автореферат диссертации по приборостроению, метрологии и информационно-измерительным приборам и системам, 05.11.16, диссертация на тему:Методы и средства для обеспечения безопасности измерительной информационной системы контроля производительности нефтяных скважин

004618783

ШАЛАЕВСКИЙ ОЛЕГ НИКОЛАЕВИЧ

МЕТОДЫ И СРЕДСТВА ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИЗМЕРИТЕЛЬНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ КОНТРОЛЯ ПРОИЗВОДИТЕЛЬНОСТИ НЕФТЯНЫХ СКВАЖИН

Специальность 05.11.16 - Информационно-измерительные и управляющие системы (машиностроение)

Автореферат диссертации на соискание ученой степени кандидата технических наук

2 3 ДЕК 2010

Санкт-Петербург - 2010

004618788

Работа выполнена в государственном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет»

Научный руководитель: доктор технических наук, профессор

Малыхина Галина Федоровна

Официальные оппоненты: доктор технических наук, профессор

Кондрашкова Галина Анатольевна

доктор технических наук, профессор Проскуряков Руслан Максимович

Ведущая организация: Государственный Научный Центр России

Центральный Научно-Исследовательский Институт Робототехники и Технической Кибернетики

Защита состоится «30» декабря 2010 г. в 16 часов на заседании диссертационного совета Д 212.229.10 ГОУ ВПО «Санкт-Петербургский государственный политехнический университет» по адресу: 195251, г. Санкт-Петербург, ул. Политехническая, 21, IX учебный корпус, ауд. 121.

С диссертацией можно ознакомится в фундаментальной библиотеке ГОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Автореферат разослан «29» ноября 2010 г.

Ученый секретарь

Диссертационного совета Д 212.229.10 Кандидат технических наук, доцент

Кудряшов Э.А.

1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Современные информационно-измерительные системы (ИИС), применяемые для контроля технологических процессов, часто имеют распределенную архитектуру. Это обусловлено необходимостью измерять большое количество величин размещенными в пространстве измерительными устройствами. Такие ИИС используют современные интерфейсы для связи с объектом измерения, вычислительные средства для обработки результатов измерения, базы данных для хранения результатов. К таким системам относится ИИС, предназначенная для контроля производительности нефтяных скважин (КПНС). ИИС КПНС выполняет измерения характеристик двухфазных трехкомпонентных потоков продукции нефтяных скважин, использует результаты измерения для управления технологическим процессом добычи, накапливает результаты измерения в базе данных для анализа и прогнозирования. ИИС КПНС имеет распределенную трехуровневую архитектуру локальной сети, состоящей из вычислительных и измерительных устройств.

Наличие погрешностей измерения в ИИС, используемых для управления технологическим процессом или в системах коммерческого учета продукции нефтяных скважин, приводит к существенным потерям для государства. Поэтому в настоящее время большое внимание уделяется развитию системы метрологических служб, деятельность которых направлена на обеспечение единства измерений, и создание условий для объективности измерительной информации,

Несколько меньше внимания уделяется защите измерительной информации от раскрытия и преднамеренной модификации, что также приводит к значительным потерям. Модификация данных при коммерческом учете продукции может быть связана с кражей, при контроле технологических процессов - с неправильной эксплуатацией оборудования и ресурсов, приводящей, возможно, к техногенной катастрофе. Раскрытие измерительной информации, результатов ее обработки может предоставить злоумышленнику возможность анализа протекающих в ИИС процессов, организации сбоя в работе системы, что также может вызвать экономические потери.

Большинство существующих на сегодняшний день систем защиты информации, ориентированы на применение в вычислительных сетях, где каждая рабочая станция находится под управлением многозадачной операционной системы. Вместе с тем, защита измерительной информации имеет свою специфику, которая должна быть учтена при создании средств защиты информации в ИИС. Поэтому разработка концепции безопасности

с\

р

измерительных информационных технологий, реализуемых в ИИС, является актуальной задачей.

Цель и задачи исследования. Диссертационная работа посвящена решению задачи разработки методов, алгоритмов и программных средств проектирования защищенной ИИС на примере ИИС для контроля производительности нефтяных скважин.

Решение этой задачи связано с выполнением следующих этапов исследования:

1. Анализ существующих методов и средств обеспечения безопасности информации, которые могут быть применены в ИИС.

2. Разработка профиля защиты ИИС технологического контроля производительности нефтяных скважин.

3. Разработка онтологической модели безопасности измерительных технологий и метода автоматизации процесса построения защитных средств ИИС КПНС.

4. Разработка метода обнаружения вторжений в ИИС контроля производительности нефтяных скважин на основе скрытой модели Маркова.

Предметом исследования является разработка методов обеспечения безопасности измерительных информационных технологий на примере ИИС технологического контроля нефтяных скважин.

Методы исследования. Теоретические исследования выполнены с использованием аппарата теории вероятностей и математической статистики, онтологического моделирования, теории проектирования ИИС, программирования, информационной безопасности.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1. Классификация методов и средств обеспечения безопасности информационно-измерительных систем.

2. Предложен новый профиль защиты для класса измерительных информационных систем, на примере ИИС КПНС.

3. Предложена онтологическая модели безопасности измерительных информационных технологий и разработан метод автоматизации процесса проектирования защитных средств ИИС.

4. Разработан формализованный язык ФОРКОН для реализации онтологической модели.

5. Разработан метод обнаружения вторжений в ИИС контроля производительности нефтяных скважин, основанный на использовании скрытых моделей Маркова.

Практическую ценность полученных в диссертационной работе результатов составляют:

1. Библиотека классов, шаблонов и макросов языка программирования С++, реализующая базовые понятия, связи и функции интерпретации онтологической модели безопасности измерительных информационных технологий ИИ С.

2. Программное обеспечение, реализующее механизм управления онтологической моделью на основе языка ФОРКОН.

3. Программное обеспечение, реализующее предложенный метод обнаружения вторжений в ИИС КПНС на основе скрытой модели Маркова.

Основные положения, выносимые на защиту:

1. Описание, реализация и управление онтологической моделью безопасности измерительных информационных технологий.

2. Описание и применение нового метода обнаружения вторжений в ИИС технологического контроля производительности нефтяных скважин на основе скрытой модели Маркова.

Реализация на практике. Разработанное в диссертационной работе методическое и программное обеспечение использовано в ООО «Комплекс-Ресурс» при проектировании ИИС контроля производительности нефтяных скважин с использованием измерительных установок «НЕФТЕМЕР МК -ЮМ». Предложенные методы использованы при разработке учебных программ по дисциплинам «Измерительные информационные системы» и «Системы обнаружения вторжений».

Апробация работы. Основные результаты работы докладывались и обсуждались на второй международной научно-практической конференции «Измерения в современном мире» (СПБГПУ, 2009), на молодежной школе-семинаре «Адаптивные и интеллектуальные роботы» (Таганрог, 2009) , на международной практической конференции «Системный анализ в проектировании и управлении» (СПБГПУ, 2010).

Основные результаты диссертационной работы достаточно полно отражены в 6 печатных работах: 3 статьях и 3 тезисах докладов.

Структура и объем работы. Диссертация состоит из введения, четырех разделов, заключения, списка литературы, включающего 102 наименования. Работа изложена на 163 страницах машинного текста, содержит 31 рисунок и 6 таблиц.

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы работы, показана ее практическая значимость, определены цель, задачи и методы исследования.

В первой главе проведен анализ и классификация существующих методов и средств обеспечения безопасности информационных технологий и

возможности их применения для информационно-измерительных систем. Проблема контроля производительности нефтяных скважин на участке ПТВЗ Усинского месторождения решена путем внедрения распределенной трехуровневой ИИС, использующей бессепарационный метод измерения многофазных потоков. Трехуровневая структура ИИС показана на рисунке 1.

Сеть 0 уровня

вне

Сеть 1 уровня

дц

кне 1

КНС 2

КНС N

кк

5

д

Сеть 2 уровня КНС

д

д

б б

д

Д4-

+ д<-

д

Рис.1. Структура ИИСКПНС

Рис.2. Структура КНС

Сеть второго уровня представляет собой сеть контроллеров, выполняющих прием данных от блоков детектирования радиоизотопных измерительных преобразователей, установленных на множестве кустов нефтяных скважин, накопление и первичную обработку данных. На измерительном участке несколько скважин объединены в куст, на каждом из которых установлены радиоизотопные преобразователи и микропроцессорные вычислительные устройства, объединенные интерфейсом 118-485. Кустовой контролер выполняет опрос измерительных устройств, сбор данных и передачу в сеть первого уровня.

Сеть первого уровня является локальной сетью диспетчерского центра, в которой выполняется сбор и обработка результатов измерения характеристик нефте-газо-водяных потоков продукции нефтяных скважин. Обработанные данные, включающие такие характеристики, как объемный расход жидкости и газа, среднюю плотность потока, плотность жидкости, объемную долю жидкости и газа, коэффициент обводненности нефти, используются для управления технологическим процессом добычи, а также сохраняются в базе данных для выполнения анализа и прогнозирования.

Сеть нулевого уровня предоставляет удаленный доступ к результатам обработки измерительной информации санкционированным пользователям из внешних сетей.

Вследствие распределенной структуры ИИС подвержена рискам, характерным для всех информационных систем и специфическим рискам. К последним относятся: нарушение целостности измерительных данных, на этапе fix получения, обработки или хранения; намеренное увеличение систематической составляющей погрешности; нарушение доступности данных для процессов управления; раскрытие и модификация алгоритмов обработки результатов измерения; раскрытие результатов измерения и выполнение их анализа.

Проведен анализ методов формирования профиля защиты информационных технологий, регламентированного стандартом ГОСТ Р ИСО/МЭК 15408 (OK), и сделаны выводы о необходимости разработки специализированных профилей защиты измерительных информационных технологий, реализуемых в ИИС. Поставлена задача разработки профиля защиты ИИС КПНС, включающая создание формального описания методов защиты, и автоматизацию процесса построения защитных средств.

Особенностью ИИС КПНС является использование результатов измерения в реальном времени для задач управления. Участок ПТВЗ Усинского месторождения разрабатывается с использованием тепловых методов повышения нефтеотдачи пластов, при этом необходимо выполнять постоянный контроль за тепловым воздействием на продуктивный пласт путем измерения газосодержания и обводненности нефти, дебита по нефти и дебита по газу. Результаты измерения используются в реальном времени для управления процессом добычи. Для устранения рисков нарушения процессов управления необходимо выполнять аудит безопасности ИИС в реальном времени для обнаружения вторжений с систему. Система обнаружения вторжений включает программно реализуемые сенсоры, для сбора информации о состоянии защищаемой системы, модуль анализа и принятия решения о вторжении, и модуль реагирования.

Выполнен анализ и классификация существующих систем обнаружения вторжений (СОВ), результаты которого представлены на рисунке 3.

По типу данных, собираемых для анализа, различают сетевые СОВ, анализирующие сетевой трафик (Snort, Форпост), и хостовые СОВ (IBM Tivoli Risk Manager, RealSecure), анализирующие данные аудита безопасности.

По времени выполнения обнаружения вторжения различают СОВ реального времени (NetRanger, RealSecure, Centrax) и СОВ с последующей обработкой (CMDS).

По типу архитектуры выделены СОВ с централизованной (USTAT, NetRanger, Centrax) и распределенной^пой, Форпост, EMERALD) архитектурой.

По типу функциональности СОВ можно разделить на активные (Cisco IPS, TippingPoint), направленные на снижение последствий вторжения и пассивные (CMDS, NetRanger, Centrax), как правило, реализующие протоколирование вторжения в журнале.

По способу обучения отличают СОВ, обучающиеся с учителем (EMERALD) и без него (Security Studio Honeypot Manager/EndPoint Protection). Во втором случае, скорее всего, будет ниже качество настройки СОВ.

По

Хостовые

Сетевые

а

Реального времени

Последующей обработки

По типу мониторинга

СОВ

По времени выполнения

Централизованные

Распределенные

По типу щхитектуры

типу функциональности

По способу обучения

По типу анализа

Активные

Пассивные

С учителем

Без учителя

Поиск аномалий

Поиск злоупотреблений

Рис. S Классификация систем обнаружения вторжений

По типу анализа можно выделить два типа СОВ. К первому типу относятся системы, выполняющие поиск аномалий и реагирующие на критическое отклонение текущих значений контролируемых параметров от нормальных значений. Такие СОВ могут строиться на базе сети доверия Байеса или нейронной сети (IDES, NIDES). Ко второму типу относятся системы, выполняющие поиск злоупотреблений, ассоциирующие вторжение с определенной сигнатурой. В этом случае вторжение может быть обнаружено при условии, что сигнатура известна и хранится в базе знаний СОВ (MIDAS, NADIR).

Для эффективного обнаружения вторжений в ИИС целесообразно использовать работающий в реальном времени комбинированный метод. Сразу после обнаружения аномалии, система делает попытку классификации. Невозможность уверенной классификации означает обнаружение нового вида вторжения.

Анализ существующих СОВ позволил определить ряд присущих им недостатков:

- функционирование в информационных системах, работающих под управлением многозадачных операционных систем высокого уровня;

- высокий процент ложных срабатываний;

- существенные временные задержки обнаружения вторжения, обусловленные необходимостью анализа больших объемов информации.

Перечисленные недостатки не позволяют непосредственно использовать существующие системы в задачах обнаружения вторжений в ИИС, необходимо разработать новую систему обнаружения вторжений, учитывающую специфику измерительных технологий, реализуемых ИИС КПНС.

Вторая глава посвящена формированию профиля защиты ИИС КПНС. Для решения этой задачи выполнен анализ особенностей измерительных технологий, реализуемых в ИИС КПНС, определены уязвимости измерительных технологий и показана необходимость введения новых компонентов функциональных требований безопасности.

Предложено включить в состав профиля защиты ИИС КПНС стандартные требования безопасности, регламентированные ГОСТ Р 154082-2002, и новые перечисленные ниже требования безопасности, специфичные для измерительных технологий:

Ш8_А>4Ь.1 - дополнительный компонент функциональных требований безопасности, характеризующий необходимость выполнять аналитические функции с целью обнаружения вторжений в ИИС КПНС;

ЮБЯСТЛ - дополнительный компонент функциональных требований безопасности, описывающий необходимость в случае обнаружения вторжения запустить механизм тревожного оповещения администраторов ИИС КПНС, а также, в случае наличия возможности провести контрмеры, нацеленные на уменьшение последствий вторжения;

ШБСОЬЛ - дополнительный компонент функциональных требований безопасности, регламентирующий тип системных источников, данные из которого требуются для обнаружения вторжений, а также формат этих данных;

ГОБМЖЛ - дополнительный компонент функциональных требований безопасности, характеризующий необходимость вывода данных системы безопасности ИИС КПНС для авторизованных пользователей в соответствии с их полномочиями в системе;

ГОБЗТС. 1 - дополнительный компонент функциональных требований безопасности, описывающий возможность гарантированной доступности данных подсистемы безопасности ИИС КПНС;

ГО8 8Т0.2 - дополнительный компонент функциональных требований реализует механизм предотвращения потери данных подсистемы безопасности ИИС КПНС в случае переполнения хранилища. Суть механизма должна сводиться к настройке функций безопасности ИИС КПНС на возможность выбора между определенными стратегиями;

ШБМОРЛ - дополнительный компонент функциональных требований безопасности, характеризующий необходимость выполнять дополнительную функцию измерения добычи газа, воды, нефти;

МЗАСИЛ - требование, обязывающее предоставить гарантированную доступность поверочного образца для верификации систематической погрешности измерения газа, воды, нефти;

1М8_АС11.2 - требование предотвращения модификации поверочного образца, использующегося для верификации систематической погрешности измерения газа, воды, нефти;

ШБАЬОЛ - необходимость обеспечить конфиденциальность алгоритма измерения добычи газа, воды, нефти с целью пресечения последующего использования этого алгоритма конкурентами;

1М58ТС. 1 - необходимость обеспечить гарантированную доступность данных, полученных в результате измерения нефти, газа, воды, хранящихся на кустовом контроллере;

1МБ_8ТС.2 - необходимость предотвратить модификацию данных, полученных в результате измерения нефти, газа, воды, хранящихся на кустовом контроллере;

1М8_8ТС.З - необходимость обеспечить гарантированную доступность служебной информации в рамках ИИСКПНС. В качестве служебной информации выступают параметры для настройки ИИСКПНС, например, набор команд для управления параметрами нефтяных скважин с целью оптимизации дебита нефти;

1М8_8ТС.4 - необходимость предотвратить несанкционированную модификацию служебной информации.

В результате детального анализа основных процедур всех типов узлов ИИС КПНС, на основе разработанного профиля защиты, был сформирован список системных уязвимостей, которые необходимо устранить средствами обеспечения безопасности. Для упрощения процедуры разработки системы безопасности ИИС КПНС и процедуры устранения уязвимостей, целесообразно, разработать методику, позволяющую автоматизировать данный процесс.

Третья глава посвящена разработке онтологической модели безопасности измерительных информационных технологий на основе сформулированных функциональных требований безопасности.

Эта модель предназначена для автоматизации процесса разработки подсистемы безопасности ИИС КПНС.

В общем виде онтология определяется как множество X базовых понятий предметной области, множество К связей между ними и множество Р функций интерпретации:

0={Х,11,Р}, (1)

Класс /...IV 1

1

Семейство /...Л'

Г^ Компонент /...Л' ¡4 |

| Элемент /.../У р

Задание по безопасности 1

Профиль защиты 1

Пакет /...¡V

Рис.-). Отишше ОМБИИТОК

Множество базовых понятий предметной области ОК включает функциональные требования безопасности и требования доверия:

X = {Се, ¥у, О, Е^ Р1, РР, БТ}, (2)

каталогизируются в виде вертикальной структуры (рисунок 4). На верху иерархии находятся классы требований Сб, определяющие общие группы требований безопасности. Классы состоят из семейств Бу - специальных групп требований безопасности, имеющих общие цели, но различающихся акцентами или строгостью. Каждое семейство состоит из набора компонентов О. Компонент является наименьшим выбираемым набором требований для включения в структуры, определяемые в ОК. Компонент, в свою очередь, состоит из элементов Е1 - неделимых требований безопасности. Также, в ОК определены пакет требований безопасности Р(, профиль защиты (РР) и задание по безопасности (ЭТ). Как видно на рисунке 4, это позволяет создавать новые конфигурации уже определенных требований для новых классов систем.

Отношения между базовыми понятиями (объектами X) предложено строить на основе наследственных связей, операции включения требований безопасности и межкомпонентных зависимостей.

Межкомпонентная зависимость означает неспособность целевого компонента (С1|) выполняться при условии невыполнения компонента (Ог), от которого он зависит.

11= {О(аь02), А,1}, (3)

Агрегация представлена в виде операции включения требований безопасности в пакет требований безопасности, профиль защиты (ПЗ) или задание по безопасности (ЗБ).

А = { AR(Pt,—>Ct|+n), AR(PP|—>(Pt,-n || Ct„„)), AR(ST|—>PP|)}, (4) Наследственные связи имеют тип отношения один ко многим.

I = {IR(Csi <- Fyi-n), IR(Fy, - Ctj+n), IR(Ct, Etl+n)}, (5)

Функции интерпретации представлены в виде макросов С++, которые могут выполнять операции (О) с объектами ОМБ измерительных технологий. PS - играет роль вектора аргументов функции интерпретации.

F = { Fn (X, О, PS)i}, (6)

Для управления ОМБ был разработан и реализован формальный язык ФОРКОН. Для его описания будем использовать формальную грамматику по форме Бэкуса-Наура (НБФ):

G={T,N,P,S}, (7)

где в качестве терминальных символов Т использован набор части алфавита в кодировке ASCII, включающий цифры, латинские буквы и специальные символы, нетерминальные символы N определены следующим образом:

N = { NOUN, VERB, OPERATOR | N П Т = 0 }, (8)

NOUN = < CS, FY, CT, ET, PT, PP, ST, EXP, OBJ, WRD, DIG, SYM, IFS, CFG >, (9)

где объект-выражение EXP определяет множество цепочек, собранных из совокупности терминальных и нетерминальных символов алфавита, из которого состоит язык ФОРКОН. Для упрощения формализации управляющих конструкций языка ФОРКОН добавлена сущность OBJ. Более подробно правила построения этих двух сущностей представлены ниже, при описании правил настоящей грамматики. Кроме того, для обеспечения возможности построения слов, в состав которых входят и символы и цифры, были определены вспомогательные конструкции WRD, DIG и SYM. Функциональный интерфейс (IFS) необходим для обеспечения возможности расширения базовой структуры требований безопасности, описанной в ОК путем добавления, удаления или модификации новых компонентов и элементов. Объект CFG отвечает за представление текущей рабочей конфигурации.

VERB = < CRT, ADD, DEL, RMV, AGR, DEP, RNM, CMT, PRN >, (10)

CRT выполняет операции по созданию класса, семейства, компонента или элемента требований безопасности. Кроме того, можно использовать этот глагол для задания нового функционального интерфейса. В случае, если

необходимо удалить одну из указанных выше сущностей необходимо использовать операцию DEL.

Для управления отношениями между базовыми понятиями ОМБИИТОК необходимо воспользоваться глаголами ADD, AGR, DEP, RMV. Первый реализует родственно-наследственные отношения между объектами ОМБИИТОК путем установления соответствующей связи. Второй глагол применяется для осуществления операции включения. Описание этой операции приведено в п. 3.1 данной главы. Третий используется дня установления межкомпонентной зависимости, и, наконец, последний (RMV) используется для деактивации установленных при помощи первых трех глаголов связей.

Кроме того, существует операция переименования объекта (RNM), подтверждения изменения (СМТ), внесенного в класс, пакет требований безопасности, ПЗ или ЗБ, а также вывод на печать (PRN) информации по состоянию требуемых компонентов ОМБИИТОК.

Параметр Р представляет собой конечное множество правил вида а —»

(3, где а е (N U Т)+, р е (N U Т)\ В качестве начального символа (S е N+) наиболее удобно использовать объект ЕХР.

Также стоит отметить, что система управления ОМБ измерительных технологий преобразует заявленные требования безопасности в интерфейсы (абстрактные классы) языка С++, что позволяет, далеким от разработки, специалистам по безопасности настраивать требуемую конфигурацию.

Четвертая глава посвящена разработке метода обнаружения вторжений в ИИС КПНС, которые могут осуществляться в процессе ее функционирования. Анализ основных процедур ИИС КПНС, проведенный во второй главе показал наличие в ней уязвимостей, которые могут привести к нарушению информационной безопасности.

Каждое вторжение в ИИС КПНС может быть представлено в виде трассы атак, каждая из которых, в свою очередь, представлена ненулевой последовательностью событий аудита безопасности (рисунок 5). Данная интерпретация вторжений позволяет свести задачу их обнаружения к задаче классификации последовательностей событий аудита на всем множестве классов вторжений, каждый из которых представлен сгруппированными по ряду признаков трассами атак.

Для решения задачи классификации дискретных последовательностей был разработан метод на основе скрытой модели Маркова (СММ). СММ может быть представлен следующей тройкой параметров:

{ А, В, л}, (11)

где А - матрица вероятностей переходов из состояния в состояние, В -матрица появления каждого из М наблюдений в каждом из N состояний СММ, п - распределение вероятностей выбора начального состояния.

Рис.5. Представление вторжения в ИИСКПНС

Сначала, для каждого класса вторжений создается СММ, параметры которой настроены случайным образом. Далее, при помощи метода Баума-Велша, выполняется корректировка этих параметров. В основе этого метода лежит принцип максимального правдоподобия.

Классификация вторжений осуществляется в соответствии со статистикой, получаемой в результате выполнения алгоритма прямого хода.

а,(1) = Р(0|02...0,,ф=й|Х), (12)

Переменная а((1) определяет значение вероятности того, что к моменту времени I наблюдалась трасса атак 0|02...0(, а также в момент I система находится в ¡-м состоянии 8,. Ниже приведен алгоритм прямого хода:

0,(0 = 71^(0,), 1<1< N. (13)

сыО) = (I а,0')аи)^(о,+1), (14)

Р(О|>,) = 1ат(0, (15)

На первом этапе алгоритма необходимо провести инициализацию переменной а,(1) в соответствии с начальными вероятностями п выбора стартового состояния системы. Затем, значение данной переменной вычисляются по всем N скрытым состояниям рассматриваемой модели (14). И, наконец, искомая вероятность (15) появления трассы атак 0|02...0„ для текущей скрытой Марковской модели рассчитывается как сумма значений переменной ат, рассчитанных на втором этапе данного алгоритма.

После расчета вероятностей появления трассы атак для всех СММ на множестве классов вторжений по выбранной последовательности событий аудита безопасности, выполняется их оценка в соответствии с методом максимального правдоподобия, с целью поиска соответствующего класса вторжений. Также, в случае, если указанные вероятности не превосходят

определенного порога, принимается решение о том, что указанная последовательность событий не является вторжением в ИИС КПНС.

В ходе исследования методов классификации последовательностей был выполнен сравнительный анализ классификатора на основе скрытой модели Маркова и линейного классификатора. В результате этого анализа, было выявлено, что с увеличением размерности и снижением качества входных тестовых данных, линейный классификатор, начинает выдавать более 30 % брака, что никак не подходит для решения задачи классификации трасс атак, которые могут быть представлены очень типичными конфигурациями событий системного аудита. Напротив, алгоритм на основе скрытой модели Маркова, продемонстрировал устойчивость к ухудшению анализируемых данных.

3. ЗАКЛЮЧЕНИЕ

В ходе выполнения диссертационной работы получены следующие основные научные и практические результаты:

- построена классификация существующих методов и средств обнаружения вторжений в информационные системы;

- сформирован профиль защиты для класса измерительных информационных систем с учетом специфики функционирования, в результате чего были добавлены новые классы функциональных требований DMS, компоненты которых описывают особенности встроенной в ИИС КПНС системы обнаружения вторжений и IMS, компоненты которого определяют требования безопасности, характерные для обеспечения измерительных функций ИИС КПНС;

- разработана онтологическая модель безопасности измерительных информационных технологий на основе предметной области общих критериев, которая позволяет преобразовать требования безопасности для разрабатываемой измерительной информационной системы в набор абстрактных классов (интерфейсов);

- разработана библиотека классов и шаблонов С++, описывающая базовые понятия ОМБ измерительных технологий, связи между ними, а также реализующая ее функции интерпретации;

- разработан формализованный язык ФОРКОН, который позволяет обеспечить возможности создания, добавления, удаления базовых понятий ОМБ, а также возможности выполнения операции агрегации компонентов в пакет требований, ПЗ или ЗБ и настройки межкомпонентных зависимостей;

- определены классы вторжений, которые могут быть проведены на каждом из трех уровней ИИС КПНС, а также признаки, по которым их можно обнаружить;

- разработан метод, позволяющий на основе скрытой модели Маркова выполнять анализ на предмет обнаружения вторжений в ИИС КПНС;

- разработано программное обеспечение в программной среде matlab, позволяющее выполнить построение моделей СММ для каждого класса вторжений, обучение их и проверку на тестовых наборах событий.

Таким образом, в диссертации содержится новое решение задачи обеспечения информационной безопасности измерительных информационных технологий, реализуемых ИИС контроля производительности нефтяных скважин.

4. СПИСОК ОПУБЛИКОВАННЫХ РАБОТ

1. Мальшша, Г.Ф. Предотвращение вторжений в локальную информационно-измерительную систему [Текст] / Г.Ф. Малыхииа, О.Н. Шалаевский // Нейрокомпьютеры: разработка, применение. -Москва: Радиотехника 2010. - №6, С.40-42.

2. Шалаевский О.Н. Онтологическая модель безопасности измерительных информационных технологий на базе общих критериев [Текст] / О.Н. Шалаевский, Г.Ф. Малыхииа // Научно-технические ведомости СПбГПУ. Информатика. Телекоммуникации. Управление. - 2010. - С. 186-192.

3. Шалаевский О.Н. Анализ принципов построения системы обнаружения вторжений в информационную измерительную сеть [Текст] // Вычислительные, измерительные и управляющие системы: сборник научных трудов / под ред. Ю.Б. Сениченкова,- СПб.: Изд-во Политехи, ун-та, 2009. - С. 71-77.

4. Шалаевский О.Н. Обнаружение вторжений в распределенную информационную систему на базе скрытой модели Маркова [Текст] // Адаптивные и интеллектуальные роботы (АИР-2009): Материалы молодежной школы-семинара. - Таганрог.: Изд-во ТТИ ЮФУ, 2009.-С.25-27.

5. Шалаевский О.Н. Обнаружение вторжений в ИИС на базе скрытой модели Маркова [Текст] // Измерения в современном мире: Труды Второй Международной научно-практической конференции СПбГПУ. - СПб.: Издательство политехи, ун-та, 2009. -С.215-216.

6. Малыхина Г.Ф. Информационная безопасность измерительной системы [Текст] / Г.Ф. Малыхина, О.Н. Шалаевский // Системный анализ в проектировании и управлении: сборник научных трудов XIV Междунар.научн.-практ.конф. ч2. - СПб.: Изд-во Политехи, ун-та, 2010. -С.126-127.

Лицензия ЛР № 020593 от 07.08.97

Подписано в печать 29.11.2010. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Уч.-изд. л. 1,0. Тираж 100. Заказ 6829Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в Цифровом типографском центре Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.: (812)550-40-14 Тел./факс: (812)297-57-76

Список условных сокращений.

Введение

1 Анализ методов и средств обеспечения безопасности измерительной информационной системы контроля производительности нефтяных скважин.

1.1 Архитектура измерительной информационной системы контроля производительности нефтяных скважин.

1.2 Разработка системы безопасности для измерительной информационной' системы контроля производительности нефтяных скважин.

1.2.1 Функциональные требования к защите сети второго уровня.

1.2.2 Функциональные требования к защите сети первого уровня.

1.2.3 Функциональные требования к защите сети нулевого уровня.

1.2.4 Общие функциональные требования к защите измерительной информационной системы контроля производительности нефтяных скважин.

1.2.5. Методика разработки систем безопасности' информационных технологий.

1.3 Обзор и классификация систем обнаружения и* систем предотвращения вторжений.

1.4 Обзор и анализ методов обнаружения вторжений.

1.4.1 Обзор методов и средств.обнаружения вторжений.

1.4.2 Анализ признаков, используемых в системах обнаружения вторжений.

1.4.3 Анализ моделей поведения нарушителя.

1.5 Постановка задачи диссертационной работы.

2 Профиль защиты распределенной измерительной информационной системы для технологического контроля производительности нефтяных скважин.

2.1 Среда безопасности измерительной информационной системы контроля производительности нефтяных скважин.

2.1.1 Предположения безопасности.

2.1.2 Угрозы информационной безопасности.

2.1.3 Политики безопасности организации.

2.2 Цели безопасности.

2.3 Требования безопасности измерительной информационной' системы контроля производительности нефтяных скважин.

2.3.1 Функциональные требования безопасности измерительной информационной системы контроля производительности нефтяных скважин.

2.3.2 Требования доверия к безопасности1.

2.4 Основные процедуры измерительной информационной системы контроля производительности нефтяных скважин.

2.4.1 Функциональность диспетчерского центра.

2.4.2 Функциональность кустов нефтяных скважин.

2.4.3 Функциональность узлов внешних пользователей.

2.5 Результаты и выводы

3 Автоматизация разработки' защитных механизмов измерительных информационных систем с помощью онтологической модели, безопасности информационных технологий.

3.1 Описание онтологической, модели безопасности- измерительных информационных технологий.

3.2 Управление онтологической моделью безопасности измерительных информационных технологий.

3.3 Реализация онтологической модели безопасности измерительных информационных технологий.

3.4 Реализация профиля защиты измерительной информационной системы контроля производительности/нефтяных скважин.

3.5 Результаты и выводы

4 Обнаружение вторжений в измерительную информационную систему контроля производительности нефтяных скважин на основе скрытой модели Маркова.

4.1 Архитектура системы обнаружения вторжений для измерительной информационной системы контроля производительности нефтяных скважин.

4.2 Признаки вторжений в измерительной информационной системы контроля производительности нефтяных скважин.

4.2.1 Аудит управляющего узла сети первого уровня.

4.2.2 Аудит кустов нефтяных скважин.

4.2.3 Аудит внешних пользователей измерительной информационной системы контроля производительности нефтяных скважин.

4.2.4 Системный аудит.

4.3 Признаки вторжений в измерительной информационной системы контроля производительности нефтяных скважин.

4.3.1 Локальные вторжения сети нулевого уровня.

4.3.2 Локальные вторжения сети первого уровня'.

4.3.3 Локальные вторжения сети второго уровня.

4.3.4 Распределенные вторжения.

4.4 Метод обнаружения вторжений в измерительную информационную систему контроля производительности нефтяных скважин.

4.4.1 Обучение скрытой модели Маркова.

4.4.2 Обнаружение вторжений при помощи скрытой модели Маркова.

4.4.2 Сравнительный анализ классификатора на основе скрытой модели

Маркова.

4.5 Результаты и выводы.

Актуальность работы. Современные измерительные информационные системы, все чаще носят распределенный характер. Это обуславливается сложностью решаемых задач, а также географической удаленности друг от друга источников измерения^ и субъектов, заинтересованных в получении доступа к заключенной в ИИС измерительной информации или результатам ее обработки. При этом необходимо отметить, тот факт, что, в большинстве случае, результаты измерений предоставляет объективную информацию о состоянии технической, экологической или биологической системы. Точность выполнения измерения имеет решающее значение в системах управления технологическими процессами или в системах коммерческого учета. Увеличение погрешности измерения при учете продукции газовой или нефтяной отрасли? может привести к многомиллионным потерям для государства. Поэтому большое внимание уделяется развитию системы метрологических служб; деятельность, которых направлена на обеспечение единства измерений, и создание условий для объективности измерительной информации,

Несколько меньше внимания; в настоящее время; уделяется защите измерительной информации от преднамеренной модификации; или раскрытия; что может вызвать значительные убытки владельца ИИС. Модификация результатов измерения в коммерческом; учете может привести к краже, а в системах контроля технологических процессов - к неправильной эксплуатации оборудования и ресурсов и даже к техногенной катастрофе. Вскрытие измерительной информации, результатов; ее обработки, или другой; служебной информации может предоставить злоумышленнику почву для анализа протекающих в ИИС процессов с целью организации сбоя в работе системы, что также может вызвать экономические убытки.

При этом стоит отметить, что большинство существующих на сегодняшний день систем защиты ИТ, ориентированы на применение в рамках глобальных или локальных вычислительных сетей, где каждая рабочая станция, находится под управлением многозадачной операционной системы. Однако, исходя из специфики ИИС, наиболее часто встречается архитектура с центральным управляющим офисом и разнесенными по объектам измерения микроконтроллерными модулями. В этой связи, необходимо разработать концепцию безопасности измерительных информационных технологий, учитывающую особенности построения ИИС.

Диссертационная работа направлена на развитие методов и средств обеспечения безопасности ИТ, в области разработки защищенных измерительных информационных технологий, а также выявления фактов» нарушения безопасности в процессе функционирования ИИС.

Цель и задачи исследования. Диссертационная работа посвящена разработке методов, алгоритмов и программных средств для проектирования и построения защищенных ИИС, а также обнаружения вторжений в измерительную информационную систему контроля производительности нефтяных скважин (ИИС КПНС) в процессе ее функционирования. Для решения поставленных целейнеобходимовыполнить исследование ряда вопросов.

Заключение

В ходе выполнения диссертационной работы получены следующие основные научные и практические результаты:

- построена классификация существующих методов и средств обнаружения вторжений в информационные системы;

- сформирован профиль защиты для класса измерительных информационных систем с учетом специфики функционирования, в результате чего были добавлены новые классы функциональных требований DMS, компоненты которых описывают особенности встроенной в ИИС КПНС системы обнаружения вторжений и IMS, компоненты которого определяют требования безопасности, характерные для обеспечения измерительных функций ИИС КПНС;

- разработана онтологическая модель безопасности измерительных информационных технологий на основе предметной области общих критериев, которая позволяет преобразовать требования безопасности для разрабатываемой измерительной информационной системы в набор абстрактных классов (интерфейсов);

- разработана библиотека классов и шаблонов С++, описывающая базовые понятия ОМБ измерительных технологий, связи между ними, а также реализующая ее функции интерпретации;

- разработан формализованный язык ФОРКОН, который позволяет обеспечить возможности создания, добавления, удаления базовых понятий ОМБ, а также возможности выполнения операции агрегации компонентов в пакет требований, ПЗ или ЗБ и настройки межкомпонентных зависимостей;

- определены классы вторжений, которые могут быть проведены на каждом из трех уровней ИИС КПНС, а также признаки, по которым их можно обнаружить;

- разработан метод, позволяющий на основе скрытой модели Маркова выполнять анализ на предмет обнаружения вторжений в ИИС КПНС;

- разработано программное обеспечение в программной среде шаНаЬ, позволяющее выполнить построение моделей СММ для каждого класса вторжений, обучение их и проверку на тестовых наборах событий.

Таким образом, в диссертации содержится новое решение задачи обеспечения информационной безопасности измерительных информационных технологий, реализуемых ИИС контроля производительности нефтяных скважин.

1. Айвазян, С.А. Прикладная статистика: классификация и снижение размерности Текст. / С.А. Айвазян, В.М. Бухштабер, И.С. Енюков, Л.Д. Мешалкин. -М.: Финансы и статистика, 1989. 607 с.

2. Буч, Г. Язык UML. Руководство пользователя / Г. Буч, Д. Рамбо, А. Джекобсон М.: ДМК, 2000. - 432 с.

3. Бочков, М.В. Статистический метод идентификации состояний компьютерной сети в условиях программных атак Текст. // Проблемы информационной безопасности. Компьютерные системы. — 2004. №3. -С.54-57.

4. Влиссидес, Дж. Применение шаблонов проектирования. Дополнительные штрихи Текст. : Пер. с англ. М.: Издательский дом "Вильяме", 2003. -С. 45-90.

5. Гаврилова, Т.А. Модели и методы формирования онтологий Текст. / Т.А. Гаврилова, Д.В. Кудрявцев, В.А. Горовой // Научно-технические ведомости СПбГПУ. 2006. - № 4. - С. 21-28.

6. Гаврилова, Т.А. Онтологический инжиниринг Текст. // Труды конференции «КИИ' 2002».- М.: Физматлит, 2002. С. 845-853.

7. Галатенко, A.B. О применении методов теории вероятностей для решения задач информационной безопасности. Вопросы кибернетики Текст. М.: НИИСИ РАН, 1999. - 256 с.

8. Гамма, Э. Приемы объектно-ориентированного проектирования. Паттерны проектирования Текст. / Э. Гамма, Р. Хелм, Р. Джонсон, Дж.Влиссидес. СПб: Питер, 2001. - 368 с.

9. Городецкий, В.И. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах Текст. / В.И. Городецкий, И.В. Котенко, О.В. Карсаев, A.B. Хабаров СПб .: ISINAS, 2000. - С.122-134.

10. ГОСТ Р ИСО/МЭК 15408-1-2002. Критерии оценки безопасности информационных технологий Текст. Введение и общая модель. 200204-04. - М.:ИПК Издательство стандартов, 2002. - 35 с.

11. ГОСТ Р ИСО/МЭК 15408-2-2002. Критерии оценки безопасности информационных технологий Текст. Функциональные требования безопасности. 2002-04-04. - М.:ИПК Издательство стандартов, 2002. -181 с.

12. ГОСТ Р ИСО/МЭК 15408-3-2002. Критерии оценки безопасности информационных технологий Текст. Требования доверия к безопасности. 2002-04-04. - М.:ИПК Издательство стандартов, 2002. -201 с.

13. Дынкин, Е.Б. Марковские процессы Текст. М.: Физметгиз, 1963. - 860 с.

14. Зегжда, Д.П. Обеспечение доверенности информационной среды на основе расширения понятия «целостность» и управления безопасностью Текст. / Д.П. Зегжда, М.О. Калинин // Проблемы информационной безопасности. Компьютерные системы. 2009. - №4. - С. 7-16.

15. Колонских, A.B. Моделирование эксплуатации добывающих скважин Текст. / A.B. Колонских, М.К. Рогачев // IX Международная научная конференция «Севергеоэкотех-2008»: материалы конференции (2008г., Ухта): в 3 ч.; ч.2 Ухта: УГТУ, 2008. - С. 263-266.

16. Комашинский, Д.В. Концептуальные основы использования методов Data Mining для обнаружения вредоносного программного обеспечения Текст. / Д.В. Комашинский, И.В. Котенко // Защита информации. INSIDE.-2010.-№2.-С. 74-82.

17. Корт, С.С. Исследование эффективности применения цепей Маркова для обнаружения аномалий Текст. // Проблемы информационной безопасности. Компьютерные системы. 2010. - №1. - С. 39-47.

18. Корт, С.С. Теоретические основы защиты информации Текст. СПб.: Изд-во Гелиос-АРВ, 2004. - 240 с.

19. Котенко, И.В. Концептуальные основы использования методов DataMining для обнаружения вредоносного программного обеспечения Текст. / И.В. Котенко, Д.В. Комашинский // INSIDE: Защита информации. Безопасность компьютерных систем. № 2. - 2010. - С. 7482.

20. Котенко, И. В. Перспективные направления исследований в области компьютерной безопасности Текст. / И.В. Котенко, Р. М. Юсупов // Защита информации. INSIDE. 2006. - № 2. - С. 46-57.

21. Кудрявцев, Д.В. Разработка моделей и методов обработки знаний в области организационного проектирования на основе онтологий Текст.: Автореф. дис. . канд. техн. наук / Санкт-Петербургский государственный политехнический университет. СПб, 2009. - 22 с.

22. Лукацкий, А. Обнаружение атак Текст. Санкт-Петербург.: БХВ, 2001. - 624 с.

23. Малыхина, Г.Ф. Предотвращение вторжений в локальную информационно-измерительную систему Текст. / Г.Ф. Малыхина, О.Н. Шалаевский // Нейрокомпьютеры: разработка, применение. Москва: Радиотехника 2010. - №6. - С. 40-42.

24. Мандиа, К. Защита от вторжений. Расследование компьютерных преступ-лений Текст. : [пер. с англ.] / К. Мандиа, К. Просис. М.: ЛОРИ, 2005.-476 с.

25. Медведовский, И.Д. Атака на Internet Текст. / И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов. Москва.: ДМК, 2000. - 336 с.

26. Милославская, Н.Г. Интрасети: доступ в Internet, защита Текст. : учеб. пособие для вузов / Н. Г. Милославская, А. И. Толстой. М.: ЮНИТИ-ДАНА, 2000.-527 с.

27. Ноэл, М. Microsoft ISA Server 2006. Полное руководство Microsoft ISA Server 2006 Unleashed Текст. -M.: «Вильяме», 2008. 624 с.

28. Овчинникова, Е.В. Обнаружение аномалий на основе вычисления дисперсионного расстояния Текст. // Проблемы информационной безопасности. Компьютерные системы. -2006. -№3. С. 42-44.

29. Петренко С. А. Аудит безопасности Intranet Текст. / Петренко С. А., Петренко А. А. М.: ДМК Пресс, 2002. - 415 с.

30. Пол, Б. DDoS: Интернет-оружие массового уничтожения Текст. // Пер. с англ.: Сети и системы связи. 2001. - № 4. - С. 91-95.

31. Рассел, С. Искусственный интеллект: современный подход, 2-е изд. Текст. / С. Рассел, П. Норвиг ; пер. с англ- М.: Издательский дом "Вильяме", 2006. С. 440-466.

32. Рассел, Ч. Microsoft Windows 2000 Server. Справочник администратора Текст. : [пер. с англ.] 2-е изд., испр. / Ч. Рассел, Ш. Кроуфорд. - М.: ЭКОМ, 2002.-С. 126-180.

33. Резник, С.А. Методы и средства верификации для комбинированного анализа протоколов безопасности Текст. / С.А. Резник, И.В. Котенко // INSIDE: Защита информации. Безопасность компьютерных систем. — № 3. 2009. - С.56-72.

34. Рогачев, М.К. Исследование вязкоупругих и тиксотропных свойств нефти Усинского месторождения Текст. / М.К. Рогачев, А.В. Колонских // Нефтегазовое дело. 2009. - Т.7. - № 1. - С. 37-42.

35. Родионов, Е.Ю. Предотвращение несанкционированного запуска ПО: подходы к идентификации приложений Текст. / Е.Ю. Родионов, М.В. Сенник // Безопасность информационных технологий. № 1. - 2010. - С. 105-107.

36. Серебряков, В.А. Основы конструирования компиляторов Текст. / В.А. Серебряков, М. П. Галочкин. М.: Издательство «Едиториал УРСС», 2001.-224 с.

37. Скрембрей, Д. Секреты хакеров. Безопасность Windows 2000 готовые решения Текст. : [пер. с англ.] / Джоел Скрембрей, Стюарт Мак-Клар. -М.: Вильяме, 2002. - 464 с.

38. Средства построения виртуальных локальных вычислительных сетей. Защита от несанкционированного доступа к информации. Базовый профиль защиты (проект, редакция 01) Текст. М.: МИФИ, 2002. - 76 с.

39. Средства построения виртуальных частных вычислительных сетей. Защита от несанкционированного доступа к информации. Базовый профиль защиты (проект, редакция 01) Текст. М.: МИФИ, 2002. - 78 с.

40. Стивене, У.Р. Протоколы TCP/IP. Практическое руководство Текст. : [пер. с англ.] / У. Р. Стивене. СПб: БХВ-Петербург, 2003. - 672 с.

41. Стратонович P.JI. Условные Марковские процессы в задачах математической статистики и динамического программирования Текст. // ДАН СССР, 1961. т. 140. - № 4. - С. 769-772.

42. Терехов, С.А. Байесовы сети Текст. // Научная сессия МИФИ 2003, V Всеросийская научно-техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1. -М.: МИФИ, 2003. - 188 с.

43. Тихонов, В.И Марковские процессы Текст. / В.И. Тихонов, М.А. Миронов. -М.: Сов.радио, 1977.-488 с.

44. Филатов В.В. Системы управления событиями информационной безопасности Текст. // Безопасность информационных технологий. № 1.-2010.-С. 117-119.

45. Цирлов, В. JI. Основы информационной безопасности автоматизированных систем. Текст. Ростов.: Феникс, 2008. - 254 с.

46. Шалаевский, О.Н. Обнаружение вторжений в ИИС на базе скрытой модели Маркова Текст. // Измерения в современном мире: Труды Второй Международной научно-практической конференции СПбГПУ. -СПб.: Издательство политехи, ун-та, 2009. С. 215-216.

47. Шалаевский, О.Н. Обнаружение вторжений в распределенную информационную систему на базе скрытой модели Маркова Текст. // Адаптивные и интеллектуальные роботы (АИР-2009): Материалы молодежной школы-семинара. Таганрог.: Изд-во ТТИ ЮФУ, 2009. -25-27.

48. Шалфеева, Е.А. Классификация структурных свойств онтологий Текст. // Искусственный интеллект. 2005. - № 3. - С. 67-77.

49. Allen, J. State of Practice of intrusion detection technologies Текст. / J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000. - 242 p.

50. Anderson, J.P. Computer Security Threat Monitoring and Surveillance Текст. // Fort Washington, PA. 1980. - 56 p.

51. Anderson, D. Next Generation Intrusion Detection Expert System (NIDES) Текст. // Software Design, Product Specification and Version Description Document: Project 3131. SRI International, 1994. - 47 p.

52. Bilmes, J. A. A gentle tutorial of the EM algorithm and its application to Parameter Estimation for gaussian mixture and Hidden Markov Models Электронный ресурс. http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.28.613. -1998.-15 p.

53. Bramer, M. Principles of Data Mining Текст. Springer, 2007. - 354 p.

54. Cheng, К. An Inductive engine for the Acquisition of temporal knowledge Текст. I I Ph. D. Thesis. — Department of computer science, university of Illinois at Urbana-Champain, 1988. 14 p.

55. Controlled Access Protection Profile. Version l.d. Текст. //U.S. Information Systems Security Organization, U.S. National Security Agency, 1999. 51 p.

56. Debar, H. A neural network component for intrusion detection systems Текст. / H. Debar, M. Becker, D. Siboni. // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, Oakland, CA, USA. 1992. - P. 240 - 250

57. Denning, D. An Intrusion Detection Model Текст. // IEEE Transactions on Software Engineering, v. SE-13. -№ I, 1987. P. 222-232.

58. Dietrich, J. A formal Description of Design Patterns using OWL. Proceedings ASWEC 2005 / J. Dietrich, C. Elgar Текст. // IEEE Computer Society, 2005. -P. 243-250.

59. Eskin, E. Modeling System Calls for IntrusionDetection with Dynamic Window Sizes Текст. / E. Eskin, W. Lee, S J. Stolfo // DARPA Information Survivability Conference and Exposition. 2001. - 11 p.

60. Garvey, T.D. Model-based Intrusion Detection Текст. / T.D. Garvey, T.F. Lunt // Proceeding of the 14 th Nation computer security conference. — Baltimore.: MD, 1991. P. 372-385.

61. Ghosh, A.K. Detecting Anomalous and Unknown Intrusions Against Programs Текст. / J. Ghosh, F. Wanken, B. Charron // In Proc. Annual Computer Security Application Conference (ACSAC'98), IEEE CS Press, Los Alamitos, Calif. 1998. -P 259-267.

62. Gruber, T.R. A translation approach to portable ontology specifications Текст. // Knowledge Acquisition. 1993. - № 3. - Vol. 6. - 27 p.

63. Gruninger, M. Ontologies to support process integration in enterprise engineering Текст. / M. Gruninger, K. Atefi, M. Fox // Computational and Mathematical Organization Theory. 2000. - P. 381-394.

64. Guarino, N. The role of ontology in the information technology Текст. / N. Guarino, R. Poli // International journal of Human-computer studies. Special issue on ontology. 1995. - № 43(5/6). - P. 623-965:

65. Heberlein, T. A network security monitor Текст. / Т. Heberlein, G Dias, K. Levitt, B: Mukherjee, J. Wood. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy. P. 296 - 304.

66. Ilgun, K. State Transition Analysis: A Rule-Based Intrusion Detection System Текст. / К. Ilgun, R.A. Kemmerer, P.A. Porras // IEEE Trans. Software Eng. vol.21. №.3.-1995. P. 1-22.

67. Ilgun, K. USTAT: A Real-time Intrusion Detection System for UNIX Текст. // Proceeding of the IEEE Symposium on Research in Security and Privacy. -University of California. 1992. - 224 p.

68. Intrusion^ Detection System Analyser Protection Profile. Draft 3 Текст. // U.S. National Security Agency, Science Applications International Corporation, Center for Information Security Technology. 2000. - 59 p.

69. Intrusion Detection System Sensor Protection Profile. Draft 3 Текст. // U.S. National Security Agency, Science Applications International Corporation, Center for Information Security Technology. 2000. - 47 p.

70. Jha, S. Markov Chains, Classifiers and Intrusion Detection Текст. / S. Jha, K. Tan, R.A. Maxion // Proceedings of 14th IEEE workshop on computer Security Foundatins. -200Г. P. 206-219.

71. Jones, A. Computer System Intrusion Detection: A Survey Текст. / A. Jones, R. Sielken. Department of Computer Science. University of Virginia. -2000.-25 p.

72. Juang, B. H. A Probabilistic Distance measure between HMMs Текст. / B.H. Juang, L. R. Rabiner // AT&T Tech. vol. 64. - 1985. - P.391-408.

73. Kapadia, S. Discriminative Training of Hidden Markov Models Текст. // The University of Cambridge. 1998. - P. 1-8.

74. Kazienko, P. Intrusion Detection Systems (IDS). Part II Электронный ресурс. / P. Kazienko, P. Dorosz. http://www.windowsecurity.com/articles/IDS-Part2-Classification-methods-techniques.html -2003. - P. 1-7.

75. Kendall, К. A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems Текст. // S.M. Thesis, MIT Department of Electrical Engineering and Computer Science. 1999. - 124 p.

76. Ко, С. Execution Monitoring of Security-Critical Programs in Distributed Systems: A Specification-Based Approach Текст. / С. Ко, M. Ruschitzka,

77. К. Levitt // In Proc. IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif. 1997.-P. 1-13. "

78. Lee, W. Data Mining Approaches for Intrusion Detection Текст. / W. Lee, S. Stolfo // Proceedings of the 7th USENIX Security Symposium. 1998. - P. 115.

79. Lee, W. Information-Theoretic Measures for Anomaly Detection Текст. / W. Lee, D. Xiang. 2001. - P. 1-14.

80. Lindqvist, U. Detecting Computer and Network Misuse with the Production-Based Expert System Toolset Текст. / U. Lindqvist, P.A. Porras // IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif. 1999. - P. 1-16.

81. Paxon, Vern Bro: A system for detection network intruders in real time Текст. // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA.-1998.-P. 1-18.

82. Porras, P.A. EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance Текст. / P.A. Porras, P.G. Neumann // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA. 1997. - P. 1-28.

83. Rabiner, L.R. Fundamentals of Speech Recognition Текст. / L.R. Rabiner, B.H. Juang. Prentice Hall, 1995. - 277 p.

84. Roesch, M. Snort-Lightweight Intrusion Detection for Networks Текст. // Proc. Usenix Lisa '99 Conf., Usenix Assoc., Berkeley, Calif. 1999. P. 1-13.

85. Sellink, A. Native patterns Текст. / A. Sellink, C. Verhoef // In Proc. 5th Working Conference on Reverse Engineering. IEEE Computer Society Press, 1998.-P. 1-15.

86. Sheridan, M. A Goal YPN Protection Profile For Protecting Sensitive Information. Release 2.0. Текст. / M. Sheridan , E. Sohmer , R. Varnum. // U.S. National Security Agency. 2000. - 192 p.

87. Snort Users Manual. Версия 2.9.0. Электронный ресурс. -http://www.snort.org/assets/152/snortmanual.pdf. -199 p.

88. Studer, R. Knowledge Engineering: Principles and methods. Data and knowledge engineering Текст. / R. Studer, R. Benjamins, D. Fensel. -№ 25. -1998.-38 p.

89. The Baum-Welch algorithm for estimating a Hidden Markov Model Электронный ресурс. http://www.ph.biu.ac.il/faculty/kanter/BW.pdf. -1998.-P. 1-2.

90. Uschold, M. ONTOLOGIES: Principles, Methods and Applications Текст. / M. Uschold, M. Gruninger // Knowledge Engineering Review. № 2. - 1996. -69 p.

91. Warrender, S. Detecting Intrusions Using System Calls: Alternative Data Models • Текст. / С. Warrender, S. Forrest, B. Pearlmutter // IEEE Sympodium on Security and Privacy. 1999. - P. 1-13.

92. Xiaolin, Li. Training Hidden Markov Models with Multiple Observations — A Combinatorial Method Текст. / Li Xiaolin, M. Parizeau, R, Plamondon // IEEE Transaction on PAMI. № 4. - 2000. - P. 371-377.