автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Обнаружение аномалий на основе анализа однородности параметров компьютерных систем

на правах рукописи

I'

Баранов Петр Александрович

ООЗОБИЬЭ(

ОБНАРУЖЕНИЕ АНОМАЛИЙ НА ОСНОВЕ АНАЛИЗА ОДНОРОДНОСТИ ПАРАМЕТРОВ КОМПЬЮТЕРНЫХ СИСТЕМ

Специальность 05 13 19 Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2007

003069657

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет», на кафедре «Информационная безопасность компьютерных систем»

Научный руководитель:

доктор технических наук, профессор

Официальные оппоненты:

доктор технических наук, профессор

кандидат технических наук, ст преподаватель

Ведущая организация:

Зегжда Дмитрий Петрович

Хомонепко Анатолий Дмитриевич Фокин Андрей Олегович

ЗАО «Голлард», город Москва

Защита состоится «24» мая 2007 г в '& часов

на заседании диссертационного совета Д212 229 27 при ГОУ ВПО «Санкт-Петербургский государственный политехнический университет» (по адресу 195251, Санкт-Петербург, ул Политехническая, д 29/1 ауд 175 главного здания)

С диссертационной работой можно ознакомиться в Фундаментальной библиотеке ГОУ ВПО «Санкт-Петербургский государственный политехнический университет»

Автореферат разослан апреля 2007 г

Ученый секретарь совета //А-ч Платонов В В

Общая характеристика работы

Актуальность работы На сегодняшний день не существует общего подхода к решению задачи обнаружения аномальных ситуаций в процессе функционирования компьютерных систем (КС) Однако в условиях бурного развития информационных технологий и как следствия постоянной модернизации программного и аппаратного обеспечения КС, решение частных задач обнаружения аномалий не может обеспечивать безопасность системы Необходим более универсальный и вместе с тем научно обоснованный метод отслеживания состояний системы

При решении задачи обнаружения аномалий область рассматриваемых событий. происходящих в системе, и, следовательно, область обнаруживаемых аномалий, существенно ограничивается Процесс нахождения решения для такой частной подзадачи состоит из следующих этапов Выделяется некоторый спектр параметров системы, среди которых необходимо производить наблюдения Эги параметры подвергаются анализу с целью выявления общих тенденций в их изменениях, характера этих изменений и предположительных законов, которым эти изменения удовлетворяют На основании результатов этого анализа производится выбор области методов, пригодных для эффективного отслеживания аномалий в поведении выделенных свойств Далее осуществляется апробация конкретных методов из выбранной области или ищутся результаты опыта их применения в уже существующих системах обнаружения аномалий В конечном итоге для обнару жения аномалий используется метод, способный наиболее полно учитывать все изменения свойств выбранной области и в то же время обеспечивающий оптимальную точность при отличии аномального их поведения от нормального

Принципы обнаружения аномалий часто применяются для решения задач обнаружения атак на вычислительные системы Таким образом, методы обнаружения аномалий выбираются применительно к конкретному набору параметров системы и их эффективность гарантирована исключительно для этого набора параметров

Основа для этого направления обнаружения атак заложена в работах таких известных отечественных ученых как В Будзко, В Левин, Б Поспелов, В Пярин, А Стрельцов, В Шерстюк, и зарубежных ученых Д Дешшнг, Н Кресси, Р Рида, Ю Спаффорда, Б Шнаера и других

Предлагаемая автором математическая модель и разработанная на ее основании методика предполагает применение для решения широкого класса задач информационной безопасности

Автором рассматриваются аномалии в работе программного обеспечения системы, однако предложенные методики могут применяться и для аппаратной составляющей

Актуальность проблемы подчеркивается еще и тем, что даже в случае более или менее полного покрытия всей области наиболее важных проблем, связанных с обнаружением аномалий в системе частными решениями, >

3 и (

интеграция этих решений, представляет собой трудноразрешимую комплексную задачу

Целью диссертационной работы является разработка математической модели сетевою и внутрисистемного поведения КС и методики выявления аномалий системы на основании статистического исследования изменений характеристик системы

В соответствии с поставленной целью основными задачами исследования являются

1 Анализ существующих видов аномалий в КС и их систематизация,

2 Разработка алгоритмов обнаружения аномалий и построение математической модели поведения системы,

3 Выбор объектов наблюдения, анализ и классификация характеристик ПО КС, в совокупности формирующих поведение системы,

4 Теоретико-вероятностное обоснование алгоритмов обработки данных,

5 Разработка методики обнаружения широкого класса аномалий на основе оценки однородности данных наблюдения,

6 Тестирование применимости предлагаемых статистических методов обнаружения аномалий на практике для различных типов КС

Методы исследования Решение сформулированных задач строилось с помощью аппарата теории вероятности и математической статистики Применялся также анализ научных разработок и результатов испытания систем, реализующих существующие подходы для решения частных задач оонар) жения аномалий Практическая применимость разработанных алгоритмов и методик исследовалась при помощи специально разработанного соискателем программного обеспечения в условиях моделирования разных типов поведения КС и применения его на эксплуатируемых в штатном режиме системах

Научная новизна диссертационной работы состоит в следующем

1 Предложена обобщенная модель аномалии как специфического признака нарушения безопасности информационных систем,

2 Впервые разработана математическая модель поведения информационных систем и методика, позволяющая обнаруживать широкий класс аномалий на основе анализа однородности наблюдаемых параметров системы,

3 Исследованы и обоснованы алгоритмы обнаружения аномалий,

4 Обоснован набор наблюдаемых характеристик, достаточных для обнаружения аномалий

Практическая ценность работы состоит в том, что ее результаты позволяют

• Проводить анализ защищенности информационных систем с точки зрения нового подхода к определению аномалии в системе, выявляя широкий класс нарушений безопасности,

• На основании предложенной методики разработать самостоятельную систему обнаружения аномалий в КС, ориентированную на анализ поведения элементов защищаемой системы и нацеленную на решение комплекса задач по защите информации

Практическая ценность и новизна работы подтверждаются двумя актами об использовании от ЗАО «Голлард» (результаты применены при проектировании защищенных систем обработки информации) и ог ЗАО «Институт проблем информатики РАН» (результаты применены при анализе защищенности ведомственной компьютерной сети в связи с плановым обновлением обслуживающего ПО)

Апробация работы Основные теоретические и практические результаты работы обсуждались на XIV и XV общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (С-Петербург, 2005-2006), на XIV Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2007)

Публикации По теме диссертации опубликовано 11 работ, в их числе 8 научных статей и 3 доклада на конференциях

Основные положения, выносимые на защиту

1 Предложено понятие обобщенной статистической модели аномалий поведения КС,

2 Подход к обнаружению аномалий путем применения статистического критерия степени рассеивания выборок при большом числе испытаний,

3 Метод отображения поведения произвольных характеристик системы на множество случайных выборок,

4 Исследование асимптотического поведения статистик различных критериев однородности выборок применительно к задаче обнаружения аномалий,

5 1 еоретико-вероятностная модель поведения защищаемой системы и программные средства, реализующие выявление аномалии в соответствии с принятой моделью

Структура работы Диссертация состоит из введения, четырех глав, заключения и списка литературы из 45 наименований

Содержание работы.

Первая глава содержит постановку задачи исследования и разработки предлагаемого подхода к обнаружению аномалий Для этого анализируются основные типы аномалий, возникающих в КС, проводится их систематизация и формулируются основы построения обобщенной модели аномалий

Глава содержит описание возможностей применения подходов, основанных на обнаружении аномалий для решения задач информационной безопасности Даются определения аномалии и штатной работы наблюдаемой системы Кроме того, приводятся основные принципы применяемого метода обнаружения аномалий

Аномалии, возникающие в КС классифицируются по причинам возникновения аномалии работы ПО, аномалии, возникающие как следствие сетевых атак, аномалии поведения пользователя, аномалии в работе аппаратной составляющей и т д , - все они имеют отношение к безопасности КС Повышенный интерес вызывают обычно аномалии, связанные с сетевыми атаками Действия, связанные с атакой на вычислительную систему связаны с аномалиями в работе отдельных частей функционирующего в системе ПО При корректно сформулированном профиле нормального поведения определенных программных компонент и эффективном методе обнаружения отклонений от этого профиля проблема обнаружения атак является частным случаем задачи обнаружения аномалий

Основная гипотеза предлагаемого подхода состоит в том, что штатной работе системы соответствует однородность наблюдаемого поведения Выбор характеристик, отражающих поведение системы, представляет собой отдельную задачу, решение которой также предлагается в работе В этой связи неоднородность поведения рассматривается как предпосылка угрозы штатной работе системы В соответствии с основной гипотезой неоднородность связывается с аномалией, и выявление аномалий представляется именно в виде неоднородностей в работе системы Исходя из описанных предположений, в работе предлагается определение аномалии как отклонения в поведении системы от однородности, наблюдавшейся при штатной работе

Для решения поставленной задачи в работе предлагается формализация понятия однородности в терминах математической статистики В работе модель поведения системы формируется на основании выборочных наблюдений характеристик системы

Каждая выборка характеризует поведение наблюдаемых параметров системы на протяжении некоторого временного интервала наблюдений Выборки формируются на основании показаний совокупностей датчиков, отражающих изменения характеристик системы В результате наблюдений за системой в течение определенного интервала времени получим распределение частот состояний срабатывания датчиков, из которого вычисляется результирующая выборка Однородность таких выборок и

выявление отклонений в распределении частот состояний датчиков исследуется в настоящей работе

В диссертационном исследовании принято соглашение о том, что штатной называется такая работа КС, при которой на систему не производится атак, ПО работает без сбоев окружение системы постоянно и глобальные свойства ПО остаются неизменными

Обнаруживаемые отклонения в поведении программного обеспечения от назначенного для профиля нормального поведения могут означать возникновение целого ряда классов проблем в наблюдаемой системе Это могут быть разного рода сбои в работе самого программного обеспечения, нештатная работа аппаратных составляющих, неисправности удаленных устройств или КС, с которыми налаживает связь наблюдаемая система Кроме того, отклонениями от нормального шаблона характеризуется и не наблюдавшаяся ранее активность пользователей системы, таким образом, возможно решение задач выявления внутренних нарушителей политики безопасности

Таким образом, в данной главе

^ Показана роль задачи обнаружения аномалий в решении проблем

информационной безопасности, ^ Рассмотрены общие положения предлагаемого подхода, ^ Даны определения аномалии и однородности поведения, Систематизированы типы аномалий, возникающих в КС

Для решения задач, поставленных в работе, необходима разработка математической модели поведения наблюдаемой системы, классификация и метод отбора исходного материала исследований Этим проблемам посвящена вторая глава диссертации

Под наблюдаемой системой б}дем понимать набор параметров программных компонент КС Необходимо решить проблему выбора характеристик, отражающих поведение системы и в то же время таких, для которых возможно проведение статистического анализа на аномальность

Построим математическую модель функционирования системы Пусть выбрано некоторое количество характеристик системы, подлежащих наблюдению Пусть также имеется я датчиков, вместе фиксирующих состояние каждой из характеристик Пронумеруем датчики от 0 до л-1

Наблюдение за системой состоит из интервалов наблюдений - отрезков времени заданной длины На интервалы наблюдения могут быть наложены дополнительные условия помимо общей продолжительности они могут иметь общее в течение дня начало наблюдения, список пользователей, имеющих доступ к системе на протяжении очередного интервала и тд Разобьем с1- й интервал наблюдения на Тл возможно разных по продолжительности промежутков наблюдения, г - число интервалов наблюдения, подлежащих анализу

Назначим каждому датчику, контролирующему характеристики системы в соответствие величину, принимающую значение 0 или 1 Такую величину назовем бинарным датчиком На протяжении каждого промежутка наблюдений будем следовать следующему алгоритму В начале промежутка все бинарные датчики приравниваются к нулю Если в течение промежутка наблюдений значение датчика, следящего за характеристиками системы, изменялось, назначим соответствующему бинарному датчику значение 1 По окончании /-го промежутка в с1-\\ интервал наблюдений вычислим следующую величину

24,

к=о

где 1 = 1, а Ък- значение к-го бинарного датчика на момент

окончания промежутка наблюдений Величина (рл характеризует совокупность активности бинарных датчиков за /-Й промежуток й-т интервала всей серии наблюдений

По прошествии Тл промежутков наблюдений получим множество Ф из Тл элементов, состоящее из величин (рл, принимающих значения от 0 до 2" -1 Построим результирующую выборку для с/-го интервала наблюдений Пусть есть пронумерованное множество из Т элементов, в котором каждый член - целое неотрицательное число Сформируем множество ул на основании величин <ра, по следующем закону ^ = ("¿1. = 2'

где д} - количество вхождений величины у в множество Ф Множество I',! назовем результирующей выборкой для ¿/-го интервала наблюдений на выбранном множестве характеристик и датчиков Каждый элемент этой выборки содержит информацию о частоте, с которой значения датчиков изменялись на протяжении данного интервала и номерах изменявшихся датчиков Таким образом, в виде результирующей выборки имеем формализованное математическое представление характера изменений параметров системы на протяжении интервала наблюдений

Однородность выборок, сформированных указанным образом, исследована в данной работе с помощью критериев однородности В результате применения критерия однородности к множеству выборок получаем численное значение критерия, на основании анализа которого делается вывод об однородности или неоднородности выборок, что в соответствии с основной гипотезой работы свидетельствует о наличии или отсутствии аномальной активности на заданных временных интервалах Анализ применяемых критериев проведен в третьей главе

Эффективность обнаружения аномалий во многом зависит от выбора наблюдаемых параметров

Систематизируем характеристики КС с точки зрения их статистического анализа В работе предлагается разделить все пространство характеристик наблюдаемой системы на следующие категории, исходя из задачи обобщения аномалий

• Характеристики, описывающие использование локальных ресурсов системы Сюда относятся свойства системы, на которые напрямую оказывают влияние исключительно локально обрабатываемые программные процессы

• Характеристики, описывающие взаимодействие системы с внешним миром К этой категории относятся свойства системы, изменения которых обусловлены в первую очередь процессами взаимодействия системы с другими подобными системами

Характеристики первой категории отражают состояние ресурсов системы на момент наблюдения

Наблюдаемые параметры первой категории подразделяются по принципу осуществления наблюдения, т е по акцентам, расставляемым при осуществлении контроля тех или иных характеристик

• Контроль свободного количества ресурсов,

• Контроль абсолютного использования,

• Контроль временных характеристик,

• Контроль шаблонов использования конкретных ресурсов,

• Контроль взаимосвязей

Данные наблюдений, входящих во вторую категорию, в работе разделяются в связи с понятием «период наблюдения», то есть применительно к измерению изменений тех или иных величин, произошедших за временной промежуток, равный установленному значению Это значение именуется периодом наблюдения Рассматриваются следующие подгруппы этих величин

• Объемы передачи данных,

• Количество передаваемых пакетов данных,

• Количество соединений,

• Продолжительность соединения

В соответствии с введенной классификацией выберем наборы характеристик, использующихся для проверки гипотез работы на практике Выделяется два множества элементов присутствующего в системе ПО

• Множество элементов, характеристики которых могут быть затронуты в результате сетевого взаимодействия наблюдаемой системы с другими системами и/или сетевым оборудованием,

• Множество элементов системы, характеристики которых могут быть затронуты только в результате действий локально запущенных процессов

Эти множества соответствуют двум основным группам классификации Внесем конкретику в требования к наблюдениям наблюдение производится на отдельно взятом сетевом интерфейсе передачи данных, в рамках протокола TCP/IP, мониторинг ресурсов системы ограничим оценкой расхода виртуальной памяти и загрузкой центрального процессора

В качестве датчиков для первого множества выберем количество переданных пакетов и количество соединений, установленных для заранее выбранных TCP-портов передачи данных Для второго множества вводится шкала загрузки ресурса Полная загрузка ресурса системы принимается за 100% использования ресурса, состояние, при котором загрузка минимальна -за 0% использования Бинарные датчики загрузки связываются с относительным уровнем загрузки по выбранной шкале с шагом 10% Результаты данной главы состоят в следующем

■S Построена математическая модель функционирования системы, S В рамках построения предложен алгоритм отображения абсолютных значений датчиков на пространство результирующих выборок, S Введена классификация характеристик системы, подлежащих

статистическому анализу, S В соответствии с введенной классификацией выбраны множества характеристик системы, на которых будет опробован предлагаемый подход Введенная математическая модель предполагает использование критерия однородности выборок для обнаружения аномалий Теоретические основы предлагаемых к рассмотрению критериев предложены и исследованы в третьей главе настоящей работы

В третьей главе рассматривается многопараметрическая математическая модель наблюдений над поведением ПО, называемая обычно в литературе полиномиальной схемой Каждый отрезок наблюдений моделируется отдельно последовательностью независимых случайных величин, соответствующих своей полиномиальной схеме В этой математической модели рассматривается асимптотическое поведение многих статистик различных критериев, в том числе критерия однородности, являющегося базовым в работе Асимптотика обычно применяется там, где имеются большие значения параметров и тогда допредельные, сложные и нерассчитываемые распределения заменяются на более простые предельные Этот принцип применен и в данной работе

Дополнительно для подтверждения возможности подобной замены произведен численный расчет допредельных средних и дисперсий используемых статистик Известные в настоящее время результаты носят асимптотический характер, а скорости сходимости в применяемых представлениях средних и дисперсий не оценены

Серии последовательностей наблюдений над работой системы моделируются реализациями серии независимых случайных величин

В частности, так поступают в исследованиях по статистической лингвистике, когда последовательность слов в смысловом тексте моделируется последовательностью независимых случайных величин В

нашем случае ? <ггл - последовательность состояний совокупности

датчиков за промежутки наблюдений одного интервала При этом в отдельности каждый из датчиков будет иметь свое распределение, однако это распределение будет постоянным при переходе от одного интервала всей серии наблюдений к след} ющему

Здесь - последовательность независимых дискретных случайных величин, наблюдаемых в с1-й серии наблюдений - число моментов наблюдении, (I = 1 г Случайные величины имеют одинаковое

внутри серии распределение Р¿, на множестве (1, , Щ возможных значений исходов Подобные серии наблюдений в математической литературе называют схемами независимых полиномиальных испытаний или полиномиальными схемами

Рассмотрим случай однородности распределений ^ Для выявления гипотезы Н0 Р1 = = Рг, по наблюдениям над случайными величинами (2) обычно используется критерий однородности хи-квадрат, основанный на квадратичной статистике

г N (Уф--—)

d=1 1 V*J^d

где v+j , T = 7\ + +Tr> ad =Td T 1, a vd, - определенная в

d=1

(1) частота у-го исхода в ходе реализации схемы, основанной на случайной величине

Эффективность критерия хи-квадрат оценивается асимптотически при 7р ,ТГсо; N= const и фиксированном распределении Р = Р1 = = Рг, не имеющем нулевых координат Пусть справедливо соглашение о том, что координаты, которые по окончании очередного интервала наблюдений приобрели нулевое значение, не учитываются Знание параметра N0

(количество ненулевых координат) необходимо для замены допредельного

2

сложного выражения распределения статистики Хт на предельное

Для решения поставленных в работе задач воспользуемся предложенным Кресси и Ридом обобщением критерия хи-квадрат, основанным на статистике мощности рассеивания

1т(Л) = ^1т{Л,ё),

а=\

1т{Л,с1) =

'Л + 1

2

V1

V

Е

чЯ

//

Статистика 1Т{Л) - есть

сумма координат векторной статистики 7Г(Я) = (/Г(ЯД), ,1т(Л,г)) Придание параметру Я некоторых конкретных

1Т(Л)

к известным классическим

значении приводит, к сведению статистики критериям

В настоящей работе эти критерии предлагается использовать в качестве основных для фиксации однородности состояния В связи с тем, что при изменениях параметра А. можно ожидать увеличения точности определения однородности для разных типов распределений, необходимо исследование различных свойств, приведенных критериев в зависимости от значений этого параметра

Наличие неоднородности, т е обнаружение аномалии можно рассматривать как отсутствие однородности и в этом смысле, ограничиваясь изложенными методами, делать заключение о наличии аномалии в виде вторжения или изменении поведения ПО в случае несоответствия гипотезе #о наблюдаемых г выборок наблюдений объемов Тх, ,Тг Предложенная модель позволит получить оценку вероятности ошибки первого рода, те вероятности события критерий ошибочно отверг однородные выборки т к статистика 1Г (Л) превысила установленную границу Если подобные события случаются часто, то это вредит работе программной системы, ведущей наблюдения в смысле реализации заложенного в нее функционала

Ошибку второго рода, т е вероятность пропуска вторжения или посторонних действий оператора рассчитать без конкретизации альтернативной для Н0 гипотезы //,, невозможно Вместе с тем, при обнаружении несоответствия требованию однородности существует проблема выявления места несоответствия, что связано с определением периода наблюдений, где имеет место неоднородность, те с выявлением номера или номеров выборок, в которых распределение вероятностей исходов отличаются от остальных

Для решения проблемы минимизации ошибок второго рода в работе введено понятие уровня значимости, и предложены способы принятия решения о том, какая из гипотез наблюдается в данный момент Алгоритм принятия гипотезы для целой последовательности наблюдений таков если выполняется неравенство

— 1) ' ГДе ' УРове11Ь значимости, зависящий от

величины ошибки второго рода /?, то считаем справедливой гипотезу Нх

Для эффективного снижения количества ошибок первого рода необходимо несколько сузить понятие гипотезы, для чего в работе получены соотношения для отклонения каждой из случайных величин и общего отклонения значения критерия

После получения выражений для параметров предельных законов, характеризующих возможность замены допредельных представлений гистограмм распределения статистики 1Т Ц) предельными плотностями нормальных законов, получаем наглядную иллюстрацию асимптотических плотностей

( Л(7>ЛГ(г-1)

\\\ - Г(Н,\ Но) = а

Е23 - р(н„ | п,)=р

Здесь а - вероятность ошибки первого рода, /7 - вероятность ошибки второго рода, С - граница принятия решения Параметр предельных законов /1(7) вычислен в диссертации в явном виде и зависит от Я, 1\, ,РГ Исходя из анализа представлений параметров предельных законов и потребовав ограничения суммарного отклонения всех выборок, автором получены условия, при которых ошибки а и у? могут быть снижены до приемлемых значений

Таким образом, проведенный анализ показывает возможность эффективного применения критерия по выявлению неоднородности выборок, основанного на статистике 1Т (Л.)

Для применения критерия в практике выявления аномальной работы ПО важными являются параметры среднего Е1Т(Х) и дисперсии В1Т{Х) В

предположениях N = const, Т{, , Tr оо находятся выражения для среднего и дисперсии с оценками остаточных членов в виде О^'^

Таким образом в результате теоретических исследований

■S Обоснована методика обнаружения аномалий по критерию

однородности выборок, ■S Получены выражения для вероятностей ошибок первого и

второго рода для выбранных критериев, S Даны необходимые оценки параметров, связанных с эффективностью использования предлагаемого подхода

Реализация предложенной методики и экспериментальное исследование обнаружения аномалий освещены в четвертой главе Задачи 4 главы проведение экспериментов и демонстрация результатов испытаний по обнаружению аномалий с помощью описанной методики для различных типов КС, а также раскрытие алгоритмов применяемых программных средств

Для получения статистических данных и преобразования их в результирующие выборки, а также для применения к полученным выборкам спектра критериев, был разработан программный комплекс, состоящий из нескольких модулей Каждый из модулей выполняет задачу получения данных из системы или от других модулей и преобразования их в вид, пригодный для восприятия исследователем или другим модулем программы Кроме того, такая организация позволяет разделить кроссплатформенные участки кода и модули, чья реализация зависит от целевой ОС

Программа состоит из модулей трех типов сенсор сетевой активности, сенсор внутрисистемных изменений и модуль статистической обработки Для успешной совместной работы, а также с целью обеспечения возможностей расширяемости программного средства, необходим интерфейс взаимодействия модулей Таким интерфейсом служат жестко зафиксированные множества параметров и входных-выходных данных для пограничных методов языка С++, а также заранее определенные структуры данных, с помощью которых осуществляется передача информации о наблюдавшихся изменениях характеристик системы

Исследования практической применимости критериев однородности проводились в следующих условиях Были выбраны три класса наблюдаемых систем класса «рабочая станция»

• Тип «Обработка документации» Системы этого типа подразумевают работу пользователя с документами разного рода Взаимодействие с Интернетом производится посредством интернет-обозревателя, пользователю доступны службы мгновенной передачи сообщений и электронной почты Пользователь имеет доступ к локальному файловому серверу и прокси-серверу, выполняющем}' функции резервного канала связи с Интернет

• Тип «Разработка ПО» Системы этого типа используются для разработки программного обеспечения, 90% времени на таких системах запущена среда разработки, часто запускаются вспомогательные приложения Пользователи имеют доступ ко всем службам, указанным для первого типа, кроме того, им доступны службы обмена сообщениями и файлами в локальной сети для эффективной коллективной разработки и дополнительные службы в случае разработки сетевого ПО

• Тип «Домашний компьютер» Системы этого типа обладают меньшей степенью сходства по службам и характеру действий пользователя, чем первые два типа Однако, ввиду широкого применения КС для повседневных нужд, представляет интерес наблюдение за такими системами Среди прочих выделяется сетевая активность, связанная с доступом в Интернет посредством интернет-браузера, передачей мгновенных сообщений, обменом файлами с использованием протоколов FTP и Netbios Также присутствуют службы электронной почты и пиринговых сетей для удаленного обмена файлами

Для всех систем первого типа формировался единый список наблюдаемых портов передачи данных В отношении систем, ориентированных на разработку ПО, для каждой формировался свой список портов Его составляющие определялись типом разрабатываемого ПО, средствами разработки и тестирования, ресурсами локальной сети

Аномалии в

отношении сетевой активности моделировались с помощью атак на наблюдаемые системы (применялись атаки типа SynFlood, MS03-39 Kaht2 (135), MS03-043 Remote SYSTEM, HOD-ms04011-lsasrv-expl LSASS (MS04-011) и другие) и заражения их вредоносными программами, такими как VBS LoveLetter, Cassandra, RedZONE 7 1 и Melissa В отношении использования внутренних ресурсов системы аномалии моделировались путем установки дополнительного ПО, создающего нагрузку на процессор или повышающего объемы использования виртуальной памяти

Интервал наблюдении

График 1 Результаты наблюдений за рабочими станциями типа «Обработка документации»

График 2,3 Примеры результатов наблюдений за рабочими станциями типа «Разработка ПО» и «Домашний компьютер»

Результаты наблюдения для систем первых трех типов представлены на графиках 1-3 Первые 10 дней наблюдалось штатное поведение системы, на 11 -й день моделировалась аномалия Для систем первого типа моделировались аномалии типа «ингернет-червь», для систем второго и третьего типа аномалии моделировались атаками извне или намеренно нестандартными действиями пользователя (установкой дополнительного ПО, запуском «шумовых» генераторов трафика, или искусственным ограничением быстродействия наблюдаемой подсистемы)

Графики наглядно демонстрируют надежное определение аномалий При значениях параметра Я из главы 3, превышающих 1, можно констатировать увеличение чувствительности критерия, что негативно сказывается на возможности обнаружения применявшихся аномалий В отношении каждого случая можно подобрать один из тестировавшихся параметров, который наиболее ярко отражает нормальность или аномальность поведения системы в данных) словиях

В отношении анализа значений критериев при мониторинге расхода ресурсов системы значения, превышающие 1, оказываются более перспективными в плане обнаружения аномалий, однако следует отметить общее снижение эффективности обнаружения аномалий Вероятно, это обосновано высокой обобщенностью набора характеристик системы

Для условий штатной работы разброс значений критерия находятся в пределах теоретической однородности ± 3-^2г{И -1), /^5, N-40-60 что соответствует однородности результирующих выборок и тем самым подтверждает гипотезу однородности В случае наблюдения аномалий значения критериев при оптимальных значениях параметра превышают установленный предел, что свидетельствует о неоднородности результирующих выборок Таким образом, для систем типа «рабочая станция» показана возможность обнаружения аномалий путем анализа значений критериев однородности с определенными параметрами для результирующих выборок

Результаты наблюдений за системой типа «сервер» проводились на сервере локальной сети, осуществляющем функции межсетевого экрана

Сервер установлен в Институте Проблем Информатики РАН и выполняет роль фильтра входящего/исходящего трафика ведомственной сети насчитывающей более 100 рабочих станций В качестве программного обеспечения, реализующего доступ пользователей локальной сети в Internet, использовался продукт Microsoft ISA server 2000

Наблюдение проводилось за взаимодействием систем локальной вычислительной сети с Интернет с использованием служб электронной почты, мгновенного обмена сообщениями, удаленного доступа к базам данных, службам защищенной передачи данных и других

Наличие атак кроме модуля статистической обработки фиксировалось штатной системой защиты и обнаружения атак

И поскольку за ___! наблюдаемый период штатные

500

450

m 400

ф

з а. 350

а>

£ 300

& 250

к

5 X 200

£ 150

I

(О 100

50

0

-.^""•ч1—I средства не зафиксировали

г/ V1-* ^ч аномалий, можно считать, что

~ предлагаемый метод

--1 работоспособен

--' Наблюдения за штатной

I работой сервера производились в

....................................течение 2 месяцев График 4

1 2 з 4 5 б 7 в э ю и 1213141516171в 19 го демонстрирует наблюдаемые Интервал набпку,».^ значения критериев однородности

График 4 Динамика значений критериев при штатной работе в УСЛОВИЯХ ШТЗТПОЙ рабоТЫ сервера }

сервера Следует отметшь стабильность нахождения значений критерия в рамках теоретических ограничений ±ъф.г(Ы-\), г= 5, ЛМ80-250 что подтверждает гипотезу настоящей работы об однородности штатного поведения КС

В результате испытаний практического применения критериев однородности

^ Разработан программный комплекс, ориентированный на сбор статистической информации о поведении наблюдаемой системы, и реализующий задачу преобразования собранных данных в значения, пригодные для дальнейшего анализа, ^ Получено практическое подтверждение применимости ряда критериев для обнаружения аномалий при заведомо отобранных наблюдаемых характеристиках системы, ^ Для широкого класса КС получено подтверждение выполнения гипотезы однородности в отношении результирующих выборок, характеризующих поведение системы

В результате диссертационных исследований

1 Предложено обобщенное понятие аномалии в КС

2 Разработана математическая модель поведения системы, представляющая системную активность выборками значений случайных величин

3 Разработан алгоритм обнаружения аномалий на основе математического аппарата проверки однородности с применением критерия степени рассеивания выборок

4 В соответствии с введенной моделью разработана методика обнаружения аномалий в работе ПО

• Математически обоснована применимость предлагаемого математического аппарата для задач обнаружения аномалий,

• Исследована чувствительность метода для обнаружения неоднородности,

• Оценены необходимые для эффективного обнаружения объемы материала наблюдений,

• Проведена апробация подхода в условиях реальных КС и при моделировании аномальной активности

5 Создано средство сбора и анализа статистики на основе наблюдения за системами, функционирующими под управлением ОС семейств Linux и MS Windows, реализующее основные разработанные научные положения в виде программного комплекса

Основные результаты диссертации изложены в 11 печатных работах

1 Баранов П А Спецификация экспертного анализатора // Проблемы информационной безопасности - СПб , 2003 - № 4, С 42-49

2 Баранов П А Проектирование и разработка архитектуры экспертного анализатора обнаружения сетевых атак // Проблемы информационной безопасности - СПб, 2003 - №4, С 49-58

3 Баранов П А Обзор средств борьбы со спамом и е-тай вирусами // Проблемы информационной безопасности - СПб , 2004, - № 1, С 44-52

4 Баранов П А Проблемы реализации мандатного доступа (модель Белла -ЛаПадулы) к ресурсам вычислительных систем // Проблемы информационной безопасности -СПб, 2005 - № 1, С 7-15

5 Баранов П А Современные проблемы обеспечении информационной безопасности мгновенной передачи сообщений // Проблемы информационной безопасности -СПб,2005 - № 1, С 15-23

6 Баранов П А Классификация характеристик программного обеспечения, используемых для обнаружения аномалий // Научно-технические ведомости СПбГТУ -СПб, 2006 - №6, С 21-28

7 Баранов П А Исследование статистических характеристик функционирования защищаемого сервера // Сб Материалов XIV общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» - СПб, 2006 С 90

8 Баранов ПА О применении критерия степени рассеивания для обнаружения аномалий // Сб Материалов XV общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации», - СПб , 2006 С 96-97

9 Баранов П А Теоретико-вероятностные основы метода обнаружения аномалий, основанного на критерии однородности данных // М сб материалов XIV Всероссийском научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» МИФИ 2007 С 56-57

10 Баранов ПА Выбор характеристик протраммного обеспечения, используемых для обнаружения аномалий // Проблемы информационной безопасности - СПб, 2006 - № 3, С 20-33

11 Баранов П А Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности // Проблемы информационной безопасности - СПб , 2006, - № 3, С 15-24

Подписано в печать 18 04 2007 Формат 60*90/16 Тираж 150 экз 1,125 уч-изд л Заказ №395

Отпечатано в Печатном салопе «РВ-Принт» 125015, г Москва, ул Б Новодмитровская, дом 14, стр2

ВВЕДЕНИЕ.

ГЛАВА 1. АНОМАЛИИ КАК ОБОБЩЕНИЕ НАРУШЕНИЙ БЕЗОПАСНОСТИ.

Систематизация нарушений безопасности в распределенных сетях.

Обобщение понятия аномалии.

Основные положения предлагаемого метода обнаружения аномалий.

ГЛАВА 2. ВЫБОР ОБЪЕКТОВ НАБЛЮДЕНИЙ, ХАРАКТЕРИЗУЮЩИХ НОРМАЛЬНОЕ И АНОМАЛЬНОЕ СОСТОЯНИЯ СИСТЕМЫ.

Построение теоретико-вероятностной модели поведения системы.

Классификация характеристик системы.

Выбор наблюдаемых характеристик системы и его обоснование.

ГЛАВА 3. МАТЕМАТИЧЕСКОЕ ОПИСАНИЕ И ТЕОРЕТИКО-ВЕРОЯТНОСТНЫЕ ОСНОВЫ АЛГОРИТМА ОБНАРУЖЕНИЯ АНОМАЛИЙ

Критерий однородности данных.

Алгоритмы выявления неоднородности.

Средние и дисперсия применяемых статистик.

ГЛАВА 4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СТАТИСТИЧЕСКИХ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ. алгоритмы работы и принципы программирования программного комплекса обнаружения

АНОМАЛИЙ.

Результаты работы программного комплекса на клиентских машинах.

Результаты работы программного комплекса на сервере.

На сегодняшний день не существует общего подхода к решению задачи обнаружения аномальных ситуаций в процессе функционирования компьютерных систем (КС). Однако в условиях бурного развития информационных технологий и как следствия постоянной модернизации программного и аппаратного обеспечения КС, решение частных задач обнаружения аномалий не может обеспечивать безопасность системы [22]. Необходим более универсальный и вместе с тем научно обоснованный метод отслеживания состояний системы.

При решении задачи обнаружения аномалий область рассматриваемых событий, происходящих в системе, а следовательно, и область обнаруживаемых аномалий, существенно ограничивается [7][11-13]. Процесс нахождения решения для такой частной подзадачи состоит из следующих этапов. В первую очередь выделяется некоторый спектр свойств системы, среди которых необходимо производить наблюдения. Эти свойства подвергаются анализу с целью выявления общих тенденций в их изменениях, характера этих изменений и предположительных законов, которым эти изменения удовлетворяют. На основании результатов этого анализа производится выбор области методов, пригодных для эффективного отслеживания аномалий в поведении выделенных свойств. Далее осуществляется апробация конкретных методов из выбранной области или ищутся результаты опыта их применения в уже существующих системах обнаружения аномалий. В конечном итоге для обнаружения аномалий используется метод, способный наиболее полно учитывать все изменения свойств выбранной области и в то же время обеспечивающий оптимальную точность при отличии аномального их поведения от нормального.

Принципы обнаружения аномалий часто применяются для решения задач обнаружения атак на вычислительные системы. Таким образом, методы обнаружения аномалий выбираются применительно к конкретному набору параметров системы и их эффективность гарантирована исключительно для этого набора параметров.

Основа для этого направления обнаружения атак заложена в работах таких известных отечественных ученых как В. Будзко, В. Левин, Б. Поспелов, В. Пярин, А. Стрельцов, В. Шерстюк, и зарубежных ученых Д. Деннинг, Н. Кресси, Т. Рида, Ю. Спаффорда, Б. Шнаера и других.

Предлагаемая автором математическая модель и разработанная на ее основании методика предполагает применение для решения широкого класса задач информационной безопасности.

Автором рассматриваются аномалии в работе программного обеспечения системы, однако предложенные методики могут применяться и для аппаратной составляющей.

Актуальность проблемы подчеркивается еще и тем, что даже в случае более или менее полного покрытия всей области наиболее важных проблем, связанных с обнаружением аномалий в системе частными решениями, интеграция этих решений, представляет собой трудноразрешимую комплексную задачу.

Целью диссертационной работы является разработка математической модели сетевого и внутрисистемного поведения КС и методики выявления аномалий системы на основании статистического исследования изменений характеристик системы.

В соответствии с поставленной целью основными задачами исследования являются:

1. Анализ существующих видов аномалий в КС и их систематизация;

2. Разработка алгоритмов обнаружения аномалий и построение математической модели поведения системы;

3. Выбор объектов наблюдения, анализ и классификация характеристик ПО КС, в совокупности формирующих поведение системы;

4. Теоретико-вероятностное обоснование алгоритмов обработки данных;

5. Разработка методики обнаружения широкого класса аномалий на основе оценки однородности данных наблюдения;

6. Тестирование применимости предлагаемых статистических методов обнаружения аномалий на практике для различных типов КС.

Решение сформулированных задач строилось с помощью аппарата теории вероятности и математической статистики. Применялся также анализ научных разработок и результатов испытания систем, реализующих существующие подходы для решения частных задач обнаружения аномалий. Практическая применимость разработанных алгоритмов и методик исследовалась при помощи специально разработанного соискателем программного обеспечения в условиях моделирования разных типов поведения КС и применения его на эксплуатируемых в штанном режиме системах.

Научная новизна диссертационной работы состоит в следующем:

1. Предложена обобщенная модель аномалии как специфического признака нарушения безопасности информационных систем;

2. Впервые разработана математическая модель поведения информационных систем и методика, позволяющая обнаруживать широкий класс аномалий на основе анализа однородности наблюдаемых параметров системы;

3. Исследованы и обоснованы алгоритмы обнаружения аномалий;

4. Обоснован набор наблюдаемых характеристик, достаточных для обнаружения аномалий.

Практическая ценность работы состоит в том, что ее результаты позволяют:

• Проводить анализ защищенности информационных систем с точки зрения нового подхода к определению аномалии в системе, выявляя широкий класс нарушений безопасности;

• На основании предложенной методики разработать самостоятельную систему обнаружения аномалий в КС, ориентированную на анализ поведения элементов защищаемой системы и нацеленную на решение целого комплекса задач по защите информации.

Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ЗАО «Голлард» (результаты применены при проектировании защищенных систем обработки информации) и от ЗАО «Институт проблем информатики РАН» (результаты применены при анализе защищенности ведомственной компьютерной сети в связи с плановым обновлением обслуживающего ПО).

Основные теоретические и практические результаты работы обсуждались на XIV и XV общероссийских научно-технических конференциях «Методы и технические средства обеспечения безопасности информации» (С-Петербург, 2005-2006), на XIV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, 2007).

По теме диссертации опубликовано 11 работ, в их числе 8 научных статей и 3 доклада на конференциях.

Основные положения, выносимые на защиту:

1. Предложено понятие обобщенной статистической модели аномалий поведения КС;

2. Подход к обнаружению аномалий путем применения статистического критерия степени рассеивания выборок при большом числе испытаний;

3. Метод отображения поведения произвольных характеристик системы на множество случайных выборок;

4. Исследование асимптотического поведения статистик различных критериев однородности выборок применительно к задаче обнаружения аномалий;

5. Теоретико-вероятностная модель поведения защищаемой системы и программные, реализующие выявление аномалий в соответствии с принятой моделью.

Структура работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы из 43 наименований.

Результаты работы программного комплекса на сервере

Помимо рабочих станций испытания возможностей применения предложенной методики проводились на компьютерных системах типа «сервер». От таких систем можно ожидать более широкого спектра активных состояний совокупностей датчиков ввиду того, что службами сервера пользуется большее количество пользователей, нежели в случае с рабочей станцией. Несмотря на то, что активность отдельных рабочих станций и подчиняется стационарным статистическим законам, как было показано в предыдущем параграфе, остается открытым вопрос о том, является ли таким процессом их совокупная активность, фиксируемая на сервере, предоставляющим те или иные сетевые службы.

Наблюдения за системой типа «сервер» проводились на сервере локальной сети, осуществляющем функции брандмауэра. Сервер установлен в Институте Проблем Информатики РАН и выполняет роль фильтра входящего/исходящего трафика ведомственной сети. Сервер функционирует под управлением операционной системы Windows 2000. В качестве программного обеспечения, реализующего доступ локальной сети в Internet, использовался продукт Microsoft ISA server 2003. Локальная сеть насчитывает более 100 рабочих станций.

Параметры наблюдения подбирались на основании предварительных наблюдений за общей интенсивностью использования пользователями локальной сети тех или иных служб Internet. Был выделен ряд TCP-портов, на которых наблюдался интенсивный регулярный обмен трафиком. Было принято решение не вести наблюдение за всеми открытыми портами на сервере ввиду высокой вероятности возникновения «шумовых» составляющих результирующих выборок, то есть таких их членов, ценность значений которых недостаточна для того, чтобы утверждать наличие или отсутствие аномалий на данном канале связи.

Наблюдение проводилось за каналами связи, обслуживающими трансляцию запросов к следующим службам и сетевым ресурсам:

• Веб-серверам Интернета (также доступ с использованием локального прокси-сервера);

• Службы мгновенной передачи сообщений;

• Служба защищенного соединения с удаленным терминалом (по протоколу SSH);

• Служба сетевых имен (DNS);

• Файловым серверам (по протоколу FTP);

• Служба защищенного соединения по протоколу HTTPS;

• Служба удаленного терминала (по протоколу telnet);

• Серверам баз данных.

Общее количество наблюдаемых каналов составило 12. Таким образом, максимальное теоретически возможное количество членов результирующей 10 выборки = 2 , т.е. 4048. В связи с этим, а также ввиду постоянной активности каналов передачи данных решено было увеличить число промежутков наблюдений по сравнению с наблюдениями, проводимыми в отношении рабочих станций путем уменьшения их продолжительности до 1 секунды. Продолжительность интервала наблюдений равняется 30 минутам. Сервер работает круглосуточно, следовательно, количество интервалов наблюдений на протяжении дня равно 48. Исследованию на однородность подлежат результирующие выборки, характеризующие активность пользователей локальной сети в периоды, соответствующие отдельно выбранным временным отрезкам длиной в 30 минут. Например, для формирования полного набора из пяти выборок, характеризующих активность каналов связи за время 00.00 - 00.30, необходима одна рабочая неделя наблюдений.

Наличие атак кроме модуля статистической обработки фиксировалось штатной системой защиты и обнаружения атак.

Исследовались критерии, соответствующие различным значениям параметра Я из (3.20). Исследовались диапазоны значений 0.01-0.1, 0.1-0.5, 0.5-1, и значения Я > 1.

На графиках, изображенных на рисунках 4.9-4.10 представлены значения критериев однородности, получаемых по мере продвижения исследований. Перед началом получения результатов было произведено предварительное накопление статистики в течение 5 дней для того, чтобы иметь возможность полностью сформировать профиль нормального поведения локальной сети.

4000 тш

1000 500

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Дни наблюдения

Рисунок 4.9. Результаты наблюдений активности передачи пакетов в системе типа сервер».

Рисунок 4.10. Результаты наблюдений активности установки соединений в системе типа «сервер».

Среднее количество активных состояний совокупностей значений датчиков и соответствующие границы теоретической однородности для разного времени суток собраны в таблице 4.3.

Тип активных датчиков Кол-во ненулевых составляющих Границы однородности (теор.)

Датчики сетевых пакетов -250 ~ ±150

Датчики установки соединений -180 ~ ±130

Заключение

В диссертационной работе рассмотрена возможность анализа процесса функционирования компьютерной системы методом выявления аномалий. Показана роль задачи обнаружения аномалий в решении проблем информационной безопасности. Систематизированы типы аномалий, возникающих при нарушении информационной безопасности в компьютерных системах. Осуществлена формализация и систематизация метода обнаружения аномалий как выявления неоднородности процесса наблюдений над состояниями датчиков активности компонент компьютерной системы. Предложена математическая модель функционирования совокупности датчиков активности. В штатном режиме это однородная последовательность случайных величин, при реализации элементов внешнего воздействия, например, вирусного заражения, возникает неоднородность, сопровождающаяся изменением распределений случайных величин.

Построен алгоритм отображения абсолютных значений датчиков на пространство результирующих выборок и проведена классификация характеристик системы, подлежащих статистическому анализу. На основе классификации характеристик предложены и обоснованы принципы выбора параметров математической модели. Построение математической модели позволило использовать статистические методы анализа и выявления неоднородности наблюдений. В диссертации развивается направление, связанное с применением критериев однородности и многомерных статистических методов выявления неоднородности. Получены теоретические обоснования оценок эффективности рассматриваемых критериев однородности, в том числе выражения для вероятности ошибок первого и второго рода для применяемых критериев. Эти исследования позволяют определить необходимые объекты наблюдений, позволяющих с заданными вероятностями ошибок выявлять аномалии и следовательно, определять проявление признаков несанкционированного воздействия.

Произведенное автором тестирование подхода позволяет подтвердить работоспособность статистического метода выявления аномалий. Для реализации тестирования разработано специальное программное обеспечение, которое устанавливалось на реальные компьютерные системы, функционирующие в рабочем режиме. Испытаниям подвергались компьютерные системы, ориентированные на выполнение широкого спектра прикладных задач. Отдельно проводилось тестирование методики при искусственно созданных аномальных условиях.

Получено практическое подтверждение применимости ряда критериев для обнаружения аномалий при проверке заведомо отобранных наблюдаемых параметров системы. Выданы рекомендации по выбору параметров критериев и объемов необходимых наблюдений.

Таким образом, результаты, полученные в результате теоретических исследований и свидетельствующие о состоятельности предлагаемого в диссертации метода обнаружения аномалий, подтвердились на практике. Этим доказывается применимость критериев однородности в отношении обнаружения аномалий в функционировании компьютерных систем.

1. Арапов М.В. Квантитативная лингвистика. / М.В. Арапов, М.: Наука, 1988.

2. Арапов М.В. Классификация и распределения в лингвистике. / М.В. Арапов // Семиотика и информатика. Вып. 17., М.:ВИНИТИ, 1981.

3. Баранов А.П. Критерий степени рассеивания в задаче однородности выборок при большом числе исходов и испытаний. / А.П.Баранов, Ю.А.Баранов //Дискретная математика. 2005,17, № 2, с. 19-48.

4. Баранов П.А. Выбор характеристик программного обеспечения, используемых для обнаружения аномалий. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. с. 2033.

5. Баранов П.А. Классификация характеристик программного обеспечения, используемых для обнаружения аномалий. / П.А. Баранов // СПб.: Научно-технические ведомости СПбГТУ, № 6, СПбГПУ, 2006. -с. 21-28.

6. Баранов П.А. Обзор средств борьбы со спамом и e-mail вирусами. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2004.-с. 44-52.

7. Баранов П.А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 3, СПбГПУ, 2006. -с. 15-24.

8. Ю.Баранов П.А. Проблемы реализации мандатного доступа (модель Белла ЛаПадулы) к ресурсам вычислительных систем. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2005. -с. 7-15.

9. П.Баранов П.А. Проектирование и разработка архитектуры экспертного анализатора обнаружения сетевых атак. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 4, СПбГПУ, 2003. с. 4958.

10. Баранов П.А. Современные проблемы обеспечения информационной безопасности мгновенной передачи сообщений. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 1, СПбГПУ, 2005. с. 15-23.

11. Баранов П.А. Спецификация экспертного анализатора. / П.А. Баранов // СПб.: Проблемы информационной безопасности, № 4., СПбГПУ, 2003. -с. 42-49.

12. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности. / J.Cannady, пер. Лукацкого А.В., Цаплева Ю.Ю., Сахарова В.П. // School of Computer and Information Sciences, Nova Southeastern University, Fort Lauderdale, 2003.

13. Крамер Г. Математические методы статистики. / Г.Крамер, М.: Мир, 1975.

14. Кудлаев Э.М. Распределения аддитивных статистик непараметрических критериев согласия и однородности при континуальных альтернативах. / Э.М.Кудлаев // Диссертация на соискание ученой степени кандидата физ-мат. наук. Мехмат МГУ, 1979., - 103 с.

15. Левин В.В. Разделимые статистики и критерии однородности для полиномиальных выборок. // Г.И.Ивченко, В.В.Левин / Обозрение прикладной и промышленной математики. 1995,2, № 66, с.871-887.

16. Маквитти Д. Рубрика «Информационная безопасность». / Д. Маквитти // Сети и системы связи, 2007, № 3.

17. Рао С.Р. Линейные статистические метода и их применения. / С.Р.Рао М.: Наука, 1968.

18. Селиванов Б.И. О статистике хи-квадратдля проверки однородности полиномиальных выборок. / Б.И. Селиванов // Обозрение прикладнойпромышленной математики, т. 13, вып. 3, М.: ОР и Прикладная Математика, 2006., с. 542-543.

19. Феллер В. Введение в теорию вероятностей и ее приложения. / В. Феллер, Пер. с англ. под ред. Е.Б. Дымкина., М.:Мир., 1967.

20. Фэрроу Р. Технология атаки на переполнение буфера Электронный ресурс. / R. Farrow // Интернет-проект «Безопасность для всех», 2006. -Режим доступа: http://www.sec4all.net/stateal40.html. свободный. Загл. с экрана.

21. Шметтерер Л. Введение в математическую статистику. / Л.Шметтерер -М.: Наука, Гл. ред. физ-мат. лит., 1976.

22. Cressie N, Статистики однородности для дискретных многомерных данных = Goodness-of-fit statistics for discrete multivariate data. / T.R.C.Read, N.A.C.Cressie. New York, Springer, 1988. - Язык: англ.

23. Schneier В. Secrets and lies: Digital Security in a Networked World. / Bruce Schneier // John Wiley & Sons, 2000.

24. Кевин Митник Злой гений киберпространства Электронный ресурс. // Интернет-издание Global Intruders, 2004. - Режим доступа: http://www.global-intruders.info/news/2006-07-28-49, свободный. - Загл. с экрана.

25. Login Anomaly Detection System (LADS) = Система обнаружения аномалий при регистрации в системе. Электронный ресурс. Режим доступа: http://freshmeat.net/proiects/lads/. свободный. - Язык: англ.

26. IDS Proventia. = Система обнаружения сетевых аномалий Proventia. Электронный ресурс. Режим доступа: http://www.iss.net/products/ Proventia Network Anomaly Detection System/product main page.html, свободный. - Язык: англ.

27. SPADE расширение для СОА Snort, реализующее статистический анализ сетевого трафика. Электронный ресурс. - Режим доступа: http://www.silicondefense.com/, свободный. - Язык: англ.

28. Wikipedia, The free encyclopedia. = Википедия, свободная энциклопедия. Электронный ресурс. Режим доступа: http://en.wikipedia.org. свободный. - Загл. с экрана. - Яз. англ.