автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Моделирование вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации

На правах рукописи

ТЮНЯКИН Роман Николаевич

МОДЕЛИРОВАНИЕ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ НА ЗАЩИЩЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ В ИНТЕРЕСАХ ВЫЯВЛЕНИЯ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Специальности: 05.13.18 - математическое моделирование, численные методы и комплексы программ 05.13.19 - методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж- 2005

Диссертация выполнена на кафедре информационной безопасности Воронежского института МВД России

Научный руководитель: доктор технических наук, профессор

С крыл ь Сергей Васильевич

Научный консультант: доктор юридических наук, старший научный

сотрудник Мещеряков Владимир Алексеевич

Официальные оппоненты: доктор технических наук, профессор

Бухарин Сергей Васильевич;

кандидат технических наук Остапенко Григорий Александрович

Ведущая организация: Государственный научно-исследовательский

испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России

Защита диссертации состоится «23» декабря 2005 г. в 13 часов на заседании диссертационного совета К 203.004.01 при Воронежском институте МВД России по адресу: 394065, г. Воронеж, просп. Патриотов, 53, ауд. №329.

С диссертацией можно ознакомиться в библиотеке Воронежского института МВД России.

Автореферат разослан ноября 2005 года.

Ученый секретарь диссертационного совета

С.А. Шерсткжов

3

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Расширение возможностей сетевого построения вычислительных систем и внедрение методов распределенной обработки данных за счет реализации теледоступа к их отдельным элементам привело к резкому возрастанию роли компьютерных технологий в различных областях деятельности современного общества. Широкое применение этих технологий в так называемых критических инфраструктурах, к которым относятся институты государственной власти, финансовые, энергетические и транспортные системы, а также элементы промыитленно-деловой среды, оказывающие существенное влияние на экологию, позволило реализовать возросшие требования к оперативности информационных процессов. Несмотря на очевидную разнородность критических инфраструктур, их объединяет два крайне важных обстоятельства:

- существенный ущерб от нарушения их безопасности, в том числе и информационной, вследствие значительной ценности хранимых и обрабатываемых данных;

- значительный интерес к информационным ресурсам со стороны криминальной среды.

Последнее обстоятельство обусловливает значительное число угроз информационной безопасности элементам критических инфраструктур, реализуемых в виде различного рода вредоносных воздействий на информацию с целью ее целенаправленного искажения или копирования.

Совершенствование способов реализации противоправных действий в сфере компьютерной информации привело к адекватному развитию технологий защиты информации и созданию защищенных информационных систем.

Вместе с тем совершенствование методов защиты информации в этих системах обусловило и адекватное совершенствование методов преодоления их защитных механизмов.

Главной причиной такого положения дел, по мнению автора, является традиционный подход к решению проблемы выявления противоправных действий в сфере компьютерной информации, основанный на выявлении лишь отдельных признаков таких действий, без связывания их в какую-либо научно обоснованную систему.

Это обусловило глубокую проработку вопросов выявления противоправных действий в сфере компьютерной информации с целью обоснования путей совершенствования систем защиты информации (СЗИ). По мнению автора, одним из таких направлений является использование в СЗИ компонент, построенных на основе теории распознавания. Это мнение основывается на имеющемся у автора многолетнем опыте расследования преступных посягательств на информацию компьютерных систем различного типа, в том числе и в отношении информации защищенных информационных систем.

В этой связи им установлено, что в сценариях проведения злоумышленниками подобного рода противоправных действий существует ряд закономерностей, позволяющих создать модель всех возможных действий, осуществляемых с целью преодоления СЗИ и доступа к защищенной информации. Такая модель является основой для реализации алгоритмов выявления вредоносных воздействий, позволяющих не только выявлять признаки противоправных действий в отношении защищенных информационных систем, но и предложить способы и средства идентификации подобного рода действий.

Вместе с тем автор хотел бы отметить, что, несмотря на широкое использование методов теории распознавания в решении различных задач, в том числе и в решении задач обеспечения информационной безопасности, специальные исследования, связанные с разработкой методов распознавания в интересах выявления вредоносных воздействий на защищенные информационные системы, носят крайне ограниченный характер.

Изложенное дает основание утверждать, что задача моделирования информационных процессов в интересах выявления противоправных действий в сфере компьютерной информации является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в проработке как в методическом, так и в прикладном плане. Это свидетельствует об актуальности темы диссертационного исследования.

В связи с этим целью диссертационной работы является разработка и исследование функциональных моделей вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации.

Для достижения этой цели в работе решены следующие научные задачи:

1. Проанализировать особенности совершения противоправных действий в сфере компьютерной информации.

2. Разработать структурную модель вредоносных воздействий на защищенные информационные системы для формирования признаков распознавания противоправных действий в отношении их информационных ресурсов.

3. Обосновать варианты формирования идентификационных признаков противоправных действий в отношении информационных ресурсов защищенных информационных систем.

4. Разработать математические модели идентифицируемости вредоносных воздействий на информацию в защищенных информационных системах.

5. Оценить эффективность выявления противоправных действий в сфере компьютерной информации.

Основные методы исследования. В работе использованы методы системного анализа, математического моделирования, теории информационной безопасности и теории распознавания.

Научная новизна результатов, полученных в диссертации при решении перечисленных задач состоит в следующем:

1. Разработан новый способ распознавания вредоносных воздействий на информацию в защищенных информационных системах, основанный на методологии структурного моделировании противоправных действий в сфере компьютерной информации, отличающийся от известных способов решения аналогичных задач возможностью формирования на основе структурированного описания подобного рода действий признаков их распознавания.

2. Впервые сформулированы принципы моделирования вредоносных

* воздействий на защищенные информационные системы в интересах распознавания противоправных действий в сфере компьютерной информации.

3. Предложены новые алгоритмы идентификации вредоносных

| воздействий на информацию в защищенных информационны?: системах, в

основу которых положены разработанные в ходе диссертационного исследования математические модели идентифицируемости признаков их распознавания, отличающиеся от известных алгоритмов идентификации возможностью формирования первичных признаков не только на основе логических либо целочисленных параметров, но и в виде комбинаций параметров, имеющих логическое и целочисленное представление.

Практическая ценность полученных результатов состоит в следующем:

1. При обосновании методов защиты компьютерной информации от несанкционированного доступа (НИР № госрегистрации 01020909).

2. Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при проведении ряда мероприятий по противодействию преступлениям в сфере компьютерной информации.

3. Разработанные в диссертации методики использованы при разра-

• ботке учебно-методического обеспечения дисциплин «Основы мониторинга компьютерных систем» и «Программно-аппаратные средства обеспечения информационной безопасности» для курсантов и слушателей Московского университета и Воронежского института Министерства внутренних

' дел Российской Федерации, а также для курсантов Военного института ра-

диоэлектроники.

Практическая значимость и результаты внедрения. Результаты работы использованы при выполнении НИР № госрегистрации 01020909, при разработке учебно-методического обеспечения ряда дисциплин специальности 090106 - «Информационная безопасность телекоммуникационных систем», а также при проведении оперативных мероприятий по противодействию преступлениям в сфере компьютерной информации.

Внедрение результатов работы. Результаты диссертационной работы внедрены:

в Московском университете Министерства внутренних дел Российской Федерации;

в Воронежском институте Министерства внутренних дел Российской Федерации;

в Военном институте радиоэлектроники Министерства обороны Российской Федерации;

в Главном управлении внутренних дел Воронежской области. Внедрение результатов подтверждается соответствующими актами. Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. Всероссийской научно-практической конференции «Охрана и безопасность 2001» - Воронеж, 2001 г.

2. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г.

3. Всероссийской конференции «Информационная безопасность России в условиях глобального информационного общества» («Инфофорум -5») - Москва, 2003 г.

4. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2004 г.

5. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2005 г.

Публикации: По теме диссертации опубликовано 9 научно-технических статей.

В работах, опубликованных в соавторстве, приведенных в конце автореферата, лично автором предложено:

в [1] - анализ последствий воздействия угроз несанкционированного доступа в информационно-телекоммуникационных системах осуществлять с позиций оценки уязвимости элементов этих систем;

в [2] - анализировать воздействия компьютерных вирусов с учетом комплексного проявления ими свойств ассоциативности, репликативности и полиморфизма;

в [3] - использовать некоторые типы отладчиков для получения исследования механизмов функционирования вредоносных программ;

в [4] - вводить в компоненты программного обеспечения дополнительные параметры, характеризующие корректность реализации этих компонент;

в [5] - использовать методы теории моделирования в интересах идентификации противоправных действий в сфере компьютерной информации;

в [6] - исследовать вирусные полиморфик-технологии как один из основных механизмов обеспечения живучести вредоносных программ,

в [7] - способ идентификации противоправных действий в сфере компьютерной информации, основанный на контроле корректности хода выполнения программ в контрольных точках вычислительного процесса;

в [8] - осуществлять проверку функций операционных систем на возможность проявления вредоносных свойств;

в [9] - в качестве одного из оснований для классификации атак на информационные ресурсы компьютерных сетей использовать тип уязви-мостей системы защиты информации;

в [10] - рассматривать угрозы компьютерной безопасности информационным системам органов внутренних дел как одни из наиболее серьезных;

в [11] - рассматривать процесс обнаружения угроз информационной безопасности компьютерным сетям с позиций теории распознавания;

в [12] - исследовать сетевой трафик с позиций его уязвимости для несанкционированного анализа;

в [15] - использовать в качестве средств идентификации признаков противоправных действий в сфере компьютерной информации ряд компонент системного и прикладного программного обеспечения.

Структура и обьем работы. Диссертация состоит из введения, четырех глав, изложенных на 140 страницах машинописного текста, 28 рисунков, 5 таблиц, заключения и библиографического списка использованной литературы, содержащего 147 наименований.

Основные положения, выносимые на защиту:

1. Задачу выявления вредоносных воздействий на информацию в защищенных информационных системах целесообразно ставить как задачу их распознавания и решать с использованием разработанных в диссертации структурных моделей противоправных действий в сфере компьютерной информации.

2. Функциональное описание вредоносных воздействий на информацию в защищенных информационных системах на самом нилнсм уровне его структурного представления позволяет устанашшвать свойства подобного рода противоправных действий как идентифицируемого процесса

3. Применение разработанного в диссертации способа распознавания вредоносных воздействий на информацию в защищенных информационных системах позволяет обеспечить вероятность идентификации противоправных действий в типовых условиях не менее 0,99, что значительно превышает значение данного показателя в условиях традиционных способов обнаружения.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационного исследования, формулируются цель и задачи исследования, научная новизна, практическая ценность, положения, выносимые на защиту, а также практическая значимость и результаты внедрения.

В первой главе «Противоправные действия в сфере компьютерной информации как объект распознавания» приводится анализ способов совершения противоправных действий в сфере компьютерной информации, формулируются принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации, обосновывается показа-

тель достоверности выявления такого рода воздействий, а также приводится содержательная и формализованная постановка задачи исследования.

Основными принципами решения данной задачи являются:

• принцип структурного моделирования противоправных действий в отношении информации защищенных информационных систем;

• принцип однотипного представления значений признаков распознавания вредоносных воздействий на защищенные информационные системы, следствием которого является требование представления значений признаков распознавания в логической форме.

В качестве основы для конструирования показателя достоверности распознавания вредоносных воздействий на информацию защищенных информационных систем в интересах распознавания противоправных действий в отношении их информационных ресурсов на основе системы

П ={ж„|л = 1,2,...,Л/} признаков распознавания условимся использовать вероятность Рм идентификации воздействия, как вероятность события, при котором система признаков П однозначно идентифицирует воздействие.

Вредоносное воздействие считается распознанным достоверно, если путем анализа системы признаков П с вероятностью Р(и), не ниже заданной Р(3), устанавливается вся последовательность проводимых злоумышленником противоправных действий в отношении информации защищенной информационной системы.

С учетом изложенного задача моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации в содержательном плане формулируется следующим образом.

Применительно к заданным условиям функционирования защищенной информационной системы, входящих в ее состав элементов разработать совокупность моделей распознавания, обеспечивающих однозначную идентификацию последовательности проводимых злоумышленником противоправных действий в сфере компьютерной информации.

С целью формализации задачи и способов ее решения, в соответствии со сформулированной содержательной постановкой, обозначим через 91 возможный набор правил построения моделей вредоносных воздействий на информацию защищенных информационных систем на основе системы П признаков распознавания. Тогда задачу моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации можно рассматривать как задачу формирования набора правил X, К е максимизирующего вероятность Рм идентификации последовательности проводимых злоумышленником противоправных действий.

Это позволяет формально постановку задачи представить в виде

х=а^тахР(и)(з{).

ке я

Сформулированную задачу моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации целесообразно решать путем представления в виде следующих основных последовательно решаемых задач:

• структуризация системы П признаков распознавания вредоносных воздействий на информацию защищенных информационных систем;

• разработка правил 91 построения моделей вредоносных воздействий на информацию защищенных информационных систем на основе системы П признаков распознавания, максимизирующего вероятность Р(11) идентификации последовательности проводимых злоумышленником противоправных действий в сфере компьютерной информации;

• сравнение значения вероятности Р(и) идентификации последовательности проводимых злоумышленником противоправных действий в сфере компьютерной информации с заданным значением Ры\

• в случае, если Р(„}<Ри) проведение экспериментов по оценке возможностей повышения значения Рм за счет разработки нового набора 51' правил построения моделей вредоносных воздействий на информацию защищенных информационных систем на основе системы П признаков распознавания.

Во второй главе «Математические модели противоправных действий в сфере компьютерной информации» приводится сравнительный анализ методов моделирования как инструмента выявления вредоносных воздействий на защищенные информационные системы, рассматриваются обобщенная функциональная модель противоправных действий в сфере компьютерной информации (модель нулевого уровня), функциональные модели первого и второго уровней декомпозиции описания такого рода действий, а также механизм формирования первичных признаков их распознавания; приводятся математические модели идентифицируемости признаков распознавания вредоносных воздействий на информацию защищенных информационных систем. Кроме того, в данной главе приводятся функциональные модели вредоносных воздействий на защищенные информационные системы в граничных условиях.

С учетом целевой направленности противоправных действий в отношении информации защищенных информационных систем при их исследовании методами структурного моделирования декомпозиции подлежит предметная целевая функция. Это приводит к необходимости в процессе декомпозиции выделять функционально специализированные элементы. При этом специфицируемые в результате декомпозиции функции и

логические связи исследуемого процесса формируют описание его функциональной структуры (функциональную модель).

Имеющийся у автора многолетний опыт расследования преступных посягательств на информацию компьютерных систем различного типа, в том числе и в отношении информации защищенных информационных систем, позволил установить, что в сценариях проведения злоумышленниками подобного рода противоправных действий существует ряд закономерностей. Это позволило представить все возможные действия, осуществляемые с целью преодоления защитных механизмов и манипулирования данными в защищенных информационных системах, трехуровневой иерархией функциональных моделей. Нулевой, верхний уровень иерархии представляется наиболее обобщенной моделью, описывающей этапы несанкционированных действий, первый и второй уровень представляются функциональными моделями, описывающими порядок выполнения функций первого уровня в рамках этапов несанкционированных действий и функций второго уровня в рамках первого, соответственно подобное представление является основой для реализации алгоритмов выявления вредоносных воздействий, позволяющих идентифицировать противоправные действия в отношении информации защищенных информационных систем.

В результате анализа способов совершения противоправных действий в отношении защищенных информационных систем установлено, что противоправные действия в отношении такого класса систем можно описать в виде обобщенной функциональной модели противоправных действий в сфере компьютерной информации. Такая модель описывается следующими функциями (рис. 1):

- анализ защищенности информационной системы;

- подбор паролей к ее компонентам ограничения доступа;

- внедрение ложного доверенного объекта или субъекта доступа к защищенной информационной системе;

/74'0' - анализ информации, проходящей через внедренный доверенный объект защищенной информационной системы;

- несанкционированное манипулирование информацией в защищенной информационной системе.

Каждая из перечисленных функций нулевого уровня представляется совокупностью функций первого уровня иерархии исследуемого процесса.

Например, функцию F¡;0^ несанкционированного манипулирования информацией в защищенной информационной системе составляют следующие функции первого уровня декомпозиции (рис. 2):

^ - поиск интересующей информации;

К,'1] - копирование информации;

Целевая функция противоправных действий в отношении

информации защищенной информационной системы

Анализ защищенности информационной системы

«■(о)

т

Внедрение ложного доверенного объекта или субъекта доступа к защищенной

информационной системе

_^

Анализ информации, проходящей через доверенный объект защищенной информационной системы ¿0)

Несанкционированное манипулирование информацией в защищенной информационной системе

Подбор паролей к компонентам ограничения

доступа защищенной информационной системы

«■(О) гг

Рис. 1

^ - модификация информации; ^¡Ц ~ уничтожение информации;

- копирование информации с последующим ее уничтожением; ^ - копирование информации с последующей ее модификацией; Р5''у ~ создание условий для последующего легального доступа. В свою очередь, каждая из перечисленных функций первого уровня представляется совокупностью функций второго уровня иерархии исследуемого процесса.

Несанкционированное манипулирование информацией в защищенной информационной '

Рис. 2

Например, функция ^ создания условий для последующего легального доступа состоит из следующих функций (рис. 3):

/•5,7',, ~ создание дополнительной учетной записи с администраторскими полномочиями;

^5,7',2 - изменение пароля учетных записей с администраторскими полномочиями;

- создание «бреши» в системе безопасности.

Функциональная модель второго уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы служит основой для формирования набора первичных признаков распознавания такого рода воздействий.

Создание условий для последующего легального доступа

!

Информация о программном обеспечении элементов защищенной информационной системы

Легальный доступ к защищенной

информационной системе ^5,7'

Рис. 3

Каждый из первичных признаков распознавания л]'\ из их множества {я','7'}, в общем случае описывается параметрическим вектором вида

А (^м!га) = (й,. 1. 2 ,.....У, )'

где <я, ; -у'-й параметр первичного признака

], - число параметров, описывающих признак я)''. Ри.т ~ соответствующая первичному признаку я-*'' идентифицируемая вредоносная функция;

к,1,т — иерархическая характеристика идентифицируемой функции. Параметры первичных признаков распознавания вредоносных воздействий могут быть представлены либо логическими (истинность вида «истина» (1) или «ложь» (0)), либо целочисленными значениями.

В третьей главе «Способы и средства выявления вредоносных воздействий на информацию защищенных информационных систем» проанализированы основные направления реализации механизмов выявления вредоносных воздействий на информацию защищенных информационных систем.

То обстоятельство, что злоумышленники свои противоправные действия могут реализовывать различными способами, при организации про-

цедур идентификации признаков вредоносных воздействий на информацию защищенных информационных систем следует учитывать, что часть действий злоумышленника выявляется проведением организационных мероприятий, часть - программными средствами в процессе функционирования защищенной информационной системы, а часть - путем проведения компьютерно-технической экспертизы программного обеспечения.

Проведенный анализ возможности использования программных средств для идентификации вредоносных воздействий на информацию защищенных информационных систем позволил сформировать номенклатуру сертифицированных средств системного и прикладного программного 4 обеспечения позволяющих реализовывать процедуры распознавания первичных признаков такого рода воздействий.

В четвертой главе «Оценка эффективности выявления противо- |

правных действий в отношении информационных ресурсов защищенных информационных систем» приводятся результаты оценки показателя достоверности выявления вредоносных воздействий в условиях неструктурированной и структурированной совокупности признаков распознавания. Анализ результатов оценки свидетельствует о значительном повышении эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях структурированной совокупности признаков распознавания.

В заключении обобщены основные теоретические и практические результаты, приведены выводы и рекомендации.

В приложении приводятся акты внедрения результатов исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем: ,

1. Обоснована возможность выявления противоправных действий в сфере компьютерной информации на основе их распознавания как вредоносных воздействий на информацию защищенных информационных систем.

2. Разработана функциональная модель противоправных действий в от- * ношении информационных ресурсов защищенных информационных систем.

3. Разработан метод распознавания вредоносных воздействий на информацию защищенных информационных систем на основе анализа идентифицирующих признаков противоправных действий в сфере компьютерной информации.

4. Предложены варианты способов и средств выявления идентифицирующих признаков противоправных действий в отношении информации защищенных информационных систем.

Новым практическим результатом, полученным в диссертации, является обоснование возможности распознавания противоправных действий в отношении информационных ресурсов защищенных информационных

систем с вероятностью идентификации такого рода действий не менее 0,99, что значительно превышает значение данного показателя в условиях традиционного анализа.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Алгоритмы анализа последствий воздействия угроз несанкционированного доступа в информационно-телекоммуникационных системах / Е.Г. Геннадиева, В.Б. Щербаков, В.Е. Потанин, С.С. Кочедыков, В.В. Киселев, Р.Н. Тюнякин // Региональный научный вестник «Информация и безопасность», Вып. 2. - Воронеж: ВГТУ, 2001. - С. 70-75.

2. Исследование воздействий вирусных программ на информационно-телекоммуникационные системы / A.A. Ильин, П.Ф. Сушков, С.С. Кочедыков, В.В. Киселев, Р.Н. Тюнякин, И.А. Сбродова // Региональный научный вестник «Информация и безопасность». Вып. 1, - Воронеж: Воронежский государственный технический университет, 2001. - С. 68 - 69.

3. Кочедыков, С.С. Особенности проектирования средств оперативного анализа воздействий вредоносных программ / С.С. Кочедыков, В.В. Киселев, Р.Н. Тюнякин // Вестник ВИ МВД России. - 2001. - №2(9). - С. 156 -157.

4. Особенности реализации механизма следообразования в компьютерных сетях / Н.В. Филиппова, И.В. Потанина, К.С. Скрыль, Р.Н. Тюнякин // Материалы Всероссийской научно-практической конференции «Охрана и безопасность 2001». - Воронеж: ВИ МВД России, 2001. - С.143-145.

5. Принципы идентификации компьютерных преступлений на основе дифференцирования многоуровневого описания стратегий несанкционированного доступа к защищенным компьютерным сетям / И.А. Белоусова, Р.В. Гулин, П.Ф. Сушков, Р.Н. Тюнякин, Н.В. Филиппова, A.B. Хаустович // Информация и безопасность. - Вып. 1. - Воронеж: ВГТУ, 2002. - С. 71-74.

6. Технологии разработки вредоносных программ на основе компьютерных вирусов // Е.Г. Геннадиева, К.А. Разинкин, Ю.М. Сафонов, П.Ф. Сушков, Р.Н. Тюнякин // Информация и безопасность. - Вып.1. - Воронеж: ВГТУ, 2002. - С. 79 - 85.

7. Способ идентификации противоправных действий в сфере компьютерной информации / Г.А. Остапенко, П.Ф. Сушков, Р.Н. Тюнякин, Н.В. Филиппова // Сборник материалов Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью. - 4.2. -2002. -С. 143- 144.

8. О возможности инициализации вредоносных программ в обход стандартных способов запуска / Е.А. Золотарева, В.В. Киселев, Р.Н. Тюнякин, К.С. Скрыль // Информация и безопасность. - Вып. 1. - Воронеж: ВГТУ,2003.-С. 123-124.

9. Тюнякин, Р.Н. Анализ способов проведения компьютерных атак на информационные ресурсы компьютерных сетей / Р.Н. Тюнякин, Д.ГО Лиходедов, К.А. Золотарева // Сборник материалов летней сессии 1-й Все-

Р25177

российской конференции «Информацис виях глобального информационного оби

10. Основные подходы к обеспеча органов внутренних дел / Р.Н. Тюнякин, Зарубин / Сборник материалов Всеросси ренции «Охрана, безопасность и связь» i 124.

11. Гаврилов, A.M. Анализ cnocof ционной безопасности компьютерным <х A.M. Гаврилов, Р.Н. Тюнякин, С.С. Трунов // Сборник материалов Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» (Информационная безопасность в ОВД). - 2004. -С. 16- 17.

12. Тюнякин, Р.Н. Технологии несанкционированного анализа сетевого трафика / Р.Н. Тюнякин, Киселев В.В. // Управление информационной безопасностью. М.: ООО «Управление безопасностью». - 2004. - №3. - С. 17-18.

13. Тюнякин, Р.Н. Принципы моделирования информационных процессов в интересах распознавания вредоносных воздействий на компьютерные системы // Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью»: Сборник материалов (информационная безопасность). - Воронеж: Воронежский институт МВД России, 2005. - С. 67 - 68.

14. Тюнякин, Р.Н. Особенности моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации // Вестник ВИ МВД России. - 2005. - № 5 (24). - С. 20 - 23.

15. Моделирование как методология криминалистического исследования в сфере компьютерной информации / C.B. Скрыль, В.А. Минаев, Р.Н. Тюнякин, Н.В. Филиппова // Безопасность информационных технологий. - М.: МИФИ, 2005. -№ 1. - С. 57 - 61.

Подписано в печал*£///2005 г. Формат 60 х 84 '/¡6 Усл. печ. л. 0,93 Тираж 100 экз. Заказ № . Типография Воронежского института МВД России 394065 Воронеж, просп. Патриотов, 53

РНБ Русский фонд

2006-4 29469

-г/ —л------/ "K"JnMli '

ВВЕДЕНИЕ.

ГЛАВА 1. ПРОТИВОПРАВНЫЕ ДЕЙСТВИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ КАК ОБЪЕКТ РАСПОЗНАВАНИЯ.

1.1. Способы совершения противоправных действий в сфере компьютерной информации.

1.2. Принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации.

1.3. Показатель достоверности выявления противоправных действий в сфере компьютерной информации.

1.4. Содержательная и формальная постановка задачи.

Выводы по первой главе.

ГЛАВА 2. МАТЕМАТИЧЕСКИЕ МОДЕЛИ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ.

2.1. Сравнительный анализ методов моделирования как инструмента выявления противоправных действий в сфере компьютерной информации.

2.1.1. Применимость классических методов моделирования.

2.1.2. Общие вопросы методологии структурного моделирования.

2.1.3. Формальные основы функционального моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации.

2.2. Обобщенная функциональная модель противоправных действий в отношении информации защищенных информационных систем (модель нулевого уровня).

2.3. Функциональная модель первого уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы. 2.4. Функциональная модель второго уровня декомпозиции описания вредоносных воздействий на защищенные информационные системы.

2.5. Первичные признаки распознавания противоправных действий в сфере компьютерной информации.

2. 5. 1. Территориальное расположение и характеристика элементов

4 защищенной информационной системы.

2. 5. 2. Порядок доступа к элементам защищенной информационной системы.:. ф 2. 5. 3. Информация о персонале, имеющем привилегированный доступ.

2. 5. 4. Информация о телекоммуникационных средствах.

2. 5. 5. Организация доступа злоумышленников к месту расположения элементов защищенной информационной системы.

2. 5. 6. Использование злоумышленником агентов, завербованных среди обслуживающего персонала.

2. 5. 7. Сканирование портов на серверах защищенной информационной системы.

2. 5. 8. Определение типа и версии программного обеспечения, выполняемого на сервере защищенной информационной системы.

2. 5. 9. Подбор пароля непосредственно на элементе защищенной информационной системы.

2. 5. 10. Подбор пароля средствами злоумышленника с использованием имеющегося у него файла с данными о паролях.

2. 5. 11. Внедрение ложного доверенного объекта путем использования недостатков в реализации службы ARP.

2. 5. 12. Внедрение лоэюного доверенного объекта путем использования недостатков в реализации службы DNS.

2. 5. 13. Подбор либо создание злоумышленником вредоносной программы.

2. 5. 14. Внедрение вредоносной программы в элемент защищенной информационной системы.

2. 5. 15. Активация вредоносной программы.

2. 5. 16. Анализ комментариев к учетным записям.

2. 5. 17. Анализ полномочий на доступ к ресурсам.

2. 5. 18. Выявление настроек маршрутизатора.

2. 5. 19. Поиск информации.

2. 5. 20. Копирование информации.

2. 5. 21. Модификация информации.

2. 5. 22. Удаление информации.

2. 5. 23. Создание дополнительной учетной записи с администраторскими полномочиями.

2. 5. 24. Изменения пароля учетных записей с администраторскими полномочиями.

2. 5. 25. Создание «бреши» в системе защиты информации.

2.6. Математические модели идентифицируемости признаков распознавания противоправных действий в отношении информации защищенных информационных систем.

2. 7. Методика распознавания вредоносных воздействий на защищенные информационные системы.

2.8. Функциональные модели вредоносных воздействий на защищенные информационные системы в граничных условиях.

2.8.1. Функциональные модели противоправных действий, осуществляемых злоумышленником без применения вредоносных программ.

2.8.2. Функциональные модели противоправных действий, осуществляемых злоумышленником только с применением вредоносных программ.

Выводы по второй главе.

ГЛАВА 3. СПОСОБЫ И СРЕДСТВА ВЫЯВЛЕНИЯ ВРЕДОНОСНЫХ

ВОЗДЕЙСТВИЙ НА ИНФОРМАЦИЮ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ.

3.1. Способы распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем.

3.2. программные средства распознавания первичных признаков вредоносных воздействий на информацию защищенных информационных систем. выводы по третьей главе.

ГЛАВА 4. ОЦЕНКА ЭФФЕКТИВНОСТИ ВЫЯВЛЕНИЯ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ В ОТНОШЕНИИ ИНФОРМАЦИОННЫХ РЕСУРСОВ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ.

4.1. Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях неструктурированной совокупности признаков распознавания.

4.2. Оценка эффективности выявления противоправных действий в отношении информационных ресурсов защищенных информационных систем в условиях структурированной совокупности признаков распознавания.

Выводы по четвертой главе.

Расширение возможностей сетевого построения вычислительных систем [1] и внедрение методов распределенной обработки данных за счет реализации теледоступа [2, 3] к их отдельным элементам привело к резкому возрастанию роли информационных технологий [4, 5] в различных областях деятельности современного общества [6, 7]. Широкое применение этих технологий в так называемых критических инфраструктурах, к которым относятся органы государственного управления [8, 9], сфера обороны [10], правоохранительные органы [11 - 13], финансовые [14], энергетические [15, 16] и транспортные [17 -19] системы, а также элементы промышленно-деловой среды [20 - 22], позволило реализовать возросшие требования к оперативности информационных процессов. Несмотря на очевидную разнородность критических инфраструктур, их объединяет два крайне важных обстоятельства:

• существенный ущерб от нарушения их безопасности, в том числе и информационной [23 - 26], вследствие значительной ценности хранимых и обрабатываемых данных;

• значительный интерес к информационным ресурсам со стороны криминальной среды [27, 28].

Последнее обстоятельство обусловливает значительное число угроз информационной безопасности элементам критических инфраструктур, реализуемых в виде, различного рода противоправных действий в отношении информационных систем с целью целенаправленного искажения или копирования информации [29 - 37].

Совершенствование способов реализации противоправных действий в сфере компьютерной информации привело к адекватному развитию технологий защиты информации и созданию защищенных информационных систем [38-78].

Вместе с тем, совершенствование методов защиты информации в этих системах обусловило и адекватное совершенствование методов преодоления их защитных механизмов [79, 80]. При этом, как показывает анализ состояния вопроса, темпы совершенствования способов и инструментов противоправных действий в сфере информационных технологий значительно превышают темпы совершенствования средств и способов защиты информации [81-84].

Главной причиной такого положения дел, по мнению автора, является традиционный подход к решению проблемы выявления противоправных действий в сфере компьютерной информации, основанный на выявлении лишь отдельных признаков таких воздействий не связывая их в какую-либо научно обоснованную систему.

Это обусловило глубокую проработку вопросов выявления противоправных действий в сфере компьютерной информации с целью обоснования путей совершенствования систем защиты информации (СЗИ). По мнению автора одним из таких направлений является использование в СЗИ компонент, построенных на основе теории распознавания [85 - 88]. Это мнение основывается на имеющемся у автора многолетнем опыте расследования преступных посягательств на информацию компьютерных систем различного типа, в том числе и в отношении информации защищенных информационных систем. В этой связи им установлено, что в сценариях проведения злоумышленниками подобного рода противоправных действий существует ряд закономерностей, позволяющих создать модель всех возможных действий, осуществляемых с целью преодоления СЗИ и манипулирования данными в защищенных информационных системах. Такая модель является основой для реализации алгоритмов распознавания противоправных действий в сфере компьютерной информации, позволяющих не только выявлять признаки подобного рода действий, но и предложить способы и средства их идентификации [89, 90].

Вместе с тем автор хотел бы отметить, что, несмотря на широкое использование методов теории распознавания в решении различных задач, в том числе и в решении задач обеспечения информационной безопасности, специальные исследования, связанные с разработкой методов распознавания противоправных действий в сфере компьютерной информации носят крайне ограниченный характер. Исключение составляет лишь исследование алгоритмов распознавания одного из источников угроз информационной безопасности защищенных информационных систем - вредоносных программ [91].

Изложенное дает основание утверждать, что задача моделирования информационных процессов в интересах выявления противоправных действий в сфере компьютерной информации является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в проработке как в методическом, так и в прикладном плане. Это свидетельствует об актуальности темы настоящего диссертационного исс ледования.

Работа выполнена в соответствии с П. 1.9.1 Плана основных организационных мероприятий МВД России на 2005 год [92] и в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации [93].

Объектом исследования являются противоправные действия в сфере компьютерной информации.

Предметом исследования выступают вопросы разработки функциональных моделей в интересах выявления противоправных действий в сфере компьютерной информации.

Целью диссертационной работы является разработка и исследование функциональных моделей вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации.

Для достижения этой цели в работе необходимо решить следующие научные задачи:

1. Проанализировать особенности совершения противоправных действий в сфере компьютерной информации.

2. Разработать структурную модель вредоносных воздействий на защищенные информационные системы для формирования признаков распознавания противоправных действий в отношении их информационных ресурсов.

3. Обосновать варианты формирования идентификационных признаков противоправных действий в отношении информационных ресурсов защищенных информационных систем.

4. Разработать математические модели идентифицируемости вредоносных воздействий на информацию в защищенных информационных системах.

5. Оценить эффективность выявления противоправных действий в сфере компьютерной информации.

Основные методы исследования. В работе использованы методы системного анализа, математического моделирования, теории информационной безопасности и теории распознавания.

Научная новизна результатов, полученных в диссертации при решении перечисленных задач состоит в следующем:

1. Разработан новый способ распознавания вредоносных воздействий на информацию в защищенных информационных системах, основанный на методологии структурного моделировании противоправных действий в сфере компьютерной информации, отличающийся от известных способов решения аналогичных задач возможностью формирования на основе структурированного описания подобного рода действий признаков их распознавания.

2. Впервые сформулированы принципы моделирования вредоносных воздействий на защищенные информационные системы в интересах распознавания противоправных действий в сфере компьютерной информации.

3. Предложены новые алгоритмы идентификации вредоносных воздействий на информацию в защищенных информационных системах, в основу которых положены разработанные в ходе диссертационного исследования математические модели идентифицируемости признаков их распознавания, отличающиеся от известных алгоритмов идентификации возможностью формирования первичных признаков не только на основе логических либо целочисленных параметров, но и в виде комбинаций параметров, имеющих логическое и целочисленное представление.

Основные положения, выносимые на защиту;

1. Задачу идентификации вредоносных воздействий на информацию в защищенных информационных системах целесообразно ставить как задачу их распознавания и решать с использованием разработанных в диссертации структурных моделей противоправных действий в сфере компьютерной информации.

2. Функциональное описание вредоносных воздействий на информацию в защищенных информационных системах на самом нижнем уровне его структурного представления позволяет устанавливать свойства подобного рода противоправных действий как идентифицируемого процесса.

3. Применение разработанного в диссертации способа распознавания вредоносных воздействий на информацию в защищенные информационные системы позволяет обеспечить вероятность идентификации противоправных действий в типовых условиях не менее 0.99, что значительно превышает значение данного показателя в условиях традиционных способов обнаружения.

Практическая ценность полученных результатов состоит в следующем:

1. При обосновании методов защиты компьютерной информации от несанкционированного доступа (НИР № госрегистрации 01020909).

2. Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел Воронежской области при проведении ряда мероприятий по противодействию преступлениям в сфере компьютерной информации.

3. Разработанные в диссертации методики использованы при разработке учебно-методического обеспечения дисциплин «Основы мониторинга компьютерных систем» «Программно-аппаратные средства обеспечения информационной безопасности» для курсантов и слушателей Московского университета и Воронежского института Министерства внутренних дел Российской Федерации, а также для курсантов Военного института радиоэлектроники.

Практическая значимость и результаты внедрения. Результаты работы использованы при выполнении НИР № госрегистрации 01020909, при разработке учебно-методического обеспечения ряда дисциплин специальности 075600 - «Информационная безопасность телекоммуникационных систем», а также при проведении оперативных мероприятий по противодействию преступлениям в сфере компьютерной информации.

Внедрение результатов работы. Результаты диссертационной работы внедрены: в Московском университете Министерства внутренних дел Российской Федерации в Воронежском институте Министерства внутренних дел Российской Федерации; в Военном институте радиоэлектроники Министерства обороны Российской Федерации; в Главном управлении внутренних дел Воронежской области.

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. Всероссийской научно-практической конференции «Охрана и безопасность 2001» - Воронеж, 2001 г. [118].

2. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г. [89].

3. Всероссийской конференции «Информационная безопасность России в условиях глобального информационного общества» - Москва, 2003 г. [80].

4. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2004 г. [88].

5. Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» - Воронеж, 2005 г. [99].

Публикации: По теме диссертации опубликовано 10 статей [78, 80 -84, 90, 99, 119, 132, 135].

В работах, опубликованных в соавторстве, лично соискателем предложено: в [78] - рассматривать угрозы компьютерной безопасности информационным системам органов внутренних дел как одни из наиболее серьезных; в [80] - в качестве одного из оснований для классификации атак на информационные ресурсы компьютерных сетей использовать тип используемых уязвимостей системы защиты информации; в [81] - анализ последствий воздействия угроз несанкционированного доступа в информационно-телекоммуникационных системах осуществлять с позиций оценки уязвимости элементов этих систем; в [82] - использовать некоторые типы дизассемблеров для получения наиболее достоверных исходных кодов вредоносных программ; в [83] - анализировать воздействия компьютерных вирусов с учетом комплексного проявления ими свойств ассоциативности, репликативности и полиморфизма; в [84] - осуществлять проверку функций операционных систем на возможность проявления вредоносных свойств; в [88] - рассматривать процесс обнаружения угроз информационной безопасности компьютерным сетям с позиций теории распознавания; в [89] - способ идентификации противоправных действий в сфере компьютерной информации, основанный контроле корректности хода выполнения программ в контрольных точках вычислительного процесса; в [90] - использовать методы теории моделирования в интересах идентификации противоправных действий в сфере компьютерной информации; в [118] - вводить в компоненты программного обеспечения дополнительные параметры, характеризующие корректность реализации этих компонент; в [119] - использовать в качестве средств идентификации признаков противоправных действий в сфере компьютерной информации ряд компонент системного и прикладного программного обеспечения; в [132] - исследовать вирусные полиморфик-технологии как один из основных механизмов обеспечения живучести вредоносных программ; в [135] - исследовать сетевой трафик с позиций его уязвимости для несанкционированного анализа.

Структура и объем работы. Диссертация состоит из введения, четырех глав, изложенных на 140 страницах машинописного текста, 27 рисунков, 5 таблиц, заключения и библиографического списка использованной литературы, содержащего 147 наименований.

Выводы по четвертой главе

Применение разработанного в диссертации способа выявления противоправных действий в сфере компьютерной информации позволяет обеспечить вероятность их идентификации порядка 0.99, что значительно превышает значение данного показателя в условиях традиционного анализа.

ЗАКЛЮЧЕНИЕ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Обоснована возможность выявления противоправных действий в сфере компьютерной информации на основе их распознавания как вредоносных воздействий на информацию защищенных информационных систем.

2. Разработана функциональная модель противоправных действий в отношении информационных ресурсов защищенных информационных систем.

3. Разработан метод распознавания вредоносных воздействий на информацию защищенных информационных систем на основе анализа идентифицирующих признаков противоправных действий в сфере компьютерной информации.

4. Предложены варианты способов и средств выявления идентифицирующих признаков противоправных действий в отношении информации защищенных информационных систем.

Новым практическим результатом, полученным в диссертации является обоснование возможности распознавания противоправных действий в отношении информационных ресурсов защищенных информационных систем с вероятностью идентификации такого рода действий не менее 0.99, что значительно превышает значение данного показателя в условиях традиционного анализа.

1. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов / В.Г. Олифер, Н.А. Олифер - СПб.: Питер, 2003. - 864 с.

2. Гаранин, М.В. Системы и сети передачи данных: учебное пособие / М.В. Гаранин, В.И. Журавлев, С.В. Кунегин. М.: Радио и связь, 2001.-336 с.

3. Крук, Б.И. Телекоммуникационные системы и сети: учебное пособие: в 3 т. Т. 1: Современные технологии / Б.И. Крук, В.Н. Попантонопу-ло, В.П. Шувалов. М.: Горячая линия - Телеком, 2003. - 647 с.

4. Информатика: учебник / под ред. Н.В. Макаровой. М.: Финансы и статистика, 1997. - 768 с.

5. Кульгин, М. Технологии корпоративных сетей. Энциклопедия / М. Кульгин СПб.: Питер, 2000. - 704 с.

6. Телекоммуникации. Мир и Россия. Состояние и тенденции развития / Н.Т. Клещев, А.А. Федулов, В.М. Симонов и др. — М.: Радио и связь, 1999.-480 с.

7. Гаврилов, О.А. Компьютерные технологии в правоохранительной деятельности: учебное пособие / О.А. Гаврилов. М.: Издательская группа НОРМА-ИНФРА-М, 1999. - 108 с.

8. Овчинский, С.С. Оперативно-розыскная информация / С.С. Ов-чинский; под ред. А.С. Овчинского и B.C. Овчинского. М.: ИНФРА-М, 2000. - 367 с.

9. Овчинский А.С. Информация и оперативно-розыскная деятельность: монография / А.С. Овчинский. М.: ИНФРА-М, 2002. - 97 с.

10. Обеспечение безопасности информации в центрах управления полетами космических аппаратов / JI.M. Ухлинов, М.П. Сычев, В.Ю. Ски-ба, О.В. Казарин. М.: Издательство МГТУ им. Баумана, 2000. - 366 с.

11. Борисов, М.А. Экспресс-оценка необходимости защиты конфиденциальной информации на отдельном предприятии / М.А. Борисов // Безопасность информационных технологий. М.: МИФИ, 2004. - № 1. - С. 39-42.

12. Боридько, С.И. Инфокоммуникационный терроризм технологическая угроза в информационной сфере / С.И. Бридько, Ю.И. Коваленко // Безопасность информационных технологий. -М.: МИФИ, 2005. - № 2. - С. 5-13.

13. Теоретические основы информатики и информационная безопасность: монография / под ред. В.А. Минаева и В.Н. Саблина — М.: Радио и связь, 2000. — 468 с.

14. Основы информационной безопасности: учебник для высших учебных заведений МВД России / под ред. В.А. Минаева и С.В. Скрыль. — Воронеж: Воронежский институт МВД России, 2001. — 464 с.

15. Информация ограниченного доступа в сфере государственного и муниципального управления / В.Г. Кулаков, А.К. Соловьев, В.Г. Кобяшев, А.А. Королев, А.Б. Андреев, А.В. Заряев, С.В. Скрыль, И.В. Пенынин, Г.А. Остапенко. Воронеж: ВИ МВД России, 2002. - 88 с.

16. Батурин, Ю.М. Компьютерная преступность и компьютерная безопасность / Ю.М. Батурин, A.M. Жодзишкий. М.: Юридическая литература, 1991. - 160 с.

17. Крылов, В.В. Информационные компьютерные преступления / В.В. Крылов. — М., 1997. — 285 с.

18. Панфилова, Е.И. Компьютерные преступления / Е.И. Панфилова, А.Н. Попов: серия «Современные стандарты в уголовном праве и уголовном процессе» / науч. ред. проф. Б.В. Волженкин. СПб.: Санкт

19. Петербургский юридический институт Генеральной прокуратуры Российской Федерации, 1998. 48 с.

20. Айков, Д. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями / Д. Айков, К. Сейгер, У. Фонсторх: пер. с англ. -М.: Мир, 1999. 351 с.

21. Волеводз, А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества / А.Г. Волеводз. М.: ООО Издательство «Юрлитинформ», 2002. - 496 с.

22. Мещеряков, В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования / В.А. Мещеряков. Воронеж: Изд-во Воронежского государственного университета, 2002. - 408 с.

23. Защита информации в компьютерных системах под ред. Э.М. Шмакова. СПб.: Изд-во Санкт-Петербургского государственного технологического университета, 1993. - 100 с.

24. Мафтик, С. Механизмы защиты в сетях ЭВМ / С. Мафтик: пер. с англ. М.: Мир, 1993. - 216 с.

25. Защита информации в персональных ЭВМ / А.В. Спесивцев, В.А. Вегнер, А.Ю. Крутяков и др. М.: Радио и связь, 1993. - 192 с.

26. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных: в 2 кн. Кн. 1 / В.А. Герасименко. М.: Энер-гоатомиздат, 1994. - 400 с.

27. Герасименко, В.А. Защита информации в автоматизированных системах обработки данных: в 2 кн. Кн. 2 / В.А. Герасименко. М.: Энер-гоатомиздат, 1994. - 176 с.

28. Гайкович, В.Ю. Основы безопасности информационных технологий / В.Ю. Гайкович, Д.В. Ершов. М.: МИФИ, 1995.-365 с.

29. Ярочкин, В.И. Безопасность информационных систем / В.И. Яроч-кин. -М.: «Ось-89», 1996. 320 с. (Безопасность предпринимательства).

30. Защита прав создателей и пользователей программ для ЭВМ и баз данных (комментарий российского законодательства): сборник статей / JI.K. Терещенко, Е.К. Волчинская, Г.В. Виталиев и др. М.: Российская правовая академия МЮ РФ, 1996. - 324 с.

31. Зегжда, П.Д. Теория и практика обеспечения информационной безопасности / П.Д. Зегжда. М.: Издательство «Яхтсмен», 1996. - 192 с.

32. Грушо, А.А. Основы защиты информации /А.А. Грушо, Е.Е. Тимонина. -М.: Яхтсмен, 1996. 192 с.

33. Герасименко, В.А. Основы защиты информации: учебник для высших учебных заведений Министерства общего и профессионального образования РФ / В.А. Герасименко, А.А. Малюк. М.: МИФИ, 1997. - 538 с.

34. Пилюгин, П.JI. Общие вопрос защиты вычислительных систем и особенности защиты персональных компьютеров: Курс лекций / П.Л. Пилюгин. М.: Войсковая часть 33965, 1997. - 84 с.

35. Тайли, Э. Безопасность персонального компьютера: пер. с англ. / Э. Тайли -Мн.: ООО «Попурри», 1997. 480 с.

36. Мельников, В.В. Защита информации в компьютерных системах / В.В. Мельников. -М.: Финансы и статистика; Электронинформ, 1997. 368 с.

37. Крылов, В.В. Расследование преступлений в сфере информации / В.В. Крылов. М.: Издательство «Гордец», 1998. - 264 с.

38. Галатенко, В.А. Информационная безопасность: практический подход / В.А. Галатенко. М.: Наука, 1998. - 301 с.

39. Симкин, Л.С. Программы для ЭВМ: правовая охрана (правовые средства против компьютерного пиратства) / А.В. Соколов, О.М. Степа-нюк. М.: Издательства «Городец», 1998. - 208 с.

40. Курушин, В.Д. Компьютерные преступления и информационная безопасность / В.Д. Курушин, В.А. Минаев. М.: Новый Юрист, 1998. - 256 с.

41. Расследование неправомерного доступа к компьютерной информации / под ред. Н.Г. Шурухнова. М.: Издательство «Щит-М», 1999. - 254 с.

42. Белкин, П.Ю. Программно-аппаратные средства обеспечения компьютерной безопасности. Защита программ и данных / П.Ю. Белкин, О.О. Михальский, А.С. Першаков и др. М.: Радио и связь, 1999. - 168 с.

43. Гунтарь, К.Ю. Защита информации в компьютерных системах / К.Ю. Гунтарь, А.Ю. Гунтарь, Д.А. Янишевский. Киев: «Корншчук», 2000.- 152 с.

44. Анин, Б.Ю. Защита компьютерной информации / Б.Ю. Анин. -СПб.: БХВ Санк-Петербург, 2000. - 384 с.

45. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах: учебное пособие для вузов. М.: Радио и связь, 2000. - 168 с.

46. Соколов, А.В. Методы информационной защиты объектов и компьютерных сетей / А.В. Соколов, О.М. Степанюк. М.: ООО «Фирма "Издательство ACT"»; СПб.: ООО «Издательство "Полигон"», 2000. - 272 с. («Шпионские штучки»).

47. Терентьев, A.M. Антивирусная защита ПК в Windows 95/98/NT /

48. A.M. Терентьев: Справочное руководство по антивирусным средствам ЗАО «Диалог-Наука». -М.: Перспектива, 2000. 104 с.

49. Теоретические основы компьютерной безопасности: учебное пособие / П.Н. Девянин, О.О. Михальский, Д.П. Правиков и др. М.: Радио и связь, 2000.-192 с.

50. Ярочкин, В.И. Информационная безопасность: учебное пособие /

51. B.И. Ярочкин. -М.: Международные отношения, 2000. 400 с.

52. Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

53. Петраков, А.В. Основы практической защиты информации / А.В. Петраков. М.:-Радио и связь, 2000. - 368 с.

54. Гаврилин, Ю.В. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Ю.В. Гаврилин; Под ред. профессора Н.Г. Шурухова. М.: ЮИ МВД РФ, Книжный мир, 2001. - 88 с.

55. Приходько, А.Я. Информационная безопасность в событиях и фактах / А.Я. Приходько. (Серия «Информационная безопасность»). М.: СИНТЕГ, 2001.-260 с.

56. Андреев, Б.В. Расследование преступлений в сфере компьютерной информации / Б.В. Андреев, П.Н. Пак, В.П. Хорст. М.: ООО Издательство «Юрлитинформ», 2001. - 152 с.

57. Романец, Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. М.: Радио и связь,2001.-376 с.

58. Соколов, А.В. Защита информации в в распределенных корпоративных сетях и системах / А.В. Соколов, В.Ф. Шаньгин. М.: ДМК Пресс,2002. 656 е.: ил. (Серия «Администрирование и защита»).

59. Степанов, Е.А. Управление персоналом: Персонал в системе защиты информации: учебное пособие / Е.А. Степанов. М.: Форум; ИНФРА-М, 2002. - 288 с.

60. Козлов, В.Е. Теория и практика борьбы с компьютерной преступностью / В.Е. Козлов. М.: Горячая линия - Телеком, 2002. - 176 с.

61. Преступления в сфере компьютерных преступлений: квалификация и доказывание: учебное пособие / под ред. Ю.В. Гаврилина. М.: ЮИ МВД РФ, 2003.-245 с.

62. Информационная безопасность телекоммуникационных систем (технические вопросы): учебное пособие для системы высшего профессионального образования России / В.Г. Кулаков, А.В. Заряев, С.В. Скрыль. -М.: Радио и связь, 2004. 388 с.

63. Касперски, К. Техника сетевых атак. Приемы противодействия / К. Касперски. М.: Солон-Р, 2001. - 397 с.

64. Тюнякин, Р.Н. Особенности проектирования средств оперативного анализа воздействий вредоносных программ / С.С. Кочедыков, В.В. Киселев, Р.Н. Тюнякин. Вестник ВИ МВД России. 2001 №2(9). - С. 156 - 157.

65. Исследование воздействий вирусных программ на информационно-телекоммуникационные системы. / А.А. Ильин, П.Ф. Сушков, Тюнякин Р.Н. // Информация и безопасность: региональный научный вестник. Выпуск 1, - Воронеж: 2001 - С. 68 - 69.

66. О возможности инициализации вредоносных программ в обход стандартных способов запуска / В.В. Киселев, Р.Н. Тюнякин, К.С. Скрыль // Информация и безопасность. Выпуск 1. - Воронеж: ВГТУ, 2003. -С.123- 124.

67. Горелик, A.JI. Методы распознавания: учебное пособие для вузов / A.JI. Горелик, В.А. Скрипкин. М.: Высшая школа, 1977. - 222 с.

68. Фу, К. Структурные методы в распознавании образов: пер. с англ. / К. Фу. М.: Мир, 1977. - 319 с.

69. Фукунага, К. Введение в статистическую теорию распознавания образов: пер. с англ. / К. Фукунага. М.: Наука, 1979. - 368 с.

70. План основных организационных мероприятий МВД России на 2005 год от 15 декабря 2004 г. -М.: МВД, 2005. 60 с. ДСП.

71. План научной деятельности Воронежского института МВД России на 2005 год от 29 декабря 2004 г. Воронеж: Воронежский институт МВД России, 2004.-71 с.

72. Левин, М. Методы хакерских атак / М.Левин. М.: Познавательная книга плюс, 2001. - 224 с.

73. Вехов, В.Б. Компьютерные преступления: способы совершения и раскрытия / В.Б. Вехов. М.: Право и Закон, 1996. - 182 с.

74. Соловьев, Л.Н. Вредоносные программы: расследование и предупреждение преступлений / Л.Н. Соловьев. М.: Собрание, 2004. - 224 с.

75. Александров, Е.А. Основы теории эвристических решений / Е.А. Александров. М.: Сов. радио, 1975. - 256 с.

76. Статистические и динамические экспертные системы. / Э.В. Попов, И.Б. Фоминых, Е.Б. Кисель, М.Д. Шапот. М.: Финансы и статистика, 1997.-320 с.

77. Поспелов, Д.А. Логико-лингвистические модели в системах управления / Д.А. Поспелов. М.: Энергия, 1981. - 231 с.

78. Поспелов, Д.А. Ситуационное управление: теория и практика / Д.А. Поспелов. М.: Наука, 1986. - 284 с.

79. Построение экспертных систем / под ред. Ф. Хейс-Рот. М.: Мир, 1987.-441 с.

80. Представление и использование знаний / под ред. X. Уэно, М. Исидука. М.: Мир, 1989. - 220 с.

81. Тюнякин, Р.Н. Особенности моделирования вредоносных воздействий на защищенные информационные системы в интересах выявления противоправных действий в сфере компьютерной информации / Р.Н. Тюнякин // Вестник ВИ МВД России. 2005. - № 5 (24) - С. 20 - 23'.

82. Советский энциклопедический словарь. М.: Сов. энциклопедия, 1981.- 1600 с.

83. Вилкас, Э.Й. Решения: теория, информация, моделирование / Э.Й. Вилкас, Е.З. Майминас. М.: Радио и связь, 1981. - 328 с.

84. Советов, Б.Я. Моделирование систем / Б.Я. Советов, С.А. Яковлев. М.: Высшая школа, 1985. - 271 с.

85. Кукин, В.И. Информатика: организация и управление / В.И, Ку-кин. М.: Экономика, 1991. - 167 с.

86. Волкова, В.Н. Основы теории систем и системного анализа / В.Н. Волкова, А.А. Денисов. СПб.: СПбГТУ, 1997. - 510 с.

87. ПО.Острейковский, В.А. Теория систем / В.А. Острейковский. М.: Высшая школа, 1997. - 240 с.

88. Калянов, Г.Н. CASE: Структурный системный анализ (автоматизация и применение) / Г.Н. Калянов. М.: Лори, 1996. - 242 с.

89. Карпычев, В.Ю. Теоретические и организационно-технические основы адаптивного управления информационными системами специального назначения: дис. д-ра техн. наук /В.Ю. Карпычев. М.: НПО «Спецтехника и связь» МВД России, 1999. - 399 с.

90. Карпычев, В.Ю. Концептуальное проектирование информационных систем: учебное пособие / В.Ю. Карпычев. М.: ГУ НПО «Спецтехника и связь» МВД России, 2002. - 132 с.

91. Силин, В.Б. Поиск структурных решений комбинаторными методами / В .Б. Силин. М.: МАИ, 1992. - 216 с.

92. Мир управления проектами / под ред. X. Решке, X. Шелле. М.: Алане, 1994.-303 с.

93. Пб.Танаев, B.C. Теория расписаний. Одностадийные системы / B.C. Танаев, B.C. Гордон, Я.М. Шафранский. М.: Наука, 1984. - 382 с.

94. Танаев, B.C. Теория расписаний / B.C. Танаев. — М.: Знание, 1988.-32 с.

95. Моделирование как методология криминалистического исследования в сфере компьютерной информации / С.В. Скрыль, В.А. Минаев, Р.Н. Тюнякин, Н.В. Филиппова // Безопасность информационных технологий. М.: МИФИ, 2005. - № 1. - С. 57-61.

96. Леонтьев, Б. Хакеры & Internet / Б. Леонтьев. М.: Познавательная книга, 1998.-430 с.

97. Петровкий, А. Эффективный хакинг для начинающих и не только / А. Петровский, Б. Леонтьев. -М.: Познавательная книга плюс, 1999. 192 с.

98. Леонтьев, Б. Хакеры, взломщики и другие информационные убийцы / Б. Леонтьев. М.: Познавательная книга плюс, 2000. - 736 с.

99. Леонтьев, Б. Хакинг без секретов / Б. Леонтьев. М.: Познавательная книга плюс, 2000. - 736 с.

100. Левин, М. Как стать хакером: справочник / М. Левин. М.: Оверлей, 2001.-326 с.

101. Левин, М. Руководство для хакеров / М. Левин. М.: Оверлей, 2001.-416 с.

102. Левин, М. Руководство для хакеров. Книга вторая: Электронные корсары / М. Левин М.: Оверлей, 2001. - 416 с.

103. Левин, М. Секреты компьютерных взломщиков: Крэкинг / М. Левин. М.: Познавательная книга плюс, 2001. - 224 с.

104. Щербаков, А.А. Разрушающие программные воздействия / А.А. Щербаков. М.: Эдель, 1993. - 64 с.

105. Касперский, Е.В. Компьютерные вирусы, что это такое и как с ними бороться / Е.В. Касперский. М.: СК Пресс, 1998. - 288 с.

106. Лихтарников, Л.М. Математическая логика / Л.М. Лихтарников, Т.Г. Сухачева. М.: Лань, 1998. 288 с.

107. Минаев, В.А. Компьютерные вирусы как системное зло / В.А. Минаев, С.В. Скрыль // Системы безопасности СБ-2002: материалы XI научно-технической конференции Международного форума информатизации. - М.: Академия ГПС, 2002. - С. 18 - 24.

108. Технологии разработки вредоносных программ на основе компьютерных вирусов / Е.Г. Геннадиева, П.Ф. Сушков, Р.Н. Тюнякин // Информация и безопасность. Вып.1. - Воронеж: ВГТУ, 2002. - С. 79-85.

109. Марченков, С.С. Замкнутые классы булевых функций / С.С. Марченков. -М.: Физматлит, 2001. 128 с.

110. Акимов, О.Е. Дискретная математика: логика, группы, графы / О.Е. Акимов. М.: Лаборатория Базовых Знаний, 2003. - 376 с.

111. Тюнякин, Р.Н. Технологии несанкционированного анализа сетевого трафика / В.В. Киселев, Р.Н. Тюнякин // Управление информационной безопасностью. 2004. - №3. - С. 17-18.

112. Гульев, И.А. Создаем вирус и антивирус / И.А. Гульев. М.: ДМК,1999.-304 с.

113. Шаталов, А.С. Криминалистические алгоритмы и программы. Теория. Проблемы. Прикладные аспекты / А.С. Шаталов. М.: Лига Разум,2000.-252 с.

114. Коваль, И. Как написать компьютерный вирус. Практика программирования на ассемблере / И. Коваль. СПб.: Символ-Плюс, 2000. - 192 с.

115. Козлов, Д.А. Энциклопедия компьютерных вирусов / Д.А. Козлов, А.А. Парандовский, А.К. Парандовский. -М.: Солон-Р, 2001. 464 с.

116. Фролов, А.В. Осторожно: компьютерные вирусы / А.В. Фролов, Г.В. Фролов. М.: ДИАЛОГ-МИФИ, 1996. - 256 с.

117. Эриксон, Джон. Хакинг. Искусство эксплойта / Джон Эриксон. -М.: Символ-Плюс, 2005. 240 с.

118. Колкутин, В.В. Судебные экспертизы / В.В. Колкутин, С.М. Зо-симов, Л.В. Пустовалов, С.Г. Харламов, С.А. Аксенов. М.: Юрлитин-форм, 2001.-288 с.

119. Российская, Е.Р. Судебная компьютерно-техническая экспертиза / Е.Р. Росинская, А.И. Усова. М.: Право и закон, 2001. - 416 с.144.3инин, A.M. Судебная экспертиза: учебник / A.M. Зинин, Н.П. Майлис. М.: Право и закон; Юрайт-издат, 2002. - 320 с.

120. Оперативно-розыскная деятельность: учебник. 2-е изд., доп. и перераб. / Под ред. К.К. Горянинова, B.C. Овчинского, Г.К. Синилова, А.Ю. Шумилова. М.: ИНФРА-М, 2004. - XIV, 848 с. - (Серия «Высшее образование»).

121. Вентцель, Е.С. Теория вероятностей / Е.С. Вентцель, JI.A. Овчаров. М.: Наука, 1973. - 366 с.