автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему:Обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации

ООЗОВЭ^^и

На правах рукописи

ЛАПИН Андрей Анатольевич

ОБЕСПЕЧЕНИЕ СКРЫТНОЙ ФИЛЬТРАЦИИ ТРАФИКА СЕТЕВЫМИ СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ

Специальность 05 13 19 - «Методы и системы защиты информации, информационная безопасность»

Автореферат диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2007

003069220

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет»

Научный руководитель:

Доктор технических наук, профессор Заборовский Владимир Сергеевич

Официальные оппоненты:

доктор технических наук, профессор кандидат технических наук

Макаров Сергей Борисович Скиба Владимир Юрьевич

Ведущая организация:

Институт проблем информационной безопасности МГУ им М В Ломоносова (ИПИБ МГУ) г Москва

на заседании диссертационного совета Д 212 229 27 при ГОУ ВПО "Санкт-Петербургский государственный политехнический университет" по адресу 195251, Санкт-Петербург, ул Политехническая 29, ауд 175 главного здания

С диссертацией можно ознакомиться в фундаментальной библиотеке ГОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Автореферат разослан « 20 » о 2007 г

Защита состоится

)) С¿/СгЯ

2007 г в

часов

Ученый секретарь диссертационно

Платонов В В

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы

Средства обеспечения информационной безопасности являются важнейшей составляющей современных информационных систем Повсеместное внедрение персональных компьютеров, локальных и глобальных вычислительных сетей, связанных в единую инфраструктуру передачи данных, обостряет проблему использования сетевых средств защиты информации Для обеспечения информационной безопасности в современных высокоскоростных компьютерных сетях широкое распространение получили методы защиты, использующие межсетевые экраны (МЭ) Основная функция МЭ реализуется на основе контроля параметров заголовков сетевых пакетов или состояния виртуальных соединений с целью принятия решения об их пропуске или удалении

Исследованию проблем обеспечения безопасности информации, выработки новых подходов к построению защищенных информационных систем и способов организации средств защиты в компьютерных сетях посвящены работы А Я Городецкого, В С Заборовского, Д П Зегжды, J1М Ухлинова, А Ю Щербакова и других

Одной из угроз, рассматриваемой при создании информационных систем, является несанкционированное воздействие на устройства защиты, в частности атаки на МЭ Для отражения угроз такого типа в компьютерных сетях применяется режим скрытного функционирования устройств защиты Применимо к МЭ скрытность функционирования достигается за счет того, что фильтрующие интерфейсы не имеют сетевых (IP-адресов) и физических (MAC) адресов Отсутствие адресов позволяет защитить МЭ от несанкционированных воздействий, основанных на использовании адресной информации При этом локализация МЭ возможна по косвенным признакам, связанным с анализом особенностей их функционирования К таким признакам, например, относятся статистические характеристики потоков пакетов, которые проходят через МЭ и доступны для непосредственного измерения Более высокого уровня безопасности МЭ можно

достичь, если в процессе работы будет обеспечиваться скрытность его функционирования не только на уровне адресной информации, но и на уровне доступных для измерения статистических характеристик сетевых процессов (трафика)

Реализация такого режима функционирования МЭ определяется возможностями влияния на статистические и динамические характеристики сетевых процессов, связанных с организацией виртуальных транспортных TCP соединений Во многих исследованиях для описания свойств сетевых процессов предлагается использовать характеристики статистического самоподобия или масштабной инвариантности трафика, которые в современной литературе принято называть фрактальными Одной из таких характеристик является показатель Херста Н, с помощью которого описывается отличная от марковских процессов статистическая зависимость между отсчетами значений сетевого трафика в различные моменты времени Из результатов большого числа исследований известно, что для современных компьютерных сетей значение Н соответствует диапазону 0,6-0,8 Это обстоятельство указывает на то, что для описания сетевых процессов непосредственное использование моделей, разработанных в рамках теории систем массового обслуживания (СМО), невозможно, поскольку для них //=0,5

Актуальной научно-технической задачей, от решения которой зависит возможность реализации режима скрытной фильтрации, является разработка моделей трафика, позволяющих выбирать параметры МЭ, при которых значение Н для потока пакетов на входе и на выходе МЭ остается неизменным Решение этой задачи позволит идентифицировать фрактальные характеристики трафика и осуществить выбор параметров МЭ, при которых обеспечивается его функционирование в скрытном режиме, что повышает надежность функционирования и уровень безопасности информационных систем в целом

Пель диссертации

Целью диссертации является обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации на основе разработки и исследования

моделей сетевых процессов, используемых для идентификации фрактальных характеристик трафика и позволяющих выбрать параметры МЭ, при которых обеспечивается его функционирование в режиме скрытной фильтрации

Для достижения поставленной цели решались следующие основные задачи

1 Разработка методов описания процессов в компьютерных сетях, используемых для построения моделей трафика с учетом свойств масштабной инвариантности

2 Разработка модели транспортного TCP соединения, используемой для идентификации параметров состояния сетевой среды и исследования влияния алгоритма управления передачей пакетов на фрактальные характеристики трафика

3 Разработка метода выбора параметров МЭ, для реализации режима полной скрытной фильтрации с учетом фрактальных характеристик трафика

4 Разработка архитектуры программного комплекса идентификации трафика и анализа регистрируемой информации МЭ с целью выбора параметров его настройки

Методы исследований

В работе использованы методы статистической обработки данных, теории случайных процессов, математического моделирования, процедурного и объектно-ориентированного программирования

Основные научные результаты и их новизна

В диссертации получены следующие основные научные и практические результаты

1 Предложен метод описания процессов на уровне виртуальных транспортных соединений с учетом фрактальных свойств потока пакетов

2 Разработана модель TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и

определить причины возникновения фрактальных свойств сетевых процессов

3 Разработан метод параметрической настройки МЭ, осуществляющих фильтрацию трафика в скрытном режиме, с учетом фрактальных характеристик трафика

4 Разработана архитектура и реализованы основные компоненты программного комплекса идентификации и анализа регистрируемой информации для обеспечения скрытной фильтрации трафика сетевыми средствами защиты, в частности МЭ

Положения, выносимые на защиту

На основе результатов диссертационного исследования сформулированы следующие положения, выносимые на защиту

1 Модель транспортного TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причину возникновения фрактальных свойств сетевых процессов

2 Метод выбора параметров МЭ, для реализации фильтрации трафика в скрытном режиме с учетом фрактальных характеристик сетевых потоков

3 Архитектура программных средств идентификации и анализа регистрируемой информации МЭ, а также структура используемой базы данных, соответствующая иерархической связанности сетевых протоколов

Практическая ценность работы заключается в том, что разработанные модели и методы описания процессов возможно использовать как для создания сетевых средств защиты информации, так и для оценки влияния фрактальных свойств процессов на производительность протоколов транспортного уровня В основу диссертационной работы положены результаты, полученные автором в период с 2004 по 2007 год, в ходе выполнения научно-исследовательских и опытно-

конструкторских работ на кафедре «Телематика» факультета при ЦНИИ РТК ГОУ ВПО «СПбГПУ» и при разработке программного обеспечения анализа регистрируемых данных МЭ, осуществляющих фильтрацию трафика в скрытном режиме и используемых в Федеральной таможенной службе РФ, Министерстве образования и науки, а также в других учреждениях

Внедрение результатов

Результаты проведенных исследований нашли практическое применение в разработках, в которых автор принимал личное участие

1 Разработанное программное обеспечение используется в таможенных органах РФ в рамках проекта «Сопровождение средств сетевой безопасности при интеграции локальных сетей таможенных органов»

2 Разработанные программные средства анализа параметров трафика при использовании МЭ внедрены в эксплуатацию в Федеральной таможенной службе РФ, ФГУ ГНИИ ИТТ «Информика», ОАО «Ленэнерго», правительстве Ленинградской области

Апробация и публикация результатов работы

Результаты, полученные в диссертационной работе, докладывались на семинаре «Проблемы современных информационно-вычислительных систем» в МГУ им М В Ломоносова, а также на всероссийских и межвузовских научно-технических конференциях По теме диссертации опубликовано 7 статей, в том числе 2 на международных конференциях

Структура и объем диссертации

Диссертационная работа общим объемом 153 стр состоит из введения, четырех глав, заключения и списка литературы (включая 59 рисунков, 3 таблицы и списка литературы из 64 наименований)

СОДЕРЖАНИЕ РАБОТЫ

Во введении показана актуальность темы, сформулирована цель и постановка задачи исследования, перечислены основные научные результаты и положения,

выносимые на защиту, а также представлены сведения о внедрении результатов, апробации, публикациях и дана краткая характеристика содержания работы

В первой главе рассмотрены угрозы безопасности характерные для современных информационных систем, методы и средства защиты информации в компьютерных сетях и проведен анализ актуальных вопросов, связанных с исследованием сетевых процессов

Показано, что различные средства защиты информации в компьютерных сетях, такие как системы обнаружения и предотвращения вторжений, виртуальные частные сети, серверы-посредники, способы трансляции адресов и межсетевые экраны условно можно разделить на два типа устройства, при функционировании которых существенно используется информация об адресах сетевых интерфейсов и устройства, функционирование которых не связано с использованием этой информации Средства защиты второго типа, в частности МЭ, могут функционировать в скрытном режиме Отсутствие адресов позволяет использовать для защиты таких устройств специальные высокоэффективные средства и методы, среди которых особо следует выделить те, которые обеспечивают невозможность их локализации в сети по характеристикам процессов, доступных для измерений В этой главе определен круг научно-технических задач, решение которых позволяет обеспечить скрытность функционирования МЭ не только на уровне адресов, но и на уровне доступных для измерения статистических характеристик трафика

Отмечается, что при решении сформулированных задач важно учитывать фрактальные свойства сетевых процессов, которые проявляются в виде свойства самоподобия корреляционных характеристик трафика на разных масштабах измерения, т е для различных интервалов времени, в течение которых фиксируются результаты измерений, связанные с количеством пакетов, количеством байт, интервалами времени между поступлением пакетов и др Показано, что для создания моделей, учитывающих фрактальные свойства трафика, можно использовать специальные решения в классе задач СМО

При этом среди факторов, влияющих на результаты измерений и синтез моделей необходимо учитывать следующие

- измерения трафика в МЭ изменяют состояния пакетов (TTL, контрольные суммы и др),

- каждое измерение пакета «возмущает сеть», что оказывает влияние на процессы в сети, добавляя задержки при передаче пакета, и в ряде случаев приводит к появлению фрактальных свойств,

- измеряемые характеристики трафика можно получить на интервале времени, который связан с минимальным размером пакета и временем жизни виртуального TCP соединения

С учетом отмеченных особенностей для построения моделей сетевых процессов

предлагается рассмотрение на различных уровнях

50001 „

Пакеты/сек

А Уровень потока

iuu Время (сек)

В - Уровень одного

виртуального соединения

Окно перегрузки протокола TCP (байты) 60000

Время (сек)

С - Уровень внутренней переменной протокола

Г /Ч-Ч^

L

Случайные моменты времени потерь пакетов-' Время (сек)

Рис 1 Уровни рассмотрения процессов, порождающих пакетный трафик в

компьютерных сетях На рис 1 зависимость А описывает трафик потока, проходящий через сетевой интерфейс МЭ, который формируется как совокупность пакетов от различных

транспортных соединений В этом потоке возможно выделить отдельное TCP соединение (зависимость В), динамика которого определяется окном перегрузки протокола TCP или внутренней переменной управления передачей для данного соединения, зависящей от случайных моментов времени потерь пакетов (зависимость С)

Из представленных на рис 1 зависимостей следует, что характеристики сетевых процессов имеют разную степень сложности и предсказуемости, связанную с характером «возмущения сети» Для решения сформулированных задач модели сетевых процессов предложено синтезировать на уровне внутренней переменной протокола TCP, изменение которой представлено на рис 1 С, а свойства определяются характером распределения моментов потерь и повторных передач пакетов

Во второй главе рассмотрено влияние фрактальных свойств, связанных со свойством статистического самоподобия вторых моментов трафика Определены количественные и качественные характеристики трафика, при этом модель МЭ представлена в виде СМО с фрактальным входным потоком, а модель транспортного TCP соединения использована для описания его фрактальных свойств

Показано, что при осуществлении фильтрации пакетного трафика фактором, ограничивающим производительность МЭ, является производительность системы обработки пакетов, функционирующей в соответствии с правилами фильтрации Для описания интенсивности входного и выходного потока, предложено использовать интегральную характеристику производительности МЭ, измеряемую в количестве пакетов в единицу времени и рассчитанную для фиксированного размера пакетов

В результате, функционирование МЭ с одним входным и одним выходным интерфейсами может быть представлено в виде СМО типа G/D/1 В условиях высокой интенсивности трафика для описания СМО предложена модель, основанная на диффузионной аппроксимации входного потока G В этом случае, входной трафик N(0 аппроксимируется выражением N(t) = Я/ + -Jlw,,и), где А - интенсивность, w„ (О — фрактальное броуновское движение с функцией распределения

/(W,0 =

'л/27

e 21", где H - показатель Херета Поскольку производительность

центрального процессора МЭ много больше производительности сетевых интерфейсов, те время обработки пакетов является постоянной величиной, в модели МЭ процедура обслуживания D аппроксимируется детерминированным законом В разработанной модели на рис 2 приняты следующие обозначения М -суммарная интенсивность обработки всех TCP соединений (пакет/сек), Р = /м — коэффициент использования, q - размер буфера (количество пакетов), С -количество TCP соединений, время существования которых позволяет оценить показатели Н, Ншх и //,„„ - показатели Херста на входе и на выходе МЭ для разрешенных TCP соединений, - интенсивность входного потока для i-ro разрешенного TCP соединения, q, - размер буфера, выделяемый для г-го TCP соединения и ш,- интенсивность обработки г-го TCP соединения

А-общий поток

™ , р=Ш I /тср, а

J -|tj

Л/(0-

Г~Р1

-Q3

тер. сна

TCf^ св

В - одно TCP соединение

НВх

□в тер

□□□

т,

Нвых TCP 1=0

Рис 2 Обобщенная модель МЭ с двумя физическими интерфейсами А - общий поток, В - одно TCP соединение В случае, когда поток пакетов удовлетворяет разрешающим прохождение пакетов правилам фильтрации, МЭ не осуществляет их удаление, поэтому для характеризации разрешенного TCP соединения возможно использовать результаты

измерений, позволяющие получить оценки статистических моментов: математического ожидания и дисперсии, а также показателя Хсрста И. В отличие от статистических моментов, показатель Хсрста Н является инвариантным к масштабу измерения, поэтому обеспечение неизменности этого показателя для потока пакетов разрешенного TCP соединения до и после прохождения МЭ рассматривается как критерий реализации режима скрытной фильтрации.

В терминах, принятых для описания протоколов, разработана модель транспортного TCP соединения, учитывающая изменения состояния сетевой среды, [(оказано, что потери пакетов являются доминирующем фактором, влияющим па динамику трафика и его статистические свойства. Для Оценки влияния потерь в сети между источником и приемником получены гистограммы распределения количества повторных передач пакетов для разрешенных TCP соединений за интервалы агрегирования от 1 до 10 сек. Па рис. 3 ось Y соответствует относительной частоте событий повторных передач, а ось X - номеру интервала агрегирования.

V 1 сс к

У1М ftiii ifflldW-

1 5 & 13 17 21 55 29 33 37 <11 4Ь Я9

X

3 сек

Y

5 сек

I г з « 5 а 7 в э ^

Y

0,300000 -О.ЭДОООО ; 0.100000 О.ОАММ

10 сек

Рис. 3. Гистограммы распределения количества повторных передач протокола TCP для различных интервалов агрегирования измерений На основании анализа экспериментальных данных показано, что потери пакетов в сетях характеризуются временной однородностью и статистической равномерностью в широком диапазоне интервалов измерений, что позволяет описать

случайный процесс возникновения потерь пакетов равномерным законом распределения

С учетом влияния потерь пакетов на фрактальные характеристики процессов разработана модель, в которой размер окна перегрузки в режиме быстрой повторной передачи аппроксимируется линейным законом увеличения числа посланных пакетов с интенсивностью один пакет в условную единицу времени до достижения уровня окна приемника На рис 4 т,, т2, т3 и т д определяют случайные моменты времени наступления потерь пакетов в сети, а величины т0, Тщ, Т20, тзо и т д обозначают возможные моменты времени благоприятных исходов достижения уровня окна приемника в отдельных сериях передачи данных

Рис 4 Эволюция размера окна перегрузки Выражения, связывающие временные задержки со случайными величинами Ть Тг, Тз получены из анализа кусочно-линейной аппроксимации рассматриваемого режима с помощью следующих формул

где Т| - равномерно распределенная случайная величина с плотностью вероятностей 1/Т, Тг - равномерно распределенная случайная величина с плотностью вероятностей 1/(тю - т,), тз - равномерно распределенная случайная величина с плотностью вероятностей 1/(тго - Тг) Полученные соотношения позволяют

о! 10 20 30 40 Ы> 60 То 80 30

100 110 120 130 врем«, у а

рассчитать зависимость дисперсии от математического ожидания задержек благоприятных исходов, которая имеет нелинейный характер и аппроксимируется формулой О(0= K{t- б4)н"при t > 64, D(t)=0 при t < 64, К=\,\1, а=0,52 Данная зависимость свидетельствует о том, что реакция протокола TCP на потери пакетов в режиме быстрой повторной передачи приводит к коррелированности трафика Полученная модель позволяет оценить характер влияния свойств протокола TCP на фрактальные характеристики трафика и учесть эти свойства при описании МЭ в режиме скрытной фильтрации

В третьей главе представлен метод параметрической настройки, обеспечивающий функционирование МЭ в режиме скрытной фильтрации и учитывающий фрактальные свойства процессов

Метод основан на модели МЭ как СМО типа G/D/1 При обработке входного размер фрактального процесса сетевым

буфера q

устройством с коэффициентом

* * I использования Р и показателем Херста Н

H = 0 85j н=0 75J

I существует уровень размера буфера q, при

100 ' J котором не будут происходить

отбрасывания пакетов и показатель Херста

1 / Я на входе и на выходе МЭ сохраняется

50 ' /

I неизменным Показано, что в СМО,

учитывающих фрактальные свойства

п ............-—~—^^ Коэффициент

использования сетевых процессов, имеют место

00 02 04 06 08

повышенные требования к буферу (рис 5),

Рис 5 Зависимость размера буфера

г 1 ]1 р поэтому для расчета его размера от коэффициента использования

для модели 0/0/1 используется соотношение, полученное с

учетом диффузионной аппроксимации входного потока заявок Это соотношение

р!'2(1 II)

имеет следующий вид ч = ^ _ ру//(. »> , где д- размер буфера, р - коэффициент использования, Н- показатель Херста

(7=50

Учитывая, что трафик, обрабатываемый МЭ, представляет собой совокупность пакетов от множества транспортных соединений, приведенный выше метод расчета размера буфера предлагается применять для отдельных транспортных соединений, разрешенных для прохождения через МЭ Разработанный метод, основанный на сделанных допущениях, позволяет определить диапазоны значений производительности и размера буферов, при которых МЭ функционирует в режиме скрытной фильтрации

На рис 6 приняты следующие обозначения - интенсивность нагрузки г-го TCP соединения по отношению к пропускной способности физического канала, т, Показатель херста (Н) ~ производительность обработки г-го

TCP соединения в МЭ, q, - размер

/f 50 4=200

,-г ~ л»5о 4=100 буфера в пакетах, выделенный для г-го

' Л?50д=50

соединения

Путем построения зависимостей

показателя Херста Н при различных л, г

q, и определены диапазоны значений

т и q для г-го разрешенного TCP

соединения В частности, для случая с

сетевыми интерфейсами МЭ 100

Мбит/сек, режим скрытной фильтрации

Рис 6 Зависимость показателя Херста будет обеспечиваться при q, = 50-200 от параметров настройки МЭ пакетов и т, = 4200-9400 пакетов/сек, что

соответствует производительности 6,3-14,1 Мбит/с

В четвертой главе представлена архитектура и программный комплекс анализа регистрируемой информации МЭ в скрытном режиме Для идентификации состояния сети используется МЭ в режиме сетевого анализатора В этом режиме МЭ пропускает и регистрирует все поступающие на его интерфейсы пакеты

Программный комплекс анализа регистрируемой информации МЭ предназначен для преобразования, хранения, отображения и анализа информации о событиях,

происходящих в процессе работы МЭ, потоковых сессиях и пакетах, поступающих на его фильтрующие интерфейсы Программный комплекс включает в свой состав две подсистемы 1) подсистема конвертации и хранения, реализованная в виде сервиса, осуществляющего преобразование бинарных файлов регистрации МЭ и распределение записей о пакетах, сессиях и событиях по таблицам (TCP, UDP, ICMP, IP, MAC, ARP, IPX, СЕССИИ, СОБЫТИЯ) базы данных (БД) Структура БД

соответствует рекурсивной вложенности стека протоколов TCP/IP (рис 7), 2) подсистема визуализации, реализованная в виде графического интерфейса для работы с БД, в котором можно настраивать параметры, производить запросы для анализа и сохранять полученные результаты

Для организации хранения

регистрируемых данных предложен специальный механизм, который позволяет циклически обновлять БД и ограничивать ее объем по количеству хранимых записей или по размеру занимаемого дискового пространства

Совместное использование МЭ с программным комплексом идентификации и анализа регистрируемой информации позволяет оценивать характеристики трафика и осуществлять параметрическую настройку МЭ для обеспечения скрытной фильтрации, описывать состояние сетевых потоков с различным уровнем детализации, те агрегировать регистрируемые данные по различным полям заголовков пакетов на 2-7 уровнях модели OSI, а также анализировать их отдельные флаги или поля, обнаруживать паразитный, вирусный и закольцованный трафик, наличие которого увеличивает нагрузку на сетевое оборудование, выявлять в сети вредоносное и несанкционированное программное

Рис 7 Структура базы данных

обеспечение, перехватывать не зашифрованные прикладные данные, локализовать неисправности или ошибки конфигурации сетевого оборудования Основные результаты и выводы В работе получены следующие основные результаты

1 Предложен метод описания процессов на уровне виртуальных транспортных соединений с учетом фрактальных свойств потока пакетов

2 Разработана модель TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причины возникновения фрактальных свойств сетевых процессов

3 Разработан метод параметрической настройки МЭ, осуществляющих фильтрацию трафика в скрытном режиме, с учетом фрактальных характеристик трафика

4 Разработана архитектура и реализованы основные компоненты программного комплекса идентификации и анализа регистрируемой информации для обеспечения скрытной фильтрации трафика сетевыми средствами защиты, в частности МЭ

Публикации по теме диссертационной работы

1 Vladimir Zaborovsky, Alexsander Gorodetsky, Andrey Lapin Network Complexity Cross-Layer Models and Charactenstics //The Third Advanced International Conference on Telecommunications AICT 2007 May, 2007 -Mauritius

2 Vladimir Zaborovsky, Andrey Lapin, Vladimir Mulukha Network Traffic Invariant Characteristics Dynamics and Statistics aspects // The Third International Conference on Wireless and Mobile Communications ICWMC 2007 March, 2007 - Guadeloupe, French Canbbean

3 Городецкий А Я, Заборовский В С, Лапин А А Моделирование самоподобных процессов в компьютерных сетях // Научно-технические ведомости-СПб Изд-во СПбГПУ, 2006 №5 -С 103-107

4 Лапин А А Проблема измерения в компьютерных сетях исследование и особенности // XXXV Неделя науки СПбГПУ Всероссийская межвузовская научно-техническая конференция студентов и аспирантов, СПб, 2005 -С 137-139

5 Лапин А А Применение и анализ псевдослучайных последовательностей при моделировании процессов в компьютерных сетях // XXXIV Неделя науки СПбГПУ Всероссийская межвузовская научно-техническая конференция студентов и аспирантов, СПб, 2005 -С 178-180

6 Лапин А А Моделирование процессов управления и оценка обработки пакетного трафика в узле сети при использовании «стеллс» - устройств // VI Всероссийская научно-практическая конференция «Теоретические и прикладные вопросы современных информационных технологий», Улан-Удэ, 2005 -С 69-74

7 Лапин А А Методические аспекты использования средств моделирования при исследовании процессов в компьютерных сетях // V Всероссийская научно-практическая конференция «Теоретические и прикладные вопросы современных информационных технологий», Улан-Удэ, 2004 -С 197-202

Лицензия ЛР №020593 от 07 08 97

Подписано в печать 18 04 2007 Формат 60x84/16 Печать цифровая Уел печ л 1,0 Тираж 100 Заказ 1526Ь

Отпечатано с готового оригинал-макета, предоставленного автором, в Цифровом типографском центре Издательства Политехнического университета 195251, Санкт-Петербург, Политехническая ул , 29 Тел 550-40-14

Тел/факс 297-57-76

ВВЕДЕНИЕ.

ГЛАВА 1. АКТУАЛЬНЫЕ АСПЕКТЫ ИССЛЕДОВАНИЯ ПРОЦЕССОВ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ И ПОСТАНОВКА ЗАДАЧИ ИССЛЕДОВАНИЯ.

1.1 Современные подходы к обеспечению безопасности информации в компьютерных сетях.

1.1.1 Методы и средства защиты информации в современных компьютерных сетях.

1.1.2 Угрозы сетевым средствам защиты информации.

1.1.3 Скрытный режим функционирования сетевых средств защиты.

1.2 Особенности и характеристики сетевых процессов при решении задач защиты информации.

1.2.1 Самоподобие сетевых процессов.

1.2.2 Статистические характеристики трафика.

1.2.3 Особенности, влияющие на результаты измерений и синтез моделей сетевых процессов.

1.3 Модели процессов в компьютерных сетях, учитывающие особенности реализации средств защиты информации.

1.3.1 Модели сетевого трафика, используемые для описания работы МЭ.

1.3.2 Описание процессов в узлах сети в классе моделей СМО.

1.3.3 Постановка задачи исследования.

Выводы.

ГЛАВА 2. РАЗРАБОТКА МОДЕЛИ ТРАНСПОРТНОГО СОЕДИНЕНИЯ ПРИ УЧЕТЕ ИЗМЕНЕНИЙ СОСТОЯНИЯ СРЕДЫ ПЕРЕДАЧИ.

2.1 Характеристики и параметры трафика на основе анализа экспериментальных данных.

2.1.1 Анализ непрерывных и дискретных случайных процессов, связанных с изменением состояния среды передачи.

2.1.2 Проверка гипотезы о характере распределения результатов измерений параметров транспортного TCP соединения.

2.1.3 Инвариантные характеристики трафика и возможность обеспечения режима скрытной фильтрации.

2.2 Описание характеристик сетевых процессов для построения модели МЭ.

2.2.1 Диффузионная аппроксимация процессов в СМО.

2.2.2 Модель МЭ как СМО типа G/D/1.

2.2.3 Статистические характеристики МЭ и их использование для реализации режима скрытной фильтрации

2.3 Модель транспортного соединения протокола TCP.

2.3.1 Логико-динамическая модель транспортного соединения.

2.3.2 Использование логико-динамической модели для описания процессов изменения состояния транспортного соединения.

2.3.3 Статистические характеристики и особенности применения модели транспортного соединения при решении задач скрытной фильтрации.

Выводы.

ГЛАВА 3. МЕТОД ПАРАМЕТРИЧЕСКОЙ НАСТРОЙКИ МЭ В РЕЖИМЕ СКРЫТНОЙ ФИЛЬТРАЦИИ.

3.1 Параметрическая модель МЭ функционирующего в режиме скрытной фильтрации.

3.1.1 Учет интенсивности поступления данных и размера буфера МЭ.

3.1.2 Метод расчета инвариантной характеристики для режима скрытной фильтрации.

3.1.3 Параметрические условия существования режима скрытной фильтрации.

3.2 Методика параметрической настройки МЭ для обеспечения режима скрытной фильтрации.

3.2.1 Выбор параметров МЭ для обеспечения режима скрытной фильтрации.

3.2.2 Оценка точности выполнения режима скрытной фильтрации.

3.2.3 Условия реализации режима скрытной фильтрации для МЭ с несколькими сетевыми интерфейсами

3.3 Методика применения разработанных моделей для анализа процессов н оценки характеристик трафика при решении задач защиты информации.

3.3.1 Описание трафика как совокупности сетевых потоков, формируемых различными протоколами.

3.3.2 Оценки характеристик трафика на основе данных регистрации МЭ.

3.3.3 Методика применения МЭ в режиме скрытной фильтрации.

Выводы.

ГЛАВА 4. ИДЕНТИФИКАЦИЯ СОСТОЯНИЯ ЗАЩИЩЕННОЙ КОМПЬЮТЕРНОЙ СЕТИ.

4.1 Средства регистрации процессов при решении задач защиты информации на базе МЭ.

4.1.1 Подсистема регистрации межсетевого экрана, функционирующего в режиме скрытной фильтрации

4.1.2 Идентификация состояния на основе регистрируемых данных.

4.1.3 Структура базы данных системы идентификации и анализа регистрируемой информации МЭ.

4.2 Разработка программного обеспечения идентификации и анализа регистрируемой информации МЭ

4.2.1 Функции и особенности взаимодействия компонентов системы идентификации и анализа регистрируемой информации МЭ.

4.2.2 Описание классов и структура данных.

4.2.3 Система управления доступом к регистрируемой информации.

4.3 Методика идентификации состояния сети с использованием МЭ в режиме сетевого анализатора

4.3.1 Функционирование МЭ в режиме контроля состояния сетевой среды.

4.3.2 Функции доступа к регистрируемым данным состояния сетевой среды.

4.3.3 Иерархическая организация запросов и методы агрегирования данных.

Выводы.

Средства обеспечения информационной безопасности являются важнейшей составляющей современных информационных систем. Повсеместное внедрение персональных компьютеров, локальных и глобальных вычислительных сетей, связанных в единую инфраструктуру передачи данных, обостряет проблему использования сетевых средств защиты информации. Для обеспечения информационной безопасности в современных высокоскоростных компьютерных сетях широкое распространение получили методы защиты, использующие межсетевые экраны (МЭ). Основная функция МЭ реализуется на основе контроля параметров заголовков сетевых пакетов или состояния виртуальных соединений с целью принятия решения об их пропуске или удалении.

Исследованию проблем обеспечения безопасности информации, выработки новых подходов к построению защищенных информационных систем и способов организации средств защиты в компьютерных сетях посвящены работы А.Я. Городецкого, B.C. Заборовского, Д.П. Зегжды, JI.M. Ухлинова, А.Ю. Щербакова и других.

Одной из угроз, рассматриваемой при создании информационных систем, является несанкционированное воздействие на устройства защиты, в частности атаки на МЭ. Для отражения угроз такого типа в компьютерных сетях применяется режим скрытного функционирования устройств защиты.

Применимо к МЭ скрытность функционирования достигается за счет того, что фильтрующие интерфейсы не имеют сетевых (IP-адресов) и физических (MAC) адресов. Отсутствие адресов позволяет защитить МЭ от несанкционированных воздействий, основанных на использовании адресной информации. При этом локализация МЭ возможна по косвенным признакам, связанным с анализом особенностей их функционирования. К таким признакам, например, относятся статистические характеристики потоков пакетов, которые проходят через МЭ и доступны для непосредственного измерения. Более высокого уровня безопасности МЭ можно достичь, если в процессе работы будет обеспечиваться скрытность его функционирования не только на уровне адресной информации, но и на уровне доступных для измерения статистических характеристик сетевых процессов (трафика).

Реализация такого режима функционирования МЭ определяется возможностями влияния на статистические и динамические характеристики сетевых процессов, связанных с организацией виртуальных транспортных TCP соединений. Во многих исследованиях для описания свойств сетевых процессов предлагается использовать характеристики статистического самоподобия или масштабной инвариантности трафика, которые в современной литературе принято называть фрактальными. Одной из таких характеристик является показатель Херста Я, с помощью которого описывается отличная от марковских процессов статистическая зависимость между отсчетами значений сетевого трафика в различные моменты времени. Из результатов большого числа исследований известно, что для современных компьютерных сетей значение Н соответствует диапазону 0,6-Ю,8. Это обстоятельство указывает на то, что для описания сетевых процессов непосредственное использование моделей, разработанных в рамках теории систем массового обслуживания (СМО), невозможно, поскольку для них #=0,5.

Актуальной научно-технической задачей, от решения которой зависит возможность реализации режима скрытной фильтрации, является разработка моделей трафика, позволяющих выбирать параметры МЭ, при которых значение Н для потока пакетов на входе и на выходе МЭ остается неизменным. Решение этой задачи позволит идентифицировать фрактальные характеристики трафика и осуществить выбор параметров МЭ, при которых обеспечивается его функционирование в скрытном режиме, что повышает надежность функционирования и уровень безопасности информационных систем в целом.

Цель диссертации

Целью диссертации является обеспечение скрытной фильтрации трафика сетевыми средствами защиты информации на основе разработки и исследования моделей сетевых процессов, используемых для идентификации фрактальных характеристик трафика и позволяющих выбрать параметры МЭ, при которых обеспечивается его функционирование в режиме скрытной фильтрации.

Для достижения поставленной цели решались следующие основные задачи:

1. Разработка методов описания процессов в компьютерных сетях, используемых для построения моделей трафика с учетом свойств масштабной инвариантности.

2. Разработка модели транспортного TCP соединения, используемой для идентификации параметров состояния сетевой среды и исследования влияния алгоритма управления передачей пакетов на фрактальные характеристики трафика.

3. Разработка метода выбора параметров МЭ, для реализации режима скрытной фильтрации с учетом фрактальных характеристик трафика.

4. Разработка архитектуры программного комплекса идентификации трафика и анализа регистрируемой информации МЭ с целью выбора параметров его настройки.

Методы исследований

В работе использованы методы статистической обработки данных, теории случайных процессов, математического моделирования, процедурного и объектно-ориентированного программирования.

Основные научные результаты и их новизна

В диссертации получены следующие основные научные и практические результаты:

Предложен метод описания процессов на уровне виртуальных транспортных соединений с учетом фрактальных свойств потока пакетов.

Разработана модель TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причины возникновения фрактальных свойств сетевых процессов.

Разработан метод параметрической настройки МЭ, осуществляющих фильтрацию трафика в скрытном режиме, с учетом фрактальных характеристик трафика.

Разработана архитектура и реализованы основные компоненты программного комплекса идентификации и анализа регистрируемой информации для обеспечения скрытной фильтрации трафика сетевыми средствами защиты, в частности МЭ.

Положения, выносимые на защиту

На основе результатов диссертационного исследования сформулированы следующие положения, выносимые на защиту:

Модель транспортного TCP соединения, которая позволяет рассчитывать статистические характеристики временных задержек передачи данных и определить причину возникновения фрактальных свойств сетевых процессов.

Метод выбора параметров МЭ, для реализации фильтрации трафика в скрытном режиме с учетом фрактальных характеристик сетевых потоков.

Архитектура программных средств идентификации и анализа регистрируемой информации МЭ, а также структура используемой базы данных, соответствующая иерархической связанности сетевых протоколов.

Практическая ценность работы заключается в том, что разработанные модели и методы описания процессов возможно использовать как для создания сетевых средств защиты информации, так и для оценки влияния фрактальных свойств процессов на производительность протоколов транспортного уровня. В основу диссертационной работы положены результаты, полученные автором в период с 2004 по 2007 год, в ходе выполнения научно-исследовательских и опытно-конструкторских работ на кафедре «Телематика» факультета при ЦНИИ РТК ГОУ ВПО «СПбГПУ» и при разработке программного обеспечения анализа регистрируемых данных МЭ, осуществляющих фильтрацию трафика в скрытном режиме и используемых в Федеральной таможенной службе РФ, Министерстве образования и науки, а также в других учреждениях.

Внедрение результатов

Результаты проведенных исследований нашли практическое применение в разработках, в которых автор принимал личное участие:

1. Разработанное программное обеспечение используется в таможенных органах РФ в рамках проекта «Сопровождение средств сетевой безопасности при интеграции локальных сетей таможенных органов».

2. Разработанные программные средства анализа параметров трафика при использовании МЭ внедрены в эксплуатацию в Федеральной таможенной службе РФ, ФГУ ГНИИ ИТТ «Информика», ОАО «Ленэнерго», правительстве Ленинградской области.

Апробация и публикация результатов работы

Результаты, полученные в диссертационной работе, докладывались на семинаре «Проблемы современных информационно-вычислительных систем» в МГУ им. М.В. Ломоносова, а также на всероссийских и межвузовских научно-технических конференциях. По теме диссертации опубликовано 7 статей, в том числе 2 на международных конференциях.

Структура и объем диссертации

Диссертационная работа общим объемом 153 стр. состоит из введения, четырех глав, заключения и списка литературы (включая 59 рисунков, 3 таблицы и списка литературы из 64 наименований).

Выводы

Подсистема регистрации межсетевого экрана и программное обеспечение анализа регистрируемой информации позволяют:

1. Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает нагрузку сетевого оборудования и каналов связи;

2. Выявить в сети вредоносное и несанкционированное программное обеспечение, например, сетевые сканеры, троянские программы, клиенты пиринговых сетей и др.;

3. Перехватить незашифрованный пользовательский трафик с целью получения паролей и другой информации;

4. Локализовать неисправность или ошибку конфигурации.

ЗАКЛЮЧЕНИЕ

На основе полученных в четырех главах диссертации выводов могут быть сформулированы следующие основные результаты:

1. Средства защиты информации в компьютерных сетях, такие как системы обнаружения и предотвращения вторжений, виртуальные частные сети, серверы-посредники, способы трансляции адресов и межсетевые экраны условно можно разделить на два типа: устройства, при функционировании которых существенно используется информация об адресах сетевых интерфейсов и устройства, функционирование которых не связано с использованием этой информации

2. Межсетевые экраны, функционирующие в режиме скрытной фильтрации не могут быть локализованы в сети, при помощи данных наблюдений непосредственно несвязанных с процессом фильтрации.

3. При проектировании межсетевых экранов в режиме скрытной фильтрации необходимо создание математических моделей, учитывающих фрактальные свойства сетевых процессов.

4. Иерархическая связанность сетевых процессов позволяет строить модели на различных уровнях рассмотрения: от внутренней переменной состояния протокола для отдельного виртуального соединения до агрегированного потока трафика.

5. Измеряемые характеристики трафика можно получить на интервале времени, который связан с минимальным размером пакета и временем жизни виртуального TCP соединения

6. Свойства сетевых процессов, связанные с самоподобием трафика оказывают существенное воздействие на проектирование буферов. Потребности в буфере начинают стремительно расти при незначительном изменении коэффициента использования.

7. Диффузионная аппроксимация процессов позволяет описать работу межсетевого экрана в режиме скрытной фильтрации в классе моделей СМО с самоподобным входным потоком.

8. Повторные передачи пакетов характеризуются временной однородностью и статистической равномерностью в широком диапазоне измерений, что позволяет использовать случайную величину с равномерным распределением для моделирования моментов возникновения потерь пакетов.

9. Динамику изменения внутренней переменной состояния протокола TCP можно описать в виде мультипликативно-рекурсивной модели со случайными параметрами.

10. Разработанная модель виртуального транспортного соединения, позволяет идентифицировать параметры трафика и влиять на фрактальные характеристики процесса.

11. Показатель Херста Н является инвариантной характеристикой к масштабу измерений, поэтому его неизменность на входе и выходе межсетевого экрана будет условием полной скрытной фильтрации.

12. Параметрическая модель МЭ позволяет получить диапазоны значений размера буфера и производительности, при которых межсетевой экран будет обеспечивать режим скрытной фильтрации.

13. Диапазоны значений получаются при анализе зависимости показателя Херста Н, как функции от производительности при различных значениях размера буфера и интенсивности.

14. При нарушении допустимых диапазонов значений производительности и размера буфера, фильтрация трафика будет осуществляться, но режим скрытной фильтрации будет нарушен.

15. Подсистема регистрации межсетевого экрана и программное обеспечение анализа регистрируемой информации позволяют:

- Обнаружить паразитный трафик, наличие которого увеличивает нагрузку сетевого оборудования и каналов связи;

- Выявить в сети вредоносное и несанкционированное программное обеспечение, например, сетевые сканеры, троянские программы, клиенты пиринговых сетей и др.;

- Перехватить незашифрованный пользовательский трафик с целью получения паролей и другой информации;

- Локализовать неисправность или ошибку конфигурации.

Примеры реализаций изменения окна перегрузки TCP соединения

Окно перегрузки (байт)

Окно перегрузки (байт) 0|<но перегрузки (байт) 0кно перегрузки (байт)

30 Время (сек) Я S

Ьа О Ы и х X и >

Окно перегрузки (байт)

2Ь Время (сек)

Окно перегрузки (байт)

Окно перегрузки (байт)

Время (сек) 0

Окно перегрузки (байт)

50000

30000

Окно перегрузки (байт)

Окно перегрузки (байт) 60000

Время (сек) 0

Окно перегрузки (байт)

Окно перегрузки (байт)

1. Башарин Г.П., Бочаров П.П., Коган Я.А. Анализ очередей в вычислительных системах. Теория и методы расчета. М.: Наука, 1989.

2. Баруча-Рид А.Т. Элементы теории Марковских процессов и их приложения. М.: Наука, 1969.

3. Босс В. Лекции по математике. Е.4: Вероятность, информация, статистика. М.: КомКнига, 2005. 216 с.

4. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003.-512с.

5. Городецкий А.Я., Заборовский B.C. Информатика. Фрактальные процессы в компьютерных сетях: Учеб. пособие. СПб.: Изд-во СПбГТУ, 2000. 102 с.

6. Городецкий А.Я., Заборовский B.C., Лапин А.А. Моделирование самоподобных процессов в компьютерных сетях // Научно-технические ведомости СПб.: Изд-во СПбГПУ, 2006. № 5. - С. 103-107

7. Городецкий А.Я. Информационные системы. Вероятностные модели и статистические решения: Учеб. пособие. СПб: Изд-во СПбГПУ, 2003. 326 с.

8. Городецкий А.Я. Структура дифференциальных уравнений фрактальных процессов в динамических системах // Научно-технические ведомости СПб ГПУ. 2004. №4. с. 68.

9. Городецкий А.Я. Системные методы определения статистических характеристик сетевого трафика // Научно-технические ведомости СПб ГПУ. 2005. № I.e. 123.

10. Ермаков С.М., Михайлов Г.А. Статистическое моделирование. 2-е изд. дополн. М.: Наука. Главная редакция физико-математической литературы, 1982. - 296 с.

11. Зеленчук И. Настройка Gigabit Ethernet в ОС GNU/Linux и FreeBSD. Электронный ресурс., 2007 Режим доступа: http://www.opennet.ru/docs/RUS/GigabitEthernet/, свободный. - Яз. рус.

12. Ивченко В.И., Каштанов В.А., Коваленко И.Н. Теория массового обслуживания. М.: Высшая школа, 1982.

13. Казаков В.А. Введение в теорию марковских процессов и некоторые радиотехнические задачи. М.: Сов. радио, 1973.

14. Калашников В.В., Рачев С.Т. Математические методы построения стохастических моделей обслуживания. М.: Наука, 1988. - 310 с.

15. Клейнрок Л. Теория массового обслуживания. М.: Машиностроение, 1979.

16. Лапин А. А. Применение и анализ псевдослучайных последовательностей при моделировании процессов в компьютерных сетях // XXXIV Неделя науки СПбГПУ Всероссийская межвузовская научно-техническая конференция студентов и аспирантов, СПб, 2005. -С. 178-180.

17. Официальные документы Гостехкомиссии России, Электронный ресурс., 2007 Режим доступа: http://www.gtk.Hssi.ru/doc.phtm^DocumentTypelD^l , свободный. - Яз. рус.

18. Лапин А.А. Анализ процессов в компьютерных сетях для обоснования выбора настроек межсетевого экрана, работающего в режиме скрытнойфильтрации II Научно-технические ведомости СПб.: Изд-во СПбГПУ, 2006.

19. Левин Б.Р. Теоретические основы статистической радиотехники. 3-е изд. перераб. и доп. - М.: Радио и связь, 1989. - 656 е.: ил.

20. Масленников М.Е. Практическая криптография. СПб.: БХВ -Петербург, 2003. - 464 е.: ил.

21. Молдовян Н.А., Молдовян А.А., Еремеев М.А. Криптография: от примитивов к синтезу алгоритмов. Спб.: БХВ-Петербург, 2004. -448с.: ил.

22. Мэйволд Э. Безопасность сетей М.: Эком, 2006. - 528 е.: ил.

23. Олифер В.Г., Олифер Н.А., Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. СПб.: Питер, 2003.-864с.: ил.

24. Петров А.А. Проверка гипотезы о типе закона распределения по данным малых выборок //Сборник научных работ кафедры высшей математики МИФИ, 1958, вып.1, с. 121-136.

25. Программное обеспечение, предназначенное для расчета показателя Херста Selfis. Электронный ресурс., 2007 - Режим доступа: http://www.cs.ucr.edu/~tkarag/Selfis/Selfis.html, свободный. - Яз. англ.

26. Программное обеспечение для анализа TCP соединений Электронный ресурс., 2007 - Режим доступа: http://iarok.cs.ohiou.edu/software/tcptrace/, свободный. - Яз. англ.

27. Свешников А.А. Прикладные методы теории марковских процессов: Учебное пособие. СПб.: Издательство «Лань», 2007. — 192 с. — (Учебники для вузов. Специальная литература).

28. Система имитационного моделирования ns2 (Network Simulator) Электронный ресурс., 2007 Режим доступа: http://www.isi.edu/nsnam/ns/, свободный. - Яз. англ.

29. Стивене У. Протоколы TCP/IP. Практическое руководство. СПб.: Невский Диалект, 2003. - 672 с.

30. Стивене У. UNIX: разработка сетевых приложений. СПб.: Питер, 2003. - 1088 е.: ил. - (Серия «Мастер-класс»).

31. Столингс В., Современные компьютерные сети. 2-е изд. СПб.: Питер, 2003. - 783с.: ил. - (Серия «Классика computer science»).

32. Таненбаум Э. Компьютерные сети. 4-е изд. СПб.: Питер, 2003. - 992 е.: ил. - (Серия «Классика computer science»).

33. Тихонов В.И., Харисов В.Н. Статистический анализ и синтез радиотехнических устройств и систем: Учеб. Пособие для вузов. М.: Радио и связь, 2004. - 608 е.: ил.

34. Тихонов В.И., Миронов М.А. Марковские процессы. М.: Сов. радио, 1977.

35. Федер Е. Фракталы /пер. с англ. М.: Мир, 1991.

36. Фракталы в физике /пер. с англ. под ред. JI. Пьетронеро, Э. Тозатти. -М.: Мир, 1988.

37. Франкен П. И др. Очереди и точечные процессы. Киев.: Н.Думка, 1984. 284 с.

38. Хан Г., Шапиро С. Статистические модели в инженерных задачах. М.: Мир, 1969.

39. Хореев П.Б. Методы и средства защиты информации в компьютерных системах: Учеб. Пособие для студ. высш. учеб. заведений/П.Б. Хореев. -М.: Издательский центр «Академия», 2005. 256 с.

40. Чеппел Л., Титгел Э. TCP/IP. Учебный курс: Пер. с англ. СПб.: БХВ -Петербург, 2003. - 976 е.: ил.

41. Шелухин И.О., Тенякшев A.M., Осин А.В. Фрактальные процессы в телекоммуникациях. Монография./ Под ред. И.О. Шелухина. М.: Радиотехника, 2003. - 480 е., ил.

42. Ширяев А.Н., Жакод Ж. Предельные теоремы для случайных процессов. М.: Физматлит, 1994.

43. Шредер М. Фракталы, хаос, степенные законы. Ижевск: НИЦ «Регулярная и хаотическая динамика», 2005. - 528 с.

44. Яргер Р., Риз Дж., Кинг Т. MySQL и mSQL. Базы данных для небольших предприятий и Интернета СПб: Символ - Плюс, 2001 - 560 с. ил.

45. Feller W. The birth and death processes as diffusion processes// Journal of mathematics pure and applied, 1959. Vol. 38, p. 301-345.

46. Finkelstein J.M., Shafer R.E. Improved goodness-of-fit tests //Biometrika, 1971, Vol. 58, no. 3/4, p. 641-645.

47. Flandrin P. On the spectrum of the fractional Brownian motions //IEEE transactions on information theory, 1989, Vol. 35, no. 1, p. 197-199.

48. Leland W., Taqqu M., Willinger, W., Wilson D. On the Self-Similar Nature of Ethernet Traffic (Extended version). IEEE/ACM Transaction on Networing, February 1994.

49. Lilliefors H.W. On the Kolmogorov-Smirnov test for exponential distribution with mean unknown //Journal of the American statistical association, 1969, Vol. 64, p. 387-389.

50. Lohrding R.K. Three Kolmogorov-Smirnov type one sample tests with improved power properties //Journal of statistical computation and simulation, 1972, Vol. 2, no. 1, p. 139-148.

51. Mandelbrot B.B. The fractal geometry of Nature. Freeman, New York, 1983.

52. Martin W., Flandrin P., Wigner-Ville spectral analysis of nonstationary processes //IEEE transactions on acoustics, speech and signal processing, 1985, Vol. 33, no. 6, p. 1461-1470.

53. Norros I. A storage model with self-similar input. VTT Telecommunications, 1994.

54. Paxson V. Measurements and Analysis of End-to-End Internet Dynamics. Ph. D. Thesis, 1997.

55. Sarcadi K. Applications of goodness-of-fit-tests //Amsterdam: North-Holland, 1987, p. 485-492.

56. Soest J. Some goodness-of-fit tests for the exponential distribution //Statistica neerlandica, 1969, Vol. 23, no. 1, p. 41-51.

57. Spurrier J.D. An overview of tests for exponentiality //Communications in statistics, Theory and methods, 1984, Vol. 13, p. 1635-1654.

58. Srinivasan R. An approach to testing the goodness of fit of incompletely specified distributions //Biometrika, 1970, Vol. 57, no. 4, p. 605-611.

59. Wang Y.H., Chang S.A. A new approach to the nonparametric tests of exponential distribution with unknown parameters //Theory and applications of reliability. N.Y.: Academic press, 1977, Vol. 2, p. 235-258.

60. Zaborovsky V., Lapin A., Mulukha V. Network Traffic Invariant Characteristics: Dynamics and Statistics aspects //The Third International Conference on Wireless and Mobile Communications. ICWMC 2007. March 4-9, 2007 Guadeloupe, French Caribbean.

61. Zaborovsky V., Gorodetsky A., Lapin A. Network Complexity: Cross-Layer Models and Characteristics //The Third Advanced International Conference on Telecommunications. AICT 2007. May 13-19, 2007 Mauritius.