автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Обнаружение компьютерных атак на основе анализа поведения сетевых объектов

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ имени М.И. Ломоносова ФАКУЛЬТЕТ ВЫЧИСЛИТЕЛЬНОЙ МАТЕМАТИКИ И КИБЕРНЕТИКИ

ОБНАРУЖЕНИЕ КОМПЬЮТЕРНЫХ АТАК НА ОСНОВЕ АНАЛИЗА ПОВЕДЕНИЯ СЕТЕВЫХ ОБЪЕКТОВ

Специальность 05-13.11 - математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата физико-математических наук

ООЗ156806

МОСКВА 2007

003158806

Работа выполнена на кафедре Автоматизации систем вычислительных комплексов факультета Вычислительной математики и кибернетики МГУ имени М. В. Ломоносова.

Научный руководитель:

доктор физико-математических наук, профессор, академик РАЕН Смелянский Руслан Леонидович

Официальные оппоненты:

доктор технических наук, заместитель директора НИИ «Квант» Корнеев Виктор Владимирович

кандидат физико-математических наук, доцент факультета ВМиК МГУ Чернов Александр Владимирович

Ведущая организация:

НИВЦ МГУ имени М, В. Ломоносова

Защита состоится 26 октября 2007 г. в 11:00 на заседании диссертационного совета Д 501.011.44 в Московском государственном университете имени М.В.Ломоносова по адресу: 119991, ГСП-1, Москва, Ленинские горы, МГУ, 2-й учебный корпус, факультет ВМиК, аудитория 685.

С диссертацией можно ознакомиться в библиотеке факультета ВМК МГУ. С текстом автореферата можно ознакомиться на официальном сайте ВМиК МГУ имени М, В, Ломоносова http://www.cmc.msu.ru в разделе «Наука» - «Работа диссертационных советов» - «Д 501.001.44».

Автореферат разослан «_»

2007 г

Ученый секретарь диссертационного совета профессор

Л в—

С " I.

Н. П. Трифонов

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер экономической деятельности Одним из первых количественную оценку значимости сетей дал Роберт Меткалф, участвовавший в создании Ethernet по его оценке «значимость» сети во всех смыслах пропорциональна квадрату числа узлов в ней То есть, зависимость от нормальной работы сетей растёт быстрее, чем сами сети Обеспечение работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение ее работы

Создание информационных систем, гарантированно устойчивых к вредоносным воздействиям и компьютерным атакам, сопряжено с существенными затратами как времени, так и материальных ресурсов Кроме того, существует известная обратная зависимость между удобством пользования системой и ее защищенностью чем совершеннее системы защиты, тем сложнее пользоваться основным функционалом информационной системы В 80-е годы XX века, в рамках оборонных проектов США, предпринимались попытки создания распределенных информационных систем специального назначения (MMS - Military Messaging System), для которых формально доказывалась выполнимость основной теоремы безопасности - невыведение системы из безопасного состояния для любой последовательности действий взаимодействующих объектов В этих системах использовалось специализированное программное обеспечение на всех уровнях, включая системный Однако, на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства Microsoft Windows, GNU/Linux, *BSD и различные клоны SysV UNIX (Solaris, HP-UX, etc)

Из-за высокой сложности и дороговизны разработки защищенных систем by design, тогда же в 80-е годы XX века появилось и начало активно развиваться направление информационной безопасности, связанное с обнаружением (и, возможно, последующим реагированием) нарушений безопасности информационных систем, в качестве эффективного временного решения, позволяющего закрывать «бреши» в безопасности систем до их исправления Данное направление получило название «обнаружение атак» (intrusion détection), и за прошедшие годы в рамках академических разработок были созданы сотни систем обнаружения атак для различных платформ от систем класса mamftame до современных операционных систем общего назначения, СУБД и распространённых приложений

Создание эффективных систем защиты информационных систем сталкивается также с нехваткой вычислительной мощности С самого

начала развития компьютеров и компьютерных сетей наблюдаются две тенденции, называемые законом Мура и законом Гилдера Закон Мура говорит о ежегодном удвоении производительности вычислителей, доступных за одну и ту же стоимость, а закон Гилдера - об утроении пропускной способности каналов связи за тот же период Таким образом, рост вычислительной мощности узлов сети отстает от роста объемов передаваемой по сети информации, что с каждым годом ужесточает требования к вычислительной сложности алгоритмов систем защиты информации

Методы обнаружения атак в современных системах обнаружения атак (далее - СОА) недостаточно проработаны в части формальной модели атаки, и, следовательно, для них достаточно сложно строго оценить такие свойства как вычислительная сложность, корректность, завершимость и тд Принято разделять методы обнаружения атак на методы обнаружения аномалий и методы обнаружения злоупотреблений Ко второму типу методов относятся большинство современных коммерческих систем (Cisco IPS, ISS RealSecure, NFR) - они используют сигнатурные (экспертные) методы обнаружения Существует множество академических разработок в области обнаружения аномалий, но в промышленных системах они используются редко и с большой осторожностью, так как такие системы порождают большое количество ложных срабатываний Для экспертных же систем основной проблемой является низкая, близкая к нулю, эффективность обнаружения неизвестных атак (адаптивность) Низкая адаптивность до сих пор остаётся проблемой, хотя такие достоинства как низкая вычислительная сложность и малая стоимость развёртывания определяют доминирование таких систем в данной области

Цель работы Целью данной работы является разработка метода и экспериментальной системы обнаружения атак на РИС на основе наблюдения за поведением объектов РИС, позволяющего объединить достоинства двух подходов - обнаружения аномалий и обнаружения злоупотреблений - при неухудшении показателей эффективности и сложности методов обнаружения злоупотреблений

Методы исследования При получении основных результатов диссертации использованы методы теории множеств, теории автоматов и методы анализа поведения программных объектов на основе наблюдения изменения их состояний в процессе взаимодействия

Основные результаты работы Основные результаты диссертационной работы заключаются в следующем

♦ Построена модель функционирования РИС в условиях воздействия компьютерных атак, в рамках которой задача обнаружения атак сведена к задаче поиска подцепочек в цепочке символов Данная модель позволила формально оценить

вычислительную сложность предложенного в работе метода и показать его корректность

♦ Предложен гибридный метод обнаружения атак на основе метода анализа систем переходов состояний, позволяющий обнаруживать неизвестные атаки как отклонения наблюдаемого поведения сетевых объектов от нормального

♦ На основе предложенных методов реализована система обнаружения атак для ОС Linux, Windows 2000/ХР Данная экспериментальна система показала высокую эффективность обнаружения на испытательном стенде Экспериментально показана адаптивность системы к неизвестным атакам Предложенный метод обнаружения атак может быть использован

для построения систем защиты распределенных вычислительных систем в условиях функционирования в сетях общего доступа, где высока вероятность появления новых реализаций атак Наибольшая эффективность метода достижима в тех системах, где множество классов объектов (используемых сервисов и программного обеспечения) ограничено и не меняется со временем существенным образом, что позволяет использовать модели нормального поведения для обнаружения атак

Научная новизна В настоящей работе предложен метод обнаружения атак на основе наблюдения за поведением взаимодействующих в сети объектов и сопоставления этого поведения с моделями известных атак и нормального поведения объектов в форме конечных автоматов специального вида Данный метод является адаптивным к модификациям известных атак при сохранении низкой вычислительной сложности обнаружения, устойчивости и верифицируемости, характерных для сигнатурных методов

Предложена модель функционирования распределенной информационной системы в форме системы состояний составляющих ее сетевых объектов и переходов из состояния в состояние при их взаимодействии Данная модель позволяет определить конкретный вид моделей известных атак и нормального поведения объектов, а также оценить вычислительную сложность метода обнаружения атак

Теоретическая и практическая ценность Теоретическая ценность состоит в разработке комплекса алгоритмов, реализующих адаптивный метод обнаружения атак на основе анализа поведения сетевых объектов

На основе разработанных алгоритмов была спроектирована и реализована экспериментальная система обнаружения атак для сетей общего назначения, построенных на основе стека протоколов TCP/IP и операционных систем семейства Linux и Microsoft Windows 2000/ХР Система опробована на тестовых и реальных примерах компьютерных атак, для которых показана близкая к 100% полнота обнаружения, в том

числе модифицированных атак, при низком уровне ложных срабатываний

Разработанный метод обнаружения атак также применяется в системе обнаружения атак «ШШЭесиге»

Апробация работы Результаты, представленные в работе, докладывались на объединённом научно-исследовательском семинаре кафедр Автоматизации систем вычислительных комплексов, Системного программирования и Алгоритмических языков факультета ВМК МГУ под руководством профессора М Р Шура-Бура, на научных семинарах лаборатории Вычислительных комплексов факультета ВМК МГУ под руководством профессора Р Л Смелянского, а также на следующих конференциях

• Научная конференция «Тихоновские чтения» (Москва, 2005 г )

• Международные конференции «Интеллектуализация обработки информации» (Украина, Крым, 2004 и 2006 годов)

Публикации По теме диссертации имеется 5 публикаций, список которых приводится в конце автореферата

Структура и объём работы Диссертация состоит из введения, четырех глав, списка литературы и приложения Объем работы 88 страниц Список литературы содержит 113 наименований

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Введение (глава 1) содержит краткий обзор предметной области, актуальность проблемы и неформальную постановку задачи

Вторая глава работы посвящена обзору и сравнительному анализу близких по тематике методов обнаружения атак и ряда современных систем обнаружения атак Целью обзора является исследование эффективности доступных в настоящее время систем обнаружения атак и определение основных недостатков используемых в них методов обнаружения атак

В обзоре рассмотрены следующие методы обнаружения злоупотреблений и аномалий

о Обнаружение злоупотреблений

■ Анализ систем состояний,

■ Графы атак (верификация на моделях),

■ Нейронные сети,

■ Иммунные сети,

■ SVM,

■ Экспертные системы,

■ Методы, основанные на спецификациях,

■ MARS - Multivariate Adaptive Regression Splines,

• Сигнатурные методы

0 Обнаружение аномалий

■ Статистический анализ,

■ Кластерный анализ,

■ Нейронные сети,

■ Иммунные сети,

• Экспертные системы,

■ Поведенческая биометрия,

■ SVM,

■ Анализ систем состояний

Из реализаций систем обнаружения атак рассмотрены следующие открытые и свободно распространяемые системы

• Вго, University of California, Lawrence Berkeley National Laboratoiy, http //bro-ids org/

• OSSEC, Daniel В Sid, http //www ossec net/

• STAT, University of California at Santa Barbara,

http //www es ucsb edu/~seclab/proiects/stat/index html

• Snort, Martin Roesch, Sourcefire, http //www snort org/

В обзоре показано, что

1 Большинство современных COA используют на базовом уровне ту или иную реализацию сигнатурного метода обнаружения (pattern

matching, сравнение шаблонов) Реализации отличаются друг от друга уровнем рассмотрения системы, алфавитом сигнатур и используемым «движком» - от простого поиска подстрок до полноценной реализации регулярных выражений над заданным алфавитом

2 Множество существующих методов обнаружения атак много шире, но их использование в системах имеет принципиальные ограничения, связанные с требованиями верифицируемости, устойчивости и воспроизводимости результата, а также большим числом ошибок второго рода (ложных срабатываний) Использование таких методов ограничено экспериментальными академическими разработками

3 Доступные реализации СОА неустойчивы к модификациям атак и не могут автоматически адаптироваться к появлению новых атак При этом использование методов обнаружения аномалий (например, в препроцессорах СОА Snort) ограничено по причинам, перечисленным в п 2

Третья глава настоящей работы посвящена формальной модели функционирования РИС, на основе которой обосновывается применимость метода обнаружения атак, основанного на анализе переходов состояний, а также производится оценка вычислительной сложности и доказательство корректности метода

Особенности формальной модели функционирования РИС

• функционирование РИС определяется через понятие состояния объекта РИС и переходы между состояниями, объекты типизированы,

• состояния объектов изменяются при выполнении операций доступа от одного объекта к другому, при этом изменяются состояния обоих взаимодействующих объектов,

• множество состояний разделяется на безопасные и опасные состояния Опасное состояние вводится через нарушение прав доступа при выполнении операций доступа, в том числе транзитивных, и через уровень загруженности объектов,

• в любой момент времени система находится в некотором состоянии, для которого определён граф доступа, в котором вершинами являются объекты РИС, а ребра соответствуют связям по выполнению операций доступа, в том числе транзитивные

w

в

^НОЖЯСГВО

ЗЯИМЛЦ i: j; -

uirmquut

оСъехтое :

JKleurvwpoB П&ССЙВНЫХ оЕъетв prtC

• вводится понятие траектории и поведения объекта через последовательность операций доступа или последовательность состояний, также показывается эквивалентность представления поведения в виде последовательности операций доступа и последовательное™ состояний;

* понятие атаки вводится как траектория из безопасного состояния некоторого объекта в опасное.

В терминах данной модели ставится формальная постановка задачи обнаружения атаки:

1. Обнаружение злоупотреблений. Пусть задано:

* множество примеров атак X = {Х),Х' = в виде примеров их траекторий;

* последов а-гельп ость наблюдаемых состояний защищаемой системы Г„ = А™*

Требуется найти множество экземпляров объектов О* = М с и соответствующее им множество траекторий Т* zO*}, которые

реализуют атаки из множества примеров атак,

2. Обнаружение аномалий. Пусть задано:

* множество описаний нермального поведения объектов РИС, определенное в терминах типов объектов В = {1)!,{Туре) | Type е Act о Psv,Vr е « : !уре( г) = Typt.VS е ir S s N,}, где Act - множество активных объектов, a Psv - множество пассивных объектов;

* последовательность наблюдаемых состояний защищаемой системы Гч, - б,, <?v,....

Требуется найти множество экземпляров объектов О* = {о} с 9?с и соответствующее ему множество траекторий Т*~{Т0}оеО*}, которые не принадлежат описанию нормального поведения для соответствующих типов объектов РИС

В качестве решения данной задачи предложен алгоритм построения автоматов первого и второго рода (модель атаки и модель нормального поведения соответственно), и алгоритм обнаружения атак на основе сопоставления наблюдаемого поведения объектов защищаемой системы с ожидаемым в соответствии с моделями

Формально автомат для каждого класса атак и для нормального поведения некоторого объекта РИС представляет собой структуру следующего вида

K'R (S,Ps,T,PT,st,J,g,g), где

S- множество состояний,

Ps - множество предикатов состояний,

Г- множество переходов,

?т- множество предикатов переходов,

s0 - начальное состояние,

I- множество экземпляров автомата,

g - глобальное окружение,

q - глобальная очередь таймера

В диссертации предложен язык описания поведения объектов РИС, позволяющий описывать состояния объектов РИС и переходы между ними Подробное описание язьжа приведено в приложении

В заключительном разделе третьей главы описан алгоритм обнаружения атак на основе обработки трасс наблюдаемых событий от сетевых объектов множеством автоматов первого и второго рода

Четвертая глава работы посвяхцена экспериментальной системе обнаружения атак, в которой реализован предложенный метод, и исследованию ее эффективности на испытательном стенде

Экспериментальная система реализована для сетей общего назначения, построенных на базе стека протоколов ТСРЛР и операционных систем семейства Linux и Windows 2000/ХР В состав системы входят следующие модули

• сетевой сенсор,

• узловой сенсор,

• консоль управления,

• база данных,

• агенты реагирования

'г®

Схема экспериментальной СОА.

Сетевой сенсор. Сетевой сенсор анализирует данные сетевого трафика, выявляет доступ между объектами на разных узлах по некоторому сетевому протоколу, формирует трассу операций доступа между сетевыми объектами для последующего анализа, и выполняет анализ построенной трассы на моделях атак и нормального поведения сетевых объектов. Сетевой сенсор состоит из наблюдателя, который формирует трассу событий на основе декомпозиции сетевого трафика, разбора информации различных протоколов, ядра анализа, которое получает поток событий от наблюдателя, подсистемы реагирования и служебной подсистемы, которая отвечает за управление и взаимодействие между компонентами СОА.

Ядро анализа представляет собой систему поддержки выпо.-шения программ на языке СОЛ (СПВП) и набор автоматов первого и второго рода, описанных па данном языке. СПВП выполняет функции монитора анализирующих автоматов, формирует очередь выполнения тела переходов и состояний автоматов, планирует порядок выполнения автоматов, порождает и уничтожает экземпляры автоматов. Автоматы по достижении конечного состояния порождают атомарные сообщения об атаках в формате ГОМЕР,

Подсистема реагирования также состоит из наблюдателя, который получает сообщения об атаках и формирует трассу событий, ядра анализа (СПВП + автоматы), служебной подсистемы. Автоматы реагирования формируют политику реагирования: в конечном состоянии

каждого автомата выполняется заданная процедура реагирования Это может быть разрыв соединения, настройка межсетевого экрана, корреляция сообщений об атаках и формирование более высокоуровневых сообщений

Служебная подсистема сетевого сенсора отвечает за организацию шифрованного канала между компонентами СОА, сохранение сообщений об атаках и служебных сообщений в базе данных, реализацию функций удаленного управления и настройки сетевого сенсора с консоли управления

Узловой сенсор. Узловой сенсор предназначен для анализа поведения сетевых объектов РИС на основе данных системных журналов и событий ОС - трассы действий приложений, пользователей, использования файловой системы и IPC контролируемой рабочей станции или сервера Узловой сенсор состоит из наблюдателя, который формирует трассу событий, ядра анализа, которое получает поток событий от наблюдателя, и служебной подсистемы, которая отвечает за управление и взаимодействие между компонентами СОА

На выход узловой сенсор выдаёт сообщения об обнаруженных аномалиях или злоупотреблениях в формате JDMEF Сообщения пересылаются сетевому сенсору, имеющему соединение с узловым сенсором

База данных. База данных (БД) СОА представляет собой распределенное хранилище описаний нормального и аномального поведения объектов РИС, сообщений об атаках и журнала компонентов СОА Данное хранилище используется сетевыми и узловыми сенсорами для централизованной загрузки автоматов в СПВП и хранения сообщений об атаках База данных построена на основе открытой СУБД PostgreSQL

Консоль управления. Консоль управления представляет собой графическое приложение управления СОА, в задачи которого входит

• отображение физической и логической структуры СОА и защищаемой РИС,

• управление и настройка компонентов СОА,

• оповещение оператора о событиях безопасности в режиме рального времени (визуальные и звуковые эффекты),

• корреляция сообщений об атаках,

• централизованное реагирование,

• визуализация сообщений об атаках и журнала компонентов

Агенты реагирования. Агенты реагирования СОА устанавливаются на узлы РИС, на которых установлены средства реагирования (межсетевые

экраны), либо на контролируемые узлы РИС, и выполняют команды от подсистемы реагирования сетевого сенсора и консоли управления В рамках экспериментальной СОА реализованы следующие агенты

• агент BPTables для ОС Linux,

• агент для ОС Windows со встроенными возможностями пакетного фильтра и блокирования процессов на узле

В четвёртой главе показано, что данная реализация экспериментальной системы обнаружения атак удовлетворяет всем критериям сравнения систем данного класса, по которым оценивались системы в главе 2

В конце главы приведено исследование эффективности экспериментальной системы обнаружения атак Описан набор тестовых примеров и описание испытательного стенда, на котором проводились эксперименты В качестве примера автомата второго рода (модели нормального поведения) приведен пример для сервера FTP ProFTPd, на котором демонстрируется свойство адаптивности предложенного в работе метода и его реализации

Пятая глава содержит описание основных результатов работы, указывает на открытые вопросы построения грамматик для отдельных классов атак, что позволило бы построить оптимальные по сложности алгоримы обнаружения конкретных классов В пятой главе также сформулированы направления для дальнейших исследований и развития предлагаемого подхода

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1 Гамаюнов Д Ю, Смелянский Р Л, Современные некоммерческие средства обнаружения атак // Факультет Вычислительной Математики и Кибернетики, МГУ им М В Ломоносова, Москва, 2002 г

2 Гамаюнов Д Ю, Качалин А И, Обнаружение компьютерных атак как задача распознавания образов // Материалы пятого Всероссийского симпозиума по прикладной и промышленной математике, Кисловодск, 2004 г

3 Гамаюнов Д. Ю, Качалин А И Обнаружение атак на основе анализа переходов состояний распределенной системы // Искусственный интеллект, 2004 N0 2, с 49-53

4 Гамаюнов Д Ю, Качалин А И, Методика настройки интеллектуальных распознавателей компьютерных атак для работы в корпоративных сетях // Искусственный интеллект, 2006 N0 2, с 30-34

5 Гамаюнов Д Ю , Смелянский Р Л, Модель поведения сетевых объектов в распределенных вычислительных системах // Журнал «Программирование», 2007, №4

Напечатано с готового оригинал-макета

Издательство ООО "МАКС Пресс" Лицензия ИД N 005 10 от 01.12.99 г. Подписано к печати 19,09.2007 г. Формат 60x90 1/16. Усл.печл 1,0, Тираж 70 экз. Заказ 448. Тел, 939-3890. Тел./факс 939-3891. 119992, ГСП-2, Москва, Ленинские горы, МГУ им. М.В. Ломоносом, 2-й учебный корпус, 627 к.

ВВЕДЕНИЕ.

1.1. Задача обнаружения компьютерных атак.

1.2. Актуальность темы.

1.3. Цель работы.

1.4. Методы решения.

1.5. Структура работы.

2. ОБЗОР МЕТОДОВ И СИСТЕМ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК.

2.1. Критерии сравнения.

2.1.1. КРИТЕРИИ СРАВНЕНИЯ МЕТОДОВ ОБНАРУЖЕНИЯ АТАК.

2.1.2. КРИТЕРИИ СРАВНЕНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК.

2.2. Методы обнаружения атак.

2.2.1. МЕТОДЫ ОБНАРУЖЕНИЯ ЗЛОУПОТРЕБЛЕНИЙ.

2.2.2. МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ.

2.2.3. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.

2.3. Современные открытые системы обнаружения атак.

2.3.1. ИССЛЕДОВАННЫЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК.

2.3.2. РЕЗУЛЬТАТЫ СРАВНИТЕЛЬНОГО АНАЛИЗА.

2.4. Описание исследованных систем.

2.4.1. BRO.

2.4.2. OSSEC.

2.4.3. STAT.

2.4.4. PRELUDE.

2.4.5. SNORT.

1.1. Задача обнаружения компьютерных атак

Данная работа посвящена разработке метода обнаружения атак на распределенные информационные системы (РИС) на основе анализа поведения объектов защищаемой системы. Суть задачи состоит в создании модели компьютерной атаки и метода автоматического обнаружения атаки на основе данной модели, позволяющего обнаруживать компьютерные атаки при наблюдении за поведением объектов РИС и их взаимодействием.

Требуется разработать:

• модель функционирования РИС, пригодную для решения задачи обнаружения атак на РИС;

• метод обнаружения атак на основе предложенной модели.

1.2. Актуальность темы

Компьютерные сети за несколько последних десятилетий из чисто технического решения превратились в глобальное явление, развитие которого оказывает влияние на большинство сфер экономической деятельности. Одним из первых количественную оценку значимости сетей дал Роберт Меткалф, участвовавший в создании Ethernet: по его оценке «значимость» сети во всех смыслах пропорциональна квадрату числа узлов в ней. То есть, зависимость от нормальной работы сетей растёт быстрее, чем сами сети. Обеспечение работоспособности сети и функционирующих в ней информационных систем зависит не только от надёжности аппаратуры, но и, зачастую, от способности сети противостоять целенаправленным воздействиям, которые направлены на нарушение её работы.

Создание информационных систем, гарантированно устойчивых к вредоносным воздействиям и компьютерным атакам, сопряжено с существенными затратами как времени, так и материальных ресурсов. Кроме того, существует известная обратная зависимость между удобством пользования системой и её защищённостью: чем совершеннее системы защиты, тем сложнее пользоваться основным функционалом информационной системы. В 80-е годы XX века, в рамках оборонных проектов США, предпринимались попытки создания распределенных информационных систем специального назначения (MMS - Military Messaging System) [103], для которых формально доказывалась выполнимость основной теоремы безопасности -невыведение системы из безопасного состояния для любой последовательности действий взаимодействующих объектов. В этих системах использовалось специализированное программное обеспечение на всех уровнях, включая системный. Однако, на сегодняшний день подобные системы не получили развития, и для организации информационных систем используются операционные системы общего назначения, такие как ОС семейства Microsoft Windows, GNU/Linux, *BSD и различные клоны SysV UNIX (Solaris, HP-UX, etc).

Из-за высокой сложности и дороговизны разработки защищенных систем by design, тогда же в 80-е годы XX века появилось и начало активно развиваться направление информационной безопасности, связанное с обнаружением (и, возможно, последующим реагированием) нарушений безопасности информационных систем, в качестве эффективного временного решения, позволяющего закрывать «бреши» в безопасности систем до их исправления [5,32]. Данное направление получило название «обнаружение атак» (intrusion detection); и за прошедшие годы в рамках академических разработок были созданы сотни систем обнаружения атак для различных платформ: от систем класса mainframe до современных операционных систем общего назначения, СУБД и распространённых приложений [7,8,64,69].

Создание эффективных систем защиты информационных систем сталкивается также с нехваткой вычислительной мощности. С самого начала развития компьютеров и компьютерных сетей наблюдаются две тенденции, называемые законом Мура и законом Гилдера. Закон Мура говорит о ежегодном удвоении производительности вычислителей, доступных за одну и ту же стоимость, а закон Гилдера - об утроении пропускной способности каналов связи за тот же период. Таким образом, рост вычислительной мощности узлов сети отстаёт от роста объёмов передаваемой по сети информации, что с каждым годом ужесточает требования к вычислительной сложности алгоритмов систем защиты информации.

Методы обнаружения атак в современных системах обнаружения атак (далее -СОА) недостаточно проработаны в части формальной модели атаки, и, следовательно, для них достаточно сложно строго оценить такие свойства как вычислительная сложность, корректность, завершимость и т.д. [6,7,8,64,69]. Принято разделять методы обнаружения атак на методы обнаружения аномалий и методы обнаружения злоупотреблений [6]. Ко второму типу методов относятся большинство современных коммерческих систем (Cisco IPS, ISS RealSecure, NFR) - они используют сигнатурные (экспертные) методы обнаружения [6,64]. Существует множество академических разработок в области обнаружения аномалий, но в промышленных системах они используются редко и с большой осторожностью, так как такие системы порождают большое количество ложных срабатываний. Для экспертных же систем основной проблемой является низкая, близкая к нулю, эффективность обнаружения неизвестных атак (адаптивность) [7,8,111]. Низкая адаптивность до сих пор остаётся проблемой, хотя такие достоинства как низкая вычислительная сложность и малая стоимость развёртывания определяют доминирование таких систем в данной области.

1.3. Цель работы

Целью данной работы является разработка метода и экспериментальной системы обнаружения атак на РИС на основе наблюдения за поведением объектов РИС, позволяющего объединить достоинства двух подходов - обнаружения аномалий и обнаружения злоупотреблений - при неухудшении показателей эффективности и сложности методов обнаружения злоупотреблений.

В рамках работы ставятся следующие задачи:

• построить модель функционирования РИС, в рамках которой определить такое явление как атака;

• выделить классы реальных атак, представимых в рамках предложенной модели функционирования РИС;

• разработать метод обнаружения атак на РИС на основе информации о поведении объектов РИС;

• разработать архитектуру системы обнаружения атак для РИС на базе ОС GNU/Linux, Windows 2000/ХР и сетевого стека TCP/IP.

1.4. Методы решения

В данной работе предлагается модель функционирования РИС в условиях воздействия компьютерных атак в форме системы переходов, имеющая следующие особенности:

• функционирование РИС определяется через понятие состояния объекта РИС и переходы между состояниями, объекты типизированы;

• множество состояний разделяется на безопасные и опасные состояния;

• вводится понятие траектории и поведения объекта;

• понятие атаки вводится как траектория из безопасного состояния некоторого объекта в опасное;

• для каждого класса атак вводится понятия автомата первого рода, который принимает любую траекторию данного класса;

• для каждого класса объектов вводится понятие автомата второго рода, который принимает любую траекторию данного объекта и позволяет разделить множество траекторий на два класса - нормальных и аномальных.

Предложен язык описания поведения объектов РИС, позволяющий описывать состояния объектов РИС и переходы между ними. В основу языка положен формализм конечных автоматов, в которых переходы между состояниями типизированы, а состояние определяется логическим предикатом.

Описание предложенной экспериментальной системы обнаружения атак включает в себя следующие основные разделы:

• алгоритм обнаружения атак, реализующий метод обнаружения атак на основе описаний поведения объектов РИС и наблюдения за поведением объектов РИС в режиме реального времени;

• архитектура системы обнаружения атак;

• исследование эффективности системы и результаты экспериментов.

1.5. Структура работы

Глава 2 настоящей работы посвящена обзору близких по тематике методов обнаружения атак и ряда современных систем обнаружения атак.

Глава 3 настоящей работы посвящена формальной модели функционирования РИС, на основе которой обосновывается применимость метода обнаружения атак, основанного на анализе переходов состояний, а также производится оценка вычислительной сложности и доказательство корректности метода.

Глава 4 посвящена архитектуре экспериментальной системы обнаружения атак на основе предложенного метода.

Глава 5 посвящена исследованию эффективности экспериментальной системы обнаружения атак.

Основные результаты работы заключаются в следующем:

Построена модель функционирования РИС в условиях воздействия компьютерных атак, в рамках которой задача обнаружения атак сведена к задаче поиска подцепочек в цепочке символов. Данная модель позволила формально оценить вычислительную сложность предложенного в работе метода и показать его корректность;

Предложен гибридный метод обнаружения атак на основе метода анализа систем переходов, позволяющий обнаруживать неизвестные атаки как отклонения наблюдаемого поведения сетевых объектов от нормального;

На основе предложенных методов реализована система обнаружения атак для ОС Linux и Windows 2000/ХР. Данная экспериментальня система показала высокую эффективность обнаружения на испытательном стенде. Экспериментально показана адаптивность системы к неизвестным атакам. Предложенный метод обнаружения атак может быть использован для построения систем защиты распределенных вычислительных систем в условиях функционирования в сетях общего доступа, где высока вероятность появления новых реализаций атак. Наибольшая эффективность метода достижима в тех системах, где множество классов объектов (используемых сервисов и программного обеспечения) ограничено и не меняется со временем существенным образом, что позволяет использовать модели нормального поведения для обнаружения атак.

Перспективой развития предложенного метода является исследование всех классов современных атак и оценка возможности построения грамматики для каждого класса в терминах операций доступа класса с ограниченным контекстом фиксированной длины (например, ЬЯ(к)-грамматику). Что позволит построить автомат, не только обнаруживающий произвольные атаки соответствующего класса, но и предсказывающий принадлежность наблюдаемой траектории классу атак до завершения атаки. Отдельный интерес представляет задача автоматизации построения автоматов первого и второго рода по заданным примерам атак и реальных приложений (включая приложения, доступные лишь в бинарном виде), а так же создание соответствующего инструментального средства.

6. ЗАКЛЮЧЕНИЕ

1. Ahmed Awad E. Ahmed, 1.sa Traore, "Anomaly Intrusion Detection based on Biometrics." // Proceedings of the 2005 IEEE, Workshop on Information Assurance, United States Military Academy, West Point, NY June 2005

2. Abraham A. and Thomas J., Distributed Intrusion Detection Systems: A Computational Intelligence Approach. // Applications of Information Systems to Homeland Security and Defense, Abbass H.A. and Essam D. (Eds.), Idea Group Inc. Publishers, USA, 2005

3. D Anderson, T Frivold, and A Valdes, "Next-generation intrusion-detection +ert system (NIDES)". // Technical Report SRI-CSL-95-07, Computer Science Laboratory, SRI International, Menlo Park, CA 94025-3493, USA, May 1995

4. J.P. Anderson, "Computer Security Threat Monitoring and Surveillance." // J.P. Anderson Co, Fort Washington, PA, April 1980

5. Amoroso, Edward, G., Intrusion Detection // 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999

6. Stefan Axelsson, "Research in Intrusion-Detection Systems: A Survey" // Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999

7. Stefan Axelsson, "Intrusion detection systems: A survey and taxonomy." // Technical Report 99-15, Chalmers Univ., March 2000

8. Bace R. An Introduction to Intrusion Detection Assessment for System and Network Security Management. //1999

9. Jai Balasubramaniyan, Jose Omar Garcia-Fernandez, E. H. Spafford, Diego Zamboni, "An Architecture for Intrusion Detection using Autonomous Agents". // Department of Computer Sciences, Purdue University; Coast TR 98-05; 1998

10. A. Baur & W. Weiss, "Audit Analysis Tool for Systems with High Demands Regarding Security and Access Control." // Research Report, ZFE F2 SOF 42, Siemens Nixdorf Software, Munchen, November 1988

11. M. Blanc, L. Oudot, and V. Glaume, "Global Intrusion Detection: Prelude Hybrid IDS." //Technical Report, 2003

12. Damiano Bolzoni, Sandro Etalle, "APHRODITE: an Anomaly-based Architecture for False Positive Reduction" // University of Twente, The Netherlands, Arxiv preprint cs.CR/0604026, 2006

13. Damiano Bolzoni, Emmanuele Zambon, Sandro Etalle, Pieter Hartel, "Poseidon: A 2-tier anomaly-based intrusion detection system." // Technical report, Centre for Telematics and Information Technology, Univ. of Twente, The Netherlands. November 2005

14. J.M. Bradshaw, An introduction to software agents // J.M. Bradshaw (Ed.), Software Agents, AAA1 Press/MIT Press, Cambridge, MA, 1997, pp. 3-46 (Chapter 1).

15. Kalle Burbeck, "Adaptive Real-time Anomaly Detection for Safeguarding Critical Networks." // Department of Computer and Information Science, Link6pings universitet, Link6ping, Sweden, Linkoping, 2006

16. Gabriela F. Cretu, Janak J. Parekh, Ke Wang, Salvatore J. Stolfo, "Intrusion and Anomaly Detection Model Exchange for Mobile Ad-Hoc Networks." // Department of Computer Science, Columbia University, New York, US, 2005-2006

17. Herve Debar, Marc Dacier, and Andreas Wespi, "Towards a Taxonomy of Intrusion Detection Systems." //Computer Networks, vol. 31, pp. 805-822,1999

18. Christian Charras, Thierry Lecroq, Exact String Matching Algorithms, http://www-igm.univ-mlv.fr/~lecroq/string/index.html., 1997

19. Chung, M., Puketza, N. Olsson, R.A., & Mukherjee, B. (1995) Simulating Concurrent Intrusions for Testing Intrusion Detection Systems: Parallelizing. // NISSC. pp. 173-183.

20. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents. // Technical Report 95-022, COAST Laboratory, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, March 1994.

21. M. Crosbie, E. Spafford, Defending a computer system using autonomous agents. // Proceedings of the 18th National Information Systems Security Conference, October 1995.

22. M. Crosbie, G. Spafford, Active defense of a computer system using autonomous agents. // Technical Report 95-008, COAST Group, Department of Computer Sciences, Purdue University, West Lafayette, IN 47907-1398, Februaiy 1995.

23. Mark Crosbie, Bryn Dole, Todd Ellis, Ivan Krsul, and Eugene Spafford, "IDIOT— Users Guide." // The COAST Project, Dept. of Computer Science, Purdue University, West Lafayette, IN, USA, 4 September 1996

24. W Cui, R. Katz, and W. Tan. "BINDER: An Extrusion- Based Break-In Detector for Personal Computers." // Proc. USENIX Annual Technical Conference, 2005

25. Dasgupta D., Gonzalez F., K. Yallapu, Gomez, J., Yarramsettii, R., Dunlap, G. and Greveas, M., "CIDS: An Agent-based Intrusion Detection System." // CS Technical Report No. CS-02-001., Feb, 2002

26. Vaibhav Gowadia, Csilla Farkas, Marco Valtorta, "PAID: A Probabilistic Agent-Based Intrusion Detection system." // Computers & Security, 2005

27. Herve Debar, Monique Becker, and Didier Siboni, "A neural network component for an intrusion detection system." // Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240-250, Oakland, CA, USA, May 1992

28. Denault, M., Gritzalis, D., Karagiannis, D., and Spirakis, P. (1994). Intrusion Detection: Approach and Performance Issues of the SECURENET System. // Computers and Security Vol. 13, No. 6, pp. 495-507.

29. Denning, Dorothy. An Intrusion-Detection Model. // IEEE Transactions on Software Engineering, Vol. SE-13, No. 2., 1987

30. Cheri Dowel and Paul Ramstedt, "The computer watch data reduction tool." // Proceedings of the 13th National Computer Security Conference, pages 99-108, Washington DC, USA, October 1990

31. S.T. Eckmann, G. Vigna, and R. A. Kemmerer. "STATL: An Attack Language for State-based Intrusion Detection". // Dept. of Computer Science, University of California, Santa Barbara, 2000.

32. W.M. Farmer, J.D. Guttman, V. Swarup, Security for mobile agents: issues and requirements. // Proceedings of the 19th National Information Sytems Security Conference, vol. 2, National Institute of Standards and Technology, October 1996.

33. Debora Frincke, Don Tobin, Jesse McConell, A framework for cooperative intrusion detection. // Dept. of Computer Science, University of Idaho, Moscow, USA.

34. Ian Goldberg, David Wagner, Randi Thomans, and Eric Brewer, "A secure environment for untrusted helper applications (confining the wily hacker)." // Proceedings of the Sixth USENIX UNIX Security Symposium, San Jose, California, USA, July 1996

35. R. Gopalakrishna, E. H. Spafford, and J. Vitek, "Efficient Intrusion Detection Automaton Inlining." // Proc. IEEE Symp. on Security & Privacy, Oakland, CA, May 2005

36. Vladimir I. Gorodetski, Igor V. Kotenko. "Attacks Against Computer Network: Formal Grammar-Based Framework and Simulation Tool". // St. Petersburg Institute for Informatics and Automation, RAID 2002: 219-238

37. Noria Foukia, "IDReAM: Intrusion Detection and Response executed with Agent Mobility Architecture and Implementation." // Proceedings of the fourth international joint conference on Autonomous agents and multiagent systems, the Netherlands, 2005

38. J. Habra, B. Le Charlier, A. Mounji & I. Mathieu, "Preliminary Report on Advanced Security Audit Trail Analysis on UniX" // Research Report 1/92, Institut d'Informatique, University ofNamur, January 1992.

39. N. Habra, B. Le Charlier, A. Mounji, Advanced Security Audit Trail Analysis on uniX. Implementation Design of the NADF Evaluator. // Research Report, Computer Science Institute, University ofNamur, Belgium, March 1993.

40. Hatch, Brian, LIDS overview, 2001, http://www.lids.org/.

41. R. Heady, G. Luger, A. Maccabe, M. Servilla, The architecture of a network level intrusion detection system. // Technical Report, University of New Mexico, Department of Computer Science, August 1990.

42. Helman, P., Liepins, G., and Richards, W. Foundations of Intrusion Detection. // Proceedings of the Fifth Computer Security Foundations Workshop pp. 114-120. 1992

43. Y. Ho, Partial order state transition analysis for an intrusion detection system. // Master's thesis, University of Idaho, 1997.

44. Judith Hochberg, Kathleen Jackson, Cathy Stallings, J. F. McClary, David DuBois, and Josehpine Ford. NADIR: An automated system for detecting network intrusion and misuse. //Computers & Security, 12(3):235-248, 1993

45. S.A. Hofmeyr, An immunological model of distributed detection and its application to computer security. // Ph.D. thesis, University of New Mexico, May 1999.

46. Koral Ilgun, "USTAT: A real-time intrusion detection system for UNIX". // In Proceedings of the 1993 IEEE Symposium on Security and Privacy, pages 16-28, Oakland, California, 24-26 May 1993,

47. Koral Ilgun, Richard A Kemmerer, and Phillip A Porras, "State transition analysis: A rule-based intrusion detection approach". // IEEE Transactions on Software Engineering, 21(3): 181-199, March 1995

48. Kathleen A Jackson, David H DuBois, and Cathy A Stallings, "An +ert system application for network intrusion detection." // Proceedings of the 14th National

49. Computer Security Conference, pages 215-225,Washington, D.C., 1-4 October 1991

50. Rasool Jalili, Fatemeh Imani-Mehr, Morteza Amini, Hamid Reza Shahriari, "Detection of Distributed Denial of Service Attacks Using Statistical Pre-Processor and Unsupervised Neural Networks." // Lecture notes in computer science, 2005

51. Minna Kangasluoma, Policy Specification Languages, Department of Computer Science, Helsinki University of Technology, 1999, http://www.nixu.fi/~minna/draft2.html.

52. Calvin Ко, "Execution Monitoring of Security-critical Programs in a Distributed System: A Specification-based Approach." // PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996

53. Christopher Kruegel, Giovanni Vigna, William Robertson, "A multi-model approach to the detection of web-based attacks." // Computer Networks 48, 717-738,2005

54. Sandeep Kumar and Eugene H. Spafford, "A pattern matching model for misuse intrusion detection." // Proceedings of the 17th National Computer Security Conference, pages 11-21, Baltimore MD, USA, 1994

55. Sandeep Kumar and Eugene H. Spafford, "An application of pattern matching in intrusion detection." // Technical Report CSD-TR-94-013, The COAST Project, Dept. of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994

56. Sandeep Kumar and Eugene H. Spafford, "A software architecture to support misuse intrusion detection." // Technical report, The COAST Project, Dept. of Сотр. Sciences, Purdue Univ.,West Lafayette, IN, 47907-1398, USA, 17 March 1995

57. Sandeep Kumar, "Classification and Detection of Computer Intrusions." // PhD thesis, Purdue University, West Lafayette, Indiana, August 1995.

58. Шкап Kvarnstrom, "A survey of commercial tools for intrusion detection". // Technical Report 99-8, Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, 1999

59. Tao Li, Xiaojie Liu, and Hongbin Li "A New Model for Dynamic Intrusion Detection." // lecture notes in computer science, 2005

60. Lionel Litty, "Hypervisor-based Intrusion Detection." // Graduate Department of Computer Science, University of Toronto, 2005

61. W Lu, I Traore, "A new unsupervised anomaly detection framework for detecting network attacks in real-time." // Department of Electrical and Computer Engineering, University of Victoria, Lecture notes in computer science, 2005

62. Lunt, T.F. Real-Time Intrusion Detection. // Computer Security Journal Vol. VI, Number 1. pp. 9-14., 1989

63. T.F. Lunt, "Automated Audit Trail Analysis and Intrusion Detection: A Survey." // Proceedings of the Uth National Security Conference, Baltimore, MD, October 1988.

64. Bharath Madhusudan, John W. Lockwood, "A HARDWARE-ACCELERATED SYSTEM FOR REAL-TIME WORM DETECTION." // Micro, IEEE, 2005

65. Masayoshi Mizutani, Shin Shirahata, Masaki Minami, Jun Murai, "The Design and Implementation of Session Based NIDS." // IEICO. pages 551-562, Mar 2005

66. A. Mounji, Languages and Tools for Rule-Based Distributed Intrusion Detection. // PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.

67. A. Mounji, B. Le Charlier, D. Zampunieris, N. Habra, Preliminary Report on Distributed ASAX. // Research Report, Computer Science Institute, University of Namur, Belgium, May 1994

68. Mukherjee, В., Heberlein, L.T., Levitt, K.N. (May/June, 1994). Network Intrusion Detection. // IEEE Network, pp. 28-42.

69. Srinivas Mukkamala, Andrew H. Sung, Ajith Abraham, "Intrusion detection using an ensemble of intelligent paradigms." // Journal of Network and Computer Applications, 2005

70. Daniel C. Nash , An Intrusion Detection System for Battery Exhaustion Attacks on Mobile Computers. // Blacksburg, Virginia, 2005

71. Ozturk Ahmet, OSSEC-HIDS Capabilities, Architecture and plans. // Presentation at the 5th Linux and Free Software Festival, Ankara, Turkey, 2006.

72. Vern Paxon, "Bro: A system for detecting network intruders in real-time." // In Proceedings of the 7th USENIX Security Symposium, San Antonio, TX, USA, January 1988

73. V. Paxson, Bro: A System for Detecting Network Intruders in Real-Time. // Computer Networks, 31(23-24), pp. 2435-2463, 14 Dec. 1999

74. Phillip A Porras and Alfonso Valdes, "Live traffic analysis of TCP/IP gateways." // Proceedings of the 1998 ISOC Symposium on Network and Distributed Systems Security, San Diego, California, 11-13 March 1998

75. Philip A Porras and Peter G Neumann, "EMERALD: Event monitoring enabling responses to anomalous live disturbances." // Proceedings of the 20th National Information Systems Security Conference, pages 353-365, Baltimore, Maryland, USA, 7-10 October 1997

76. Porras, P. A., Ilgun, K., and Kemmerer, R. A. (1995). State transition analysis: A rule-based intrusion detection approach. // IEEE Transactions on Software Engineering,SE-21: 181-199.

77. Т.Н. Ptacek, T.N. Newsham, Insertion, evasion, and denial of service: eluding network intrusion detection. //Technical Report, Secure Networks, January 1998.

78. Puketza, N. Chung, M., Olsson, R.A. & Mukherjee, B. (September/October, 1997). A Software Platform for Testing Intrusion Detection Systems. // IEEE Software, Vol. 14, No. 5

79. Guangzhi Qu, Salim Hariri, Mazin Yousif "Multivariate Statistical Analysis for Network Attacks Detection." // Computer Systems and Applications, 2005

80. Marcus J. Ranum, Experiences Benchmarking Intrusion Detection Systems, http://www.snort.org/docs/Benchmarking-IDS-NFR.pdf.

81. Roesch, Martin, Snort Users Manual, Snort Release: 2.4, 2007, http://www.snort.org/.

82. Sebring, M., Shellhouse, E., Hanna, M. & Whitehurst, R. Expert Systems in Intrusion Detection: A Case Study. // Proceedings of the 11th National Computer Security Conference, 1988

83. Mohammed Shahidul Alam "APHIDS++: Evolution of A Programmable Hybrid Intrusion Detection System." // The University Of British Columbia, Vancouver, Canada, 2005

84. Sheyner, Oleg "Scenario Graphs and Attack Graphs." // PhD thesis, SCS, Carnegie Mellon University, 2004.

85. S. Smaha, "Haystack: an intrusion detection system" // 4th Aerospace Computer Security Applications Conf., pp. 37-44. October 1988

86. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents. // Computer Networks, 34(4):547-570, October 2000.

87. Eugene H. Spafford, Diego Zamboni, Intrusion detection using autonomous agents. // Computer Networks, 34(4):547-570, October 2000.

88. T.Srinivasan, Jayesh Seshadri, J.B.Siddharth Jonathan, Arvind Chandrasekhar, "A System for Power-aware Agent-based Intrusion Detection (SPAID) in Wireless Ad Hoc Network." // Lecture notes in computer science, 2005

89. Staniford-Chen, S. Using Thumbprints to Trace Intruders. // UC Davis, 1995

90. G. Vigna, R. Kemmerer, "NetSTAT: A Network-based Intrusion Detection Approach." // Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998.

91. G. Vigna, R.A. Kemmerer, "NetSTAT: A Network-based Intrusion Detection System." //Journal of Computer Security, 7(1), IOS Press, 1999.

92. R.A. Whitehurst, "Expert Systems in Intrusion Detection: A Case Study." // Computer Science Laboratory, SRI International, Menlo Park, CA, November 1987.

93. Yoann Vandoorselaere, Laurent Oudot, "Prelude, an Hybrid Open Source Intrusion Detection System", http://www.prelude-ids.org/.

94. M.P.Zielinski, "Applying Mobile Agents in an Immune-system-based intrusion detection system." // University of South Africa, 2004

95. ГОСТ P 50922-96: Защита информации. Основные термины и определения. // Госстандарт России, Москва, 1996г.

96. Гамаюнов Д. Ю., Смелянский P. JL, Модель поведения сетевых объектов в распределенных вычислительных системах. // Журнал «Программирование», 2007, №4.

97. P.JI. Смелянский, Д. Ю. Гамаюнов. "Современные некоммерческие средства обнаружения атак". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2002 г.

98. Р.Л. Смелянский, А.И. Качалин. "Применения нейросетей для обнаружения аномального поведения объектов в компьютерных сетях". // Факультет Вычислительной Математики и Кибернетики, МГУ им. М. В. Ломоносова, Москва, 2004.

99. Тараканов А.О. Математические модели обработки информации на основе результатов самосборки. // Диссертация д.ф.-м.н., С.-П., 1999.