автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Математическое и программное обеспечение задач обнаружения аномалий в поведении автоматизированных систем обработки информации

0034 <

На правах рукописи

НАУМОВ Дмитрий Анатольевич

МАТЕМАТИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ЗАДАЧ

ОБНАРУЖЕНИЯ АНОМАЛИЙ В ПОВЕДЕНИИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ

05.13.11 - Математическое и программно«: обеспечение вычислительных машин, комплексов и компьютерных сетей

2 4 СЕН 2009

Автореферат диссертации иа соискание ученой степени кандидата технических наук

Тула 2009

003477409

Работа выполнена в ГОУ ВПО «Тульский государственный университет».

Научный руководитель: Доктор технических наук, профессор

ТОКАРЕВ Вячеслав Леонидович

Официальные оппоненты: доктор технических наук, профессор

ЕСИКОВ Олег Витальев ич

кандидат физико-математических наук, доцент КУЗНЕЦОВ Геннадий Васильевич

Ведущая организация:

Государственное образовательное учреждение высшего профессионального образования «Рязанский государственный радиотехнический университет»

Защита состоится /V 2009 г. в 14-00 часов на заседании дис-

сертационного совета Д 212.271.07 при ГОУ ВПО «Тульский государственный университет» (300600, г. Тула, проспект. Ленина, 92, 9-101).

С диссертацией можно ознакомиться в библиотеке ГОУ ВПО «Тульский государственный университет».

Л/

Автореферат разослан « » сентября 2009 г.

Ученый секретарь диссертационного совета

Ф.А. Данилкин

Общая характеристика работы

Актуальность. Роль автоматизированных систем в процессе обработки информации (АСОИ) неуклонно возрастает. Одновременно растут скорость обработки информации, масштабы АСОИ, цена обрабатываемой информации, а отсюда и повышение интереса к ней злоумышленников. Все это делает особо важной задачу разработки программных средств, решающих задачу обнаружения аномалий в поведении АСОИ, которые несут определенную угрозу как целостности информации, так и ее конфиденциальности.

При появлении аномальной активности существенно возрастает риск повреждения, утери или разглашения информации, циркулирующей в системе. Таким образом, задача мониторинга состояния АСОИ с целью выявления аномалий в ее поведении является одной из важнейших задач и в то же время одной из наиболее трудно решаемых. Сложность данной задачи определяется значительным увеличением объемов и видов обрабатываемой в автоматизированных системах информации, усложнением производимых атак с целью получения несанкционированного доступа или нарушения стабильности функционирования систем обработки.

Известные программные средства обнаружения аномалий в поведении АСОИ (Shadow, Snort, Shoki, NFR, GrIDS, RealSecure и др.), как правило, имеют сравнительно невысокую оперативность и недостаточную надежность обнаружения аномалий, атак и вторжений.

Создание систем обнаружения аномалий - сравнительно молодая и перспективная область исследования. Наиболее известные подходы к решению задач обнаружения аномалий разработаны такими учеными как: D. Anderson, D. Curry, D.Denning, T.F. Lunt, П. Д. Зегжда, A.A. Стрельцова, М.П. Сычев, Ю.Н. Лаврухин, В.А. Герасименко, A.A. Малюк, A.C. Петренко, A.B. Беляев, ПЛ. Баранов, Н.Г. Милославская, А.И. Толстой, А.Ю. Тихонов и другие. Тем не менее, остается немало сложностей, требующих своего решения, к которым относятся задачи повышения оперативности и вероятности обнаружения аномалий.

Объектом исследования являются системы обнаружения аномалий в поведении АСОИ.

Предметом исследования являются математические и алгоритмические методы обнаружения аномалий в поведении автоматизированных систем обработки информации.

Целью исследования является повышение оперативности обнаружения аномалий в поведении АСОИ посредством использования классификатора на основе логической модели.

Для достижения указанных целей в диссертации решаются следующие задачи:

- разработка метода быстрого обнаружения аномалий в поведении АСОИ;

- создание метода выстраивания моделей поведения АСОИ, решающего типовые задачи, для поддержки автоматического обнаружения аномалий;

- разработка метода ранжирования аномалий по степени их опасности для целостности информации в АСОИ;

- создание на основе предложенных методов программного средства для обнаружения аномалий в автоматизированных системах;

- экспериментальное подтверждение эффективности предложенных методов.

Методы исследования. В основу исследования положены методы теории принятия решений, статистического анализа, теории систем искусственного интеллекта.

Научная новизна определяется следующим:

разработан и оптимизирован для программной реализации метод и алгоритм автоматического построения адаптивных моделей поведения АСОИ, решающий типовые задачи;

- разработан метод быстрого обнаружения аномалий в поведении АСОИ на основе оценки отклонения динамики изменения параметров функционирования в процессе решения задачи от параметров модели, позволяющий своевременно сигнализировать о наиболее опасных аномалиях;

разработан метод обеспечения адекватности модели автоматизированной системе обработки информации в течение всего жизненного цикла зацачи.

Достоверность научных результатов подтверждена корректным применением используемого математического аппарата, а также согласованностью результатов теоретического расчета с данными, полученными в ходе эксперимента.

Практическая ценность результатов диссертации заключается в следующем:

- разработан программный инструментарий для построения систем обнаружения аномалий в поведении автоматизированных систем; снижена нагрузка на системного администратора АСОИ за счет автоматизации выполнения ряда его функций (своевременного обнаружения аномалий, локализации аномалий);

- уменьшено время, затрачиваемое на разработку программных сенсоров для систем обнаружения аномального поведения АСОИ за счет использования созданной на языке С++ библиотеки классов.

Реализация и внедрение результатов работы!. Предложенные в диссертации методы и методики использовались для задач обнаружения ано-

мального поведения автоматизированных систем при контроле качества функционирования узлов АСОИ и обнаружении информационных атак на предприятиях:

- ООО «Информационный центр «Эдвайзер», г.Тула;

- Тульский территориальный фонд обязательного медицинского страхования, г. Тула;

- ООО «Аккауинт-Плюс», г. Тула.

Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

Апробация работы. Основные результаты работы докладывались на международных и Всероссийских научно-технических конференциях, совещаниях и семинарах: на межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект-2004», «Интеллект 2007» (Тула, 2004, 2007 гг.), XXXI, ХХХИ, XXXIII международных молодежных конференциях «Гагаринские чтения» (Москва, 2005, 2006, 2007 гг.), Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии» (Томск, 2007 г.), межрегиональной научно-технической конференции «Телематика 2007» (Санкт - Петербург, 2007 г.), научно-практической конференции «Управление созданием и развитием систем, сетей и устройств теле-коммуникаций»( Санкт - Петербург, 2008 г.), конференции, посвященной проблемам правовой и технической защиты «ПТЗИ-2008». (Барнаул, 2008 г.).

Публикации. По теме исследования опубликовано 12 печатных работ.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав и заключения, изложенных на 136 страницах машинописного текста, содержит 23 рисунка, 6 таблиц, список литературы из 94 наименований и 2 приложения.

Краткое содержание диссертации

Во введении обосновывается актуальность разработки систем обнаружения аномального поведения систем обработки информации, сформулированы цели и задачи исследования, отмечены научная новизна и практическая ценность результатов.

В первой главе произведен анализ научных работ посвященных проблемам автоматизированного обнаружения аномалий, а также существующих решений.

Показано, что по способу выявления атаки различают системы signature-based и anomaly-based. Первый тип основан на сравнении информа-

ции с предустановленной базой сигнатур атак. В спою очередь, можно классифицировать атаки по типу (например, Ping-of-Death, Smurf)- Однако системы данного типа не могут отлавливать новые, неизвестные виды атак. Второй тип основан на контроле частоты событий или обнаружении статистических аномалий. Такая система ориентирована на выявление новых типов атак. Однако недостаток ее — необходимость постоянного обучения, что соответствует типу anomalous IDS.

Показано, что существующие технологии обнаружения аномалий основаны на группировке данных и анализа полученных выборок:

- статистических особенностях функционирования отдельно взятого пользователя/процесса (времени начала и окончания его работы, обращения к объектам файловой системы, используемые приложения и время их запуска, и т.д.);

- отслеживания активности работы периферийных устройств;

- принятого трафика, группировка основных его показателей (порты приемника/источника, адрес отправителя пакета, и т.д.).

Выделены основные трудности при использовании применяемых методов:

- сложность измерения признаков эталонов или инвариантов;

- необходимость проведения обязательного предварительного сбора информации о нормальной активности системы;

- значительный объем анализируемой выборки;

- высокая степень загрузки ресурсов при анализе поступивших данных;

- сложность обеспечения высокой оперативности и вероятности обнаружения из-за выявления большого числа фактов, способных вызвать аномалии, значительных вычислительных затрат на анализ поведения АСОИ в штатных режимах и т.п.;

- сложность обнаружения аномалий в условиях многозадачности, многопоточности, спекулятивности выполнения последовательности команд по нескольким ветвям ветвления и т.д.;

- отвлечение значительной части ресурсов АСОИ для решения задачи обнаружения аномалий.

Структура процесса исследования задачи обнаружения аномалий представлена на рисунке 1.

Для преодоления указанных выше трудностей предложено использовать подход к: решению задачи обнаружения аномалий, включающий интеллектуальные методы принятия решений. В частности, предложено создать аппарат, выстраивающий модель в пространстве информативных признаков поведения АСОИ, функционирующей в нормальных режимах, разработать и обосновать решающее правило, определяющее аномалию по отклонению поведения системы от поведения в нормальном режиме.

"Исходные данные для обнаружения'

I Стат. данные о; функционировании

Анализ активности работы переф. усгр-8

Г Данные, передаваемые по

Анализ журналов ОС

Определение целей и задач" __обнаружения аномалий

Обнаружение

Регистрация

Опбвеиснис

Предотвращение

| Определение методов функционирования! }- систем обнаружения аномалии )

Т

:г

(ч Кластерный анализ |М Нейронные сети

| . . ......

Экспертные системы

Корреляционный анализ

Имунные сети

Сигнатурные методы

Логические модели

Статистический анализ

| | Построение П

I 1 • модели |

Построен»«

моде л «г : Дин&шгчсскос изменение модели

I Определение структуры комплекса, ] ! производящего обнаружения аномалий |;;

Захвггданных

Получение

Анализ данных

Подготовка

Принятие решений

Визуализация

I г

Регистрация ^ результата \

Передача результатов

Рис. 1 Структура процесса исследования задачи обнаружения аномалий

в поведении АСОИ

Задача обнаружения факта появления аномалии сформулирована следующим образом.

Имеются контролируемые данные (файлы на дисках, содержимое оперативной памяти и др.), которые можно представить как исходное множество П строк, заданных на конечном алфавите. Каждая строка гсеЯ представляет собой битовую последовательность (команды ассемблера, данные и др.) и предполагается, что она остается неизменной в период 7" обнаружения аномалии: ге(0=соп51, \fteT. Количество строк N (мощность множества Я) может быть любым. Требуется построить процедуру обнаружения факта появления аномалии, качество которой можно оценивать вероятностью обнаружения Р0

при заданных ограничениях на вероятность ложной тревоги Рпт и вычислительную сложность процедуры С.

Такая процедура должна реализовывать решающее правило я(И) обнаружения и удовлетворять условию:

р(Я) = агё шах (Р0) (1)

РЛТ<Р* С<С*

Максимум Р0 может быть обеспечен решающим правилом

где и - сообщение об аномалии, гс,гу - произвольные элементы множества Я (сА) - а Р* и С* - заданные ограничения. Проблема заключается в безусловном выполнении ограничений Рдт<Р*, С<С*.

Показано, что для реализации этого подхода требуется:

- определить механизм отбора информативных признаков, характеризующих поведение АСОИ, и способный с наибольшей достоверностью идентифицировать аномалию в поведении АСОИ;

- разработать метод автоматизированного построения модели поведения АСОИ;

- предложить процедуру оценки адекватности получаемой модели с учетом ограничений на объем выборки данных и необходимости использовать в качестве признаков не только количественные, но и качественные переменные.

Вторая глава посвящена разработке методов и алгоритмов обнаружения аномалий. Для определения признаков нормального функционирования АСОИ предложено:

- выделить множество задач, решающихся в АСОИ во время штатного функционирования, и действий, производящихся для их выполнения, а так же произвести сопоставление обоих множеств;

- для каждого действия отобрать и сопоставить наиболее информативные признаки, то есть такие, которые являются устойчивыми к ошибкам, возникающих в результате фиксирования статистической информации к изменению динамики процессов, загруженности оборудования;

- разработать метод выстраивания моделей поведения АСОИ, решающий типовые задачи;

- разработать метод ранжирования аномалий по степени их опасности для целостности информации в АСОИ.

В работе в качестве модели АСОИ предлагается построить модель логического типа, позволяющую привести к единой шкале как количественные, так и качественные признаки аномалий. Показано, что такая модель может быть представлена в следующем виде:

1, если dß (к) е ü,

»i,=dimD, n,=dimX, ga(k) = \n ,

J J , ' 10, если dji (к) £ Di ,

где D - множество возможных в АСОИ действий; Z - множество задач, решаемых в АСОИ; к - момент времени;gj:(к) - признаки соответствия /-го действия djj(k) 7-ой задаче zj; ntj - количество оцениваемых признаков действия при выполнении действия rf,; xJt(k) - признаки, характеризующие нормальное функционирование АСОИ при решении zj', nj - количество оцениваемых параметров для текущей задачи; Aji(zj) - область значений признаков Xji(k), определяемых статистическим методом для каждой задачи Zj и обновляемые при каждом изменении задачи; bj - логическая переменная, принимающая истинное значение {true), если истина дизъюнктивная нормальная форма (2) и ложна (false) в противном случае.

Отмечено, что значение bj = false можно интерпретировать как сигнал

тревоги.

Предложен метод построения логической модели вида (2). Суть метода заключается в преобразовании обучающей выборки данных W", в матрицу L".,N'<N, каждая строка которой представляет собой импликацию, левая часть которой (антецедент) представляет конъюнкцию термов входных переменных - основных синтаксических единиц логики предикатов первого порядка, а правая часть (консеквент) - терм выходной переменной моделируемой системы.

Модель, полученная в этой форме, позволяет реализовать непосредственно правило вывода Modus Ponendo Ponens: «Если истинна импликация А-»В и А истинно, то В истинно».

Алгоритм, реализующий этот метод, состоит из следующих шагов.

1. Множество задач Z, решаемых в АСОИ во время штатного функционирования разделяются на классы cojeQ.

2. Для каждого класса coj определяется множество действий Dt, производимых пользователями, приложениями, задачами Zj<acoj, запросами во время штатного функционирования.

3. С использованием методов системного анализа определяются g//eGj признаки соответствия действий при нормальном функционирования АСОИ при решении ею задач каждого из классов.

4. С использованием методов системного анализа определяются характеристики задач - переменные х,, х2,..., х„, существенно влияющие на признаки у gY.

5. Все значения переменных X), х2,..., хп у переводятся в шкалу термов соответствующих переменных посредством правила К(Х):

1(х<) = ('';)> Х1 е х( А-, = {ап,а,2,-,аи,...,а1т.},

где Л", - область значений /-ой входной переменной; Л-, - область значений соответствующей логической переменной Цх^)\ ач - имя ]-го интервала Цх)\ т, - количество интервалов определяемых на основе имеющейся априорной информации 1а

Цу)^(В), уе\ Щ) >В, В=^,Ь2.....,^,...,Ьт0},

где У- область значений выходной переменной; В - область значений соответствующей логической переменной Цу); Ь- имя .¡-го интервала Цу)\ т" - количество интервалов Цу), определяемые на основе имеющейся априорной информации /„, получаемой в результате предварительного сбора информации.

6. Формируется обучающая выборка Ж°=[Х|У], представленная в виде расширенной матрицы размерности Л'х(п+1), полученной в результате дополнения матрицы X размерности Л'хп с значениями признаков, характеризующих поведение АСОИ, матрицей У размером 1хп с целевыми результатами оценки состояния АСОИ. Здесь п - число информативных входных переменных, N - число наблюдений (строк матрицы). Каждая строка х?,

у] матрицы И1''! соответствует одному моменту наблюдения.

7. Выполняется преобразование.матрицы е; матрицу путем замены подстановки полученных термов вместо соответствующих значений в исходной матрице.

8. Для каждой строки /у(д:) е ¿д?, (у = I,..., А') определяется информационная мера принадлежности к соответствующей импликации

Р(сД )=»(сдК ,

где су(. = лап, с>(. е/Дх). Здесь и(су<г) - число конъюнкций сд, определяющих один интервал Ь„ выходной переменной; пч - общее количество конъюнкций, определяющих один интервал Ьч.

9. Информационная мера р(сд) вносится в дополнительный столбец

матрицы ¿д, образуя матрицу = [од|Ц;у)| р(с/к)], которая анализируется с целью формирования матрицы следующей итерации. Для этого предложено использовать следующие правила:

Если одна конъюнкция Cj.it определяет соседние Ь(|*Ьч+ь то такие интервалы выходной логической переменной Цу) становятся кандидатами на объединение.

Если одна конъюнкция с; к определяет все интервалы Ьч , ц=1,...,т, то такая конъюнкция в матрицу не включается.

Одинаковые конъюнкции Cj.it, определяющие один и тот же интервал, Ьч заменяются одной.

10. По контрольной выборке данных IVЦ =[Х|У] оценивается адекватность модели /,<;.! реальной системе путем вычисления значения критерия

:(е) = 1/^|4 це 1,...,т,, (3)

¡=1

который должен быть равен нулю при полном соответствии модели моделируемой системе. Здесь д, и ^значения индексов интервалов Ъч выходной ло-

V

гической переменной, полученные, соответственно, из матрицы IV^ и с помощью модели ¿д/1. Если значение критерия (3) является неудовлетворительным, процедура настройки модели повторяется, начиная с шага 7.

На основе получаемой модели предложено решающее правило, удовлетворяющее условию (1), позволяющее оценивать отклонения динамики изменения значения параметров АСОИ в пространстве информативных признаков в процессе решения задачи от траектории движения соответствующих показателей модели.

Показано, что настроечный этап построения модели АСОИ позволяет реализовать автоматическое построение адаптивных моделей поведения АСОИ, решающий типовые задачи.

Набор информативных признаков поведения АСОИ для различных систем может сильно различаться, но имеются и общие признаки. К общим признакам можно отнести следующие:

1) изменение строк контролируемых данных в моменты времени, когда доступа к ним программ обработки информации не предусмотрено;

2) время работы пользователя или приложения;

3) обнаружение аномально высокой активности пользователя или приложения (количество транзакций за определенный промежуток времени).

Кроме того, для контроля целостности информации предложено проверять разработанным комплексом системные файлы операционной системы с целью определения, когда в них были внесены изменения. Основанием для этого послужил тот факт, что трудно взломать при атаке систему без того, чтобы не изменить системный файл. Предложено с этой целью вычислять и сохранять контрольную сумму для каждого защищаемого файла. Изменение контрольной суммы является еще одним признаком появления аномалии.

Показано, что предложенный алгоритм построения модели обеспечивает точность и оперативность ее использования, достаточную для обнаружения аномалии в процессе работы АСОИ благодаря процедуре использования, не требующей больших вычислительных затрат.

В третьей главе решены задачи классификации аномалий, распознавания их типа и предложен метод построения систем их распознавания.

В целях снижения влияния возможной ошибки системы классификации аномалий предложено их ранжирование по степени опасности для целостности информации в АСОИ, определяемой путем оценивания последствий с помощью логической модели вида (2). В результате получен следующий ряд аномалий, упорядоченный в соответствии с возрастанием возможной опасности:

- вызов модулей и библиотек, не предусмотренных выполняемой программой;

- обращение к внешним устройствам при состояниях АОИ, в которых в нормальном режиме не предусмотрено обращение;

- обращение к внешним устройствам, не запланированным программой;

- изменение частоты обращения к отдельным файлам;

- использование известных уязвимых мест АСОИ;

- использование снифферов и sweepers (систем контроля содержимого);

- использование программ диагностики сети для получения необходимых данных;

- использование автоматизированных сканеров уязвимостей;

- атаки типа «отказ в обслуживании» (DoS);

- использование технологий скрытого сканирования.

Указанные аномалии составляют множество С, образуемое на основе априорной информации, формируемой экспертом.

Задача классификации аномалий сформулирована следующим образом.

Имеется априорное множество признаков IV, характеризующих появление аномалии в работе АСОИ. Требуется построить идентификатор возможной причины появления аномалии, т.е. на множестве признаков W необходимо построить разделяющие поверхности, разделяющие все множество W на заданное число г классов. Причем класс допустимых классификаций - размытые классификации множества W на г класага, задаваемые г-мерной вектор-функцией Н(w) = (/?,(и>),...hr(w)), h,(\v) - функция принадлежности w e IV к /'-му классу:

О £h,(w)4\, 1>,(и0 = 1,

/«I

т .е. вектор-функция H(w) принимает значения в .'-мерном единичном симплексе.

Для каждой конкретной задачи классификационного анализа вводятся дополнительные ограничения на Н(мг). Считается, что для любого у значение Н(w) принадлежит некоторому подмножеству V единичного сим-

плекса, которое определяет тип размытости для данной задачи классификации.

Принято, что объекты /'-го класса искомой классификации должны хорошо описываться некоторой моделью (эталоном ) класса «/. В соответствии с этим введено в рассмотрение множество возможных эталонов классов А. Между элементами множества объектов IV и элементами множества эталонов А введена некоторая мера близости К(и>,а). За критерий качества классификации выбран функция Ц:

р=1 /=]

Показано, что минимум этого функции может быть достигнут методом принятия решения, основой которого является база знаний вида

где с1еС - причины появления аномалий, классифицирующиеся в соответствии с правилом (2) и зависящие от признаков ур, характеризующих текущее состояние АСОИ , и действий производимых в данный момент в системе.

Для реализации предлагаемого подхода в состав системы обнаружения аномалий предложено включить подсистему, функционирующую на основе методов теорий поддержки принятия решений, состоящей из следующих модулей: модуля оценки ситуации, модуля оценивания состояний АС, базы данных с возможными решениями (ответными действиями) и модуля выбора решения.

Основной задачей модуля оценки ситуации является обнаружение факта наличия аномалии, обеспечивает решение задачи (2). Модуль моделирования выстраивает логическую модель поведения АСОИ по информации, вводимой администратором. Модуль выбора решений - числовую характеристику (вероятность опасности аномалии, задающаяся априорно в базе знаний, или значения функций принадлежности ситуации к терму с упорядоченного ряда С), по значениям которой вырабатывает решение ({*, наиболее рациональное в смысле минимума риска.

Такая подсистема может работать как в автоматическом режиме, так и в режиме интерактивного взаимодействия с администратором безопасности.

Четвертая глава посвящена экспериментальной проверке работоспособности и эффективности предложенных методов.

В качестве критерия оценки эффективности выступает точность обнаружения аномалий. Для этого использовалась виртуальная автоматизированная система (ВАС), специально разработанная для исследования предложенных методов. ВАС составлена как совокупность моделей технических и программных средств, методов и мероприятий, используемых для регулярной

обработки данных. Это - выполнение расчетов в MS Excel, работа с базой данных в MS Access, распечатывание документов, передача документов по локальной сети другим пользователям и через сеть Интернет.

На основе предложенных методов разработана система обнаружения аномалий (СОА), связанная с ВАС (рис. 2).

¡AutoADS Беп/ег

Модуль взаимодействия с АСОИ/ВАС

Interaction

Модуль приема/ передачи сообщений на консоль администратора

illSMessages

Ц-----J

i

Модуль построения модели АСОИ

ASDtModefer

Модуль выявления информационных признаков Infofliecker

База

данных

Т"

Интенсивно стъ чтения/ * записи

За]"руженн ость CPU

Загруженность сетевых устройств

Модуль сбора информации

1

¡AutoADS

Рис. 2. Структура системы обнаружения аномалий

Разработанная система содержит следующие программные модули: - «ву^аЬ) - модуль сбора данных, характеризующих состояние АСОИ;

- «InfoChecker» - модуль выявления информативных признаков на основе данных, переданных модулем сбора информации;

- модуль построения модели согласно (2) АС'ОИ «ASOI Modeler»;

- сенсор обнаружения аномалий «AutolDS Sensor», работающий на основе построенной модели АСОИ;

- модуль принятия решений и генерации рекомендаций «Decisioner» посредством использования базы знании и согласно выражению (4);

- интерфейсный модуль для взаимодействия с пользователем, ВАС и АСОИ («MainForm User», «MainForm Admin»,«Interaction»);

- модуль приема/передачи сообщений на консоль администратора «IDSMessages».

Для экспериментальной оценки точности и адекватности применяемых экспериментальных разработок, согласно выражения (3) предложено использовать специально разработано программное средство «StateChecker», Общая схема созданного программного средства приведено на рисунке 3. «StateChecker» генерирует ситуации, которые приводят к появлению аномалий в работе ВАС.

Состав основных программных модулей ВАС включает:

- интерфейсный модуль взаимодействия с пользователем;

- модуль автоматической обработки информации, запускаемый пользователем;

- модуль генерации ситуаций;

- модуль ввода-вывода информации.

Сопоставление

-----1-------

«StateChecker»

Средства генерации атак

Средства регистрации

Компьютер администратора

ИНФОРМАЦИОННЫЕ АТАКИ

«AutolDS»

Информация об j анамалыюм поведении

EZ3

Защищаемый элемент сети

Рис. 3 Схема экспериментальной проверки системы обнаружения аномалий

Структура взаимосвязанных ВАС и СОА представлена на рис. 4.

Конфигурация

База данных

Аудит

> >

Модуль выявления признаков Модуль принятия

решений

Действия

Виртуальная АС

Рис. 4. Структура системы, используемой для исследования предложенных

методов

Основное назначение модуля выявления признаков заключается в том, чтобы выбрать только нужную информацию из результатов аудита и представить в некотором виде действия, предпринимаемые пользователями. В модуле принятия решений оценивается вероятность того, что данные действия и признаки могут рассматриваться как признаки опасных аномалий. На рисунке 5 представлена схема применения указанной системы, состоящей из программного сенсора «AutoIDS» и администраторской части «AutoIDS Server».

Из схемы, приведенной на рисунке 5, видно, что предложено устанавливать разрабатываемые датчики «AutoIDS» на каждый элемент автоматизированной системы. Каждый сенсор один раз в минуту передает результаты оценки состояния элемента ДСОИ, что обеспечивает минимальный объем передаваемых по сети данных. Кроме того, при изменении результатов оценки передается внеочередное сообщение на компьютер администратора для последующего анализа средством «AutoIDS Server», производящего систематизацию полученных данных, а так же выдающую администратору сети возможные причины возникновения аномалии и рекомендации по их устранению согласно модели (4), что позволяет снизить нагрузку на администратора сети. В результате внедрения «AutoIDS» на ряде предприятий было увеличена оперативность обнаружения аномалий в поведении АСОИ на 60% и снижены временные затраты администратора на локализацию их на 30%, что позволило более эффективно вести наблюдение за состоянием АСОИ.

' Удаленный пользователь 1

Группа серверов АСОИ

Сервер 1

1______^

S AutoADS |l-

Сервер 2 | AutoADS

Сервер M AutoADS

Администратор \ AutoADS I |

Admin I

h

Иш|)ормационное

PROXY ^AutoADS

взаимодействие

Копыотер 1 I AutoADS

| Копыотер 2 i ! AutoADS 1

Копыотер N I AutoADS

Результат оценки состояния элемента АСОИ Рис. 5 Схема применения сенсора в АСОИ

В ряде случаев разработанный программный комплекс допускал ошибки при обнаружении аномалий их классификации (совершал ошибки первого и второго рода), однако процент такой ошибки соответствует условию (1). Из 2000 испытаний было получено порядка 98% правильных оценок.

По результатам исследования сделаны следующие выводы:

1. Работоспособность СОА подтверждена обнаружением аномалий, возникших в результате ситуаций, сгенерированных программой «State-Checker» в случайные моменты времени.

2. Высокое быстродействие предложенных методов подтверждено тем обстоятельством, что реакция СОА на появление аномалий не превышает 2030 мс после начала имитации аномалии в ВАС.

3. Надежность и адекватность работы предложенных методов подтверждена значением вероятности обнаружения аномалий, продемонстрированной СОА, связанной с исследуемой ВАС. Оно состави ло 0,98.

Итогом работы, описанной в четвертой главе, является разработанная СОА, позволяющая обнаруживать аномальное поведение АСОИ, отличающаяся менее ресурсоемкими алгоритмами работы, за счет применения логических моделей и адаптированных для их программной реализации. Построено программное средство «AutoIDS Server», осуществляющее анализ, сбор и визуализацию переданных сенсорами данных для администратора сети, а также генерации сообщений о возможных причинах возникновения аномалий и способов их устранения.

В заключении сформулированы основные результаты и выводы по работе.

В приложениях приведены список терминов и обозначений, а также акты о внедрении результатов и выводов диссертации,

Основные результаты работы

1. Разработан метод автоматической генерации модели информационной системы и ее динамического изменения с целью обеспечения ее адекватности в процессе работы на основе данных о статистических показателях функционировании системы для последующего обнаружения аномалий.

2. Предложен метод использования построенной модели для классификации оценки характера работы АСОИ, позволяющий классифицировать текущее состояние системы и оперативно обнаруживать аномалии.

3. Разработан программный инструментарий, позволяющий повысить степень автоматизации обнаружения информационных атак и аномалий, а также снизить нагрузку на администратора.

4. Проведены экспериментальные исследования предложенных методов на наборах данных как для виртуальной автоматизированной системы, так и для выбранных реальных трудноформализуемых процессов, характеризующихся набором разнотипных входных и выходных данных.

5. На языке С++ созданы библиотеки классов, позволяющих реализовать в любых программных средствах построение программных датчиков.

6. Практические результаты работы внедрены в АСОИ на предприятиях: 1) ООО «Информационный центр «Эдвайзер», г.Тула; 2) Тульский

территориальный фонд обязательного медицинского страхования, г. Тула; 3) ООО «Аккуант-Плюс», г. Тула.

7. Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

Публикации по теме диссертации

1. Наумов Д.А. Задача проектирования комплекса защиты от файловых вирусов.// Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект 2004». - Тула 2004, стр. 112-114.

2. Наумов Д,А. Автоматизированная система локализации сетевых атак. // XXXI «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции - М.: МАТИ., 2005, т.5, стр. 21-22.

3. Наумов Д.А. Формулировка основных критериев при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции - М.: МАТИ., 2006, т.4, стр. 102.

4. Наумов Д.А. Формальное описание классов обнаруживаемых атак при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции - М.: МАТИ., 2006, т.4, стр. 103.

5. Наумов Д.А. Формальное определение сетевых атак типовой системы обнаружения атак. Н ХХХШ «Гагаринские чтения» Тез. докл. Международной молодежной научной конференции - М.: МАТИ., 2007, т.4, стр. 9394.

6. Наумов Д.А. Проблемы защиты информационных ресурсов корпоративных автоматизированных систем.// Сборник трудов V Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии». - Томск 2007, стр. 248-250.

7. Наумов Д.А. Построение модели бессигнатурной системы обнаружения атак. // Материалы межрегиональной научно-технической конференции «Телематика 2007». - СПб 2007, т. 2, стр. 459-461

8. Наумов Д.А. Проблемы применения нейронных сетей при построении систем обнаружения атак..// Материалы межрегиональной научно-практической конференции «Интеллектуальные и информационные системы Интеллект 2007». - Тула 2007, стр. 65-66.

9. Наумов Д.А. Применение нейронных сетей и аппарата алгебраических моделей конструктивной (интуитивисткой) логики для обнаружения атак на АСОИ. // Управление созданием и развитием систем, сетей и устройств телекоммуникаций. Труды научно-практической конференции. - СПб, 2008, стр. 347 - 350.

10. Наумов Д.А. Прототип бессигнатурной системы обнаружения информационных атак на автоматизированную систему NeuroIDC. // Проблемы правовой и технической защиты «ПТЗИ - 2008». Алтайский государственный университет.- Барнаул, 2008, с. 132-137

11. Наумов Д.А. Токарев B.JI. Применение аппарата алгебраических моделей конструктивной (интуитивисткой) логики для обнаружения атак на АСОИ на примере автоматизированного программного комплекса «AutoIDS».// Известия Тульского государственного университета. Технические науки. Выпуск 4 - Тула: ТулГУ, 2008, стр. 263-268.

Изд. лиц. ЛР № 020300 от 12.02.97. Подписано в печать 08.09.09. Формат бумаги 60x84 1/16 . Бумага офсетная. Усл.-печ. л. /, 2, Уч.-изд. л. /, О Тираж/Л? экз. Заказ (?£, О Тульский государственный университет 300600, г. Тула, пр. Ленина, 92 Отпечатано в издательстве ТулГУ 300600, г. Тула, ул. Болдина, 151

ВВЕДЕНИЕ.-3

Общая характеристика работы.- 3

ГЛАВА 1. ИССЛЕДОВАНИЕ МОДЕЛЕЙ И МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ-81.1 Актуальность объекта исследования.- 8

1.2 Классификация систем обнаружения аномалии.- 14

1.3 Исходные данные, применяемые прн обнаружении аномалий.- 17

1.4 Методы, применяемые при обнаружении аномалии.- 24

1.5 Типовая архитектура системы выявления атак.- 33

1.6 Основные сложности при автоматизированном обнаружении аномалий. - 37

1.7 Постановка задачи.- 39

Выводы.- 42

ГЛАВА 2. РАЗРАБОТКА МЕТОДОВ И АЛГОРИТМОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ -442.1 Решение задачи обнаружения аномалии в поведении АСОИ.- 44

2.2 Решение задачи выбора информативных признаков.- 48

2.3 Построение модели АСОИ.- 51

2.4 Оценка адекватности построенной модели АСОИ.- 58

2.5 Оценка эффективности предложенной модели.- 60

Выводы.- 65

ГЛАВА 3. МЕТОД КЛАССИФИКАЦИИ ОБНАРУЖЕННЫХ АНОМАЛИЙ.- 67

3.1 Ранжирование аномалии в АСОИ. - 67

3.2 Формирование базы знаний.- 75

3.3 Метод оценки возможной причины возникновения аномалии.- 77

3.4 Внесение новых аномалий в базу знаний.- 84

3.5 Исследование точности получаемых результатов.- 86

Выводы.- 88

ГЛАВА 4. ПРОГРАММНОЕ ОБЕСПЧЕНИЕ, РЕАЛИЗУЮЩЕЕ МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ В ПОВЕДЕНИИ АСОИ, И ИХ ЕГО

ЭКСПЕРИМЕНТАЛЬНАЯ ПРОВЕРКА.- 89

4.1 Программный комплекс обнаружения аномалий «AutoADS».- 89

4.2 Схема применения программного комплекса «AutoADS».-1124.3 Цель эксперимента и методика его проведения.- 114

4.4 Предварительное обучение разработанного программного комплекса.-1174.5 Обучение и испытание программного комплекса.-1194.6 Результаты опробования разработанной системы.- 121

Выводы.- 124

Общая характеристика работы Актуальность. Роль автоматизированных систем обработки информации (АСОИ) в обработке информации неуклонно возрастает. Одновременно растут скорость обработки информации, масштабы АСОИ, цена обрабатываемой информации, а отсюда и рост интереса к ней злоумышленников. Все это делает особо важной задачу разработки программных средств, решающих задачу обнаружения аномалий в поведении АСОИ, которые несут определенную угрозу как целостности информации, так и ее конфиденциальности.

При появлении аномальной активности существенно возрастает риск повреждения, утери или разглашения информации, циркулирующей в системе. Таким образом, задача мониторинга состояния АСОИ с целью выявления аномалий в ее поведении является одной из важнейших задач и в то же время одной из наиболее трудно решаемых. Сложность данной задачи определяется значительным увеличением объемов и видов обрабатываемой в автоматизированных системах информации, усложнением производимых атак с целью получения несанкционированного доступа или нарушения стабильности функционирования систем обработки.

Известные программные средства обнаружения аномалий в поведении АСОИ (Shadow, Snort, Shoki, NFR, GrIDS, RealSecure и др.), как правило, имеют сравнительно невысокую оперативность и недостаточную надежность обнаружения аномалий, атак и вторжений.

Создание систем обнаружения аномалий — сравнительно молодая и перспективная область исследования. Наиболее известные подходы к решению задач обнаружения аномалий разработаны такими учеными как: D. Anderson [1], D. Сипу [4], D.Denning[6], T.F. Lunt [13,14,15], последователи В. В. Ковалева [31], П. Д. Зегжда [49], A.A. Стрельцова, М.П. Сычев, Ю.Н. Лаврухин [34], В.А. Герасименко, A.A. Малюк [64], A.C. Петренко, A.B. Беляев [31], П.А. Баранов, Н.Г. Милославская[67], А.И. Толстой [67], А.Ю. Тихонов [84] и другие. Тем не менее, остается немало сложностей, требующих своего решения, к которым относятся задачи повышения оперативности и вероятности обнаружения аномалий.

Объектом исследования являются системы обнаружения аномалий в поведении АСОИ.

Предметом исследования являются математические и алгоритмические методы обнаружения аномалий в поведении автоматизированных систем обработки информации.

Целью исследования является повышение оперативности обнаружения аномалий в поведении АСОИ за счет использования классификатора на основе логической модели.

Для достижения указанных целей в диссертации решаются следующие задачи:

- разработка метода быстрого обнаружения аномалий в поведении АСОИ;

- создание метода выстраивания моделей поведения АСОИ, решающего типовые задачи, для поддержки автоматического обнаружения аномалий;

- разработка метода ранжирования аномалий по степени их опасности для целостности информации в АСОИ;

- создание на основе предложенных методов программного средства для обнаружения аномалий в автоматизированных системах;

- экспериментальное подтверждение эффективности предложенных методов.

Методы исследования. В основу исследования положены методы теории принятия решений, статистического анализа, теории систем искусственного интеллекта.

Научная новизна определяется следующим:

- разработан и оптимизирован для программной реализации метод и алгоритм автоматического построения адаптивных моделей поведения АСОИ, решающий типовые задачи;

- разработан метод быстрого обнаружения аномалий в поведении АСОИ на основе оценки отклонения динамики изменения параметров функционирования в процессе решения задачи от аналогичных параметров модели, позволяющий своевременно сигнализировать о наиболее опасных аномалиях;

- разработан метод обеспечения адекватности модели автоматизированной системе обработки информации в течение всего жизненного цикла задачи.

Достоверность научных результатов подтверждена корректным применением используемого математического аппарата, а также согласованностью результатов теоретического расчета с данными, полученными в ходе эксперимента.

Практическая ценность результатов диссертации заключается в следующем:

- разработан программный инструментарий для построения систем обнаружения аномалий в поведении автоматизированных систем;

- снижена нагрузка на системного администратора АСОИ за счет автоматизации выполнения ряда его функций (своевременного обнаружения аномалий, локализации аномалий);

- уменьшено время, затрачиваемое на разработку программных сенсоров для систем обнаружения аномального поведения АСОИ за счет использования созданной на языке С++ библиотеки классов.

Реализация и внедрение результатов работы. Предложенные в диссертации методы и методики использовались для задач обнаружения аномального поведения автоматизированных систем при контроле качества функционирования узлов АСОИ и обнаружении информационных атак на предприятиях:

- ООО «Информационный центр «Эдвайзер», г.Тула;

- Тульский территориальный фонд обязательного медицинского страхования, г. Тула;

- ООО «Аккаунт-Плюс», г. Тула.

Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

Апробация работы. Основные результаты работы докладывались на международных и Всероссийских научно-технических конференциях, совещаниях и семинарах: на межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект-2004», «Интеллект 2007» (Тула, 2004, 2007 гг.), XXXI, XXXII, XXXIII международных молодежных конференциях «Гагаринские чтения» (Москва, 2005, 2006, 2007 гг.), Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии» (Томск, 2007 г.), межрегиональной научно-технической конференции «Телематика 2007» (Санкт - Петербург, 2007 г.), научно-практической конференции «Управление созданием и развитием систем, сетей и устройств телекоммуникацию^ Санкт - Петербург, 2008 г.), конференции, посвященной проблемам правовой и технической защиты «ПТЗИ-2008». (Барнаул, 2008 г.).

Публикации. По теме исследования опубликовано 11 печатных работ.

Структура и объём работы. Диссертационная работа состоит из введения, четырех глав и заключения, изложенных на 136 страницах мапшнописно

Выводы

Таким образом, в четвертой главе представлены разработанные программные средства обнаружения аномалий в поведении АСОИ, построенных на основании описанных выше моделей и методик. (Зни реализованы в виде библиотеки классов на языке С++. Разработка реализует предложенную методику обнаружения аномального поведения автоматизированной системы обработки информации. Здесь с достаточно детально описаны принцип действия созданного прототипа, реализация моделей на языке программирования высокого уровня (Borland С++ Builder) методы применения методики и моделей, описанных в предыдущих главах.

Проведена экспериментальная проверка, подтверждающая эффективность предложенных методов в реальных системах обработки информации.

ЗАКЛЮЧЕНИЕ

1. Разработан метод автоматической генерации модели информационной системы и ее динамического изменения с целью обеспечения ее адекватности в процессе работы на основе данных о статистических показателях функционировании системы для последующего обнаружения аномалий.

2. Предложен метод использования построенной модели для классификации оценки характера работы АСОИ, которая позволяет классифицировать текущее состояние системы и оперативно обнаруживать аномалии.

3. Разработан метод ранжирования аномалий по степени опасности для обрабатываемой информации и последующего выделения возможных причин возникновения инцидента.

4. Разработан программный инструментарий, позволяющий повысить степень автоматизации обнаружения информационных атак и аномалий, а также снизить нагрузку на администратора.

5. Проведены экспериментальные исследования на наборах данных как для виртуальной автоматизированной системы, так и для выбранных реальных трудноформализуемых процессов, характеризующихся набором разнотипных входных и выходных данных.

6. На языке С++ созданы библиотеки классов, позволяющих реализовать в любых программных средствах построение программных сенсоров.

7. Практические результаты работы внедрены в АСОИ на предприятиях: 1) ООО «Информационный центр «Эдвайзер», г.Тула; 2) Тульский территориальный фонд обязательного медицинского страхования, г. Тула; 3) ООО «Аккаунт-Плюс», г. Тула.

8. Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».

1. Burges C.J.C. A tutorial on support vector machines for pattern recognition. // Data Mining and Knowledge Discoveiy, — 2(2):955-974, 1998.

2. CERT/CC Statistics 1988-2007. Yearly CERT publication. URL:http://www.cert.org/stats/.

3. Curry D., Debar H., «Intrusion Detection Message Exchange Format: Extensible Markup Language (XML) Document Type Definition», Dec. 2001

4. Debar H., Becker M., Siboni D. «A neural network component for an intrusion detection system.» // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992

5. Denning D. An Intrusion-Detection Model. IEEE Transactions on Software Engineering, Vol. SE-13, No. 2. Februaiy, 1987.

6. Jalili R., Imani-Mehr F., Amini M., Shahriari H.R. «Detection of Distributed Denial of Service Attacks Using Statistical Pre-Processor and Unsupervised Neural Networks.» // Lecture notes in computer science, 2005

7. Hofmeyr S.A. «An immunological model of distributed detection and its application to computer security» // Ph.D. thesis, University of New Mexico, May 1999.

8. Howard M., LeBlanc D. Writing Secure Code 2nd ed. Microsoft Press, 2002 800 c.

9. Kalin C., Porras P., Staniford-Chen S., Tung B. A Common Intrusion Detection Framework.// Draft submission to a nice publication. , July 1998. http://seclab.cs.ucdavis.edu/cidf/papers/jcs-drafl/cidf-paper.ps

10. Korzyk A.D. A FORECASTING MODEL FOR INTERNET SECURITY ATTACKS. Publication of National Institute of Standards and Technology, Computer Security Division. URL:http://csrc.nist.gov/nissc/1998/proceedings/paperD5 .pdf publication.

11. Lunt T.F., "Automated Audit Trail Analysis and Intrusion Detection: A Survey." // Proceedings of the 11th National Security Conference, Baltimore, MD, October 1988.

12. Lunt, T.F. Real-Time Intrusion Detection. // Computer Security Journal Vol. VI, Number 1. pp. 9-14., 1989.

13. Lunt, T. F., "Detecting Intruders in Computer Systems," 1993 Conference on Auditing and Computer Technology, SRI International.

14. Marshall RJ. Generation of Boolean classification rules. // Proceedings of Computational Statistics 2000 — Utrecht, The Netherlands, / eds Bethlehem and PGM van der Heijden, — Springer-Verlag, Heidelberg, 2000 — pp. 355-360.

15. Paxson, Vern. (Lawrence Berkeley National Laboratory). Bro: A System for Detecting Network Intruders in Real-Time, Proceedings of 7th USENIX Security Symposium. San Antonio, TX, January 1998. ftp://ftp.ee.lbl.gov/papers/bro-usenix98-revised.ps.gz.

16. Paxson V., Bro: A System for Detecting Network Intruders in Real-Time. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999. . ftp://ftp.ee.lbl.gov/papers/bro-DNI.ps.gz

17. Qu G., Hariri S., Yousif M. «Multivariate Statistical Analysis for Network Attacks Detection.» // Computer Systems and Applications, 2005.

18. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988.

19. Stillerman M., Marceau C., Stillman M. Intrusion Detection for Distributed Applications. // Communicaions of the ACM. , Vol. 42, No. 7, c. 62-69. July 1999. http://www.acm.org/pubs/articles/journals/cacm/1999-42-7/p62-stilleman/

20. Teng, H. S., Chen, K., and Lu, S. C. Adaptive real-time anomaly detection using inductively generated sequential patterns. // Proceedings of the 1990 IEEE Symposium on Research in Computer Security and Privacy, 1990 278-284 c.

21. Whitehurst R.A. «Expert Systems in Intrusion Detection: A Case Study» // Computer Science Laboratory, SRI International, Menlo Park, CA, November 1987.

22. Wood M. Inrusion Detection Exchange Format Requirements.//Internet-Draft. , June 1999, http://www.ietf.org/internet-drafts/draft-ietf-idwg-requirements-OO.txt

23. Айвазян С. JI. и др. Прикладная статистика: Основы моделирования и первичная обработка данных. Справочное изд. / С. А. Айвазян, И. С. Енюков, Л. Д. Мешалкин. —М.: Финансы и статистика, 1983. — 471с.

24. Акимов П.С., Бакут П.А., Богданович В.А. Теория обнаружения сигналов. М.: Радио и связь, 1984 — 440 с.

25. Алтунин А.Е., Семухин М.В. Модели и алгоритмы принятия решений в нечетких условиях: Монография. Тюмень: Издательство Тюменского государственного университета, 2000. 352 с.

26. Архангельский А .Я. Программирование в С++ Builder 6. Бином, 2003 г.-1152 стр.

27. Архангельский А.Я. Язык С++ в С++ Builder. Бином.Лаборатория знаний, Бином пресс, 2008 г — 942 стр.

28. Атаки на сеть через переполнение буфера: технологии и способы борьбы.// PC Magazine Russian Edition 03.2007 URL: http://www.pcmag.ru/library/detail.php?ID=6328

29. Беляев A.B., Петренко С.И., Системы обнаружения аномалий: новые идеи в защите информации. // «Экспресс-Электроника»#2/2004 URL: http://electronica.finestreet.ru/.

30. Боровков A.A. Математическая статистика: оценка параметров, проверка гипотез. М., Физматлит, 1984. - 472 с.

31. Брукинг А. и др. Экспертные системы. Принципы работы и примеры. Пер. с англ.; Под ред. Р.Форсайта. — М.: Радио и связь, 1987.

32. Буланова Т.А., Лаврухин Ю.Н. Основные положения по информационной безопасности для мультисервисных сетей связи регионального масштаба. // «Наукоёмкие технологии», №4, 2003 г.

33. Вагин В.Н., Головина Е.Ю., Загорянская A.A., Фомина М.В. Достоверный и правдоподобный вывод в интеллектуальных системах — М: Физматлит, 2004 — 704 с.

34. Вощинин А.П., Сотиров Г.Р. Оптимизация в условиях неопределенности. М.: МЭИ - София: Техника, 1989. 224 с.

35. Гаврилова ТА., Хорошевский В.Ф., 2000. Базы знаний интеллектуальных систем. Учебник для вузов. СПб, Изд-во "Питер", 2000, 384 с.

36. Галатенко A.B. Активный аудит // Jet Info. Октябрь 1999. № 8(75)

37. Гвозденко А. «Искусственные иммунные системы как средство сетевой самозащиты» // «Компьютерное Обозрение». Ноябрь 2000. №2(42). http://itc.ua/node/4270?s=bb0370fe60df40e406el580f6c9485a3

38. Гитис Л.Х. Кластерный анализ в задачах классификации, оптимизации и прогнозирования. Издательство Московского государственного горного университета, 2001 104 с.

39. Гмурман В. Е. Теория вероятностей и математическая статистика -М., Высш.шк., 2003.- 479 с.

40. Гнеденко Б.В. Курс теории вероятностей: Учебник. Изд. 8-е, испр. и доп. — М.: Едиториал УРСС, 2005. — 448 с. (Классический университетский учебник.).

41. Гуркин Ю.Н., Семенов Ю.А. Модельный прогноз для числа сетевых вторжений на ближайшие годы.

42. Демидович Б.П. Сборник задач и упражнений по математическому анализу. 3-е изд., испр.- М.: Изд-во Моск. ун-та ЧеРо,1997. 624с.

43. Дружинин E.JL, Гребенников «Исследование возможностей статистических методов для обнаружения аномалий в работе сети». // Научная сессия МИФИ 2004, т. 10.

44. Дружинин E.JL, Гребенников «Обнаружение аномальных состояний компьютерной сети». // Научная сессия МИФИ 2005, т. 10 стр. 180-184.

45. Ермолаев В., Сорока Т. С++ Builder: Книга рецептов. М.: КУДИЦ-ОБРАЗ, 2006. 208 с.

46. Заенцев И.В. Нейронные сети: основные модели. Учебное пособие. Воронеж, 1999. 76 стр.

47. Зегжда П. Д. Обеспечение безопасности информации в условиях создания единого информационного пространства // «Защита информации. Инсайд», № 4 июль-август 2007 г.

48. Зорич В.А. Математический анализ (в 2 частях), т. 1- М., Фазис, 1997 567 с.

49. Искусственный интеллект. Справочник в трех томах. / под ред. Захарова В.Н., Попова Э.В., Поспелова Д.А., Хорошевского В.Ф. — М.: Радио и связь, 1990. —Т.2.

50. Капица С.П., Сколько людей жило, живёт и будет жить на Земле. Очерк теории роста человечества. М.: Международная программа образования, 1999. - 240 с.

51. Капица С. П. Феноменологическая теория роста населения Земли. Журн. Усп. Физ. Наук, 1996. № I. с. 63-79.

52. Клименко А.О. Методы обучения нейронных сетей, 2004 http ://www. gotai .net/documents/doc-nn-008. aspx

53. Коваленко И.Н., Филиппова A.A. Теория вероятностей и математическая статистика: Учеб. пособие. 2-е изд., перераб. И доп. - М.: Высш. Школа, 1982.-256 е., ил.

54. Колемаев В.А., Калинина В.Н. Теория вероятностей и математическая статистика: Учебник/ Под ред. В.А. Колемаева. — М.: ИНФРА-М, 2001. — 302 с. — (Серия «Высшее образование»).

55. Костров Д. «IDS Введение», Byte/Россия №8 (49), август 200:2 (http://www.bytemag.ru/articles/detail.php?ID=6608)

56. Крамер Г. Математические методы статистики. — М.: Мир, 1975. 648с.

57. Красоткин A.B. Обнаружение сетевых атак — Snort // PC Magazine Russian Edition 06.2003 URL: http://www.osp.ru/pcworld/2003/06/165957/

58. Кульбак С. Теория информации и статистика. — М.: Наука, 1967. —408 с.

59. Левин Б.Р. Теоретические основы статистической радиотехники. -кн. 3 .- М.: Сов. Радио, 1976 288 с.

60. Лукацкий A.B. «Можно ли в России создать свою систему обнаружения атак?» Byte/Россия №23 (389), август 2003 (http://www.pcweek.ru/themes/detail.php?ID=64687)

61. Маланин В. В. Случайные процессы в нелинейных динамических системах. Аналитические и численные методы исследования. Издательство: Регулярная и хаотическая динамика, 2001 160 с.

62. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. — М.:Горячая линия-Телеком:, 2004. 280 с.

63. Микони C.B. Модели и базы знаний. Учеб. пособие —СПб.: СПГУПС,2000 -155с.

64. Миллер Б. М., Панков А. Р. Теория случайных процессов в примерах и задачах. М.: ФИЗМАТЛИТ, 2002. - 320 с.

65. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.: Юнити-Дана, 2001. 597 с.

66. Налимов В.В., Голикова Т.И. Логические основания планирования эксперимента. — М.: Металлургия, 1976 128 с.

67. Наумов Д.А. Проблемы применения нейронных сетей при построении систем обнаружения атак.// Материалы межрегиональной научно-практической конференции «Интеллектуальные и информационные системы Интеллект 2007». Тула 2007, стр. 65-66.

68. Наумов Д.А. Задача проектирования комплекса защиты от файловых вирусов.// Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект 2004». — Тула 2004, стр. 112-114.

69. Наумов Д.А. Автоматизированная система локализации сетевых атак. // XXXI «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции-М.: МАТИ., 2005, т.5, стр. 21-22.

70. Наумов Д.А. Формулировка основных критериев при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции М.: МАТИ., 2006, т.4, стр. 102.

71. Наумов ДА. Формальное описание классов обнаруживаемых атак при сравнительном анализе систем обнаружения атак. // XXXII «Гагаринские чтения»: Тез. докл. Международной молодежной научной конференции М.: МАТИ., 2006, т.4, стр. 103.

72. Наумов Д.А. Формальное определение сетевых атак типовой системы обнаружения атак. // XXXIII «Гагаринские чтения» Тез. докл. Международной молодежной научной конференции — М.: МАТИ., 2007, т.4, стр. 93-94.

73. Наумов Д.А. Построение модели бессигнатурной системы обнаружения атак. // Материалы межрегиональной научно-технической конференции «Телематика 2007». СПб 2007, т. 2, стр. 459-461

74. Наумов Д.А. Прототип бессигнатурной системы обнаружения информационных атак на автоматизированную систему NeuroIDC. // Проблемы правовой и технической защиты «ПТЗИ 2008». Алтайский государственный университет-Барнаул, 2008, с. 132-137.

75. Новицкий П.В., Зограф И.А. Оценка погрешностей результатов измерений. — Л.: Энергоатомиздат, 1985 —248 с.

76. Паклин H.A. Нечеткая логика математические основы. // http://www.basegroup.ru/library/analysis/fuzzylogic/math/

77. Руководство по использованию языка тестовых атак NASL http://ftpxhtd.tpu.ru/pub/net/audit/nessus-saint/documentati on/Nessus/Worl^oc/ NASL/NaslRus.html

78. Смелянский P.JL, Качалин А.И. «Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях». // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004.

79. Сорокина С.И., Тихонов А.Ю. Программирование драйверов и систем безопасности. СПб.: БХВ-Петербург 2002 256 с.

80. Стандарт. Практическое применение международного стандарта безопасности информационных систем ISO 17799, http://www.deeplace.md/rus/section/134/

81. Статистика сбоев компьютерных систем // PC Week, июль, 1993, http://www.powercube.ru/articles/stat/

82. Страуструп Б. Язык программирования С++. СПб.: БХВ-Петербург, 2001 - 863с.

83. Токарев В.Л. Обнаружение сигналов со случайным параметрами // Алгоритмы и структуры систем обработки информации, Тула: ТулПИ, 1992. — С. 83-89.

84. Токарев В.Л. Основы теории обеспечения рациональности решений. Монография // Тула: ТулГУ. 2000. 118 с.

85. Токарев В.Л. Устойчивое оценивание пороговых значений решающих правил классификации. Оптико-электронные приборы и устройства в системах распознавания образов, обработки изображений и символьной информации, Курск: КПИ, 1993.

86. Уоссермен Ф. (перевод с английского Ю.А.Зуев, В. А. Точенов) Нейрокомпьютерная техника: Теория и практика, М., Мир, 1992. 240 с.

87. Федорченко В.А. Теория многомерных распределений. Русь, 2003578 с.

88. Штовба С.Д. Обеспечение точности и прозрачности нечеткой модели Мамдани при обучении по экспериментальным данным // Проблемы управления и информатики. 2007. - №4. - С. 102-114.

89. Яремчук С. «Иммунная система для компьютера» // журнал «Системный администратор» 11.2004. http://www.samag.ru/cgi-Ып^о.р1?я=а11ю1е8;п=11.2004;а=10