автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Нейросетевая система обнаружения атак на WWW-сервер



На правах рукописи

ХАФИЗОВ Артем Фоелевич

НЕЙРОСЕТЕВАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА WWW-СЕРВЕР

Специальность 05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

Автореферат диссертации на соискание ученой степени кандидата технических наук

УФА 2004

Работа выполнена на кафедре вычислительной техники и защиты информации Уфимского государственного авиационного технического университета

Научный руководитель: доктор технических наук, профессор

ВАСИЛЬЕВ Владимир Иванович

Официальные оппоненты: доктор технических наук, профессор

ЮСУПОВА Нафиса Исламовна

кандидат технических наук, доцент ПЕСТРИКОВ Владимир Анатольевич

Ведущая организация: РНТИК «Баштехинформ» Академии Наук РБ

Защита состоится « 2 » дп^ел-е 2004 г. в_часов на заседании

диссертационного совета К-212.288.01 при Уфимском государственном авиационном техническом университете по адресу:

450000, г.Уфа-центр, ул. К.Маркса, 12.

С диссертацией можно ознакомится в библиотеке Уфимского государственного авиационного технического университета.

Автореферат разослан «_»_2004 г.

Ученый секретарь диссертационного совета, ^

кандидат физ.-мат. наук '"^Z/ Р.А. Гараев

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы

Эффективность функционирования современных информационных систем в значительной мере связана с проблемой защиты обрабатываемой в них информации. Сложность процессов обработки информации, сопутствующая современным системам, приводит к появлению большого числа ошибок в программном коде информационной системы. Данные ошибки способствуют появлению уязвимостей в программном коде, а следовательно, разнообразных атак, то есть способов получения несанкционированного доступа к.ресурсам информационной системы.

Анализ существующих систем защиты информации показывает, что их возможности не позволяют обеспечить безопасность информационной системы на достаточном уровне. Причиной этого является то, что процесс создания систем обнаружения атак сопряжен с рядом нерешенных научно - технических задач. Существующие системы обнаружения атак используют простейшие алгоритмы обработки поступающей информации, что не позволяет обнаружить значительное количество атак на информационные системы.

Анализ материалов, посвященных проблеме создания систем обнаружения атак, показывает, что создание эффективной системы обнаружения атак требует применения качественно новых подходов к обработке информации, которые должны основываться на сравнении действий пользователя с допустимой моделью его безопасной работы. Наиболее перспективным направлением в создании подобных систем обнаружения атак является применение математического аппарата нейронных сетей.

Вместе с тем, предлагаемые в публикациях решения по созданию подобных далеки от практического завершения и не позволяют реализовать эффективную защиту современной информационной системы, в частности, \VWW-cepBepa. Поэтому проведение исследований в данной области является Цель работы

аМЗвлМШНОНАЛЬНА* £ БИБЛИОТЕКА |

Ц . б б

Целью диссертационной работы является разработка теороштасиигк ппнпВиМ ,1 практических подходов к созданию нейросетевой системы обнаружения атак на

информационную систему - WWW-сервера, а также создание исследовательского прототипа нейросетевой системы обнаружения атак.

Задачи исследования

Для достижения поставленной цели потребовалось решить следующие задачи:

1. Формализация задачи обнаружения атак на информационную систему (WWW-сервер).

2. Синтез структуры нейросетевой системы обнаружения атак.

3. Анализ особенностей применения нейросетевых технологий для обработки поступающей в систему информации.

4. Экспериментальные исследования и оптимизация параметров обучения гибридной нейронной сети.

5. Разработка исследовательского прототипа нейросетевой системы обнаружения атак, сравнение его характеристик с аналогичными современными системами.

Методы исследования

В работе использовались методы системного анализа и информатики, теории принятия решений, теории распознавания образов, теории нейронных сетей и нечеткой логики, а также теории математической статистики. Широко использовалось моделирование на персональных ЭВМ, в том числе с использованием самостоятельно разработанного автором программного обеспечения.

Результаты, выносимые на защиту

1. Подход к построению системы обнаружения атак, основанный на комплексировании существующих методов обнаружения атак.

2. Модель безопасной работы пользователя WWW - сервера.

3. Подход к обработке информации, основанный на применении математического аппарата нейронных сетей и когнитивной графики для решения задачи обнаружения атак.

4. Результаты исследований по формированию репрезентативного обучающего множества и поиску оптимальных параметров обучения нейронной

сети.

5. Структура и средства программной реализации исследовательского прототипа нейросетевой системы обнаружения атак.

Научная новизна

Научная новизна работы заключается в следующем:

1. Предложен и обоснован метод обнаружения атак, основанный на комбинированном применении методов поиска сигнатуры атаки и обнаружения аномалий в работе пользователя, позволяющий существенно улучшить характеристики обнаружения атак.

2. Предложен новый подход к обработке поступающий на WWW - сервер информации, заключающийся в представлении ее в виде графических образов (пифограмм), что позволяет использовать преимущества аппарата нейронных сетей для решения задачи распознавания атак.

3. На основании проведенных исследований показана возможность применения нейронной сети гибридной структуры CounterPropagation для обработки входных данных с целью достижения высокой эффективности обнаружения атак.

Практическая значимость и внедрение результатов работы

Практическая значимость результатов диссертации заключается в следующем:

1. Предложенный метод обнаружения атак может быть использован для построения систем обнаружения атак, превосходящих по своим характеристикам известные системы.

2. Предложенный подход к формированию обучающей выборки нейронной сети позволяет достичь высоких характеристик системы обнаружения атак за счет обеспечения требования репрезентативности выборки.

3. Выбранный подход, основанный на применении устойчивой к атакам программно - аппаратной платформы в виде операционной системы.и WWW -сервера, позволяет упростить реализацию системы обнаружения атак.

4. Реализованный исследовательский прототип нейросетевой системы обнаружения атак позволяет прозрачно интегрировать его с любым WWW -

сервером. По сравнению с распространенными системами обнаружения атак, величина ошибки обнаружения атак на WWW-сервер при этом снижается в 4 - 5 раз, а ущерб от атак - с 8% до 3% от ожидаемого объема годовой прибыли.

Основные результаты диссертационной работы внедрены в ОАО «Урало-Сибирский Банк» в виде методик обнаружения атак на основе нейронных сетей, проектирования и разработки системы обнаружения атак на WWW - сервер, а также программного обеспечения исследовательского прототипа нейросетевой системы обнаружения атак на WWW - сервер. Результаты работы внедрены в учебный процесс на базе Уфимского государственного авиационного технического университета и используются при проведении лабораторной работы «Моделирование работы нейронных сетей» по дисциплине «Системы искусственного интеллекта» для студентов специальности 220100, а также при чтении разделов дисциплины «Системы искусственного интеллекта» и «Применение искусственного интеллекта в системах защиты информации» для студентов специальностей 220100 и 220600.

Связь исследований с научными программами

Диссертационная работа связана с проведением исследований в рамках Федеральной целевой программы "Государственная поддержка интеграции высшего образования и фундаментальных наук на 1999-2002 гг.", в рамках международного проекта "Фундаментальные исследования и новые технологии проектирования сложных технических систем (проект П0039)" (2002 - 2005 гг.)

Апробация работы

Результаты работы опубликованы в 8 печатных трудах, в том числе в 1 статье в центральной печати и 7 трудах конференций. Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих международных конференциях:

- Международной научно - технической конференции. «Проблемы техники и технологии телекоммуникаций», Уфа (2000 г.);

- XXXIX Международной научной студенческой конференции «Студент и научно-технический прогресс», Новосибирск (2001 г.);

- Третьей международной конференции «Компьютерная наука и

информационные технологии» (CSIT2001), Уфа (2001 г.);

- Международной молодежной научно - технической конференции, «Интеллектуальные системы управления и обработки информации», Уфа (2001г.);

- УШ Всероссийской конференции «Нейрокомпьютеры и их применение -2002» с международным участием, Москва (2002 г.);

- Пятой международной- . научно-практической конференции «Информационная безопасность», Таганрог (2003 г.);

- Пятой международной конференции «Компьютерная наука и информационные технологии» (CSIT'2003), Уфа (2003 г.).

Структура и объем работы,

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 172 страницы машинописного текста, включая 31 рисунок и 25 таблиц. Список литературы содержит 132 наименования.

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ

Во введении обосновывается актуальность темьь исследований в области построения систем обнаружения атак, основанных на нейронных сетях, формулируются цель работы, решаемые в ней задачи, обсуждаются научная новизна и практическая ценность выносимых на защиту результатов.

В первой главе приводится общая характеристика информационной системы, а также возможных атак на нее. Подчеркивается, что в настоящее время существует большое количество атак, использующих различные способы, получения несанкционированного доступа. Сложность механизмов, реализации атак приводит к тому, что применение классических подходов (т.е. помещение сервера в демилитаризованную зону, фильтрация на уровне межсетевого экрана) не способно обеспечить защиту информационной системы от атак на достаточном уровне, что приводит к необходимости создания специализированных систем обнаружения атак.

Подчеркивается, что задача формализации атак на конкретную информационную систему является сложной задачей, которая зачастую решается очень поверхностно. Следствием данного факта является то, что универсальность

системы обнаружения атак приводит к ухудшению характеристик обнаружения атак. С другой стороны, создание системы обнаружения атак, ориентированных только на определенный тип атак, ухудшает степень защиты информационной системы в целом.

В работе делается акцент на то, что система обнаружения атак должна не только уметь обнаруживать атаки, но и правильно выбрать метод противодействия им (сигнализация о попытке несанкционированного доступа, блокирование входных данных, отказ в запросе). Показана взаимосвязь этапов противодействия атакам, проводится анализ возможности их реализации в системе обнаружения атак.

Приводятся сравнительные характеристики современных систем обнаружения атак. Показано, что практически все они обладают недостатками, которые являются следствием примененных в них методов обнаружения атак, основанных на поиске шаблонов данных и применении простейших логических правил. Подчеркивается, что данные методы достигли предела своих возможностей, и поэтому необходимо применение принципиально новых технологий обнаружения атак.

Выходом из сложившейся ситуации может быть использование методов обработки информации на основе нейронных сетей; предполагающих отказ от традиционных подходов: необходимости получения точной математической формализации атак, классификации всех возможных атак на информационную систему, необходимости хранения описания всех известных атак.

На основании проведенного анализа формулируются цель исследований и основные задачи, решаемые в диссертации. В качестве защищаемой информационной системы предлагается использовать Internet - магазин, характеризующийся наличием основных механизмов, на которые наиболее часто совершаются атаки.

Во второй главе осуществляется формализация задачи создания системы обнаружения атак: проводится анализ характеристик защищаемой информационной системы, ее объектов и субъектов. Показано, что в защищаемой информационной системе используется сложный многоуровневый протокол

информационного обмена с пользователем-(с одновременным использованием протоколов IP, TCP, HTTP, HTTPS, CGI, SQLNet). Подчеркивается, что для решения задачи обнаружения атак на защищаемую информационную систему необходимо осуществлять поиск атак на всех вышеперечисленных протоколах.

В работе производится классификация и исследование возможных атак на рассматриваемую информационную систему, а также анализ мер, направленных на противодействие атакам.

Общая идея рассматриваемого подхода к обеспечению защиты информационной системы заключается в установке системы обнаружения атакЛ разрыв информационного обмена между пользователем и сервером системы и применении комбинированного подхода к обнаружению атак, основанного на анализе модели безопасных действий -пользователя. Данный подход позволяет достичь необходимой глубины анализа входных данных и полностью исключить возможность попадания запроса, соответствующего атаке, в информационную систему.

На основе представления входных данных в виде двух непересекающихся множеств (атака и безопасные действия пользователя), показано, что задача обнаружения атак относится к задачам теории принятия решений, а ее решающее правило - к классу правил Байеса. Таким образом, набор входных данных будет отнесен к одному из классов с учетом ошибок первого ("ложная тревога") или второго ("пропуск цели") рода, а задачей анализа входных данных является минимизация риска, характеризующего средние потери от принятия ошибочных решений:

Любая информационная система ограничена объемом входных данных, который она может обработать за определенный такт своей работы. Это означает, что множество входных данных М - конечно. Разбиваем данное множество М на два подмножества А и В - данные, которые считаются атакой (множество А), и данные, которые считаются безопасными для системы (множество В). Ясно, что:

W = 6XPX +S2P2.

О)

ЛсЛ/, ВсЛ/, B = 0 AYB=M,

(2)

Формализация элементов множества А и их дальнейший поиск во входном потоке данных лежит в основе метода обнаружения атак, основанного на методе поиска сигнатур. Как правило, в классических системах обнаружения атак сигнатура представлена в виде - некоторого шаблона значений. Ограничения, связанные с возможностью современных вычислительных систем, приводят к тому, что:

- не все элементы множества А помещаются в базу сигнатур атак;

- некоторые шаблоны значений охватывают не только элементы множества А, но и часть элементов множества В.

Вероятность ошибки первого рода Р/для данного метода составляет

(3)

г д 1/(2) функция, определяющая число элементов конечного множества Ъ; Аупрл - сигнатура атаки, содержащая элементы из множеств А и В. Вероятность ошибки второго рода для метода поиска сигнатур равна

(4)

Атака основывается на уязвимости информационной системы, т е. на ошибке в программном обеспечении. Т.к. невозможно формализовать все уязвимости, которые существуют в информационной системе, следовательно, полный набор элементов множества А неизвестен. Таким образом, данный метод способен обеспечить защиту только от известных атак.

Второй метод обнаружения атак (метод обнаружения аномалий в работе пользователя) основан, на поиске данных, поступающих, в информационную систему, с элементами из множества В. В случае, если совпадения не найдено, считается, что входные данные являются атакой.

Значения вероятностей ошибки первого и второго родов для метода обнаружения аномалий соответственно равны

(6)

ЕГ отличие от метода поиска сигнатур, все элементы множества В (а следовательно, и множества А) теоретически известны, т.е. вероятности ошибок и первого, и второго родов можно снизить до нулевого значения. Однако, реализация данного метода сталкивается с ограничениями, связанными со сложностью функционирования современных информационных систем, что приводит к недостаточно полной и точной формализации элементов множества В. Следствием данного ограничения являются. неприемлемо высокие. значения вероятностей ошибок обнаружения атак.

На основании проведенного анализа- причин возникновения данных недостатков предлагается оригинальный комплексный метод, позволяющий улучшить характеристики обнаружения атак.

Показано, что внесение корректирующих значений, соответствующих безопасной работе пользователя при реализации метода, основанного на поиске сигнатур атак, приводит к снижению вероятности ошибки второго рода:

_¥{В\ I А%)

¥(В)

(6)

Также показано, что улучшение характеристик обнаружения атак в методе обнаружения- аномалий при работе пользователя достигается за счет дополнительной проверки« уточняющих сигнатур атак, при этом значение вероятности ошибки первого рода снижается:

¥{А\ В£Ь-г(А™и I в£>)

р,=-

¥{А)

(7)

Графическая интерпретация предлагаемого комплексного метода обнаружения атак представлена на рисунке 1.

Рис.1. Графическая интерпретация предлагаемого комплексного метода обнаружения атак

В результате проведенной формализации задачи обнаружения атак предлагается структура нейросетевой системы обнаружения атак, основанная на представлении защищаемой информационной системы в виде "черного ящика". В этом случае считается, что для обеспечения защиты информационной системы необходимо и достаточно блокировать попадание на ее вход данных, соответствующих атаке.

Рис. 2. Синтезированная структура исследовательского прототипа нейросетевой системы обнаружения атак

В качестве метода обнаружения атак использован комплексный метод, основанный на добавлении уточняющих сигнатур в метод обнаружения аномалий в работе пользователя. Учитывая сложность многоуровневого протокола информационного обмена с пользователем, автором синтезирована структура

исследовательского прототипа нейросетевой системы обнаружения атак (рисунок

2). Показано, что предложенное в диссертационной работе применение устойчивых к атакам операционной системы и 'М^^-сервера позволило уменьшить объем данных, требуемых для анализа системой обнаружения атак.

Формализованная модель безопасных действий пользователя представлена в виде набора пар «имя переменной = значение переменной», где в качестве имени переменной выступают С01-переменные, НТТР-поля и СссМе-переменные, что позволило осуществлять глубокий анализ входных данных. Показано, что синтезированная структура исследовательского прототипа обнаружения атак вместе с данной моделью позволяет обеспечить защиту от атак на любых уровнях модели 081.

Отмечено, что предложенная структура нейросетевой системы обнаружения атак может быть применена для защиты не только 'Минресурсов, но систем, использующих аналогичные механизмы взаимодействия с пользователем (сервера РТР,8МТР,Р0Р3НТ.А.).

В третьей главе проводится анализ возможных способов применения нейронных сетей для обнаружения атак, выявляются их преимущества и недостатки.

В качестве основы обработки входной информации рассматривается представление ее в форме, позволяющей эффективно использовать возможности нейронных сетей. В результате проведенного анализа характеристик входных данных предложено использовать метод представления данных в виде графических образов (пифограмм), применяемых в когнитивной графике (рисунок

3).

1 Ы 3 I 4 5

анализируемые эначетя

Рис 3. Представление данных в виде пифограммы

Учитывая сложность задачи, в качестве одной. из решаемых подзадач рассматривается задача минимизации размерности множества входных данных. В работе данная задача решается с помощью предварительного преобразования входных символов, заключающегося в классификации входного байта данных по классам (цифра, латинская буква, буква кириллицы, печатный символ).

слой Перселтронный

Кохонена слой

Рис. 4. Структура гибридной нейронной сети Counterpropagatюn

В работе проведен анализ возможностей использования различных структур нейронных сетей для решения задачи классификации пифограмм. Показано, что наилучшие характеристики обнаружения атак на основе пифограмм могут быть получены с использованием нейронной сети гибридной структуры Counterpropagation, состоящей из слоя нейронной сети Кохонена и персептронного слоя (рисунок 4).

Анализ характеристик атак показал, что атаки разных типов могут нанести различный ущерб защищаемой информационной системе. Для выбора оптимальных мер противодействия, каждому классу атаки предложено сопоставить по одному выходу нейронной сети. Однако, в целях упрощения реализации исследовательского прототипа нейросетевой системы обнаружения атак, число выходов было принято равным 1, и результатом работы нейронной сети считалось значение, сигнализирующее о наличии либо отсутствии атаки любого типа.

Анализ показал, что репрезентативность обучающей выборки может быть достигнута в результате применения стратифицированного метода формирования элементов выборки с учетом бесповторного отбора значений. Для формирования групповой подвыборки предлагается использовать данные реальной работы пользователей за некоторый промежуток времени.

О -1--1-1-1-1-1-1-1-1 эксперименты

1-2345678

.......вероятность ошибки первого рода

----вероятность ошибки второго рода

риск

Рис. 5. Снижение значений ошибок обнаружения в процессе оптимизации

Учитывая то, что задача определения оптимальных параметров обучения нейронной сети является многопараметрической, для решения данной задачи проведена серия экспериментов. Показано, что в результате последовательной оптимизации параметров обучения сети величина ошибки обнаружения атак, а также риска (1) уменьшается, и на 8 шаге она в 8-12 раз лучше-неоптимизированного значения (рисунок 5).

В четвертой- главе рассмотрены различные варианты программно -аппаратной реализации исследовательского прототипа нейросетевой системы обнаружения атак. Произведена сравнительная оценка характеристик современных операционных систем и WWW - серверов, являющихся платформой функционирования модуля обнаружения атак в соответствии с синтезированной ранее структурой.

В результате проведенного анализа, в качестве такой платформы выбран WWW- сервер Apache 1.3, функционирующий на основе операционной системы Linux RedHat 7.1. Программный модуль прототипа нейросетевой системы

обнаружения атак реализован в виде статического модуля Apache с использованием языка программирования Perl. В качестве библиотеки для работы с нейронными сетями в прототипе нейросетевой системы обнаружения атак использован продукт Штутгартского Института параллельных и распределенных высоко-производительных систем SNNS 4.2.

Произведена сравнительная оценка характеристик разработанного прототипа нейросетевой системы обнаружения атак с системами аналогичного назначения. Для оценки были использованы современные сканеры уязвимостей (Nessus, Nikto, XSpider, Retina, ISS Internet Scanner, N-Stealth HTTP). Показано, что риск ошибки обнаружения атак, соответствующий разработанному прототипу, в 4-5 раз меньше аналогичной величины для современных систем обнаружения атак.

В работе была произведена оценка экономического эффекта от внедрения разработанной нейросетевой системы обнаружения атак. На основе сопоставления ущерба от воздействия каждого из классов атак, а также вероятности их появления была получена величина ежегодного ущерба, соответствующего современным системам обнаружения атак (Snort, RealSecure), a также разработанному, прототипу нейросетевой системы обнаружения атак. Показано, что применение созданного прототипа позволит снизить ущерб от воздействия атак с 8% до 3% от ожидаемого объема годовой прибыли.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Предложен и обоснован подход к построению системы обнаружения атак, основанный на комплексировании существующих методов обнаружения атак. Показано, что данный подход более эффективен по сравнению с известными методами обнаружения атак.

2. Формализована модель безопасной работы пользователя WWW - сервера, позволяющая обеспечить требуемые характеристики обнаружения атак.

3. Предложен и обоснован подход к обработке информации, основанный на применении математического аппарата нейронных сетей и когнитивной графики к решению задач распознавания пифограмм атаки и безопасной работы

пользователя.

4. Проведены исследования по формированию репрезентативного обучающего множества и поиску оптимальных параметров обучения нейронной сети. Показано, что в результате оптимизации параметров обучения сети величина ошибки обнаружения атак уменьшается в 8-12 раз.

5. Разработана структура прототипа нейросетевой системы обнаружения атак. Выполнена программная реализация исследовательского прототипа нейросетевой системы обнаружения атак на WWW - сервер. Показано, что разработанный прототип позволяет прозрачно интегрировать его с любым WWW - сервером. По сравнению с распространенными системами обнаружения атак, величина ошибки обнаружения атак при этом снижается в 4 - 5 раз, а ущерб от атак - с 8% до 3% от ожидаемого объема годовой прибыли;

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Васильев В.И., Хафизов А.Ф. Анализ проблемы обнаружения и противодействия атакам типа "отказ в обслуживании" на общедоступные сервера в сети INTERNET // "Проблемы техники и технологии телекоммуникаций": материалы Международной научно - технической конференции, Уфа, 15-16 июня 2000 г. - С.94-96.

2. Васильев В.И., Хафизов А.Ф. Применение нейронных сетей при обнаружении атак на компьютеры в сети Internet (на примере атаки SYNFLOOD) // Нейрокомпьютеры: разработка и применение, № 4-5,2001. - С.108 -114.

3. Хафизов А.Ф. Реализация систем обнаружения атак на сетевые ресурсы на основе нейросетевых технологий // "Студент и научно-технический прогресс": материалы XXXIX Международной научной студенческой конференции, Новосибирск, 9-13 апреля 2001 г. - С.216-217.

4. Khafizov A.F. Intrusion Detection in WEB Technology Using Neural Networks // Proceedings of the 3rd International Workshop on Computer Science and Information Technologies (CSFTCOOl), Ufa, Russia, Sept.21-26,2001, pp. 191 - 194.

5. Хафизов А.Ф. Анализ проблем, связанных с разработкой систем защиты от атак на компьютерные системы // "Интеллектуальные системы управления и

обработки информации": материалы Международной молодежной научно -технической конференции, Уфа, 5-6 декабря 2001 г. - С. 215.

6. Васильев В И., Хафизов А.Ф. Проблемы создания нейросетевых экспертных систем обнаружения атак в компьютерных сетях // "Нейрокомпьютеры и их применение - 2002": материалы VIII Всероссийской конференции с международным участием, Москва, 21-22 марта 2002 г. - С. 187189.

7. Васильев В.И., Хафизов А.Ф. Нейросетевой подход к обеспечению информационной безопасности в сложных информационных системах // "Информационная безопасность": материалы Пятой международной научно-практической конференции, Таганрог, 3-8 июня 2003 г. - С.187-189.

8. Vasilyev V.I., Kharkov A.F. Problems in Application of Neural Network Technology for Intrusion Detection in Computer Systems: The Classification and Solutions // Proceedings of the 5th International Workshop on Computer Science and Information Technologies (CSIT2003), Ufa, Russia, Sept. 16-18,2003, pp.170 - 174.

t^f— А. Ф. Хафизов

Хафизов Артем Фоелевич

НЕЙРОСЕТЕВАЯ СИСТЕМА ОБНАРУЖЕНИЯ АТАК НА МММ-СЕРВЕР

Специальность 05 Л 3.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

Автореферат диссертации на соискание ученой степени кандидата технических наук

Подписано к печати 27.02.2004. Формат 60x84 1/16 Бумага офсетная. Печать плоская. Гарнитура Тайме. Усл. печ. л. 1,0. Усл. кр.-отт. 1,0. Уч.-изд. л. 0,9. Тираж 100 экз. Заказ № 178

Уфимский государственный авиационный технический университет Центр оперативной полиграфии 450000, Уфа - центр, ул. К.Маркса, 12

1- 49 6 5

ВВЕДЕНИЕ

ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ СИСТЕМ ОБНАРУЖЕНИЯ АТАК НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ

1.1 Классификация атак на информационные системы.--------.

1.1.1 Информационная система .—..----------.—.

1.1.2 Атака как дестабилизирующий фактор в работе информационной системы.

1.13 Противодействие атаке.

1.1.4 Система обнаружения атак (COA).

1.2 Обзор современных COA..—.

1.2.1 Основные характеристики современных COA

1.2.2 Сравнительный анализ характеристик современных СОА.

13 Нейросетевые технологии как перспективное направление создания COA

1.3.1 Доказательство преимуществ нейросетевых технологий для решения задачи обнаружения атаки.

13.2 Проблемы применения нейросетевых технологий.

133 Недостатки существующих подходов к созданию нейросетевых

1.4 Выводы по первой главе. Постановка задачи исследования.-----------.

ГЛАВА 2. ФОРМАЛИЗАЦИЯ ЗАДАЧИ СОЗДАНИЯ COA

2.1 Среда функционирования WWW приложения

2.2 Запрос пользователя в информационную систему

23 Ответ информационной системы пользователю.

2.4 Анализ уязвимостей информационной системы, основанных на них атак и способов борьбы с ними

2.5 Формализация задачи обнаружения атак.

2.6 Анализ методов обнаружения атак

2.6.1 Технология обнаружения атак.--------..

2.6.2 Метод обнаружения атак, основанный на поиске сигнатуры атаки.....—.—.

2.63 Метод обнаружения атак, основанный на поиске аномалий

2.6.4 Комбинированный метод обнаружения атак

2.7 Подход к построению модели информационной системы.

2.8 Формализация безопасной модели действий пользователя...

2.9 Формализация задачи противодействия атаке

2.10 Синтезированная структура СОА.

2.11 Выводы по второй главе.------.------.

ГЛАВА 3. НЕЙРОСЕТЕВАЯ РЕАЛИЗАЦИЯ МОДУЛЯ АНАЛИЗА ВХОДНЫХ ДАННЫХ

3.1 Модель представления знаний..—.

3.2 Выбор топологии нейросети....—..

33 Анализ подходов к формированию обучающей выборки

3.4 Экспериментальные исследования зависимости характеристик обнаружения атак от реализации нейронной сети.

3.4.1 Формирование репрезентативной выборки—.—..

3.4.2 Исследования процесса обучения нейронной сети.

Выводы по третьей главе.

ГЛАВА 4. РАЗРАБОТКА ИССЛЕДОВАТЕЛЬСКОГО ПРОТОТИПА НЕЙРОСЕТЕВОЙ COA

4.1 Выбор программно — аппаратной платформы для реализации исследовательского прототипа COA.

4.2 Анализ возможности применения нейросетевого эмулятора SNNS.

43 Анализ возможности применения WWW сервера Apache

43.1 Архитектура WWW сервера Apache.----------.------.

43.2 Взаимодействие модуля COA с WWW сервером Apache

433 Взаимодействие модуля COA с информационной системой

4.4 Реализация модуля COA для WWW сервера Apache.

4.4.1 Модуль Apache обработчика входных данных.

4.4.2 Блок взаимодействия с нейросетевой логикой.

4.43 Блок противодействия атаке—.---------------------.

4.5 Оценка характеристик разработанной нейросетевой СОЛ.—.

4.5.1 Методика тестирования

4.5.2 Анализ возможности использования современных сканеров уязвимостей для тестирования СОЛ.

4.53 Анализ полученных характеристик разработанного прототипа нейросетевой СОЛ в сравнении с характеристиками современных COA

4.6 Выводы по четвертой главе.-------.—.—.---------.-------.

Актуальность темы

Эффективность функционирования современных информационных систем в значительной мере связана с проблемой защиты обрабатываемой в них информации. Сложность процессов обработки информации, сопутствующая современным системам, приводит к появлению большого числа ошибок в программном коде информационной системы. Данные ошибки способствуют появлению уязвимостей в программном коде, а следовательно, разнообразных атак, то есть способов получения несанкционированного доступа к ресурсам информационной системы.

Анализ существующих систем защиты информации показывает, что их возможности не позволяют обеспечить безопасность информационной системы на достаточном уровне. Причиной этого является то, что процесс создания систем обнаружения атак сопряжен с рядом нерешенных научно - технических задач. Существующие системы обнаружения атак используют простейшие алгоритмы обработки поступающей информации, что не позволяет обнаружить значительное количество атак на информационные системы.

Анализ материалов, посвященных проблеме создания систем обнаружения атак, показывает, что создание эффективной системы обнаружения атак требует применения качественно новых подходов к обработке информации, которые должны основываться на сравнении действий пользователя с допустимой моделью его безопасной работы. Наиболее перспективным направлением в создании подобных систем обнаружения атак является применение математического аппарата нейронных сетей. I

Вместе с тем, предлагаемые в публикациях решеНйя по созданию подобных далеки от практического завершения и не позволяют реализовать эффективную защиту современной информационной системы, в частности, \VWW-cepBepa. Поэтому проведение исследований в данной области является актуальным.

Цель работы

Целью диссертационной работы является разработка теоретических основ и практических подходов к созданию нейросетевой системы обнаружения атак на информационную систему - WWW-сервера, а также создание исследовательского прототипа нейросетевой системы обнаружения атак.

Задачи исследования

В процессе работы над диссертацией решались следующие задачи:

1. Формализация задачи обнаружения атак на информационную систему (WWW - сервер).

2. Синтез структуры нейросетевой системы обнаружения атак.

3. Анализ особенностей применения нейросетевых технологий для обработки поступающей в систему информации.

4. Экспериментальные исследования и оптимизация параметров обучения гибридной нейронной сети.

5. Разработка исследовательского прототипа нейросетевой системы обнаружения атак, сравнение его характеристик с аналогичными современными системами.

Методы исследования

В работе использовались методы системного анализа и информатики, теории принятия решений, теории распознавания образов, теории нейронных сетей и нечеткой логики, а также теории математической статистики. Широко использовалось моделирование на персональных ЭВМ, в том числе с использованием самостоятельно разработанного автором программного обеспечения.

Результаты, выносимые на защиту

1. Подход к построению системы обнаружения атак, основанный на комплексировании существующих методов обнаружения атак. 1

2. Модель безопасной работы пользователя WWW - сервера.

3. Подход к обработке информации, основанный на применении математического аппарата нейронных сетей и нечеткой логики к решению задач распознавания пифограмм атаки и безопасной работы пользователя.

4. Результаты исследований по формированию репрезентативного обучающего множества и поиску оптимальных параметров обучения нейронной сети.

5. Структура и средства программной реализации исследовательского прототипа нейросетевой системы обнаружения атак.

Научная новизна диссертационной работы заключается в следующем:

1. Предложен и обоснован метод обнаружения атак, основанный на комбинированном применении методов поиска сигнатуры атаки и обнаружения аномалий в работе пользователя, позволяющий существенно улучшить характеристики обнаружения атак.

2. Предложен новый поход к обработке поступающий на WWW -сервер информации, заключающийся в представлении ее в виде графических образов (пифограмм), что позволяет использовать преимущества аппарата нейронных сетей для решения задачи распознавания атак.

3. На основании проведенных исследований показана возможность применения нейронной сети гибридной структуры CounterPropagation для обработки входных данных с целью достижения высокой эффективности обнаружения атак.

Практическая ценность

Практическая ценность настоящей работы заключается в следующем:

1. Предложенный метод обнаружения атак может быть использован для построения систем обнаружения атак, превосходящим по своим характеристикам известные системы.

2. Предложенный подход к формированию обучающей выборки нейронной сети позволяет достичь высоких характеристик системы обнаружения атак за счет обеспечения требования репрезентативности выборки.

3. Выбранный подход, основанный на применении устойчивой к атакам программно - аппаратной платформы в виде операционной системы и WWW - сервера, позволяет упростить реализацию системы обнаружения атак.

4. Реализованный исследовательский прототип нейросетевой системы обнаружения атак позволяет прозрачно интегрировать его с любым WWW -сервером. По сравнению с распространенными системами обнаружения атак, величина ошибки обнаружения атак на WWW-сервер при этом снижается в 4 -5 раз, а ущерб от атак - с 8% до 3% от ожидаемого объема годовой прибыли.

Апробация работы

Результаты работы опубликованы в 8 печатных трудах, в том числе в 1 статье в центральной печати и 7 трудах конференций. Основные положения, представленные в диссертационной работе, докладывались и обсуждались на следующих международных конференциях:

Международной научно - технической конференции "Проблемы техники и технологии телекоммуникаций", Уфа (2000 г.);

XXXIX Международной научной студенческой конференции "Студент и научно-технический прогресс", Новосибирск (2001 г.);

Третьей международной конференции «Компьютерная наука и информационные технологии» (CSIT2001), Уфа (2001 г.);

Международной молодежной научно - технической конференции "Интеллектуальные системы управления и обработки информации", Уфа (2001 г.);

VIII Всероссийской конференции "Нейрокомпьютеры и их применение -2002" с международным участием, Москва (2002 г.);

Пятой международной научно-практической конференции "Информационная безопасность", Таганрог (2003 г.);

Пятой международной конференции «Компьютерная наука и информационные технологии» (CSIT2003), Уфа (2003 г.).

Основные результаты диссертационной работы внедрены в ОАО "Урало-Сибирский Банк" в виде методик обнаружения атак на основе нейронных сетей, проектирования и разработки системы обнаружения атак на

WWW - сервер, а также программного обеспечения исследовательского прототипа нейросетевой системы обнаружения атак на WWW - сервер. Результаты работы внедрены в учебный процесс на базе Уфимского государственного авиационного технического университета и используются при проведении лабороторной работы "Моделирование работы нейронных сетей" по дисциплине "Системы искусственного интеллекта" для студентов специальности 220100, а также при чтении разделов дисциплины "Системы искусственного интеллекта" и "Применение искусственного интеллекта в системах защиты информации" для студентов специальностей 220100 и 220600.

Структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 172 страницы машинописного текста, включая 32 рисунка и 27 таблиц. Список литературы содержит 131 наименование.

4.6 Выводы по четвертой главе

Конечным этапом проведения исследований является реализация и проверка характеристик исследовательского прототипа.

Учитывая сложность информационного обмена между клиентом Интернет - магазина и защищаемой системой, в процессе формализации задачи обнаружения атак было установлены требования, предъявляемые к программно-аппаратному комплексу, на котором будет функционировать исследовательский прототип нейросетевой COA.

Требования заключаются в обеспечении наивысшей степени устойчивости к атакам на уровнях модели OSI, ниже прикладного, а также на уровне протокола HTTP. В настоящей главе был произведен сравнительный анализ возможностей применения распространенных WWW-серверов и операционных систем в качестве платформы создания COA. Отбор претендентов осуществлялся на основе статистических данных их использования и базы данных найденных в них уязвимостей.

В результате проведения отбора, в качестве программно - аппаратной платформы был выбран WWW-сервер Apache версии 1.3, функционирующий на операционной системе RedHat Linux версии 7.1 на аппаратной платформе IBM PC. В качестве библиотеки, реализующей математический аппарат работы с нейронными сетями, был выбран продукт SNNS версии 4.2, а в качестве языка программирования высокого уровня, на котором был написан исследовательский прототип нейросетевой COA — Perl.

После реализации исследовательского прототипа, было произведено сравнение характеристик созданной COA с аналогичными характеристиками широко известных COA RealSecure Network Sensor и Snort. Для моделирования действий злоумышленника, было использовано несколько сканеров уязвимостей (Nessus, Nikto, Retina, ISS Internet Scanner, X-Spider, N-Stealth HTTP), а также использовалось репрезентативное множество тестовых запросов.

Анализ результатов тестирования показал, что созданный прототип нейросетевой COA имеет характеристики обнаружения атак, значительно (в 4-5 раз) превышающие возможности аналогичных COA. Совокупная эффективность от применения данной COA, основанная на экспертной оценке наиболее важных характеристик COA, также выше современных коммерческих и бесплатных COA.

Для оценки экономического эффекта от применения разработанного прототипа нейросетевой СОА, была произведена оценка возможного ущерба от воздействия атак в случае применения СОА различных типов. Было получено, что для моделируемого Интернет - магазина применение прототипа позволило значительно снизить ущерб (с 8% до 3% от общего объема продаж).

Данный факт говорит о правильности выбранного подхода применения математического аппарата нейронных сетей для решения задачи обнаружения атак и обеспечения защиты информационной системы.

ЗАКЛЮЧЕНИЕ

В диссертационной работе поставлена и решена задача создания теоретических и практических основ построения систем обнаружения атак на WWW - сервер на основе применения математического аппарата нейронных сетей.

К основным выводам и результатам исследований можно отнести следующее:

1. Подавляющее большинство современных коммерческих систем обнаружения атак на WWW - сервер не способны обеспечить их эффективную защиту, что требует применения принципиально новых подходов к обработке информации.

2. С применением системного подхода проведена формализация задачи обнаружения атак, произведена классификация атак на информационные системы, анализ возможных уязвимостей информационных систем, а также возможных мер противодействия атакам, позволившие выявить наиболее эффективные подходы к решению поставленной задачи. Предложен и обоснован метод обнаружения атак, основанный на комбинированном применении методов поиска сигнатуры атаки и обнаружения аномалий в работе пользователя, позволяющий существенно улучшить характеристики обнаружения атак.

3. На основе модели безопасной работы пользователя в информационной системе и предложенного подхода к упрощению задачи обработки информации, синтезирована структура нейросетевой системы обнаружения атак.

4. Предложен подход к решению задачи классификации образов, заключающийся в представлении входных данных в виде пифограмм и отнесения их с использованием нейронной сети к классам атаки либо безопасным действиям пользователя. В результате проведенного анализа для решения данной задачи выбрана гибридная нейронная сеть встречного распространения Counterpropagation.

5. Проведены исследования по определению оптимальных параметров алгоритмов обучения нейронной сети, включающие в себя:

- выбор методов формирования репрезентативных множеств, используемых в процессе обучения нейронной сети, а также методов оценки качества ее функционирования;

- поиск оптимальных значений параметров обучения нейронной сети. Показано, что оптимизация параметров обучения сети снижает величину ошибки обнаружения атак в 10 раз.

6. Разработан исследовательский прототип нейросетевой системы обнаружения атак. При этом на основании сравнительного анализа и выбора операционной системы и WWW сервера в качестве базового выбран сервер Apache, функционирующий на операционной системе RedHat Linux на аппаратной платформе IBM PC. Показано, что для реализации нейросетевой системы обнаружения атаки на WWW сервер можно воспользоваться инструментальными средствами нейропакета SNNS (версия 4.2). *

7. Результаты сравнительной оценки характеристик разработанного исследовательского прототипа нейросетевой системы обнаружения атак свидетельствуют о том, что:

- ошибки обнаружения атак, соответствующие разработанному прототипу, в 4-5 раз меньше аналогичных значений для современных систем обнаружения атак;

- внедрение созданного прототипа позволит снизить ущерб от возможных атак с 8% до 3% от ожидаемого объема годовой прибыли.

1. Аджиев В. Мифы о безопасном ПО: уроки знаменитых катастроф. / Открытые системы, № 6, 1998. с. 27 - 29.

2. Аксенов А.Ю. Обнаружение и распознование образов на изображениях с использованием исскуственных нейросетей. // Всероссийская научно — техническая конференция «Нейроинформатика 99». Сборник научных трудов. Часть 3. М.: МИФИ, 1999.-е. 131 - 137.

3. Анализ защищенности: сетевой или системный уровень? Руководство по выбору технологии анализа защищенности. Пер.с англ. Лукацкого A.B., Цаплева Ю.Ю. Internet Security Systems, 1999. 24 с.

4. Андрианов В.В., Зефиров C.JL, Носырев А.Н. Модели и методы принятия решений в системах информационной безопасности. // Материалы научно -технической конференции «Информационная безопасность автоматизированных систем». Воронеж: Истоки, 1998. с. 210 -218.

5. Бабарицкий А.Н. Применений аппарата нейронных сетей для обнаружения атак на компьютерные системы. // Материалы научно практической конференции «Информационная безопасность». Таганрог: Изд. ТРТУ, 2002. — с.61-62.

6. Бабенко JI.K., Макаревич О.Б., Пескова О.Ю. Разработка комплексной системы обнаружения атак. // Материалы V международной научно — практической конференции «Информационная безопасность», г. Таганрог, №4(33), 2003. с. 235 - 239.

7. Белоснежкин В.И. Реализация системного подхода к организации информационных ресурсов коллективного пользования. // Материалы научно -технической конференции «Информационная безопасность автоматизированных систем». Воронеж: Истоки, 1998. с. 267 — 276.

8. Браун Д., Гундерсон JL, Эванс М. Интерактивный анализ компьютерных преступлений. Открытые системы. № 11, 2000. с. 40-49.

9. Вакка Дж. Секреты безопасности в Internet. К.: Диалектика, 1997. 135 с.

10. Васильев В.И. Распознающие системы. Киев: Наукова Думка,1969. — 291 с.

11. Васильев В.И., Хафизов А.Ф. Применение нейронных сетей при обнаружении атак на компьютеры в сети Internet (на примере атаки SYNFLOOD). Нейрокомпьютеры: разработка и применение. № 4-5, 2001. -с.108 — 114.

12. Вероятность и математическая статистика. Энциклопедия. М.: Большая российская энциклопедия. 2001. — 910 с.

13. Винер Н. Кибернетика, или Управление и связь в животном и машине. М.:Наука, 1968.-187 с.

14. Гаценко О.Ю. Защита информации. Основы организационного управления. С.-Пб.:Изд. «Сентябрь», 2001 -226 с.

15. Головко В.А. Нейрокомпьютеры и их применение. Кн.4. Нейронные сети: обучение, организация, применение. М.:ИПРЖР, 2001 256 с.

16. Гольдштейн Б.С. Протоколы сети доступа. Том 2 (2-е издание). М.: Радио и связь, 2001.-292 с.

17. Гостехкомиссия РФ. «Защита от несанкционированного доступа к информации. Термины и определения».

18. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. М.: Синтег,1999 — 231 с.

19. Евстафиди С.П., Феник Е.В. Нейросетевой подход к формированию баз знаний динамических экспертных систем защиты информации. // Материалы научно практической конференции «Информационная безопасность». Таганрог: Изд. ТРТУ, 2002. - с.119 - 121.

20. Жданов A.A. Моделирование высшей нервной деятельности // Наука и жизнь. 2000, №1, с.58 - 64.

21. Жданов A.A. Об одном имитационном подходе к адаптивному управлению. Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика» РАН. М., 1996. с. 171 - 206.

22. Жданов A.A. Формальная модель нейрона и нейросети в методологии автономного адаптивного управления. Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика» РАН. Выпуск 3. М.,1997.-с. 258-274.

23. Закон Российской Федерации №24-ФЗ «Об информации, информатизации и защите информации» от 25 января 1995 года

24. Зегжда Д.П. К созданию защищенных систем обработки информации. // Материалы научно технической конференции «Информационная безопасность автоматизированных систем». Воронеж: Истоки, 1998. —с. 236-245.

25. Зенкин A.A. Когнитивная компьютерная графика. М.: Наука, 1991. -192 с.

26. Касперски К. Техника и философия хакерских атак. М.: Солон-Р, 2001. — 270 с.

27. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности. // Системы и сети связи. 1999, № 7, с.32 - 34.

28. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности. Пер. с англ. A.B. Лукацкого. // Безопасность информационных систем. 1997, №3, с.25 - 29.

29. Клабертон Р., Браун К., Кобб Г. Быстрое тестирование. С.-Пб.:Изд.дом «Вильяме», 2002. 384 с.

30. Лукацкий A.B. Обнаружение атак. СПб.:БХВ-Петербург, 2001. - 624 с.

31. Марчук Г.И. Методы вычислительной математики. 3-е изд., М.:Наука,1989. -392 с.

32. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet. М.:Мир и семья 95,1997. 296 с.

33. Нейрокомпьютеры и их применение. Кн.6. Нейроматематика.: Учеб. пособие для вузов / Агеев А.Д., Балухто А.Н., Бычков A.B. и др.; Общая ред. Галушкина А.И. М.: ИПРЖР, 2002. - 448 с.

34. Овчаров A.C., Дорошенко И.Н. Экспертные системы в технологиях защиты информации. // Материалы научно технической конференции «Информационная безопасность автоматизированных систем». Воронеж: Истоки, 1998. - с. 285 - 294.

35. Орехов Ю.В. Распознавание образов. Уфа.:Тип. УГАТУ, 1995. 45 с.

36. Осовский С. Нейронные сети для обработки информации / Пер. с польского Рудинского И.Д. М.:Финансы и статистика, 2002. - 344 с.

37. Попов Е.П. Теория линейных систем автоматического регулирования и управления. М.:Наука, 1978.-256 с.

38. Проект NETSTAT. http://www.netstat.ru/

39. Райан Дж., Лин М.-Дж., Миккулайнен Р. Обнаружение атак с помощью нейросетей. Пер. с англ. A.B. Лукацкого. // Конфидент. 1999, №5. с.32 - 35.

40. Росенко А.П., Евстафиади С.П., Феник Е.В. Структура нейросетевой динамической экспертной системы защиты информации // Материалы V международной научно практической конференции «Информационная безопасность», г. Таганрог, № 4(33), 2003. - с.86 - 89.

41. Степанов П.Г. Анализ общих угроз безопасности в современных распределенных вычислительных системах. // Материалы научно технической конференции «Информационная безопасность автоматизированных систем». Воронеж: Истоки, 1998. - с. 295 - 304.

42. Терехов В.А., Ефимов Д.В., Тюкин И.Ю. Нейрокомпьютеры и их применение. Кн.8. Нейросетевые системы управления. М.:ИПРЖР, 2002 -479 с.

43. Уголовный Кодекс РФ. Статья 272 "Неправомерный доступ к компьютерной информации".

44. Федоров П.А. О подходе к построению систем обнаружения атак. // Материалы научно практической конференции «Информационная безопасность». Таганрог: Изд. ТРТУ, 2002. — с.306 — 312.

45. Форристал Дж., Шипли Г. Сканеры для обнаружения изъянов вкорпоративной сети. Системы и сети связи, № 7, 2001. с. 15—19.

46. Шарков А., Сердюк В. Защита информационных систем от угроз «пятой колонны». PC Week, №34 (400), 2003. с.20-21.

47. Amin M. Security Challenges for the Electricity Infrastructure. Security & Privacy, 2002.-Pp. 8-10.

48. An Introduction to Intrusion Detection & ASSESSMENT for System and Network Security Management. ICSA Inc., 1999.

49. Aslam Т., Krsul I., Spafford E.H. Use of A Taxonomy of Security Faults. COAST Laboratory, 1996.

50. Barron A.R. Approximation and estimation bounds for artifical neural networks. Machine learning. Vol.14, 1994.

51. Bergman A. Intrusion detection with neural networks. Technical Report A0I2, SRI International, 333 Ravenswood Avenue, Menlo Park, CA 94025, February 1993.

52. Berners-Lee Т., Fielding R., Frystyc H. Request for Comments 1945 — HyperText Transfer Protocol HTTP/1.0. Network Working Group, 1996.

53. Berners-Lee Т., Fielding R., Masinter L. Request for Comments 2396 Uniform Resource Identifiers (URI): Generic Syntax. Network Working Group, 1998.

54. Borenstein N., Freed N. Request for Comments 1521 MIME (Multipurpose1.ternet Mail Extensions) Part One: Mechanisms for Specifying and Describing the Format of Internet Message Bodies. Network Working Group, 1993.

55. Brownlee N., White Jh. Framework for Security Infrastructure for Global Security Incident Response. The University of Auckland, 1996.

56. C.Warrender, S.Forrest, B.Pealmutter. Detecting Intrusions Using System Calls: Alternative Data Models. // Proceedings of IEEE Symposium on Security and Privacy, 1999. Pp. 133- 145.

57. CERT Coordination Center, http://www.cert.org/

58. Chuguev K.V. Multilanguage and Multicharset Web Server. // INET96 Proceedings. Monreal, Canada, 24-28 June, 1996. Pp. 208-225.

59. Coar K., Robinson D. The WWW Common Gateway Interface Version 1.1. IBM Corp., 1999.

60. Comprehensive Perl Archive Network, http://www.cpan.org

61. Computer Incident Response Guidebook. Module 19. Information Systems Security (INFOSEC). Program Guidelines. Department of the NAVY NAVSO, 1996.

62. Computer Security Incident Handling, Step by Step. SANS Institute, 2000.

63. Construct common HTTP::Request objects. http://search.cpan.org/author/GAAS/ libwww-perl-5.76/lib/HTTP/Request/Common.pm

64. Dierks T., Allen C. Request for Comments 2246 The TLS Protocol Version 1.0. Network Working Group, 1999.

65. Fielding R., Gettys J. Request for Comments 2616 — HyperText Transfer Protocol -HTTP/1.1. Network Working Group, 1999.

66. Fox K.L., Henning R.R., Reed J.H. and Simonian R.P. A Neural Network Approach towards Intrusion Detection. // In Proceedings of the 13th National Computer Security Conference, October 1990. Pp. 273-279.

67. FreeBSD Security Advisories. http://www.freebsd.Org/security/index.html#adv

68. Frier A., Karlton P., Kocher P. The SSL 3.0 Protocol. Netscape Communications Corp., 1996.

69. Geva S., Sitte J. Progress in supervised neural networks // IEEE Trans. N.N., Vol.3., 1992.-Pp. 49-67.

70. Graham R. FAQ: Network Intrusion Detection Systems. http://www.robertgraham.com/pubs/network-intrusion-detection.html

71. Gybenko G., Giani A., Thompson P. Cognitive Hacking : A Battle for the Mind. Computer Security, August 2002. — Pp. 50 56.

72. Haykin S. Neural networks, a comprehensive foundation. -N.Y.: Macmillan Colledge Publishing Company, 1994.

73. Hecht Nielsen R. Neurocomputing. - Amsterdam: Addison Wesley, 1991.

74. Hecht Nielsen R., Counterpropagation Networks // Proceedings of the IEEE First International Conference of Neural Networks. - IEEE Press, 1987. - Pp. 19-32.

75. Hertz J., Krogh A., Palmer R.G. Introduction to the Theory of Neural Computation. N.Y.: Addison-Wesley, Reading, Mass., 1991.

76. Hofmeyr S., Forrest S., Somayaji A. Intrusion Detection Using Sequences of System Calls. Journal of Computer Security, Vol. 6, 1998. Pp. 151-180.

77. Hornik K., Stinchcombe M., White H. Multilayer feedforward networks are universal approximators //Neural Networks, 1989. Pp. 359-366.

78. Householder A., Houle K., Dougherty Ch. Computer Attack Trends Challenge Internet Security. Security & Privacy, 2002. Pp. 5-7.

79. Howard Jh.D. An Analysis Of Security Incidents On The Internet. Years 1989 -1995. http://www.cert.org

80. Howard Jh.D., Longstaff T.A. A Common Language for Computer Security Incidents. Sandia National Laboratories. 1998.

81. HTTP Status code processing, http://search.cpan.org/~gaas/libwww-perl-5.76/ lib/HTTP/Status.pm

82. HTTP style response message, http://search.cpan.org/~gaas/libwww-perl-5.76/ lib/HTTP/Response.pm94. http://www.virlist.com

83. Jain A.K., Mao J., Mohiuddin K.M. Artificial Neural Networks: A Tutorial. Computer, Vol.29, № 3, 1996. Pp.31-44.

84. Joyce Ch. Intrusion Detection System. Overview and Concepts. http://www.cc.gatech.edu/people/home/cjoyce/intrusion-detection.pdf

85. Khafizov A. Intrusion detection in WEB technology using neural networks. // Proceedings of the 3rd International Workshop on Computer Science and Information Technologies CSIT'2001. Ufa, Russia, September 21-26, 2001. Pp. 191 194.

86. Kipp H. The SSL Protocol. Netscape Communications Corp., 1995.

87. Kohonen T. Self organizing maps. - Berlin: Springer Verlag, 1995.

88. Kolmogorov A.N. On the representation of continuous functions of many variables by superposition of continous functions of one variable and addition // Dokl. Akad. NaukUSSR, 1957.-Vol.114.-Pp.953 -956.

89. Laurie B., Laurie P. Apache: The Definitive Guide, 3rd Edition. O'Relly & Associates, Inc. 2002.

90. LeCun Y., Denker J., Salla S. Optimal brain damage // Advances in NIPS2 / Ed. Touretzky D., San Mateo: Morgan Kaufmann, 1990. Pp. 598 - 605.

91. Lichodzijewski P., Zincir-Heywood A.N., Heywood M.I., Host-Based Intrusion Detection Using Self-Organizing Maps. // Proceedings IEEE International Joint Conference on Neural Networks, May 2002. Pp. 187 - 203.

92. Microsoft Technet. http://www.microsoft.com/technet/security/currentdl.asp? productID=16&servicePackId=0&ChkCritical=on&ChkImportant=on&ChkModerate =on&ChkLow=on&selDateRange=0&Submit 1 =Go

93. Microsoft Technet. http://www.microsoft.com/technet/security/currentdl.asp? productID=17&servicePackId=0&ChkCritical=on&ChkImportant=on&ChkModerate =on&ChkLow=on&selDateRange=0&Submit 1 =Go

94. Microsoft Technet. http://www.microsoft.com/technet/security/currentdl.asp? productID=7&servicePackId=0&ChkCritical=on&ChkImportant=on&ChkModerate =on&ChkLow=on&selDateRange=0&Submit 1 =Go

95. Minsky M., Papert S. Perceptrons: An Introduction to Computational Geometry. MIT Press, Cambridge, Mass., 1969.

96. Network- vs. Host-based Intrusion Detection. A Guide to Intrusion Detection Technology. Internet Security Systems, 1998.

97. Northcutt S. NSWS Dahlgren Computer Security Incident Handling Procedure, 1996.

98. Osowski S. Seti neuronowe. Warszawa: Oficyna Wydawnicza PW, 1994.

99. Overview of security vulnerabilities in Apache httpd 1.3. http://www.apacheweek.com/features/security-13

100. Overview of security vulnerabilities in Apache httpd 2.0. http://www.apacheweek.com/features/security-20

101. Perl interface to the Apache table structure, http://search.cpan.org/~gozer/ modperl-l .29/Table/Table.pm

102. Postel J. Request for Comments 1591 — Domain Name System Structure and Delegation. Network Working Group, 1994.

103. Power R. Current and Future Danger: A CSI Primer on Computer Crime and Information Warfare. Computer Security Institute, 1995.

104. Red Hat Linux 7.1 Security Advisories, https://rhn.redhat.com/errata/rh71-errata-security.html

105. Security from Microsoft, http://www.microsoft.com/security

106. SecurityFocus Home Page, http://www.securityfocus.com/

107. Simple Common Gateway Interface Class, http://search.cpan.org/~lds/ CGI.pm-3.00/

108. SNNS: Stuttgart Neural Network Simulator. User Manual, Verion 4.2.

109. Snort Tools: PigSentry 1.2. http://web.proetus.com/tools/pigsentry/

110. Soukup R., Delaney K. Inside Microsoft SQL Server 7.0. Microsoft Press, 1999.-948 p.

111. Stein L., MacEachern D. Writing Apache Modules with Perl and C. O'Relly & Associates, Inc. 1999.

112. Thayer R., Doraswamy N., Glenn R. Request for Comments 2411 — IP Security Document Roadmap. Network Working Group, 1998.

113. The Apache HTTP Server Project, http://httpd.apache.org/

114. The World-Wide Web library for Perl, http://search.cpan.org/~gaas/libwww-perl-5.76/

115. Web user agent class, http://search.cpan.org/~gaas/libwww-perl-5.76/lib/ LWP/UserAgent.pm

116. Welcome to the modperl world, http://perl.apache.org

117. Zhdanov A. A. A principles of Pattern Formation and Recognition // Pattern Recongnition and Image Analysis, vol.2, №3, 1992. Pp. 249-264.