автореферат диссертации по радиотехнике и связи, 05.12.13, диссертация на тему:Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности

4844014

На правах рукописи

Л*?/.

Груздева Людмила Михайловна

МОДЕЛИ ПОВЫШЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Специальность: 05.12. 13 -Системы, сети и устройства телекоммуникаций

Автореферат

диссертации на соискание ученой степени кандидата технических наук

1 4 АПР 2011

Владимир - 2011

4844014

Работа выполнена на кафедре «Информатика и защита информации» Владимирского государственного университета

Научный руководитель: доктор технических наук, профессор

Монахов Михаил Юрьевич

Официальные оппоненты: доктор технических наук, профессор

Полушин Петр Алексеевич, кандидат технических наук, доцент Дерябин Вячеслав Михайлович

Ведущая организация: ОАО «Владимирское конструктор-

ское бюро Радиосвязи»

Защита состоится «27» апреля 2011 г. в «1400» час в ауд. 301-3 на заседании диссертационного Совета Владимирского государственного университета по адресу: 600000, Владимир, ул. Горького, 87, ВлГУ, ФРЭМТ.

С диссертацией можно ознакомиться в научной библиотеке ВлГУ. Автореферат разослан 03 2011г.

Ученый секретарь диссертационного Совета, доктор технических наук, профессор

Самойлов А.Г.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Проблема повышения производительности корпоративных телекоммуникационных сетей (КТКС) в последние годы существенно обострилась как в отечественной науке и промышленности, так и за рубежом. Это обусловлено рядом причин, среди которых выделим две основные:

- постоянно возрастающая структурная сложность и размерность современных КТКС, характеризующихся множественными изменяющимися во времени информационными связями;

- постоянно возрастающие потребности практики в увеличении уровня информационной безопасности (ИБ) КТКС, особенно предназначенных для работ на опасных промышленных объектах.

Анализ современных КТКС показывает, что существенное снижение производительности сети происходит из-за угроз ИБ, реализация которых способна полностью блокировать работу КТКС. Для эффективного проектирования и эксплуатации КТКС, функционирующих в условиях воздействия угроз ИБ, необходимо располагать моделями и алгоритмами, позволяющими оценивать, прогнозировать и обеспечивать требуемый уровень производительности, как одного из основных показателей-индикаторов эффективности КТКС и качества обслуживания абонентов.

Известные сетевые модели с использованием аппарата теории массового обслуживания, предложенные В.М. Вишневским, А.И. Герасимовым, Б.В.Гнеденко, ГТ.П. Бочаровым, Л. Клейнроком не учитывают параметры угроз ИБ и систем защиты (СЗИ). Подходы к обеспечению ИБ в телекоммуникационных сетях, предложенные в трудах российских ученых В.А. Герасименко, С.П. Расторгуева, П.Д. Зегжды, В.И. Завгороднего, A.A. Малюка, A.A. Грушо, В.В.Домарева, зарубежных исследователей Р. Брэтга, К. Касперски, С. Норкагта, В. Столингса, хоть и обеспечивают существенное повышение защищенности КТКС, но не используют в качестве критерия эффективности производительность.

Таким образом, исследования, направленные на разработку моделей повышения производительности КТКС, функционирующей в условиях воздействия угроз ИБ, актуальны и имеют теоретическое и практическое значение при моделировании, проектировании и эффективной эксплуатации телекоммуникационных сетей.

Объект исследования - корпоративная телекоммуникационная сеть.

Цель работы - решение научно-технической задачи разработки новых моделей и процедур управления, направленных на повышение производительности корпоративной телекоммуникационной сети в условиях воздействия угроз информационной безопасности.

Для достижения поставленной цели в работе решены следующие задачи:

1. Выявление угроз ИБ, вызывающих существенное снижение производительности КТКС.

2. Синтез аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ.

3. Разработка алгоритмов достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время.

4. Разработка модели распределенной системы противодействия угрозам информационной безопасности в КТКС.

5. Разработка средств экспериментального исследования характеристик производительности КТКС с учетом воздействия и противодействия угрозам ИБ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КТКС, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории очередей.

Научные результаты, выносимые на защиту:

— аналитические модели оценки производительности КТКС в условиях воздействия угроз информационной безопасности;

— алгоритмы достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время;

— модель распределенной системы противодействия угрозам ИБ.

Научная новизна работы:

1. Разработано семейство аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ, отличающихся тем, что они учитывают параметры угроз ИБ и систем зашиты информации.

2. Предложена методика повышения производительности КТКС в условиях воздействия угроз ИБ, включающая:

— алгоритмы обнаружения угроз ИБ за ограниченное время;

— модель противодействия угрозам ИБ, обеспечивающая максимальную производительность КТКС;

— средства и механизмы, позволяющие автоматизировать процессы определения характеристик производительности КТКС в условиях воздействия угроз ИБ.

Практическая ценность работы заключается в следующем:

1. Разработанные инструментальные средства в среде Adobe Flash CS3 Professional, позволяют: моделировать воздействие угроз ИБ и СЗИ на производительность замкнутой и разомкнутой систем, определять характеристики производительности по аналитическим алгоритмам.

2. Предложенные имитационные модели КТКС в среде GPSS World, позволяют количественно оценить характеристики производительности в условиях воздействия угроз ИБ и снять ограничения, накладываемые аналитическими моделями.

3. Разработанные инструментальные средства подсистемы раннего обнаружения информационных атак, позволяют снижать время обнаруже-

ния минимум на 20% по сравнению со стандартной системой обнаружения вторжений, что при оперативном инициировании средства противодействия угрозам ИБ в наиболее уязвимых узлах КТКС позволяет повысить производительность не менее чем в 2 раза.

Реализация и внедрение результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом: г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»; х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»; № ДУ55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований были внедрены в корпоративной телекоммуникационной сети ОАО «Завод «Электроприбор»» г. Владимир, КТКС ООО «Гранит» г. Владимир, Администрации Владимирской области, а также были использованы при разработке учебных курсов во Владимирском государственном университете.

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Апробация работы. Основные положения диссертационной работы докладывались на: Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005); III Всероссийской научно-технической конференции «Образовательная среда сегодня и завтра» (Москва, 2006); XIX, XX, XXI, XXII, XXIII Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008, Иваново, 2009, Саратов, 2010); XXVI Международной научно-технической конференции «Проблемы эффективности безопасности функционирования сложных технических и информационных систем» (Серпухов, 2007); IV Всероссийской научно-практической конференции «Имитационное моделирование. Теория и практика» (Санкт-Петербург, 2009).

Публикации. Основные положения диссертационной работы отражены в 24 публикациях, включая в рекомендуемых ВАК изданиях.

Структура и объем диссертационной работы. Диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из 170 наименований, приложений и содержит 120 страниц основного текста, иллюстрированного 22 рисунком.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертации. Формируется цель и задачи исследований.

В главе I рассматривается структура КТКС, анализируются показате-

ли производительности, выявляются существенные угрозы ИБ, вызывающие снижение ее производительности, анализируются современные методы и средства обнаружения информационных атак, как реализации угроз ИБ, степень их влияния на производительность КТКС.

Снижение производительности КТКС связано с недостаточной защищенностью по причинам: широкого использования слабозащищенных протоколов HTTP, SNMP, FTP, TCP/IP; участия в процессе обработки информации пользователей различных категорий, их непосредственного и одновременного доступа к системным ресурсам и процессам [1, 11, 12]. Современная СЗИ, включающая системы предотвращения и обнаружения вторжений IPS/IDS не могут гарантировать даже 70% детектирования информационной атаки, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ) в КТКС [5, 10]. Одной из актуальных задач является и, очевидно, будет оставаться перспективной на ближайшее время - задача повышения достоверности обнаружения информационных атак, их идентификация, а также разработка методов и средств снижения их влияния на производительность КТКС.

Постановка задачи [5]. Дано:

1. Множество объектов КТКС 0 = {01,02,...,0NS}. Линии связи надежны, помехоустойчивы и состоят из дуплексного канала; маршрутизаторы сегментов имеют бесконечную память; трафик состоит из пакетов одинакового приоритета и образует пуассоновский поток; длительность обработки пакетов определяется экспоненциальным законом распределения.

2. СЗИ включает модули защиты (МЗ), в состав которых входит средство обнаружения (СО) угроз ИБ из SO = {S0,,S02,...p SOw} и средство противодействия (СП) угроз ИБ из SP = {SP,,sp2.....SPM}.

3. Характеристики СО: p,(t){[-\ n) - вероятность обнаружения угроз ИБ; p,(f) (/ = 1, n) — вероятность возникновения «ложной тревоги»; 1°Б (/' = 1, n) - время обнаружения угроз ИБ, за которое достигается максимальное значение вероятности обнаружения угроз ИБ, т.е. p,ma* = lim p,(t).

4. Характеристики СП: qy(f) (/' = 1, м) - вероятность противодействия угроз ИБ; f"p (/' = 1, м) — время противодействия угрозам ИБ, за которое достигается максимальное значение вероятности противодействия угрозам ИБ, т.е. q™* =Дт q^t).

Требуется обеспечить максимально возможную производительность КТКС при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ:

Ф(П) -> тах;

■ РОБ(0~>тах; РЛ7.(?)->т1п; Опр ~>тах;

Т0Б +ГПР

где Ф(Г7) - производительность КТКС; Р0б({) = РгМ-.РлЛО) ~ вероятность обнаружения угроз ИБ; Рлт(/) -= <р2(р,((\ р2(()...,р„((}) - вероятность возникновения «ложной тревоги»; 0пр(0 = <эз(41(') )■•■■.Чм(0) ~ вероятность противодействия угрозам ИБ; Г05 =<г>4(£,0Б, - время обнаружения угроз ИБ; Тпр = </?5((,ПР, ("р.....<мР) - время противодействия угрозам

ИБ; Тв - допустимые временные затраты на обеспечение защиты (<р^<рг,(ръ,(р,1 — виды соответствующих функциональных зависимостей).

Решение задачи предложено искать в следующем порядке: (1) выявить целевые характеристики производительности КТКС; разработать (2) аналитические модели оценки производительности КТКС в условиях воздействия угроз ИБ; (3) алгоритмы достоверного обнаружения угроз ИБ; (4) модель распределенной системы противодействия угрозам ИБ.

Глава 2 посвящена исследованию и разработке аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ [4-7,14,24].

1. Моделью КТКС является замкнутая сеть из КСМО. Циркулирует фиксированное число пакетов. Сеть массового обслуживания (СеМО) задается стохастической маршрутной матрицей: Р„=|р,||, где Рц— вероят-

к _

ность пересылки пакета из /-го узла в /-й узел, причём ^ р} = 1 V/ = 1, К.

м

Воздействия угроз ИБ, как вредоносный поток (ВП), создаваемый атакующим средством, оценим интенсивностью потока пакетов, поступающих в /-й узел: Л, =е,Л, где е, — передаточные коэффициенты, Л — интегральный сетевой трафик. Описывая Я, пуассоновским процессом с экспоненциальным распределением времени их передачи, учитывая независимость данного потока, положим, что ху = Я° , где А°- интенсивность «полезного» потока, Я?п - интенсивность ВП, получим

Я, = ¿(Л? + =2>;л° +е°пАвп)рг (1)

/=1 м

Я(ап зависит от характеристик угроз ИБ. Для угроз ИБ - «вредоносная программа» (ВПр), введем классификацию: «слабая» ВПр (алгоритм сканирования перебором, опрос путём 1СМР, одномодульная (сканер уязви-мостей, механизм распространения, а также механизм реализации сосредоточены в одном программном модуле)); «сильная» ВПр (усовершенствованные алгоритмы сканирования сетевых адресов, опрос с использованием

полуоткрытого TCP-соединения, многомодульная, использование технологий, затрудняющих ее обнаружение).

Будем считать Авп = £ < 1, где коэффициент £ представляет ВП как часть от полезного. Таким образом,

А, =± (Я? + Af )pf = Л°(1 + £)£ (в; + е,вп )р,. (2)

м У=1

Интенсивность обработки пакетов в f-м узле: ¿i, = 1 / г,, где г, - среднее время обработки пакета в /-м узле, распределённое по экспоненциальному закон;/, г, зависит от длительности непосредственной обработки пакета в узле (т? - расшифровка пакета, формирование запроса к БД и т.п.), от длительности функционирования угроз ИЕ (г,вп - запуск кода ВПр, «пустое» или «разрушающее» использование ресурсов узла и т.п.) и от длительности функционирования МЗ (например, для антивирусных средств г,мз - поиск ВПр, уничтожение, обновление и т.п.)

г,=Ф(т?,тГ,тГ). (3)

Экспериментальные исследования [18, 19, 20-22] показали, что г, пропорциональна г° и имеет тенденцию к увеличению при возрастании г?п. К увеличению длительности обработки в узле ведет и величина т"3, которая зависит от Л?п и от характеристик СЗИ, определяемых отсутствием и/или неправильным функционированием межсетевых экранов и IPS/IDS, отсутствием средств реструктуризации топологии КТКС, отсутствием или недостаточной оперативностью обеспечения МЗ обновлениями («слабая» СЗИ), или наличием комплексной СЗИ, включающей механизмы управления безопасностью («сильная» СЗИ).

Расчет характеристик производительности КТКС, как замкнутой сети, предлагается выполнять в соответствии с известными методиками.

2. Моделью КТКС является разомкнутая СеМО. состоящая из источника пакетов (узел 0) и К СМО. СеМО задается матрицей: Р„ = |p9f, где

к

pf- вероятность пересылки пакета из í-го узла в j-й узел, причём =1

hо

V/ = 0, К. Интенсивность потока пакетов, поступающих в /-й узел: А, = е,/^, где Aj, — интенсивность входящего в сеть потока пакетов. Учет влияния угроз ИБ и СЗИ, ведется в соответствии с (1) - (3).

Алгоритм расчета средней задержки пакетов в разомкнутой КТКС Шаг 1. Задать начальные условия: К, Л^, Рр, m¡, t¡ (v/ = 1, К). Шаг 2. Получить систему уравнений

-(е0с +0 + РЖ+0 + -- + Р.Ж +0 = 0 ,ft1(«: + 0 + tor№,'+0+...+p„(e; + fl = ii .

Pw(e0° + е0оп)+ Р,Ж +0fn) + - + (P„ -1)(eJ + O = 0 Найти передаточные коэффициентые0,е1,ез,...,е)<. Шаг 3. Найти интенсивности потока пакетов: Л, - е,Д0 V/ = 1,' К.

Шаг 4. Найти загруженность узлов сети: ^ = V/ = 1, К.

та

_

Шаг 5. Рассчитать вероятности состояний: Р,(п) =-—f>(0) V/ = 1, К,

Л Д(п)

где Я(0)= —Ö- , л=— и Д(пН , Ш-число

каналов в /-м узле, л - число пакетов /'-м узле.

Шаг 6. Найти: загруженность узла/, = —'—; среднюю длину очереди в

Wfl,

m+1

узле г, =Р,(0)-Щ-г,-; ki = />,; среднее число пакетов в узле Ц -к, +г,;

среднее время пребывания пакета в узле: Tt = ЦI л, V/ = VR.

к к

Шаг 7. Рассчитать среднюю задержку пакетов в сети: Т =

/=1 /и

Конец алгоритма.

Для проверки адекватности моделей были проведены расчеты характеристик производительности КТКС в среде Adobe Flash CS3 Professional, а также выполнено их имитационное моделирование [23]. Кроме того, фиксировались данные исследуемых характеристик на экспериментальной установке (рис. 3). В ходе исследований сопоставлялись предсказанные и экспериментальные данные (табл.1).

Таблица 1 - Относительная погрешность предсказания средней __задержки пакетов в КТКС

Метод Аналитический метод Имитационный метод

«Слабая» «Сильная» «Слабая» «Сильная»

Угроза ИБ СЗИ СЗИ СЗИ СЗИ

«Слабая» ВПр 2,33% 1,28% 2,79% 4,80%

«Сильная» ВПр 2,80% 0,84% 7,33% 6,20%

Экспериментальные данные в целом подтвердили адекватность моделей. Наибольшие расхождения (до 7,33% для имитационных и до 2,80% для аналитических моделей) наблюдаются при высокой интенсивности ВП («сильной» ВПр) и недостаточной («слабой») СЗИ, что можно объяснить тем, что в моделях практически невозможно учесть ограничения, обусловленные задержками сканирующих подключений в ОС, ограничения на ко-

личество полуоткрытых исходящих соединений, интервал времени, в течение которого подключение находится в режиме ожидания, ограничение на общее число одновременно открытых подключений.

Глава 3 посвящена разработке моделей повышения производительности КТКС в условиях воздействия угроз ИБ. На рис. 1 представлена структурная модель обнаружения и противодействия угрозам ИБ [3]. Уровень обнаружения - совокупность СО. На выходе СО формируется сигнал Х,(0 (( = Л/), принимающий либо 1 (угроза ИБ обнаружена), либо 0 (угроза ИБ не обнаружена). характеризуется плотностями распределения веро-

ятностей его появления - ГДХДО) (угроза ИБ есть) и /„(Х,(0) (угрозы ИБ нет):

лри */0 = 0* при Х,(0 = о"

Уровень противодействия - совокупность СП, каждое из которых может быть инициировано при обнаружении угрозы ИБ. Решающий модуль реализует следующий алгоритм: на основании показаний СП (X,(?), принимается решение о наличии или отсутствии угроз

(1, если угроза ИБ обнаружена [0 в противном случаи

ляющее воздействие (у,, у2.....ум), иначе конец алгоритма.

На рис. 2 представлена модель организации защитных механизмов в КТКС [2, 13]. Вершины графа - объекты и модули защиты. Дуги (связи) графа - возможные пути распространения угроз ИБ в КТКС.

П Информационная •Н у атака

ИБ: 1-

. Если 2 = 1, то вырабатывается управ-

Уровень обнаружен н я

ПзоГ] г

ЭОг

в

эо»

х,(1) хзд ...

Решающий модуль *

у, 1 у2 ум

£Р>

ЭР,

БРч

Уроаснь противодействии

Ж

Противодействие

КТКС

р4)

Рисунок 1 - Структурная модель обнаружения и противодействия угрозам ИБ

Кольцо защиты (КЗ) - совокупность МЗ, количество и состав, которых

Рисунок 2 - Модель организации защитных механизмов в КТКС

зависит от характеристик объекта защиты. Для каждого КЗ выбирается алгоритм обнаружения угроз ИБ. Сигналы ог КЗ обрабатываются общим РМ.

В процессе формирования кольца должны выполняться следующие условия: (1) возможность совместной работы объединяемых СО; (2) обеспечение оптимального времени работы КЗ по обнаружению и противодействию угрозам ИБ; (3) обеспечение заданной вероятности обнаружения угроз ИБ; (4) снижение средней частоты «ложных тревог» [8, 15].

Алгоритм обнаружения угроз ИБ основанный на понятии критической области угроз:

Шаг 1. Снятие показаний, генерируемых СО х = (У,((} Х-((}...,ХЫ(1)).

Шаг 2. Если х ев' (3' - критической области угроз (КОУ)), то принимается решение о наличии угрозы ИБ. При этом время обнаружения Т0Б зависит только от характеристик выбранных СО. Конец алгоритма.

Формирование КОУ Г2. 91 - й*. Необходимые вероятностные характеристики для формирования КОУ могут быть представлены разработчиками СО или получены экспериментально. Пусть имеется случайная величина (СВ) Х0, которая принимает значение 1, если угроза ИБ есть и 0 в противном случае. Экспериментатор, проводя моделирование, изменяет значение Х0. СО вырабатывают сигнал X, (/' = 1, Л/) о наличие угроз ИБ. Предметом исследования является распределение многомерной СВ (Х0, X,.....Х„). Введем следующие обозначения: х0 - показатель, принимающий значения 0 или 1 (реализация Х0); х = (х„ х2.....- система показателей, где X, (/' = 1, Л/) так же принимает одно из двух значений; Э -множество всех наборов х, состоящее из К =2Ы элементов; Э" — КОУ

(э'с в) Функция р(х0, х,.....хы), где р - относительные частоты кода,

позволяет определить КОУ. Выборочный закон распределения Х0: значению Х0=0 соответствует вероятность с/а, значению Х0 = 1 - вероятность р0, где р0 = У>(1;х); Я0 = 1-Ро.

Пусть гипотеза Н0 - угрозы ИБ нет (хо=0), Н, - альтернативная (Х„=1). Тогда если хе5', то гипотеза Н0 отвергается. Ошибка I рода

1-1 1 а =— ]Гр(0;х). Ошибка II рода /? = 1—-£р(1;х). Величина аца - вероятно яеБ* Ро *еБ"

ность «ложной тревоги», [)ра - вероятность «необнаруженной угрозы».

Задача построения КОУ состоит в том, чтобы при фиксированном уровне

значимости а за счет выбора Э' минимизировать р.

Алгоритм построения КОУ по экспериментальным данным {161

Шаг 1. Пронумеровать элементы множества Б так, чтобы величины р(1;у. )/р(0;ха) не возрастали, где а = 1, К.

Шаг 2. Построить последовательность расширяющихся подмножеств Б] сБ: -0, Б," = {х,}, Бг = {х,,х2) и т.д. Если найдутся наборы элементов х с частотой р(0;х) = 0, то такие наборы х включаются в

Шаг 3. Рассчитать последовательности: 0 = а0 <а, <... < ак. =1,

Д, ¿А >...>РК. =0, где К'<К, -аг. =-1 0;х), р, = 1-1

Чо кг-, Ро

Шаг 4. Вычислить суммы: «„+/?„, а, + /?, и т.д. Определить номер а, которому соответствует наименьшее из полученных значений. Подмножество 5; будет являться КОУ. Конец алгоритма.

Алгоритм инициирования уровня противодействия |"3]

Шаг 1. Для каждого варианта инициирования уровня противодействия вычисляется вероятность 0ПР(0 и производительность КТКС - Ф(П).

Шаг 2. Выбирается вариант инициирования СП, которому соответствует максимально возможная вероятность ОПР(() при Ф(/7)-»тах. Конец алгоритма.

Выбор варианта инициирования уровня противодействия в КТКС — разомкнутой СеМО. Определим, для конкретности, К -ый узел, как защищаемый ресурс СеМО. В каждом /-м узле (/' = 1, К-1) может быть инициировано СП, способное с вероятностью и, противодействовать угрозам ИБ. Под противодействием будем понимать выброс вредоносного пакета в (К+1)-ый узел, который имеет связь только с узлами, в которых инициируются СП. В системе всего 2'*"'1 -1 варианта инициирования СП, его но-

мер численно равен двоичному числу

{1, если СП инициируется в ¡-ом узле 0 в противном случаи Алгоритм вычисления вероятности

V - х2 —

где

х, =

{¡ = \К-1).

противодействия угрозам ИБ

Шаг 1. Построить матрицу Q из матрицы PR(t): f 0

Рю

Ро1 Ри

Р02 Pl2

Рок PlK

Шаг 2. Если в системе нет СП, то перейти на шаг 3. В противном случае по номеру j ввести в Q противодействие угрозам ИБ: { 0 р01 ... рок 0 s!

Pio Pii

(i-U/l-P/o (1-"/)Р/.

.........0......... .........0..........

о 0

Pw 0 'Ь-и,):рк u,

...........1.........0

0 1

Шаг 3. Задать вектор распределения вероятностей на нулевом шаге:

е = (1, О, 0.....0).

Шаг 4. Найти распределение вероятностей состояний на п-ом шаге: q(n)--e■Qr'. Будем считать процесс распространения угроз ИБ завершенным на шаге л, если р,(п) = р2(п) = ... = рк^(п)~ 0. Вероятности поражения ресурса Рк(п), противодействия <ЭПР(0 = рк^(п). Конец алгоритма.

Глава 4 посвящена экспериментальному исследованию характеристик производительности КТКС, характеризующейся передачей больших объемов трафика и в условиях воздействия угроз ИБ [1]. Схема экспериментальной установки (аналог фрагмента СПД Администрации Владимирской области) представлена на рис. 3. Приведены результаты 4 экспериментов.

Первый эксперимент проведен для получения динамической характеристики вероятности выявления угроз ИБ средствами обнаружения при различной степени нагрузки на сеть [17, 22]. Результаты эксперимента представлены на рис. 4, где СН - средняя, НН - низкая, ВН - высокая нагрузка на сеть. Характеристики СО сильно зависят от загруженности сети. Время достоверного обнаружения («вероятность обнаружения» / «вероятность «ложной тревоги»» > 9) изменялось от 12 с (СН) до 25 с (ВН).

Второй эксперимент предназначен для сравнения вероятностных и

временных характеристик работы кольца защиты, работающего по различным схемам обработки сигналов сенсоров IDS. Анализ результатов исследования показывает выигрыш алгоритма КОУ при различной загруженности сети. Значения относительного уменьшения времени обнаружения ВТ алгоритмом КОУ по отношению к другим алгоритмам обнаружения, рассчитанные по формуле (f05°y -t™*)lta6H при робн =0,75, сведены в таблицу на рис. 5.

Третий эксперимент позволил оценить производительность сети при разной нагрузке в наличии/отсутствии СЗИ. При включении СЗИ производительность сети падает. На снижение производительности влияет величина входящего трафика, так и параметры СЗИ.

Схема

Нагрузк Низкая

Средняя

Высокая

я

(S

007

0,06

0,05

0,14

0,09

0,07

я ■■j

0J7~

0,14

0,17

0,31

0,24

0,21

0,36

0,29

0,23

Рисунок 4 — Относительное снижение времени обнаружения вредоносного тра-

Рисунок 5 - Относительное уменьшение времени обнаружения ВТ в КТКС

0,35

|0,20 |0,15 jj 0,10

К

В четвертом эксперименте проведена оптимизация СЗИ в экспериментальной сети (рис. 3). График изменения производительности в условиях воздействия ВТ и динамического построения адаптивной СЗИ представлен на рис. 6. Вредоносный трафик в систему стал поступать с 10 с. Производительность сети с этого момента стала подать.

В условиях отсутствия СЗИ (1) производительность упала в « 6 раз за 40 с. В условиях типовой СЗИ (2) производительность по сравнению с исходным вариантом уменьшилась в в 3 раза, что может обеспечить нормальное функционирование КТКС. Наилучший вариант, приводящий к снижению производительности всего лишь в 2 раза (3 — оптимальная СЗИ), обеспечивается следующими механизмами: за счет использования алгоритма КОУ снижается время обнаружения ВТ (на 20-25%), с помощью алгоритма расстановки СЗИ в узлах сети в

1 3 5 7 9 11 16 20 22 29 44 4S 48 50 52 54 58 5В 60 Врс»га t(c)

Рисунок 6 — Изменение производительности в экспериментальной сети

максимальный режим включается лишь часть СП узлов (3 из 5).

В заключении перечисляются основные выводы и результаты диссертационной работы:

1. Анализ работ в области исследования КТКС и опыт практических работ позволяют констатировать резкое снижение производительности в условиях воздействия угроз ИБ (до 80%). Современные СЗИ решают данную проблему за счет частичного блокирования вредоносного потока, но обеспечение высокой вероятности обнаружения и задержки, связанные с противодействием ведут к значительному расходованию ресурсов КТКС, что в конечном итоге сопровождается дополнительным снижением системной производительности.

2. Показано, что задача повышения производительности КТКС в условиях воздействия угроз ИБ может быть формализована как задача построения системы защиты, которая смогла бы обеспечить максимально возможный уровень производительности КТКС при достоверном обнаружении и максимально эффективном противодействии угроз ИБ. Для решения поставленной задачи разработаны: аналитические модели оценки производительности КТКС в условиях воздействия угроз ИБ; модели и алгоритмы его достоверного обнаружения за ограниченное время; модель распределенной системы защиты.

3. Предложено семейство аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ, отличающихся тем, что они учитывают интенсивность вредоносного потока, длительность функционирования угроз ИБ и средств противодействия. Экспериментально показана их эффективность.

4. Синтезирован алгоритм достоверного обнаружения угроз ИБ за ограниченное время, основанный на понятии «критическая область угроз». Экспериментальные исследования подтвердили уменьшение времени обнаружения на 20-25% по сравнению с традиционными логическими алгоритмами («вероятность обнаружения»/«вероятность «ложной тревоги» >9).

5. Выработаны научно-технические предложения по реализации модели распределенной системы противодействия угроз ИБ, позволяющие обеспечивать максимально возможный уровень производительности КТКС при эффективном противодействии угроз ИБ (вероятность противодействия, как показатель защищенности, не хуже 0,85).

6. Примеры эффективного апробирования механизмов и средств повышения производительности КТКС в условиях воздействия угроз ИБ дают основание констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и инструментальных средств. Раннее обнаружение угроз ИБ позволяло оперативно инициировать средства противодействия угроз ИБ в наиболее уязвимых узлах КТКС. В результате производительность КТКС в условиях

воздействия угроз ИБ удалось повысить не менее чем в 2 раза.

Основные публикации по теме диссертации Статьи в изданиях, рекомендуемых ВАК

1. Груздева, JIM. Экспериментальное исследование производительности корпоративной телекоммуникационной сети [Текст] / Л.М. Груздева, Ю.М. Монахов, М.Ю. Монахов // Проектирование и технология электронных средств. - 2009. - №4. - С. 21-24 (соискатель - 50%).

2. Монахов, М.Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП [Текст] / М.Ю. Монахов, Л.М. Груздева // Автоматизация в промышленности. - 2008. - №3. - С. 12-14 (соискатель -75%).

3. Груздева, Л.М. Алгоритм оптимизации функционирования распределенной системы защиты [Текст] / Л.М. Груздева, М.Ю. Монахов // Системный анализ. Теория и практика. - 2008. - №2. - С. 80-82 (соискатель-75%).

Учебные пособия с грифом УМО

4. Монахов, Ю.М. Вредоносные программы в компьютерных сетях: учеб. пособие / Ю.М.Монахов, Л.М.Груздева, М.Ю.Монахов; Владим. гос.ун-т. - Владимир: Изд-во Владим. гос. ун-та, 2010. - 72 с. - ISBN 9785-9984-0087-2 (соискатель - 40%).

5. Груздева, Л.М. Оценка сетевых характеристики компьютерных сетей в условиях информационного вредоносного воздействия: учеб. пособие / Л.М.Груздева, Ю.М.Монахов, М.Ю.Монахов; Владим. гос.ун-т. -Владимир: Изд-во Владим. гос. ун-та, 2010. - 71 с. - ISBN 978-5-99840089-6 (соискатель - 40%).

Учебные пособия

6. Устинов, В.Н. Теория вероятностей и моделирование вероятностных процессов в информационной безопасности: учеб. пособие / В.Н.Устинов, Л.М.Груздева и др.; Владим. гос.ун-т. - Владимир: Изд-во Владим. гос. ун-та, 2005. - 92 с. - ISBN 5-89368-623-3 (соискатель - 40%).

7. Груздева, Л.М. Модели объектов информатизации: учебное пособие / Л.М. Груздева, В.Н.Устинов; Владим. гос. ун-т. — Владимир: Изд-во Владим. гос. ун-та, 2008. - 76 с. - ISBN 978-5-89368-884-9 (соискатель -40%).

Статьи

8. Груздева, Л.М. Типовые алгоритмы работы комплекса средств обнаружения угроз информационной безопасности [Текст] / Л.М. Груздева, М.Ю. Монахов // Комплексная защита объектов информатизации. Материалы научно-технического семинара. ВлГУ. — 2005. — С. 58-60 (соискатель — 50%).

9. Груздева, Л.М. Пример формирования критической области в задачи достоверного обнаружения угроз информационной безопасности

[Текст] / JI.M. Груздева, А.Ю. Казарин // Комплексная защита объектов информатизации. Материалы научно-технического семинара. ВлГУ. — 2005. - С. 91-92 (соискатель - 75%).

10. Груздева, JI.M. К вопросу оценки эффективности систем информационной защиты предприятия [Текст] / JI.M. Груздева // Системы и методы обработки и анализа информации: сборник научных статей. - М.: Горячая линия — Телеком. - 2005. — С. 285-293.

11. Груздева, JI.M. Проблема защиты информации в АСУП [Текст] / JI.M. Груздева // Краеведение и регионоведение: межвузовский сборник научных трудов. Выпуск 2 - ВЗФИ. - 2006. - С. 142-143.

12. Груздева, JI.M. Подход к обеспечению надежности работы АСУП [Текст] / JI.M. Груздева, М.Ю. Звягин, А.Ю. Казарин, М.Ю. Монахов // Краеведение и регионоведение: Межвузовский сборник научных трудов. Выпуск 2 - ВЗФИ. - 2006. - С. 144-148 (соискатель - 25%).

13. Груздева, JI.M. Модель распределенной антивирусной защиты информационной системы предприятия [Текст] / Л.М. Груздева // Современные проблемы экономики и новые технологии исследований: межвуз. сб. науч. трудов. ВЗФИ. - 2006. - С. 157-158.

14. Груздева, Л.М. Определение среднего времени распространения угроз в распределенной информационно-вычислительной системе АСУП [Текст] / Л.М. Груздева, М.Ю. Монахов // Информационно-телекоммуникационные технологии и электроника. Труды Владимирского государственного университета. Выпуск 1. - Владимир: ВлГУ. - 2006. - С. 77-81 (соискатель - 75%).

Опубликованные доклады и тезисы

15. Груздева, Л.М.Алгоритмы обнаружения угрозы информационной безопасности [Текст] / Л.М. Груздева, М.Ю. Звягин, А.Ю. Казарин, М.Ю. Монахов // Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования: материалы Международной научно-технической конференции. - Вологда: ВоГТУ. - 2005. С. 153-156 (соискатель - 25%).

16. Груздева, Л.М. О задаче построения критической области угроз информационной безопасности [Текст] / Л.М. Груздева, М.Ю. Звягин, М.Ю. Монахов // Математические методы в технике и технологиях. Сборник трудов XIX Международной научной конференции. - ВГТА г.Воронеж. - 2006. - С.194-196 (соискатель - 30%).

17. Груздева, Л.М. Экспериментальное исследование антивирусных программ в распределенных информационных системах [Текст] / Л.М. Груздева // Образовательная среда сегодня и завтра: Материалы III Всероссийской научно-технической конференции. - М.: Рособразование. - 2006. — С. 168-169.

18. Груздева, Л.М. Решение жестких задач динамики распростране-

ния вредоносных программ / Л.М. Груздева // Математические методы в технике и технологиях - ММТТ-20. [Текст]: сб. трудов XX междунар. науч. конф. Т. 6. - Ярославль: Изд-во Ярое. гос. техн. ун-та. - 2007. - С. 63-65.

19. Груздева, Л.М. Об одной математической модели динамики распространения вредоносных программ / Л.М.Груздева, Ю.М.Монахов // Математические методы в технике и технологиях — ММТТ-20. [Текст]: сб. трудов XX междунар. науч. конф. Т. 6. — Ярославль: Изд-во Ярое. гос. техн. ун-та. - 2007. - С. 65-66 (соискатель - 75%).

20. Груздева, Л.М. Анализ вероятностных характеристик распространения вируса в компьютерной системе [Текст] / Л.М. Груздева, М.Ю. Монахов // Проблемы эффективности безопасности функционирования сложных технических и информационных систем. Сборник №2. Труды XXVI Международной научно-технической конференции. - Серпухов, Серпуховской ВИ РВ. - 2007. - С. 44-47 (соискатель - 75%).

21. Груздева, Л.М. Исследование ЗШ-модели динамики распространения вредоносных программ / Л.М. Груздева // Математические методы в технике и технологиях - ММТТ-21. [Текст]: сб. трудов XXI междунар. науч. конф. Т. 5. - Саратов: Сарат. гос. техн. ун-т. - 2008. - С. 242-244.

22. Груздева, Л.М. Исследование влияния вредоносных и антивирусных программ на характеристики открытой компьютерной сети / Л.М. Груздева // Математические методы в технике и технологиях - ММТТ-22. [Текст]: сб. трудов XXII междунар. науч. конф. - Иваново: издательство ИГХТУ. - 2009. - С. 208-210.

23. Груздева, Л.М. Имитационное моделирование корпоративной сети в условиях вредоносного информационного воздействия [Текст] / Л.М. Груздева // Имитационное моделирование. Теория и практика / Сборник докладов четвертой всероссийской научно-практической конференции. Т. 2. - Санкт-Петербург. - 2009. - С. 60-64.

24. Груздева, Л.М. Модель оценки трудоемкости обнаружения вредоносных программ в компьютерных системах / Л.М. Груздева // Математические методы в технике и технологиях — ММ П -23. [Текст]: сб. трудов XXIII междунар. науч. конф. Т. 9. - Саратов: Сарат. гос. техн.ун-т . - 2010. -С. 160-162.

Подписано в печать 16.03.11. Формат 60x84/16. Усл. печ. л. 1,16. Тираж 100.

Заказ 62-¿0//.* Издательство Владимирского государственного университета 600000, Владимир, ул. Горького, 87

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

Глава 1. ПРОБЛЕМА ПРОИЗВОДИТЕЛЬНОСТИ КТКС. АНАЛИЗ

ОБЪЕКТА ИССЛЕДОВАНИЯ.

1.1. Общая структура КТКС.

1.2. Показатели производительности КТКС.

1.3. Причины снижения производительности КТКС.

1.4. Уточнение задачи исследования.

Выводы к главе

Глава 2. РАЗРАБОТКА И ИССЛЕДОВАНИЕ АНАЛИТИЧЕСКИХ

МОДЕЛЕЙ ОЦЕНКИ ПРОИЗВОДИТЕЛЬНОСТИ КТКС.

2.1. Замкнутая модель КТКС.

2.2. Разомкнутая модель КТКС.

2.3. Экспериментальное исследование моделей оценки производительности КТКС.

Выводы к главе 2.

Глава 3. РАЗРАБОТКА И ИССЛЕДОВАНИЕ МОДЕЛЕЙ ПОВЫШЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ КТКС.

3.1. Структурная модель системы защиты информации КТКС.

3.2. Модели организации защитных механизмов в КТКС.

3.3. Модель распределенной системы противодействия угрозам ИБ 83 Выводы к главе

Глава 4. ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ ПРОИЗВОДИТЕЛЬНОСТИ КТКС.

4.1. Разработка экспериментальной установки КТКС.

4.2. Результаты и анализ экспериментальных исследований.

Выводы к главе 4.

Проблема повышения производительности корпоративных телекоммуникационных сетей (КТКС) в последние годы существенно обострилась как в отечественной науке и промышленности, так и за рубежом. Это обусловлено рядом причин, среди которых выделим две основные: постоянно возрастающая структурная сложность и размерность современных КТКС, характеризующихся множественными изменяющимися во времени информационными связями; постоянно возрастающие потребности практики в увеличении уровня информационной безопасности (ИБ) КТКС, особенно предназначенных для работ на опасных промышленных объектах.

Анализ современных КТКС показывает, что существенное снижение производительности сети происходит из-за угроз ИБ, реализация которых способна полностью блокировать работу КТКС. Для эффективного проектирования и эксплуатации КТКС, функционирующих в условиях воздействия угроз ИБ, необходимо располагать моделями и алгоритмами, позволяющими оценивать, прогнозировать и обеспечивать требуемый уровень производительности, как одного из основных показателей-индикаторов эффективности КТКС и качества обслуживания абонентов.

Известные сетевые модели с использованием аппарата теории массового обслуживания, предложенные В.М. Вишневским, А.И. Герасимовым, Б.В. Гнеденко, П.П. Бочаровым, JI. Клейнроком не учитывают параметры угроз ИБ и систем защиты. Подходы к обеспечению информационной безопасности в телекоммуникационных сетях, предложенные в трудах российских ученых В.А. Герасименко, С.П. Расторгуева, П.Д. Зегжды, В.И. Завго-роднего, A.A. Малюка, A.A. Грушо, В.В.Домарева, зарубежных исследователей Р. Брэтта, К. Касперски, С. Норкатта, В. Столингса, хоть и обеспечивают существенное повышение защищенности КТКС, но не используют в качестве критерия эффективности производительность.

Таким образом, исследования, направленные на разработку моделей повышения производительности КТКС, функционирующей в условиях воздействия угроз ИБ, актуальны и имеют теоретическое и практическое значение при моделировании, проектировании и эффективной эксплуатации телекоммуникационных сетей.

Объект исследования - корпоративная телекоммуникационная сеть.

Цель работы - решение научно-технической задачи разработки новых моделей и процедур управления, направленных на повышение производительности корпоративной телекоммуникационной сети в условиях воздействия угроз информационной безопасности.

Для достижения поставленной цели в работе решены задачи:

1. Выявление угроз ИБ, вызывающих существенное снижение производительности КТКС.

2. Синтез аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ.

3. Разработка алгоритмов достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время.

4. Разработка модели распределенной системы противодействия угрозам информационной безопасности в КТКС.

5. Разработка средств экспериментального исследования характеристик производительности КТКС с учетом воздействия и противодействия угрозам ИБ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КТКС, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории систем массового обслуживания.

Научные результаты, выносимые на защиту:

- аналитические модели оценки производительности КТКС в условиях воздействия угроз информационной безопасности; алгоритмы достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время; модель распределенной системы противодействия угрозам ИБ.

Научная новизна работы: 1. Разработано семейство аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ, отличающихся тем, что они учитывают параметры угроз ИБ и систем защиты информации.

2. Предложена методика повышения производительности КТКС в условиях воздействия угроз ИБ, включающая: алгоритмы обнаружения угроз ИБ за ограниченное время; модель противодействия угрозам ИБ, обеспечивающая максимальную производительность КТКС; средства и механизмы, позволяющие автоматизировать процессы определения характеристик производительности КТКС в условиях воздействия угроз ИБ.

Практическая ценность работы заключается в следующем:

1. Разработанные инструментальные средства в среде Adobe Flash CS3 Professional, позволяют: моделировать воздействие угроз ИБ и СЗИ на производительность замкнутой и разомкнутой систем, определять характеристики производительности по аналитическим алгоритмам; моделировать воздействие угроз ИБ при построении системы защиты.

2. Предложенные имитационные модели КТКС в среде GPSS World, позволяют количественно оценить характеристики производительности в условиях воздействие угроз ИБ и снять ограничения, накладываемые аналитическими моделями.

3. Разработанные инструментальные средства подсистемы раннего обнаружения информационных атак, позволяют снижать время обнаружения минимум на 20% по сравнению со стандартной системой обнаружения вторжений, что при оперативном инициировании средства противодействия угрозам ИБ в наиболее уязвимых узлах КТКС позволяет повысить производительность не менее чем в 2 раза.

Реализация и внедрение результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом: г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»; х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»; № ДУ55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований были внедрены в корпоративной телекоммуникационной сети ОАО «Завод «Электроприбор»» г. Владимир, КТКС ООО «Гранит» г. Владимир, Администрации Владимирской области, а также были использованы при разработке учебных курсов во Владимирском государственном университете.

Апробация работы. Основные положения диссертационной работы докладывались на:

- Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005);

- III Всероссийской научно-технической конференции «Образовательная среда сегодня и завтра» (Москва, 2006);

- XIX, XX, XXI, XXII, XXIII Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008, Иваново, 2009, Саратов, 2010);

- XXVI Международной научно-технической конференции «Проблемы эффективности безопасности функционирования сложных технических и информационных систем» (Серпухов, 2007);

- IV Всероссийской научно-практической конференции «Имитационное моделирование. Теория и практика» (Санкт-Петербург, 2009).

Публикации. Основные положения диссертационной работы отражены в 24 публикациях, включая в рекомендуемых ВАК изданиях.

Структура диссертационной работы:

В главе 1 рассматривается структура КТКС, анализируются показатели производительности, выявляются существенные угрозы ИБ, вызывающие снижение ее производительности, анализируются современные методы и средства обнаружения информационных атак, как реализации угроз ИБ, степень их влияния на производительность КТКС. Уточняется задача исследования.

В главе 2 предложены аналитические модели оценки производительности КТКС в условиях воздействия угроз ИБ. Приведены алгоритмы расчета характеристик производительности. Представлены результаты экспериментального и модельного исследования влияния воздействия угроз ИБ и СЗИ на характеристики производительности КТКС.

В главе 3 разрабатывается модель повышения производительности КТКС в условиях воздействия угроз ИБ, предлагается комплекс алгоритмов достоверного обнаружения угроз ИБ за ограниченное время, анализируются возможности оперативного построения адекватных защитных механизмов.

В главе 4 анализируется экспериментальные исследования характеристик производительности КТКС, характеризующейся передачей больших объемов трафика и в условиях воздействий угроз ИБ (информационных атак). Рассматриваются примеры эффективного апробирования механизмов и средств повышения производительности КТКС в условиях воздействия угроз ИБ, дающие возможность констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и программных средств.

В заключении приводятся основные результаты диссертационной работы.

В приложении приведены акты внедрения разработок автора.

Основные выводы и результаты диссертационной работы:

1. Анализ работ в области исследования КТКС и опыт практических работ позволяют констатировать резкое снижение производительности в условиях воздействия угроз ИБ (до 80%). Современные системы защиты в известной степени решают данную проблему за счет частичного блокирования вредоносного потока, но обеспечение высокой вероятности обнаружения и задержки, связанные с противодействием ведут к значительному расходованию ресурсов КТКС, что в конечном итоге сопровождается дополнительным снижением системной производительности.

2. Показано, что задача повышения производительности КТКС в условиях воздействия угроз ИБ может быть формализована как задача построения системы защиты, которая смогла бы обеспечить максимально возможный уровень производительности КТКС при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ. Для решения поставленной задачи разработаны: аналитические модели оценки производительности КТКС в условиях воздействия угроз ИБ; модели и алгоритмы его достоверного обнаружения за ограниченное время; модель распределенной системы защиты.

3. Предложено семейство аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ, отличающихся тем, что они учитывают интенсивность вредоносного потока, длительность функционирования угроз ИБ и средств противодействия. Экспериментально показана их эффективность.

4. Синтезирован алгоритм достоверного обнаружения угроз ИБ за ограниченное время, основанный на понятии «критическая область угроз». Экспериментальные исследования подтвердили уменьшение времени обнаружения на 20-25% по сравнению с традициониыми логическими алгоритмами («вероятность обнаружения»/«вероятность «ложной тревоги» >9).

5. Выработаны научно-технические предложения по реализации модели распределенной системы противодействия угрозам ИБ, позволяющие обеспечивать максимально возможный уровень производительности КТКС при эффективном противодействии угрозам ИБ (вероятность противодействия, как показатель защищенности, не хуже 0,85).

6. Примеры эффективного апробирования механизмов и средств повышения производительности КТКС в условиях воздействия угроз ИБ дают основание констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и инструментальных средств. Раннее обнаружение угроз ИБ позволяло оперативно инициировать средства противодействия угрозам ИБ в наиболее уязвимых узлах КТКС. В результате производительность КТКС в условиях воздействия угроз ИБ удалось повысить не менее чем в 2 раза.

ЗАКЛЮЧЕНИЕ

1. Абросимов Л.И. Основные положения теории производительности вычислительных сетей Текст. /Л.И. Абросимов // Вестник МЭИ: Издательство МЭИ.-2001.- №4.- С. 70-75.

2. Авен, О. И. Оценка качества и оптимизация вычислительных систем / О. И. Авен О. И., Н. Н. Турин, Я. А. Коган. М.: Наука, Главная редакция физико-математической литературы, 1982. - 321с.

3. Алешин, Л.И. Защита информации и информационная безопасность / Л.И. Алешин. -М.: МГУК, 1999. 176 с.

4. Артемов, Д.В. Влияние компьютерных вторжений на функционирование вычислительных сетей / Д.В. Артемов. М: Приор, 2001. - 123 с.

5. Башарин, В. Г. Анализ очередей в вычислительных сетях / В. Г. Баша-рин. М.: Наука, 1989. - 334 с.

6. Башарин, Г. П. Модели информационно вычислительных систем: Сборник научных трудов / Г. П. Башарин. - М.: Наука, 1994. - 78 с.

7. Безруков, H.H. Компьютерная вирусология / H.H. Безруков. Киев: Укр. сов. энцик., 1991.-416 с.

8. Бертсекас, Д. Сети передачи данных: Пер. с англ. / Д. Бертсекас, Р. Гал-лагер. М.: Мир, 1989. - 544 с.

9. Биячуев, Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого / Т.А. Биячуев. СПб.: СПбГУ ИТМО, 2004. - 161 с.

10. Боев, В.Д. Моделирование систем. Инструментальные средства GPSS World / В.Д. Боев. СПб.: БХВ-Петербург, 2004. - 368 с. - ISBN 594157-515-7.

11. Боккер, П. Передача данных (Техника связи в системах телеобработки данных). Пер. с нем. / П. Боккер. — М.; Радио и связь, 1981. Т. 1, 2. 154 с.

12. Боровков, A.A. Вероятностные процессы в теории массового обслуживания / A.A. Боровков. М.: Наука, 1972. - 367 с.

13. Бражник, А.Н. Имитационное моделирование: возможности GPSS World / А.Н. Бражник. СПб.: Реноме, 2006. - 439 с. - ISBN 598947-036-3.

14. Бройдо, В. JT. Вычислительные системы, сети и телекоммуникации / В. Л. Бройдо. Питер, 2006. - 704 с. - ISBN 5-318-00530-6.

15. Брэгг, Р., Родс-Оусли М., Страссберг К. Безопасность сетей. Полное руководство / Р. Брэгг, М. Родс-Оусли, К. Страссберг. М.: Эком, 2006. - 912 с. - ISBN 5-7163- 0132-0.

16. Будко, П. А. Управление в сетях связи. Математические модели и методы оптимизации: монография / П. А. Будко, В. В. Федоренко. М.: Изд. физико-математической литературы, 2003. - 228 с.

17. Бусленко, Н.П. Моделирование сложных систем / Н.П. Бусленко. -М.: Наука, 1978.-399 с.

18. Вентцель, А.Д. Курс теории случайных процессов / А.Д. Вент-цель. М.: Наука, 1972. - 320 с.

19. Вентцель, Е.С. Теория случайных процессов и ее инженерные приложения: Учебное пособие для вузов, Изд. 4-е, стереотип. 3-е изд. пе-рераб. и доп. / Е.С. Вентцель, JI.A. Овчаров. М.: Высшая школа, 2007. -432 с. - ISBN 978-5-06-005820-8.

20. Вишневский, В.М. Теоретические основы проектирования компьютерных сетей / В.М. Вишневский. — М.: Техносфера, 2003. — 512 с.

21. Галкин, В.А. Телекоммуникации и сети / В.А. Галкин, Ю.А.Григорьев. М.: Издат-во МГТУ им.Н.Э.Баумана, 2003. - 608 с.

22. Гаскаров, Д.В. Сетевые модели распределенных автоматизированных систем / Д.В. Гаскаров, Е.П. Истомин, О.И.Кутузов. — СПб.: Энергоатомиздат, 1998.-353 с.

23. Герасимов, А.И. Аналитические методы исследования и оптимизации вычислительных систем и сетей на основе сетевых моделей массового обслуживания. Диссертация на соискание степени д-ра техн. наук / А.И. Герасимов. М, 1999.-359 с.

24. Глушков, В.М. Моделирование развивающихся систем / В.М. Глуш-ков.-М.: Наука, 1983.-351 с.

25. Гнеденко, Б.В. Введение в теорию массового обслуживания / Б.В. Гнеденко, И.Н. Коваленко. — М.: Наука, 1987. 431 с.

26. Гнеденко, Б.В. Теория массового обслуживания / Б.В. Гнеденко, И.Н. Коваленко. М.: Наука, 1987. - 336 с.

27. Гордиенко, В. Н. Многоканальные телекоммуникационные системы: учебник для студ. Вузов / В. Н. Гордиенко, М. С. Тверецкий. — Москва: Горячая линия-Телеком, 2007. — 416 с. : ил.

28. Гошко, C.B. Энциклопедия по защите от вирусов. Издание 2 / C.B. Гошко. М.: "СОЛОН-Р", 2005. - 352 с. - ISBN 5-98003-196-0.

29. Груздева, JI.M. Экспериментальное исследование производительности корпоративной телекоммуникационной сети Текст. / JI.M. Груздева, Ю.М. Монахов, М.Ю. Монахов // Проектирование и технология электронных средств. -2009.-№4.-С. 21-24.

30. Груздева, JI.M. К вопросу оценки эффективности систем информационной защиты предприятия Текст. / JI.M. Груздева // Системы и методы обработки и анализа информации: сборник научных статей. М.: Горячая линия -Телеком. - 2005. - С. 285-293.

31. Груздева, Л.М. Модель распределенной антивирусной защиты информационной системы предприятия Текст. / Л.М. Груздева // Современные проблемы экономики и новые технологии исследований: межвуз. сб. науч. трудов. ВЗФИ. 2006. - С.157-158.

32. Монахов, М.Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП Текст. / М.Ю. Монахов, Л.М. Груздева // Автоматизация в промышленности. 2008. -№3. - С. 12-14.

33. Груздева, Л.М. Исследование влияния вредоносных и антивирусных программ на характеристики замкнутой компьютерной сети предприятия / Л.М.

34. Груздева / Комплексная защита объектов информатизации. Труды НТС / Комитет по информатизации, связи и телекоммуникациям Администрации Владимирской области, 2008 // http://lcsi.avo.ru/seminar/l 1 .pdf

35. Груздева, JI.M. Алгоритм оптимизации функционирования распределенной системы защиты Текст. / JI.M. Груздева, М.Ю. Монахов // Системный анализ. Теория и практика. 2008. - №2. - С. 80-82.

36. Гусева, А.И. Технология межсетевых взаимодействий / А.И. Гусева. -М.: Бином, 1997,- 238 с.

37. Дэвис, Д. Вычислительные сети и сетевые протоколы / Д. Дэвис, Д. Барбер, У. Прайс. М.: Мир, 1982. - 214 с.

38. Евреинов, Э.В. Однородные вычислительные системы / Э.В. Евреинов, В.Г. Хорошевский. Новосибирск: Наука, 1978. - 320 с.

39. Захаров, Г. П. Методы исследования сетей передачи данных / Г. П. Захаров. М.: Радио и связь, 1982. - 208 с.

40. Ивченко, Г.И. Теория массового обслуживания / Г.И. Ивченко, В.А. Каштанов, И.Н. Коваленко. М.: Высшая школа, 1982. - 256 с.

41. Информационные сети и их анализ: Сборник / Под ред. А.Д. Харке-вич, В.А. Гармаш. М.: Наука, 1972. - 220 с.

42. Касперски К. Жизненный цикл червей // http://daily.sec.ru/dailypblshow.cfm?rid:=9&pid=l 1697

43. Касперски, К. Компьютерные вирусы: изнутри и снаружи / К. Касперски. Спб: Питер, 2005. - 528 с. - ISBN 5-469-01282-4.

44. Качалин, А.И. Моделирование процесса распространения сетевых червей для оптимизации защиты корпоративной сети / А.И. Качалин // Искусственный интеллект. -2006.-№ 2.-С. 84-88.

45. Кемени, Дж. Конечные цепи Маркова: Пер. с англ. / Дж. Кемени, Дж. Снелл. -М.: Наука, 1970. 278 с.

46. Кендалл, Д. Стохастические процессы, встречающиеся в теории очередей и их анализ методом вложенных цепей Маркова / Д. Кендалл // Математика. 1959. -№ 3: 6. - с. 97-101.

47. Кеммерер, Р. Обнаружение вторжений краткая история и обзор / Р. Кеммерер, Д. Виджна // http://kiev-security.org.ua.

48. Клейнрок, Л. Вычислительные сети с очередями. Пер с англ. / Л. Клейнрок. -М.: Мир. 1979. 167с.

49. Клейнрок, Л. Теория массового обслуживания. Пер. с англ. И. И. Грушко. Под ред. В. И. Неймана / Л. Клейнрок. М.: Машиностроение. 1979. -237с.

50. Климанов, В.П. Методология анализа вероятно-временных характеристик локальных вычислительных сетей составных топологий на основе аналитического моделирования. Диссертация на соискание степени д-ра техн. наук

51. В.П. Климанов. М., 2001. - 326с.

52. Козлов, Д.А. Энциклопедия компьютерных вирусов / Д.А. Козлов, A.A. Парандовский, А.К. Парандовский. М.: COJIOH-P, 2001. - 464 с.-ISBN 5-93455-091-8.

53. Кокс, Д. Теория очередей / Д. Кокс, У. Смит. М.: Мир, 1966. - 137 с.

54. Колбанев, М. О. Модели и методы оценки характеристик обработки информации в интеллектуальных сетях связи (монография) / М. О. Колбанев, С. А. Яковлев. СПб.: Издательство СПбГУ, 2002. - 230 с. -ISBN 5-288-03061-8.

55. Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. Питер, 2007. - 960 с. - ISBN 5-46900504-6.

56. Кофман, А. Массовое обслуживание (теория и приложения) / Пер. с фр. под ред. И.Н. Коваленко / А. Кофман, Р. Крюон. М.: Мир, 1965. - 302 с.

57. Крамер, А. Математические методы статистики / Пер. с англ. под ред. Колмогорова А.Н. / А. Крамер. М.: Мир, 1975. - 648 с.

58. Кругликов, В.К. Вероятностный машинный эксперимент в приборостроении / В.К. Кругликов. Л.: Машиностроение, 1985. - 247 с.

59. Кудрявцев, Е.М. GPSS World. Основы имитационного моделирования различных систем / Е.М. Кудрявцев. М.: ДМК Пресс, 2004. - 320 с. -ISBN 5-94074-219.

60. Кульгин, М. Технологии корпоративных сетей. Энциклопедия / М. Кульгин. СПб.: Питер, 1999. - 704 с.

61. Кустов, Ф. Влияние антивирусов на производительность компьютера- Режим доступа: http://www.computerra.ru/gid/342272/

62. Лазарев, В. Г. Динамическое управление потоками информации в сетях связи / В. Г. Лазарев, Ю. В. Лазарев. М.: Радио и связь, 1983. - 216 с.

63. Лазарев, В.Г. Сети связи, управление и коммутация / В.Г. Лазарев, Г.Г. Савин. М.: Связь, 1973. - 280 с.

64. Ларионов, A.M. Вычислительные комплексы, системы и сети / A.M. Ларионов. Энергоатомиздат, 1987. - 287с.

65. Лившиц, Б.С. Теория телефонных и телеграфных сообщений. Массовое обслуживание. Потоки. Теория очередей. Информационные сети. Моделирование. Коммутация / Б.С. Лившиц, Я.В. Фидлин, А.Д. Харкевич. М.: Связь, 1971.-432с.

66. Лукацкий, А. Обнаружение атак / А. Лукацкий. СПб.: БХВ-Петербург, 2001. - 624 с.

67. Мамиконов, А.Г. Достоверность, защита и резервирование информации в АСУ / А.Г. Мамиконов, В.В. Кульба, А.Б. Шелков. М.: Энергоатомиздат, 1986.-304 с.

68. Мельников, В.В. Безопасность информации в автоматизированных системах / В.В. Мельников. М.: Финансы и статистика, 2003. - 368 с.

69. Мизин, И. А. Сети коммутации пакетов. Под ред. В. И. Семинихина / И. А. Мизин, В. А. Богатырев, А. П. Кулешов. М.: Радио и связь. 1986. - 408 с.

70. Милославская, Н.Г. Интрасети: обнаружение вторжений / Н.Г. Мило-славская, А.И. Толстой. М.: ЮНИТИ-ДАНА, 2001. - 587 с.

71. Моделирование систем с использованием теории массового обслуживания / Под ред. д.т.н. Д.Н.Колесникова: Учеб. Пособие. СПбГПУ. СПб, 2003.- 180 с.

72. Монахов, Ю.М. Вредоносные программы в компьютерных сетях: учеб. пособие / Ю.М.Монахов, Л.М.Груздева, М.Ю.Монахов; Владим. гос.ун-т.- Владимир: Изд-во Владим. гос. ун-та, 2010. 72 с. - ISBN 978-5-9984-0087-2.

73. Монахов Ю.М. Уязвимости протокола транспортного уровня TCP // Алгоритмы, методы и системы обработки данных. Сборник научных статей. -М.: Горячая линия-Телеком, 2006. С. 203-210.

74. Олифер, В.Г. Основы сетей передачи данных / В.Г. Олифер, H.A. Олифер. М.: Интернет - Университет информационных технологий, 2003. -246 с.

75. Поляк, Ю.Г. Статистическое машинное моделирование средств связи / Ю.Г. Поляк, В.А. Филимонов. М.: Радио и связь, 1988. - 234 с.

76. Привалов, А.Ю. Анализ вероятностных характеристик изменчивости задержки пакета в телекоммуникационных сетях / А.Ю. Привалов. Самара, Изд-во СГАУ, 2000. - 168 с : ил.

77. Рыжиков, Ю.И. Имитационное моделирование. Теория и технологии / Ю.И. Рыжиков. СПб.: КОРОНА принт, 2004. - 384с. - ISBN 594271-021.

78. Сайкин, А.И. Разработка и исследование методов расчета характеристик вычислительных систем на основе стохастических сетевых моделей. Диссертация на соискание степени канд. техн. наук / А.И. Сайкин. Л.,1980. -205 с.

79. Семенов Ю.А. Обзор некоторых видов атак и средств защиты // http://book.itep.rU/6/iritriision.htm.

80. Собейкис, В.Г. Азбука хакера 3. Компьютерная вирусология / В.Г. Собейкис. М.: Майор, 2006. - 512 с. - ISBN 5-98551-013-1.

81. Статистические системы обнаружения вторжений // http://stra.teg.ru/lenta/security/2081.

82. Стивене, У. Р. Протоколы TCP/IP. Практическое руководство / У. Р. Стивене. СПб.: БХВ-Петербург, 2003. - 671 с.

83. Столингс, В. Основы защиты сетей. Приложения и стандарты / В. Столлингс. М.: Издательский дом "Вильяме", 2002. - 432 с. - ISBN 58459-0298-3.

84. Танненбаум, Э. Компьютерные сети / Э. Танненбаум. СПб.: Питер 2002. - 848 с.

85. Тараканов, К.В. Аналитические методы исследования систем / К.В. Тараканов, J1.A. Овчаров, А.Н. Тырышкин. М.: Сов.радио, 1974. - 240 с.

86. Ю1.Тарасик, В.П. Математическое моделирование технических систем: Учебник для вузов / В.П. Тарасик. Мн.: ДизайнПРО, 1997.- 640с. -ISBN 985-6182-10-7.

87. Тарасов, В.Н. Вероятностное компьютерное моделирование сложных систем / В.Н. Тарасов. Самара: Самарский научный центр РАН, 2002. - 194 с.

88. Филипс, Д. Методы анализа сетей / Д. Филлипс, А. Гарсия-Диас. -М: Мир, 1984.-496 с.

89. Феррари, Д. Оценка производительности вычислительных систем / Д. Феррари. М.:Мир, 1981. - 576 с.

90. Фрэнк, Г. Сети связи и потоки: Пер. с англ. / Г. Фрэнк, И. Фриш М.: Связь, 1978.-448 с.

91. Юб.Чипига, А. Ф. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации / А. Ф. Чипига, В. С. Пелешенко // http://science.ncstu.ru/articles/ns/002/elen/29.pdf/fi1e download

92. Чипига, А.Ф. Формализация процедур обнаружения и предотвращения сетевых атак / А. Ф. Чипига, В. С. Пелешенко // http://www.contrterror.tsure.ru/site/magazine8/05-17- Chipiga.htm

93. Чубин, И. ARP-spoofing / И. Чубин // http://xgu.ru/wiki/ARP-spoofmg

94. Шварц, М. Сети связи: протоколы, моделирование и анализ. В 2 ч.: Пер. с англ / М. Шварц. М.: Наука; Гл. ред. физ-мат. лит., 1992. Ч. 1. - 336 с.

95. Шварц, М. Сети ЭВМ. Анализ и проектирование: Пер. с англ. / Под ред. В.А. Жожикашвили / М. Шварц. М.: Радио и связь, 1981. - 336 с.

96. Шелухин, О. И. Моделирование информационных систем / О. И. Шелухин, А. М. Тенякшев, А. В. Осин. М.: Радиотехника, 2005. - 368 с.1.BN 5-93108-072-4.

97. Шеннон P. Дж. Имитационное моделирование систем искусство и наука / Р. Дж. Шеннон. - М.: Мир, 1978. - 418 с.

98. Шрайбер, Т.Дж. Моделирование на GPSS / Т.Дж. Шрайбер. М.: Машиностроение, 1980.- 592 с.

99. Анализатор Sniffer Pro LAN фирмы Sniffer Technologies // http://www.securitylab.ru/software/233623.php

100. Антивирус ESET NOD32 Электронный ресурс. Режим доступа: http://www.esetnod32.ru/products/av home.php

101. Недорогие офисные ПК. Взгляд производителя: Открытые системы. Электронный ресурс. Режим доступа: http://www.osp.ru/pcworld/ 2003/08/166175/

102. Anderson D., Frivold Т., Valdes A. Next-generation intrusion detection expert system (nides) a summary // Technical Report SRI-CSL-95-07. SRI International, May 1995// http://citeseer.ist.psu.edu/anderson94next.html.

103. Bace R., Mell P. Special Publication on Intrusion Detection Systems. Tech. Report SP 800-31, National Institute of Standards and Technology, Gaithers-burg, Md., Nov. 2001

104. Baskett F., Chandy K.M., Muntz R.R., Palacios F.G. Open, closed and mixed networks of queues with different classes of customers. J. ACM, 1975, V.22, n.2, p.248-260.

105. Berinato S. The future of security // http://www.computerworld.com /securitytopics/security/story/0,10801,88646,OO.html.

106. Berk V. H., Gray R.S., Bakos G. Using sensor networks and data fusionfor early detection of active worms. // Proceedings of the SPIE AeroSense. -SPIE-The International Society for Optical Engineering, 2003. Volume 5071, pp. 92-104.

107. Blazelc R.B. A Novel Approach to Detection of «Denial-of-Service» Attacks via Adaptive Sequential and Batch-Sequential Change-Point Detection Methods. Proc. IEEE Workshop Information Assurance and Security, IEEE CS Press, 2001, pp. 220-226.

108. Boyse J.W., Warn D.R. A straightforward model for computer performance prediction. CoTp . Surveys, 1975, V.7, n.2, p.73-93.

109. Brooks R.R. Disruptive Security Technologies with Mobile Code and Peer-to-Peer Networks. CRC Press, 2005.

110. Carl G., Kesidis G., Brooks R. R., Rai S. Denial-of-Service Attack-Detection Techniques. IEEE Internet Computing, vol. 10, no. 1, 2006, pp. 82-89.

111. CERT Advisory CA-2001-23 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL // http://www.cert.org/advisories/CA-2001-23.html.

112. Chandy K.M., Herzog V., Woo L. Parametric analysis of queue- ing networks. IBM J. Res. and Devel., 1975,V.19, n . 1, p.36-42.

113. Chebrolu A., Thomas J. Feature Deduction and Ensemble Design of Intrusion Detection Systems. Computers & Security, 2005, 24:4, pp. 295-307,

114. Chen Z., Gao L., Kwiat K. Modeling the Spread of Active Worms // IEEE INFOCOM 2003 // http://www.ieee-infocom.org/2003/papers/4603.PDF.

115. Cohen F. Computer Viruses: theory and experiments // DOD/NBS 7th Conference on Computer Security (1984).

116. Cohen F. Simulating Cyber Attacks, Defenses, and Consequences. IEEE Symposium on Security and Privacy, Berkeley, CA. 1999.

117. Cohen F. Computational aspects of computer viruses, Computers & Security, 1989, vol. 8, no. 4, pp. 325-344.

118. Depren O., Topallar M., Anarim E., Kemal M. An Intelligent Intrusion Detection System (IDS) for Anomaly and Misuse Detection in Computer Net-works, Expert Systems with Applications, 29:713-722, 2005.

119. Deszo Z, Barabasi A.L. Halting viruses in scale free networks, (cond-mat/0107420) //http://www.arxiv.Org/PScache/cond-mat/pdf/0107/0107420.pdf.

120. Dorogovtsev S., Mendes J. Evolution of networks. Advances in Physics, 51:2002. pp. 1079-1187.

121. Duff T. Experience with viruses on UNIX systems, Computing Sys-tems, 1989, vol. 2, no. 2, pp. 155-171.

122. Ebel H., Mielsch L.I., Bornholdt S. Scale free topology of email networks. // cond-mat/0201476 // www.arxiv.org.139. eEye Digital Security. .ida "Code Red" Worm, 2001 // http://www.eeye.com/html/Research/Advisories/AL20010717.html

123. Feinstein L. Statistical Approaches to DDoS Attack Detection and Response. Proc. DARPA Information Survivability Conf. and Exposition, vol. 1, 2003, IEEE CS Press, pp. 303-314.

124. Ferrari D. Delay jitter control scheme for packet switching internetworks. // Cjmputer Communications, Vol. 15(6), p.367-373, July/August 1992.

125. Gaudin S. 2003 'Worst Year Ever' for Viruses, Worms // http://www.esecurityplanet.com/trends/article.php/3292461.

126. Gordon, Geoffre. System Simulation, 2nd ed., Prentice-Hall, 1978.

127. Guo L., Crovella M., Matta I. TCP congestion control and heavy tails. Tech. Rep. BUCS-TR-2000-017, Computer Science Dep., Boston University, 2000.

128. Haining W., Zhang D., Shin G. Change-Point Monitoring for Detection of DoS Attacks. Department of Electrical Engineering and Computer Science, the University of Michigan.

129. Heberlein, L. T., Dias, G.V., Levitt, K. N., Mukherjee, B., Wood, J. and Wolber, D. A network security monitor. // Proc. of IEEE Symposium on Re-search in

130. Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Soci-ety, 1990 - pp. 296-304.

131. Hofmeyr S. A., Forrest S., Somayaji A. Intrusion detection using sequences of system calls. // Journal of Computer Security, 6(3). Amsterdam: IOS Press, 1998.-pp. 151-180.

132. Kaspersky Security Bulletin, январь июнь 2007. Развитие вредоносных программ в первом полугодии 2007 года: http://www.kaspersky.ru/reading room?chapter=207367581

133. Kleinrock, L. Queueing Systems, Volume II: Computer Applications. New York: Wiley, 1976.

134. Kolotov А. Мониторинг сети с помощью tcpdump // http://www.linuxshare.ru/docs/net/tcpdump.html.

135. Kotenko I. V., Stepashkin M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle // Lecture Notes in Computer Science. Springer-Verlag, 2005. Vol. 3685.

136. Lundy D. He's confident system can stop any virus // Chicago Sun Times, January 22, 2004 // http://www.suntimes.com/output/tech/cst-fin-lundy22w.html

137. Mao Z., Govindan R., Varghese G., Katz R. Route Flap Dampening Exacerbates Internet Routing Convergence». Proceedings of ACM SIGCOMM, 2002.

138. Mcllroy D.M. Virology 101, Computing Systems, 1989, vol. 2, no. 2, pp. 173-184.

139. McNab C. Network Security Assessment. O'Reilly Media Inc, 2004.

140. Mogul J.C. IP Network Performance. Internet System Handbook. Addison-Wesley, Reading, Mass. pp. 575-675.

141. Moore D., Paxson V., Savage S., Shannon C., Staniford S., Weaver N. Inside the Slammer Worm // IEEE Security and Privacy, 1(4). Los Alamitos, CA, USA: IEEE Computer Society, 2003. - pp. 33-39.

142. Moore D., Shannon C., Voelker G. M., Savage S. Internet Quarantine: Requirements for Containing Self-Propagating Code // Proc. of IEEE INFO-COM'2003. Los Alamitos, CA, USA: IEEE Computer Society, 2003. vol.3. - pp. 1901-1910.

143. Moore D., Voelker G.M., Savage S. Inferring Internet Denial-of-Service Activity». Proc. Usenix Security Symp., Usenix Assoc., 2001.

144. Paxson V., Growth trends in wide-area TCP connections, IEEE Net-work, 1994.-8(4), pp. 8-17.

145. Singh P.K., Lakhotia A. Analysis and detection of computer viruses and worms: An annotated bibliography, ACM SIGPLAN Notices, 2002, vol.37.-pp.29-35.

146. Spafford E. A computer virus primer, in Computers Under Attack: Intruders, Worms, and Viruses, Peter J. Denning, Ed., chapter 20, Addison-Wesley, 1990.-pp. 316-355.

147. The Workshop on Rapid Malcode (WORM), October 27, 2003, The Wyn-dham City Center Washington DC, USA // http://pisa.ucsd.edu/worm03/.

148. Williamson M. M. Biologically Inspired Approaches to Computer Security HPL-2002-131. http://www.hpl.hp.com/techreports/2002/HPL-2002-13l.pdf.

149. Norton Antivirus: System Requirements Symantec Corp. Электронный ресурс.- Режим доступа: http://www.symantec.com/norton/products/ overview.jsp?pcid=mp&pvid=nav2008

150. System Requirements avast! Professional Edition Электронный ресурс. - Режим доступа: http://www.avast.com/eng/system-requirements-avast-professional.html.