм генерации детекторов системы обнаружения атак, основанный на использовании генетического алгоритма, позволяющий сократить сроки обучения и повысить эффективность функционирования системы активного аудита на основе механизмов искусственной иммунной системы.

Практическая ценность

Предложенные алгоритмы построения интеллектуальной системы обнаружения атак позволяют повысить эффективность обнаружения атак, в том числе обнаружения неизвестных атак, т. е. атак, для которых не существует эталонной сигнатуры, до 85%, при этом в проведенных экспериментах ошибка второго рода не превысила 6%.

Разработанный прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в гетерогенных ЛВС.

Исследовательский прототип интеллектуальной системы активного аудита ИС зарегистрирован в Федеральной службе по интеллектуальной собственности, патентам и товарным знакам (№2008611107 от 29 февраля 2008г.).

Основные результаты диссертационной работы внедрены в РНТИК «Баштехинформ», а также в учебный процесс Уфимского государственного авиационного технического университета на кафедре «Вычислительная техника и защита информации».

Результаты, выносимые на защиту

1. Функциональная, информационная и динамическая модели системы активного аудита И С.

2. Алгоритмы обнаружения атак в ИС на основе технологий искусственных иммунных систем.

3. Результаты экспериментальных исследований эффективности предложенных алгоритмов построения интеллектуальной системы активного аудита ИС.

4. Исследовательский прототип интеллектуальной системы активного аудита ИС с использованием технологий искусственных иммунных систем.

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на:

Всероссийской молодежной научно-технической конференции «Интеллектуальные системы управления и обработки информации», г.Уфа, 2003.

Научно-практической конференции студентов и молодых ученых с международным участием «Вопросы теоретической и практической медицины», г. Уфа, 2004.

7 и 8 Международных научных конференциях «Компьютерные науки и информационные технологии» (CSIT), г.Уфа, 2005; г. Карлсруэ, Германия, 2006.

2 Региональной зимней школе-семинаре аспирантов и молодых ученых "Интеллектуальные системы обработки информации и управления", г. Уфа, 2007.

3 Всероссийской зимней школе — семинаре аспирантов и молодых ученых, г. Уфа, 2008.

Публикации

Результаты диссертационной работы отражены в 13 публикациях, в том числе в 7 научных статьях, из них 1 статья в издании из перечня ВАК РФ, а также в 6 материалах докладов международных и российских конференций.

Структура работы

Диссертация состоит из введения, четырех глав, заключения, приложений и библиографического списка. Работа содержит 130 страниц машинописного текста, включая 40 рисунков и 17 таблиц. Библиографический список включает 105 наименований.

Основные результаты и выводы можно сформулировать следующим образом:

1. Современные коммерческие системы обнаружения вторжений, представленные на рынке, обладают низкой эффективностью при решении задачи обнаружения внутренних (особенно неизвестных) атак. Для решения данной проблемы необходимо применить новые подходы к построению систем активного аудита, в том числе основанные на использовании механизмов искусственных систем.

2. Разработан комплекс системных моделей системы активного аудита ИС с использованием SADT методологии, позволивших обоснованно выбрать структуру системы активного аудита и разработать алгоритм её работы.

3. На основе разработанных моделей предложены алгоритмы активного аудита ИС, основанные на применении технологии искусственных иммунных систем, что позволило существенно повысить эффективность обнаружения атак.

4. Предложен модифицированный алгоритм генерации детекторов системы активного аудита, основанный на использовании генетического алгоритма, позволивший сократить сроки обучения и повысить эффективность функционирования системы обнаружения атак на основе механизмов искусственной иммунной системы.

5. Произведено сравнительное тестирование предложенных алгоритмов активного аудита ИС на основе искусственных иммунных систем и нейронных сетей. Результаты тестирования показали преимущество использования механизмов искусственных иммунных систем при решении задачи обнаружения атак. В частности, нейронная сеть показывала лучшее значение ошибки второго рода, однако не была способна с достаточной надёжностью обнаруживать неизвестные типы атак.

6. Разработан исследовательский прототип системы активного аудита ИС на основе технологии искусственных иммунных систем. Тестирование прототипа доказало эффективность его использования для обнаружения известных и неизвестных внутренних атак. В частности, разработанный прототип позволяет обнаруживать до 85% атак, при этом ошибка второго рода в проведенных экспериментах не превышает 6%. Прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в гетерогенных ЛВС.

ЗАКЛЮЧЕНИЕ

В диссертационной работе поставлена и решена задача разработки и алгоритмов активного аудита информационных систем на основе технологий искусственных иммунных систем.

1. Айков, Д., Фонсторх, У., Компьютерные преступления - М., 1999. - 351с.

2. Бармен С. Разработка правил информационной безопасности. М.: Вильяме, 2002. 208 с.

3. Батурин, Ю. М., Жодзишский, A.M. Компьютерная преступность и компьютерная безопасность М.: Юрид. литература, 1991. - 160 с.

4. Большаков, А.А., Петряев, А.Б., Платонов, В.В., Ухлинов, Л.М. Основы обеспечения безопасности данных в компьютерных системах и сетях. Часть 1. Методы, средства и механизмы защиты данных. СПб.: Конфидент, 1996. - 284 с.

5. Браунли, Н., Гатмэн, Э. «Как реагировать на нарушения информационной безопасности (RFC 2350, ВСР 21)» // Jet Info, 2000. С. 5.

6. Буч, Г., Якобсон, А., Рамбо, Дж. UML. Классика CS. 2-е изд./ Пер. с англ.; Под общей ред. С. Орлова — СПб.: Питер, 2006. 736 с.

7. Васильев, В.И., Катаев, Т.Р. Использование адаптивных профилей для обнаружения внутренних атак в локальных вычислительных сетях Информационная безопасность-2006. // г. Таганрог, ТРТУ, 2006, т. 1.-е. 177-180.

8. Васильев, В.И., Катаев, Т.Р. Применение нечетких сетей Петри для анализа безопасности локальной вычислительной сети // Вычислительная техника и новые информационные технологии: Межвузовский научный сборник. Вып. 6. -Уфа: УГАТУ, 2007. с. 166 - 170.

9. Васильев, В.И., Катаев, Т.Р., Свечников, Л.А. Комплексный подход к построению интеллектуальной системы обнаружения атак // Системы управления и информационные технологии, №2, 2007. — с. 76-81.

10. Внутренние ИТ-угрозы в России 2006 // Info Watch, 2006.

11. Гайкович, В.Ю., Ершов, Д.В. Основы безопасности информационных технологий М.:МИФИ, 1995 г. - 96 с.

12. Галатенко, А. В. Активный аудит // Jet Info. №8, 1999. с. 2 28.

13. Галатенко, А. В. Защитные средства Intranet // LAN Magazine / Русское издание, том 2. №8, 1996. с. 14.

14. Галатенко, А.В. «О скрытых каналах и не только», Jet Info, 2002. С. -11.

15. Галатенко, В.А. Стандарты информационной безопасности» М.:ИНТУИТ.РУ, 2004. 328 с.

16. Городецкий, В.И. Многоагентные системы: современное состояние исследований и перспективы применения // Новости искусственного интеллекта, 1996. №1. -с. 44-59.

17. Городецкий, В.И. Многоагентные системы: основные свойства и модели координации поведения // Информационные технологии и вычислительные системы. №1, 1998. с. 22-34.

18. Городецкий, В.И., Грушинский, М.С., Хабалов, А.В. Многоагентные системы //Новости искусственного интеллекта, № 1, 1997, с. 15-30.

19. Городецкий, В.И., Карсаев, О.В., Котенко, И.В. Программный прототип многоагентной системы обнаружения вторжений в компьютерные сети // Искусственный интеллект в XXI веке (1САГ 2001), изд. Физико-математической литературы, 2001. с. 280-293.

20. Городецкий, В.И., Котенко, И.В., Карсаев, О.В. Многоагентная система защиты информации в компьютерных сетях: механизмы обучения и формирования решений для обнаружения вторжений. Проблемы информатизации, №2, 2000. с. 67-73.

21. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М.: ИПК Издательство стандартов, 2002.

22. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002.

23. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М.: ИПК Издательство стандартов, 2002.

24. Гузик, С. Зачем проводить аудит информационных систем? // Jet Info. -2000.-№ 10.-с. 8-16.

25. Дмитриев, И.И. Как защитить корпоративную сеть // Технологии и средства связи. №5, 1999. с. 88-89.

26. Закон Российской Федерации №149-ФЗ «Об информации, информатизации и защите информации» от 27 июля 2006 года.

27. Зегжда, Д.П., Ивашко, A.M. Основы безопасности информационных систем. М.: Горячая линия; Телеком, 2000. - с. 452

28. Искусственные иммунные системы и их применение/ Под ред. Д. Дасгупты. /Пер. с англ. М,: Физматлит, 2006. - 344 с.

29. Катаев, Т.Р. Применение искусственной иммунной системы для решения задачи обнаружения атак // Материалы 3-й Всероссийской зимней школы- семинара аспирантов и молодых ученых. Уфа: УГАТУ, 2008. - С. 326-332.

30. Катаев, Т.Р. Система активного аудита // Информационная безопасность: Материалы VII Международной научно-практической конференции.- Таганрог: Изд-во ТРТУ, 2005. С. 139-142.

31. Катаев, Т.Р., Катаев, М.Ш., Федоров, С.В. Свидетельство об официальной регистрации программы для ЭВМ №2006610822 "Интеллектуальная система диагностики заболеваний щитовидной железы на основе нейросетевых технологий", 2004 г.

32. Корнеев, В.В., Гареев, А.Ф., Васютин, С.В., Райх, В.В. Базы данных. Интеллектуальная обработка информации. М.: Нолидж, 2001. — 496 с.

33. Корченко, А. Г. Построение систем защиты информации на нечетких множествах. Киев: «МК-Пресс», 2006. - 320 с.

34. Кофман, А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982.-432 с.

35. Леоненков, А.В. Нечеткое моделирование в срсде MATLAB и FuzzyTECH С-Пб.: БХВ-СПб, 2005. - 736 с.

36. Липаев, В. В. Системное проектирование программных средств, обеспечивающих безопасность функционирования информационных систем. // Информационные технологии. №11, 2000. с. 49-55.

37. Липаев, В. В. Системное проектирование сложных программных средств для информационных систем. М.: СИНТЕГ, 2002. — 224 с.

38. Литвак, Б. Г. Экспертные оценки и принятие решений. М.:Патент, 1996.- 271 с.

39. Лукацкий, А.В. Адаптивное управление защитой // Сети, №10, 1999. с.84.88.

40. Лукацкий, А.В. Обнаружение атак. СПб.: БХВ, 2001. - 514 с.

41. Люгер Дж. Искусственный интеллект М.:Вильямс, 2003. - 864 с.

42. Маккарти, Л. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиц-образ, 2004. - 208 с.

43. Медведовский, И., Семьянов, П., Платонов, В. Атака через Internet / Под ред. П.Д. Зегжды. СПб.: НПО «Мир и семья-95», 1997. - 279 с.

44. Мизина, Е.Г1. Особенности выявления и оценки информационных угроз // Безопасность информационных технологий, №2, 1999. с. 57-59.

45. Милославская, Н.Г., Толстой, А.И., Интрасети: обнаружение вторжений.- М.: Юнити, 2001.-587 с.

46. Многоагентиая технология и безопасность информационных систем / Валеев С.С., Бакиров Т.К., Погорелов Д.Н., Стародумов И.В. // CSIT'2005. Том 1. -Уфа, УГАТУ, 2005. с. 195-200.

47. Новиков, А. А., Шарков, А. Е., Сердюк, В. А. «Новые продукты активного аудита информационной безопасности» // Тезисы докладов X юбилейной конференции «Методы и технические средства обеспечения безопасности информации». СПб. 2002. - с. 153-154

48. Норкат С., Купер, М., Фирноу М., Фредерик, К. Анализ типовых нарушений безопасности в сетях. М.: Вильяме, 2001. - 464 с.

49. Осовский, С. Нейронные сети для обработки информации / Пер. с польского Рудинского И.Д. М.:Финансы и статистика, 2002. - 344 с.

50. Петренко, А.А., Петренко С.А. Аудит информационной безопасности // Связь-инвест. №10. - 2002. - с. 36-38.

51. Петренко, С.А. Управление информационными рисками компании // Экспресс-электроника. №2-3. - 2002. - с. 106-113.

52. Петренко, С.А., Симонов С.В. «Управление информационными рисками». М.: Компания АйТи; ДМК-Пресс, 2004. - 384 с.

53. Расторгуев, С.П. Использование экспертных систем для выявления попытки несанкционированного копирования данных // Защита информации. — 1992.-№3.-с. 51-68.

54. Романец, Ю.В., Тимофеев, Г1.А., Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгииа. — М.: Радио и связь, 1999.-328 с.

55. Руководство по технологиям объединенных систем. Cisco systems. М.:Вильямс, 2002. 1039 с.

56. Сердюк ,В.А. Сбор данных системами обнаружения атак // BYTE, №2, 2003.-е. 50-57.

57. Сердюк, В.А. Классификация угроз информационной безопасности сетей связи, их уязвимостей и атак нарушителя // Информационные технологии, №9. — 2002.-е. 13-19.

58. Сердюк, В.А. Новое в защите от взлома корпоративных систем -М.Техносфера, 2007. 360с.

59. Сердюк, В.А. Перспективы развития новых технологий обнаружения информационных атак // Системы безопасности связи и телекоммуникаций, №5, 2002. с. 54-57.

60. Симонов, С.В. Аудит безопасности информационных систем // Jet Info. -№9.-1999.-с. 34-39.

61. Скиба, В.Ю., Курбатов, В.А. Руководство по защите от внутренних угроз информационной безопасности СПб. Литер, 2008. - 320 с.

62. Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям. М.: ЛОРИ, 2001. - 349 с.

63. Турбачев, А. Концептуальные вопросы оценки безопасности информационных технологий // Jet Info, №5 6, 1998. - с. 42-49.

64. Управление информационной безопасностью. Практические правила // Приложение к информационному бюллетеню Jet Info 2006, 2006.

65. Холбрук, П., Рейнольде, Дж. Руководство по информационной безопасности предприятия // Jet Info, 1996. с. 10-11.

66. Черемных, С.В., Семенов, И.О., Ручкин, B.C. Моделирование и анализ систем. IDEF-технологии: практикум. М.: Финансы и статистика, 1997. - 188 с.

67. Шипли, Г. Системы обнаружения вторжений // Сети и системы связи, №11, 1999.-е. 108-117.

68. Шумский, А.А., Шелупанов, А.А. Системный анализ в защите информации М.: Гелиос АРВ, 2005. - 224 с.74. «CSI/FBI Computer Crime and Security Survey 2004». CCIPS, 200475. «Enterprise Security Survey 2004», Yankee Group, 2003.

69. D'haeseleer P., Forrest S., Helman P. An immunological approach to change detection: algorithms, analysis, and implications // Proc. IEEE Symposium on Research in Security and Privacy, Oakland, CA, May, 1996. c. 34-42.

70. A Taxonomy of DDoS Attack and DDoS defense mechanisms. J. Mirkovic -ACM SIGCOMM Computer Communication Review, 2004. c. 24-29.

71. Al-Subaie M., Zulkernine M. Efficiency of Hidden Markov Models Over Neural Networks in Anomaly Intrusion Detection // 30th Annual International Computer Software and Applications Conference (COMPSAC'06), 2006, c. 325-332.

72. Carver, C. A., et al. A Methodology for Using Intelligent Agents to Provide Automated Intrusion Response, Proc. IEEE Systems, Man and Cybernetics Information Assurance and Security Workshop, IEEE Press, 2000, c. 110-116.

73. Dasgupta D., Forrest S. Novelty detection in time series data using ideas from immunology // ISCA 5h International Conf. on Intelligent Systems, Reno, Nevada, 1996. c. 87-95.

74. Douligcris C., Mitrokotsa A. DDoS Attacks and Defense Mechanisms: Classification and State-of-the-Art. // Computer Networks T4., 2004. c. 57-65.

75. Encyclopcdia of Banking & Finance Charles J. Woelfel, Probus Publishing, 10th edition, 1994. 1220 e.

76. Forrest S., Perelson A.S., Allen L., Cherukuri R. Self-Nonself Discrimination in a Computer // 1994 IEEE Symposium on Security and Privacy, 1994, c. 202-209.

77. Frank P.M. Fault diagnosis in dynamic systems using analytical and knowledge-based redundancy // Automatica, 1990, V.26, №3, c. 459-474.

78. Hansche, S. Official (ISC)2 guide to the CISSP-ISSEP CBK / Susan Hansche. , Taylor & Francis Group, LLC, 2006. 994 c.91. http://www.ixbt.com/cpu/intel-yonah.shtml92. http://www.mono-project.com/93. http://www.w3schools.com

79. IT OSI - Basic Reference Model: The Basic Model. ISO/IEC 7498-1, 1996.

80. IT Baseline Protection Manual. Federal Office for Information Security (BSI), Germany, 2004. 154 c.

81. Kashayev, T.R. Active Audit System based on Hidden Markov Models // Computer Science and Information Technologies CSIT-2005, Ufa, USATU, 2005. c. 224 - 227.

82. Kozma R., Kitamura M., Sakuma M., Yokoyama Y. Anomaly Detection by neural network models and statistical time series analysis // Proc. IEEE International Conference on Neural Networks, Orlando, Florida, June 27-29, 1994. c. 124-132.

83. Kumar, S. Classification and detection of computer intrusions. Purdue University, 1996. 168 c.

84. NSS Group IDS Group Test Report edition 3, 2005.

85. Ourston D., Matzner S., Stump W., Hopkins B. Applications of Hidden Markov Models to Detecting Multi-Stage Network Attacks // 36th Annual Hawaii International Conference on System Sciences (HICSS'03) Track 9, 2003, c. 334-344.

86. Percus J.K., Percus O.E., Perelson A.S. Probability of self-nonself discrimination // Theoretical and Experimental Insights into Immunology, Springer-Verlag, NY, 1992. c. 43-59.

87. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30. 34 c.

88. Tzafestas S.G. Fault Detection in Dynamic Systems, Theory and Applications. Prentice Hall, 1989. 322 c.

89. Vasilyev, V.I., Kashayev, T.R. Adaptive Profile Approach to Internal Attack Detection // Computer Science and Information Technologies CSIT-2006, Karsruhe, 2006. c. 224 - 227.

90. Wu Di, Dai Ji, Chi Zhongxian. Intrusion Detection Based on An Improved ART2 Neural Network // 6th International Conference on Parallel and Distributed Computing Applications and Technologies (PDCAT'05), 2005, c. 234-238.