автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты

кандидата технических наук
Рудик, Кирилл Петрович
город
Москва
год
2009
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты»

Автореферат диссертации по теме "Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты"

На правах рукописи

РУДИК КИРИЛЛ ПЕТРОВИЧ

ИССЛЕДОВАНИЕ СПОСОБОВ ВЫЯВЛЕНИЯ СЕТЕВЫХ УЗЛОВ, УЧАСТВУЮЩИХ В НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКЕ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ

Специальность 05.13.19 - методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Автор:

Москва

— 2009

003467650

Работа выполнена в Московском инженерно-физическом институте (государственном университете).

Научный руководитель кандидат технических наук, доцент

Петров Вячеслав Александрович

Официальные оппонента: доктор технических наук, профессор

Дворянкин Сергей Владимирович

кандидат технических наук Шарков Анатолий Евгеньевич

Ведущая организация: ОАО "Центральный научно-исследовательский

институт радиоэлектронных систем"

Защита состоится «13» мая 2009 г. в 16:30 на заседании диссертационного совета ДМ 212.130.08 при Московском инженерно-физическом институте (государственном университете) по адресу: 123557, Москва, Пресненский Вал, 17, Центр информационных технологий и систем органов исполнительной власти (ЦИТиС).

С диссертацией можно ознакомиться в библиотеке Московского инженерно - физического института (государственного университета).

Автореферат разослан " апреля 2009 г.

Ученый секретарь

диссертационного совета /"^¿-'г'^ *' Горбатов В.С.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы

В настоящее время информационные технологии во многом определяют успех в деятельности организаций любого уровня от небольших предприятий до общенациональных государственных и коммерческих структур. Информация становится все более критичным ресурсом, а ее изменение, хищение или уничтожение могут привести к большим потерям. По данным специалистов в области компьютерной экономики и информационной безопасности, основную угрозу в настоящее время представляют компьютерные вирусы.

Наиболее благоприятной средой для распространения вредоносного программного обеспечения является сеть Интернет. Из возможных путей распространения в сети Интернет вирусы активно используют каналы электронной почты. Об этом свидетельствуют отчёты, предоставляемые компаниями, занимающимися антивирусной защитой.

Существует ещё один важный связующий элемент, объединяющий вредоносные программы и электронную почту, - спам (незапрошенная массовая рассылка электронной почты). Тенденция к объединению вирусных технологий с технологиями анонимной незапрошенной массовой рассылки электронной почты сегодня приобретает всё большую значимость. По оценкам экспертов, в рассылке спама, в основном, участвуют сети компьютеров обычных пользователей, превращенных в компьютеры-зомби посредством использования уязвимостей или других вирусных технологий. По данным различных компаний, занимающихся проблемами спамовых рассылок, процент спамовых сообщений, рассылаемых с использованием компьютеров-зомби, превышает 80% от всего объёма рассылаемого спама.

Следовательно, правильно определённые источники рассылки спама могут с высокой достоверностью указывать на инфицированные вредоносным ПО компьютеры.

Одним из способов борьбы с распространением вредоносных программ, а также спама, является локализация источников распространения с последующим воздействием на них (отключение от сети, удаление вредоносных программ и т.п.) для прекращения дальнейшего распространения ими несанкционированной рассылки.

Для выявления источника несанкционированной рассылки необходимы детальный анализ и проверка информации, находящейся в служебных заголовках сообщений электронной почты. В связи с большими и постоянно возрастающими объёмами почтового трафика ручной анализ и проверка такой информации оказываются крайне неэффективными.

Резюмируя вышеизложенное, можно сделать заключение, что одним из возможных способов локализации инфицированных вредоносным ПО компьютеров является определение источников рассылки почтовых

сообщений (о которых априорно известно, что они являются спамом или содержат вредоносный код) путём анализа их служебных заголовков. Следовательно, разработка специализированных моделей, методов и алгоритмов, предназначенных для автоматизации процесса определения источников рассылки почтовых сообщений, является актуальной задачей.

Информация о сетевых узлах, участвующих в распространении вредоносных программ или спама по электронной почте, несомненно, будет важна как при решении задачи нейтрализации вирусных эпидемий, так и для решения других задач, связанных с распространением вирусов. А системы, предоставляющие такую информацию, могут с успехом применяться как в глобальных, так и в локальных сетях для обеспечения более эффективной работы систем информационной безопасности.

Объектом исследования данной работы являются проблемы безопасности информации, связанные с распространением вредоносных программ и спама, а также механизмы рассылки электронных сообщений, использующие сокрытие сетевых узлов отправителя.

Предметом исследования являются методы определения источников несанкционированной рассылки вредоносных программ и спама с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе.

Целью работы является повышение эффективности методов борьбы с вредоносными программами на основе своевременного автоматизированного определения очагов вирусной активности, которая проявляется в виде рассылки ими сообщений электронной почты, содержащих известное (антивирусным системам и системам антиспамовой защиты) вредоносное ПО или спам, а также создание автоматизированной системы, реализующей эти методы.

Для достижения поставленной цели в ходе работы над диссертацией были проведены исследования существующих методов несанкционированной рассылки почтовых сообщений и анализ методов, используемых для сокрытия источника несанкционированной рассылки, а также решались следующие научные задачи:

1. Построение математической модели выявления фальсификации служебных заголовков почтового сообщения, включающей формализацию условий присутствия фиктивных заголовков.

2. Разработка метода выявления источника несанкционированной рассылки сообщений электронной почты с учётом возможного наличия фиктивной информации в служебных заголовках и его алгоритмического обеспечения.

3. Разработка способов сбора информации о несанкционированной рассылке почтовых сообщений от различных источников и её анализа.

4. Разработка алгоритма принятия решений о действиях, имеющих целью противодействие распространению вредоносных программ.

Методы исследования

Для решения поставленных задач использовались системпый анализ, теория алгоритмов, теория множеств, методы математической логики, теория конечных автоматов.

Научная новизна результатов, полученных в диссертации, состоит в следующем:

1. Предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

2. Показано, что в общем случае источник почтовой рассылки в рамках протокола SMTP определить невозможно. Определены и обоснованы условия, при которых возможно решение данной задачи.

3. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков. Показано, что с помощью введённого в модели критерия устанавливается, является заголовок истинным или фиктивпым.

4. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама, с учётом возможного присутствия в нём фальсифицированных данных.

5. Впервые разработаны концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

Практическую ценность представляют разработанное алгоритмическое обеспечение автоматизированной системы, а также полученные в диссертационной работе рекомендации по выбору численного значения степени достоверности заголовка, от которого зависит точность выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты.

Автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты (далее АСВСУ), была разработана на основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи. Основными возможностями автоматизированной системы являются:

• сбор и хранение электронных почтовых сообщений, попавших в категорию вирусов и спама, для последующего анализа конфликтных ситуаций (например, «антиспамовая» система ошибочно приняла сообщение за спам, и важное для пользователя письмо было удалено);

• обнаружение сетевых узлов, инфицированных как известными, так и не известными ранее вредоносными программами, путём анализа активности этих программ, которая проявляется в виде рассылки сообщений электронной почты, содержащих спам или известные (антивирусным системам) вредоносные программы;

• сбор информации о сетевом узле, участвующем в распространении вредоносных программ, которая необходима для идентификации владельца скомпрометированного сетевого узла;

• уведомление пользователя/владельца скомпрометированного сетевого узла об имеющей место несанкционированной деятельности с его компьютера;

• информирование провайдера о нелегальных действиях с идентифицированного сетевого узла (компьютера пользователя);

• формирование на основе 1Р-адресов источников рассылки «чёрных списков» для систем фильтрации электронной почты;

• противодействие путём измепения прав доступа или пропускной способности на сетевых устройствах (межсетевых экранах, маршрутизаторах).

Внедрение результатов работы

Результаты диссертационной работы внедрены в:

• ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции.

• Московском инженерно-физическом институте (государственном университете). Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции «СЛЕДОПЫТ».

Апробация работы

Основные методические и практические результаты исследований докладывались на следующих конференциях и выставках:

1. XI Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" - Москва, 2004г.

2. XIV Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2005г.

3. XIII Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" - Москва, 2006г.

4. XIV Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" - Москва, 2007г.

5. XI Выставка-конференция "Телекоммуникации и новые информационные технологии в образовании" — Москва, 2007г.

6. XVII Общероссийская паучно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2008г.

За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем «антивирусной» и «аптиспамовой» фильтрации электронной почты автор был награждён дипломом Х1-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании".

Публикации

По теме диссертации опубликованы 6 научных работ.

Основные положения, выносимые на защиту:

1. Математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения.

2. Классификация ключевых признаков, указывающих на присутствие фиктивных заголовков.

3. Алгоритм определения источников несанкционированной рассылки.

4. Метод определения заражённых вредоносными программами сетевых узлов путём анализа заголовков распространяемых ими электронных почтовых сообщений, содержащих инфицированные вложения.

5. Методы противодействия несанкционированной рассылке.

6. Концептуальная модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

7. АСВСУ как средство: активного информационного противодействия угрозам нарушения информационной безопасности; обеспечения внутреннего аудита и мониторинга каналов электронной почты с целью обнаружения инфицированных вредоносными программами сетевых узлов; защиты от потери информации в связи с некорректной обработкой почтовых сообщений системами «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (удаление писем при ложных срабатываниях).

Объем и структура

Диссертация состоит из введения, пяти глав, заключения, списка использованной литературы из 103 наименований и приложений. Основная работа диссертации содержит 133 страницы текста, включая 22 рисунка и 8 таблиц. Объем диссертационной работы с учетом приложений составляет 180 стр.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационного исследования, определяются и формируются цели и задачи исследования, научная новизна и практическая ценность, положения, выносимые на защиту, а также результаты внедрения.

В первой главе «Несанкционированная рассылка сообщений электронной почты» проводится анализ классификации вредоносных программ, способов их распространения и обнаружения, а также определяются угрозы, связанные с их распространением; оценивается роль электронной почты в распространении вредоносных программ; даётся обзор методов сбора информации о сетевых узлах, участвующих в несанкционированной рассылке, и способов противодействия таким рассылкам.

Проведённый анализ существующих путей распространения вредоносного программного обеспечения показал, что наиболее благоприятной средой для их распространения является сеть Интернет. При этом из всех возможных путей распространения в сети Интернет вредоносные программы для своего распространения в большинстве случаев используют каналы электронной почты.

Важным связующим элементом, объединяющим вредоносные программы и электронную почту, является спам (незапрошенная массовая рассылка электронной почты). Тенденция к объединению вирусных технологий с технологиями анонимной незапрошенной массовой рассылки электронной почты сегодня приобретает всё большую значимость. По оценкам экспертов по информационной безопасности, в большинстве случаев рассылка спама осуществляется с использованием сетей компьютеров обычных пользователей, превращенных посредством

использования уязвимостей в ПО или использования вирусных технологий в компьютеры-зомби. По данным различных компаний, занимающихся проблемами спамовых рассылок, процент спамовых сообщений, рассылаемых с использованием компьютеров-зомби, может превышать 80% от всего объёма спама. Компьютеры-зомби дают возможность авторам спама не только рассылать миллионы писем, но и скрывать истинные источники рассылок, оставаясь безнаказанными.

Исходя нз вышесказанного, можпо сделать вывод, что правильно определённые источники рассылки спама могут с высокой достоверностью указывать на инфицированные вредоносным ПО компьютеры.

В силу специфики протокола передачи электронных почтовых сообщений использование систем обнаружения/предотвращения вторжений (IDS/IPS), а также систем антивирусной фильтрации почтового трафика и анти-спамовых фильтров для определения источников несанкционированной рассылки может оказаться неэффективным. При этом, чем больше процент сообщений, пришедших в систему не напрямую (через промежуточные почтовые сервера), тем меньше эффективность традиционных способов обнаружения источника нарушений.

Для выявления источника несанкционированной рассылки необходимы детальный анализ и проверка информации, находящейся в служебных заголовках сообщений электронной почты, причём, из-за весьма больших объемов почтового трафика, «ручные» анализ и проверка такой информации оказываются крайне неэффективными.

Представленные на рынке средств информационной безопасности системы, способные выполнять функции сбора и анализа информации о несанкционированных почтовых рассылках с целью определения источников рассылки, имеют определённые недостатки, а именно:

• в качестве адреса отправителя может быть определён только узел, с которого было получено сообщение. Отсутствует процедура анализа служебных заголовков Received с целью более «глубокого» поиска источника, если сообщение прошло через несколько почтовых систем;

• не предусмотрена возможность ответной реакции системы на инциденты безопасности;

• тяжеловесность системы (необходимость для обеспечения работы системы отдельного почтового сервера организации);

• закрытость системы для модификации и относительно высокая стоимость.

Разработка автоматизированной системы, предназначенной для сбора и анализа информации о несанкционированных почтовых рассылках с целью определения источников рассылки, и совершения каких-либо ответных действий по отношению к источнику рассылки, является перспективным направлением развития средств сетевой защиты,

направленных на решение задач, связанных с распространением вредоносного программного обеспечения.

Следует отметить, что в открытых источниках отсутствует информация об автоматизированных системах, которые имеют своим назначением сбор и анализ информации о несанкционированных почтовых рассылках с целью определения источников рассылки, с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе, и принятия каких-либо действий по отношению к источнику рассылки.

Во второй главе «Исследование методов несанкционированной рассылки сообщений электронной почты» рассмотрены методы рассылки вредоносных программ и спама; проведён сравнительный анализ возможностей программного обеспечения, используемого для рассылки иезапрошенпой электронной почтовой корреспонденции, на предмет выявления особенностей, связанных с передачей сообщений.

С целью определения основных технологий, используемых при рассылке вредоносных программ и спама, было проведено исследование возможностей программного обеспечения, используемого для рассылки незапрошешюй электронной почтовой корреспонденции. Исследование показало, что такое программное обеспечение может обладать следующей возможностями:

• рассылка посредством подключения непосредственно к почтовому серверу получателя с использованием встроенного почтового клиента;

• рассылка через почтовый сервер, определённый политикой, действующей в рамках узла, с которого ведётся рассылка, или сети, которой он принадлежит;

• рассылка через заданный почтовый сервер или шлюз;

• рассылка через посредника с применением протоколов, отличных от SMTP (прокси-сервера) или не полностью соблюдающих его (например, без добавления заголовка Received или добавления ложных заголовков).

Установлено, что основным способом распространения спама и вредоносного ПО (более 86%) является рассылка путём непосредственного подключения к почтовому серверу получателя с использованием встроенного почтового клиента. Результат получен путём анализа способов рассылки вредоносных программ и спама на тестовой выборке сообщений, содержащих спам и вредоносное ПО.

Выполнен анализ действий, совершаемых для сокрытия источника рассылки вредоносных программ и спама, который показал, что основными методами, используемыми для того, чтобы скрыть сетевой адрес, с которого отсылается электронное почтовое сообщение, являются:

• добавление фиктивных заголовков Received;

• использование общедоступных шлюзов (Open Relay);

• использование общедоступных PROXY- серверов или шлюзов с изменением среды передачи (например, почтовые серверы, работающие через Web интерфейс);

• использование «компыотеров-зомби».

Технологии передачи почтовых сообщений, в совокупности с методами, используемыми при рассылке вредоносных программ и спама, не дают гарантий однозначного определения источника, сгенерировавшего почтовое сообщение. Таким образом, определение источника в общем случае становится невозможным. Однако, в ряде случаев, определить источник рассылки возможно.

Исходя из текущих тенденций развития методов несанкционированной рассылки, можно сделать следующие заключения:

• почти весь объём спама исходит от компьютеров «зомби»;

• наиболее распространенным способом сокрытия источника рассылки является добавление фиктивных заголовков «Received».

В третьей главе «Метод выявления источника несанкционированной рассылки сообщений электронной почты» предложен метод выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама посредством протокола SMTP; разработан алгоритм анализа SMTP заголовка электронного почтового сообщения на предмет поиска в нём фиктивных данных; определены параметры, анализируя которые можно сделать предположение о присутствие в конкретном сообщении фиктивных заголовков.

Метод заключается в последовательном анализе цепочки служебных заголовков почтового сообщения. Истинность или фиктивность каждого заголовка устанавливается в соответствии с разработанной математической моделью выявления фальсифицированных служебных заголовков. Математическая модель основана на выполненной формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка. Численное значение степени достоверности заголовка зависит от того, какие из имеющихся условий присутствия фиктивных заголовков выполнены.

Спецификация протокола SMTP обязывает каждого почтового транспортного агента (МТА), через которого проходит сообщение, добавлять к сообщению свой заголовок «Received»; в заголовке «Received», как правило, указывается, кем было получено почтовое сообщение и от кого.

Анализ этой последовательности заголовков «Received» электронных почтовых сообщений обеспечивает решение задачи определения источника несанкционированной рассылки, т.е. задачи поиска сетевого

узла, которым было первоначально сформировано сообщение. Кроме того, разбор служебных заголовков почтового сообщения является единственным способом определения источника рассылки, поскольку только в заголовке «Received» содержатся данные о сетевых узлах, участвующих в передаче сообщения.

В общем случае, с учётом возможности присутствия ложных заголовков, набор служебных заголовков «Received» можно представить следующим образом (см. рис. 1):

Received: from ... tp ....

Начальная точка генерации почтового сообщения

Reccwed: from.... by ....

Rereii-cd: Уг<> 'тт

Received: from

Реальные заголовки

Ложные

■ заголовки

Рис. 1. Набор служебных заголовков «Received».

Для описания решения задачи анализа последовательности заголовков «Received», с целью поиска фиктивных заголовков, используется теория конечных автоматов.

Конечный автомат представим в виде формальной системы М=ф,ЪЬ«ьЦ, где U — конечное непустое множество состояний; £ — конечный входной алфавит; S— отображение типа U х > U; UgeU— начальное состояние; L çzU—множество конечных состояний. Входной алфавит {vv,} может принимать следующие условные значения:

0 - найден поддельный заголовок;

1 - текущий заголовок соответствует промежуточной точке генерации почтового сообщения;

2 - текущий заголовок является последним в последовательности заголовков.

Следовательно, входной алфавит является конечным множеством и 1={0,1,2}.

Для анализа двух последовательных заголовков из множества заголовков R={n} введём дополнительно функцию F, анализирующую информацию, находящуюся в заголовках, такую, что:

0, если следующий заголовок является поддельным;

1, если следующий заголовок не является поддельным; текущий заголовок соответствует промежуточной точке генерации почтового сообщения.

Рассмотрим приведенную на рисунке 2 диаграмму состояний конечного автомата, анализирующего последовательность заголовков

F(n,ri+I)= ^

«Received». Входной алфавит конечного автомата M=(V,Yj,S,Uo,L) равен £={0,1,2}, ¿7={«0,«;},Х={йв}, !)=«<?, Sj'o,0)=«/, d(uo,2)=Ui.

Рис. 2. Диаграмма состояний конечного автомата. На каждом шаге автомат рассматривает значение функции F (если текущий заголовок не является последним), которое зависит от содержания очередного заголовка, и принимает решение о переходе к рассмотрению значения функции от следующего заголовка либо решение об остановке. Следовательно, основной проблемой является выбор параметров, от которых зависит функция F, т.е. необходимо определить параметры, анализируя которые можно сделать предположение о присутствии в конкретном сообщении фиктивных заголовков. При этом, если п+1 - заголовок является первым, встретившимся фиктивным, то заголовок г, соответствует начальной точке генерации почтового сообщения.

В ходе анализа заголовков почтовых сообщений разных категорий (спам, рассылка вредоносных программ, обычные почтовые сообщения) эмпирическим путём был введён ряд параметров, проверка значений которых, в определённых случаях, позволит определить, является рассматриваемый заголовок «Received» истинным или поддельным. Этими параметрами являются:

• R - соответствие заголовка формату (формат заголовков «Received» должен удовлетворять требованиям протокола - RFC 2821 и RFC 2822);

• Dmx, Da ~ Для доменного имени, указанного в заголовке в качестве МТА, должна быть соответствующая запись «MX» или «А»;

• L - доменное имя, указанное в заголовке в качестве МТА, должна быть не выше третьего уровня;

• Cr- связность двух последовательных заголовков «Received»;

• Cß - связность полей by и from одного заголовка «Received»;

• S — проверка доступности из сети Интернет почтовой службы (TCP/25, TCP/110, TCP/143, TCP/465) на сервере, указанном в качестве МТА.

Определим следующий набор параметров У = {R, CR, Cjb,Dm,DA££}, где каждый из параметров может принимать значение {0,1} в зависимости от выполняемое™ соответствующего условия.

В связи с тем, что в ряде случаев однозначное определение источника рассылки не представляется возможным, было решено ввести

некоторый параметр 1М, значение которого от значений параметров из множества У={Н,Сц,С/ь^)мх&а££} и который характеризует степень достоверности указанных в заголовке служебных данных. При этом любому набору параметров из множества У ставится в соответствие натуральное число. Чем больше значение этого параметра, тем больше достоверность указанных в заголовке данных. Следует отметить, что термин «степени достоверности» используемый в работе не связан с термином «статистическая значимость».

Для задания значения параметра N для каждого набора {С ¡¡„Вnix.fiа^-^} упорядочим наборы входящих в них параметров по степени влияния на достоверность данных, указанных в заголовке. И после упорядочивания пронумеруем наборы. Номера наборов будем использовать как значения параметра N.

Для упорядочивания наборов использовался метод ранжирования объектов по важности путём парного сравнения (метод парных сравнений), применяемый при анализе экспертных оценок.

После опроса экспертов и упорядочивания коэффициентов относительной важности объектов по возрастанию были получены искомые значения степени достоверности N для заданных наборов условий (таблица 1):

Таблица 1.

N Набор условий

0 Л=0 или Ся =0

1 Я=1.СК=1

2 Я=1. Ся=7, Оа-1

3 Я=1, Ся=1, ьч

3 7?=7, С* =7, 7^=71=7

4 Я=1. Сц=1, 5=7

5 я=1.с„=1, А,«=;

5 Я=1, С* =7,7)^=7 5=7

5 Я=1,Ся=1,Ол=1 £>л«=7

6 7г=7, Ск=7, 7,=1, 5=7

6 Я=1, СЯ=7,Д,=7,7>7, 5=7

7

8 Я=1,Ся=1,Оих=1.0А=1, 1=7

9 Я=1,СК=1, 1>л^7,5=7

9 5=7

10 Д=7,СЛ=7,7>**=7,7;=7, 5=7

10 тг=7,сд =7, 75^7,^=7, Ь=1, 5=7

N Набор условий

11 Я=1, Ся=1, Сл=1

12 Д=7,С*=7,С®=7,7^=7

13 Д=7, Сй=7, СЛ=7,1=7

13 Я=1, Сд =7, Сд=7,7)^=7, £=7

14 7?=7, СЛ = 7, Сй=7,5=7

15 7г=7,СЛ =7,^=7,7)^7

15 Я=1, Ся =7, Сл=1, йш=1, Д,=7

15 Д=7,СЛ=7,СЛ=7,А<=7. 5=7,

16 7?=7, Сд =7, С/1,-1,1=1, 5=7

16 Я=1, Ск =7, С/ъ~1, 7)^=7,1=7, 5=7

17

18 Я=1, Сд =7, СЛ=7, 7)^=7, £>„=7,1=7

19 •й=7, Ск 1~>№, 5=7

19 тг=7, С* =7, С*=7, £>щ-=7, Д(=7, 5=7

20 7?=7, Сд =7, С^=7,7^7,1=7, 5=7

20 Я=1,Ся=1,Оь=1,Вих=1,Ол =7,1=7, 5=7

Теперь, возвращаясь к постановке задачи разбора служебных заголовков, можно определить функцию, анализирующую информацию из заголовков -

О, если N < Q (следующий заголовок является поддельным);

F(fi,fi+i)~ еслн д> Q (следующий заголовок не является

поддельным; текущий заголовок соответствует ,. промежуточной точке генерации почтового сообщения) ,

где Q - введённый параметр, названный критерием степени достоверности данных, указанных в заголовке. Критерий степени достоверности Q выполняет функцию порогового значения, определяющего минимальное значение параметра N при котором заголовок считается не поддельным. Критерий задаётся оператором системы и влияет на точность определения источника рассылки.

Для усовершенствования метода поиска источника и обхода некоторых ограничений введём дополнительно список узлов, которые назовём доверенными узлами и о которых априорно известно, что они могут использоваться другими узлами для пересылки почты. Вероятность подделки заголовков этими системами считается незначительной, так как может являться только следствием взлома этих систем. Примером таких узлов могут служить серверы почтовых систем типа MAIL.RU, GMAIL, POCHTA.RU. При этом, если заголовок был добавлен доверенным узлом, то функция перехода для конечного автомата, анализирующего заголовки, принимается равной 1, т.е. F(r;,r,+;) =1.

Рассмотрим алгоритм поиска источника несанкционированной рассылки.

С целью упрощения процедуры определения начальной точки формирования почтового сообщения необходимо провести подготовительные операции, заключающиеся в предварительной очистке служебных заголовков путём удаления избыточной информациии и не участвующих в анализе заголовков (заголовки Return-Path, Received-SPF, Date, From, To, и т.п.).

Для определения узла, который участвует в рассылке и находится наиболее «близко» к источнику рассылки (или является источником), используются следующие правила:

1. Первый заголовок Received (добавляемый почтовой системой на стороне получателя) является истинным и IP-адрес, указанный в поле «from» этого заголовка, становится решением по умолчанию -W{fromx).

2. Если в сообщении присутствует больше одного заголовка, то их список просматривается до конца или до появления первого поддельного заголовка. IP-адрес, указанный в поле «from»

последнего не поддельного заголовка, объявляется решением -№(/гот,), где / - номер последнего, не поддельного заголовка. Рисунок 3 иллюстрируют принцип определения источника несанкционированной рассылки или узла, наиболее близкого к нему в соответствии с предложенным алгоритмом.

С

Начало

I

J)

Набор заголовков «Received» для проверяемого сообщении

Очистка набор* заголовков от неинформативных данных

Набор заголовков

«Rtceired», полученных после

пред»«ригельной

очистки

Условные обозначения:

JP(fron>i) — IP-адрес указанный в в поле фот» ¿-того заголовка «Received»; i — номер текущего анализируемого заголовка; л - число заголовков «Received»; С - критерий степени достоверности, параметр, задаваемый оператором системы в влияющий на точность определения источника рассылки; N-параметр,

характеризующий степе» достоверности данных указанных в заголовке с иоыерон t+1

Определю» значений параметр»:

1

Определят значения степени достоверности

f IP (from,) является источником \ у несанкционированной рассылки J

Рисунок 3. Алгоритм определения источника несанкционированной

рассылки.

Выходными данными для предложенного алгоритма будет 1Р-адрес узла, о котором можно однозначно сказать, что он участвовал в передаче исходного почтового сообщения.

Для успешной работы алгоритма необходимо выполнение следующих условий:

• заголовок Received, добавленный последним (на принимаемой стороне), является истинным;

• вероятность подделки заголовков почтовыми системами (доверенными узлами) считается незначительной;

• все почтовые МТА добавляют запись «Received» в набор заголовков;

• формат заголовков должен удовлетворять требованиям протокола (RFC 2821 и RFC 2822);

• на узле, являющемся распространителем вредоносных программ или спама, не должно быть работающих почтовых служб или их эмуляторов, прослушивающих TCP порты 25,110,143.

В четвёртой главе «Автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты»

рассматриваются вопросы, связанные с разработкой концептуальной модели, функциональной структурой и ограничениями, реализацией модели на базе алгоритмического обеспечения. Также приведено описание разработанной автоматизированной системы, её основные характеристики, проведено тестирование системы на тестовой выборке почтовых сообщений и даны методические рекомендации по улучшению её работы.

Модель автоматизированной системы выявления сетевых узлов представим состоящей из следующих четырёх функциональных блоков:

• подсистема сбора данных о нарушениях безопасности;

• подсистема определения начальной точки генерации почтового

сообщения (а также сбора дополнительной информации о нём);

• подсистема выбора и реализации ответных действий (по отношению

к начальной точке следования пакетов);

• подсистема аудита и подготовки отчётов.

Упрощением модели системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты, является то обстоятельство, что найденный узел может являться промежуточным.

Основные ограничения модели являются следствием ограничений алгоритма определения источника несанкционированной рассылки.

Модель автоматизированной системы реализована в виде программного решения для операционных систем семейства Windows (2000/ХР/2003).

Схема функциональной структуры разрабатываемой концептуальной модели приведена на рисунке 4.

В процессе выявления источника рассылки используется разработанный алгоритм определения фиктивных заголовков, в котором основным регулируемым параметром является критерий степени достоверности Q. С целью определения оптимального значения данного критерия была рассмотрена выборка заголовков «Received». Для более полного охвата возможных комбинаций каждый набор заголовков присутствовал в выборке в единственном экземпляре. Для тестовой выборки использовались сообщения, состоящие из двух заголовков «Received», что могло означать, что либо сообщение проходило через два почтовых сервера, либо первый заголовок - фиктивный. Все сообщения, попавшие в тестовую выборку, были проверены на наличие фиктивных заголовков «вручную». Проверка выборки, состоящей из 247 сообщений, показала:

• в 65% (162) сообщений присутствовали, а в 33% (81) сообщений отсутствовали фиктивные заголовки;

• в 2% (4) сообщений определить присутствие (отсутствие) фиктивных заголовков не удалось.

Оптимальное значение критерия Q определялось, исходя из следующих положений:

• количество заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, должно быть минимальным;

• должны отсутствовать заголовки, неправильно классифицированные как истинные, но являющиеся фиктивными.

Итоговые данные, собранные на основании анализа тестовой выборки, приведены в таблице 2.

___ _ ___Таблица 2.

Удовлетворяют Ложно отброшенные / Ложно принятые /

Q условию в "( )" - не отнесены ни в в "()" - не отнесены ни в

N>& какую категорию какую категорию

0 247 0(0) 162(4)

1 116 4(0) 35(4)

2 101 4(1) 21(3)

3 83 5(2) 5(2)

4 65 18(2) 0(2)

5 65 18(2) 0(2)

6 56 25(4) 0(0)

7 36 45(4) 0(0)

8 36 45(4) 0(0)

9 32 49(4) 0(0)

10 32 49 (4) 0(0)

11 27 54(4) 0(0)

12 25 56(4) 0(0)

13 23 58 0(0)

14 19 62 0(0)

15 18 63 0(0)

16 13 68 0(0)

17 3 78 0(0)

18 2 79 0(0)

19 2 79 0(0)

20 2 79 0(0)

Рассмотрим диаграмму, приведённую на рис.3, которая построена па основании таблицы 2:

- - - Ложно отброшенные - - ■ • Ложно принятые 180 —--

160 Ф-

О 2 4 6 8 10 12 14 16 18 20

а

Рис. 3. Зависимость числа неправильно классифицированных заголовков от значения критерия степени достоверности (Ц.

Из этой диаграммы видно, что для данной тестовой выборки число заголовков, неправильно классифицированных как истинные, стремится к О при значении критерия Q > 4.

Проверка работы автоматизированной системы на тестовой выборке показала её эффективность в плане правильности определения источника несанкционированной рассылки и времени реакции. Число заголовков, неправильно классифицированных как истинные, но являющихся фиктивными, стремится к 0 при значении критерия Q > 4. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Дальнейшее улучшение работы системы предлагается проводить по следующим основным направлениям:

• добавление дополнительных модулей;

• увеличение производительности системы;

• обеспечение безопасности информационных потоков внутри системы при разделении сё на несколько программно-аппаратных модулей.

Первое направление - это добавление дополнительных модулей, которые реализуют новые механизмы сбора информации, а также выбора и реализации ответных действий по отношению к скомпрометированному сетевому узлу.

Задачу увеличения производительности системы, т.е. числа сообщений, обрабатываемых системой в единицу времени, можно решать различными способами. В первую очередь предполагается провести оптимизацию исходного кода модулей автоматизированной системы. Вместе с тем, желателен перевод исходного кода с интерпретируемого языка программирования (в настоящие время - PERL) на компилируемый (например C/C++). Это позволит значительно увеличить производительность системы, даже не рассматривая вопросы оптимизации исходного кода.

Для увеличения производительности целесообразно также разнести функциональные модули на независимые аппаратные платформы, каждая из которых будет настроена на выполнение задач конкретного модуля.

При разделении системы на несколько программно-аппаратных модулей станет актуальной задача обеспечения безопасности информационных потоков внутри системы. Для решения задачи защиты информационных потоков системы можно предложить использование технологий VPN на основе криптографической защиты передаваемых данных.

В заключении приведены результаты и выводы, полученные автором в ходе выполнения работы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ

В процессе выполнения работы были получены нижеследующие

основные результаты.

1. Показано, что в силу специфики протокола передачи электронных почтовых сообщений использование систем типа IDS/IPS, а также системы антивирусной фильтрации почтового трафика и анти-спамовских фильтров для определения источников несанкционированной рассылки является неэффективным.

2. Предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

3. Показано, что невозможно, в общем случае, определение источника почтовой рассылки в рамках протокола SMTP.

4. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Отличительной особенностью модели является введение понятия степени достоверности заголовка и условий, указывающих на присутствие фиктивных заголовков, формализованных математически.

5. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама, с учётом возможного присутствия в нём фальсифицированных данных.

6. Впервые разработан алгоритм определения фиктивных данных в служебных заголовках электронного почтового сообщения, основанный на анализе значений заданных параметров.

7. Предложен алгоритм определения параметра «показатель корреляции заголовков», входящего в алгоритм определения фиктивных данных в служебных заголовках.

8. Впервые разработана концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

9. На основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи, реализована автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты. Автоматизированная система, реализующая предложенные методы анализа заголовков, позволила существенно снизить время, необходимое на разбор заголовков с целью

определения источников рассылки вредоносного программного обеспечения.

10. Определено оптимальное значение критерия степени достоверности заголовка па примере тестовой выборки. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Основные результаты диссертационной работы изложены в 6 печатных

трудах:

1. Рудик К.П. Определение заражённых вредоносными программами сетевых узлов путём анализа заголовков распространяемых ими электронных почтовых сообщений, содержащих инфицированные вложения. // Сборник научных трудов конференции «XIV ОБЩЕРОССИЙСКАЯ НАУЧНО-ТЕХНИЧЕСКАЯ КОНФЕРЕНЦИЯ. Методы и технические средства обеспечения безопасности информации» С-Перербург СПбГПУ 2005 С. 99.

2. Рудик К.П. Построение активной сетевой защиты // Сборник научных трудов конференции «XI Всероссийская научно-техническая конференция. Проблемы информационной безопасности в системе высшей школы», Москва, 2004г. С. 130-131.

3. Рудик К.П. Способы сбора сетевой информации о нарушителе.// «Безопасность информационных технологий» М. МИФИ 2004. №2. С. 76-79.

4. Рудик К.П. Выявление источников рассылки вредоносного программного обеспечения при использовании протокола SMTP// Сборник научных трудов конференции «XIII Всероссийская научно-техническая конференция. Проблемы информационной безопасности в системе высшей школы», Москва, 2006г. С. 98-99

5. Рудик К.П. Выявление сетевых узлов, участвующих в распространении вредоносных программ и спама в системах электронной почты .// «Безопасность информационных технологий» М. МИФИ 2008. №1. С. 35-46.

6. Рудик К.П. «Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты»// Сборник научных трудов конференции XVII Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2008г.

Подписано в печать 03.04.2009 г. Печать на ризографе. Тираж 100 экз. Заказ № 1709. Объем 1,3 п.л. Отпечатано в типографии ООО "Алфавит 2000", ИНН: 7718532212, г. Москва, ул. Маросейка, д. 6/8, стр. 1, т. 623-08-10, www.alfavit2000.ru

Оглавление автор диссертации — кандидата технических наук Рудик, Кирилл Петрович

ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ И ТЕРМИНОВ.

ВВЕДЕНИЕ.

1 ГЛАВА. НЕСАНКЦИОНИРОВАННАЯ РАССЫЛКА СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ.

1.1 Вредоносные программы.

1.2 Анализ методов обнаружения вредоносных программ и «сплмл».

1.3 Локализация источников распространения вредоносных программ и спама.

1.4 Способы противодействия несанкционированному доступу. выводы к главе 1.

2 ГЛАВА. ИССЛЕДОВАНИЕ МЕТОДОВ НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ.

2.1 Анализ технологий, используемых при рассылке вредоносных программ и «спама».

2.2 Анализ методов, используемых для сокрытия источника несанкционированной рассылки электронной почты.

Выводы к главе 2.

3 ГЛАВА. МЕТОД ВЫЯВЛЕНИЯ ИСТОЧНИКА НЕСАНКЦИОНИРОВАННОЙ РАССЫЛКИ СООБЩЕНИЙ ЭЛЕКТРОННОЙ ПОЧТЫ.

3.1 Разбор служебных заголовков.

3.2 Поиск источника несанкционированной рассылки.

Выводы к главе 3.

4 ГЛАВА. АВТОМАТИЗИРОВАННАЯ СИСТЕМА ВЫЯВЛЕНИЯ СЕТЕВЫХ УЗЛОВ, УЧАСТВУЮЩИХ В РАСПРОСТРАНЕНИИ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СПАМА В СИСТЕМАХ ЭЛЕКТРОННОЙ ПОЧТЫ.

4.1 Концептуальная модель.

4.2 Реализация модели автоматизирова1 и юй системы.

4.3 Результаты тестирования и основные характеристики системы.

4.4 Методические рекомендации по улучшению работы АС.

Выводы к главе 4.

Введение 2009 год, диссертация по информатике, вычислительной технике и управлению, Рудик, Кирилл Петрович

В настоящее время информационные технологии во многом определяют успех в деятельности организаций любого уровня от небольших предприятий до общенациональных государственных и коммерческих структур. Вместе с тем, с широким внедрением современных информационных технологий, информация становится все более критичным ресурсом, а ее изменение, хищение или уничтожение могут привести к большим потерям. По данным специалистов в области компьютерной экономики и информационной безопасности, основную угрозу в настоящее время представляют компьютерные вирусы. Годовой ущерб от некоторых вирусных эпидемий превышает десятки миллиардов долларов. В оценку ущерба входят: убытки компаний от потерь пропускной способности в каналах передачи данных, утечка конфиденциальных данных, снижение производительности сетевых ресурсов и служб, увеличение задержек в управлении и стоимости восстановления работоспособности зараженных систем.

Началом истории массового распространения компьютерных вирусов [55] можно считать 1988 год. Впервые заражение было массовым от написанного 23-летним американским программистом "червя", поразившего ARPANET: при этом пострадали 6 тыс. компьютеров. Впервые суд осудил автора компьютерного вируса: он был приговорен к $10 тыс. штрафа и трем годам испытательного срока. С тех пор масштабы вирусных эпидемий только увеличивались.

Наиболее благоприятной средой для распространения вредоносного программного обеспечения является сеть Интернет [1,6]. В основном, это объясняется следующими особенностями:

• быстрые каналы для распространения;

• наличие множества различных сервисов информационного обмена (FTP и WWW сервера, электронная почта, файл-обменные сети и.т.д.);

• огромное количество связанных между собой компьютеров;

• большой процент неквалифицированных пользователей, слабо разбирающихся в современных информационных технологиях, и, как следствие, большое число плохо защищённых компьютеров.

В числе основных целей, которые преследуют создатели вредоносных программ, можно отметить следующие [6,55]:

• похищение информации (кража паролей или любой другой конфиденциальной информации, хранимой на компьютере пользователя или доступной с компьютера пользователя);

• совершение деструктивных действий по отношению к инфицированному узлу (модификация или удаление данных, нарушение нормального функционирования системы);

• использование инфицированных узлов для проведения сетевых атак на другие узлы;

• использование инфицированных узлов для рассылки вредоносных программ или «спама»;

• выполнение инфицированными узлами другой «полезной» работы (например, для увеличения показаний счётчиков посещаемости веб-ресурсов).

В связи с развитием и распространением сети Интернет растёт и число способов распространения вредоносных программ [36,56], к которым можно отнести: электронную почту (с использованием «социальной инженерии» или/и уязвимостей в клиентском ПО), файл-обменные сети, различные интернет-пейджеры (типа ICQ и Windows Messenger), интернет-чаты, а также непосредственную передачу от одного сетевого узла другому, используя уязвимости в программном обеспечении.

Из возможных путей распространения в сети Интернет вирусы активно используют каналы электронной почты. Об этом свидетельствуют отчёты [33], предоставляемые компаниями, занимающимися антивирусной защитой. Так, при анализе данных по вирусной активности, предоставленных компанией «Лаборатория Касперского», выяснилось, что практически все самые распространенные в 2007 году вирусы оказались способны рассылать свои копии с использованием электронной почты [1].

Существует ещё один важный связующий элемент, объединяющий вредоносные программы и электронную почту — спам (незапрошенная массовая рассылка электронной почты). Тенденция к объединению вирусных технологий с технологиями анонимной незапрошенной массовой рассылки электронной почты [1] сегодня приобретает всё большую значимость. По оценкам экспертов по информационной безопасности [2], при рассылке спама, в основном, используются сети компьютеров обычных пользователей, превращённых посредством использования уязвимостей в ПО или использования вирусных технологий в компьютеры-зомби1.

По данным различных компаний, занимающихся проблемами спамовых рассылок, процент спамовых сообщений, рассылаемых с использованием компьютеров-зомби, превышает 60% (по данным экспертов компании SophosLabs[3]), а по другим оценкам может превышать 80%[4] от всего объёма «спама». Компьютеры-зомби дают возможность авторам спама не только, рассылать миллионы писем, но и скрывать истинные источники рассылок, оставаясь безнаказанными.

Исходя из вышесказанного, можно сделать вывод, что правильно определённые источники рассылки «спама» могут с высокой достоверностью указывать на инфицированные вредоносным ПО компьютеры.

Целесообразной составляющей процесса защиты является проведение ответных действий. Данное утверждение справедливо и для защиты от несанкционированной рассылки сообщений, где такие действия могут проводиться с целью прекращения дальнейшего распространения несанкционированной рассылки. Однако, для проведения «ответных действий» предварительно необходимо локализовать источник несанкционированных действий.

1 Компьютеры с функционирующим на них вредоносным программным обеспечением, дающим злоумышленнику возможность удалённого управления.

Возможным источником информации об источниках несанкционированной рассылки могли бы быть системы по антивирусной фильтрации почтового трафика и анти-спамовские фильтры, а также системы обнаружения/предотвращения вторжений(ГО8ЯР8); однако представленные на сегодняшнем рынке подобные системы предоставляют ограниченную информацию об источнике несанкционированных действий, т.е. сетевом узле, являющемся источником несанкционированной почтовой рассылки. В? качестве информации о нарушителе эти системы используют электронный адрес отправителя или IP-адрес системы, отправляющей почтовое сообщение, но в большом числе случаев электронный адрес отправителя является ложным, а определённый IP-адрес (то есть IP-адрес узла, установившего соединение с почтовым сервером получателя), в силу специфики протокола, является адресом промежуточного узла. Поэтому использование систем обнаружения/предотвращения вторжений (IDS/IPS), а также систем антивирусной фильтрации почтового трафика и анти-спамовых фильтров, с целью определения источников несанкционированной рассылки может оказаться неэффективным. Причём, чем больше процент сообщений, пришедших в систему не напрямую (через промежуточные почтовые сервера), тем меньше эффективность традиционных способов обнаружения источника нарушений.

Единственным возможным способом определения источника несанкционированной рассылки на стороне получателя [11] является детальный анализ и проверка информации, находящейся в служебных заголовках сообщений электронной почты с целью определения IP-адреса сетевого узла, с которого велась рассылка. Под источником рассылки будем понимать сетевой узел, который первым передал для доставки сформированное почтовое сообщение, используя протокол SMTP.

Если участники процесса пересылки почтового сообщения соблюдали требования протокола (SMTP), то источник рассылки, в большинстве случаев, может быть найден путём разбора служебных заголовков [11,32]. Вместе с тем, в связи с большими и постоянно возрастающими объёмами почтового трафика, ручной анализ и проверка такой информации оказываются крайне неэффективными. Поэтому возникает потребность в автоматизированных системах, которые позволили бы, на основе собираемых данных, локализовать скомпрометированный сетевой узел, с тем чтобы впоследствии принять решение об адекватных ответных действиях.

Резюмируя вышеизложенное, можно, сделать заключение, что одним из возмоэ/сных способов локализации инфицированных вредоносным ПО компьютеров является определение источников рассылки почтовых сообщений (о которых априорно известно, что они являются спамом или содержат вредоносный код) путём анализа их служебных заголовков. Следовательно, разработка специализированных моделей, методов и алгоритмов, предназначенных для автоматизации процесса определения источников рассылки почтовых сообщений, является актуальной задачей.

Информация о сетевых узлах, участвующих в распространении' вредоносных программ или «спама» по электронной почте, несомненно, будет важна как при решении задачи нейтрализации вирусных эпидемий, так и для решения других задач, связанных с распространением вирусов. А системы, предоставляющие такую информацию, могут с успехом применяться как в глобальных, так и в локальных сетях для обеспечения более эффективной работы систем информационной безопасности.

Другим важным вопросом, возникающим при рассмотрении задачи локализации, является задача сбора и хранения данных, полученных от подсистем антивирусной и антиспамовой фильтрации почтовых сообщений. Собранные данные могут быть использованы как с целью локализации источников несанкционированной рассылки, так и для последующего-анализа конфликтных ситуаций (например, в случаях, когда антиспамовая система ошибочно приняла сообщение за спам и важное для пользователя-письмо было удалено).

Объектом исследования данной работы являются проблемы безопасности информации, связанные с распространением вредоносных программ и «спама», а также механизмы рассылки электронных сообщений, использующие сокрытие сетевых узлов отправителя.

Предметом исследования являются методы определения источников несанкционированной рассылки вредоносных программ и «спама» с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе.

Целью работы является повышение эффективности методов борьбы с вредоносными программами на основе своевременного автоматизированного определения очагов вирусной активности, которая проявляется в виде рассылки ими сообщений электронной почты, содержащих известное (антивирусным системам и системам антиспамовой защиты) вредоносное ПО или спам, а также создание автоматизированной системы, реализующей эти методы.

Для достижения поставленной цели в ходе работы, над диссертацией были проведены исследования существующих методов несанкционированной рассылки почтовых сообщений и анализ методов, используемых для сокрытия» источника несанкционированной рассылки, а также решались следующие научные задачи:

1. Построение математической модели выявления фальсификации служебных заголовков почтового сообщения, включающей формализацию условий присутствия фиктивных заголовков.

2. Разработка метода выявления источника несанкционированной рассылки сообщений электронной почты с учётом возможного наличия фиктивной информации в служебных заголовках и его алгоритмического обеспечения.

3. Разработка способов сбора информации о несанкционированной рассылке почтовых сообщений от различных источников и её анализа.

4. Разработка1 алгоритма принятия решений о действиях, имеющих целью противодействие распространению вредоносных программ.

Методы исследования. Для решения поставленных задач использовались

С -1 системный анализ, теория алгоритмов, теория множеств, методы математической логики, теория конечных автоматов.

Научная новизна результатов, полученных в диссертации, состоит в следующем:

1. Предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

2. Показано, что в общем случае источник почтовой рассылки в рамках протокола SMTP определить невозможно. Определены и обоснованы

• условия, при которых возможно решение данной задачи.

3. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка. Численное значение степени достоверности заголовка зависит от того, какие из имеющихся условий присутствия фиктивных заголовков выполнены. Показано, что с помощью введённого критерия для численного значения степени достоверности заголовка устанавливается, является он истинным или фиктивным.

4. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и «спама», с учётом возможного присутствия в нём фальсифицированных данных. Метод заключается- в последовательном анализе цепочки служебных заголовков почтового сообщения. Истинность или фиктивность каждого заголовка устанавливается в соответствии с разработанной математической моделью выявления фальсифицированных служебных заголовков. 5. Впервые разработаны концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

Следует отметить, что в открытых источниках отсутствует информация об автоматизированных системах, предназначенных для сбора и анализа информации о несанкционированных почтовых рассылках с целью определения источников рассылки, с учётом возможного присутствия в теле сообщения фиктивных данных об отправителе и принятия каких-либо действий по отношению к источнику рассылки.

Практическую ценность представляют разработанное алгоритмическое обеспечение автоматизированной системы, а' также полученные в диссертационной' работе рекомендации по выбору численного значения степени достоверности заголовка, от которого зависит точность выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты.

Автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты (далее АСВСУ), была разработана на основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи. Основными возможностями автоматизированной системы являются:

• сбор и хранение электронных почтовых сообщений, попавших в категорию «вирусов» и «спама», для последующего анализа конфликтных ситуаций (например, антиспамовая система ошибочно приняла сообщение за спам, и важное для пользователя письмо было удалено);

• обнаружение сетевых узлов, инфицированных как известными, так и не известными ранее вредоносными программами, путём анализа активности этих программ, которая проявляется в виде рассылки сообщений электронной почты, содержащих спам или известные (антивирусным системам) вредоносные программы.

• сбор информации о сетевом узле, участвующем в распространении вредоносных программ, которая необходима для идентификации владельца скомпрометированного сетевого узла;

• уведомление пользователя/владельца скомпрометированного сетевого узла об имеющей место несанкционированной деятельности с его компьютера;

• информирование провайдера о нелегальных действиях с идентифицированного сетевого узла (компьютера пользователя);

• формирование на основе IP-адресов источников рассылки «чёрных списков» для систем фильтрации электронной почты;

• противодействие путём изменения прав доступа или пропускной способности на сетевых устройствах (межсетевых экранах, маршрутизаторах).

Внедрение результатов работы. Результаты диссертационной работы внедрены в:

• ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (акт об использовании в приложении 7).

• Московском инженерно-физическом институте (государственном университете). Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции - «СЛЕДОПЫТ» (акт об использовании в приложении 8). Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях и выставках:

1. XI Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2004г.

2. XIV Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2005г.

3. XIII Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2006г.

4. XIV Всероссийская научно-техническая конференция "Проблемы информационной безопасности в системе высшей школы" — Москва, 2007г.

5. XI Выставка-конференция "Телекоммуникации и новые информационные технологии в образовании" - Москва, 2007г.

6. XVII Общероссийская научно-техническая конференция. Методы и технические средства обеспечения безопасности информации» С-Петербург СПбГПУ 2008г.

За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем антивирусной и антиспамовой фильтрации электронной почты автор был награждён дипломом XI-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании" (см. приложение 6). Публикации. По теме диссертации опубликованы 6 научных работ.

Основные положения, выносимые на защиту:

1. Математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения.

2. Классификация ключевых признаков, указывающих на присутствие фиктивных заголовков.

3. Алгоритм определения источников несанкционированной рассылки.

4. Метод определения заражённых вредоносными программами сетевых узлов путём анализа заголовков распространяемых ими электронных почтовых сообщений, содержащих инфицированные вложения.

5. Методы противодействия несанкционированной рассылке.

6. Концептуальная модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

7. АСВСУ, как средство: активного информационного противодействия угрозам нарушения информационной безопасности; обеспечения внутреннего аудита и мониторинга каналов электронной почты с целью обнаружения инфицированных вредоносными программами сетевых узлов; защиты от потери информации в связи с некорректной обработкой почтовых сообщений системами «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции (удаление писем при ложных срабатываниях).

Объем и структура.

Диссертация состоит из введения, четырех глав, изложенных на 128 страницах машинописного текста, 22 рисунка, 8 таблиц, заключения, списка использованной литературы и приложений.

Заключение диссертация на тему "Исследование способов выявления сетевых узлов, участвующих в несанкционированной рассылке сообщений электронной почты"

Выводы к главе 4

1. Разработана, концептуальная модель и фукциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной, почты, решающая^ следующие задачи:

• определение вероятного маршрута следования почтового пакета от предполагаемого скомпрометированного сетевого узла;

• сбор дополнительной информации о начальной точке генерации почтового пакета;

• выбор и реализация ответных действий по отношению к начальной точке генерации почтового пакета.

2. Модель автоматизированной системы выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты реализована в виде программного решения для операционных систем семейства Windows (2000/ХР/2003).

3. Разработанная автоматизированная система позволила существенно ^ снизить время, необходимое на разбор заголовков с целью определения источников рассылки вредоносного программного обеспечения.

4. Проверка работы автоматизированной системы на тестовой выборке показала её эффективность в плане правильности определения источника несанкционированной рассылки и времени реакции. Число заголовков, неправильно классифицированных как истинные, но являющихся фиктивными, стремится к 0 при значении критерия Q>4. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Заключение

Таким образом, могут быть отмечены нижеследующие основные результаты выполненной работы.

1. Проведённый анализ существующих на сегодняшний момент способов распространения вредоносного программного обеспечения в сети Интернет показал, что наиболее благоприятной средой для распространения является каналы электронной почты.

2. Показано, что в силу специфики протокола передачи электронных почтовых сообщений использование систем типа IDS/IPS, а также системы антивирусной фильтрации почтового трафика и анти-спамовских фильтров для определения источников несанкционированной рассылки является неэффективным.

3. В работе предложен, проанализирован и реализован новый подход к обеспечению информационной безопасности компьютерных систем, основанный на своевременном определении очагов активности вредоносных программ, проявляемой в виде рассылки электронных почтовых сообщений, содержащих спам или вирусы, с целью последующего воздействия на них.

4. Показано, что невозможно, в общем случае, определение источника почтовой рассылки в рамках протокола SMTP.

5. Впервые разработана математическая модель выявления фальсифицированных (фиктивных) служебных заголовков почтового сообщения. Модель основана на выполненной математической формализации условий, указывающих на присутствие фиктивных заголовков, и применении, введённого в модели, параметра, который назван степенью достоверности заголовка.

6. Впервые предложен метод анализа заголовка электронного почтового сообщения с целью локализации сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама, с учётом возможного присутствия в нём фальсифицированных данных.

7. Впервые разработан алгоритм определения фиктивных данных в служебных заголовках электронного почтового сообщения, основанный на анализе значений заданных параметров.

8. Предложен алгоритм определения параметра «показатель корреляции заголовков», входящего в алгоритм определения фиктивных данных в служебных заголовках.

9. Впервые разработаны концептуальная модель и функциональная структура программного обеспечения автоматизированной системы выявления сетевых узлов, участвующих в распространении, вредоносного программного обеспечения и спама в системах электронной почты.

10. На основе комплексного подхода с учетом всей доступной информации, связанной с решением данной задачи, реализована автоматизированная система выявления сетевых узлов, участвующих в распространении вредоносного программного обеспечения и спама в системах электронной почты.

11. Автоматизированная система, реализующая предложенные методы анализа заголовков, позволила существенно снизить время, необходимое на разбор заголовков с целью определения^ источников» рассылки вредоносного программного обеспечения.

12. Проверка работы автоматизированной системы на тестовой выборке показала её эффективность, в плане правильности определения источника несанкционированной рассылки и времени реакции.

13. Определено оптимальное значение критерия степени достоверности заголовка на примере тестовой выборки. При выборе значения критерия Q равным 4 число заголовков, неправильно классифицированных как фиктивные, но являющихся истинными, не превышает 8%, а заголовки, неправильно классифицированные как истинные, отсутствуют.

Результаты диссертационной работы внедрены в:

• ФГУП «Ситуационно-Кризисный Центр Государственной корпорации по атомной энергии «РОСАТОМ». Результаты диссертационной работы использовались при создании и внедрении в информационно-вычислительную сеть Росатома автоматизированной системы сбора и анализа данных аудита для систем «антивирусной»' и «антиспамовой» фильтрации электронной почтовой корреспонденции (акт об использовании в приложении 7).

• Московском инженерно-физическом институте (государственном университете). Результаты диссертационной, работы использовались при создании и внедрении в информационно-вычислительную сеть факультета «Информационная безопасность» автоматизированной системы сбора и анализа данных аудита для систем «антивирусной» и «антиспамовой» фильтрации электронной почтовой корреспонденции - «СЛЕДОПЫТ» (акт об использовании в приложении 8).

За разработанную в процессе работы над диссертацией автоматизированную систему сбора и анализа данных аудита для систем антивирусной и- антиспамовой фильтрации электронной почты автор был награждён дипломом XI-ой Выставки-конференции "Телекоммуникации и новые информационные технологии в образовании" (см. приложение 6).

Библиография Рудик, Кирилл Петрович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. «Почтовые вирусы становятся все умнее»; интернет-ресурс -http.7/www.ivnet.ru/modules/news/article.php?storyid=412. 2. «Спам. Аналитический отчёт»; интернет-ресурс -http://www.spamtest.ru/dovraloads/report2005/2005_spam_report_lk.pdf.

2. Уголовный кодекс РФ.

3. Рудик К.П. Построение активной сетевой защиты // Сборник научных трудов конференции «XI Всероссийская научно-техническая конференция. Проблемы информационной безопасности в системе высшей школы», Москва, 2004г. 130-131.

4. Laurent Oudot, «Fighting Spammers With Honeypots»; интернет-ресурс - http://www.securityfocus.com/infocus/1747.

5. А.В.Лукацкий. Право на контратаку; интернет-ресурс— http://www.bugtraq.ru/library/misc/counterstrike.html.

6. Рудик К.П. Способы сбора сетевой информации о нарушителе.//«Безопасность информационных технологий» М. МИФИ 2004. №2. 76-79.

7. Интернет-ресурс - http://www.iana.org.

8. Интернет-ресурс - http://www.iana.org/ipaddress/ip-addresses.htm.

9. Fyodor . "Remote OS detection via TCP/IP Stack FingerPrinting" (http://www.insecure.org/nmap/nmap-fingeфrinting-article.html).

10. Tod A. Beardsley. "Intrusion Detection and Analysis:Theory, Techniques, and Tools" (http://www.giac.org/practical/Tod_Beardsley_GCIA.pdf).

11. Veysset, Courtay, and Keen. "New Tool And Technique For Remote Operating System Fingerprinting."; интернет-ресурс - http://www.intranode.com/fr/doc/ring-full-paper.pdf.

12. Ste Jones. "Port 0 OS Fingeфrinting"; интернет-ресурс - http://packetstonnsecurity.org/papers/os-detection/portOpaper.txt.

13. Michal Zalewski. "Strange Attractors and TCP/IP Sequence Number Analysis"; интернет- ресурс - http://lcamtuf.coredump.cx/newtcp/.

14. Arkin, Ofir. "ICMP Usage in Scanning - The Complete bCnow How"; интернет-ресурс - http://www.sys-security.eom/archive/papers/ICMP_Scanning_v3.0.pdf.

15. Craig Smith, Peter Grundl. "Know Your Enemy: Passive Fingerprinting"; интернет-ресурс - http://project.honeynet.org/papers/finger/.

16. Passive FingerprintingToby Miller. "Passive OS Fingerprinting: Details and Techniques"; интернет-ресурс - http://www.incidents.org/papers/OSfingeфrinting.php.

17. Altsoph. "Алгоритмы анализа удаленной системы"; интернет-ресурс - http://bugtraq.ru/library/security/ф.html.

18. Fyodor. "The Art of Port Scanning"; интернет-ресурс - http://www.insecure.org/nmap/nmap_doc.html.

19. Алексей Волков, Вячеслав Семенов. "Определение активных портов удаленного компьютера"; интернет-ресурс - http://cherepovets-city.ru/insecure/runmap/portscanning-argv.htm.

20. Winfingeфrint ; интернет-ресурс - http://winfingeфrint.sourceforge.net.

21. Петенко А., Петренко А.А. Аудит безопасности Internet. М. ДМК Пресс, 2002

22. Мартыненко Б.К.Издательство -Петербургского Университета 2004. Языки и трансляции: Учебное пособие для вузов.

23. CERT/CC Statistics,; интернет-ресурс Центра Безопасности Интернет CERT http://www.cert.org/

24. Петренко А., Петренко АА., «Аудит безопасности bitemet» - М.:ДМК Пресс, 2002.

25. Переводы и публикации сотрудников компании НИП «Информзащита»; интернет- pecypc-http://www.infosec.ru/press/pub_main.html.

26. Герасименко В.А., Малюк А.А. Основы защиты информации. - М. 1997.

27. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. - М.: Энергоатомиздат, 1994.

28. Петров В. А., Пискарев А. С , Шеин А. В. Информационная безопасность. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995.

29. Горбатов B.C., Фатьянов А.А. Правовые основы защиты информации. М.: МИФИ, 1999г.

30. Гостехкомиссия России. Информационная безопасности и защита информации. Сборник терминов и определений, 2001.

31. Центр исследования проблем компьютерной преступности. Угрозы безопасности АС; интернет-ресурс - http://www.crime-research.org.

32. Вирусная активность. Аналитические обзоры; интернет-ресурс - http://www.viruslist.com/ru/viruses/analysis.

33. Рудик К.П. Вьывление сетевых узлов, участвующих в распространении вредоносных программ и спама в системах электронной почты .// <dDe3onacHOCTb информационных технологий» М. МИФИ 2008. №1. 35-45

34. Максим Кузнецов, Игорь Симдянов. «Социальная инл<енерия и социальные хакеры» БХВ-Петербург 2007.

35. И. Д. Медведовский, Б. В. Семьянов, Д. Г. Леонов, А. В. Лукацкий «Атака из bitemet» СОЛОН-Р 2006.

36. Кевин Д. Митник, Вильям Л. Саймон «Искусство обмана The Art of Deception» Компания АйТи, 2004.

37. Питер Джексон, «Введение в экспертные системы». Вильяме. 2006.

38. Литвак Б.Г., «Экспертные технологии в управлении». Дело. 2004.

39. Евланов Л.Г., Кутузов В.А., «Экспертные оценки в управлении», "Экономика" 1978.

40. Касперски Крис «Компьютерные вирусы изнутри и снаружи». Питер 2006. 56. «Мгновенные» угрозы, интернет-ресурс -http://www. viruslist.com/ru/analysis?pubid=204007611

41. А. Бахмутов. «Метод согласованных распределений для вьщеления бот-сетей, рассылающих спам»; интернет-ресурс — http://www.viraslist.com/ru/analysis?pubid=204007582

42. И. Братко., «Программирование на языке Пролог для искусственного интеллекта» Москва, "МИР", 1990.

43. Т. Саати <dlPИHЯTИE РЕШЕНИЙ. Метод анализа иерархий», Москва «Радио и связь», 1993.

44. Грушо А.А., Тимонина Е.Е. «Теоретические основы защиты информации» Издательство Агентства "Яхтсмен", 1996.

45. Шаль А.В. Методическое пособие «Математико-статистические методы в менеджменте» Ростов-на-Дону, Изд-во РГУ, 2000.

46. Eric Filiol, «Viruses: From Theory to Applications», Birkhauser, 2005

47. Deirdre Day-MacLeod, «Viruses and spam». New York : Rosen Central, 2008

48. Курбатов В., Скиба В., «Руководство по защите от внутренних угроз информационной безопасности». Издательство «Питер», 2007

49. Д. Лавникевич, "Анатомия DDoS-атаки", интернет-ресурс - http://www.comprice.ru/articles/detail.php?ID=41077

50. Lance Spitzner, Tracking Hackers, Addison-Wesley, 2003

51. Ларри Уолл, Том Кристиансен, Джон Орвант, «Программирование на Perl», Символ- Плюс, 2006 г.

52. Линкольн Д. Штайн, «Разработка сетевых программ на Perl», Вильяме, 2001.

53. Энди Гутмане, Стиг Баккен, Дерик Ретанс, «РНР 5. Профессиональное программирование», Символ-Плюс, 2006 г.

54. Поль Дюбуа, «MySQL», Вильяме, 2007 г.

55. RFC 2822; интернет-ресурс-ftp://ftp.rfc-editor.org/in-notes/rfc2822.txt.

56. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ. Сборник руководящих документов по защите информации от несанкционированного доступа. - М.: Гостехкомиссия России, 1998.

57. Центр исследования проблем компьютерной преступности. Угрозы безопасности АС, интернет-ресурс-http://www.crime-research.org/library/security7.htm

58. А. Лукацкий, <Атаки на информационные системы. Типы и объекты воздействия» Электроника: Наука, Технология, Бизнес. №1, 2000.

59. А. Лукацкий, (Анатомия распределенной атаки.», PCWeek/RE, №5, 2000.

60. Алиса Шевченко, «Эволюция технологий самозащиты вредоносных программ», интернет-ресурс-http://www.viruslist.com/ru/analysis?pubid=204007553.

61. Viruslist.com/интерент-безопасность, Аналитика, интернет-ресурс- http://www.viruslist.com/ru/analysis.

62. Васин А.А., Морозов В.В., «Введение в теорию игр с приложениями к экономике» (ученое пособие). - М.: 2003.

63. Моренин Алексей Викторович, «Анализ математических методов поддержки принятия решений», интернет-ресурс- http://www.olap.ru/best/analysis.asp.

64. Заболотский В.П., Оводенко А.А., Степанов А.Г., «Математические модели в управлении: учебное пособие», СПбГУАП. СПб., 2001.

65. Ахо А., Хопкрофт Дж., Ульман Д., «Структуры данных и алгоритмы», Вильяме, 2000.

66. Ларичев О.И., «Теории и методы принятия решений, а также хроника собьггий в волшебных странах», Логос, 2000.

67. Ашихмин И.В., Ройзензон Г.В., «Выбор лучшего объекта на основе парных сравнений на подмножествах критериев», интернет-ресурс-www.raai.org/about/persons/royzenzoп/pagesЯS A_RAS_2001 .pdf.

68. SecurityLab.ru - информационный портал, интернет-ресурс- http://www.securitylab.ru/.

69. SecurityFocus - информационный портал, интернет-ресурс— http://www.securityfocus.com/. 91. «Что такое ботнет?», интернет-ресурс—http://forum.hack-team.info/showthread.php?t= 1849

70. Пуа Evseev, «Detection mailing viruses in corporate network», интернет-ресурс- http://ilya- evseev.narod.ru/articles/smtptrap/smtptrap-article.html.

71. Евгений Патий, «Honeypot: приманка для злоумышленника», интернет-ресурс- http://citcity.ru/15560/.

72. Переводы и публикации сотрудников компании НИП «Информзащита», интернет-ресурс -http://www.infosec.ru/presscentre/publication/ 95. «The Honeynet Project», интернет-ресурс - http://www.honeynet.org/

73. Международный стандарт ISO/IEC 17799, интернет-ресурс - http://www.iso.org/

74. ФСТЭК России. Специальные нормативные документы. Интернет-ресурс - http://www.fstec.ru/_spravs/_spec.htm.

75. Алексей Тутубалип, «Технология SPF - за и против», интернет-ресурс - http://www.lexa.ru/articles/spf-l.html.

76. Matt Bishop, «Theft of Information in the Take-Grant Protection Model», интернет- ресурс- http://nob.cs.ucdavis.edu/bishop/papers/1995-jcs/tgtheft.pdf.

77. Paul A. Booth, «An hitroduction to Human-computer Interaction», Psychology Press, 1989.

78. S CuLS Dtn-LS C/b 0.5 D^n• 0.5 0.5 0.5 0.5 0.5 . Dm 0.5 0.5 0.5 DA 0.5 DA 0.5 Dm DA 0.5 0.5 0.5 0 5 Dm