автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Алгоритмы преобразования и классификации трафика для обнаружения вторжений в компьютерные сети

005004239 На правах рукописи

Болынев Александр Константинович

Алгоритмы преобразования и классификации трафика для обнаружения вторжений в компьютерные сети

05.13.11 - Математическое обеспечение вычислительных машин, комплексов и

компьютерных сетей 05.13.19 - Методы и системы защиты информации, информационная

безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

- 1 ДЕК 2011

Санкт-Петербург - 2011

005004239

Работа выполнена в Санкт-Петербургском государственном электротехническом университете «ЛЭТИ» им. В.И. Ульянова (Ленина) (СПбГЭТУ) на кафедре *МО ЭВМ».

Защита состоится «21» декабря 2011 г. в 15 часов на заседании совета по защите докторских и кандидатских диссертаций Д212.238.01 при СПбГЭТУ <гЛЭТИ», расположенном по адресу: 197376, Россия, Санкт-Петербург, улица Профессора Попова, дом 5

С диссертацией можно ознакомиться в библиотеке СПбГЭТУ «ЛЭТИ».

Научный руководитель:

доктор технических наук, профессор,

Лисс Александр Рудольфович доктор технических наук, профессор,

Водяхо Александр Иванович доктор технических наук, профессор,

Карпов Андрей Геннадьевич Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича

Официальные оппоненты:

Ведущая организация:

Автореферат разослан «.

н

2011 г.

Ученый секретарь совета по защите докторских и кандидатских диссертаций Д212.238.01, к. т.н.

Щеголева Н.Л.

Общая характеристика работы

Актуальность работы. Обнаружение сетевых атак является в данный момент одной из наиболее острых проблем сетевых технологий. По данным DAEPA, незащищенный компьютер, подключенный к сети Интернет, будет взломан не позднее, чем через 2-3 часа. Масштабные эпидемии сетевых червей, DDoS атаки с бот-сетей размером более 10000 компьютеров, автоматизированные средства поиска уязвимостей в сетях - все это делает обеспечение безопасности локальных сетей весьма трудоемким делом. Сейчас трудно найти сеть, в которой отсутствуют такие активные средства предупреждения атак как антивирус, брандмауэр, системы предупреждения вторжений уровня хоста и так далее. К сожалению, одних активных средств отражения атак недостаточно. Поэтому, в дополнение к ним применяют пассивные средства борьбы с атаками - сетевые системы обнаружения вторжений.

Сетевые системы обнаружения вторжений (ССОВ) просматривают весь сетевой трафик (или трафик определенного участка сети) и при обнаружении каких-либо отклонений в нем сигнализируют об этом. Формальные ССОВ работают по принципу антивирусной программы - пакеты, попадающие на сенсоры, сравниваются с БД сигнатур и в случае обнаружения совпадения объявляется тревога. К сожалению, даже формальных ССОВ становится недостаточно для надежной защиты сети. По данным CERT, количество известных новых методов вторжения только за 2010 год превысило 25000. Это значит, что в среднем, каждый день появляется порядка 70 новых атак. Физически невозможно обновлять БД сигнатур формальных ССОВ за такие промежутки времени. Кроме того, увеличение объема сигнатур отрицательно сказывается на производительности систем. Решением этой проблемы является применение систем обнаружения вторжений на основе выявления аномальной активности или эвристических ССОВ.

На данный момент существует достаточно большое количество эвристических ССОВ, работающих на прикладном уровне OSI. В области обнаружения вторжений на сетевом/транспортном уровнях до сих пор не предложено ни одной системы, способной работать в реальном времени.

Цель и задачи исследования - разработка модели обнаружения вторжений на сетевом/транспортном уровнях и построение эвристической сетевой эвристической системы обнаружения вторжений на основе полученной модели. Для достижения поставленных целей были решены следующие задачи:

1. классификация и анализ архитектуры современных систем обнаружения вторжений;

2. исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбор основных критериев оценки эвристических методов обнаружения вторжений, оценка существующих методов и систем;

3. разработка представления трафика в виде пространства векторов, разработка набора быстрых алгоритмов, реализующего такое преобразование;

4. исследование и выбор численных методов сокращения размерности полученного пространства;

5. выбор и настройка метода извлечения знаний и формирования базы знаний о трафике целевой сети;

6. разработка модели эвристической системы обнаружения вторжений на основе полученных алгоритмов и выбранных методов;

7. исследование и оценка полученной модели;

8. разработка комплекса программ реализующих модель и исследование его работоспособности в реальных сетях.

Объектом исследования диссертационной работы является процесс обнаружения вредоносных действий и аномальных явлений на основе анализа трафика в компьютерной сети.

Предметом изучения является набор моделей, эвристических методов и алгоритмов, обучающихся на положительном и/или смешанном сетевом трафике и предназначенных для обнаружения вторжений и аномальных явлений в компьютерных сетях.

Методы исследования. Теоретическая часть работы выполнена на основе методов математической статистики и функционального анализа, методологии извлечения знаний и искусственного интеллекта. В экспериментальной части работы применяются численные методы, алгоритмы и методы извлечения знаний. Для выполнения экспериментальной части созданы программные комплексы 1сеГО82 и кеГОБгв.

Научная новизна полученных результатов заключается в следующем:

1. систематизированы существующие методы обнаружения вторжений в сеть, обучающиеся только на положительном или смешанном трафике;

2. разработан набор алгоритмов быстрого преобразования трафика в множество векторов, пригодных для извлечения признаков вторжений;

3. разработана модель системы обнаружения вторжений на основе быстрого алгоритма преобразования трафика, одноклассового классификатора на базе искусственных нейронных сетей (ИНС) и методов сжатия пространства данных;

4. разработана методика определения аномалий на основе метода главных компонент (МГК) и ИНС, позволяющая обнаруживать нехарактерные явления в динамических системах, методика может применяться и вне области обнаружения вторжений в сеть;

5. разработан комплекс программ для обнаружения вторжений в компьютерные сети основанный на предложенной модели и алгоритмах.

Практическая значимость. Практическую значимость имеют полученные автором следующие результаты:

• Набор алгоритмов быстрого преобразования трафика в множество векторов.

• Методика выявления аномалий в динамических системах.

• Программные комплексы обнаружения вторжений IceIDS2 и IceIDS2s.

Результаты работы внедрены в СПбГЭТУ «ЛЭТИ» на кафедре «МО ЭВМ», в сетях компаний ООО «Торговый дом «Китай» и ООО «Некки».

На защиту выносятся следующие основные результаты и положения:

1. способ представления трафика в виде набора векторов, пригодных для последующего использования в методах классификации;

2. набор алгоритмов преобразования трафика в множество векторов;

3. модель эвристической системы обнаружения вторжений на основе разработанных алгоритмов;

4. комплекс программ, позволяющий обнаруживать вторжения и аномальные явления в реальных компьютерных сетях.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией представлены на:

• Научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ, Санкт-Петербург, 2009 и 2011 гг.

• XV Международная конференции «Современное образование: содержание, технологии, качество.», СПбГЭТУ «ЛЭТИ» 2009 г.

• Всероссийской Конференции «ИНФОС-2009», Вологодский Государственный Технический Университет, 2009 г.

• Конференции «Технологии Microsoft в теории и практике программирования», Санкт-Петербург, 2010 г.

Публикации. Основные теоретические и практические результаты диссертации опубликованы в 10 статьях и докладах, среди которых 4 публикации в ведущих рецензируемых изданиях, рекомендованных в действующем перечне ВАК. Доклады доложены и получили одобрение на 5 международных, всероссийских и межвузовских научно-практических конференциях конференциях, перечисленных в конце автореферата. Система IceIDS2 зарегистрирована в качестве программного средства (свидетельство о регистрации ПС IceIDS2 №2009614325).

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения и библиографии. Общий объем диссертации 155 страниц, из них 146 страниц текста, включая 43 рисунка. Библиография включает 88 наименования на 9 страницах.

Содержание работы

Во Введении обоснована актуальность диссертационной работы, сформулирована цель и аргументирована научная новизна исследований, показана практическая значимость полученных результатов, представлены выносимые на защиту научные положения.

Первая глава посвящена анализу современного состояния области обнаружения вторжений и в частности эвристического обнаружения вторжений в сеть, выработке критериев оценки эвристических CCQB и исследованию существующих систем.

Процесс осуществления угроз информационной' системе получил название «атака» или «вторжение». Атака - любое действие нарушителя, направленное на нарушение заданной функциональности вычислительной системы или получение несанкционированного доступа к информационным, вычислительным или сетевым ресурсам. Атака, как и любое действие, имеет свой жизненный цикл, разделяющий ее на этапы подготовки, вторжения, атакующего воздействия и развития атаки.

Система обнаружения вторжений (Intrusion Detection System, IDS) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть, либо несанкционированного управления ими.

Современные методы обнаружения вторжений базируются на двух принципах: сигнатурный (формальный, описывающий каждую атаку особой моделью или сигнатурой, и эвристический (обнаружение аномалий, базирующийся не на моделях информационных атак, а на моделях штатного функционирования наблюдаемой информационной системы).

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик, захватываемый на её сенсорах. ССОВ условно разделяют на два класса систем: работающие на уровне приложений модели OSI (обнару-

живают вторжения на основе анализа поля данных пакета) и работающие на сетевом/транспортном уровне модели OSI (обнаруживают вторжения анализируя управляющие пакеты протоколов IP, TCP и др., а также заголовки пакетов с данными).

Можно выделить следующие наиболее важные критерии оценки эффективности работы эвристических ССОВ (HNIDS):

1. CR - количество корректно распознанных аномальных и нормальных пакетов; здесь также будет корректно предположить, что любые атаки обычно не входят в нормальный трафик сети и классифицируются как аномальные;

2. FP (False Positive, ложная тревога) - количество нормальных пакетов принятых за аномальные;

3. PPs (Packet per second) - максимальное количество пакетов, которое система может обработать за 1 секунду на этапе тестирования;

4. г) (устойчивость системы) - процент отрицательных векторов в обучающей выборке при котором система начинает работать нестабильно;

5. FN (False Negative) - количество аномальных пакетов, принятых за нормальные.

В условиях реальных современных сетей на применение HNIDS накладываются особые требования, связанные с высокими уровнями трафика (большими и сверхбольшими показателями пакетооборота в сети). Во-первых, скорость этапа тестирования имеет наивысший приоритет. Во-вторых, при проверке большого количества пакетов в секунду, любой FP генерит сообщение в журналах аномальностей. Если значение FP системы достаточно велико, то журналы системы очень быстро заполнятся ошибками распознавания и распознавание человеком настоящих аномалий в этом шуме будет сильно затруднено.

Другой важный момент заключается в том, что мы изначально не сможем разделить тренировочные данные на нормальные и аномальные (далее -положительные и отрицательные). То есть, тренировочная выборка либо может состоять целиком из данных, которые мы считаем положительными (или отрицательными), либо считается, что тренировочная выборка - смешанная.

В таблице 1 указаны существующие HNIDS, которые удовлетворяют указанным выше условиям.

На основании проведенного обзора, можно сделать следующие выводы:

• ни одна из рассмотренных систем или моделей не способна работать в сетях с высоким уровнем трафика из-за больших значений FP;

• за исключением fpMAFIA, OTAD и SPADE рассмотренные методы не предназначены для работы с большими объемами обучающих выборок

Таблица 1

Существующие HNIDS_

Метод Данные Основа CR(%) FP(%)

SPADE реальные, ©и© временные закономерности ~70 ~0.02

OTAD реальные, © одноклассовый SVM 59.1 3.1

Геометрический подход Арнольда и Эскина модельные, Ф К-ближайших соседей 89 10

fpMAFIA реальные, ф адаптивная решетка 90.2 5.4

DT-SVM реальные, ф деревья решений, SVM 94.5 0.3

Кластеризация по Эскину модельные, фие single linkage clustering 65.7 0.178

(например в небольшой корпоративной сети показатель в 11 гигабайт трафика в день (или порядка 2-3 сотен тысяч пакетов) является нормой, но большинство методов не готовы работать с выборками такого размера);

• время обучения вляется слишком большим и не подходит для реальных условий;

• большинство моделей рассчитаны на обнаружение только узкого класса атак и не способны к обнаружению других аномалий.

Следовательно, разработка новых методов обнаружения на основе обучения только на положительном или смешанном трафике является актуальной и важной задачей исследования.

Вторая глава описывает выбор признаков вторжений из трафика, разработку алгоритмов извлечения этих признаков из «сырых» пакетов с дальнейшим преобразованием в набор векторов и методику сокращения размерности полученного множества.

Самыми распространенными протоколами на сетевом и транспортном уровнях модели TCP/IP являются: TCP, UDP, ICMP, IP; именно они и будут рассмотрены. Подавляющее большинство атак осуществляется с использованием только этих пакетов. Другие протоколы (например, IGMP) будут отображаться на вектор как IP-пакет.

Если рассмотреть различные методы вторжений в сеть на сетевом или транспортном уровнях, то можно легко заметить, что в подавляющем большинстве случаев оно «растянуто» и включает в себя несколько ТСР-сегментов между двумя оконечными точками, т.е. является сессией. Поэтому не имеет смысла выделять признаки из отдельных пакетов TCP, необходимо выделять признаки из TCP-сессии. Стоит отметить, что даже для дейтаграммы UDP и сессии TCP некоторые поля IP-пакета, содержащие сегмент или дейтаграмму будут отображены на вектор совместно со свойствами сессии или дейтаграммы.

В результате классификации вторжений, а также исследования современных атак на транспортный и/или межсетевой уровни сети, были выбраны следующие признаки, которые будут извлекаться из трафика для пакетов или сессий:

• Общие: протокол, является ли фрагментом, TTL, ToS, количество отправленных/полученных байт, является ли широковещательным, есть ли IP-опции, верна ли CRC и др.

• ЮМР-пакетов: код и тип ЮМР-сообщения.

• UDP-пакетов и TCP-сессий: сервис, land (равен ли порт клиента порту серверу).

• TCP-сессий: продолжительность, количество флагов в сессии, менялся ли размер окна, встречался ли нулевой sequence, количество пакетов, количество сессий у того же сервиса, отношения отправленных/полученных к общему количеству байт сессии, количество байт под опции TCP, тип и версия ОС инициатора сессии, MSS и др.

Всего было выделено 45 признаков вторжений, которые составили вектор признаков для эвристического обнаружения вредоносной или аномальной активности.

Рисунок 1 - Блок-схема алгоритма преобразования ТЕА1

Одна из основных проблем состоит в том, что если ШЮЭ «не успела» захватить момент начала соединения между сервером и клиентом, то весьма

трудно определить какая из сторон сессии или UDP-дейтаграммы является сервером, а какая - клиентом. Механизм выделения клиентских портов в стеке TCP/IP, устроен таким образом, что при соединении с сервером клиентский порт выбирается случайным образом из довольно большого интервала (или интервалов). Так как в самом пакете не содержится какой-либо специфичной для транспортного уровня информации, которая могла бы точно указать, какая из сторон является сервером, необходимы некоторые эвристики для такого определения. Во-первых можно определять максимальный серверный порт в конкретной сети. Во-вторых можно использовать предопределенный список общепринятых или частных для данной организации серверных портов в сети. Помимо этого, т.к. интервал клиентских портов характерен для различных видов стеков TCP/IP, определив тип и версию операционной системы, можно упростить определение стороны сервера в сессии.

Для решения задачи определения типа и версии операционной системы (ОС) удаленного хоста разработан алгоритм 1-POSD, который определяет тип сетевого стека основываясь на единичном пакете. Сложность алгоритма 0(1).

Обобщеннгш блок-схема алгоритма преобразования трафика в набор векторов (ТЕА1) представлена на рисунке 1. Его особенности:

• сессии хранятся в специальной структуре данных Session Data (SD), представляющую из себя несколько хэш-таблиц с перекрестными ссылками друг на друга; статистика хостов (количество соединений на них) хранится в специальной СД с хэшем int32 (используется модифицированная автором функция Роберта Дженкинса);

• сложность преобразования одного UDP/IP/ICMP-пакета в вектор или обновления TCP-сессии равна 0(1); сложность преобразования одного ТСР-пакета в вектор (или добавления сессии) равна 0(1од$(п)), где п - число TCP-сессий в сети в текущий момент времени.

В результате работы алгоритма, мы имеем набор векторов размерности М = 45. При больших выборках, такая размерность может оказать решающее влияние на производительность системы. Кроме того, очень вероятно, что в полученной выборке содержится лишняя информация. Следовательно, необходимо найти способ «свернуть» пространство выборки и сократить её размерность.

Метод главных компонент (МГК, англ. Principal component analysis, РСА) - один из основных способов уменьшить размерность данных, потеряв наименьшее количество информации. Вычисление главных компонент сводится к вычислению собственных векторов и собственных значений ковариационной матрицы исходных данных.

Пусть имеется матрица переменных X размерностью NxM, где N - число' образцов (строк), а М - это число независимых переменных (столбцов), которых, как правило, много (М » 1). В методе главных компонент используются

новые, формальные переменные уа(а = 1,..., А), являющиеся линейной комбинацией исходных переменных хт(т — 1,..., М):

Уа = РаЛ-----Ь РаМХм

С помощью этих новых переменных матрица X разлагается в произведение двух матриц V и Р:

м

Х = УР* + Е = ^уаРа + Е, (1)

0=1

матрица V называется матрицей счетов, ее размерность - N х А, матрица Р называется матрицей нагрузок, ее размерностьМ х А, Е- это матрица остатков, размерностью N х М.

Новые переменные ьа называются главными компонентами. Число столбцов - га в матрице Т, и ра в матрице Р - равно А, которое называется числом главных компонент РС. Эта величина заведомо меньше числа переменных М и числа образцов N.

Важным свойством МГК является ортогональность (независимость) главных компонент. Поэтому матрица счетов V не перестраивается при увеличении числа компонент, а к ней просто прибавляется еще один столбец - соответствующий новому направлению. Тоже происходит и с матрицей нагрузок Р.

Преобразование новых данных Хпеу1 в пространство новой размерности выполняется произведением:

V — У Р*

у пей: — пеш1

Таким образом, мы получаем пространство новой размерности М' < М. Имея набор главных компонент, мы можем «свернуть» пространство любого вектора, полученного на выходе алгоритма преобразования, как на этапе обучения, так при тестировании.

По сравнению с независимым анализом компонент (1СА) или нелинейными методами сокращения размерности пространства, МГК обеспечивает более высокую скорость работы и возможность распараллеливания (например с применением СРОРИ).

Третья глава посвящена разработке модели обнаружения аномалий поведении динамического объекта и модели эвристической системы обнаружения вторжений.

Компьютерную сеть, в который установлены сенсоры системы обнаружения вторжений, можно представить в виде некой динамического объекта. В каждый момент времени объект генерирует сигналы (пакеты). Когда сеть работает в нормальном режиме, сигналы поддаются описанию с помощью неких закономерностей. В случае, когда в сети происходит аномальное событие (связанное со вторжением или неполадками в работе аппаратных/программных систем), характер генерации пакетов изменяется. Предположим, что за некоторый промежуток времени (период обучения) мы можем накопить информацию (в виде

набора векторов) которая представляет из себя весь (или почти весь) спектр сигналов поведения объекта. Тогда, выработав закономерности на основании имеющегося набора, мы можем на этапе тестирования сравнивать новые пакеты с выработанными закономерностями и в случае обнаружения несоответствий говорить об обнаружении аномалии,

Стоит отметить, что мы можем гарантировать лишь то, что в обучающей выборке основная часть векторов будет положительной (неаномальной). Возможно, там будут присутствовать некоторые шумы, но их количество не будет значительным. Накопить две одинаковые выборки положительноего (характерного для сети, неаномального) и отрицательного (аномального) трафика в реальных условиях невозможно. Для выработки закономерностей в таких случаях уместно применять методы кластеризации или классификации с обучением на одном классе.

Задача классификации с обучением на одном классе (one-class classification, одноклассовой классификации) формулируется следующим образом: пусть А — полное множество объектов, а X — некоторое подмножество А. Существует отображение у* : Хт -> 1 ,Р(Хт € X) ~ 1. Требуется построить алгоритм а : X ->■ 1 и а : (А\Х) 0. В терминах предметной области обнаружения вторжений это выглядит следующим образом: имея обучающую выборку пакетов положительного трафика Хт, построить алгоритм, который переведет попадающий на сенсоры пакет в 1, если он неаномальный и в 0, если он аномальный (см. рисунок 2).

Рисунок 2 - Классификация с обучением на одном классе

Исследование применимости классификации с обучением на одном классе к обнаружению аномалий в сети (с использованием методов одного ближайшего соседа (1-Nearest neighbour method) и одноклассового SVM) на эталонных данных KDD Сир '99 Data показало, что даже без предварительной настройки можно получить вполне конкурентноспособные (с методами из таблицы 1) результаты по критериям CR и FP. Тем не менее, эти методы весьма чувствительны к шумам в обучающей выборке, требует больших ресурсов на этапе обучения и их использование затруднено на больших выборках (>100000 векторов).

Одним из способов реализации одноклассового классификатора является использование многослойного перцептрона в качестве адаптивного фильтра. Многослойный перцептрон - это искусственная нейронная сеть (ИНС) прямого распространения. Ниже указан несколько модифицированный автором метод классификации на основе многослойного перцептрона. Пусть существует набор векторов Vn каждый из которых является положительным и имеет размерность т. Выберем некую метрику D которая описывает расстояние между векторами (в качестве расстояния можно взять Евклидово или Чебышева). Построим ИНС прямого распространения с m входными нейронами, h нейронами скрытого слоя и тп выходными нейронами, при этом скрытый слой имеет сигмоидальную функцию активации, выходной - линейную. Для его обучения по методу обратного распространения будем использовать обучающую выборку Хп вида (xi,xi),..., (хп,хп). То есть, построенная ИНС будет работать как адаптивный фильтр, который получив на вход сигнал (вектор) должен без искажений передавать его на выход. Таким образом для векторов, похожих на вектора обучающей выборки расстояние D(xi,yi) ->• 0, где у{ - выходной вектор ИНС при получении на вход вектора После обучения, если выбрана нестандартная метрика D нужно пропустить всю обучающую выборку через ИНС и получить пороговое значение thres = (1 + 0)maxVie(in)-D(xi,2/i), где » €{-1,1} - пороговый коэффициент. Далее, чтобы узнать, является ли произвольный вектор х положительным, достаточно получить посредством ИНС вектор у и проверить - не превышает ли порог thres значение D(x, у). Видно, что после обучения, ИНС будет эмулировать тождественное отображение (с неким максимальным пороговым искажением thres) для векторов из положительного множества; вектора из отрицательного множества будут искажаться гораздо больше.

Три основных параметра, которые напрямую влияют на эффективность работы такого одноклассового классификатора, это:

• h - количество нейронов скрытого слоя напрямую влияет на объем т.н. «памяти» нейросети; если h будет больше или равно т, то возникнет опасность «переобучения», то есть сеть напрямую приблизиться к тождественному отображению и будет любые данные поступившие на вход передавать с минимальным изменением на выход; если же h будет слишком маленьким, то возможно «недообучение» сети, то есть положительный класс будет не до конца определен;

• г] - коэффициент скорости обучения (LR, learning rate), влияет как на скорость обучения, так и на эффективность «запоминания»; при больших V сеть может никогда не обучиться, при малых - обучаться слишком долго или «переобучиться»;

• Ai - коэффициент инерционности (LM, Learning Momentum), влияющий как на скорость обучения, так и на качество (performance) обучения.

Окончательная схема модели эвристической ССОВ представлена на рисунке 3. Модель имеет два состояния: режим обучения и режим тестирования (работы, основной режим). При обучении, на вход модели попадает некое количество «сырого» эталонного трафика (трафика, характерного для данной сети, захваченного в ней в некий достаточно длительный промежуток времени); при помощи алгоритма ТЕА1 из трафика получается набор векторов Xм. После чего, необходимо найти разложение на главные компоненты с помощью МГК по формуле (1). На наборе V новой размерности М' < М уже можно проводить обучение искусственной нейронной сети. Обучение проводится при помощи АОР таким образом, чтобы сигнал на входе сети соответствовал сигналу на выходе («адаптивный фильтр»)

Whhc = АОР(ИНС, V, V)

, где И-инс - матрица весов обученной ИНС. После обучения, можно найти значение порога ihres (максимального расстояния между сигналами на входе и выходе нейронной сети для всей обучающей выборки):

ihres = maxD(HHC(uj),Vj)

, где ь\ - г-й вектор обучающей выборки, D - метрика расстояния. В данном случае, в качестве метрики расстояния используется евклидово. Весь этот процесс отображен на верхней части рисунка 3.

На этапе тестирования, сенсор захватывает из сети пакет, преобразует его в вектор, отображает в новое пространство сокращенной размерности и определяет при помощи ИНС его аномальность. Для нового вектораполученного из пакета при помощи ТЕА1, этот процесс будет выглядеть как

d = D{]ARC{xncvjP'-)lxnewP,),d < thres

, здесь в случае d > thres вектор xnew (и соотвествующий ему пакет) - аномален.

Полученная модель может быть адаптирована к использованию в других областях, например в обнаружении аномалий сигналов от сложных динамических объектов; в работе проведено исследование, показавшее достаточную эффективность подобного подхода.

Четвертая глава посвящена программной реализации эвристической системы обнаружения вторжений, исследованию работоспособности и эффективности предложенной системы.

Для исследования эффективности предложенных методов было исследовано две модели - модель на данных KDD и модель на данных DARPA. Обе модели тестировались в вариациях - с использованием сокращения размерности и без него. На основе моделей были разработаны два варианта сетевой системы обнаружения вторжений.

аномалия—[D{v, v ' ) > thres )

Рисунок 3 - Схема работы модели ССОВ на базе ТЕА1 и ИНС

Модель на данных KDD без сокращения размерности данных показала наилучший результат: CR = 0.967 и FR = 1.33 * 10"5. При этом коэффициент инерционности слабо влияет на результат обучения и чем большей «памятью» (количеством нейронов внутреннего слоя) обладает ИНС, тем меньшим будет порог и тем лучшим будет качество обнаружения аномалий. При внесении в модель модуля сокращения размерности на базе МГК было показано, что наилучшие результаты по обнаружению вторжений происходят при 40-50% компонент в пространстве меньшей размерности. Основные зависимости относительно г),ц, hi, выявленные при исследовании модели без МГК, сохраняются и в модели с МГК.

Сравнение полученных на данных KDD Сир '99 результатов с результатами моделей других авторов на тех же данных показывает (см. табл. 2), что практически всегда при фиксации одного из критериев, модель ИНС/МГК по другим критериям оказывается лучше аналогов. Единственное исключение -метод fpMAFIA, но он проигрывает модели по критериям производительности и устойчивости к шумам в обучающей выборке.

На данных DARPA IDS Evaluation модель без использования МГК показала 17(из 18 всего) распознанных атак при 4 ложных срабатываниях; модель на базе алгоритма ТЕА1 и МГК - 18(из 18 всего) распознанных атак при 10 ложных срабатываниях.

Система IceIDS2 не использует МГК и разработана на языке Java, с использованием библиотек FANN (реализация ИНС) и jPCAP (низкоуровневаня работа с сетью). IceIDS2 использует упрощенную версию алгоритма ТЕА1, работающую с векторами состоящими из 27 компонент. Разработанный прототип

Модель(/1Ь 77, ц, рс) CR FP FN

ИНС(0.7,0.07,0.9,0.4) 0.96142 0.00003 0.03855

Геометрический подход 0.98 0.1 -

ИНС(0.8,0.05,0.1,0.4) 0.98 0.01 0.0008

Геометрический подход 0.28 0.01 -

ИНС(0.5,0.01,0.01,0.4) 0.95 0.01 0.03

Кластеризация 0.667 0.021 -

ИНС(0.7,0.005,0.1,0.4) 0.668 0.001 0.329

ИНС(0.5,0.03,0.01,0.5) 0.95 0.021 0.028

Zhang & Zulkernine 0.67 0.04 -

ИНС(0.9,0.05,0.9,0.4) 0.672 0.001 0.327

ИНС(0.7,0.001,0.9,0.7) 0.93 0.04 0.02

fpMAFIA 0.902 0.054 -

ИНС(0.9,0.02,0.9,0.8) 0.902 0.077 0.019

ИНС(0.4,0.085,0.1,0.4) 0.729 0.054 0.217

Таблица 2

зарегистрирован как программное средство (Свидетельство о регистрации ПС IceIDS2 №2009614325). В процессе испытаний в реальной сети прототип обнаружил 15 попыток вторжения при 12 ложных срабатываниях. Скорость обработки пакетов в некоторые моменты времени достигала 252 килопакетов в секунду на машине Xeon 2.8GHz, 2048Mb RAM. На обучение прототип затратил более 51 часа реального времени.

Второй прототип (IceIDS2s) реализован на языке С# и включает в себя блок сокращения размерности пространства данных, а также полную версию алгоритма ТЕА1 В качестве сенсора выступает утилита tcpdump и/или библиотека sharpPcap. Алгоритм преобразования реализован с использованием структур данных из библиотеки .Net System.Collections. Метод главных компонент и сжатие пространства обучающей выборки реализованы на основе библиотек alglib и Microsoft Research Accelerator (для быстрых матричных операций при помощи GPGPU). Библиотека NeuronDotNet используется для операций с ИНС. Тестирование системы в трех реальных сетях показали высокую эффектиность обнаружения вторжений(по сравнению с IceIDS2 и Snort). Скорость обработки при этом достигала 425 кпакетов/с. Кроме того, по сравнению с IceIDS2, время обучения IceIDS2s значительно меньше.

В Заключении подводятся итоги работы, делаются выводы об эффективности и применимости полученных результатов, описываются дальнейшние пути развития работы.

Основные результаты работы

При решении поставленных в диссертационной работе задач получены следующие основные научные и практические результаты:

1. Разработано представление сетевого трафика в виде набора векторов, содержащих признаки вторжений и/или аномальных явлений в целевой сети. Разработан набор алгоритмов преобразования трафика в этот набор векторов; алгоритм имеет сложность О {1од%п) и может работать в режиме реального времени.

2. Разработана модель эвристической сетевой системы обнаружения вторжений на базе предложенного алгоритма, метода главных компонент и одноклассового классификатора на базе искусственных нейронных сетей. Модель, после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике целевой сети. Модель может быть адаптирована для обнаружения аномалий в других сложных динамических объектах (например, телеметрических сигналов).

3. Проведено экпериментальное исследование эффективности обнаружения вторжений и аномалий при помощи полученной модели. Результаты исследования показали, что модель является конкуретноспособной в области методов обнаружения вторжений обучающихся только на положительном или смешанном трафике.

4. Разработаны комплексы программ 1сеГО82 и 1сеЮБ2з представляющие из себя сетевые эвристические системы обнаружения вторжений. Проведены испытания и внедрения программных комплексов в реальных сетях. Результаты испытаний показали хорошие результаты по критериям СИ, РРб и РР.

Список публикаций

В изданиях рекомендованных ВАК РФ:

1. Болылев А.К. Яновский В.В. Подход к обнаружению аномального трафика в компьютерных сетях с использованием методов кластерного анализа. // Известия Государственного Электротехнического Университета, серия «Информатика, управление и компьютерные технологии», выпуск 3/2006, Изд-во СПбЭТУ, СПб, 2006, С. 38-45.

2. Болылев А.К. Яновский В.В. Применение нейронных сетей для обнаружения вторжений в компьютерные сети. // Вестник Санкт-Петербургского университета, Серия 10 ПМПУ вып.1/2010, СПб, 2010, С. 129-136.

3. Большев A.K. Лисс А.Р. Применение искусственных нейронных сетей и методов сокращения размерности данных при решении задач обнаружения сетевых вторжений. // Известия СпбГЭТУ «ЛЭТИ», выпуск 5/2010, Изд-во СПбЭТУ, СПб, 2010, С. 51-56.

4. Большев А.К. Лисс А.Р. Прототип эвристической системы обнаружения вторжений в компьютерные сети на основе метода главных компонент. // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета, Серия «Информатика, Телекоммуникации, Управление» вып.4(103)/2010, Изд-во Политехнического университета, Санкт-Петербург, 2010, с. 200-205.

Статьи и материалы конференций:

5. Большев А.К. Яновский В.В. Модель системы обнаружения атак отказа в обслуживании на основе метода опорных векторов. // Известия Государственного Электротехнического Университета, выпуск 4/2008, Изд-во СПбГЭТУ, СПб, 2008, С. 25-31.

6. Большев А.К. Обнаружение вторжений в сеть при помощи одноклассовой классификации методом опорных векторов. // Сб. тр. 62-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ» 2009. 27 января - 8 февраля 2009, С. 121-127.

7. Большев А.К. Применение нейронных сетей для обнаружения вторжений в образовательных компьютерных системах // XV Международная конференция «Современное образование: содержание, технологии, качество.», СПбГЭТУ «ЛЭТИ» 22.04.2009, т1, С. 115-117

8. Большев А.К. Яновский В.В. Применение алгоритмов одноклассовой классификации при построении сетевых систем обнаружения вторжений. // ИНФОС-2009, Вологодский Государственный Технический Университет, 26-27.06.2009. С. 28-31.

9. Большев А.К. Лисс А.Р. Использование PC А и ИНС для обнаружения вторжений в сеть. // Технологии Microsoft в теории и практике программирования, Изд-во Политехнического университета, Санкт-Петербург 2010 С. 12-13.

10. Большев А.К. Лавров A.A. Метод идентификации ОС удаленного хоста на основе анализа временных характеристик стека TCP/IP в задачах сетевого мониторинга. // Сб. тр. 64-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ». СПб., 2011. С. 104-110.

Подписано в печать 02.11.11. Формат 60*84 1/16. Бумага офсетная. Печать офсетная. Печ. л. 1,0. Тираж 100 экз. Заказ 112.

Отпечатано с готового оригинал-макета в типографии Издательства СПбГЭТУ "ЛЭТИ"

Издательство СПбГЭТУ "ЛЭТИ" 197376, С.-Петербург, ул. Проф. Попова, 5

Введение

1 Обзор существующих методов обнаружения сетевых атак

1.1 Определение и способы классификации атак с позиции построения систем их обнаружения.

1.2 Общая характеристика систем обнаружения вторжений

1.3 Критерии оценки НИГОБ.

1.4 Обзор существующих моделей и систем.

1.5 Выводы по первой главе

2 Выделение признаков вторжений из сетевого трафика

2.1 Выбор извлекаемых признаков из трафика.

2.2 Алгоритм ТЕА1.

2.3 Постобработка векторов

2.4 Выводы по второй главе

3 Модель эвристической системы обнаружения вторжений

3.1 Применение классификации с обучением на одном классе к обнаружению вторжений.

3.2 Одноклассовый нейронный классификатор.

3.3 Описание модели сетевой системы обнаружения вторжений на базе алгоритма ТЕА1 и искусственных нейронных сетей

3.4 Обнаружение аномалий в поведении сложных динамических объектов

3.5 Выводы по третьей главе.

4 Исследование разработанных моделей и алгоритмов.

4.1 Испытание модели на эталонных данных КББ Сир '99.

4.2 Исследование модели на данных DARPA IDE.

4.3 Описание сетей, в которых проводилось испытание систем

4.4 Система IceIDS2.

4.5 Система IceIDS2s

4.6 Выводы по четвертой главе.

Актуальность работы. Обнаружение сетевых атак является в данный момент одной из наиболее острых проблем сетевых технологий. По данным САЙРА, незащищенный компьютер, подключенный к сети Интернет, будет взломан не позднее, чем через 2-3 часа. Масштабные эпидемии сетевых червей, БОоБ атаки с бот-сетей размером более 10000 компьютеров, автоматизированные средства поиска уязвимостей в сетях - все это делает обеспечение безопасности локальных сетей весьма трудоемким делом. Сейчас трудно найти сеть, в которой отсутствуют такие активные средства предупреждения атак как антивирус, брандмауэр, системы предупреждения вторжений уровня хоста и так далее. К сожалению, одних активных средств отражения атак недостаточно. Поэтому, в дополнение к ним применяют пассивные средства борьбы с атаками - сетевые системы обнаружения вторжений.

Сетевые системы обнаружения вторжений (ССОВ) просматривают весь сетевой трафик (или трафик определенного участка сети) и при обнаружении каких-либо отклонений в нем сигнализируют об этом. Формальные ССОВ работают по принципу антивирусной программы - пакеты, попадающие на сенсоры, сравниваются с БД сигнатур и, в случае обнаружения совпадения, объявляется тревога. К сожалению, даже формальных ССОВ становится недостаточно для надежной защиты сети. По данным СЕКТ, количество известных новых методов вторжения только за 2010 год превысило 25000. Это значит, что в среднем, каждый день появляется порядка 70 новых атак. Физически невозможно обновлять БД сигнатур формальных ССОВ за такие промежутки времени. Кроме того, увеличение объема сигнатур отрицательно сказывается на производительности систем. Решением этой проблемы является применение систем обнаружения вторжений на основе выявления аномальной активности или эвристических ССОВ.

На данный момент существует достаточно большое количество эвристических ССОВ, работающих на прикладном уровне 081. В области обнаружения вторжений на сетевом/транспортном уровнях до сих пор не предложено ни одной системы, способной работать в реальном времени.

Цель и задачи исследования - разработка модели обнаружения вторжений на сетевом/транспортном уровнях и построение эвристической сетевой системы обнаружения вторжений на основе полученной модели.

Для достижения поставленных целей были решены следующие задачи:

1. классификация и анализ архитектуры современных систем обнаружения вторжений;

2. исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбор основных критериев оценки эвристических методов обнаружения вторжений, оценка существующих методов и систем;

3. разработка представления трафика в виде пространства векторов; разработка набора быстрых алгоритмов, реализующего такое преобразование;

4. исследование и выбор численных методов сокращения размерности полученного пространства;

5. выбор и настройка метода извлечения знаний и формирования базы знаний о трафике целевой сети;

6. разработка модели эвристической системы обнаружения вторжений на основе полученных алгоритмов и выбранных методов;

7. исследование и оценка полученной модели;

8. разработка комплекса программ реализующих модель и исследование его работоспособности в реальных сетях.

Объектом исследования диссертационной работы является процесс обнаружения вредоносных действий и аномальных явлений на основе анализа трафика в компьютерной сети.

Предметом изучения является набор моделей, эвристических методов и алгоритмов, обучающихся на положительном и/или смешанном сетевом трафике и предназначенных для обнаружения вторжений и аномальных явлений в компьютерных сетях.

Методы исследования. Теоретическая часть работы выполнена на основе методов математической статистики и функционального анализа, методологии извлечения знаний и искусственного интеллекта. В экспериментальной части работы применяются численные методы, алгоритмы и методы извлечения знаний. Для выполнения экспериментальной части созданы программные комплексы 1сеШ82 и 1сеГО82з.

Научная новизна полученных результатов заключается в следующем:

1. систематизированы существующие методы обнаружения вторжений в сеть, обучающиеся только на положительном или смешанном трафике;

2. разработан набор алгоритмов быстрого преобразования трафика в множество векторов, пригодных для извлечения признаков вторжений;

3. разработана модель системы обнаружения вторжений на основе быстрого алгоритма преобразования трафика, одноклассового классификатора на базе искусственных нейронных сетей (ИНС) и методов сжатия пространства данных;

4. разработана методика определения аномалий на основе метода главных компонент (МГК) и ИНС, позволяющая обнаруживать нехарактерные явления в динамических системах, методика может применяться и вне области обнаружения вторжений в сеть;

5. разработан комплекс программ для обнаружения вторжений в компьютерные сети, основанный на предложенной модели и алгоритмах.

Практическая значимость. Практическую значимость имеют полученные автором следующие результаты:

• Набор алгоритмов быстрого преобразования трафика в множество векторов.

• Методика выявления аномалий в динамических системах.

• Программные комплексы обнаружения вторжений 1сеГО32 и 1сеГО82з.

Результаты работы внедрены в СПбГЭТУ «ЛЭТИ» на кафедре «МО ЭВМ», в сетях компаний ООО «Торговый дом «Китай» и ООО «Некки».

На защиту выносятся следующие основные результаты и положения:

1. способ представления трафика в виде набора векторов, пригодных для последующего использования в методах классификации;

2. набор алгоритмов преобразования трафика в множество векторов;

3. модель эвристической системы обнаружения вторжений на основе разработанных алгоритмов;

4. комплекс программ, позволяющий обнаруживать вторжения и аномальные явления в реальных компьютерных сетях.

Апробация работы. Основные результаты, полученные в ходе работы над диссертацией представлены на:

• Научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ, Санкт-Петербург, 2009 и 2011 гг.

• XV Международной конференции «Современное образование: содержание, технологии, качество.», СПбГЭТУ «ЛЭТИ» 2009 г.

• Всероссийской Конференции «ИНФОС-2009», Вологодский Государственный Технический Университет, 2009 г.

• Конференции «Технологии Microsoft в теории и практике программирования», Санкт-Петербург, 2010 г.

Публикации. Основные теоретические и практические результаты диссертации опубликованы в 10 статьях и докладах, среди которых 4 публикации в ведущих рецензируемых изданиях, рекомендованных в действующем перечне ВАК. Доклады доложены и получили одобрение на 5 международных, всероссийских и межвузовских научно-практических конференциях, перечисленных в конце автореферата. Система IceIDS2 зарегистрирована в качестве программного средства (свидетельство о регистрации ПС IceIDS2 №2009614325).

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения и библиографии. Общий объем диссертации 155 страниц, из них 146 страниц текста, включая 43 рисунка. Библиография включает 88 наименований на 9 страницах.

Выводы по работе:

Проведена классификация и анализ архитектуры современных систем обнаружения вторжений, рассмотрены основные этапы и составные части современных методов вторжений в сеть.

Проведено исследование и анализ существующих моделей, методов и систем эвристического обнаружения вторжений, выбраны основные кри-терие оценки эвристических методов обнаружения вторжений, и с помощью них оценены существующие методы и системы. Большинство современных эвристических методов обнаружения атак не подходят для работы в реальных сетях из-за низкой производительности, высоких показателей FP или большой чувствительности к шумам.

Разработан алгоритм излечения данных из трафика ТЕА1. Он извлекает из трафика 45 признаков вторжений и имеет сложность О (login), где п - число активных сессий. Алгоритм использует сложную структуру представления трафика в сети (на базе перекрестной хэш-таблицы) и методики определения клиентского и серверного портов для каждого единичного пакета. В состав вектора признаков входят опции IP и TCP, флаги, контрольные суммы, количество переданных и отправленных байт, характеристики изменения окна в сессии TCP и др.

Для уменьшения размерности полученного пространства векторов используется метод главных компонент. Выбор МГК в качестве метода сжатия основан на его относительной простоте реализации и сохранении необходимого объема информации в выходном пространстве.

Поскольку в реальных условиях невозможно получить две одинаковые выборки «хорошего» и «плохого» трафика, принято решение использовать классификатор с обучением на данных одного класса. Проведенное исследование на данных KDD показало приемлемость такого подхода с использованием 1-NN или ОС SVM в качестве классификатора. Для улучшения качества обнаружения и показателей других критериев используется одноклассовый классификатор на базе многослойного пер-цептрона. Он обладает такими важными свойствами, как стабильные результаты на больших выборках, хорошая работа на данных даже при свертке их размерности и высокая устойчивостью к шуму.

Разработана модель системы обнаружения вторжений с использованием алгоритма ТЕА1, МГК и одноклассового классификатора на базе ИНС.

Исследования на данных KDD Сир Data и DARPA IDS Evaluation позволяет утверждать, что разработанная модель в большинстве случаев лучше аналогичных моделей по критериям CR/FP; по показателям производительности и устойчивости при фиксированных CR/FP она лучше всегда. На данных KDD модель показала корректность обнаружения более 96% при 0.001% ложных срабатываний.

На базе модели были разработаны две системы обнаружения вторжений IceIDS2 и IceIDS2s. Они прошли испытания в реальных сетях и показали лучшие результаты обнаружения вторжений по критерию CR по сравнению с формальной системой обнаружения вторжений Snort. Система IceIDS2 была зарегистрирована в качестве программного средства (Свидетельство о регистрации ПС IceIDS2 №2009614325).

Полученные модели по обнаружению вторжений можно перенести в более широкую область обнаружения аномалий в любых сложных динамических объектах. Показан пример подобной модели для обнаружения аномалий в поведении сигналов датчиков. Дальнейшее развитие разработок по этой тематике представляется весьма актуальным и перспективным. Еще одно возможное направление развития работы - это дальнейшая оптимизация алгоритма ТЕА1 и реализация принципов, заложенных в системах 1сеШ82/1сеГО82з на уровне драйвера для сетевого стека ОС.

Работа выполнялась в рамках комплексного проекта с участием высшего учебного заведения по заказу Министерства Образования и Науки Российской Федерации на тему «Организация высокотехнологичного производства систем гидроакустического мониторинга акватории на базе покровных антенн в местах размещения нефте- и газодобывающих платформ в районе арктического шельфа». Дог. №13.025.31.0054.

При решении поставленных в диссертационной работе задач получены следующие основные научные и практические результаты:

1. Разработано представление сетевого трафика в виде набора векторов, содержащих признаки вторжений и/или аномальных явлений в целевой сети. Разработан набор алгоритмов преобразования трафика в этот набор векторов; алгоритм имеет сложность О^од^п) и может работать в режиме реального времени.

2. Разработана модель эвристической сетевой системы обнаружения вторжений на базе предложенного алгоритма, метода главных компонент и одноклассового классификатора на базе искусственных нейронных сетей. Модель, после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике целевой сети. Модель может быть адаптирована для обнаружения аномалий в других сложных динамических объектах (например, телеметрических сигналов).

3. Проведено экспериментальное исследование эффективности обнаружения вторжений и аномалий при помощи полученной модели. Результаты исследования показали, что модель является конкурентоспособной в области методов обнаружения вторжений обучающихся только на положительном или смешанном трафике.

4. Разработаны комплексы программ 1сеШ82 и 1сеГО82з представляющие из себя сетевые эвристическйе системы обнаружения вторжений. Проведены испытания и внедрения программных комплексов в реальных сетях. Результаты испытаний показали хорошие результаты по критериям СК, РРв и БР.

Заключение

1. Лукацкий А. В. Обнаружение атак. СПб: БХВ-Петербург, 2003.

2. Ральников М. А. Повышение безопасности среды передачи данных в интегрированных системах управления предприятиями: Кандидатская диссертация / РИО КГТУ. Кострома, 2004.

3. Фостер Д. С. Защита от взлома. Сокеты, shell-код, эксплойты. Москва: ДМК-пресс., 2006.

4. Northcutt S., Cooper M., Fearnow M., Frederik К. Intrusion Signatures and Analysis. New-York: New Riders Publishing, 2001.

5. Mitnick K. The art of intrusion : the real stories behind the exploits of hackers, intruders к deceivers. Indianapolis, IN: Wiley, 2005. ISBN: 0471782661.

6. Northcutt S. Inside Network Perimeter Security. Indianapolis: New Riders, 2004. 182-186 pp.

7. Hernan S., Lambert S., Ostwald T., Shostack A. Uncover Security Design Flaws Using The STRIDE Approach // MSDN Magazine. 2006. Vol. 11. Pp. 44-48.

8. Loeb L., Faircloth J., Ftu K., Everett C. Hack Proofing Your Network. New York: Syngress Publishing Inc., 2001. 75-127 pp.

9. Wang K., Stolfo S. Anomalous Payload-Based Network Intrusion Detection // Recent Advances in Intrusion Detection / Ed. by E. Jonsson, A. Valdes. M. Almgren. Springer Berlin / Heidelberg, 2004. Vol. 3224 of Lecture Notes in Computer Science. Pp. 203-222.

10. Messer J. Secrets of Network Cartography: A Comprehensive Guide to Nmap Second Edition. New York: A Professor Messer Publications, 2007. 30-51 pp.

11. Wenstrom M. J. Managing Cisco Network Security. Indianapolis: Cisco Press, 2001. 31-61 pp.

12. Erickson J. Hacking: the Art of Exploitation, 2nd Edition. San Francisco: No Starch Press, 2007.

13. Barner C. Hack Proofing Wireless Network. New York: Syngress Publishing Inc., 2002. 91-139 pp.

14. Cheswick W. Firewalls and Internet Security. Boston: Addison-Wesley, 1994. ISBN: 0201633574.

15. Marchette D. Computer Intrusion Detection and Network Monitoring. Berlin: Springer, 2001. ISBN: 0387952810.

16. Scarfone K., Meli P. Guide to Intrusion Detection and Prevention Systems (IDPS) // Computer Security Resource Center. 2007. Vol. 800-94.

17. Whitman M. Principles of Information Security, Third Edition. Cambridge: Course Technology, 2007. ISBN: 9781423901778.

18. Newman R. Computer Security. Sudbury: Jones & Bartlett Publishers, 2009. ISBN: 0763759945.

19. Shahbazian E. Aspects of Network and Information Security. Amsterdam: IOS Press, 2008. ISBN: 1586038567.

20. Carter E. Ccsp Self-Study : Cisco Secure Intrusion Detection System. Indianapolis: Cisco Press, 2004. ISBN: 1587051443.

21. Intrusion Detection Systems Group Test (Ed. 2). New York: NSS, 2001.

22. Vacca J. Computer and Information Security Handbook. San Diego: Morgan Kaufmann, 2009. ISBN: 9780123743541.

23. Lussi C. Signature-based Extrusion Detection: Ph.D. thesis / ITK. Zurich, 2008.

24. Manikopoulos C. Intrusion Detection and Network Security: Statistical Anomaly Approaches. Boca Raton: CRC, 2008. ISBN: 0849397162.

25. Singhal A. Data Warehousing and Data Mining Techniques for Cyber Security. Berlin: Springer, 2007. ISBN: 6610816522.

26. Ibrahim N. H. Evaluating indirect and direct classification techniques for network intrusion detection: Ph. D. thesis / Florida Atlantic University. Orlando, 2004.

27. Pinkston J. Intrusion detection: Modeling system state to detect and classify anomalous behaviors: Ph. D. thesis / University of Maryland. Baltimore County, 2004.

28. Anderson R. Security Engineering. Chichester: John Wiley & Sons, 2001. ISBN: 9780471389224.

29. Mahoney M. V., Chan P. K. PHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic. Florida: Department of Computer Sciences Florida Institute of Technology Melbourne, 2001. 17 pp.

30. Staniford-Chen S. IDS Standards: Lessons Learned to Date // Raid Sym-posyum Journal. 1999. Pp. 105-119.

31. Debar H., Curry D., Feinstein B. The Intrusion Detection Message Exchange Format (IDMEF). The IETF Trust.

32. Kahn C., Bolinger D., Schnackenberg D. Communication in the Common Intrusion Detection Framework v 0.7. CIDF Working Group.

33. Caswell B., Beale J., Baker A. R. Snort IDS and IPS toolkit. Burlington, MA: Syngress, 2007. ISBN: 9781597490993.

34. Allen J., Christie A., William F. et al. State of the Practice of Intrusion Detection Technologies. Pittsburgh: Carnegie Mellon Software Engineering Institute, 2000.

35. Pietro R. Intrusion detection systems. S.l: Springer, 2008. ISBN: 1441945857.

36. Biles S. Statistical Packet Anomaly Detection Engine (SPADE). New York: Computer Security Online Ltd., 2005. 28 pp.

37. Biles S. Detecting the Unknown with Snort and the Statistical Packet Anomaly Detection Engine ( SPADE ). New York: Computer Security Online Ltd., 2005. 9 pp.

38. Tran Q.-A., Duan H., Li X. One-class Support Vector Machine for Anomaly Network Traffic Detection. Beijing: Tsinghua University, 2007. 6 c.

39. Williamson R., Smola A. J., Scholkopf B. New Support Vector Algorithms. Sydney: Australian National University, 1998. 28 c.

40. Eskin E., Arnold A., Portnoy L. A Geometric Framework for Unsupervised Anomaly Detection: Detecting Intrusions in Ulabeled Data. New York: Columbia University, 2001. 20 c.

41. Eskin E., Portnoy L. Intrusion Detection with Ulabeled Data Using Clustering. New York: Columbia University, 1999. 14 c.

42. Yao J., Zhao S., Fan L. An Enhanced Support Vector Machine Model for Intrusion Detection.

43. Peddabachigari S., Abraham A., Grosan C., Thomas J. Modeling intrusion detection system using hybrid intelligent systems // J. Netw. Comput. Appl. 2007. January. Vol. 30. Pp. 114-132.

44. Танненбаум Э. Основы компьютерных сетей. СПб.: Питер, 2005. 992 с.

45. Scambray J. Hacking Exposed. Berkeley: Osborne/McGraw-Hill, 2001. ISBN: 0072127481.

46. Mcnab C. Network Security Assessment: Know Your Network. O'reilly Media Inc.: O'Reilly Media Inc., 2008. ISBN: 0596510306.

47. Большее А., Яновский В. Модель системы обнаружения атак отказа в обслуживании на основе метода опорных векторов // Известия Государственного Электротехнического Университета. 2008. Т. 4. С. 25-31.

48. Stevens R. Tcp/Ip Illustrated. Reading: Addison-Wesley Pub. Co, 1994. ISBN: 0201634953.

49. Zalewski M. Silence on the Wire. San Francisco: No Starch Press, 2005. ISBN: 1593270461.

50. Kozierok С. The Tcp/Ip Guide. San Francisco: No Starch Press, 2005. ISBN: 159327047X.

51. Veysset F., Courtay О., Heen O. New Tool And Technique For Remote Operating System Fingerprinting. Intranode Research Team, 2002.

52. Шиффман M. Защита от хакеров: Анализ 20 сценариев взлома. М.: Издательский дом «Вильяме», 2002. 305 с.

53. Stevens S. Unix Network Programming. Boston: Addison-Wesley, 2004. ISBN: 0131411551.

54. Systems I. Ccna 1 and 2 Companion Guide, Revised. Indianapolis: Cisco Press, 2004. ISBN: 1587131501.

55. Orebaugh A. Nmap in the Enterprise: Your Guide to Network Scanning. Amsterdam: Elsevier, 2008. ISBN: 1597492418.

56. Larsen M., Gont F. Recommendations for Transport-Protocol Port Randomization. Internet Engineering Task Force (IETF).

57. Nogueira A., Salvador P., Valadas R. Detecting Internet Applications using Neural Networks // Proceedings of the International conference on Networking and Services. Washington, DC, USA: IEEE Computer Society, 2006. Pp. 95-96.

58. Group B. Hash Functions. City: Books LLC, 2010. ISBN: 1156049105.

59. Refaat M. Data Preparation for Data Mining Using Sas. San Francisco: Morgan Kaufmann Publishers, 2007. ISBN: 0123735777.

60. Gorban A. Principal Manifolds for Data Visualization and Dimension Reduction. Berlin: Springer, 2007. ISBN: 9783540737490.вторжений // ИНФОС-2009, сборник докладов. 26-27.06.2009. Вологодский Государственный Технический Университет, 2009. Pp. 28-31.

61. Wu X. Support vector machines for text categorization: Ph. D. thesis. Buffalo, NY, USA: State University of New York at Buffalo, 2004.

62. Wasserman P. Neural computing : theory and practice. New York: Van Nos-trand Reinhold, 1989. ISBN: 0442207433.

63. Hinton G., Sejnowski T. J. Unsupervised learning : foundations of neural computation. Cambridge, Mass: MIT Press, 1999. ISBN: 026258168X.

64. Каллан P. Основные концепции нейронных сетей. Москва: Вильяме, 2001. 289 с.

65. Хайкин С. Нейронные сети, полный курс. Москва: Вильяме, 2008. 1104 с.

66. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. Москва: Горячая линия Телеком, 2001. 382 с.

67. Wilson D. R., Martinez Т. R. The Need for Small Learning Rates on Large Problems. Utah: Brigham Young University, 2001. 5 c.

68. Jolliffe I. Т. Principal Component Analysis. Berlin: Springer, 2002. ISBN: 9780387954424.

69. Айвазян С. А., Вухштабер В. M., Енюков И. С., Мешалкин JT. Д. Прикладная-статистика". Классйфйкация и снижение размерности. Москва: Финансы и статистика, 1989. С. 607.

70. Журавлев Ю. И., Рязанов В. В., Сенько О. В. «Распознавание». Математические методы. Программная система. Практические применения. Москва: Фазис, 2006.

71. Вапник В. Восстановление зависимостей по эмпирическим данным. Москва: Наука, 1979.

72. Моуа М. М., Hush D. R. Network constraints and multi-objective optimization for one-class classification // Neural Netw. 1996. —April. Vol. 9. Pp. 463-474.

73. Bermejo S., Cabestany J. Learning with Nearest Neighbour Classifiers // Neural Process. Lett. 2001.-April. Vol. 13. Pp. 159-181.

74. Cristianini N. An Introduction to Support Vector Machines. Cambridge: Cambridge University Press, 2000. ISBN: 0521780195.

75. Болынев А., Яновский В. Применение алгоритмов одноклассовой классификации при построении сетевых систем обнаружения

76. Болыиев А., Лисс А. Использование РСА и ИНС для обнаружения вторжений в сеть. // Технологии Microsoft в теории и практике программирования. Изд-во Политехнического университета, 2010. 2 pp.

77. Болынев А., Яновский -В. Применение нейронных сетей для обнаружения вторжений в компьютерные сети // «Вестник Санкт-Петербургского университета», Серия 10 «Прикладная математика информатика процессы управления». 2010. Т. 1. С. 129-136.

78. Duda R. Pattern classification. New York: Wiley, 2001. ISBN: 0471056693.

79. Болынев А., Лисс А. Прототип эвристической системы обнаружения вторжений в компьютерные сети на основе метода главных компонент. // Научно-Технические Ведомости СПбГПУ, Серия «Информатика, Телекоммуникации, Управление». 2010. Т. 4(103). С. 200-205.

80. Большев А., Лисс А. Применение искусственных нейронных сетей и методов сокращения размерности данных при решении задач обнаружения сетевых вторжений. // Известия СпбГЭТУ «ЛЭТИ». 2010. Т. 5. С. 51-56.

81. Smith М. Neural networks for statistical modeling. New York: Van Nostrand Reinhold, 1993. ISBN: 0442013108.