автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ

кандидата технических наук
Монахов, Юрий Михайлович
город
Владимир
год
2009
специальность ВАК РФ
05.13.06
Диссертация по информатике, вычислительной технике и управлению на тему «Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ»

Автореферат диссертации по теме "Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ"



На правах рукописи

Монахов Юрий Михайлович

МОДЕЛИ ОБНАРУЖЕНИЯ АНОМАЛЬНОГО ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННО -ВЫЧИСЛИТЕЛЬНОЙ СРЕДЫ ИНТЕГРИРОВАННЫХ АСУ

Специальность: 05.13. 06 - Автоматизация технологических процессов и производств (промышленность)

Автореферат

диссертации на соискание ученой степени кандидата технических наук

Владимир 2009

003467880

Работа выполнена на кафедре «Информационные системы и информационный менеджмент» Владимирского государственного университета

Научный руководитель: доктор технических наук,

профессор Макаров Руслан Ильич

Официальные оппоненты:

доктор технических наук, профессор Веселов Олег Вениаминович

кандидат технических наук, доцент Курысёв Константин Николаевич

Ведущая организация: ООО «Гранит», г. Владимир

Защита состоится « » мая 2009 г. в «16» час на заседании диссертационного совета Д 212.025.01 Владимирского государственного университета по адресу: 600000, Владимир, ул. Горького, 87.

С диссертацией можно ознакомиться в библиотеке ВлГУ.

У?

Автореферат разослан « -' » апреля 2009 г.

Ученый секретарь диссертационного Совета,

доктор технических наук, профессор У^ЗО- ялй^ Макаров Р.И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Совершенствование процессов взаимодействия АСУП и АСУТП предприятий, порождает проблему обеспечения защиты информационного обеспечения интегрированной АСУ. Одной из составляющих этого является обнаружение аномалий в работе корпоративной распределенной информационно-вычислительной среды (КРИВС).

Существенными факторами аномального функционирования КРИВС являются БОоЗ-атаки («отказ в обслуживании») и вредоносные программы (ВП -черви, трояны, вирусы). Именно они даже с современной системой защиты способны полностью блокировать работу КРИВС, и соответственно АСУ. Способы реализации ООоБ-атак весьма разнообразны и постоянно расширяются. ВП способны физически уничтожить информационные и вычислительные ресурсы. До сих пор остается нерешенной проблема прогнозирования катастрофических ситуаций в КРИВС, связанных с информационными атаками.

Частично проблема решается системами обнаружения атак как составной частью комплексной системы защиты информации АСУ. Но все известные решения в лучшем случае лишь фиксируют факт свершившейся атаки, нет механизмов предсказания ее появления и динамики распространения по компонентам КРИВС. Адекватная модель распространения ВП будет способствовать лучшему пониманию процессов тотального поражения КРИВС, позволит предсказать зарождение катастрофической ситуации, а, значит, выработать необходимое противодействие.

Известные модели распространения ВП не учитывают ряд факторов, имеющих место в КРИВС, например, сильную зависимость от маршрутной таблицы, изменяемость скорости поражения в связи с выходом из строя роутеров или динамическое противодействие системных средств и пользователей. Формальные методы обнаружения и предсказания ООоБ-атак практически отсутствуют для широкого использования в реальных АСУ.

Таким образом, исследования, направленные на опережающее создание моделей и алгоритмов раннего обнаружения и предсказания аномального функционирования КРИВС, связанного с информационными атаками, актуальны и имеют практическое значение в решении проблемы защиты информационного обеспечения АСУ предприятий.

Объект исследования - распределенная информационно - вычислительная среда интегрированной АСУ промышленного предприятия.

Цель работы - повышение защищенности информационного обеспечения распределённой информационно-вычислительной среды интегрированной АСУ путём разработки, исследования и практической реализации новых моделей и алгоритмов обнаружения и предсказания ее аномального функционирования в условиях несанкционированных информационных воздействий.

Для достижения поставленной цели в работе решены следующие задачи:

1. Проанализированы факторы, вызывающие аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий, выявлены современные подходы к автоматизации их обнаружения.

2. Разработаны модели распространения вредоносных программ в распределенной информационно-вычислительной среде интегрированных АСУ.

3. Разработана методика раннего обнаружения ВВоБ-атаки в распределенной информационно - вычислительной среде интегрированных АСУ.

4. Разработаны инструментальные средства автоматизации процессов исследования предложенных моделей и алгоритмов.

5. Проведён анализ эффективности предложенных механизмов в системах защиты информации корпоративных АСУ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КРИВС предприятий, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории графов, теории нелинейных динамических систем. При проектировании программных систем применен объектно-ориентированный подход.

Научные результаты, выносимые на защиту:

- модели распространения вредоносных программ, учитывающие системные характеристики КРИВС и параметры ВП, позволяющие прогнозировать тотальную эпидемию в системе;

- модель ОЭоБ-атаки, позволяющая воспроизводить несанкционированные информационные воздействия в распределенной вычислительной среде;

- методика предсказания ООо8-атаки на основе РАШМА-модели агрегированного трафика КРИВС;

- структурная модель автоматизированной системы раннего обнаружения информационных атак в КРИВС с иерархической конфигурацией взаимодействия мониторов входящего и исходящего трафика.

Научная новизна работы:

1. Разработано семейство аналитических и программных моделей распространения вредоносных программ, учитывающих системные характеристики КРИВС и параметры ВП, позволяющие оперативно прогнозировать тотальную эпидемию в АСУ.

2. Предложена методика раннего обнаружения аномального поведения КРИВС, вызванного начавшейся ООоБ-атакой, включающая:

- математическую модель ОЭоЗ-атаки на КРИВС;

- алгоритм предсказания ООс^-атаки на основе РАШМА-модели агрегированного трафика КРИВС;

- программное обеспечение, позволяющее автоматизировать процессы вычисления характеристик вредоносного сетевого потока.

3. Синтезированы модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Практическая ценность работы заключается в следующем:

1. Разработан лабораторный макет КРИВС, включающий аппаратные и программные средства и позволяющий выполнять лабораторные эксперименты с распространением вредоносных программ.

2. Разработано программное обеспечение, позволяющее

- выполнять симуляцию моделей распространения вредоносных программ в распределенной вычислительной среде;

- моделировать в КРИВС сетевой трафик в условиях ОВоБ-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

3. Разработана структура автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Реализация результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом: г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»; х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»; №ДУ 55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований и их практической проработки были внедрены в АСУ ОАО «Завод «Электроприбор»» г.Владимир, АСУ НПП «Инпроком» г.Балакирево, СПД Администрации Владимирской области, в учебном процессе во Владимирском государственном университете.

Апробация работы. Основные положения диссертационной работы докладывались на: I и II Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях» (Шуя, 2004, 2007); Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005); XIX, XX и XXI Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008),

экспонировались на межрегиональных выставках «Информационные технологии» и «Электронная губерния» (Владимир, 2005, 2006, 2007).

Публикации._ Основные положения диссертационной работы отражены в 15 публикациях, включая в рекомендуемых ВАК изданиях.

Структура и объем диссертационной работы. Диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из 222 наименований, приложений и содержит 126 страниц основного текста, иллюстрированного 31 рисунком.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертации. Формируется цель и задачи исследований.

В главе 1 рассматривается проблема информационного взаимодействия в интегрированной АСУ, анализируются методы и средства обеспечения защиты информационного обеспечения, выявляются существенные факторы, вызывающие ее аномальное функционирование, анализируются современные подходы к автоматизации их обнаружения. Структуру КРИВС (рис. 1) образуют основной и удаленные фрагменты, включающие: рабочие станции (PC), объединенные ЛВС или выделенные PC (ВРС), и имеющие механизмы (информационной) защиты (МЗ); информационные серверы (С) различного функционального назначения; телекоммуникационную среду, включающую выделенные каналы и/или использующую средства обмена информацией общего пользования; систему управления эффективностью функционирования и систему защиты информации (СЗИ).

Основную причину возникновения аномального поведения АСУ связывают с недостаточной защищенностью информации по причинам; широкого использования слабоза-щищенных ОС Microsoft Windows и Unix/Linux, а в прикладных задачах - протоколов HTTP, SNMP, FTP, что привносит значительные уязвимости в систему; применения незащищенного протокола TCP/IP в качестве основной процедуры взаимодействия информационных процессов АСУ; участия в процессе обработки информации пользователей различных категорий, их непо-

|мз | мз!

jbc_ jr

сзи

рсЦМЗ

Й'Й лвс

сзи

PC мз

Ё'Й лвс

| Средства управления фрагментом

л - ^ I Система ЗИ фрагмента I

Основной фрагмент КРИВС ' 1

Выделенные каналы

СПД общего пользования

Телекоммуникационная среда

Т \ ^

сзи j 1 сзи

рс||мз 1 рс||мз

РС| мз i! 1 1 рс||мз

IpcI мз! г. ¡Ж1

l лвс (j лвс

Система ЗИ фрагмента

[врЩМЗ]

\

|врс|[мз1

| Средства управления фрагментом | Удаленный фрагмент КРИВС

Удаленный фрагмент КРИВС

Удаленный фрагмент КРИВС

Рисунок 1 - Обобщенная структура КРИВС

средственного и одновременного доступа к системным ресурсам и процессам.

Наиболее уязвимыми и поэтому часто атакуемыми компонентами КРИВС являются сервера, рабочие станции и узлы коммутации. Тип атакующего воздействия, напрямую приводящее к аномальному функционированию КРИВС, -DDoS-атаки и ВП (черви, трояны, вирусы).

Известные подходы к защите информационного обеспечения АСУ, предложенные в трудах российских ученых В.А. Герасименко, С.П. Расторгуева, П.Д. Зегжды, В.И. Завгороднего, A.A. Малюка, A.A. Грушо, В.В.Домарева, зарубежных исследователей Р. Брэтта, К. Касперски, С. Норкатга, В. Столингса, К. Лен-двера, М. Howard, R. Graham, D. Sanai, S. Manwani, M. Montoro, F. Cohen хоть и обеспечивают существенное повышение защищенности информационного обеспечения АСУ, но в условиях усложнения информационных технологий, повышения квалификации злоумышленников, создающих новые виды атак, не позволяют обеспечивать требуемый уровень автоматизации обнаружения и идентификации атак.

Наиболее эффективным методом обнаружения аномального поведения КРИВС является анализ информационного трафика по причине его большой информативности. Анализ публикаций показал, что в отдельных случаях трафик является по своей природе самоподобным (фрактальным), чувствителен к малейшим возмущениям, что предоставляет потенциальные возможности для раннего обнаружения аномалий.

Глава 2 посвящена исследованию и разработке математических моделей распространения ВП в КРИВС. Адекватная модель распространения ВП (МРВП) позволяет предсказывать зарождение катастрофической ситуации, вырабатывать необходимое противодействие, в случае невозможности защиты -заранее инициировать процессы эвакуации охраняемых информационных ресурсов.

На основе анализа биологических моделей эпидемий и их простых аналогов для Интернета разработаны математические модели распространения ВП в КРИВС (табл. 1).

Для проверки адекватности разработанных МРВП была выполнена их программная симуляция в пакете Matlab 6.5 (R13) с визуализацией в интерактивной среде Pajek, и лабораторное моделирование процессов тотальной эпидемии на специально разработанной экспериментальной установке для исследования распространения ВП. Она состояла из объединенных в сеть восьми ВМ, на каждой из которых было запущено по 50 виртуальных машин (ВирМ). Сниффер собирал статистику всех пакетов в сети. На каждой ВирМ запускалась программа-клиент, реализующая ВП.

Таблица 1 - Модели распространения вредоносных программ в КРИВС

Модель распространения ВП Характеристики ВГ1 Характеристики СЗИ

Модель без защиты (БГ-МРВШ =./»(,)р-/(„/лм (1) а1 N=5(0 +{(1) - количество ВМ; ЭД -количество ВМ, восприимчивых к поражению; 1(1) - количество поражённых ВМ; р - коэффициент «по-ражаемости» /—а и и «Слабая ВП» - алгоритм сканирования сети перебором, опрос ВМ путем 1СМР, одномодуль-ная (сканер уязви-мостей, механизм распространения, а также механизм реализации ВП сосредоточены в одном программном модуле), однопо-точная архитектура ПО, осуществляющего атаку, недостаточный уровень подготовки злоумышленников, реализующих атаку с помощью ВП (Р=0,2). «Сильная ВП» -усовершенствованные алгоритмы сканирования сетевых адресов КРИВС, опрос ВМ с использованием полуоткрытого ТСР-соединения многомодульная, многопоточная реализация ВП, использование технологий, затрудняющих обнаружение ВП существующими механизмами ЗИ (Р=0,8) «Слабая защита». Отсутствие и/или неправильное функционирование МЗ от атак извне (МСЭ, СОВ). Отсутствие средств реструктуризации топологии СПД КРИВС. Отсутствие или недостаточная оперативность обеспечения локальных средств защиты ВМ обновлениями.

Модель с восстановлением (БШ-МРВП) = р!(ф - /(ОШЬЛЧО (2) о:о 8 - коэффициент «восстанавливаемости» ВМ после поражения «Слабая защита» - отсутствие локальных МЗ от ВП - «ручное» удаление ВП администратором (8 = 0,1). «Сильная защита» - локальные МЗ способны обнаружить и удалить ВП (не гарантирует неподверженности ВМ атакам с помощью той же ВП (6 = 0,9)

Модель с иммунизацией (Б1Ю Н«Р = ОТ)[1-1<0'(М^<0>1. (3) I (Я у - коэффициент иммунизации; Щ1) — кол-во невосприимчивых ВМ. О^'СГО «Слабая защита». Недостаточная оперативность обнаружения ВП, поражённые ВМ продолжают функционировать, распространяя угрозу (Т=0,2)- «Сильная защита». Помимо качественной СОВ, среди МЗ присутствуют автоматизированные механизмы исключения поражённых ВМ (7=0,8).

Молель с противодействием Начальное заражение (РвШИ) = (4) сн Фаза реакции (1 - л) fis^t)цt)/N - мщ) от (Л а1 N = Э(1) + '(') + "(() + 0(1) ж- время реакции; ц - коэффициент описывающий способность МЗ обнаружить ВП. «Слабая защита». Отсутствует централизованная модернизация МЗ -несвоевременное обнаружение поражённых ВМ и поздняя иммунизация непоражённых (ц=0,1). «Сильная защита». Помимо постоянных обновлений средств защиты, в СЗИ решена задача централизованного управления срабатыванием разного рода МЗ в зависимости от решения СОВ (р=0,9). (8 определяется так же, как и у в Бт-МРВП)

Она ждала сетевые подключения и принимала команды от сервера, осуществляющего также синхронизацию времени. Уязвимость была сымитирована специальной программой, работающей поверх TCP/IP.

На рис. 2 приведены данные о количестве поражённых ВМ, полученные путем симуляции МРВП (а) и полученные (б) экспериментально ((3 = 0,2;

Рисунок 2 - Распространение ВП в КРИВС

В ходе исследований сопоставлялись предсказанные (по аналитическим моделям) и экспериментальные данные. Результаты относительной погрешности предсказания распространения ВП сведены в табл.2

Таблица 2 - Относительная погрешность МРВП

МРВП Модель Модель с восста- Модель с имму- Модель с проти-

ВП без защи- новлением низациеи водействием

ты 5 = 0,1 5 = 0,9 у=0,2 у=0,8 ц=0,1 ц=0,9

«Слабая» ВП 3,0% 4,0% 2,1% 6,6% 1,7% 3,3% 3,1%

«Сильная» ВП 0,9% 1,0% 3,5% 1,0% 2,0% 0,4% 0,8%

Программная симуляция и эксперименты подтвердили адекватность предложенных аналитических моделей распространения ВП для КРИВС, атакуемой «сильной» ВП (максимальная относительная погрешность 3,5%). В ходе экспериментов было выявлено, что наибольшие расхождения (до 6,6%) теоретических эпидемий наблюдаются при малых значениях коэффициента поражаемости («слабой» ВП), что можно объяснить тем, что в математических моделях практически невозможно учесть ограничения, обусловленные задержками сканирующих подключений в ОС, ограничения на количество полуоткрытых исходящих соединений, интервал времени, в течение которого подключение находится в режиме ожидания, ограничение на общее число одновременно открытых подключений.

В главе 3 на основе выдвинутой автором гипотезы, что самоподобность и персистентность сетевого трафика вызвана ОБоЗ-атакой, разрабатывается мсто-

дика раннего обнаружения информационной атаки.

Для подтверждения гипотезы была синтезирована DDoS-атака в программной модели сетевого трафика КРИВС, состоящей из N ВМ, соединенных с сервером (целью атаки) через маршрутизатор. Моделируется перегрузка входящего канала сервера. Атакующие узлы пытаются загрузить всю полосу пропускания канала «пустыми» пакетами с подставным адресом отправителя. Параметры модели: Со - пропускная способность входящего канала сервера; Б - размер входного буфера маршрутизатора; L - размер пакета.

Атака моделировалась как самоподобный поток, описываемый по аналогии с методом Мандельброта в виде суперпозиции нескольких строго чередующихся независимых и имеющих одинаковое распределение ON/OFF источников (ВМ), интервалы между ON- (отсылки пакетов Ion) и OFF- (бездействия 1оя ) периодами которого обладают эффектом Ноя. V - скорость генерации пакетов ВМ в ON-состоянии; Q(t) - объем полученных пакетов в момент времени t.

Вероятность осуществления атаки P(Q{t) > В) = е , где

у = (_l0N_Li0FF---—) * N . Для реализации атаки (P(Q(t)) —> 1), необходимо

V "W-'on'off Cf0FF J у—>0 (или у<0). Минимальное число узлов для осуществления атаки

ДГ = C(t0N +t0ff)

Vi/0.v

Пусть коэффициент активности ВМ к,ктВМ -—--—, тогда N =—-—. В ти-

toN + ¡ОГР КоктВ\1

пичных ICMP-flood атаках атакующие узлы постоянно находятся в ON-состоянии, направляя паразитный трафик жертве. В этом случае коэффициент Кактвм =1 и равенство для минимального количества атакующих узлов упрощается до N = —.

VI

Для исследования поведения КРИВС в условиях DDoS-атаки был разработан пакет прикладных программ на базе Network Simulator (NS), включающий скрипт для описания КРИВС, программу для составления статистики по потерянным пакетам из файла трассировки, созданного NS; программу вычисления размерности Минковского, программу вычисления параметра Херста по двум методам - агрегированной дисперсии (AVM) и R/S статистики.

Результаты экспериментов с атакующими воздействиями, которые в данном случае моделировались изменением начальных условий (в трафик добавлялся «случайный» пакет в одно из TCP-соединений) показали, что даже при таком незначительном изменении входных параметров уже через некоторое время характеристики системы имели значительное отличие от исходных, что и является одним из главных признаков хаотичности системы. Для всех рассматриваемых трафиков параметр Херста превышал 0,5, что подтвердило гипотезу о перси-стентности и самоподобности системы. Близость параметра Херста к 1 для агрегированного трафика, указывает на то, что трафик в КРИВС, находящейся в ус-

ловиях информационных атак, имеет длительную зависимость от начальных условий (LRD).

Из теории нелинейных динамических систем известно, что такие процессы могут быть с достаточной точностью описаны и предсказаны F А RJMA-ы о дел ыо (смешанная модель авторегрессии и скользящего среднего). На основании текущих данных и истории процесса можно предсказать его развитие на достаточно длительный интервал времени, что особенно актуально в тех случаях, когда вредоносное воздействие может привести к коллапсу системы. Ниже приведен алгоритм предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС:

Шаг 1. Сбор трафика с помощью сниффера.

Шаг 2. Агрегация реализации трафика по времени.

Шаг 3. Вычисление параметра Хёрста на агрегированном процессе.

Шаг 4. Прогнозирование следующего события.

Шаг 4.1. Вычисление параметра генератора фрактального шума d на основе текущего параметра Хёрста.

Шаг 4.2. Генерация фрактального шума AJ.

Шаг 4.3. Аппроксимация ARMA-составляющей процесса W,

д«(х, -и)ф-ВУ(Х, -и) = р-,(хн-и), где W, =AdX, и = -^I^ÉL.-В -

оператор обратного сдвига в множестве известных значений; и - среднее известное значение; X, - прогнозируемое значение.

Шаг 4.4. Выбор параметров p,q (размер окна данных) для ARMA - составляющей процесса.

Шаг 4.5. Расчёт весовых коэффициентовф^.ф,.....фр и FARIMA-

модели: W. = а,.

Ф (В)

Шаг 4.6. Расчёт дисперсии a2 случайной составляющей процесса {a,, t =...-/, О, 1, ...}.

Шаг 4.7. Подстановка весовых коэффициентов и дисперсии в разностное уравнение и расчёт А',.: X, =Ф~1(В)&(В)У,, где У, = А" а,

Шаг 5. Повторение шага 4 до тех пор, пока объём спрогнозированных значений X, не станет равным объёму первоначальной реализации трафика. Шаг 6. Пересчёт параметра Хёрста методами AVM и R7S статистики. Шаг 7. На основе сравнения полученного усреднённого параметра Хёрста с исходным, принимается решение о том, следует ли ожидать повышения вредоносной активности. Конец алгоритма.

В главе 4 рассматриваются особенности реализации автоматизированной системы обнаружения аномального функционирования КРИВС.

Модель обнаружения. Введем флаговую переменную Y, , которая представляет результат вычисления параметра Херста в сетевом трафике на некотором промежутке времени: У,= 1, если параметр Херста не превышает 0,6, и Yt=0

в противном случае. Необходимо, наблюдая исходы Y¡, Y-,, ..., определить, присутствуют ли в КРИВС инциденты аномального функционирования (АФ).

Пусть основная гипотеза Но заключается в том, что АФ нет, тогда альтернативная гипотеза H¡ означает, что инциденты АФ присутствуют и, скорее всего, ведется распределенная атака. Предположим, что зависящие от г ипотезы H¡ случайные величины Y, | Hj независимы и одинаково распределены. Тогда мы можем выразить распределение Y, как: p[Y¡ = 01 Н0] = 00, [А^ ='\\Н0] = '\-в0, p[Y¡=0\Н,] = в„ р(Х =1|Щ = 1-01. Условие в0 > 6¡ непосредственно следует из экспериментально подтверждённого факта, что высокий показатель Херста присущ трафику в условиях АФ.

Когда решение принято, возможны четыре исхода: обнаружение - алгоритм выбирает гипотезу Нь и она истинна; ошибка I рода - алгоритм выбирает гипотезу Н|, а верна Н0; ошибка II рода - алгоритм выбирает гипотезу Но, а верна Нь номинальный исход - алгоритм выбирает истинную гипотезу Н0.

Введём вероятности обнаружения и ошибки II рода Р0 и Рпр, чтобы указать условия корректности алгоритма обнаружения. Для устанавливаемых оценочных значений частоты ложных срабатываний а и частоты обнаружений ß необходимо Р„р <а и Р0> ß.

Цель алгоритма обнаружения - предпринять быстрое решение во время прохождения потока событий в КРИВС. Во время наблюдения каждого события рекомендуется определить отношение правдоподобия

А (у ) = P.Iy I н11 = гт Р[уi I , где Y={YJ - вектор событий, зарегистриро-р[У I Н0] р[У, | Н0]

ванных до настоящего момента. Затем отношение правдоподобия необходимо сравнить с верхним r]¡ и с нижним порогом щ. Если Л (Y) < r¡0, то принимается Но, если A(Y) > Tii, то - Н,. Если r¡0 < A(Y) < r¡¡, тогда необходимо ждать следующего наблюдения и в соответствии с ним пересчитать A(Y) .

Возьмём вектор Y = (Y¡, Y¡, ... , Y„), где на и-ном наблюдении достигается верхний порог r¡i и выбирается гипотеза H¡. Таким образом,

.....Y" * > п. или п, < . Аналогично и л„ > 1 ~ Р° .

Р[У,.....VJHol ' щ ~ рщ 1 -Р„

Теперь предположим, что пороговые значения выбраны равными этим границам. Тогда мы можем заменить Р0 и Р„р соответственно на устанавливаемые

значения а и ч ¿ и , 1 ~ Р . Администратор автоматизированной сис-а 1 - а

темы обнаружения (ACO) устанавливает требуемую чувствительность, манипулируя параметрами а и ß, согласно которым устанавливаются пороги срабатывания.

ACO состоит из центра предупреждения (ЦП) и распределённых мониторов (рис. 3). Используется 2 типа мониторов: мониторы входящего сканирования (МВС) и мониторы исходящего сканирования (МИС). МВС отслеживают трафик из удаленных фрагментов КРИВС и располагаются на шлюзах или граничных роутерах фрагментов КРИВС. МИС находится в точке выхода в сеть передачи данных и следит за пакетами, отправленными из ЛВС вовне. МИС настраивается как часть фильтра исходящих пакетов и может наблюдать практически все попытки атаки других фрагментов КРИВС этим поражённым субъектом. Чем ближе (по таблице маршрутизации) МИС к подозрительной ВМ, тем более полные данные об атаке будут им получены.

Древовидная иерархия ACO предполагает, что вершины со степенью связности 1 будут являться мониторами, мониторы будут поставлять свои данные по прямому соединению микшеру. Он, в свою очередь, отправляет данные микшеру более высокого уровня, или напрямую в ЦП. МВС во фрагментах КРИВС должны находиться на нескольких роутерах сразу, а не только на роутере, обеспечивающем связь с внешней сетью - данный роутер может не обладать информацией обо всех IP-адресах КРИВС. Практически мониторами являются специально настроенные сенсоры IDS-систем.

Апробирование. ACO АФ (включая стандартные средства и пакеты программ обнаружения DDoS-атак и предсказания эпидемий ВП) реализована автором в СПД Администрации Владимирской области при построении системы обнаружения вторжений, в АСУ НПП «Инпроком» (г.Балакирево), при решении проблемы повышения эффективности ее работы, в АСУ ОАО «ВЗ «Электроприбор»» (г.Владимир) при анализе защищенности корпоративной сети. Раннее обнаружение атак (по сведениям администраторов снижение времени обнаружения на 20-25%) позволяло оперативно включать механизмы противодействия. В результате регистрируемые инциденты аномального функционирования сократились практически на порядок (ежедневно с 30-40 до 5-8). Далее демонстрируются результаты, полученные автором в сети «ВЗ «Электроприбор»» при анализе СЗИ АСУ (обнаружение DDOS-атаки), показывающие эффективность предложенного подхода. Общий ход эксперимента был разделён на два временных

промежутка: А, в течение которого атака была обнаружена средствами ACO, и Б, в течение которого атака обнаружена штатной IDS.

А. Начало атаки, 5 часов, 8840891 пакет. Трафик показывает поведение сети в начале атаки. На графике (рис.4) наблюдаются неравномерности; имеются выбросы высокой амплитуды, и в то же время среднее значение трафика мало, что характерно для процессов с LRD. Автокорреляционная функция (АКФ) трафика (рис.4,б) медленно убывает, в то же время на графике присутствуют периодические пульсации. Это говорит о наличии выраженной детерминистской составляющей в процессе, что является следствием вредоносного воздействия. Расчёт параметра Хёрста (алгоритмы AVM (0,781) и R/S (0,758)) показал значения, превышающие 0,7.

R i

100 200 к

а) агрегация длин пакетов по времени 0.5 с б) АКФ трафика, kmax=250

Рисунок 4 - Начало атаки

Б. Пик атаки, 5 часов, 9000213 пакетов. Реализация показывает время, когда атака была обнаружена IDS. Произошло это в период максимальной сетевой активности с 12590 по 13080 секунду эксперимента (рис. 5). По сравнению с набором данных, полученным на предыдущем промежутке времени, детерминистская составляющая процесса выражена ещё более явно, так как параметр Хёрста растет (алгоритмы AVM (Н=0,847) и R/S (Н=0,826)).

2ООООО 1OGOOO

4+.

ii«m4'№fl

R г- ........ ,

1 --- !

0.5 - !

100 200 к

Агрегация длин пакетов по времени 0.5 с АКФ трафика, ктах=250

Рисунок 5 - Пик атаки

Основные выводы и результаты диссертационной работы:

1. На основе анализа факторов, вызывающих аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий выявлено, что эпидемии вредоносных программ и ООоБ-атаки являются наиболее существенным фактором. Накопленный методологический и технический потенциал обнаружения, идентификации и противодействия данным угрозам явно неадекватен возможностям современных злоумышленников.

2. Предложено семейство аналитических моделей распространения ВП в КРИВС, отличающихся тем, что они учитывают как характеристики СЗИ и топологию КРИВС, так и параметры ВП. Модели позволяют прогнозировать время

тотальной эпидемии (катастрофы) в системе. Разработано программное обеспе

чение, позволяющее выполнить симуляцию моделей и лабораторные эксперименты в вычислительной среде. Программная симуляция и натурные эксперименты эпидемий подтвердили адекватность предложенных аналитических моделей распространения ВП для КРИВС, атакуемой ВП.

3. Теоретическое и экспериментальное исследование подтвердило гипотезу о том, что в условиях ОБо8-атак агрегированный сетевой трафик КРИВС становится персистентным и самоподобным, позволило разработать механизм раннего обнаружения аномального поведения КРИВС, вызванного начавшейся ОЭоБ-атакой. Для достижения этого разработаны: математическая модель ООоБ-атаки на КРИВС; алгоритм предсказания ООо8-атаки на основе РАШМА-модели агрегированного трафика КРИВС; программное обеспечение, позволяющее моделировать в КРИВС сетевой трафик в условиях ООоБ-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

4. Разработаны модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС, отличительной особенностью которой является возможность быстрой реакции и адаптации под конкретные условия применения, а также относительно малое число ложных срабатываний;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС, особенностью которой является иерархическая структура мониторов входящего и исходящего трафика, что позволяет повысить информативность анализируемых данных и оперативность принятия решений в СЗИ КРИВС.

5. Примеры эффективного апробирования механизмов и средств раннего обнаружения аномального поведения реальных КРИВС дают возможность констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и программных средств.

Основные публикации по теме диссертации

Статьи в изданиях, рекомендуемых ВАК

1. Монахов Ю.М. Использование РАЯ1МА - модели для описания и предсказания поведения сети передачи данных в условия атак типа «отказ в обслуживании» // Горный информационно-аналитический бюллетень, №10, 2008. - С. 133137.

Статьи

2. Монахов Ю.М., Макаров Р.И. Автоматизированная система обнаружения аномального функционирования распределенной вычислительной среды АСУ // Системный анализ: теория и практика, №3, 2009. - С. 86 - 89 (соискатель - 80%)

3. Александров A.A., Монахов Ю.М. Проблема стойкости шифров к атакам дифференциального и линейного криптоанализа // Системы и методы обработки и анализа данных: Сб. науч. статей. - М.: Горячая линия - Телеком, 2005. - С. 275 - 287. (соискатель- 80%)

4. Монахов Ю.М. Уязвимости протоколов транспортного уровня TCP // Алгоритмы, методы и системы обработки данных: Сб. науч. статей. - М.: Горячая линия - Телеком, 2006. - С. 203 - 210.

5. Монахов Ю.М. Математическая модель системы мониторинга вредоносного программного обеспечения // Методы и технологии автоматизации обучения, компьютерной графики и информационной безопасности: Сб. науч. статей -Владимир, Изд-во Владим. гос. ун-та. 2007. - С.63-65.

6. Монахов Ю.М. Проблема обнаружения вредоносной программы // Алгоритмы, методы и системы обработки данных: Сб. науч. статей - М.: ООО «Центр информационных технологий в природопользовании», 2007. - С.123-128.

7. Монахов Ю.М. Атака на информационную систему предприятия // Формирование социально-ориентированной экономики: вопросы теории и практики: Межвуз. Сб. науч.трудов. - Филиал ВЗФЭИ. - Владимир, 2007. - С. 105-109.

8. Монахов Ю.М. Об одной модели распространения вредоносной программы // Информационные технологии в образовательном процессе и управлении : Межвуз. сб. науч. статей. - Шуя: Издательство «Весть». - 2007. - С. 14-15.

9. Мишин Д.В., Монахов Ю.М. и др. Информационная система обнаружения атак в сети передачи данных региональной администрации // Алгоритмы, методы и системы обработки данных: Сб. науч. статей. - М.: «Центр информационных технологий и природопользования», 2008. - С.98-103. (соискатель - 70%)

10. Монахов Ю.М., Сморжанюк О. А. и др. Реализация информационной системы квотирования Интернет-трафика // Алгоритмы, методы и системы обработки данных: Сб. науч. статей. - М.: «Центр информационных технологий и природопользования», 2008. - С.114-119. (соискатель - 70%)

11. Файман О.И., Монахов Ю.М. и др. Информационная система учета межведомственной корреспонденции региональной администрации// Алгоритмы, методы и системы обработки данных: Сб. науч. статей. - М.: «Центр информационных технологий и природопользования», 2008. - С.140-145. (соискатель -70%)

Опубликованные доклады и тезисы

12. Александров A.B., Монахов Ю.М. К вопросу формирования случайных последовательностей в задачах защиты информации // Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования // Материалы Международной НТК. - Вологда: Во-ГТУ, 2005. - С. 167-171. (соискатель - 90%)

13. Монахов Ю.М, Полянский Д.А. Оценка безопасности информационно -вычислительной сети на основе формальных моделей // Математические методы

в технике и технологиях ММТТ-19: Сб. трудов XIX Междунар. науч. конф. -Том 10. - Воронеж: Изд-во Ворон, гос. ун-та, 2006. - С.196-198. (соискатель -80%)

14. Груздева Л.М., Монахов Ю.М. Об одной математической модели динамики распространения вредоносных программ // Математические методы в технике и технологиях ММТТ-20: Сб. трудов XX Междунар. науч. конф. - Том 6. -Ярославль: Изд-во Ярое. гос. техн. ун-та, 2007. - С. 65-66. (соискатель - 90%)

15. Монахов Ю.М. Динамика протокола TCP в условиях сетевых атак и перегрузок // Математические методы в технике и технологиях - ММТТ-21: Сб. трудов XXI междунар. науч. Конф. - Том 7. - Саратов: Сарат. гос. техн. ун-т, 2008. - С. 264-265.

Подписано в печать 08.04.09 Формат 60x84/16 Усл. печ. л. 0,93. Тираж 100 экз. Заказ /05-09г. Издательство Владимирского государственного университета. 600000, Владимир, ул. Горького, 87

Оглавление автор диссертации — кандидата технических наук Монахов, Юрий Михайлович

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

Глава 1. СОВРЕМЕННОЕ СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ КОРПОРАТИВНЫХ АСУ.

АНАЛИЗ ОБЪЕКТА ИССЛЕДОВАНИЯ.

1.1. Корпоративная автоматизированная система управления.

1.2. Причины аномальной работы КАСУ и проблема защита информации.

1.3. Способы обнаружения DoS-атак в КРИВС.

1.4. Проблема обнаружения вредоносной программы в КРИВС.

1.5. Уточнение задачи исследования.

Выводы к главе

Глава 2. ИССЛЕДОВАНИЕ И РАЗРАБОТКА МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНЫХ

ПРОГРАММ В КРИВС

2.1. Модели распространения вредоносных программ на основе эпидемиологического подхода.

2.2. Анализ влияния топологии КРИВС на модели распространения вредоносных программ.

2.3. Экспериментальное исследование моделей распространения вредоносных программ.

Выводы к главе 2.

Глава 3. ИССЛЕДОВАНИЕ И РАЗРАБОТКА МОДЕЛЕЙ И АЛГОРИТМОВ ОБНАРУЖЕНИЯ РАСПРЕДЕЛЕННЫХ DOS-АТАК НА ОСНОВЕ ХАОТИЧЕСКИХ СВОЙСТВ СЕТЕВОГО ТРАФИКА

3.1. Математическая модель самоподобного процесса.

3.1. Математическая модель самоподобного процесса.

3.2. Моделирование распределенной атаки в КРИВС.

3.3. Алгоритм предсказания DDoS-атаки на основе FARIMA - модели агрегированного трафика КРИВС.

Выводы к главе 3.

Глава 4. РАЗРАБОТКА И АПРОБИРОВАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ РАННЕГО ОБНАРУЖЕНИЯ ИНФОРМАЦИОННЫХ АТАК В КРИВС.

4.1. Математическая модель системы обнаружения ВП.

4.2. Структурная модель автоматизированной системы раннего обнаружения информационных атак

4.3. Предлагаемые методы защиты.

4.4. Особенности практического внедрения автоматизированной системы раннего обнаружения информационных атак.

Выводы к главе 4.

Введение 2009 год, диссертация по информатике, вычислительной технике и управлению, Монахов, Юрий Михайлович

Совершенствование интегративных процессов в АСУ, связанных с информационным взаимодействием АСУП и АСУТП порождает проблему обеспечения функциональной устойчивости интегрированной системы. Одной из составляющих такого процесса является обнаружение аномалий в работе ее информационной инфраструктуры - корпоративных информационно-вычислительных систем (КРИВС), как отклонений от нормального поведения АСУ. Наиболее значимыми аномалиями здесь являются нештатные ситуации в функционировании и перегрузки в каналах передачи данных. Это обусловлено многими факторами, но наиболее существенными считаются преднамеренные несанкционированные информационные воздействия

Наиболее существенным типом таких воздействий являются сетевые DoS-атаки и вредоносные программы (ВП). Именно они (даже с современной системой защиты) способны блокировать функционирование КРИВС, и соответственно АСУ. Способы реализации DoS-атак весьма разнообразны и постоянно расширяются. «Эпидемия» способна не только блокировать КРИВС, но и физически уничтожить ресурсы. До сих пор остаются актуальными и сложно решаемыми проблемы раннего обнаружения DoS-атак и прогнозирования катастрофических ситуаций в КРИВС, связанных с вирусными программами (в случае их оперативного необнаружения и невозможности уничтожения).

Частично проблема решается системами обнаружения и противодействия несанкционированным информационным вторжениям (атакам), как составной части комплексной системы защиты информации АСУ. Но все известные решения в лучшем случае лишь фиксируют факт свершившейся атаки, «узнаются» (и отражаются) воздействия только известных вирусов, червей и «троянцев». Практически нет механизмов предсказания появления атаки и динамики ее распространения по компонентам КРИВС.

Адекватная модель распространения ВП будет способствовать лучшему пониманию процессов тотального поражения КРИВС, позволит предсказать зарождение катастрофической ситуации, а, значит, выработать необходимое противодействие.

Известные модели распространения ВП не учитывают ряд факторов, имеющих место в КРИВС, например, сильную зависимость от маршрутной таблицы, изменяемость скорости поражения в связи с выходом из сгроя ро-утеров или динамическое противодействие системных средств и пользователей. Весьма малочисленные попытки построения таких моделей для Интернет, содержащей сотни тысяч вычислительных машин, не применимы по многим причинам для КРИВС и не нашли экспериментального подтверждения.

Формальные методы обнаружения и предсказания DoS-атак практически отсутствуют для широкого использования в реальных системах. В настоящее время среди специалистов сложилось четкое убеждение в том, что анализ информационного сетевого потока является наиболее эффективным методом обнаружения аномального поведения распределенной вычислительной системы по причине его большой информативности и потенциальной возможности реагирования в реальном масштабе времени. Поэтому наиболее перспективные исследования в настоящий момент направлены на разработку способов и процедур обнаружения атак, основой которых является изучение влияния вредоносного воздействия на характеристики сетевого трафика.

Результаты ряда исследований .показали, что в отдельных случаях трафик является по своей природе самоподобным (self-similar), или фрактальным. При таком трафике системные характеристики не подчиняется формулам анализа очередей, а имеют место большие задержки и снижение пропускной способности. Такое поведение трафика чувствительно к малейшим возмущениям, несмотря на то, что описывается простыми и детерминистическими уравнениями. Рассмотрение TCP-трафика с позиций теории хаоса дает возможность учитывать корреляции потоков и предоставляет ту же сложную картину сети, которая наблюдается и в реальности.

В настоящее время достоверно неизвестно, что в точности вызывает хаотическое поведение TCP-трафика, соответственно неизвестно как данная модель может быть применима в общем случае.

Объект исследования - распределенная информационно - вычислительная среда интегрированной АСУ промышленного предприятия.

Цель работы - повышение защищенности информационного обеспечения распределённой информационно-вычислительной среды интегрированной АСУ путём разработки, исследования и практической реализации новых моделей и алгоритмов обнаружения и предсказания ее аномального функционирования в условиях несанкционированных информационных воздействий.

Для достижения поставленной цели в работе решены следующие задачи:

1. Проанализированы факторы, вызывающие аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий, выявлены современные подходы к автоматизации их обнаружения.

2. Разработаны модели распространения вредоносных программ в распределенной информационно-вычислительной среде интегрированных АСУ.

3. Разработана методика раннего обнаружения DDoS-атаки в распределенной информационно - вычислительной среде интегрированных АСУ.

4. Разработаны инструментальные средства автоматизации процессов исследования предложенных моделей и алгоритмов.

5. Проведён анализ эффективности предложенных механизмов в системах защиты информации корпоративных АСУ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КРИВС предприятий, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории графов, теории нелинейных динамических систем. При проектировании программных систем применен объектно-ориентированный подход.

Научные результаты, выносимые на защиту:

- модели распространения вредоносных программ, учитывающие системные характеристики КРИВС и параметры ВП, позволяющие прогнозировать тотальную эпидемию в системе;

- модель DDoS-атаки, позволяющая воспроизводить несанкционированные информационные воздействия в распределенной вычислительной среде;

- методика предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС;

- структурная модель автоматизированной системы раннего обнаружения информационных атак в КРИВС с иерархической конфигурацией взаимодействия мониторов входящего и исходящего трафика.

Научная новизна работы:

1. Разработано семейство аналитических и программных моделей распространения вредоносных программ, учитывающих системные характеристики КРИВС и параметры ВП, позволяющие оперативно прогнозировать тотальную эпидемию в АСУ.

2. Предложена методика раннего обнаружения аномального поведения КРИВС, вызванного начавшейся DDoS-атакой, включающая:

- математическую модель DDoS-атаки на КРИВС;

- алгоритм предсказания DDoS-атаки на основе FARrMA-модели агрегированного трафика КРИВС;

- программное обеспечение, позволяющее автоматизировать процессы вычисления характеристик вредоносного сетевого потока.

3. Синтезированы модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Практическая ценность работы заключается в следующем:

1. Разработан лабораторный макет КРИВС, включающий аппаратные и программные средства и позволяющий выполнять лабораторные эксперименты с распространением вредоносных программ.

2. Разработано программное обеспечение, позволяющее

- выполнять симуляцию моделей распространения вредоносных программ в распределенной вычислительной среде;

- моделировать в КРИВС сетевой трафик в условиях DDoS-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

3. Разработана структура автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Реализация результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом:

- г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»;

- х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»;

- №ДУ 55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований и их практической проработки были внедрены в АСУ ОАО «Завод «Электроприбор»» г.Владимир, АСУ Hi 111 «Инпро-ком» г.Балакирево, СПД Администрации Владимирской области, в учебном процессе во Владимирском государственном университете.

Апробация работы. Основные положения диссертационной работы докладывались на:

-1 и II Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях» (Шуя, 2004, 2007);

- Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005);

- XIX, XX и XXI Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008), экспонировались на межрегиональных выставках «Информационные технологии» и «Электронная губерния» (Владимир, 2005, 2006, 2007).

Публикации. Основные положения диссертационной работы отражены в 15 публикациях, включая в рекомендуемых ВАК изданиях.

Структура диссертационной работы:

В главе 1 рассматриваются проблемы информационного взаимодействия АСУП и АСУТП в интегрированной системе, анализируются методы и средства обеспечения защиты информационного обеспечения, выявляются наиболее существенные факторы, вызывающие аномальное функционирование распределенной информационно - вычислительной среды интегрированных корпоративных АСУ, анализируются современные подходы к автоматизации их обнаружения и возможного противодействия. Уточняется задача исследования.

В главе 2 разрабатываются математические модели распространения ВП в КРИВС, исследуется влияние топологии распределенной информационно-вычислительной системы на распространение атакующих процессов, приводятся результаты симуляции и экспериментального исследования моделей

В главе 3 разрабатываются модели и процедуры анализа ТСР-трафика на основе теории нелинейных динамических систем (теории «хаоса»), предлагается методика раннего обнаружения информационной атаки, исследуется адекватность предложенных моделей.

В главе 4 разрабатываются механизмы и структурная модель типовой автоматизированной системы обнаружения ВП в КРИВС. На их основе предлагается ряд конструктивных мероприятий по повышению уровня обеспечения информационной безопасности КРИВС. Анализируются особенности практического внедрения средств раннего обнаружения аномального поведения КРИВС, зависящего от вредоносных информационных воздействий.

В заключении приводятся основные результаты диссертационной работы.

В приложении приведены акты внедрения разработок автора.

Заключение диссертация на тему "Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ"

Основные выводы и результаты диссертационной работы:

1. На основе анализа факторов, вызывающих аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий выявлено, что эпидемии вредоносных программ и DDoS-атаки являются наиболее существенным фактором. Накопленный методологический и технический потенциал обнаружения, идентификации и противодействия данным угрозам явно неадекватен возможностям современных злоумышленников.

2. Предложено семейство аналитических моделей распространения ВП в КРИВС, отличающихся тем, что они учитывают как характеристики СЗИ и топологию КРИВС, так и параметры ВП. Модели позволяют прогнозировать время тотальной эпидемии (катастрофы) в системе. Разработано программное обеспечение, позволяющее выполнить симуляцию моделей и лабораторные эксперименты в вычислительной среде. Программная симуляция и натурные эксперименты эпидемий подтвердили адекватность предложенных аналитических моделей распространения ВП для КРИВС, атакуемой ВП.

3. Теоретическое и экспериментальное исследование подтвердило гипотезу о том, что в условиях DDoS-атак агрегированный сетевой трафик КРИВС становится персистентным и самоподобным, позволило разработать механизм раннего обнаружения аномального поведения КРИВС, вызванного начавшейся DDoS-атакой. Для достижения этого разработаны: математическая модель DDoS-атаки на КРИВС; алгоритм предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС; программное обеспечение, позволяющее моделировать в КРИВС сетевой трафик в условиях DDoS-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

4. Разработаны модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС, отличительной особенностью которой является возможность быстрой реакции и адаптации под конкретные условия применения, а также относительно малое число ложных срабатываний;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС, особенностью которой является иерархическая структура мониторов входящего и исходящего трафика, что позволяет повысить информативность анализируемых данных и оперативность принятия решений в СЗИ КРИВС.

5. Примеры эффективного апробирования механизмов и средств раннего обнаружения аномального поведения реальных КРИВС дают возможность констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и программных средств.

ЗАКЛЮЧЕНИЕ

Библиография Монахов, Юрий Михайлович, диссертация по теме Автоматизация и управление технологическими процессами и производствами (по отраслям)

1. Алексеев В.В. Влияние фактора насыщения на динамику системы хищник-жертва // Биофизика. 1973. - Т. 18. - Вып.5. - С.922-926.

2. Алешин Л.И. Защита информации и информационная безопасность: Курс лекций. М.: МГУК, 1999.- 176 с.

3. Анализатор Sniffer Pro LAN фирмы Sniffer Technologies // http://www.securitylab.ru/software/233623.php

4. Андреев Ю.В., Балабин A.M., Дмитриев А.А и др. Использование динамического хаоса в коммуникационных системах и компьютерных сетях // Препринт ИРЭ РАН. Москва. 2000. № 2 (626). 76 с.

5. Андреев Ю.В., Балабин A.M., Дмитриев А.А и др. Стратегии использования динамического хаоса в коммуникационных системах и компьютерных сетях. Разделение хаотического кодера и кодера канала // Зарубежная радиоэлектроника. 2000. № 1 Г. С. 4-26.

6. Арнольд В.И. Теория катастроф. Современные проблемы математики. Фундаментальные направления. М: ВИНИТИ, 1986. - Т.5. - С.219-277.

7. Артемов Д.В. Влияние компьютерных вторжений на функционирование вычислительных сетей М: Приор, 2001.

8. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого СПб.: СПбГУ ИТМО, 2004. - 161 с.

9. Бобров А. Системы обнаружения вторжений // www.icmm.ru/~masich/win/lecture.html. .

10. Бобров А.В., Масич Г.Ф. Подходы к реализации сетевой системы обнаружения вторжений на основе выявления аномального поведения // http://www.icmm.ru/PH/68789I5C.doc.

11. Брэгг Р., Родс-Оусли М., Страссберг К. Безопасность сетей. Полное руководство. М.: Эком, 2006. - 912 с.

12. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512 с.

13. Воголенок В. Исследование параметров телекоммуникационных сетей с учетом эффекта самоподобия. Рига: ООО «Латтелеком».

14. Вольтерра В. Математическая теория борьбы за существование.-М: Наука, 1976.-286 с.

15. Гайфуллин Б.Н., Обухов И.А. Автоматизированные системы управления предприятиями стандарта ERP/MRPII // М.: Богородский печатник. 2000. 237 с.

16. Гамаюнов Д. Ю., Качалин А. И. Обнаружение атак на основе анализа переходов состояний распределенной системы. // Искусственный интеллект, 2004, № 2. С.49-53.

17. Гамаюнов Д.Ю. Современные некоммерческие системы обнаружения атак// "Программные системы и инструменты": Тематический сборник факультета ВМиК МГУ им. Ломоносова N3, Под ред. Л.Н.Королева М.: Издательский отдел факультета ВМиК МГУ, 2002.

18. Гаскаров Д.В., Истомин Е.П., Кутузов О.И. Сетевые модели распределенных автоматизированных систем.- СПб.: Энергоатомиздат, 1998. -353 с.

19. Гошко С.В. Энциклопедия по защите от вирусов. М.: СОЛОН-Р, 2005. - 352 с.

20. Методы и модели информационного менеджмента: учеб. пособие / Д.В.Александров, А.В.Костров, Р.И.Макаров, Е.Р.Хорошева; под. ред. А.В.Кострова. -М: Финансы и статистика, 2007. 336 с.

21. Гукенхеймер Дж., Холмс Ф. Нелинейные колебания, динамические системы и бифуркации векторных полей. М. Иж.: ИКИ. 2002. - 560 с.

22. Гусева А.И. Технология межсетевых взаимодействий,- М.: Бином, 1997.-238 с.

23. Деменков Н.П. SCADA-системы как инструмент проектирования АСУТП // Приложение к журналу "Информационные технологии", 2002, № 11.

24. Дмитриев А. С., Панас А. И., Старков С. О. Динамический хаос как парадигма современных систем связи // Зарубежная радиоэлектроника. 1997. № 10.-С. 4-26.

25. Дмитриев А. С., Старков С. О. Передача сообщений с использованием хаоса и классическая теория информации // Зарубежная радиоэлектроника. 1998. №11. С. 4-32.

26. Дружинин E.JL, Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств // http ://www .netl ab. mephi.ru.

27. Ильницкий C.B. Работа сетевого сервера при самоподобной (self-similar) нагрузке // http://www.teletraffic.ru/public/pdf/IlnickisMMl2004.pdf.

28. Касперски К. Жизненный цикл червей // http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=l 1697

29. Касперски К. Компьютерные вирусы: изнутри и снаружи. Спб: "Питер", 2005. - 528 с.

30. Каток А.Б., Хасселблат Б. Введение в современную теорию динамических систем. М.: Факториал, 1999. - 768 с.

31. Качалин А.И., Моделирование процесса распространения сетевых червей для оптимизации защиты корпоративной сети // Искусственный интеллект, 2006 No 2. С. 84-88.

32. Кеммерер Р., Виджна Д. Обнаружение вторжений краткая история и обзор // http://kiev-security.org.ua.

33. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. М.: COJTOH-P, 2001. - 464 с.

34. Компьютерные сети. Принципы, технологии, протоколы/ В.Г.Олифер, Н.А. Олифер.- СПб.: Питер, 1999.- 672 с.

35. Костров А. В. Основы информационного менеджмента: учеб. пособие для вузов. - М.: Финансы и статистика, 2003. - 336 с

36. Котенко И. В., Степашкин М. В., Богданов В. С. Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников // Проблемы информационной безопасности. Компьютерные системы. № 4. СПб., 2005.

37. Кроновер Р. М. Фракталы и хаос в динамических системах. Основы теории. Москва: Постмаркет, 2000. 352 с.

38. Кудряшов И.С. Регистрация событий в системах обнаружения компьютерных атак // Материалы VII Международной научно-практической конференции «Информационная безопасность». Таганрог: изд-во ТРТУ, 2005.

39. Кульгин М. Технологии корпоративных сетей. Энциклопедия.-СПб.:Питер, 1999. 704 с.

40. Лукацкий А, Обнаружение атак. СПб.: БХВ-Петербург, 2001.624 с.

41. Мельников В.В. Безопасность информации в автоматизированных системах. М.:Финансы и статистика, 2003. - 368 с.

42. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001. 587 с.

43. Монахов Ю.М. Атака на информационную систему предприятия // Формирование социально-ориентированной экономики: вопросы теории ипрактики. Межвуз. сб. науч. трудов. / филиал ВЗФЭИ в г. Владимире. -Владимир, 2007.-С. 105-109.

44. Монахов Ю.М. Использование FARIMA модели для описания и предсказания поведения сети передачи данных в условия атак типа «отказ в обслуживании» // Горный информационно-аналитический бюллетень, №10, 2008. - С.133-137.

45. Монахов Ю.М. Математическая модель системы мониторинга вредоносного программного обеспечения // Методы и технологии автоматизации обучения, компьютерной графики и информационной безопасности. -Владимир, Владим. гос. ун-т. 2007. С.63-65.

46. Монахов Ю.М. Модель с противодействием: progressive sidr // Информационные системы и технологии в образовании и экономике / Сб.трудов научно-практической конф. Москва Покров, МГПУ им. С.А.Шолохова, 2007. - С.80-81.

47. Монахов Ю.М. Об одной модели распространения вредоносной программы // Информационные технологии в образовательном процессе и управлении : Межвузовский сб.статей. Шуя: Издательство «Весть».- 2007. — С.14-15.

48. Монахов Ю.М. Уязвимости протокола транспортного уровня TCP // Алгоритмы, методы и системы обработки данных. Сборник научных статей. М.: Горячая линия-Телеком, 2006. - С. 203-210.

49. Мун Ф. Хаотические колебания: Вводный курс для научных работников и инженеров. М.: Мир, 1990. - 320 с.

50. Норткатт С., Новак Д., Маклахлен Д. Обнаружение вторжений в сетях. Настольная книга специалиста по системному анализу. М.: ЛОРИ, 2003.- 384 с.

51. Параметры конфигурации TCP/IP и NBT для Windows ХР // http://support.microsoft.com/kb/314053/ru.

52. Пелешенко B.C. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации // Материалы 9-й региональной научно-технической конференции «Вузовская наука Северо-Кавказскому региону»,2005.

53. Петр Мертенс Интегрированная обработка информации. Операции-онные системы в промышленности / Пер. с нем. М.А.Костровой. М: Фин-нансы и статистива, 2001. - 424 с.

54. Полянский Д.А., Монахов Ю.М. Оценка безопасности информационно-вычислительной сети на основе формальных моделей // XIX Международная научная конференция «Математические методы в технике и технологиях» Воронеж, 2006. Том 10, С. 196-198.

55. Прангишвили И. В. Основы построения АСУ сложными технологическими процессами. М: Энергоатомиздат, 1994. - 305 с.

56. Решения компании "СИТРОНИКС Информационные Технологии" для банковского сектора// http://ru.sitronics.com/upload/iblock/a2d/bank.pdf

57. Ризниченко Г.Ю. Лекции по математическим моделям в биологии. Часть 1. Ижевск, НИЦ «Регулярная и хаотическая динамика», 2002. 232 с.

58. Семенов Ю.А. Обзор некоторых видов атак и средств защиты // http://book.itep.ru/6/intrusion.htm.

59. Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология. М.: Майор, 2006. - 512 с.

60. Соснин О.М. Основы автоматизации технологических процессов и производств. — М.: Академия, 2007. 239 с.

61. Статистические системы обнаружения вторжений // http://stra.teg.ru/lenta/security/2081.

62. Стивене У. Р. Протоколы TCP/IP. Практическое руководство. СПб.: БХВ-Петербург, 2003. 671 с.

63. Столлингс В. Основы защиты сетей. Приложения и стандарты. -М.: Издательский дом "Вильяме", 2002. 432 с.

64. Странные аттракторы. Серия "Математика: новое в зарубежной науке", №22. М.: Мир, 1981.

65. Тихонов А.Н., Васильева А.Б., Свешников А .Г. Дифференциальные уравнения. М.: Наука, 1980. 231 с.

66. Томпсон Дж. М. Т. Неустойчивости и катастрофы в науке и технике. М.: Мир, 1985. - 254 с.

67. Треногин Н.Г., Соколов Д.Е. Фрактальные свойства сетевого трафика в клиент-серверной информационной системе. Новосибирск: Вестник НИИСУВПТ.

68. Трубецков Д.И. Введение в синергетику. Хаос и структуры. М.: УРСС, 2004. 240 с.

69. Чипига А. Ф., Пелешенко В. С. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации //http://science.ncstu.ru/articles/ns/002/elen/29.pdf/filedownload

70. Чипига А.Ф., Пелешенко B.C. Формализация процедур обнаружения и предотвращения сетевых атак // http://www.contrterror.tsure.ru/site/magazine8/05-17-Chipiga.htm

71. Чубин И. ARP-spoofing // http://xgu.ru/wiki/ARP-spoofmg

72. Эрроусмит Д., Плейс К. Обыкновенные дифференциальные уравнения. Качественная теория с приложениями. М.: Мир, 1986. 244 с.

73. Aksakaya H.R., Arditi R., Ginzburg L.R. Ratio-dependent predation: an abstraction that works, Ecology. 1995. - 76. - P.995-1004.

74. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

75. Anderson D., Frivold Т., Valdes A. Next-generation intrusion detection expert system (nides) a summary // Technical Report SRI-CSL-95-07. SRI International, May 1995// http://citeseer.ist.psu.edu/anderson94next.html.

76. Andersson H., Britton Т., Stochastic Epidemic Models and Their Statistical Analysis, Lecture Notes in Statistics, Springer-Verlag, 2000. 151 p.

77. Arditi R., Ginzburg L.R. Coupling in predator-prey dynamics: ratio-dependence, J. Theor. Biol. 1989. - 139. - pp. 311-326.

78. Asavathiratham C., Influence Model: A tractable Representation of Networked Markov Chains, http://tanzeem.www.media.mit.

79. Bace R., Mell P. Special Publication on Intrusion Detection Systems. Tech. Report SP 800-31, National Institute of Standards and Technology, Gai-thersburg, Md., Nov. 2001

80. Barford P. A Signal Analysis of Network Traffic Anomalies. Pioc. ACM SIGCOMM Internet Measurement Workshop, ACM Press, 2002, pp. 71-82.

81. Berinato S. The future of security // http://www.computerworld.com /securitytopics/security/story/0,10801,88646,00.html.

82. Berk V. H., Gray R.S., Bakos G. Using sensor networks and data fusion for early detection of active worms. // Proceedings of the SPIE AeroSense. -SPIE-The International Society for Optical Engineering, 2003. Volume 5071, pp. 92-104.

83. Blazek R.B. A Novel Approach to Detection of «Denial-of-Service» Attacks via Adaptive Sequential and Batch-Sequential Change-Point Detection

84. Methods. Proc. IEEE Workshop Information Assurance and Security, IEEE CS Press, 2001, pp. 220-226.

85. Bolker В. M., Earn D. J. D., Rohani P., Grenfell B.T. A simple model for complex dynamical, transitions in epidemics. Science, 5453(287). Cambridge: Science International, 2000, pp. 667-670.

86. Bozdogan. «Model selection and Akaike's Information Criterion (AIC): The general theory and its analytical extensions».

87. Brooks R.R. Disruptive Security Technologies with Mobile Code and Peer-to-Peer Networks. CRC Press, 2005.

88. Carl G., Kesidis G., Brooks R. R., Rai S. Denial-of-Service Attack-Detection Techniques. IEEE Internet Computing, vol. 10, no. 1, 2006, pp. 82-89.

89. CERT Advisory CA-2001-23 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL // http://www.cert.org/advisories/CA-2001-23.html.

90. Chartier R. Application Architecture: An N-Tier Approach Part 1 // http://www. 15seeonds.eom/issue/011023 .htm.

91. Chebrolu A., Thomas J. Feature Deduction and Ensemble Design of Intrusion Detection Systems. Computers & Security, 2005, 24:4, pp. 295-307,

92. Chen Z., Gao L., Kwiat K. Modeling the Spread of Active Worms // IEEE INFOCOM 2003 // http://www.ieee-infocom.org/2003/papers/4603.PDF.

93. Chi S.D., Park J. S., Jung K.C., Lee J.S. Network security modeling and cyber attack simulation methodology // Lecture Notes in Computer Science. Springer-Verlag, 2001. Vol. 2119.

94. Chung M., Mukherjee В., Olsson R. A., Puketza N. Simulating Concurrent Intrusions for Testing Intrusion Detection Systems // Proceedings of the 18th NISSC. 1995.

95. Cohen F. Computer Viruses: theory and experiments // DOD/NBS 7th Conference on Computer Security (1984).

96. Cohen F. Simulating Cyber Attacks, Defenses, and Consequences. IEEE Symposium on Security and Privacy, Berkeley, CA. 1999.

97. Cohen F. Computational aspects of computer viruses, Computers & Security, 1989, vol. 8, no. 4, pp. 325—344.

98. ComputerWorld.com TruSecure announces early-warning system // http://www.cornputerworld.eom/securitytopics/security/story/0,10801,89424,00.h tml.

99. Crosbie M., Spafford G. Active defense of a computer system using autonomous agents, Technical Report 95-008, COAST Group, Department of Computer Sciences, Pur due University, West Lafayette, IN 47907-1398, February 1995.

100. Crovella M., Bestavros A. Self-Similarity in World Wide Web Traffic: Evidence and Possible Causes, in IEEE/ACM Transactions on Networking, 1997, 5(6): pp. 835-846.

101. Denning D. An Intrusion-Detection Model. IEEE Transactions on Software Engineering, 1987, Vol. SE-13, No. 2.

102. Depren O., Topallar M., Anarim E., Kemal M. An Intelligent Intrusion Detection System (IDS) for Anomaly and Misuse Detection in Computer Networks, Expert Systems with Applications, 29:713-722, 2005.

103. Deszo Z, Barabasi A.L. Halting viruses in scale free networks, (cond-mat/0107420) //http://www.arxiv.org/PS cache/cond-mat/pdf/0107/0107420.pdf.

104. Devaney R.L. An Introduction to Chaotic Dynamical Systems. Second Edition». Addison-Wesley Publishing Company, 1989.

105. Spinellis D. Reliable Identification of Bounded-length Viruses is NP-complete» IEEE Transactions on Information Theory, 2003. 49, pp. 280-284.

106. Dodson M.M. Quantum evolution and the fold catastrophe. Evolutionary Theory, 1975.- 107 p.

107. Dorogovtsev S., Mendes J. Evolution of networks. Advances in Physics, 51:2002. pp. 1079-1187.

108. Duff T. Experience with viruses on UNIX systems, Computing Systems, 1989, vol. 2, no. 2, pp. 155-171. •

109. Ebel H., Mielsch L.I., Bornholdt S. Scale free topology of email networks. // cond-mat/0201476 // www.arxiv.org.119. eEye Digital Security, .ida "Code Red" Worm, 2001 // http://www.eeye.com/html/Research/Advisories/AL20010717.html

110. Fei X. Modeling and Predicting Long-range Dependent Traffic with FARIMA Processes. Dept. of Information EngineeringThe Chinese University of Hong Kong, http://www.ensc.sfu.ca/~ljilja/cnl/papers/mflrd.ps.

111. Feinstein L. Statistical Approaches to DDoS Attack Detection and Response. Proc. DARPA Information Survivability Conf. and Exposition, vol. 1. 2003, IEEE CS Press, pp. 303-314.

112. Vattay G. Self-similarity in bottleneck buffers. Proceedings of Globe-com 2001, December 2001.

113. Frauenthal J.C. Mathematical Models in Epidemiology. New York: Springer-Verlag, 1980. - 335 p.

114. Fugate M., Gatikker J.R. Anomaly Detection Enhanced Classification in Computer Intrusion Detection. Applications of Support Vector Machines, Int. Conf. Pattern Recognition and Machine Learning, 2002, pp. 186-197.

115. Garetto, M., Gong, W., Towsley, D. Modeling Malware Spreading Dynamics IEEE INFOCOM 2003 // http://www.ieee-infocom.org/2003/papers/4601 .PDF.

116. Gaudin. S. 2003 'Worst Year Ever' for Viruses, Worms // http://www.esecurityplanet.com/trends/article.php/3292461.

117. Gennaro C.R., Herzberg A., Naor D. Proactive Security: Long-term Protection Against Break-ins // CryptoBytes Vol.13, N. 1, Spring 1997. pp. 12-22.

118. Ghosh A.K., Wanken J., Charron F. Detecting Anomalous and Unknown Intrusions Against Programs. Proc. Annual Computer Security Application Conference (ACSAC'98), IEEE CS Press, Los Alamitos, Calif., 1998

119. Glomb P. Traffic prediction with adaptive filters. Institute of Theoretical and Applied Informatics.

120. Guo L., Crovella M., Matta I. TCP congestion control and heavy tails. Tech. Rep. BUCS-TR-2000-017, Computer Science Dep., Boston University, 2000.

121. Haining W., Zhang D.,. Shin G. Change-Point Monitoring for Detection of DoS Attacks. Department of Electrical Engineering and Computer Science, the University of Michigan.

122. Handley M., Rescorla E. RFC 4732 Internet Denial-of-Service Considerations». 2006.

123. Hatton L. Repetitive failure, feedback and the lost art of diagnosis // Journal of Systems and Software, 47(2). Amsterdam: Elsevier Science Publishing, 1999. - pp.183-188.

124. Heberlein, L. Т., Dias, G.V., Levitt, K. N., Mukherjee, В., Wood, J. and Wolber, D. A network security monitor. // Proc. of IEEE Symposium on Research in Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 1990-pp. 296-304.

125. Hethcote, H. W. The Mathematics of Infectious Diseases // SIAM Review Vol. 42, No. 4. Philadelphia, PA, USA: Soc. For Industrial And Applied Mathematics, 2000. - pp. 599-653.

126. Hofmeyr S.'A., Forrest S., Somayaji A. Intrusion detection using sequences of system calls. // Journal of Computer Security, 6(3). Amsterdam: IOS Press, 1998.-pp. 151-180.

127. Howard J. D. An Analysis of Security Incidents on the Internet. Pittsburgh, Pennsylvania, 15213 USA, 1997.

128. Iglun K., Kemmerer R. A., Porras P. A. State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Transactions on Software Engineering, V.21, No. 3. 1995.

129. Jacobson V. Congestion Avoidance and Control. Proceedings of SIG-COMM'88, August 1988, pp. 314-329.

130. Hl.Jost C., Arino O., Arditi R: About deterministic extinction in ratio-dependent predator-prey models. Bull. Math. Biol. 1999. - 61. - P. 19-32.

131. Jung J., Paxson V., Berger A. W. , Balakrishnan H. Fast portscan detection using sequential hypothesis testing // Proceedings of the IEEE Symposium on Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 2004. - pp. 211-225.

132. Jung J., Schechter S. E., Berger, A. W. Fast detection of scanning worm infections // Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection (RAID), September 2004 // http://nms.lcs.mit.edu/papers/scanworm.pdf.

133. Kaspersky Security Bulletin, январь июнь 2007. Развитие вредоносных программ в первом полугодии 2007 года: http://www.kaspersky.ru/readingroom?chapter=207367581

134. Kephart J. О., White S. R. Directed-Graph Epidemiological Models of Computer Viruses. Proceedings of the 1991 IEEE Computer Society Symposiumon Research in Security and Privacy; Oakland, California, May 20-22, 1991. pp. 343-359.

135. Kephart J.O., White S.R. Measuring and modeling computer virus prevalence. // Proceedings of IEEE Symposium on Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 1993. - pp. 2-15.

136. Kephart J.O., Chess D. M., White S.R. Computers and epidemiology // IEEE Spectrum, 30(5). Los Alamitos, CA, USA: IEEE Computer Society, 1993.-pp. 20-26.

137. Kocarev L., Vattay G. Complex Dynamics in Communication Networks. Springer, 2005. 361 p.

138. Kolotov А. Мониторинг сети с помощью tcpdump // http ://www.linuxshare.ru/docs/net/tcpdup^p .htm I.

139. Kotenko I. V., Stepashkin M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle // Lecture Notes in Computer Science. Springer-Verlag, 2005. Vol. 3685.

140. Kumar S. Classification and detection of computer intrusions, Ph.D. Thesis, Purdue University, West Lafayette, IN 47907, 1995.

141. Kumar S., Spafford E. (1995) A Software Architecture to Support Misuse Intrusion Detection. Department of Computer Sciences, Purdue University; CSD-TR-95-009.

142. Leckie C., Kotagiri R. A probabilistic approach to detecting network scans. // Proceedings of the 8th IEEE Network Operations and Management Symposium (NOMS 2002), Florence, Italy. Los Alamitos, CA, USA: IEEE Computer Society, 2002. - pp. 359-372

143. Leveille J. Epidemic Spreading in Technological Networks http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf.

144. Liebowitz J. Information Technology Management; A Knowledge Repository. Boca Raton (Florida): CRC Press LLC, 1999 (USA) 201 p.

145. Lindqvist U., Porras P.A. Detecting Computer and Network Misuse with the Production-Based Expert System Toolset, IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif., 1999

146. Lotka A.J. Elements of physical biology. Baltimore: Williams and Wil-kins, 1925.

147. Lundy D. He's confident system can stop any virus // Chicago Sun Times, January 22, 2004 // http://www.suntimes.com/output/tech/cst-fin-lundy22w.html

148. Mao Z., Govindan R., Varghese G., Katz R. Route Flap Dampening Exacerbates Internet Routing Convergence». Proceedings of ACM SIGCOMM, 2002.

149. May R.M. Bifurcations and dinamic complexity in ecological systems. Annals, New York Academy of Sciences, 1979, p. 517

150. Mcllroy D.M. Virology 101, Computing Systems, 1989, vol. 2, no. 2, pp. 173-184.

151. McNab C. Network Security Assessment. O'Reilly Media Jnc, 2004.

152. Mogul J.C. IP Network Performance. Internet System Handbook. Addison-Wesley, Reading, Mass. pp. 575-675.

153. Moore D., Paxson V., Savage S., Shannon C., Staniford S., Weaver N. Inside the Slammer Worm // IEEE Security and Privacy, 1(4). Los Alamitos, CA, USA: IEEE Computer Society, 2003. - pp. 33-39.

154. Moore D., Shannon C., Voelker G. M., Savage S. Internet Quarantine: Requirements for Containing Self-Propagating Code // Proc. of IEEE INFO-COM'2003. Los Alamitos, С A, USA: IEEE Computer Society, 2003. vol.3. -pp. 1901-1910.

155. Moore D., Voelker G.M., Savage S. Inferring Internet Denial-of-Service Activity». Proc. Usenix Security Symp., Usenix Assoc., 2001.

156. Mounji A. Languages and Tools for Rule-Based Distributed Intrusion Detection, PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.

157. Myers G. G. The Art of Software Testing. London: J. Wiley and Sons, 2004.-256 p.

158. Nicolis G., Prigogine I. Self-Organization in Non-Equilibrium Systems. From Dissapative Structures to Order through Fluctuations.- New YorkA Wiley, 1977.

159. NVD: National Vulnerability Database // http://nvd.nist.gov/.

160. OSVDB: The Open Source Vulnerability Database // http://www.osvdb.org/.

161. Pang R., Yegneswaran V., Barford P., Paxson V., Peterson L. Characteristics of Internet background radiation. // Proceedings of the Internet Measurement Conference (IMC), October 2004 // http://www.icir.org/vern/papers/radiation-imc04.pdf.

162. Pastor-Satorras R., Vasques A., Vespignan A. Dynamical and correlation properties of the internet // Physical Review Letters, 87(25). Washington DC: American Physical Society, 2001. - pp. 257-270.

163. Pastor-Satorras R., Vespignani A. Epidemic spreading in scale-free networks // Physical Review Letters, 86(14). Washington DC: American Physical Society, 2001. - pp. 3200-3203.

164. Pastor-Satorras R., Vespignani A. Epidemics and Immunization in Scale-Free Networks. Berlin: Wiley-VCH, 2002. - 140 p.

165. Paxson V. Bro: A System for Detecting Network Intruders in RealTime, Proc. Seventh Usenix Security Symp., Usenix Assoc., Berkeley, Calif., 19-98

166. Paxson V. Fast, Approximate Synthesis of Fractional Gaussian Noise for Generating Self-Similar Network Traffic. Computer Communications Review, V. 27 N. 5, October 1997, pp. 5-18.

167. Paxson V., Floyd S. Wide-Area Traffic: The Failure of Poisson Modeling. IEEE/ACM Transactions on Networking, Vol. 3 No. 3, pp. 226-244, June 1995.

168. Paxson V., Growth trends in wide-area TCP connections, IEEE Network, 1994. 8(4), pp. 8-17.

169. Paxson V., Stamford S., Weaver N. How to Own the Internet in Your Spare Time, Proceedings of the 11th USENIX Security Symposium (Security '02).

170. Pepyne D.L., Gong W.B., Ho Y.C., Modeling and Simulation for Network Vulnerability Assessment, 40th U.S. Army Operation Research Symposium (AORS XL), Fort Lee, VA, October 2001.

171. Tu P. Dynamical Systems. An Introduction with Applications in Economics and Biology. Springer-Verlag, Berlin Heidelberg, 1994.

172. Singh P.K., Lakhotia A. Analysis and detection of computer viruses and worms: An annotated bibliography, ACM SIGPLAN Notices, 2002, vol. 37. pp. 29-35.

173. Ranum M. J. A Taxonomy of Internet Attacks // http://www.clark.net/pub/mjr/pubs/attclc/index.shtml. 1997.

174. Raymond J.F. Traffic analysis: Protocols, attacks, design issues and open problems // Proc. Workshop on Design Issues in Anonymity and Unobserva-bility NY, 2000, pp. 7-26.

175. Riedi R.H., Willinger W. Self-similar Network Traffic and Performance Evaluation. Wiley, 2000, chapter 20, pp 507-530.

176. Roesch M. Snort Users Manual, Snort Release: 1.8.1, 2001, http:// www. snort. org/

177. Senthilkumar C. G. Worms: How to stop them? // http://wwwcsif.cs.ucdavis.edu/~cheetanc/worms/proposal.ps.

178. Spafford E. An Analysis of the Internet Worm, Proc. European Software Engineering Conference, pp. 446-468, Sep. 1989. Lecture Notes in Computer Science #387, Springer-Verlag.

179. Spafford E. A computer virus primer, in Computers Under Attack: Intruders, Worms, and Viruses, Peter J. Denning, Ed., chapter 20, Addison-Wesley, 1990.-pp. 316-355.

180. Spafford E., Zamboni D. Intrusion detection using autonomous agents, Computer Networks, 34(4): 2000. pp. 547-570.

181. Staniford S., Hoagland J. A., McAlerney J.M. Practical automated detection of stealthy portscans. // Journal of Computer Security, vol.11(1-2). Amsterdam: IOS Press, 2002. - pp. 105 - 136.

182. Steger J., Vaderna P., Vattay G. On the Propagation of Congestion Waves in the Internet. Department of Physics of Complex Systems, Eotvos University, Budapest, February 2, 2008.

183. Sykdar В., Kalyanaraman S., Vastola K.S. An Integrated Model for the Latency and Steady-State Throughput of TCP Connections. Performance Evaluation, v.46, no.2-3, pp. 139-154, September, 2001.

184. Symantec Early Warning Solutions. Symantec Corp. // http://enterprisesecurity. Symantec. com/SecurityServices/content.cfm?ArticleID= 1522

185. The Workshop on Rapid Malcode (WORM), October 27, 2003, The Wyndham City Center Washington DC, .USA // http://pisa.ucsd.edu/worm03/.

186. Thompson J.M.T. An evolution game for a prey predator ecology. -Bull. Inst. Math. And Its Appl., 1979, 162 p.

187. Thompson J.M.T. Experiments in catastrophe. Nature, 1975, 392 p.

188. Turing Alan M., On computable numbers, with an application to the Entscheidungs Problem, Proceedings of the London Mathematical Society, vol. 2, no. 42, pp. 230—265, 1936, Corrections in 2(43):544-546.

189. Valdes A. and Skinner K. Adaptive, model-based monitoring for cyber attack detection. // Recent Advances in Intrusion Detection (RAID 2000). -Berlin: Springer-Verlag, 2000. pp. 80-92.

190. Vandoorselaere Y., Oudot L. Prelude, an Hybrid Open Source Intrusion Detection System // http://www.prelude-ids.org/, 2002.

191. Vattay G., Fekete A., Steger J., Marodi M. Modeling Competition, Fairness and Chaos in Computer Networks. Communication Networks Laboratory.

192. Veres B.M. The chaotic nature of TCP congestion control // IEEE IN-FOCOM'2000, March 2000.

193. Veres B.M., Kenesi Z., Molnar S., Vattay G. On the propagation of long-range dependence in the Internet». ACM SIGCOMM 2000, Stockholm, Sweden, August 2000.

194. Wang C., Knight J. C., Elder M. C. On Computer Viral Infection and the effect of Immunization, in Proc. 16th ACSAC, 11-15 December, New Orleans, Louisiana, 2000.

195. Weaver N., Staniford S., Paxson V. Very fast containment of scanning worms // Proceedings of 13th USENIX Security Symposium, 2004 // http://www.icsi.berkeley.edu/~nweaver/ containment/containment.pdf

196. Williamson M. M. Biologically Inspired Approaches to Computer Security HPL-2002-131. http://www.hpl.hp.com/techreports/2002/HPL-2002-131 .pdf.

197. Williamson M. W. An epidemiological model of virus spread and cleanup» HPL-2003-39 // http://www.hpl.hp.com/techreports/2003/HPL-2003-39.pdf.

198. Williamson M. M. Throttling Viruses: Restricting Propagation to Defeat Malicious Mobile Code // Proc. of Annual Computer Security Application Conference (ACSAC'02). Los Alamitos, CA, USA: IEEE Computer Society, 2002.-pp.61-73

199. Willinger W., Taqqu M., Sherman R., Wilson D. Self-Similarity Through High-Variability: Statistical Analysis of Ethernet LAN Traffic at the Source Level. IEEE/ACM Transactions on Networking, Vol. 5, No. 1, pp. 71-86, February 1997

200. Wonderware System Platform // http ://us .wonder ware, com/ products/sy splatform.

201. Yaroshkin F. SnortNet- A Ditributed Intrusion Detection System, IVT-1/95, Kyrgyz Russian Slavic University, Bishkek, Kyrgystan, June 2000.

202. Yegneswaran V., Barford P. Internet intrusions: global characteristics and prevalence // Proceedings of the 2003 ACM SIGMETRICS, volume 31, 1 of Performance Evaluation Review.-New York:ACM Press,2003 pp. 138-147.

203. Yuill J., Wu F., Settle J., Gong F. Intrusion-detection for incidentres-ponse, using a military battlefield-intelligence process // Computer Networks, No.34. 2000.

204. Zou С. C., Gong W., Towsley D. Worm propagation modeling and analysis under dynamic quarantine defense // Proceedings of ACM CCS Workshop on Rapid Malcode (WORM'03). Washington, DC: ACM, 2003. - pp. 5160.

205. Zou С. C., Towsley D., Gong W. Email worm modeling and defense. In Proceedings of 13th International Conference on Computer Communications and Networks (ICCCN'04). Los Alamitos, CA, USA: IEEE Computer Society, 2004.-pp. 409-414.

206. Zou С. C., Towsley D., Gong W. On the performance of Internet worm scanning strategies // Performance Evaluation, 63 (7). Amsterdam: Elsevier Science Publishing, 2006. - pp. 700-723.

207. Zou С. C., Towsley D., Gong W., Cai S. Routing worm: A fast, selective attack worm based on IP address information // Workshop On Principles of Advanced and Distributed Simulation. Los Alamitos, CA, USA: IEEE Computer Society, 2005. - pp. 199-206.

208. Zou C.C., Gao L., Gong W., Towsley D. Monitoring and Early Warning for Internet Worms // CCS'03, October 27-30 2003, Washington, DC, USA // http://tennis.ecs.umass.edu/~czou/research/monitoringEarlyWarning.pdf