автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Исследование и разработка алгоритмов распознавания вредоносных программ при противодействии несанкционированному воздействию на информационные ресурсы защищенных компьютерных сетей

На правах рукописи

КИСЕЛЕВ Вадим Вячеславович

ИССЛЕДОВАНИЕ И РАЗРАБОТКА АЛГОРИТМОВ РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ ПРИ ПРОТИВОДЕЙСТВИИ НЕСАНКЦИОНИРОВАННОМУ ВОЗДЕЙСТВИЮ НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ

Специальность: 05.13.19 -Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж 2004

Диссертация выполнена в Воронежском государственном техническом университете

Научный руководитель: доктор технических наук, профессор

Остапенко Александр Григорьевич

Официальные оппоненты: доктор технических наук, доцент

Разинкин Константин Александрович

кандидат технических наук Рог Александр Иванович

Ведущая организация: Московский инженерно-физический институт

(государственный университет)

Защита диссертации состоится «¿*>> июня 2004 г. в И часов 30 минут на заседании диссертационного совета Д 212.037.08 при Воронежском государственном техническом университете по адресу:

394026 г. Воронеж, Московский проспект, 14.

С диссертацией можно познакомиться в библиотеке Воронежского государственного технического университета.

Автореферат разослан «¿2» мая 2004 г.

Ученый секретарь

диссертационного совета Батищев Р.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Возросшие требования к оперативности информационных процессов в различных областях деятельности современного общества, а также расширение возможностей сетевого построения информационных систем и внедрение методов распределенной обработки данных за счет реализации теледоступа к вычислительным средствам привело к интегрированию систем обработки информации и систем ее обмена. Результатом такого интегрирования явилось создание компьютерных сетей. Широкое применение сетевых технологий в различных сферах общественной деятельности, в том числе в так называемых критических инфраструктурах, значительно повысило эффективность этих сфер. Несмотря на разнородность критических инфраструктур их объединяет одно очень важное обстоятельство - значительный ущерб от нарушения безопасности деятельности, в том числе и информационной, в этих сферах. Вытекающая из этого значительная ценность хранимых и обрабатываемых данных в критических инфраструктурах обусловила разработку и совершенствование методов и средств несанкционированного доступа к информации в этих системах с целью противоправного манипулирования данными.

Совершенствование средств вредоносного воздействия на информацию в компьютерных сетях привело к адекватному развитию технологий защиты информации и созданию защищенных компьютерных сетей (ЗКС).

Вместе с тем, совершенствование механизмов защиты информации в ЗКС обусловило и совершенствование методов их преодоления, что, в свою очередь привело к появлению совершенно нового источника угроз информационной безопасности ЗКС - вредоносных программ. Такие программы разрабатываются как средства преодоления защитных механизмов ЗКС с целью несанкционированного манипулирования информацией.

Следует заметить, что несанкционированное воздействие на информацию в ЗКС, в общем случае, является многоэтапным. При этом функциональный облик вредоносной программы и этап воздействия на ЗКС, в рамках которого она используется, связаны определенными закономерностями.

Это дает возможность использовать для анализа степени представляемой вредоносными программами угрозы информационным ресурсам ЗКС нестандартные подходы, в частности методы распознавания.

Работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета «Перспективные радиоэлектронные и лазерные устройства, системы передачи, приема, обработки и защиты информации», межвузовской комплексной программой 2.11 «Перспективные информационные технологии в высшей школе» и межвузовской научно-технической программой Н.Т.414 «Методы и технические средства обеспечения безопасности информации».

РОС. НАЦИОНАЛЬНАЯ БПГ.ЛЧОТСКЛ

Объект исследования. Вредоносные программы в информационной среде защищенных компьютерных сетях.

Предмет исследования. Алгоритмизация распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС

Цель диссертационной работы. Исследование и разработка алгоритмов распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.

Основные задачи. Для достижения поставленной цели в работе решены следующие задачи:.

1. Проанализированы особенности функционирования ЗКС и их элементов в условиях воздействия вредоносных программ.

2. Разработан методический подход к распознаванию вредоносных программ и оценке степени угрозы информационным ресурсам ЗКС.

3. Обоснованы варианты применения способов идентификации и анализа вредоносных программ.

4. Проведена оценка эффективности распознавания вредоносных программ.

Методы исследования. В работе использованы методы системного анализа, теории распознавания образов, математического моделирования и теории информационной безопасности.

Научная новизна. Результаты, полученные в диссертации при решении перечисленных задач, состоят в следующем:

1. Разработан новый способ анализа степени угроз информационной безопасности элементам ЗКС, основанный на использовании теории распознавания образов и обеспечивающий адекватную оценку угроз воздействия вредоносных программ на данные элементы.

2. Впервые сформулированы основные принципы распознавания угроз информационной безопасности элементам ЗКС.

3. Разработаны новые алгоритмы анализа признаков распознавания воздействия вредоносных программ на элементы ЗКС.

Практическая ценность полученных результатов.

1. Содержащиеся в диссертации методические рекомендации использованы при обосновании содержания отдельных пунктов тематической карточки и технического задания на НИР «Р-подпись» и «Методист», выполняемых в интересах Гостехкомиссии России.

2. Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при разработке ряда программных средств обеспечения информационной безопасности компьютерной сети ГУВД.

3. Разработанные в диссертации методики использованы при разработке учебных пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для курсантов Воронеж-

ского института Министерства внутренних дел Российской Федерации и Военного института радиоэлектроники Министерства обороны Российской Федерации, а также для студентов Московского государственного технического университета им. Н.Э. Баумана.

4. Результаты работы использованы при выполнении НИР «Р-подпись» и «Методист», при разработке учебных пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для системы высшего профессионального образования МВД России, а также при обеспечению информационной безопасности компьютерной сети ГУВД Воронежской области.

Результаты диссертационной работы внедрены:

в Региональном учебно-научном центре «Безопасность» при Московском государственном-техническом университете им. Н.Э. Баумана;

в Военном институте радиоэлектроники Министерства обороны Российской Федерации;

в Воронежском институте Министерства внутренних дел Российской Федерации;

в Главном управлении внутренних дел Воронежской области.

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. III Всероссийской научно-практической конференции «Охрана -99»-Воронеж, 1999 г.

2. Межвузовской научно-практической конференции Воронежской высшей школы МВД России - Воронеж, 1999 г.

3. Межвузовской научно-практической конференции «Современные проблемы противодействия преступности» - Воронеж, 2001 г.

4. Межвузовской научно-практической конференции «Методы и способы повышения эффективности радиоэлектронных средств охраны» -Воронеж, 2001 г.

5. IV Всероссийской научно-практической конференции «Охрана -2003». - Воронеж, 2003 г.

6. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2003 г.

7. XII научно-технической конференции «Системы безопасности -СБ-2003» Международного форума информатизации - Москва, 2003 г.

8. V Всероссийской конференции «Инфофорум - 5» - Москва, 2003 г.

Публикации. По теме диссертации опубликовано 20 научных работ,

в том числе два учебных пособия.

В работах, опубликованных в соавторстве, приведенных в конце автореферата, лично автором предложено: в [1] рассматривать методику оценки защищенности компьютерных систем от угроз их информационной

безопасности как процедуру формирования иерархической структуры показателей; в [2] использовать для оценки эффективности систем защиты информации от несанкционированного доступа комбинацию не более двух случайных величин; в [3] рассматривать классификацию компьютерных вирусов исходя из их вредоносности; в [4] оценку объема программного обеспечения производить на основе метрик Холстеда; в [5] при формировании показателей защищенности компьютерных сетей использовать временные характеристики средств противодействия вредоносным программам; в [6] ряд технических решений по реализации функций анализа проявления вредоносности исследуемых программ; в [8] учитывать криминалистические модели совершения компьютерных преступлений при анализе последствий воздействия угроз несанкционированного доступа к информации в компьютерных системах; в [9] анализ последствий воздействия вредоносных программ в компьютерных системах осуществлять с позиций оценки уязвимости элементов этих систем; в [10] использовать некоторые типы дизассемблеров для получения наиболее достоверных исходных кодов вредоносных программ; в [11] рассматривать используемые вредоносными программами системные функции и прерывания в качестве следооб-разующих признаков; в [12] ряд вариантов оценки соответствия анализируемых функций вредоносных программ этапам их применения; в [13] рассматривать аналитическую разведку как технический способ сбора информации; в [14] акцентировать внимание на некоторых уязвимых, с точки зрения использования вредоносными программами, функциях операционных систем; в [15] рассматривать процесс оценки угроз элементам ЗКС исходя из возможностей распознавания функций применяемых вредоносных программ; в [17] использовать в качестве первичных признаков распознавания вредоносных программ статистические характеристики средств противодействия таким программам; в [18] использовать ряд процедур антивирусного мониторинга для идентификации исследовательских функций вредоносных программ; в [20] конечное число вариантов организации несанкционированного доступа к информации в ЗКС.

Основные положения, выносимые на защиту:

1. Задачу адекватной оценки угроз информационной безопасности элементов ЗКС целесообразно ставить как задачу синтеза алгоритмов распознавания воздействий вредоносных программ на элементы ЗКС и решать с использованием разработанных в диссертации методов.

2. При обработке данных распознавания угроз информационной безопасности элементов ЗКС целесообразно использовать предложенные в диссертации способы детектирования и анализа вредоносных программ.

3. Применение разработанного в диссертации способа распознавания степени угрозы информационной безопасности элементу ЗКС позволяет обеспечить вероятность распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.

Объем и структура работы. Диссертация состоит из введения, четырех глав, изложенных на 115 страницах машинописного текста, 19 рисунков, 3 таблиц, заключения и библиографического списка использованной литературы, содержащего 117 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационного исследования, формулируются цель и задачи исследования, научная новизна, практическая ценность, положения, выносимые на защиту, а также практическая значимость и результаты внедрения.

В первой главе «Защищенные компьютерные сети как объект вредоносных воздействий» приводится анализ особенностей построения компьютерных сетей и реализации механизмов защиты в них, дается характеристика вредоносных программ как инструмента несанкционированного воздействия на информацию в ЗКС, сформулированы требования к алгоритмам распознавания вредоносных программ в ЗКС, обосновывается показатель возможностей оценки угроз информационной безопасности элементам ЗКС, а также приводится содержательная и формализованная постановка задачи исследования.

Защищенная компьютерная система - это система, в которой реализован комплекс средств защиты.

В основу проектирования вредоносных программ, как инструмента противоправных действий в защищенной информационной среде положен ряд принципов компьютерной вирусологии, основными из которых являются обеспечение активности, живучести и комбинируемое™.

Основополагающими гипотезами при решении задачи распознавания вредоносных программ при противодействии несанкционированному воздействию на информацию в ЗКС являются гипотеза о вредоносности компьютерных вирусов'в ЗКС и гипотеза о многоэтапное™ вредоносных воздействий (рис. 1).

1 этап Исследование механизма доступа к элементам ЗКС 2 этап Исследование механизмов защиты информации в элементах ЗКС 3 этап Исследование информационных процессов в элементах ЗКС 4 этап Несанкционированное манипулирование информацией

Рис.1

Из приведенных гипотез вытекают основные принципы распознавания вредоносных программ.

Принцип достоверности отражения вирусной обстановки в информационном пространстве ЗКС предполагает в качестве основы для реализации алгоритмов распознавания вредоносных программ в ЗКС непрерывный анализ информационного пространства сети с целью обнаружения компьютерных вирусов и определения их характеристик

Принцип полноты анализа.характеристик обнаруженных вирусов приводит к необходимости использования методов и средств антивирусного мониторинга ЗКС.

В соответствии с принципом поэтапной обобщаемости результатов распознавания вредоносных программ в ЗКС оценка угроз воздействия таких программ должна осуществляться с учетом многоэтапное™ стратегий несанкционированного доступа к информации.

Принцип многоуровневости функционального анализа данных антивирусного мониторинга ЗКС предполагает наличие нескольких уровней анализа функционального облика вредоносных программ.

В качестве основы для конструирования показателя возможностей оценки угроз информационной безопасности элементам ЗКС на основе распознавания вредоносных программ заданной номенклатурой М средств распознавания условимся использовать вероятность такой оценки, как вероятность события, при котором частные признаки распознавания из их множества однозначно идентифицируют степень угрозы информационной безопасности элементам ЗКС.

Оценка признака степени угроз информационной безопасности элементов ЗКС считается реализованной заданной номенклатурой М средств распознавания, если с вероятностью обеспечивается участие

каждого частного признака распознавания в формиро-

ваний результирующего признака

С учетом изложенного, задача исследования и разработки алгоритмов распознавания вредоносных программ при противодействии несанкционированному воздействию на информационные ресурсы ЗКС в содержательном плане формулируется следующим образом.

Применительно к заданным условиям функционирования защищенной компьютерной сети, входящим в ее состав элементов и номенклатуре антивирусных средств разработать алгоритмы оценки информационной безопасности элементам ЗКС на основе распознавания вредоносных программ как инструмента несанкционированного воздействия на информацию ЗКС.

С целью формализации задачи и способов ее решения, в соответствии со сформулированной содержательной постановкой, обозначим через

возможный набор правил оценки угроз информационной безо-

пасности элементам ЗКС с возможностями Тогда задачу исследова-

ния и разработки алгоритмов распознавания вредоносных программ можно рассматривать как задачу отыскания требуемого набора правил

е 3 максимизирующего возможности Р{р) оценки угроз информационной безопасности элементам ЗКС при номенклатуре Ц средств распознавания не превышающей заданной М .

Это позволяет формально постановку задачи представить в виде:

Сформулированную задачу целесообразно решать путем представления в виде следующих последовательно решаемых задач:

структуризация анализируемых признаков угроз информационной безопасности элементам ЗКС;

проведения экспериментов по оценке возможности оценки угроз информационной безопасности элементам ЗКС.

Во второй главе «Методический подход к распознаванию вредоносных программ при противодействии. несанкционированному воздействию на информацию в защищенных компьютерных сетях» приводится концептуальная модель воздействий злоумышленников на элементы ЗКС, обосновывается структура системы распознавания, рассматривается процесс формирования признаков распознавания.

Базовыми требованиями при формировании системы распознавания являются требование структурированности признаков распознавания угроз информационной безопасности и требование иерархичности такой структуры.

В данной системе априорная информация о признаках угроз определяется на основе косвенного анализа результатов контроля информационного пространства ЗКС, получаемых от антивирусных мониторов, средств контроля информационной среды, средств регистрации системы администрирования сети и т.д.

Система распознавания представляет собой многоуровневую аналитическую структуру, нижний уровень которой представляется первичными признаками, получаемыми в результате контроля информационного пространства ЗКС, а остальные - в процессе аналитической обработки признаков распознавания. Верхний уровень такой структуры формирует результирующий признак, позволяющий оценить степень угрозы информационной безопасности элементам ЗКС.

Первичными признаками распознавания в такой системе являются:

- данные антивирусных сканеров (средств распознавания v1);

- статистические характеристики средств противодействия вредоносным программам, получаемые в результате распознавания средствами v2.

Средства антивирусного мониторинга информационного пространства ЗКС формируют следующие признаки:

местоположение

Ф;

¡7(0.

траектория движения по сети - ,2 информационные характеристики вредоносной программы -Признаки местоположения характеризуют фактическое размещение вредоносной программы. Их значения представляются в виде:

и/'Че^).

где - адрес оперативной памяти, по которому размещается тело вредоносной программы; - адрес внешней памяти, по которому размещается тело вредоносной программы:

диск, каталог,..., файл - для Windows (DOS), файловая система, каталог,..., файл - для Linux (UNIX). Признаки траектории движения вредоносной программы по сети описываются вектором:

и характеризуют:

идентификатор пользователя и IP-адрес отправителя вредоносной программы;

- IP-адрес получателя вредоносной программы;

- IP-адреса серверов сети, обеспечивших движение вредоносной программы.

Информационные характеристики вредоносной программы, описываются вектором:

физический размер вредоносной программы;

где

KV

33

- число активных процессов ЗКС на момент реализации вредоносного воздействия;

- объем данных, передаваемых вредоносной программой; ■ степень важности информации, подверженной воздействию вредоносной программы:

крайне высокая, высокая, средняя, низкая, очень низкая

Средства распознавания накапливают статистические выборки временных характеристик средств противодействия вредоносным про-

граммам по результатам их применения и формируют выборки У^ И У}(к) для оценки временных характеристик средств обнаружения вредоносных программ и средств анализа вредоносности, соответственно, с учетом числа к предыдущих воздействий на элемент ЗКС.

Вторичные признаки распознавания угроз информационной безопасности ЗКС могут быть получены на основе первичных с использованием распознающего средства W, которое на основе анализа системных вызовов и прерываний в тексте вредоносной программы определяет признаки

и характеризующие, соответственно, исследовательские и деструк-

тивные воздействия применительно к возможности их реализации на каждом из представленных на рис. 1 четырех этапов обобщенной стратегии несанкционированного доступа к информации в ЗКС:

йИ») = ЦИ ^4("))> 0>М = (^м IV}"1).

Распознающее средство X обеспечивает идентификацию этапа воздействия путем анализа вторичных признаков распознавания, представленных вектором возможностей вредоносной программы по исследованию информационных ресурсов элемента зкс и вектором возможностей

вредоносной программы до деструктивному воздействию на информационные ресурсы элемента ЗКС

На основании анализа данных признаков делается вывод о соответствии варианта вредоносного воздействия одному из этапов концептуальной модели воздействий злоумышленников на элементы ЗКС.

В результате определяется признак X третьей группы признаков распознавания, содержащий номер варианта вредоносного воздействия:

1 - соответствует полному комплексному воздействию по стандартной схеме несанкционированного доступа к элементам ЗКС;

2, 3, 4 и 5 - соответствует реализации, соответственно, I, II, III и IV этапов стандартной схемы;

6, 7 и 8 - соответствует нестандартной схеме несанкционированного доступа к элементам ЗКС, реализующей, соответственно, I и IV, II и IV, III и IV этапы.

С этой целью определяются значения:

^ = ^ > , ^ = 1,...,4 (1)

На основе (1) определяется признак третьей группы признаков распознавания:

х=

1, если истинно выражение (Рг )апс!(Р2 )апс1(К, )ап/Л(Р4)

2, если истинно выражение

3, если истинно выражение })апс1{Р2)апс1(по1[Р3 ])вт/(иог[/^})

4, если истинно выражение (п0(\р1})апс1(п01\р1\)апс1{р1)апс1(п01\р

5, если истинно выражение

6, если истинно выражение (Рх ^«¿(лог^ })а/г<^(/г4)

7, если истинно выражение {Г101\р^\)ап11{рг)апс1{по1[ръ\}апс1(р

8, если истинно выражение (ш[р{ \)ат1{по1\р2 )апс!(РЛ)

Распознающее средство у формирует временные характеристики угроз безопасности и средств их обнаружения и анализа. Указанные характеристики определяются на основе анализа вторичных признаков распознавания и признака распознавания третьей группы.

Временные интервалы реализации вредоносного воздействия получают путем вычисления минимального времени выполнения всех функций и процедур, содержащихся в теле вредоносной программы:

X - соответствует признаку распознавания третьей группы; кх - коэффициент, учитывающий цикличность функций вредоносной программы при X - ом варианте воздействия;

- быстродействие исполнения программы, определяемое в соответ-

где

ствии с выражением:

в котором - частота у

,ы

ого процессора в ЗКС;

- быстродействие аппаратуры приема/передачи данных.

Расчет временных характеристик средств обнаружения и анализа угроз производится путем статистической обработки выборки признаков:

^ля оценки средств обнаружения,

Угу!), для оценки средств аналгаа,

Распознающее средство z на основе заложенных и вычисляемых показателей противодействия обеспечивает формирование результирующего признака распознавания степени угрозы информационной безопасности элементу ЗКС. Этот признак представляется в виде:

где - показатель степени угрозы информационной безопасности элементам ЗКС;

- показатель степени важности информации, подверженной вредоносному воздействию; Показатель определяется через показатель Е эффективности противодействия угрозе:

= 1 _ Е = (1 - ЕО О - Е2) (1 - Е3) (1 - Е4) (1 - Е5) (1 - Еб) (1 - Е7) (1 - Е8)],

в котором Ех определяется как вероятность Р(Т(Пр)Х ^ т(су)х) того, что время Т(Пр)х противодействия угрозе информационной безопасности элементу ЗКС, при реализации X —ГО, Х=1, ..., 8, ее варианта, не превысит время Т(су)х существования угрозы. При этом время Т(„Р)х представляется композицией:

>р)х

_т(лр1) оТ(пр2) пТ(прЗ)

О X

случайного времени

т(пр1)

обнаружения угрозы информационной безопас-

ности элементу ЗКС (процедуры 1), случайного времени Т^ вредоносной программы (процедуры 2) и практически детер времени подавления угрозы (процедуры 3). При этом:

(пР2)

Это позволяет представить показатель Ъ\ в виде: =р(ты<т(пр))=

где - функция плотности вероятности случайной величины

- среднее значение времени определяемое в соответствии с

выражением:

'(»/о

= ¡у]/!"р)(у - + 4"р] = * + г'Ч

в котором

-

функции плотности вероятности случайных ве-

х(пр) и т(пр)>

соответственно; a ,5 представляется композицией: _т(пр)отМ

5 = Т

Для оценки показателя 7.г степени важности информации, подвер-

женной вредоносному воздействию используется признак

На рис. 2 приводится структурная схема системы распознавания. В третьей главе «Способы реализации алгоритмов распознавания вредоносных программ при противодействии несанкционированным воздействиям на информацию в защищенных компьютерных сетях» проанализированы основные направления реализации механизмов идентификации воздействий вредоносных программ в ЗКС, рассмотрены

традиционные и оптимизационные способы идентификации вредоносных программ в ЗКС, а также алгоритмы анализа вредоносности.

В соответствии с традиционными способами реализации механизма идентификации воздействий вредоносных программ функции обнаружения вредоносных программ реализуются путем периодического контроля целостности вычислительной среды ЗКС с целью регистрации несанкционированных изменений, вызванных вредоносными программами. Основными методами при этом являются: сканирование, эвристическое сканирование, CRC-сканирование, антивирусный мониторинг, иммунизация.

Оптимизационные способы предполагают реализацию двухуровневой системы контроля процессов функционирования ЗКС, регистрирующим некорректное поведение ее ПО:

путем сравнения текущих результатов выполнения функций обработки информации и функций контроля, полученных в динамике функционирования ПО;

путем выполнения операций сравнения текущих параметров вычислительного процесса в ЗКС с заранее известными эталонными величинами.

Алгоритм разработанного автором способа анализа механизмов вредоносности вредоносных программ представлен на рис. 3.

В четвертой главе «Оценка эффективности распознавания вредоносных программ при противодействии несанкционированным воздействиям на информацию в защищенных компьютерных сетях» приводится результаты оценки эффективности распознавания вредоносных программ в условиях неструктурированной и многоуровневой иерархической систем распознавания. Анализ результатов оценки свидетельствует о значительном повышении эффективности распознавания в условиях многоуровневой иерархической системы распознавания.

В заключении обобщены основные теоретические и практические результаты, приведены выводы и рекомендации, полученные в работе.

В приложении приводятся акты внедрения результатов исследования

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Обоснована возможность оценки угроз информационной безопасности элементам ЗКС на основе их распознавания.

2. Разработана концептуальная модель информационных воздействий злоумышленников на элементы ЗКС.

3. Разработан метод распознавания угроз информационной безопасности элементам ЗКС на основе анализа разнородных признаков воздействия вредоносных программ.

4. Предложены варианты технических решений по построению средств распознавания угроз информационной безопасности элементам ЗКС.

Новым практическим результатом, полученным в диссертации является обоснование возможности распознавания степени угрозы информационной безопасности элементу ЗКС с вероятностью распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Заряев А.В., Асяев П.И., Обухов А.Н., Щербаков В.Б., Лебедев Н.Т., Гаврилов A.M., Федоров И.С., Назаренко Н.Ю., Авсентьев О.С., Остапенко ГА., Киселев В.В., Потанина И В. Оценка информационной безопасности телекоммуникационных систем. //Учебное пособие для системы высшего профессионального образования МВД России — Воронеж: Воронежский институт МВД России, 2003. — 92 с.

2. Минаев В.А., Скрыль СВ., Потатин В.Е., Пеньшин И.В., Кочедыков С. С., Киселев В. В., Жаданова Е.Б., Сафонов Ю.М. Исследование эффективности систем защиты информации от несанкционированного доступа // Учебное пособие - Воронеж: ВИ МВД России, 2001. - 78 с.

3. Киселев В.В., Кочедыков С.С., Мускатиньев Д.Ю., Новиков Е В. Автоматизированные системы управления как объект воздействия вредоносных программ. // Материалы III Всероссийской научно-практической конференции «Охрана - 99». - Часть 2. - Воронеж: Воронежский институт МВД России, 1999. - С. 57 - 58.

4. Киселев В.В., Потанин В.Е., Скрыль СВ. и др. Метод определения объема пополняемого временного резерва автоматизированной информационной системы в условиях противодействия вредоносным программам // Региональный научно - технический вестник «Информация и безопасность» - Воронеж: Воронежский государственный технический университет, Вып. 4,1999. - С. 76 - 79.

5. Киселев В.В., Гололобов АН. и др. Оценка характеристик программного обеспечения систем защиты информации. // Материалы межвузовской научно-практической конференции Воронежской высшей школы МВД России. - Воронеж: Воронежская высшая школа МВД России, 1999. - С. 25 - 27.

6. Киселев В.В., Кочедыков С.С., Потанин В.Е, Скрыль СВ., Парино-ва Л.В. Об одном способе построения анализатора вредоносных воздействий в информационно - телекоммуникационных системах. // Региональный научный вестник «Информация и безопасность» - Воронеж: Воронежский государственный технический университет, Вып. 1,2000. - С. 29 - 35.

7. Киселев В.В. Особенности расследования компьютерных преступлений, совершаемых с помощью вредоносных программ // «Методы и способы повышения эффективности радиоэлектронных средств охраны»: Материалы межвузовской научно-практической конференции. - Воронеж: Воронежский институт МВД России, 2001. - С. 61 - 63.

8. Генадиева Е.Г., Щербаков В.Б., Потанин В.Е., Кочедыков С.С., Киселев В.В., Тюнякин Р.Н. Алгоритмы анализа последствий воздействия угроз несанкционированного доступа в информационно-телекоммуникационных системах.. // Региональный научный вестник «Информация и безопасность», Выпуск 2. - Воронеж: ВГТУ, 2001. - С. 7075.

9. Ильин А.А., Сушков П.Ф., Кочедыков С.С., Киселев В В., Тюнякин Р.Н., Сбродова И.А. Исследование воздействий вирусных программ на информационно-телекоммуникационные системы. // Региональный научный

вестник «Информация и безопасность» - Воронеж: Воронежский государственный технический университет, Вып. 1, 2001. - С. 68 - 69.

10. Кочедыков С.С., Киселев В.В., Тюнякин Р.Н. Особенности проектирования средств оперативного анализа воздействий вредоносных программ. // Вестник ВИ МВД России 2(9)' 2001 - Воронеж: ВИ МВД России 2001.- С. 156-157.

11. Сушков П.Ф., Кочедыков С.С., Киселев В.В., Артемов А.А. Методика проведения первичных следственных действий при расследовании преступлений в сфере высоких технологий. // Вестник ВИ МВД России 2(9)' 2001 - Воронеж: ВИМВД России 2001. - С. 152 - 155.

12. Авсентьев О.С, Киселев В.В. Проектирование средств оперативного анализа воздействий вредоносных программ // «Современные проблемы противодействия преступности»: Материалы межвузовской научно-практической конференции. - Воронеж: Воронежский институт МВД России, 2001. - С. 122 - 124.

13. Скрыль СВ., Киселев В.В. Аналитическая разведка в оценке угроз информационной безопасности. // «Системы безопасности» №6(48), 2003. - С. 96 -97.

14. Золотарева Е.А., Киселев В.В., Тюнякин Р.Н., Скрыль К.С. О возможности инициализации вредоносных программ в обход стандартных способов запуска // Информация и безопасность. - Выпуск 1. - Воронеж: ВГТУ,2003.- С. 123-124.

15. Остапенко Г.С., Киселев В.В. Угрозы информационной безопасности компьютерных сетей как объект распознавания // Информация и безопасность. Выпуск 2. - Воронеж: ВГТУ, 2003. - С. 153-155.

16. Киселев В.В. О возможности использования аппарата теории распознавания в интересах противодействия компьютерной разведке // «Охрана - 2003»: Материалы IV всероссийской научно-практической конференции. - Воронеж: Воронежский институт МВД России, 2003. - с 72 - 73.

17. Киселев В.В., Золотарева ЕА Признаки распознавания вредоносных программ в компьютерных сетях // «Системы безопасности - СБ-2003»: Материалы XII научно-технической конференции Международного форума информатизации. - М.: Академия ГПС МЧС России, 2003.-С. 61-64.

18. Киселев В.В., Остапенко Г.А., Скрыль К.С. Антивирусный мониторинг в организации противодействия компьютерной разведке. // «Инфо-форум - 5»: Материалы Пятой Всероссийской конференции - М.: Редакция журнала «Бизнес + безопасность», 2003. - С. 134-135.

19. Киселев В.В. Показатель эффективности противодействия угрозам безопасности критически важным элементам информационной сферы. // Современные проблемы борьбы с преступностью: Материалы Всероссийской научно-практ. конф., Часть 2 - Воронеж: ВИ МВД России, 2003. - С. 67-68.

20. Киселев В.В., Белоусова И.А., Филиппова

Подписано в печать 28.05.2004 г. Формат 60x84 1/16. Усл. печ. л. 0,93 Уч -изд. л 1,00 Заказ №Й4 Тираж 100 экз.

Типография ФГУП «ГСЛП Воронежлеспроект» 394016, Воронеж, Московский проспект, 64

н? 12 О 8 T

Введение.

Глава 1. ЗАЩИЩЕННЫЕ КОМПЬЮТЕРНЫЕ СЕТИ КАК ОБЪЕКТ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ.

1.1. Особенности построения защищенных компьютерных сетей.

1.2. Вредоносные программы как инструмент несанкционированного воздействия на информацию в защищенных компьютерных сетях.

1.3. Принципы распознавания вредоносных программ при противодействии несанкционированному воздействию на информацию в защищенных компьютерных сетях.

1.4. Показатель возможностей оценки угроз информационной безопасности элементам защищенных компьютерных сетей.

1.5. Содержательная и формальная постановка задачи

1.6. Выводы

Глава 2. МЕТОДИЧЕСКИЙ ПОДХОД К РАСПОЗНАВАНИЮ ВРЕДОНОСНЫХ ПРОГРАММ ПРИ ПРОТИВОДЕЙСТВИИ НЕСАНКЦИОНИРОВАННОМУ ВОЗДЕЙСТВИЮ НА ИНФОРМАЦИЮ В ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СЕТЯХ.

2.1. Концептуальная модель воздействий злоумышленников на элементы защищенных компьютерных сетей.

2.2. Анализ способов распознавания вредоносных программ по структурному признаку.

2.3. Воздействия на информационные ресурсы защищенных компьютерных сетей с помощью вредоносных программ как. объект распознавания

2.4. Формирование первичных признаков распознавания.

2.5. Формирование вторичных признаков распознавания.

2.6. Формирование признаков распознавания третьей группы.

2.7. Формирование признаков распознавания четвертой группы.

2.8. Формирование результирующего признака распознавания

2.9. Выводы.

Глава 3. СПОСОБЫ РЕАЛИЗАЦИИ АЛГОРИТМОВ РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ ПРИ

ПРОТИВОДЕЙСТВИИ НЕСАНКЦИОНИРОВАННЫМ

ВОЗДЕЙСТВИЯМ НА ИНФОРМАЦИЮ В ЗАЩИЩЕННЫХ

КОМПЬЮТЕРНЫХ СЕТЯХ.

3.1. Основные направления реализации механизмов идентификации воздействий вредоносных программ в защищенных компьютерных сетях.

3.2. Традиционные способы идентификации вредоносных программ в защищенных компьютерных сетях.

3.3. Оптимизационные способы идентификации вредоносных программ в защищенных компьютерных сетях.

3.4. Анализ механизмов вредоносности.

3.5. Выводы.

Глава 4. ОЦЕНКА ЭФФЕКТИВНОСТИ РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ ПРИ ПРОТИВОДЕЙСТВИИ НЕСАНКЦИОНИРОВАННЫМ ВОЗДЕЙСТВИЯМ НА ИНФОРМАЦИЮ В ЗАЩИЩЕННЫХ КОМПЬЮТЕРНЫХ СЕТЯХ.

4.1. Оценка эффективности распознавания вредоносных программ в условиях неструктурированного подхода.

4.2. Оценка эффективности распознавания вредоносных программ в условиях структурированного подхода.

4.3. Выводы.

Актуальность темы. Возросшие требования к оперативности информационных процессов в различных областях деятельности современного общества, а также расширение возможностей сетевого построения информационных систем /1/ и внедрение методов распределенной обработки данных за счет реализации теледоступа /2/ к вычислительным средствам привело к интегрированию систем обработки информации и систем ее обмена /3/. Результатом такого интегрирования явилось создание компьютерных сетей /4/. Широкое применение сетевых технологий в различных сферах общественной деятельности, в том числе в так называемых критических инфраструктурах, к которым относится деятельность институтов государственной власти /5/, финансовых структур /6/, деятельность в областях военно-промышленного комплекса /7/, энергетики /8/, транспорта /9/, а также в областях, оказывающих существенное влияние на экологию /10/, значительно повысило эффективность этих сфер. Несмотря на очевидную разнородность критических инфраструктур их объединяет одно очень важное обстоятельство — значительный ущерб от нарушения безопасности деятельности, в том числе и информационной, в этих сферах /11/. Вытекающая из этого значительная ценность хранимых и обрабатываемых данных в критических инфраструктурах обусловила разработку и совершенствование методов и средств несанкционированного доступа к информации в этих системах с целью противоправного манипулирования данными /12, 13/. Основными противоправными действиями с информацией в таких системах могут быть самые различные формы ее несанкционированной модификации (целенаправленная замена или искажение данных, их удаление) или копирования /14-17/.

Совершенствование методов и средств вредоносного воздействия на информацию в компьютерных сетях привело к адекватному развитию технологий защиты информации и созданию защищенных компьютерных сетей (ЗКС) /18 -26/.

Вместе с тем, совершенствование механизмов защиты информации в ЗКС обусловило и адекватное совершенствование методов их преодоления, что, в свою очередь привело к появлению совершенно нового источника угроз информационной безопасности ЗКС - вредоносных программ /27, 28/. Такие программы разрабатываются как средства преодоления защитных механизмов ЗКС с целью несанкционированного манипулирования информацией. Вредоносные программы проектируются и разрабатываются как программы вирусного типа /29/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /30-33/. Эти свойства значительно затрудняют возможность их обнаружения и подавления, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в сфере компьютерной информации /34,35/.

Целевое назначение вредоносных программ — обеспечение действий, направленных на несанкционированное воздействие на информацию. Следует заметить, что такое воздействие, в общем случае, является многоэтапным, что, в свою очередь, ставит зависимость форм применения вредоносных программ от этапов воздействия на информацию в ЗКС /36/.

Анализ стратегий несанкционированного воздействия на информацию в ЗКС позволяет установить закономерность между функциональным обликом вредоносных программ и этапами воздействия на ЗКС, в рамках которого эти программы используются /37, 38/.

К настоящему времени в теории информационной безопасности сложился ряд направлений противодействия вредоносным программам, основанных на так называемых антивирусных технологиях /39, 40/. Вместе с тем, разрабатываемые в соответствии с данными технологиями средства ориентированы на те типы компьютерных вирусов, функции которых являются типовыми и, в некотором роде, универсальными /41/. Такие антивирусные средства являются стандартными и охватывают целые классы компьютерных вирусов /42/. Что касается вредоносных программ, применяемых для несанкционированного воздействия на информацию в ЗКС, то для их идентификации и анализа степени представляемой угрозы информационным ресурсам ЗКС требуются нестандартные подходы /43 - 47/. Несмотря на то, что совершенствование методов противодействия вредоносным воздействиям на информацию в ЗКС стало чрезвычайно актуальной проблемой, специальные исследования, связанные с разработкой таких подходов носят крайне ограниченный характер.

Изложенное дает основание утверждать, что задача распознавания вредоносных программ при противодействии несанкционированному воздействию на информацию в ЗКС является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в проработке как в методическом, так и в прикладном плане. Это свидетельствует об актуальности диссертационной работы.

Объект исследования. Вредоносные программы в информационной среде защищенных компьютерных сетях.

Предмет исследования. Алгоритмизация распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.

Цель диссертационной работы. Исходя из того, что известные антивирусные средства не идентифицируют взаимосвязь особенностей построения вредоносных программ и этапов реализации вредоносного воздействия на ЗКС целью диссертационной работы является исследование и разработка алгоритмов распознавания вредоносных программ для оценки степени угрозы информационным ресурсам ЗКС.

Основные задачи. Для достижения поставленной цели в работе необходимо решить следующие задачи:

1. Проанализировать особенности функционирования ЗКС и их элементов в условиях воздействия вредоносных программ.

2. Разработать методический подход к распознаванию вредоносных программ и оценке степени угрозы информационным ресурсам ЗКС.

3. Обосновать варианты применения способов идентификации и анализа вредоносных программ.

4. Оценить эффективность распознавания вредоносных программ при противодействии несанкционированному доступу к информации в ЗКС.

Методы исследования. В работе использованы методы системного анализа, теории распознавания образов, математического моделирования и теории информационной безопасности.

Научная новизна. Результаты, полученные в диссертации при решении перечисленных задач состоит в следующем:

1. Разработан новый способ анализа степени угроз информационной безопасности элементам ЗКС, основанный на использовании теории распознавания образов и обеспечивающий адекватную оценку угроз воздействия вредоносных программ на данные элементы.

2. Впервые сформулированы основные принципы распознавания угроз информационной безопасности элементам ЗКС.

3. Разработаны новые алгоритмы анализа признаков распознавания воздействия вредоносных программ на элементы ЗКС.

Практическая ценность полученных результатов.

1. Содержащиеся в диссертации методические рекомендации использованы при обосновании содержания отдельных пунктов тематической карточки и технического задания на НИР «Р-подпись» и «Методист», выполняемых в интересах Гостехкомиссии России.

2. Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при разработке ряда программных средств обеспечения информационной безопасности компьютерной сети ГУВД.

3. Разработанные в диссертации методики использованы при разработке учебных пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для курсантов и слушателей Воронежского института Министерства внутренних дел Российской Федерации, курсантов Военного института радиоэлектроники Министерства обороны Российской Федерации, а также для студентов Московского государственного технического университета им. Н.Э. Баумана.

4. Результаты работы использованы при выполнении НИР «Р-подпись» и «Методист», при разработке учебных пособий «Оценка информационной безопасности телекоммуникационных систем» и «Исследование эффективности систем защиты информации от несанкционированного доступа» для курсантов и слушателей образовательных учреждений высшего профессионального образования МВД России, а также при проведении оперативных мероприятий в информационной сфере.

Результаты диссертационной работы внедрены: в Региональном учебно-научном центре «Безопасность» при Московском государственном техническом университете им. Н.Э. Баумана; в Военном институте радиоэлектроники Министерства обороны Российской Федерации; в Воронежском институте Министерства внутренних дел Российской Федерации; в Главном управлении внутренних дел Воронежской области:

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. III Всероссийской научно-практической конференции «Охрана - 99» - Воронеж, 1999 г. /35/.

2. Межвузовской научно-практической конференции Воронежской высшей школы МВД России - Воронеж, 1999 г. /93/.

3. Межвузовской научно-практической конференции «Современные проблемы противодействия преступности» - Воронеж, 2001 г. /115/.

4. Межвузовской научно-практической конференции «Методы и способы повышения эффективности радиоэлектронных средств охраны» - Воронеж, 2001 г. /64/.

5. IV Всероссийской научно-практической конференции «Охрана -2003». - Воронеж, 2003 г. /88/.

6. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2003 г. /99/.

7. XII научно-техническая конференция «Системы безопасности - СБ-2003» Международного форума информатизации - Москва, 2003 г. /90/.

8. Пятой Всероссийской конференции «Инфофорум - 5» - Москва, 2003 г. /91/.

Публикации. По теме диссертации опубликовано 20 научных работ, в том числе два учебных пособия.

В работах, опубликованных в соавторстве, приведенных в конце автореферата, лично автором предложено: в [1] рассматривать методику оценки защищенности компьютерных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей; в [2] использовать для оценки эффективности систем защиты информации от несанкционированного доступа комбинацию не более двух случайных величин; в [3] рассматривать классификацию компьютерных вирусов исходя из их вредоносности; в [4] оценку объема программного обеспечения производить на основе метрик Холстеда; в [5] при формировании показателей защищенности компьютерных сетей использовать временные характеристики средств противодействия вредоносным программам; в [6] ряд технических решений по реализации функций анализа проявления вредоносности исследуемых программ; в [8] учитывать криминалистические модели совершения компьютерных преступлений при анализе последствий воздействия угроз несанкционированного доступа к информации в компьютерных системах; в [9] анализ последствий воздействия вредоносных программ в компьютерных системах осуществлять с позиций оценки уязвимости элементов этих систем; в [10] использовать некоторые типы дизассемблеров для получения наиболее достоверных исходных кодов вредоносных программ; в [11] рассматривать используемые вредоносными программами системные функции и прерывания в качестве следообразующих признаков; в [12] ряд вариантов оценки соответствия анализируемых функций вредоносных программ этапам их применения; в [13] рассматривать аналитическую разведку как технический способ сбора информации; в [14] акцентировать внимание на некоторых уязвимых, с точки зрения использования вредоносными программами, функциях операционных систем; в [15] рассматривать процесс оценки угроз элементам ЗКС исходя из возможностей распознавания функций применяемых вредоносных программ; в [17] использовать в качестве первичных признаков распознавания вредоносных: программ статистические характеристики средств противодействия таким программам; в [18] использовать ряд процедур антивирусного мониторинга для идентификации исследовательских функций вредоносных программ; в [20] конечное число вариантов организации несанкционированного доступа к информации в ЗКС.

Основные положения, выносимые на защиту:

1. Задачу адекватной оценки угроз информационной безопасности элементов ЗКС целесообразно ставить как задачу синтеза алгоритмов распознавания воздействий вредоносных программ на элементы ЗКС и решать с использованием разработанных в диссертации методов.

2. При обработке данных распознавания угроз информационной безопасности элементов ЗКС целесообразно использовать предложенные в диссертации способы: детектирования вредоносных программ; анализа вредоносных программ.

3. Применение разработанного в диссертации способа распознавания степени угрозы информационной безопасности элементу ЗКС позволяет обеспечить вероятность распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.

Структура и объем работы. Диссертация состоит из введения, четырех глав, изложенных на 115 страницах машинописного текста, 19 рисунков, 4 таблиц, заключения и библиографического списка использованной литературы, содержащего 117 наименований.

4.3. Выводы

Применение разработанного в диссертации способа распознавания степени угрозы информационной безопасности элементу ЗКС позволяет обеспечить вероятность распознавания порядка 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.

Рис. 4.2.1.

105

ЗАКЛЮЧЕНИЕ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Обоснована возможность оценки угроз информационной безопасности элементам ЗКС на основе их распознавания.

2. Разработана концептуальная модель информационных воздействий злоумышленников на элементы ЗКС.

3. Разработан метод распознавания угроз информационной безопасности элементам ЗКС на основе анализа разнородных признаков воздействия вредоносных программ.

4. Предложены варианты технических решений по построению средств распознавания угроз информационной безопасности элементам ЗКС.

Новым практическим результатом, полученным в диссертации является обоснование возможности распознавания степени угрозы информационной безопасности элементу ЗКС с вероятностью распознавания не менее 0.75, что значительно превышает значение данного показателя в условиях традиционного анализа.

1. Телекоммуникации. Мир и Россия. Состояние и тенденции развития / Клещев Н.Т., Федулов А.А., Симонов В.М., Борисов Ю.А., Осенмук М.П., Селиванов С.А. - М.: Радио и связь, 1999. - 480 с.

2. Системы и сети передачи данных: Учебное пособие. / М.В. Гаранин, В.И. Журавлев, С.В. Кунегин М.: Радио и связь, 2001. - 336 с.

3. Телекоммуникационные системы и сети: Учебное пособие В 3 томах. Том 1 Современные технологии / Б.И. Крук, В.Н. Попантонопуло, В.П. Шувалов - М.: Горячая линия - Телеком, 2003. - 647 с.

4. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. / В.Г. Олифер, Н.А. Олифер СПб.: Питер, 2003. - 864 с.

5. Медведовский И.Д. Методы и средства защиты корпоративной сети финансовой компании от вторжений из Интернета. // Системы безопасности. -2001.-№38.-С. 79-82.

6. Концептуальное направление оборонной стратегии государства в аспекте информационной безопасности. / Ананьин О.Б., Васильева Т.Г., Пого-жин Н.С. // Научная сессия МИФИ 2002: Материалы IX Всероссийской на-учно-практ. конф. - М.: МИФИ, 2002. - С. 11-12.

7. Хомяков Н.Н., Хомяков Д.Н. Анализ безопасности АЭС при террористических актах. // Системы безопасности. 2002. - № 2(44). - С. 74-76.

8. Мошков Г.Ю. Обеспечение безопасности объектов транспортного комплекса наша приоритетная задача. // Системы безопасности. - 2003. - № 6(48). - С. 8-9.

9. Агапов А.Н. Ядерная и радиационная безопасность. Готовность к ЧС. // Системы безопасности. 2003. - № 2(50). - С. 8-10.

10. Введение в теорию конфликтного функционирования информационных и информационно-управляющих систем: Учебное пособие. / Толстых Н.Н. Павлов В.В., Воробьева Е.И. Воронеж: ВГТУ, 2003. - 196 с.

11. Анализ компьютерных преступлений из правоохранительной практики Воронежской области. / Кулаков В.Г., Андреев А.Б., Остапенко Г.А., Белоножкин В.И., Мешкова Е.А. // Информация и безопасность. Выпуск 1. — Воронеж: ВГТУ, 2003. - С. 97.

12. Сырков Б.Ю. Компьютерная система глазами хакера // Технологии и средства связи. -1998. № 6. С. 98-100.

13. Пюкке С.М., Спиридонов А.В. Поисковые мероприятия в телекоммуникационном пространстве: практика американских спецслужб (на основе анализа зарубежной прессы). // Системы безопасности. 2002. - № 2(44). - С. 72-73.

14. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М.: Новый Юрист, 1998. - 256 с.

15. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. М.: Мир, 1999.-351 с.

16. Мирошников Б.Н. Борьба с преступлениями в сфере информационных технологий. 10-летию Службы посвящается .II Системы безопасности. -2002.-№5(47).-С. 10-11.

17. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М.: «Горячая линия - Телеком», 2002. - 176 с.

18. Защита информации в компьютерных системах и сетях. / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. М.: Радио и связь, 2001. - 376 с.

19. Касперски К. Техника сетевых атак. Приемы противодействия. М.: Солон-Р, 2001.-397 с.

20. Программирование алгоритмов защиты информации: Учебное пособие. / Домашев А.в. Грунтович М.М., Попов В.О., Правиков Д.И., Прокофьев И.В.', Щербаков А.Ю. М.: Нолидж, 2002. - 416 с.

21. Грушо А.А., Тимонина Е.Е. Основы защиты нформации. М.: Яхтсмен, 1996. -192 с.

22. Безопасность ведомственных информационно-телекоммуникационных систем. / Гетманцев А.А., Липатников В.А., Плотников A.M., Сапаев Е.Г. ВАС, 1997. 200 с.

23. Щербаков А.А. Разрушающие программные воздействия. М.: Издательство Эдель, 1993. 64 с.

24. Мухин В.И. Информационно-программное оружие. Разрушающие программные воздействия. // Научно-методические материалы. М.: Военная академия Ракетных войск стратегического назначения имени Петра Великого, 1998.-44 с.

25. Касперский Е.В. Компьютерные вирусы в MS-DOS. М.: Издательство Эдель, 1992. - 120 с.

26. Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус: проблемы и прогноз. М.: Мир, 1993. - 175 с.

27. Гульев И.А. Компьютерные вирусы, взгляд изнутри. — М.: ДМК, 1998.-304 с.

28. Касперский Е.В. Компьютерные вирусы, что это такое и как с ними бороться. М.: «СК Пресс», 1998. - 288 с.

29. Минаев В.А., Скрыль С.В. Компьютерные вирусы как системное зло. // Системы безопасности СБ-2002: Материалы XI научно-технической конференции Международного форума информатизации - М.: Академия ГПС, 2002.- С. 18-24.

30. Основы информационной безопасности: Учебник для высших учебных заведений МВД России / Под ред. Минаева, В.А. и Скрыль С.В. — Воронеж: Воронежский институт МВД России, 2001. — 464 с.

31. О возможности прогнозирования угроз информационной безопасности элементам защищенных компьютерных систем. / Киселев В.В., Белоусова И.А., Филиппова Н.В., Золотарева Е.А. // Информация и безопасность. Выпуск 1. - Воронеж: ВГТУ, 2003. - С. 63-65.

32. Сердюк В.А. Перспективные технологии обнаружения информационных атак. // Системы безопасности. 2002. - № 5(47). - С. 96-97.

33. Интеллектуальные технологии антивируса Doctor Web. / ЗАО «Диалог-наука». // Системы безопасности. 2002. - № 2(44). г С. 84-85.

34. Энциклопедия компьютерных вирусов. / Д.А. Козлов, А.А. Паран-довский, А.К. Парандовский М.: «Солон-Р», 2001. - 457 с.

35. Джоэл Т. Пэтц Антивирусные программы / PC Magazine / Russian Edition, 1996, №3 (46), С. 70-85.

36. Скрыль С.В. Моделирование и оптимизация функционирования автоматизированных систем управления органов внутренних дел в условиях противодействия вредоносным программам: Автореферат диссертации докт. техн. наук М.: Академия ГПС МВД России, 2000. - 48 с.

37. Лозинский Д.Н., Плескач Е.В: Информационная безопасность. Проблема нового тысячелетия. // Системы безопасности. 2002. - № 4(46). - С. 13.

38. Антимонов С.Г. Интеллектуальные противостояния по линии фронта Вирус-антивирус. // Информация и безопасность: Материалы межрегиональной научно-практ. конф. Информация и безопасность. - Выпуск 2. - Воронеж: ВГТУ, 2002. - С. 39-46.

39. Кульгин М. Технологии корпоративных сетей. Энциклопедия. -СПб.: Питер, 2000. 704 с.

40. Парфенов В.И. Защита информации: Словарь. Воронеж: НП РЦИБ «Факел», 2003. - 292 с.

41. Теоретические основы информатики и информационная безопасность: Монография. / Под ред. Минаева В.А. и Саблина В.Н. — М.: Радио и связь, 2000. — 468 с.

42. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ // Сборник руководящих документов по защите информации от несанкционированного доступа. М.: Гостехкомиссия России, 1998.

43. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. М.: Энергоатомиздат, 1994. - 400 с.

44. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 2. М.: Энергоатомиздат, 1994. - 176 с.

45. Герасименко В.А., Малюк А.А. Основы защиты информации: Учебник для высших учебных заведений Министерства общего и профессионального образования РФ -М.: МИФИ, 1997. 538 с.

46. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ. // М.: Гостехкомиссия России, - 1992.

47. Зегжда П.Д. Теория и практика обеспечения информационной безопасности. М.: Издательство «Яхтсмен», 1996.- 192 с.

48. Зегжда П.Д. Современные технологии обеспечения безопасности компьютерных систем. // Научная сессия МИФИ 2002: Материалы IX Всероссийской научно-практ. конф. - М.: МИФИ, 2002. - С. 40-41.

49. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. СПб: НПО Мир и семья, 1997. - 298 с.

50. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. - 452 с.

51. Мельников В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика; Электронинформ, 1997. -368 с.

52. Защита информации в персональных ЭВМ. / Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин В.В., Сидоров В.А. М.: Радио и связь, 1993. - 192 с.

53. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. М.: «Яхтсмен», 1993. - 188 с.

54. О возможности инициализации вредоносных программ в обход стандартных способов запуска / Золотарева Е.А., Киселев В.В., Тюнякин Р.Н., Скрыль К.С. // Информация и безопасность. Выпуск 1. - Воронеж: ВГТУ, 2003. - С. 123-124.

55. Методика проведения первичных следственных действий при расследовании преступлений в сфере высоких технологий. / Сушков П.Ф., Кочедыков С.С., Киселев В.В., Артемов А.А. Вестник ВИ МВД России 2(9)' 2001 - Воронеж: ВИ МВД России 2001.-С. 152-155.

56. Оценка защищенности информации в информационно-телекоммуникационных системах. / Минаев В.А., Скрыль С.В., Потанин В.Е., Дмитриев Ю.В. // Экономика и производство. 2001. - №4. - С. 27-29.

57. Шаковец А.Н., Золотарева Е.А. Методы оценки противодействия угрозам безопасности в информационной сфере: Монография. Хабаровск: Дальневосточный юридический институт МВД России, 2003. - 96 с.

58. Вилкас Э.Й., Майминас Е.З. Решения: теория, информация, моделирование. М.: Радио и связь, 1981. - 328 с.

59. Александров Е.А. Основы теории эвристических решений. М.: Сов. радио, 1975.-256 с.

60. Райфа Г. Анализ решений (введение в проблему выбора в условиях неопределенности). М.: Наука, 1977. - 408 с.

61. Попов Э.В. Экспертные системы: решение неформализованных задач в диалоге с ЭВМ. М.: Наука, 1987. - 288 с.

62. Компьютерные экспертные технологии в органах внутренних дел. / Баранов А.К., Карпычев В.Ю., Минаев В.А. М.: Академия МВД РФ, 1992. -130 с.

63. Воробьев В.Ф., Герасименко В.Г., Потанин В.Е., Скрыль С.В. Проектирование средств трассологической идентификации компьютерных преступлений: Монография. Воронеж: Воронежский институт МВД России, 1999.-136 с.

64. Скрыль С.В., Киселев В.В. Аналитическая разведка в оценке угроз информационной безопасности. / «Системы безопасности» №6(48), 2003. С. 96-97.

65. Систематизация способов противоправного воздействия на критически важные элементы информационной сферы. / Асеев В.Н., Золотарева Е.А., Остапенко Г. А., Скрыль К.С. // Информация и безопасность. Выпуск 1. - Воронеж: ВГТУ, 2003. - С. 6-13.

66. Садовский В.Н. Основания общей теории систем: Логико-методологический анализ. М.: Наука, 1974. -279 с.

67. Уемов А.И. Системный подход и общая теория систем. М.: Мысль, 1978.-272 с.

68. Каган М.С. Человеческая деятельность (Опыт системного анализа). -М.: Наука, 1975.-447 с.

69. Вентцель Е.С. Теория вероятностей. М.: Изд-во физико-математической литературы, 1958. - 464 с.

70. Вентцель Е.С., Овчаров JI.A. Теория вероятностей и ее инженерные приложения. М.: Наука, 1988. - 480 с.

71. Горелик A.JL, Скрипкин В.А. Методы распознавания: Учебное пособие для вузов. М.: Высшая школа, 1977. - 222 с.

72. Фу К. Структурные методы в распознавании образов. / Пер. с англ. -М.: Мир, 1977.-319 с.

73. Фукунага К. Введение в статистическую теорию распознавания образов. / Пер. с англ. М.: Наука, 1979. - 368 с.

74. Остапенко Г.С., Киселев В.В. Угрозы информационной безопасности компьютерных сетей как объект распознавания // Информация и безопасность. - Выпуск 2. - Воронеж: ВГТУ, 2003. - С. 153-155.

75. Месарович М., Мако Д., Такахара И. Теория иерархических многоуровневых систем. М.: Мир, 1973. - 344 с.

76. Антивирусный мониторинг в организации противодействия компьютерной разведки / Киселев В.В., Остапенко Г.А., Скрыль К.С. // «Инфофо-рум 5»: Материалы Пятой Всероссийской конференции - М.: Редакция журнала «Бизнес + безопасность», 2003. - С. 134-135.

77. Сборник научных программ на Фортране. Вып. 1. Статистика. Нью-Йорк, 1970. / Пер. с англ. М.: «Статистика», 1974. - 316 с.

78. Скрыль С.В. Показатель эффективности защиты информации в автоматизированных системах. // Тезисы докладов международной конференции «Информатизация правоохранительных систем», Часть 2 М.: Академия управления МВД России, 1997. - с. 36-38.

79. О возможности применения вероятностных показателей в приложениях теории информационной безопасности. / А.В. Заряев, А.Г. Остапенко, С.В. Скрыль, И.В. Пеныпин // Радиотехника (журнал в журнале), 2002, №11. С. 97-100.

80. Бусленко Н.П. Моделирование сложных систем. М.: Наука, 1978400 с.

81. Бусленко В.Н. Автоматизация имитационного моделирования сложных систем. М.: Наука, 1977. - 239 с.

82. Советов Б.Я., Яковлев С.А. Моделирование систем: Учебник для вузов по специальности «Автоматизированные системы управления». М.: Высшая школа, 1985. - 271 с.

83. Тараканов К.В., Овчаров JI.A., Тырышкин А.Н. Аналитические методы исследования систем. М.: «Советское радио», 1974. - 240 с.

84. Вентцель Е.С., Овчаров JI.A. Теория вероятностей. М.: Наука, 1973.-366 с.

85. Касперски К. Образ мышления дизассемблер IDA. Том 1. Описание функций встроенного языка IDA Pro. - М.: Солон-Р, 2001. - 478 с.

86. Зубков С.В/ Assembler для DOS, Windows и UNIX. М.: ДМК» 2003.-608 с.

87. Юров В. Assembler. СПб: «Питер», 2000. - 624 с.

88. Юров В. Assembler: специальный справочник. СПб: Питер, 2001. -496 с.

89. Чирило Дж. Обнаружение хакерских атак. Для профессионалов. -СПб.: Питер, 2002. 864 с.

90. Особенности проектирования средств оперативного анализа воздействий вредоносных программ / Кочедыков С.С., Киселев В.В., Тюнякин Р.Н. Вестник ВИ МВД России 2(9)' 2001 - Воронеж: ВИ МВД России 2001. - С. 156-157.

91. Процессоры Pentium И, Pentium Pro, и просто Pentium. СПб.: «Питер», 1999.-288 с.

92. Гук М. Дисковая подсистема ПК. СПб.: Питер, 2001. - 336 с.