автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Система обнаружения атак на информационную систему с использованием динамических моделей на основе нечетких когнитивных карт

На правах рукописи

СВЕЧНИКОВ Лаврентий Александрович

ИНТЕЛЛЕКТУАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКИХ КОГНИТИВНЫХ КАРТ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Уфа-2010

004605477

004605477

Работа выполнена на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета

д-р техн. наук, проф. Васильев Владимир Иванович

д-р техн. наук, проф. Миронов Валерий Викторович проф. каф. автоматизированных систем управления Уфимского государственного авиационного технического университета

канд. техн. наук, доц. Цветов Виктор Петрович доц. кафедры безопасности информационных систем Самарского государственного университета

Ведущая организация Башкирский государственный

университет

Защита состоится «18» июня 2010 г. в Ю часов

на заседании диссертационного совета Д-212.288.07

Уфимского государственного авиационного технического университета по адресу: 450000, г. Уфа, ул. К.Маркса 12.

С диссертацией можно ознакомиться в библиотеке университета.

Автореферат разослан «_»__2010 г.

Научный руководитель

Официальные оппоненты

Ученый секретарь

диссертационного совета. .. у

д-р. техн. наук. проф. 'С.С. Валеев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы

В связи с увеличением объемов информации, циркулирующих в локальных вычислительных сетях (ЛВС) и расширением спектра задач, решаемых с помощью информационных систем (ИС), возникает проблема, связанная с ростом числа угроз и повышением уязвимости информационных ресурсов. Это обусловлено действием таких факторов, как:

• расширение спектра задач, решаемых ИС;

• повышение сложности алгоритмов обработки информации;

• увеличение объемов обрабатываемой информации;

• усложнение программных и аппаратных компонентов ЛВС, и соответственно - повышение вероятности наличия ошибок и уязвимостей;

• повышение агрессивности внешних источников данных (глобальных сетей);

• появление новых видов угроз.

Необходимо учитывать, что конкурентоспособность предприятий, размер получаемого ими дохода, их положение на рынке существенно зависят от корректности функционирования их информационной инфраструктуры, целостности основных информационных ресурсов, защищенности конфиденциальной информации от несанкционированного доступа. Исходя из этого, возрастают требования к системам защиты ЛВС, которые должны обеспечивать не только пассивное блокирование несанкционированного доступа к внутренним ресурсам сети предприятия из внешних сетей, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности и, по мере возможности, устранять их в автоматическом режиме.

Одним из основных качеств системы защиты информации ЛВС предприятия, удовлетворяющей перечисленным требованиям, является ее адаптивность, т.е. способность анализировать информацию, генерировать на ее основе знания и автоматически изменять конфигурацию системы для блокирования обнаруженных угроз информационной безопасности.

Анализ существующих подходов к реализации систем обнаружения атак показывает, что большинство программных продуктов, присутствующих в настоящее время на рынке, ориентируется на использование формальных описаний системной активности (сигнатур). Функции обнаружения и регистрации новых видов атак возлагаются в подобных системах на разработчика, выпускающего новые сигнатуры. Данный метод защиты является ненадежным, т.к. он ставит защищенность ИС в зависимость от действий внешнего неконтролируемого источника.

Несмотря на то, что разработка адаптивных систем защиты информации ведется уже достаточно длительное время, ни одно подобное решение не получило сколько нибудь широкого распространения в силу сложности и'малоэффективное™ используемых алгоритмов, отсутствия в большинстве случаев

/

адекватных инструментов их развертывания и администрирования, а также -пользовательской документации.

Анализ работ, ведущихся в данной области, показывает, что указанная проблема требует дальнейшего изучения как с точки зрения построения адекватных математических моделей предметной области, так и реализации эффективных алгоритмов обнаружения атак и принятия решений, что подтверждает актуальность исследований в данной предметной области.

Объект исследований - система защиты информации корпоративной информационной системы.

Предмет исследований - алгоритмическое и программное обеспечение защиты информации.

Цель работы

Повышение эффективности обнаружения атак и принятия решений на основе оперативной оценки риска функционирования ИС с использованием динамических моделей на основе нечетких когнитивных карт.

Задачи исследования

Для достижения поставленной цели в работе были поставлены и решены следующие задачи:

1. Разработка системных моделей функционирования системы обнаружения атак на основе построения онтологии предметной области и использования 8АОТ-методологии.

2. Синтез архитектуры системы обнаружения атак и алгоритмов принятия решений на основе динамической модели оценки рисков с использованием нечетких когнитивных карт.

3. Разработка алгоритма обучения нечеткой когнитивной карты на наборе эталонных сценариев.

4. Разработка исследовательского прототипа интеллектуальной системы обнаружения атак.

5. Анализ эффективности функционирования разработанной интеллектуальной системы обнаружения атак методом имитационного моделирования.

Методы исследования

В процессе исследования использовались методы системного анализа, теории вероятности, нечеткой логики, теории Марковских цепей и ветвящихся процессов, нечетких когнитивных карт, теории нейронных сетей, методы распознавания образов, математической статистики и информатики. Моделирование осуществлялось с использованием системного и прикладного программного обеспечения, разработанного автором.

Результаты, выносимые на защиту

1. Системные модели системы обнаружения атак на основе БАВТ-методологии.

2. Архитектура системы обнаружения атак, алгоритмы принятия решений на основе динамического моделирования с использованием нечетких когнитивных карт.

3. Алгоритм обучения нечеткой когнитивной карты на наборе эталонных сценариев.

J

4. Программная реализация исследовательского прототипа интеллектуальной системы обнаружения атак.

5. Результаты оценки эффективности функционирования интеллектуальной системы обнаружения атак.

Научная новизна диссертационной работы заключается в следующем:

1. Разработан комплекс системных моделей функционирования системы обнаружения атак на основе построения онтологии предметной области и использования SADT-методологии, которые позволяют выявить основные источники угроз, уязвимости и защищаемые ресурсы, сформулировать требования к архитектуре системы обнаружения атак.

2. Предложены архитектура системы обнаружения атак и алгоритмы распознавания атак, основанные на использовании динамических моделей информационной системы на базе нечетких когнитивных карт, что в отличие от существующих подходов на основе анализа базы сигнатур, позволяет повысить эффективность обнаружения атак, а также расширить сферу защищаемых ресурсов ИС за счет моделирования рисков в режиме реального времени.

3. Предложен алгоритм обучения нечеткой когнитивной карты на наборе эталонных данных, основанный на алгоритме обратного распространения ошибки, позволяющий существенно повысить точность распознавания и блокирования атак.

Практическая ценность

Практическая ценность данной работы заключается в следующем:

1. Предложенные системные модели и методы оценки риска функционирования ИС могут использоваться на ранних этапах разработки систем защиты информации для оценки их эффективности.

2. Разработанные алгоритмы обнаружения и подавления атак позволяют осуществлять защиту ИС в режиме реального времени.

3. Использование предложенной архитектуры интеллектуального модуля принятия решений позволяет увеличить эффективность систем обнаружения атак и снизить величину риска функционирования ИС.

Апробация работы

Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих конференциях:

- Международной молодежной научно - технической конференции "Интеллектуальные системы обработки информации и управления", (г. Уфа 2003);

- VII и VIII международной научной конференции «Компьютерные, науки и информационные технологии» (CSIT"), (г. Уфа, 2005, г. Карслсруэ. Германия, 2006);

- VIII Международной научно-практической конференции "Информационная безопасность" (г. Таганрог, 2006);

- Региональной зимней школе - семинаре аспирантов и молодых ученых "Интеллектуальные системы обработки информации и управления", (г. Уфа, 2007);

- VII Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2007» (г. Томск, 2007);

- Всероссийской зимней школе-семинаре «Актуальные проблемы науки и техники» (г. Уфа, 2010).

Разработанный программный комплекс, реализующий исследовательский прототип интеллектуальной системы обнаружения атак, внедрен в проектном институте «РН-УфаНИПИНефть».

Результаты работы также внедрены в учебный процесс Уфимского государственного авиационного технического университета и используются на кафедре «Вычислительная техника и защита информации» при проведении лабораторных работ, выполнении курсовых и дипломных проектов для студентов специальности 090104.

Публикации

Результаты диссертационной работы отражены в 10 публикациях, в том числе в 3 научных статьях, из них 1 статья в издании из перечня ВАК РФ, а также в 6 материалах докладов международных и российских конференций, 1 свидетельстве об официальной регистрации программы.

Структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 135 страниц машинописного текста, включая 31 рисунок и 27 таблиц. Список литературы включает 114 наименований.

СОДЕРЖАНИЕ РАБОТЫ

Во введении к диссертации дается краткая характеристика работы, сформулированы ее цели и задачи, обоснована актуальность исследований в данной предметной области, показана научная новизна и практическая ценность полученных результатов.

В первой главе выполнен анализ современного состояния предметной области, описаны задачи, решаемые с помощью автоматизированных информационных систем локальных вычислительных сетей (ИС ЛВС), перечислены основные подходы к их моделированию. Произведена классификация систем управления функционированием ИС ЛВС, выделен класс систем обнаружения атак (COA), описаны его функции и основные возможности. На основе анализа существующих систем обнаружения атак, представленных в настоящее время на рынке и сформулированной системы критериев, показано, что функционал существующих систем обнаружения атак не позволяет им обеспечивать корректное обнаружение и блокирование неизвестных атак. Таким образом, исследования в данной предметной области являются актуальными и перспективными.

Во второй главе сформирован тезаурус терминов на основе которого построена онтология предметной области. На основе онтологии и использования SADT методологии разработан комплекс системных моделей системы обнаружения атак. Функциональная модель IDEF0 системы обнаружения атак состоит из функциональных блоков «собрать информацию», «обрабо-

тать информацию», «выявить атаку», «подавить атаку». Данные блоки отражают различные функции системы обнаружения атак и описывают процесс обнаружения и блокирования атак. Информационная модель ШЕЕ IX представляет собой логическую модель базы данных и базы знаний системы обнаружения атак.

В связи с тем, что информационные системы являются сложными гетерогенными комплексами, функционирование которых не может быть описано в детерминированном виде, моделирование многих аспектов функционирования подобных систем обычно связано с использованием знаний экспертов, описанных в нечеткой форме. Для того чтобы учесть подобные аспекты ИС, в работе предлагается использовать динамическую модель ИС на основе нечетких когнитивных карт (НКК). Данный подход основан на выделении совокупности основных факторов (концептов), обозначающих различные понятия моделируемой предметной области и построении на их основе ориентированного графа, отображающего взаимосвязи между концептами (рис. 1). аил с.-с-ио

Рисунок 1 - Нечеткая когнитивная карта

Каждому i-му концепту нечеткой когнитивной карты ставится в соответствие переменная состояния Х: и вес Wy, характеризующий влияние i-ro концепта на j-й концепт. Величина веса w,j лежит в пределах [0;1] и характеризует степень значимости (влияния) соответствующего концепта. Переменные состояния концептов модели динамически изменяются во времени в соответствии с формулой:

Л", (к +1) = f{X,ik) + X »'„*,(*»■ (1)

!=I

где Л'¡(к) - переменная состояния i-ro концепта в момент времени k; w,, - вес связи между концептами i и y,f(x) - нелинейная функция следующего вида:

= (2) \ + е

где значение коэффициента I подбирается эмпирически в ходе численного эксперимента.

Для использования НКК с целью оценки риска функционирования ИС выделяются 4 группы концептов, обозначающих различные факторы поведения ИС:

1) дестабилизирующие факторы (ДФ) - отображают совокупность факторов, негативно влияющих на ИС;

2) промежуточные факторы (ПФ) - совокупность объектов, групп объектов либо параметров, описывающих состояние ИС;

3) целевые факторы (ЦФ) - описывают различные негативные последствия (ущерб), возникающие в результате воздействия ДФ на ИС;

4) управляющие факторы (УФ) - моделируют управляющие и защитные механизмы ИС.

Для определения влияния ¡-го ДФ на ]-й ЦФ рассчитывается величина полного эффекта Ту, которая находится по следующей формуле:

Тн = шах } (3)

где - минимальный вес связи С-го пути между вершинами (концептами) / и/ нечеткой когнитивной карты.

Оценка совокупного влияния всех ДФ на определенный (]-й) ЦФ описывается величиной полного (комплексного) эффекта:

где к - число ДФ.

Для оценки полного риска функционирования ИС можно воспользоваться формулой

Л = £г,гЛ, (5)

где N - общее число ЦФ модели; г, - величина возможного ущерба от реализации .¡-го ЦФ; у,--значимость .¡-го ЦФ.

Динамическая модель системы обнаружения атак была построена с использованием нечетких когнитивных карт, что позволяет не только отслеживать процессы, протекающие в ИС при реализации различных видов атак, но и определять величины рисков, а также индивидуальный и суммарный эффекты от внедрения различных средств защиты. Для построения модели ИС предлагается использовать следующую методологию:

1. Формирование списка угроз и оценка вероятности их реализации. На данном этапе группа экспертов формирует список угроз, воздействующих на моделируемый компонент ИС и оценивает вероятность их реализации. Оценка может осуществляться как на основе статистической базы инцидентов по каждой атаке, так и с использованием методов нечеткой логики. Полученные значения вероятностей переводятся в проценты и представляют собой начальные состояния ДФ-концептов НКК.

2. Формирование списка промежуточных факторов и вычисление их начальных значений. Эксперты анализируют компоненты моделируемой ИС и на их основе составляют список ПФ-концептов, в качестве которых могут рассматриваться как реальные компоненты ИС, так и неко-

торые их характеристики, отображающие корректность ее функционирования.

3. Формирование списка целевых факторов. Составляется список возможных последствий реализации атак на ИС, эксперты оценивают величину ущерба для каждого фактора, а также ранжируют их по степени важности.

4. Описание функций принадлежности и нечетких переменных, используемых для задания весов и связей между концептами НКК.

5. Построение графа НКК. Эксперты строят граф НКК с учетом выбранных семантических связей между концептами модели.

6. Формирование списка контрмер. Эксперты формируют список контрмер, используемых для блокирования атак. Для каждой контрмеры оценивается степень ее влияния на каждую атаку, а также стоимость внедрения данной контрмеры.

7. Формирование базы правил. Эксперты формируют нечеткую базу правил, которая позволяет вычислять реальную величину влияния контрмеры на риск реализации угрозы путем нечеткого логического вывода.

8. Выбор рациональных контрмер с учетом величин полного эффекта, риска и предотвращенных потерь вследствие использования выбранных средств защиты.

В качестве примера построения модели атаки на ИС рассмотрим угрозу внедрения модуля реализации вредоносного кода (гоо1&Л) на локальный компьютер корпоративной сети ИС. Моделирование осуществлялось с помощью разработанного в рамках данной работы исследовательского прототипа системы обнаружения атак. Схема реализации подобной угрозы показана на рисунке 2.

В качестве основных угроз при реализации данного сценария атаки выступают:

1) перехват пользовательских паролей путем внедрения промежуточного драйвера в стек драйверов ввода-вывода;

2) модификация структур ядра с целью маскировки присутствия шпионского модуля и контроля функционирования системы;

3) кража либо повреждение пользовательских данных;

4) анализ сетевой активности пользователя с целью получения персональных данных;

5) несанкционированное использование сетевого канала (рассылка спама, ЭоБ атаки и т.п.).

Рассматриваемые дестабилизирующие факторы оказывают непосредственное влияние на следующие компоненты вектора состояний системы X:

1) корректность функционирования системного ПО - в силу модификаций внутренних структур ядра операционной системы возможно нарушение ее работоспособности (некорректное поведение, перезагрузки, критические сбои);

2) конфиденциальность пользовательской информации;

3) целостность пользовательской и системной информации;

4) доступность информации.

Рисунок 2 - Схема реализации угрозы внедрения гайки

Влияние дестабилизирующих факторов на ПФ-концепты может привести к реализации следующих факторов риска:

1) потеря данных;

2) моральный ущерб (в результате утраты важных данных, нарушения работоспособности компонентов ИС, противозаконных действий совершенных модулем реализации вредоносного кода и т.п.);

3) простой оборудования в результате нарушения работоспособности компонентов ИС.

Для противодействия влиянию дестабилизирующих факторов на концепты НКК анализируется набор следующий набор контрмер:

1) внедрение эффективной политики безопасности;

2) установка межсетевого экрана (МСЭ);

3) установка антивируса;

4) установка системы обнаружения атак;

5) шифрование данных;

6) внедрение системы резервного копирования информации.

В третьей главе описана процедура имитационного моделирования атак на информационную систему.

Имитационное моделирование осуществлялось с целью проверки степени адекватности предложенной математической модели операционной среды, реальной обстановке. Процесс моделирования сводился к исследованию реакции различных компонентов прототипа системы обнаружения атак на всевозможные возмущающие факторы, воздействующие на защищаемый объект. В ходе первой стадии тестирования осуществлялся набор атак, а также возможных действий, имеющих признаки атаки, однако являющихся легальными. Анализ реакции системы выполняется путем измерения величин дес-

табилизирующих факторов и рисков в модулях принятия решения локальных рабочих станций и сетевых сервисов.

Вторая стадия тестирования заключалась в проверке способности системы к подавлению атак. В ходе нее сопоставлялись величины рисков до и после реакции системы на обнаруженную атаку, вычислялись величины ошибок первого и второго рода при принятии решений об классификации активности как атаки.

Входные данные (уровни угроз) поступают с сенсоров системы обнаружения атак и генерируются на основе следующей информации:

• 01 - информация о вредоносной активности пользователей, формируется па основе вычисления степени отклонения текущих действий пользователя от его шаблонного поведения;

• 02 - степень вредоносности потока инструкций;

« БЗ- степень подозрительности действий модуля.

• Т)2 - степень вредоносности потока инструкций;

• ОЗ - степень подозрительности действий модуля.

Помимо этого, на вход системы поступает средний коэффициент загрузки (РЛ), вычисляемый на основе следующих данных:

• загрузка центрального процессора;

» коэффициент занятости физической памяти;

• коэффициент использования физической памяти;

• скорость использования оперативной памяти.

Для оценки поведения модели был сформирован набор экспериментов, каждый из которых заключался в запуске определенного набора программ, причем часть из них являлась вредоносными, а часть представляла собой различные утилиты сторонних разработчиков. Атака считалась зарегистрированной моделью, если уровень риска превышал значение 0,6. Список произведенных экспериментов приведен в таблице 1.

Таблица 1 - Список экспериментов

Номер Является атакой Описание

1 Да Внедрение гоогЫг ядра 88Ш'

т Нет Использование утилиты гсцтоп

3 Да Внедрение гоо&к ядра КОМ

4 Да Использование сИИгуесйоп

5 Да Модификация 1АТ

6 Да Использование кеу1о§£ег ядра

В ходе первого эксперимента проверялась способность модели выявлять

атаки, основанные на внедрении rootkit уровня ядра операционной системы, осуществляющего перехват вызовов функций системного API за счет модификации таблицы дескрипторов системных сервисов (SSDT).

Данный эксперимент позволяет проверить возможность распознавать внедрение модуля rootkit, реализованного в виде драйвера ядра и использующего модификацию таблицы дескрипторов системных сервисов для скрытия своего присутствия. Для выполнения эксперимента использовался специально разработанный для этой цели программный модуль, что гарантировало невозможность его распознавания системами антивирусной защиты. Графики зависимостей уровней угроз и риска от времени показаны на рис. 3.

Рисунок 3 - Изменение уровней угроз и риска в ИС

На первом шаге эксперимента выполнялась загрузка программой-носителем шпионского модуля (такты 2-7). На графике наблюдается резкое увеличение уровня угрозы 01, т.к. ручная загрузка драйверов ядра не является регулярным действием пользователя и не соответствует его профилю поведения. Модель также регистрирует наличие подозрительной активности модуля БЗ, связанной с использованием функций 8СМ программой - носителем. Высокий уровень угрозы, регистрируемый сенсорами Б1 и ОЗ, приводит к повышению величины риска функционирования системы, который, однако, не превышает величины порогового значения регистрации атаки, т.к. подобная ситуация, вообще говоря, является штатной.

На втором шаге эксперимента выполнялось изменение значений нескольких векторов таблицы БЯБТ по команде программы-носителя (такты 14-18). На графике наблюдается увеличение уровня угрозы Б1, связанное с использованием функций ГОСТЬ программой-носителем (прямая коммуникация с

драйверами ядра также не входит в текущий шаблон поведения). Также наблюдается резкое увеличение уровня угрозы D3, вызванное тем, что сенсор обнаружил в таблице дескрипторов указатели на модули, принадлежащие адресному пространству шпионского драйвера, что является крайне нетипичным поведением для системных модулей. Наблюдается также повышение уровня угрозы D2 получаемого на основе анализа потока инструкций загруженных модулей. Эти события приводят к увеличению уровня риска и регистрации атаки на 17-м такте.

На третьем шаге эксперимента измененялось возвращаемое значения системной функции ZwQuerySystemlnformation для того, чтобы скрыть процесс программы-носителя (такты 20-27). Вновь наблюдается увеличение уровня угрозы D1, связанное с коммуникацией программы-носителя с драйвером. Повышение уровня угрозы D3 связано с тем, что сенсор обнаружил искажение результатов вызова системной функции. Уровень риска на данном шаге эксперимента превысил 0,9, и на 35-м такте атака была заблокирована путем восстановления таблицы дескрипторов, выгрузки шпионского драйвера и завершения процесса программы - носителя.

Для оценки корректности распознавания различных атак в работе выполняется оценка величины ошибок первого и второго рода, с использованием результатов проведенных экспериментов в качестве базовых эталонов при формировании тестирующих выборок. Моделирование атак осуществлялось на виртуальной машине VMware ¡Vorbtation для обеспечения нормированной среды при каждом эксперименте, использовались шпионские модули, находящиеся в открытом доступе и обладающие исходными кодами. Тестирование каждого шпионского модуля производилось по 100 раз, результаты усреднялись для исключения влияния ПО виртуализации.

Полученные в ходе эксперимента результаты объясняются двумя причинами: завышенным значением порога регистрации атак и высоким уровнем неопределенности экспертных знаний модели. В первом случае решение ищется путем внедрения в систему принятия решений гибкой системы сигнатурного анализа, что позволяет избавиться от жесткого порога активации модели. Во втором случае решение возможно за счет дополнительного обучения весов связей нечеткой когнитивной карты на сформированной обучающей выборке.

Предлагаемая модель на основе нечеткой когнитивной карты может быть представлена в виде нейронной сети, где концепты карты выполняют функции сумматоров, а нормирующая функция представляет собой функцию активации. Если воспользоваться данным представлением НКК, то возможно снизить уровень избыточной неопределенности, путем обучения НКК на заданной обучающей. Суть работы данного алгоритма сводится к уменьшению величины рассогласования между результатом моделирования и значением эталона. Для уменьшения величины ошибок первого и второго рода в диссертации использовался алгоритм обратного распространения ошибки (Back Propagation). Формирование обучающей выборки производилось на основе набора различных шпионских модулей, а также всевозможных системных

утилит, активно использующих работу с системным реестром, службами операционной системы и позволяющих модернизировать внутренние объекты ядра операционной системы (regmon, _/?1етоп, gf¡ags и т.п.).

Таблица 2 Величины ошибок 1-го и 2-го рода после обучения

Тип атаки Количество модулей Ошибка 1-го рода Ошибка 2-го рода Описание

1 25 0 0 SSDT rootkit

2 16 0 0,063 Системная утилита

3 10 0 0 КОМ rootkit

4 30 0,067 0 DU injection

5 26 0,038 0 Модификация IAT

6 8 0 0 Keylogger

После обучения НКК было произведено повторное имитационное моделирование и, вычислены значения ошибок первого и второго рода. Результаты численного эксперимента представлены в таблице 2.

Результаты, представленные в таблице 2, демонстрируют эффективность предложенных алгоритмов обучения НКК для устранения неопределенности базы экспертных знаний, лежащих в основе построения НКК. Использование данных методов позволяет существенно повысить точность распознавания атак компонентами системы обнаружения атак, дополнительно снижая величину риска функционирования ИС. Существенным недостатком данной методики является невозможность ее использования для «калибрования» базы нечетких правил, лежащей в основе методики вычисления степени взаимного влияния концептов.

В четвертой главе рассмотрена задача реализации исследовательского прототипа системы обнаружения атак. В силу гетерогенности структуры и свойств объектов ЛВС, охват ИС разнородным ПО сбора данных и формирование единого потока информации для анализа вредоносной активности может потребовать ресурсы, сопоставимые или даже превосходящие затраты на организацию ИС в целом, поэтому целесообразно распределить вычислительную нагрузку между сетью агентов-сенсоров и иерархическим деревом агентов принятия решений. В основе предложенной в работе архитектуры системы обнаружения атак лежит наделение каждого агента базовой функциональностью системы в целом, т.е. способностью к анализу и принятию решений в рамках жестко поставленной задачи (анализ сетевого трафика хоста, анализ активности системных процессов и т.п.). Таким образом, каж-

дый сенсор системы обнаружения атак представляет собой систему обнаружения атак в миниатюре, способную к автономному функционированию при потере связи с модулями принятия решений более высоких уровней.

Модули, входящие в COA, можно разбить по функциональному назначению на два основных класса:

1) базовые модули системы;

2) модули системы обнаружения атак (COA).

Базовые модули обеспечивают интеграцию и взаимодействие компонент системы друг с другом, позволяют изменять конфигурацию системы обнаружения атак и взаимодействовать с ПО блокирования вторжений. Модули COA позволяют отслеживать и блокировать атаки в реальном времени. В основе функционирования данной подсистемы лежит метод анализа сигнатур активности.

Центральным компонентом системы, объединяющим все остальные модули в единое целое, является глобальная база знаний (ГБЗ), содержащая информацию о всех известных системе видах атак, методах противодействия вторжениям, архив событий системы, а также конфигурацию всех компонентов системы обнаружения атак. Для обеспечения требуемого уровня надежности и отказоустойчивости, в качестве ГБЗ возможно использование современной клиент-серверной реляционной СУБД, обладающей возможностями кластеризации и прозрачной репликации данных.

Основным инструментом настройки и управления системы обнаружения атак является консоль администратора, представляющая собой комплекс программных средств, обеспечивающий настройку модулей системы, вывод информации об обнаруженных атаках и предоставляющий возможность классификации администратором активности, не распознанной модулями системы обнаружения атак. Подключение консоли администратора к ГБЗ осуществляется через унифицированный интерфейс ISysManage, реализуемый каждым компонентом системы. Данный подход позволяет осуществлять настройку отдельных компонент системы на более низком уровне, что позволяет разделять задачи администрирования COA между несколькими пользователями ИС.

Сенсоры системы обнаружения атак образуют нижний уровень сети сбора и анализа данных. После обработки сенсором, информация поступает в модули анализа и принятия решений более высоких уровней через универсальный интерфейс «Анализатор - Ре шатель». Данный подход позволяет строить иерархическое дерево из модулей анализа и сенсоров, причем для каждого узла дерева нижележащее поддерево будет представляться как единый сенсор.

Модуль реакции представляет собой промежуточный интерфейс между системы обнаружения атак и средствами блокирования вторжений сторонних производителей. Данный компонент обеспечивает интеграцию системы обнаружения атак в общую систему защиты ИС и позволяет ей гибко изменять политику безопасности в зависимости от внешних условий.

Каждый сенсор представляет собой набор блоков сбора данных (S/...S,,), блоков первичной реакции (Ri...R„), а также содержит блок первичного анализа данных. Данный модуль осуществляет первичный анализ потока данных активности объектов КИС и формирует на его основе совокупность первичных сигнатур. Совокупность первичных сигнатур содержит описание активности, отмеченной сенсором, и полный перечень операций, выполненных субъектом активности (последовательность вызова системных функций, цепочки пакетов TCP/IP и т.п.).

В случае если определенная активность классифицируется сенсором как атака, осуществляется формирование вторичной сигнатуры, представляющей собой формализованное описание атаки. Данная сигнатура поступает на вход модуля анализа данных, который формирует целостную картину распространения атаки в информационной системе. Архитектура разрабатываемой системы обнаружения атак позволяет организовывать модули анализа в виде иерархического дерева, формируя тем самым несколько каскадов обработки информации, что позволяет гибко масштабировать систему обнаружения атак в зависимости от размеров и структурной организации ИС. Помимо формирования вторичной сигнатуры, сенсор осуществляет поиск в локальной базе прецедентов информации о методах блокирования обнаруженной атаки.

Если данная информация присутствует, блок первичного анализа осуществляет активацию соответствующего блока первичной реакции и, по изменению данных с блоков сбора информации, определяет степень эффективности подавления атаки. В случае, если методы локального подавления оказываются неэффективными либо локальная база не содержит информации о методах блокирования данной атаки, инициируется запрос глобального модуля принятия решений, который может выполнить дополнительную настройку систем защиты предприятия, блокировать источник атаки либо выдать запрос в консоль администратора.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработан комплекс системных моделей системы обнаружения атак на информационную систему на основе построения онтологии предметной области и использования SADT-методологии, которые позволили вы явить основные процессы, лежащие в основе функционирования системы обнаружения атак, выявить ее составные компоненты, их взаимосвязи и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС.

2. Предложена архитектура и алгоритмы интеллектуальной системы обнаружения атак, основанной на основе построения динамической модели ИС с использованием нечетких когнитивных карт, что позволяет повысить эффективность системы обнаружения атак за счет прогнозирования и управления рисками ИС в режиме реального времени.

3. Предложен алгоритм обучения нечеткой когнитивной карты на наборе эталонных сценариев с использованием алгоритма обратного распростране-

ния ошибки, что позволяет уменьшить неоднозначность экспертных данных и существенно сократить число ошибок распознавания атак первого и второго рода.

4. Разработан исследовательский прототип системы обнаружения атак на основе нечетких когнитивных карт, реализующий предложенные алгоритмы обнаружения атак на основе моделирования рисков ИС в режиме реального времени.

5. Тестирование разработанного прототипа системы обнаружения атак подтвердило высокую эффективность используемого подхода при обнаружении атак на компоненты ИС. В частности, в проведенных экспериментах разработанный прототип системы обнаружения атак позволяет распознать и блокировать до 97 % атак на защищаемые компоненты ИС, при этом ошибка второго рода не превышает 6 %.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых журналах из списка ВАК

1. Комплексный подход к построению интеллектуальной системы обнаружения атак / Васильев В. И., Свечников Л. А., Кашаев Т. Р. // Системы управления и информационные технологии, Воронеж, №2,2007. - С. 76-82.

В других изданиях

2. Проблема построения защищенных Internet-серверов / Свечников Л.А., Кашаев Т.Р. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. - С. 9.

3. Использование AD для разработки защищенных приложений / Свечников Л.А., Кашаев Т.Р., Кустов Г.А. // Интеллектуальные системы управления и обработки информации: Материалы Всероссийской молодежной науч.-технич. конференции. Уфа: УГАТУ, 2003. -С. 21.

4. Структура интеллектуальной распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., Калабухов М.С. // Компьютерные науки и информационные технологии: Труды 7-й Международной конференции (CSIT'2005), Т. 2, Уфа: Изд-во УГАТУ, 2005. - С. 200-206 (на англ. языке).

5. Архитектура распределенной системы обнаружения атак / Васильев В.И., Свечников Л.А., // Информационная безопасность: Материалы 8-й международной научно-практической конференции. Часть 1 - Таганрог: Изд-во ТРТУ, 2006. - С. 180-184.

6. Архитектура распределенной системы обнаружения атак

/ Свечников Л.А. // Компьютерные науки и информационные технологии: Труды 8-й Международной конференции (CSIT'2006), г. Карлсруэ, Германия, Уфа: Изд-во УГАТУ, 2006. - Том 2, С. 177-179 (на англ. языке).

7. Подход к реализации нейросетевого сенсора интеллектуальной системы обнаружения атак / Васильев В.И., Свечников JI.A. // Вычислительная техника и новые информационные технологии. Межвузовский научный сборник, Уфа: Изд-во УГАТУ,2006. №6 - С. 161-166.

8. Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях/ Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство «Технология», 2007 -Том 1, С. 175-178.

9. Подход к моделированию атак на автоматизированную информационную систему / Свечников JI.A. // Интеллектуальные системы обработки информации и управления: Сборник статей 2-й региональной зимней школы-семинара аспирантов и молодых ученых, г. Уфа: Издательство «Технология», 2010.-Том 1,С. 178-183.

10. Васильев В.И., Свечников JI.A. Свид. об офиц. per. программы для ЭВМ №2008611106. Модуль обнаружения, анализа и подавления атак. М.: Роспатент, 2008. Зарег. 29.08.2008.

Диссертант

Свечников JI.A.

СВЕЧНИКОВ Лаврентий Александрович

ИНТЕЛЛЕКТУАЛЬНАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА ОСНОВЕ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ НЕЧЕТКИХ КОГНИТИВНЫХ КАРТ

Специальность 05.13.19 -Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 13.05.2010. Формат 60x84 1/16. Бумага офсетная. Печать плоская. Гарнитура Times New Roman Cyr. Усл. печ. л. 1,0. Усл. кр.-отг. 1,0. Уч.-изд. л. 0,9. Тираж 100 экз. Заказ № 224.

ГОУ ВПО Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа-центр, ул. К. Маркса, 12

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ В ОБЛАСТИ ПОСТРОЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК НА ИС.

1.1 Информационная система как объект защиты. Проблемы информационной безопасности.

1.1.1 Определение базовых понятий в области информационной безопасности.

1.1.2 Оценка уровня безопасности информационных ресурсов.

1.1.3 Виды угроз, подходы к их классификации.

1.1.4 Классификация атак на ИС.

1.2 Анализ возможных подходов к моделированию ИС.

1.2.1 Методология 8АЭТ.

1.2.2 Методы теории систем.

1.2.3 Марковские модели.

1.2.4 Нечеткая логика.

1.2.5 Сети Петри.

1.2.6 Нечеткие когнитивные карты.

1.2.7 Сопоставление подходов к моделированию ИС.

1.3 Методы противодействия атакам на информационные системы.

1.4 Системы обнаружения атак.^.

1.4.1 Общие сведения.

1.4.2 Оценка функциональных возможностей.

1.4.3 Оценка интеллектуальности системы.

1.4.4 Существующие системы обнаружения атак.

1.4.5 Анализ существующих систем обнаружения атак.

1.4.6 Перспективные разработки в области СОА.

1.5 Выводы по первой главе. Цели и задачи исследования.

ГЛАВА 2. МОДЕЛИ ФУНКЦИОНИРОВАНИЯ ИС.

2.1 Разработка онтологической модели ИС.

2.2. Разработка функциональной модели ИС.

2.3 Разработка динамической модели ИС.

2.4 Разработка модели атак на ИС.

2.4 Вычисление риска функционирования ИС.

2.5. Выводы по второй главе.

ГЛАВА 3. ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ ИС.

3.1 Описание процедуры моделирования.

3.2 Оценка рисков функционирования ИС.

3.2.1 Внедрение rootkit ядра SSDT.

3.2.2 Использование утилиты regmon.

3.2.3 Внедрение rootkit ядра КОМ.

3.2.4 Использование dll injection.

3.2.5 Модификация IAT.

3.2.6 Использование keylogger ядра.

3.3 Оценка величин ошибок.

3.4 Обучение модели ИС.

3.5 Выводы по третьей главе.

ГЛАВА 4. РЕАЛИЗАЦИЯ ИССЛЕДОВАТЕЛЬСКОГО ПРОТОТИПА ИНТЕЛЛЕКТУАЛЬНОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК И ОЦЕНКА ЕГО ПРАКТИЧЕСКОЙ ЭФФЕКТИВНОСТИ.

4.1 Описание архитектуры системы.

4.1.1 Описание архитектуры сенсора.

4.1.2 Описание реализации интеллектуального сенсора.

4.2 Описание компонентов СОА.

4.2.1 Реализация драйвера защиты.

4.2.2 Технология защиты от отладки.

4.2.3 Сбор статистики вызовов системных сервисов.

4.2.4 Сигнатура атак.

4.2.5 Сигнатура ответных действий.

4.2.6 Структура центральной базы данных.

4.2.7 Таблицы конфигурации локального сенсора СОА.

4.2.8 Консоль администратора.

4.2.9 Редактор моделей.

4.3 Выводы по четвертой главе.

Актуальность темы

В связи с увеличением объемов информации, циркулирующих в локальных вычислительных сетях (ЛВС) и расширением спектра задач, решаемых с помощью информационных систем (ИС), возникает проблема, связанная с ростом числа угроз и повышением уязвимости информационных ресурсов [25]. Это обусловлено действием многих факторов, таких как:

• расширение спектра задач, решаемых ИС;

• повышение сложности алгоритмов обработки информации;

• увеличение объемов обрабатываемой информации;

• усложнение программных и аппаратных компонентов ЛВС, и соответственно - повышение вероятности наличия ошибок и уязвимостей;

• повышение агрессивности внешних источников данных (глобальных сетей);

• появление новых видов угроз.

Необходимо учитывать, что конкурентоспособность предприятий, размер получаемого ими дохода, их положение на рынке существенно зависят от корректности функционирования их информационной инфраструктуры, целостности основных информационных ресурсов, защищенности конфиденциальной информации от несанкционированного доступа. Исходя из этого, возрастают требования к системам защиты ЛВС, которые должны обеспечивать не только пассивное блокирование несанкционированного доступа к внутренним ресурсам сети предприятия из внешних сетей, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности и, по мере возможности, -устранять их в автоматическом режиме.

Одним из основных качеств системы защиты информации ЛВС предприятия, удовлетворяющей перечисленным требованиям, является ее адаптивность, т.е. способность анализировать информацию, генерировать на ее основе знания и автоматически изменять конфигурацию системы для блокирования обнаруженных угроз информационной безопасности [6,36,37].

Анализ существующих подходов к реализации систем обнаружения атак показывает, что большинство программных продуктов, присутствующих в настоящее время на рынке, ориентируется на использование формальных описаний системной активности (сигнатур) [51,92,112]. Функции обнаружения и регистрации новых видов атак возлагаются в подобных системах на разработчика, выпускающего новые сигнатуры. Данный метод защиты является ненадежным, т.к. он ставит защищенность ИС в зависимость от действий внешнего неконтролируемого источника.

Несмотря на то, что разработка адаптивных систем защиты информации ведется уже достаточно длительное время, ни одно подобное решение не получило широкого распространения в силу сложности и малоэффективное™ используемых алгоритмов, отсутствия в большинстве случаев адекватных инструментов их развертывания и администрирования, а также -пользовательской документации.

Анализ работ, ведущихся в данной области, показывает, что данная проблема требует дальнейшего изучения как с точки зрения построения адекватных математических моделей предметной области, так и реализации эффективных алгоритмов обнаружения атак и принятия решений, что подтверждает актуальность исследований в данной предметной области.

Цель работы

Повышение эффективности обнаружения атак на ИС на основе оперативной оценки риска функционирования ИС с использованием динамических моделей на основе нечетких когнитивных карт.

Задачи исследования

Для достижения поставленной цели в работе были поставлены и решены следующие задачи:

1. Разработка системных моделей функционирования системы обнаружения атак с использованием 8АОТ-методологии.

2. Синтез архитектуры COA и алгоритмов принятия решений на основе динамической модели оценки рисков с использованием нечетких когнитивных карт.

3. Разработка алгоритма обучения нечеткой когнитивной карты на наборе эталонных сценариев.

4. Разработка исследовательского прототипа интеллектуальной системы обнаружения агак.

5. Анализ эффективности функционирования разработанной интеллектуальной системы обнаружения атак методом имитационного моделирования.

Методы исследования

В процессе исследования использовались методы системного анализа, теории вероятности, нечеткой логики, теории Марковских цепей, теории ветвящихся процессов, нечетких когнитивных карт, теории нейронных сетей, методы распознавания образов, математической статистики и информатики. Моделирование осуществлялось с использованием системного и прикладного программного обеспечения, разработанного автором.

Результаты, выносимые на защиту

1. Системные модели COA на основе SADT-методологии.

2. Архитектура COA, алгоритмы принятия решений на основе динамического моделирования с использованием нечетких когнитивных карт.

3. Алгоритм обучения нечеткой когнитивной карты на наборе эталонных сценариев.

4. Программная реализация исследовательского прототипа интеллектуальной системы обнаружения атак.

5. Результаты оценки эффективности функционирования интеллектуальной системы обнаружения атак.

Научная новизна диссертационной работы заключается в следующем:

1. Разработан комплекс системных моделей функционирования COA на основе IDEF-технологий, который позволяет выявить основные источники угроз, уязвимости и защищаемые ресурсы, формулировать требования к архитектуре COA.

2. Предложены архитектура COA и алгоритмы системы принятия решений, основанные на использовании динамических моделей информационной системы на базе нечетких когнитивных карт, что в отличие от существующих подходов, позволяет обнаруживать неизвестные атаки, а также расширить сферу защищаемых ресурсов ИС.

3. Предложен алгоритм обучения нечеткой когнитивной карты на наборе эталонных данных, основанный на алгоритме обратного распространения ошибки, позволяющий существенно повысить точность распознавания и блокирования атак.

Практическая ценность

Практическая ценность данной работы заключается в следующем:

1. Предложенная математическая модель и методы оценки риска функционирования ИС могут использоваться на ранних этапах разработки систем защиты информации для оценки их эффективности.

2. Разработанные алгоритмы генерации и представления знаний позволяют повысить эффективность систем защиты ИС.

3. Использование предложенной архитектуры интеллектуального модуля принятия решений позволяет увеличить эффективность систем обнаружения атак и снизить величину риска функционирования ИС.

Апробация работы

Результаты работы опубликованы в 10 печатных трудах, в том числе в 1 статье в издании из перечня ВАК и 6 материалах конференций. Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих конференциях:

- VII и VIII международной научной конференции «Компьютерные, науки и информационные технологии» (CSIT), (г. Уфа, 2005, г. Карслсруэ, Германия, 2006);

- Международной молодежной научно - технической конференции "Интеллектуальные системы обработки информации и управления", (г. Уфа 2003);

VIII Международной научно-практической конференции "Информационная безопасность", (г. Таганрог, 2006);

- Региональной зимней школе - семинаре аспирантов и молодых ученых "Интеллектуальные системы обработки информации и управления", (г. Уфа, 2007);

VII Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2007», (г. Томск, 2007).

Разработанный программный комплекс, реализующий интеллектуальную систему обнаружения атак, внедрен в проектном институте «РН-УфаНИПИНефть».

Результаты работы также внедрены в учебный процесс Уфимского государственного авиационного технического университета и используются на кафедре «Вычислительная техника и защита информации» при проведении лабораторных работ, выполнении курсовых и дипломных проектов для студентов специальности 090104.

Структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 135 страниц машинописного текста, включая 31 рисунок и 27 таблиц. Список литературы содержит 114 наименований.

Основные результаты и выводы можно сформулировать следующим образом:

1. Анализ систем обнаружения атак, представленных в настоящее время на рынке, показал, что они обладают низкой эффективностью (высокие значения ошибок I и II рода) при обнаружении атак, неизвестных системе. Попытки решения данной проблемы с использованием систем на основе искусственного интеллекта обладают низкой универсальностью и пока не получили широкого распространения.

2. Разработан комплекс системных моделей системы обнаружения атак на информационную систему с применением SADT методологии, позволивших выявить основные процессы, лежащие в се основе ее функционирования, выявить ее составные компоненты, их взаимосвязи и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС.

3. Предложена архитектура и алгоритмы интеллектуальной системы обнаружения атак, основанный на использовании нейро-нечетких когнитивных карт, что позволяет повысить эффективность системы обнаружения атак за счет прогнозирования и управления рисками информационной системы.

4. Для повышения уменьшения неоднозначности экспертных данных, был предложен алгоритм обучения нечеткой когнитивной карты на наборе эталонных сценариев, путем использования алгоритма Back Propagation.

5. Разработан исследовательский прототип системы обнаружения атак на основе нейронечетких когнитивных карт. Тестирование данного прототипа доказало высокую эффективность используемого подхода при обнаружении атак на компоненты ИС. В частности, разработанный прототип позволяет распознать и подавить 91,3 % атак на защищаемый компонент ИС, при этом ошибка второго рода не превышает 18,8%. После обучения модели на наборе эталонных сценариев атак, величина ошибки второго рода снизилась до 6%.

6. Адекватность разработанной динамической модели была подтверждена путем имитационного моделирования атак на ИС с использованием данных с сенсоров СОА в режиме реального времени.

ЗАКЛЮЧЕНИЕ

В диссертационной работе поставлена и решена задача повышения эффективности обнаружения атак на информационную систему путем динамической оценки рисков ее функционирования с использованием динамических моделей на основе нечетких когнитивных карт.

1. Абраменко B.C. Метод контроля безопасности выполнения прикладных программ. // Информационные технологии, 2005, №4,- С. 33-38.

2. Аграновский A.B. Статистические методы обнаружения аномального поведения в COA. // Информационные технологии, 2005, №1. С. 61-64.

3. Аксенов А.Ю. Обнаружение и распознование образов на изображениях с использованием исскуствснных нейросстей. // Всероссийская научно -техническая конференция «Нейроинформатика 99». Сборник научных трудов. Часть 3. М.: МИФИ, 1999, - С. 131 - 137.

4. Анализ защищенности: сетевой или системный уровень? Руководство по выбору технологии анализа защищенности. Пер.с англ. Лукацкого A.B., Цаплева Ю.Ю. Inlernet Security Systems, 1999. С 22-24.

5. Андрейчиков A.B. Интеллектуальные информационные системы. — М.: Финансы и статистика, 2004. С 85 - 94.

6. Анисимов B.B. Элементы теории массового обслуживания и асимптотического анализа систем. К.: Вища шк. Головное изд-во, 1987. - С 118-122.

7. Асанов С. М. Вопросы построения защищенных КС с многоуровневым доступом. // Защита информации. Конфидент . 2003. - №4, - С. 38-42.

8. Бабенко JI.K., Макаревич О.Б., Пескова О.Ю. Разработка комплексной системы обнаружения атак. // Материалы V международной научно -практической конференции «Информационная безопасность», г. Таганрог, №4(33), 2003, С. 235 - 239.

9. Баева Е.П. Имитационное моделирование информационных систем. // Автоматика, связь, информатика. 1999, №11, С.117-118.

10. Бакусов, JI. М. Математические модели информационных процессов и управления в АСУ: Учеб. пособие. Уфа: У ЛИ, 1991. - С 32- 33.

11. Борисов В. В. Нечеткие модели и сети. М.: Горячая линия - Телеком, 2007, - С 75-78.

12. Браверман Э.М. Структурные методы обработки эмпирических данных. -М.: Наука, 1983. С 129 - 133.

13. Васильев В.В. Сети Петри, параллельные алгоритмы и модели мультипроцессорных систем. Киев: Наук, думка, 1990, - С 184 - 188.

14. Васильев В.И., Катаев Т.Р. Применение нечетких сетей Петри для анализа безопасности локальной вычислительной сети. // Вычислительная техника и новые информационные технологии. Уфа: Изд-во У Г АТУ, 2007,- С.166-170.

15. Васильев В.И., Катаев Т.Р., Свечников JI.A. Комплексный подход к построению интеллектуальной системы обнаружения атак. // Системы управления и информационные технологии. Воронеж: Научная книга, 2007,- №2, С. 76-82.

16. Васильев В.И., Кудрявцева Р.Т., Савина И.А., Шарипова И.И. Построение нечетких когнитивных карт для анализа и управления информационными рисками ВУЗа. // Вестник УГАТУ. Уфа:Изд-во УГАТУ, 2007, №2(27), С. 199-209.

17. Васильев В.И., Свечников JI.A. Подход к реализации нейросетевого сенсора интеллектуальной системы обнаружения атак. // Вычислительная техника и новые информационные технологии. Уфа: Изд-во УГАТУ, 2007, -С.161-166.

18. Вихорев C.B. Классификация угроз информационной безопасности. http://www.cnews.ru/reviews/free/oldcom/security/elvisclass.shtml.

19. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М. : Техносфера, 2003 С 76 - 81.

20. Герасименко В.Г. Проблемы обеспечения информационной безопасности при использовании открытых информационных технологий в системах критических приложений. // Информация и безопасность: Регион, науч-техн. вестник. Воронеж: ВГТУ, 1999. Вып 4., С. 66-67.

21. Городецкий А.Я. Информационные системы. Вероятностные модели и статистические решения. Учеб.пособие. СПб: Изд-во СПбГПУ, 2003. -С 89 -92.

22. ГОСТ 50.922-96. Стандартизованные термины и определения в области защиты информации.

23. ГОСТ Р 50992-96 Защита информации. Основные требования и определения.

24. ГОСТ Р 50992-96. Защита информации. Основные термины и определения.

25. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

26. Девис Д., Барбер Д., Прайс У., Соломонидес С. Вычислительные сети и сетевые протоколы: Пер с англ. М.: Мир, 1981. - С 530 - 537.

27. Джонс М.Т. Программирование искусственного интеллекта в приложениях. / Пер. с англ. Осипов А.И. М.: ДМК Пресс, 2006 - С 135 -142.

28. Долгов А.И., Трубников A.II. Оценка уровня безопасности программных средств. // Вопросы защиты информации. 2000, Вып. 1(48).

29. Гршов М.А., Кузнецов Н.А. Теоретические основы построения цифровой сети с интеграцией служб. М.:ИППИ РАН, 1995 - С 82 - 86.

30. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие. М.: Логос, 2001, - С 57 - 61.

31. Зегжда П.Д. Теория и практика обеспечения информационной безопасности. М.: Яхтсмен, 1996, - С 92 - 95.

32. Ивахненко А.Г. Моделирование сложных систем по экспериментальным данным. М.: Радио и связь, 1987, - С 71 - 73.

33. Искусственный интеллект. Модели и методы: Справочник / Под ред. Поспелова Д.А. М.: Радио и связь, 1990. -С 33-34.

34. Катаев Т.Р. Кустов Г.А. Свечников JI.A. Использование Active Directory для создания защищенных приложений. // Интеллектуальные системы обработки и управления информацией. Уфа: Изд-во УГАТУ, 2003, с. 21.

35. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. -М.: Горячая линия-Телеком, 2002. С 33 - 38.

36. Козлов В.Н., Куприянов В.Е., Шашихин В.Н. Вычислительная математика и теория управления. Под ред. Козлова В.Н. СПб.: Изд-во СПбГТУ, 1996.-С 97- 105.

37. Колесников П.А. Основы теории системного подхода. К.: Наукова думка, 1981.-С 412-417.

38. Колисниченко Д.Н. Rootkits под Windows. СПб.: Наука и Техника, 2006. -С 311 -313.

39. Колчин В.Ф. Случайные графы. М.: ФИЗМАТЛИТ, 2004. - С 264 - 268.

40. Конеев И.Р. Информационная безопасность предприятия. СПб.: БХВ-Петербург, 2003. - С 631- 639.

41. Костров Д. Системы обнаружения атак // BYTE. 2002.

42. Круглов В.В., Дли М.И., Голунов Р.Ю. Нечеткая логика и искусственные нейронные сети: Учеб. пособие. — М.: Издательство физико-математической литературы. 2001 С 33 - 37.

43. Кудрявцева Р.Т. Управление информационными рисками с использованием технологии когнитивного моделирования (на примере ВУЗа).

44. Куликов Г.Г. Системное проектирование автоматизированных информационных систем : Учеб.пособие Уфа: Изд-во УГА ГУ, 1999, - С 61 -63.

45. Лазарев В.Г. Интеллектуальные цифровые сети. М.: Финансы и статистика, 1996. - С 74 - 76.

46. Ломазова И.А. Вложенные сети Петри: моделирование и анализ распределенных систем с объектной структурой. — М.: Научный мир, 2004. — С 188- 191.

47. Лукацкий A.B. Обнаружение атак. СПб.:БХВ-Петербург, 2001. - С. 521 - 523.

48. Майн X., Осаки С. Марковские процессы принятия решений. М.: Наука, 1997,-С 83 -88.

49. Махинов Д.В., Рогозин Е.А. Комплексная оценка угроз качеству функционирования эргатических информационно-управляющих систем. // Телекоммуникации 2002. №2, С. 33-40.

50. Мельников В. П. Информационная безопасность и защита информации. / под ред. С. А. Клейменова. М.: Академия, 2006. - С. 46 - 49.

51. Методы робастного, нейро-нечеткого и адаптивного управления : учебник / Под ред. Ягупова Н. Д. М.: Изд-во МГТУ им. Баумана, 2001, - С. 91 -95.

52. Милославская, Н.Г. Интрасети: обнаружение вторжений : Учеб.пособие для вузов. М.: ЮНИТИ, 2001 . - С. 542 - 544.1 <

53. Непомнящих A.B. Методика оценивания функциональных возможностей систем обнаружения вторжений. // Информационные технологии №1 2006,-С. 31-36.

54. Новак В. Математические принципы нечеткой логики / Пер. с англ. под ред. А. Н. Аверкина. М.: Физматли г, 2006. - С 221 - 225.

55. Нумеллин Е. Общие неприводные цепи Маркова и неотрицательные операторы. М.: Мир. - 1989. - С. 94 - 99.

56. Осовецкий Л.Г. К вопросу иммунологии сложных информационных систем // Известия ВУЗов, Приборостроение. Т 46, №7, 2003, С. 45-49.

57. Осовский С. Нейронные сети для обработки информации / Пер. с польского Рудинского И.Д. М.: Финансы и статистика, 2004. - С. 56 - 58.

58. Паулаускас Н., Гаршва Э. Классификация атак компьютерных систем // Электроника и электротехника. Каунас: Технология, 2006. - № 2(66), - С. 84-87.

59. Перегудов Ф.И. Введение в системный анализ. М.: Высшая школа, 1989, - С. 172 - 175.

60. Питерсон Дж. Теория сетей Петри и моделирование систем; Пер. М. В. Горбатовой; под ред. В. А. Горбатова. М.: Мир, 1984. - С. 321 - 325.

61. Прохоров А. Рынок ИТ-безопасности: структура, объемы, перспективы роста // КомпьютерПресс. 2005. - №4, - С. 8-16.

62. Ревюз Д. Цепи Маркова. / Пер. с англ. Малиновский В. К. М.: РФФИ, 1997, - С. 69-72.

63. Росенко А.П., Евстафиади С.П., Феник Е.В. Структура нейросетевой динамической экспертной системы защиты информации // Материалы V международной научно практической конференции «Информационная безопасность», г. Таганрог, № 4(33), 2003, - С.86 - 89.

64. Ротач В. Я. Системы управления технологическими процессами с моделью состояния объекта // Теплоэнергетика. 2005. - №10, - С. 42-47.

65. Рутковская Д. Нейронные сети, генетические алгоритмы и нечеткие системы. М.: Горячая линия - Телеком, 2004., - С. 77-79.

66. Свечников Л.А. Архитектура распределенной системы обнаружения атак. // Материалы 8й научно-практической конференции «Информационная безопасность 2006». Таганрог: Изд. ТРТУ, 2006, С. 180-184.

67. Свечников Л.А. Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях. Интеллектуальные системы обработки и управления информацией. Уфа: Изд-во УГАТУ, 2008, - С. 175178.

68. Севастьянов Б.А. Ветвящиеся процессы. М.: Наука, 1971. - С. 389-391.

69. Сердюк В.А. Перспективы развития новых технологий обнаружения информационных атак. // Системы безопасности связи и телекоммуникаций, №5, 2002, С. 78-82.

70. Смуров В.А. Оценка интеллектуальности систем. // Нейрокомпьютеры. Разработка, применение. №8-9 2006, С. 98-104.

71. Советов, Б.Я. Моделирование систем: Учебник для вузов. М.: Высш.школа, 2001. - С. 331 - 339.

72. Соколов А.В. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК Пресс, 2002. - С. 612 - 614.

73. Солдатов В.П. Программирование драйверов Windows. M.: ООО «Бином-Пресс», 2004 г. - С. 301 - 305.

74. Соломон Д., Руссинович М. Внутреннее устройство Microsoft Windows 2000. Мастер-класс. / Пер. с англ. СПб.: Питер. 2001. - С. 692 - 694.

75. Сумин В.И., Рогозин Е.А., Дубровин А.С. Использование полумарковской модели программной системы защиты информации для анализа ее защищенности. // Телекоммуникации 2001. №11, С. 39-41

76. Усков А.А. Интеллектуальные технологии управления. Искусственные нейронные сети и нечеткая логика. М: Наука, 1999, С. 128 - 133.

77. Федеральный Закон РФ N 24-ФЗ от 20.02.95 Об информации, информатизации и защите информации.

78. Царегородцев А.В. Теоретические основы построения платформ безопасности распределенных управляющих систем. // Автоматизация и современные технологии 2003.

79. Шахов В.Г., Филлипов С.В. Теоретические направления иелледования информационной безопасности. // Информационные технологии №10 2006, -С. 26-32.

80. Шлеер С. Объектно-ориентированный анализ: моделирование мира в состояниях. К.: Диалектика, 1993, - С. 72 - 74.

81. Шрайбер С. Недокументированные возможности Windows 2000. СПб.: Питер, 2002,-С. 447-451.

82. Шрейдер Ю.А. Системы и модели. М.: Радио и связь, 1982, - С. 21 - 23.

83. Amoroso G. Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

84. Balid P. Bio informatics: The Machine Learning Approach. Cambridge, Mass.: MIT Press, 1998.

85. Bradshaw J. Software Agents. AAAI Press / MIT Press, 1997.

86. Chakka R., Harrison P. G. F Markov modulated multi-server queue with negative customers // Acta Informática. 2001. V. 37.

87. Chen D., Jain C. A robust back propagation learning algorithm for function approximation // IEEE Trans. Neural Networks, 1994. Vol. 5. - Pp. 467-479.

88. Crosbie M., Spafford E. Defending a computer system using autonomous agents // Technical Report 95-022, COAST Laboratory, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, March 1994.

89. Denning D. An Intrusion Detection Model // IEEE Transaction on Software Enginering, 1987, №2, vol. 13, p. 222-232.

90. Denoeux J., Lengalle R. Initializing back propagation networks with prototypes // Neural Networks, 1993. Vol 6. Pp. 351-363.fy

91. Edward Yordon. Modern Structured Analysis. Prentice-I Tail 1989.

92. Garsva E. Computer system survivability modeling // Electronics and Electrical Engineering. Kaunas:Technology, 2006. - No. 1 (62). - P. 60-63

93. Ilaykin S. Neural Networks: A Comprehensive Foundation. N.Y.: MacMillan College Publishing Co., 1994.

94. Jang J.S., Sun C.T., Mizutani E. Neuro-fuzzy and soft computing. N.Y.: Prentice Hall, 1997.

95. Jantzen J. Tutorial to Fuzzy Logic // Technical Report no 98 E 868. -University of Denmark, Department of Automation, 1998.

96. Kuncheva L. Fuzzy Classifiers Physica-Verlag, 2000.

97. Landwehr C. E., Bull A. R. A taxonomy of computer program security flaws, with examples // ACM Computing Surveys, 26(3): p. 211-254, September 1994.

98. Manikantan Ramadas. Detecting Anomalous Network Traffic with self-organizing maps.2002.

99. Sherif J.S., Dearmond T. G. Intrusion Detection Systems and Models // Proceedings of the Eleventh IEEE International Workshop on Enabling Technology Infrastructure for Collaborative Enterprises. 2000.

100. Svechnikov L. Design of Intelligent Distributed Intrusion Detection System // Proceedings of the 7th International Workshop on Computer Science and Information Technologies CSIT'2005.

101. Svechnikov L.A. Vasiliev V.I. Architecture of Distributed Intrusion Detection System // Proceedings of the 8th International Workshop on Computer Science and Information Technologies CSIT'2006.

102. Verbruggen H.B., Babuska R. Constructing fuzzy models by product space clustering // Fuzzy model identification. Berlin: Springer, 1998. - Pp. 53-90.

103. Verwoerd T., Hunt R. Intrusion detection techniques and approaches. // Computer Communications, №25, 2002.

104. Web Application Security Consortium http://www.webappsec.org

105. Winston P.H. Artificial Intelligence, 3rd ed. Addison Wesley, 1993.