автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Разработка методики выявления аномалий трафика в магистральных интернет-каналах

Список сокращений.

Введение.

ГЛАВА 1. СОВРЕМЕННОЕ СОСТОЯНИЕ МЕТОДОВ И СРЕДСТВ РЕШЕНИЯ ЗАДАЧИ ВЫЯВЛЕНИЯ АНОМАЛЬНОЙ СЕТЕВОЙ АКТИВНОСТИ.

1.1. Интернет-трафик и его количественные характеристики. Архитектура сетевых протоколов.

1.2. Математические модели Интернет-трафика.

1.3. Технологии сбора информации о сетевой активности.

1.4. Классификация сетевых аномалий.

1.5. Классификация программного обеспечения для выявления сетевых аномалий.

1.6. Математические методы выявления сетевых аномалий.

1.7. Постановка задачи исследования.

Глава 2. ОЦЕНКА РАБОТОСПОСОБНОСТИ МАТЕМАТИЧЕСКИХ МЕТОДОВ АНАЛИЗА ВРЕМЕННЫХ РЯДОВ В ЗАДАЧЕ ВЫЯВЛЕНИЯ АНОМАЛИЙ ИНТЕРНЕТ-ТРАФИКА ПО ЭКСПЕРИМЕНТАЛЬНЫМ РЕЗУЛЬТАТАМ.

2.1. Методика получения экспериментальных реализаций Интернет-трафика

2.2. Применение методов классического статистического анализа в задаче выявления аномалий Интернет-трафика.

2.2.1. Анализ функций распределения реального Интернет-трафика

2.2.2. Анализ возможности использования корреляционного анализа для выявления аномалий Интернет-трафика.

2.2.3. Анализ возможности использования кластерного анализа для выявления аномалий Интернет-трафика.

2.2.4. Сравнительный анализ энтропии нормального и аномального Интернет-трафиков.

2.3. Применение методов спектрального анализа в задаче выявления аномалий Интернет-трафика.

2.4. Анализ особенностей вейвлет-спектров нормального и аномального Интернет-трафиков.

2.5. Применение методов нелинейной динамики в задаче выявления аномалий Интернет-трафика.

2.6. Прогнозирование сетевого трафика на основе моделирования временных рядов.

ВЫВОДЫ.

Глава 3. КОМПЛЕКСНАЯ МЕТОДИКА ВЫЯВЛЕНИЯ АНОМАЛИЙ ИНТЕРНЕТ-ТРАФИКА.

3.1. Сравнительный анализ методов выявления аномалий Интернет-трафика

3.2. Комплексная методика выявления аномалий Интернет-трафика.

3.3. Программная реализация комплексной методики выявления аномалий Интернет-трафика.

3.4. Экспериментальная проверка комплексной методики выявления аномалий

Интернет-трафика.

Актуальность темы исследования. В настоящее время наблюдается стремительное развитие телекоммуникаций, характеризующееся непрерывным ростом масштабов и сложности сетевых инфраструктур, скоростей передачи данных и загрузки магистральных каналов связи. При этом на передний план выдвигаются вопросы мониторинга и диагностики, особенно в свете постоянных угроз информационной безопасности (ИБ) (рис. 1).

160000 140000 120000 100000 80000 60000 40000 20000 0

1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003

1 1 <

П Г—J ED п .V -7

Рис. 1. Рост инцидентов ИБ, по данным CERT Теоретическая база телекоммуникаций в настоящий момент характеризуется переходом от моделей классической теории массового обслуживания к моделям самоподобного телетрафика. Среди зарубежных ученых, активно занимающихся развитием последнего подхода, выделим фундаментальные труды В. Лиланда (W. Leland), М. Такку (М. Taqqu), В. Виллинжера (W. Willinger), Д. Вилсона (D. Wilson), К. Парка (К. Park), В. Паксона (V. Paxson) и др. Отечественные исследования представлены работами Б.С. Цыбакова, О.И. Шелухина, B.C. Заборовского, А .Я. Городецкого и др.

Прикладные исследования в области телекоммуникаций сконцентрированы в направлениях их проектирования и мониторинга. Среди многочисленных работ по мониторингу в последнее время увеличилось число публикаций, посвященных выявлению сетевых аномалий (СА). Для решения данной задачи применяется ряд известных математических методов обработки, анализа и моделирования сигналов: классический статистический, факторный и кластерный анализ, спектральный анализ, вейвлет-анализ, цифровая обработка сигналов, моделирование временных рядов и интеллектуальный анализ данных.

Практические разработки в области выявления нарушений информационной безопасности и сетевых аномалий ведутся как университетскими научными центрами (Ohio University, Columbia University, МГУ, УГТУ-УПИ и др.), так и крупнейшими коммерческими компаниями (Cisco, СА, ISS, Symantec и др.).

Однако задача надежного выявления сетевых аномалий окончательно не решена, о чем свидетельствуют аналитические отчеты центров Интернет-безопасности, крупнейших операторов и координаторов связи, производителей сетевого оборудования и систем обнаружения вторжений, а также опыт эксплуатации компьютерных сетей и магистральных Интернет-каналов.

Это объясняется следующими обстоятельствами:

Во-первых, существует определенный разрыв между теоретическими исследованиями телетрафика и проблемами выявления сетевых аномалий, заключающийся, например, в недостаточной изученности фрактальных свойств аномального трафика а также в вопросе исследования влияния современных инженерных механизмов обеспечения качества обслуживания на свойства аномального трафика.

Во-вторых, в настоящее время для отрасли связи наиболее актуальным является мониторинг состояния магистральных каналов, обслуживающих большое количество агрегированных потоков и высокие скорости передачи данных, в то время как большинство известных методик использует параметры отдельных составляющих сетевого трафика (содержимое кадров, пакетов). В этих условиях наиболее востребованными становятся методы выявления сетевых аномалий по интегральным характеристикам трафика.

В-третьих, большинство исследований сводится к изучению отдельных методов выявления сетевых аномалий, в то время как на практике остро необходимы комплексные методики, комбинирующие наиболее эффективные подходы к решению данной задачи.

Таким образом, на текущий момент актуальной задачей является разработка эффективных комплексных методов выявления сетевых аномалий по интегральным характеристикам трафика на основе современной теоретической базы.

Объект исследования: методы анализа информации о состоянии телекоммуникационных сетей.

Предмет исследования: методы выявления сетевых аномалий.

Цель диссертационной работы: разработка комплексной методики выявления сетевых аномалий в магистральных Интернет-каналах по интегральным характеристикам трафика.

Для достижения поставленной цели требуется решить следующие основные задачи:

1. Разработать методику регистрации Интернет-трафика.

2. Провести оценку работоспособности математических методов анализа Интернет-трафика в задаче выявления сетевых аномалий по интегральным характеристикам трафика.

3. Разработать комплексную методику выявления аномалий Интернет-трафика по интегральным характеристикам.

4. Провести оценку эффективности комплексной методики выявления аномалий Интернет-трафика по интегральным характеристикам.

Методы исследований.

В работе были использованы методы теории вероятности, математической статистики, анализа временных рядов, нелинейной хаотической динамики, вейвлет-анализа.

Научная новизна полученных результатов.

В работе получены следующие новые научные результаты:

1. Проведен сравнительный анализ работоспособности ряда математических методов (статистический анализ, спектральный анализ, вейвлет-анализ, методы нелинейной динамики, методы моделирования временных рядов) в задаче выявления сетевых аномалий по реализациям Интернет-трафика, определены отличительные интегральные признаки сетевых аномалий и наиболее эффективные методы выявления для различных источников диагностируемой аномалии.

2. Экспериментально установлена связь между значениями масштабных коэффициентов вейвлет-преобразований параметров входящего и исходящего потоков Интернет-трафика.

3. Разработан диагностический критерий аномальности сетевого трафика, основанный на вычислении значений функции кросскорреляции параметров потоков Интернет-трафика.

4. Разработана комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков трафика и моделирования временных рядов Хольта-Винтерса, позволяющая выявлять наиболее значимые для операторов связи аномальные состояния трафика по интегральным характеристикам.

5. Проведена экспериментальная проверка комплексной методики выявления аномалий Интернет-трафика и получены оценки ее эффективности.

Практическая значимость работы.

1. Создано программное обеспечение, реализующее комплексную методику выявления сетевых аномалий.

2. Проведена экспериментальная проверка и осуществлено внедрение созданного программного обеспечения в учебном процессе (ГОУ ВПО УГТУ-УПИ) и на предприятиях отрасли связи (ЗАО "Корус ИСП", ООО "СЦС Совинтел").

3. Результаты, полученные в ходе выполнения настоящей диссертационной работы, представляют интерес для разработчиков новых систем выявления сетевых аномалий и мониторинга пакетных сетей передачи данных.

На защиту выносятся:

1. Результаты сравнительного анализа работоспособности ряда математических методов (статистический анализ, спектральный анализ, вейвлет-анализ, методы нелинейной динамики, методы моделирования временных рядов) в задаче выявления сетевых аномалий по интегральным характеристикам Интернет-трафика, определяющие отличительные признаки сетевых аномалий.

2. Комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков Интернет-трафика и моделирования временных рядов, позволяющая выявлять наиболее значимые для операторов связи аномальные состояния трафика по интегральным характеристикам.

3. Результаты экспериментальной апробации комплексной методики выявления аномалий Интернет-трафика по интегральным характеристикам, подтверждающие ее эффективность.

Достоверность полученных результатов обеспечена обоснованным применением методов теории вероятности, математической статистики, анализа временных рядов, нелинейной хаотической динамики, вейвлет-анализа и подтверждена экспериментальными результатами.

Апробация работы.

Основные положения и результаты диссертации представлялись на Международной научно-практической конференции "СВЯЗЬ-ПРОМ 2005", проводимой в рамках 2-го Евро-Азиатского международного форума "СВЯЗЬ-ПРОМ ЭКСПО 2005"; Международной научно-практической конференции "СВЯЗЬ-ПРОМ 2006" в рамках 3-го Евро-Азиатского международного форума "СВЯЗЬ-ПРОМ ЭКСПО 2006"; научных семинарах УГТУ-УПИ; технических совещаниях ЗАО "Корус ИСП" и ООО "Совинтел". Работа поддержана Российским фондом фундаментальных исследований (проект 06-08-00218-а).

Публикации.

По результатам исследований опубликовано 11 работ, из них 3 входит в перечень изданий, рекомендованных ВАК РФ для публикации материалов, отражающих основные результаты на соискание кандидатских и докторских диссертаций.

Структура диссертационной работы.

Текст диссертационной работы состоит из введения, трех глав, заключения, приложений и списка литературы.

выводы

На основе приведенных в настоящей главе исследований сформулируем основные выводы:

1. Показано, что распределение интенсивности пакетов Интернет-трафика подчиняется логнормальному закону, который является тяжелохвостым. Данный результат согласуется с современной теорией телетрафика.

2. Показано, что распределение интервалов между пакетами Интернет-трафика подчиняется экспоненциальному закону.

3. Проведенный анализ статистических свойств трафика позволяет сделать вывод о допустимости использования в качестве диагностических критериев аномальности параметров распределения интенсивности пакетов и интервалов между пакетами в зависимости от направления (входящий и исходящий потоки данных).

4. Показано, что функция кросскорреляции потоков трафика TCP и коэффициент корреляции параметров заголовков пакетов трафика IP существенным образом характеризуют наличие аномалий.

5. Продемонстрирована возможность использования кластерного анализа для детектирования аномалий TCP трафика.

6. Показано, что вычисление энтропии параметров заголовков пакетов IP трафика позволяет детектировать сетевые аномалии.

7. Проведенный анализ позволяет сделать вывод о применимости спектральных методов обработки временных рядов трафика для выявления высокоинтенсивных аномалий, характеризующихся перегрузкой среды передачи данных.

8. Показано, что поведение коэффициента корреляции между коэффициентами вейвлет-преобразования исходящего и входящего трафиков однозначно характеризует наличие аномалий.

9. Показано, что сетевой трафик может быть описан моделью обобщенного броуновского движения.

10. Произведено измерение показателя Херста (//) Интернет-трафика. Обнаружено, что для всех реализаций сетевого трафика //>0,5, т.е. трафик относится к классу персистентных процессов и является самоподобным. Зависимости коэффициента Н от наличия аномалий не выявлено.

11. Показано, что задача прогнозирования сетевой активности может быть решена классическими методами моделирования временных рядов Бокса-Дженкинса и Хольта-Винтерса.

Проведенный анализ показал применимость ряда математических методов, таких как статистический, спектральный, вейвлет-анализ, моделирование временных рядов в задаче выявления наиболее значимых для операторов связи СА типа сканирование, вирусная активность, атаки на отказ в обслуживании и нарушения производительности, наносящих наибольший ущерб в силу своей распространенности и последствий воздействия на магистральные Интернет-каналы.

Следует отметить, что большинство исследованных методов применялось для изучения интегральных характеристик потоков, составляющих трафик, и, следовательно, теоретически способно работать на больших скоростях передачи данных в современных Интернет-магистралях. Кроме того, использовались уровни агрегации, значительно отличающиеся от предельных параметров рассматриваемой технологии Ethernet, что снимает возможные ограничения и позволяет распространить применимость полученных результатов на другие магистральные технологии.

Таким образом, проведенный экспериментальный анализ позволяет перейти к разработке методики, эффективно выявляющей наиболее значимые для операторов связи СА по интегральным характеристикам трафика.

Глава 3. КОМПЛЕКСНАЯ МЕТОДИКА ВЫЯВЛЕНИЯ АНОМАЛИЙ ИНТЕРНЕТ-ТРАФИКА

3.1. Сравнительный анализ методов выявления аномалий Интернет-трафика

Для изучения надежности детектирования аномалий был проведен сравнительный анализ методов обработки трафика, описанных во 2-й главе: анализ функций распределения, корреляционный анализ, кластерный анализ, анализ энтропии, спектральный анализ, вейвлет-анализ, моделирование временных рядов.

При проведении анализа производилось получение дампов трафика Интернет-магистрали сервис-провайдера городского уровня каждые 15 минут за период с 01.09.2005 по 30.09.2005 (по методике, изложенной в разделе 2.1). Размер каждого дампа составлял 100000 пакетов. В итоге было получено 2880 дампов общим объемом примерно 30 гигабайт.

Далее из полученного экспериментального массива отобрали реализации, содержащие наиболее значимые для операторов связи аномалии (по данным аналитических отчетов центров Интернет-безопасности [112, 190-193], крупнейших операторов и координаторов связи [194-197], производителей сетевого оборудования и СОВ [120-126]): нарушения производительности, сканирование, вирусная активность, атаки на отказ в обслуживании, так как обнаружение данных аномалий наиболее актуально как с точки зрения наносимого ими ущерба так и их распространенности. Остальные аномалии, классификация которых дана в разделе 1.4, к рассмотрению не принимались.

Всего для анализа было использовано по 200 реализаций нормального и аномального трафика. Классификация аномалий осуществлялась сигнатурным анализатором (Snort) и утилитами, разработанными для программы Tcpdump. За аномальный принимался трафик, содержащий не менее 5% пакетов, относящихся к СА согласно классификации, введенной в разделе 1.4. Нормальным считался трафик, не содержащий пакетов, относящихся к СА. Из 200 аномальных реализаций 100 содержали вирусную сетевую активность, 50 сканирование, 25 - атаки на отказ в обслуживании, 25 - нарушения производительности. Следует отметить, что основной проблемой являлось получение реализаций нормального трафика, не содержащего аномалий, так как в современных условиях непрерывно происходит распространение вирусов и осуществляется хакерская деятельность.

Программная реализация методов детектирования аномалий, описанных во 2-й главе, осуществлялась средствами Matlab [131]. Это позволило значительно ускорить процесс анализа данных (см. листинги 1-8 в приложении 1).

Статистический анализ основывался на изучении распределений интенсивностей пакетов исходящего и входящего трафиков в соответствии с методом, описанным в разделе 2.2.1. Сравнение параметров аппроксимирующих функций распределения выполнялось на основе двухвыборочного критерия однородности Колмогорова-Смирнова, при уровне значимости 0,05. Размер каждой выборки составлял 100000 пакетов.

Корреляционный анализ проводился на основе вычисления коэффициента кросскорреляции между временными рядами интенсивности пакетов IP входящего и исходящего трафика с уровнем агрегации ДГ=100 мс в соответствии с разделом 2.2.2. Трафик классифицировался как аномальный при значении коэффициента кросскорреляции меньше 0,6.

Кластерный анализ осуществлялся на основе анализа дендрограмм сессий TCP. В качестве параметров использовались коэффициент связности и удельное число байт на пакет, описанные в разделе 2.2.3. За диагностический критерий принималось число кластеров. Для нормального трафика число кластеров принималось равным 2, для аномального - 3.

Для анализа энтропии использовался метод, описанный в разделе 2.2.4. В качестве параметров для расчета энтропии выбирались IP адреса источника и приемника пакета. Трафик классифицировался как аномальный при значении энтропии больше 6.

Спектральный анализ осуществлялся по методу Уэлча (см. раздел 2.3). Использовались временные ряды интенсивности пакетов, полученные обработкой экспериментальных реализаций трафика (по методике, изложенной в разделе 2.1) с уровнем агрегации АГ=1мкс, Юмкс, 50мкс и ЮОмкс. Применялась оконная функция Хэмминга с размером окна 1024 и 50% перекрытием сегментов. Трафик классифицировался как аномальный при наличии выбросов в СПМ больше 10 дБ.

Вейвлет-анализ проводился в соответствии с методом, описанным в разделе 2.4. Использовались временные ряды интенсивности пакетов с уровнем агрегации АГ=100мс и разделением по направлению (исходящий, входящий). Проводилось вычисление коэффициента корреляции масштабных коэффициентов непрерывного вейвлет-преобразования для BP интенсивности пакетов. В качестве базисной вейвлет-функции использовался дискретный вейвлет Мейера. Трафик классифицировался как аномальный в случае если значения коэффициента корреляции масштабных коэффициентов непрерывного вейвлет-преобразования при масштабе больше 60 не достигали 0,5.

Моделирование временных рядов проводилось по методу Хольта-Винтерса (см. раздел 2.6). Параметры сглаживания а,/3,у принимались равными 0,1. Длина каждой исследуемой выборки выбиралась таким образом, чтобы она включала 3 периода сезонных колебаний, который равен 1 неделе. Для усредняемого с 5 минутным интервалом трафика длина выборки должна составлять 6048 значений. Трафик классифицировался как аномальный при выходе прогнозируемого значения за доверительный интервал три СКО.

Примеры типичных временных рядов, содержащих интенсивности пакетов и байт, полученные обработкой дампов нормального и аномального трафика приведены на рис. 3.1-3.4.

О 100 200 300 400 500 600 700 800

Рис. 3.1. Временной ряд интенсивности пакетов нормального трафика (пакеты/1 ООмс)

160—.■ ,---,------ , |

140 120 100 о L.-1-1-1-1—-j------j---—iо ioo 200 зоо 400 500 боо 7оо воо

Рис. 3.2. Временной ряд интенсивности пакетов аномального трафика (пакеты/1 ООмс)

Рис. 3.3. Временной ряд интенсивности байт нормального трафика (байты/1 ООмс)

Рис. 3.4. Временной ряд интенсивности байт аномального трафика (байты/1 ООмс) Эффективность выявления СА в зависимости от метода анализа оценивалась на основе следующих критериев:

1. Надежность детектирования (отношение правильно обнаруженных СА к общему числу имеющихся СА).

2. Величина ошибки 1 рода (отношение пропущенных СА (не выявленных) к общему числу имеющихся СА).

3. Величина ошибки 2 рода (отношение ложных выявлений СА к общему числу имеющихся СА).

Результаты анализа с помощью перечисленных методов приведены в табл. 3.1.

ЗАКЛЮЧЕНИЕ

Настоящая диссертация посвящена исследованию аномальных состояний Интернет-трафика и разработке новых подходов для выявления аномальной сетевой активности, позволяющих добиться более надежных результатов, чем существующие методы.

Основным результатом проведенных в данной работе теоретических и экспериментальных исследований является разработка комплексной методики выявления аномалий. Данная методика реализует комбинацию наиболее надежных методов, таких как корреляционный анализ и моделирование временных рядов. При этом достигается высокая надежность и эффективность выявления наиболее значимых для операторов связи сетевых аномалий типа сканирование, вирусная активность, атаки на отказ в обслуживании и нарушения производительности в условиях обработки трафика Интернет-магистралей, характеризующихся агрегированием множества потоков и высокими скоростями передачи данных.

Для достижения данного результата в работе сделано следующее:

1. Разработана методика получения реализаций Интернет-трафика.

2. Проведена оценка работоспособности статистических методов анализа аномального трафика на основе корреляционного анализа параметров потоков трафика, кластерного анализа и расчета информационной энтропии, показавшая применимость данных методов в задаче выявления сетевых аномалий по интегральным характеристикам трафика.

3. Показана работоспособность спектрального анализа параметров сетевого трафика в зависимости от состояния транспортной среды передачи данных в задаче выявления высокоинтенсивных аномалий.

4. Экспериментально установлена связь между значениями масштабных коэффициентов вейвлет-преобразований параметров потоков Интернет-трафика.

5. Получены результаты исследований фрактальных свойств аномального сетевого трафика, свидетельствующие о его самоподобии.

6. Проведен сравнительный анализ методов моделирования временных рядов Бокса-Дженкинса и Хольта-Винтерса для прогнозирования сетевого трафика, содержащего аномалии.

7. Разработана комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков трафика и моделирования временных рядов Хольта-Винтерса, позволяющая выявлять наиболее значимые для операторов связи аномальные состояния трафика по интегральным характеристикам.

8. Получено экспериментальное подтверждение эффективности комплексной методики выявления аномалий Интернет-трафика.

1. Кульгин М. Технология корпоративных сетей: Энциклопедия. СПб.: Питер, 2000.

2. Гаранин М.В. и др. Системы и сети передачи информации: Учебное пособие для вузов. М.: Радио и связь, 2001.

3. Лукацкий А.В. Обнаружение атак. СПб.: БХВ-Петербург, 2001. - 624с.

4. Крылов В.В., Самохвалова С.С. Теория телетрафика и ее приложения. -СПб.: БХВ-Петербург, 2005.

5. Шелухин О.И., Тенякшев A.M., Осин А.В. Моделирование информационных систем. / Под ред. О.И.Шелухина. Учебное пособие. — М.: Радиотехника, 2005.

6. Орлов А.И. Прикладная статистика. Учебник. М.: Экзамен, 2004.

7. Марпл Л. Цифровой спектральный анализ. М.: Мир, 1990.

8. Сергиенко А.Б. Цифровая обработка сигналов. СПб.: Питер, 2002.

9. Бондарев В.Н., Трёстер Г., Чернега B.C. Цифровая обработка сигналов: методы и средства. Севастополь: СевГТУ, 1999.

10. Ю.Куприянов М.С., Матюшкин Б.Д. Цифровая обработка сигналов: процессоры, алгоритмы, средства проектирования. СПб.: Политехника, 1999.

11. Макс Ж. Методы и техника обработки сигналов при физических измерениях. Т.1. Основные принципы и классические методы. -М.: Мир, 1983.

12. Чуй К. Введение в вэйвлеты. -М.: Мир, 2000.

13. Короновский А.А., Храмов А.Е. Непрерывный вейвлет анализ и его приложения. М.: Физматлит, 2003.

14. Кузнецов С. П. Динамический хаос (курс лекций). М.: Физматлит, 2001.

15. Бендат Дж., Пирсол А. Прикладной анализ случайных данных. Перев. с английского. М.: Мир, 1989. - 542 с.

16. Leland W.E., Taqqu M.S., Willinger W., Wilson D.V. On the self-similar nature of ethernet traffic // IEEE/ACM Transactions of Networking. 1994. - P. 1— 15.

17. Цыбаков Б.С. Модель телетрафика на основе самоподобного случайного процесса // Радиотехника. 1999. № 5. - С. 24-31.

18. В.И. Нейман. Новое направление в теории телетрафика // Электросвязь. 1998. №7.-С. 27-30.

19. Кендел М. Временные ряды: Пер. с англ. и предисл. Ю.П. Лукашина. -М: Финансы и статистика, 1981. 199 с.

20. Feng W., Tinnakornsrisuphap P. The Failure of TCP in High-Performance Computational Grids // SC2000: High-Performance Network and Computing Conference. 2000.

21. Заборовский B.C. Методы и средства исследования процессов в высокоскоростных компьютерных сетях: Диссертация на соискание ученой степени доктора технических наук. СПб., 1999.

22. Городецкий А.Я., Заборовский B.C., Информатика. Фрактальные процессы в компьютерных сетях / Учебное пособие. СПб.: СПбГТУ, 2000.

23. Найденов В.И., Кожевникова И.А. Эффект Харста в геофизике // Природа. 2000. №1.

24. Шелухин О.И., Тенякшев A.M., Осин А.В. Фрактальные процессы в телекоммуникациях / Под ред. О.И. Шелухина. М.: Радиотехника, 2003. - 480 с.

25. Криштофович А.Ю. Самоподобие трафика сети ОКС №7 // МКИССиТ. СПб, 2002.

26. Бершадский А.В. Статистическая модель рыночных событий Электронный ресурс. // Электронный журнал "Исследовано в России". Режим доступа: http://zhurnal.ape.relarn.ru/ articles/2002/l32.pdf

27. Veres A., Boda М. The Chaotic Nature of TCP Congestion Control // Proceedings of IEEE INFOCOM 2000. 2000.

28. Veres A., Kenesi Zs., Molnar S., Vattay G. On the Propagation of Long-Range Dependence in the Internet // Proc. ACM SIGCOMM 2000. 2000.

29. Петров B.B. Самоподобие в сетевом трафике // 58-я Научная сессия РНТОРЭС им. А.С. Попова: Сборник трудов. Том 2. М., 2003. - С. 126.

30. Петров В.В., Богатырев Е.А. О самоподобном сетевом трафике // Радиоэлектроника, электротехника и энергетика: Тез. докл. Девятой Междунар. научно-техн. конференции студентов и аспирантов. Том 1. М: МЭИ, 2003. -С. 53-54.

31. Петров В.В., Богатырев Е.А. Статистический анализ сетевого трафика // Радиоэлектроника, электротехника и энергетика: Тез. докл. Десятой Междунар. научно-техн. конференции студентов и аспирантов. Том 1. -М: МЭИ, 2004.

32. Park К., Willinger W. Self-Similar Network Traffic and Performance Evaluation. John Wiley & Sons, 2000.

33. Вегешна Ш. Качество обслуживания в сетях IP.: Пер. с англ. М.: Изд.

34. Дом .Вильяме, 2003. 368 с.

35. Ostring S., Sirisena Н. The Influence the Long-Range Dependence on Traffic Prediction // Proceedings of ICC'01. 2001.

36. Beran J. Statistical Methods for Data with Long-Range Dependence // Statistical Science. 1992. Volume 7, Issue 4. - P. 404^16.

37. Анищенко B.C. Знакомство с нелинейной динамикой // Лекции соросовского профессора. — Саратов, 2000.

38. Шредер М. Фракталы, хаос, степенные законы. Миниатюры из бесконечного рая. Москва-Ижевск, 2001.

39. Уайндер С. Справочник по технологиям и средствам связи. — М.: Мир, 2000.

40. Fowler Н. J., Leland W. Е. Local Area Network Traffic Characteristics, with Implications for Broadband Network Congestion Management // IEEE JSAC, 9(7). -1991.-P. 1139-1149.

41. Paxson V., Floyd S. Wide-Area Traffic: The Failure of Poisson Modeling // IEEE/ACM Transactions on Networking. 1995.

42. Малинецкий Г.Г., Потапов А.Б. Современные проблемы нелинейной динамики. М.: Едиториал УРСС, 2002. - 360 с.

43. Olowoyeye G., Kim В., Chandra K. Modelling Spectral Features in TCP Traffic//ITC'99.-1998.

44. Chandra K., You C., Olowoyeye G. and Thompson C. Non-linear Time-Series Models of Ethernet Traffic // INFOCOM 99. 1999.

45. Голяндина Н.Э., Некруткин B.B., Браулов K.A. Метод Гусеница-SSA: анализ временных рядов Электронный ресурс. Режим доступа: http://www.gistatgroup.com/gus/ssaan.pdf.

46. Ghaderi М. On the Relevance of Self-Similarity in Network Traffic Prediction Электронный ресурс. Режим доступа: http://www.cs.uwaterloo.ca/cs-archive/CS-2003/28/TR-CS-2003-28.pdf.

47. Sadec N., Khotanzad A., Chen T. ATM Dynamic Bandwidth Allocation Using FArima Prediction Model Электронный ресурс. Режим доступа: http://snoopy.seas.smu.edu/papers/icccn03.pdf.

48. Айвазян С.А. Прикладная статистика. Основы эконометрики: Учебник для вузов. М.: ЮНИТИ-ДАНА, 2001. - 432 с.

49. Dang Т. D., Sonkoly В., Molnar S. Fractal Analysis and Modelling of VoIP Traffic // NETWORKS 2004. 2004.

50. Пономарев Д.Ю. Вероятностно-временные характеристики асинхронных систем обработки интегральной информации с учетом влияния свойства самоподобия: Диссертация на соискание ученой степени кандидата технических наук. Красноярск, 2002.

51. Кучерявый Е.А. Управление трафиком и качество обслуживания в сети Интернет. СПб.: Наука и Техника, 2004. - 336 с.

52. Xue F., Liu J., Shu Y., Zhang L., Yang O.W.W. Traffic Modeling Based on FARIMA Models. // CCECE99. 1999. - P. 162-167.

53. Park K., Kim G., Crovella M. On the relationship between file sizes, transport protocols, and self-similar network traffic // Proceedings of the Fourth International Conference on Network Protocols (ICNP'96). 1996. - P. 171-180.

54. Chen В., Peng S., Wang K. Traffic Modeling, Prediction, and Congestion Control for High-Speed Networks: A Fuzzy AR Approach // IEEE Trans. On Fuzzy Systems. 2000. Vol. 8.

55. Лившиц Б.С., Пшеничников А.П., Харкевич А.Д. Теория телетрафика. -М.: Связь, 1979.-224 с.

56. Столлингс В. Современные компьютерные сети. СПб.: Питер, 2003. -784 с.

57. Brenner P. A Technical Tutorial on the IEEE 802.11 Protocol // Breezecom. -1997.

58. Уолрэнд Дж. Телекоммуникационные и компьютерные сети. Вводный курс. М.: Постмаркет, 2001. - 480 с.

59. Ершов М.А., Кузнецов Н.А. Теоретические основы построения сети с интеграцией служб. М.: ИППИ РАН, 1995.

60. Лагутин B.C., Степанов С.И. Телетрафик мультисервисных сетей связи. М.: Радио и связь, 2000. - 320 с.

61. Гмурман В.Е. Теория вероятностей и математическая статистика. Учеб. пособие для вузов. 8-е изд., стер. М.: Высш. шк., 2002. - 479 с.

62. Вентцель Е.С., Овчаров JI.A. Теория случайных процессов и ее инженерные приложения. Учеб. пособие для втузов. 2-е изд., стер. М.: Высш. шк., 2002. - 383 с.

63. Баскаков С.И. Радиотехнические цепи и сигналы. Учеб. для вузов по спец. "Радиотехника". 2-е изд. перераб. и доп. — М.: Высш. шк., 1998. 448 с.

64. Документация и программное обеспечение сетевого симулятора ns-2 Электронный ресурс. Режим доступа: http://www-mash.CS.Berkeley.EDU/ns

65. Пакет программ для анализа временных реализаций методами нелинейной динамики TISEAN v2.1 Электронный ресурс. Режим доступа: http://lists.mpipksdresden.mpg.de/~tisean/TISEAN2.1

66. Программа FRACTAN v4.4, предназначенная для фрактального анализа временных реализаций Электронный ресурс. Режим доступа: http://impb.psn.ru/~sychyov/soft.shtml

67. Selfis vO.lb программа для анализа экспоненты Хэрста разработки Thomas Karagiannis Электронный ресурс. Режим доступа: http://www.cs.ucr.edu/~tkarag

68. Бертсекас Д., Галагер Р. Сети передачи данных. М.: Мир, 1989.

69. Баруча-Рид А.Т. Элементы теории марковских процессов и их приложения. М.: Наука, 1969.

70. Гнеденко Б.В. Введение в теорию массового обслуживания. 2-е изд., перераб. и доп. М.: Наука, 1987.

71. Саати Т.Д. Элементы теории массового обслуживания и ее приложения. 2-е изд. М.: Советское радио, 1971.

72. Назаров А.А. Устойчивое функционирование нестабильных сетей связи с протоколом случайного доступа. // Проблемы передачи информации. — 1997. №2.-С. 101-111.

73. Jacobson V. Congestion Avoidance and Control. // ACM SIGCOMM 88. -1988.

74. Postel J. Transmission Control Protocol. // RFC793 (STD7). 1981.

75. Braden R. T. Requirements for Internet Hosts Communication Layers. // RFC1122.-1989.

76. Jacobson V., Braden R., Borman D. TCP Extensions for High Performance. //RFC 1323. -1992.

77. Karn P., Partridge C. Estimating Round-trip Times in Reliable Transport Protocols. // ACM SIGCOMM 87. 1987.

78. Nagle J. Congestion Control in IP/TCP Networks. // RFC-896. 1984.

79. Yang C., Reddy A. A Taxonomy for Congestion Control Algorithms in Packet Switching Networks. // IEEE Network Magazine. 1995. Vol. 9, Number 5.

80. Brakmo L., O'Malley S., Peterson L. TCP Vegas: New Techniques for Congestion Detection and Avoidance. // ACM SIGCOMM. 1994. - P. 24-35.

81. Brakmo L., Peterson L. TCP Vegas: End to End Congestion Avoidance on a Global Internet // IEEE Journal on Selected Areas in Communications. 1995. 13(8).

82. Braden. В., Clark D., Crowfort J., Deering S., Estrin D. Recommendations in Queue Management and Congestion Avoidance in the Internet // RFC 2309. 1998.

83. Floyd S., Jacobson V. Random Early Detection gateways for Congestion Avoidance // IEEE/ACM Transactions on Networking. 1993. Vol 1. N 4. - P. 397413.

84. Caceres R., Danzig P., Jamin S., Mitzel D. Characteristics of Wide-Area TCP/IP Conversations // ACM SIGCOMM'91. 1991.

85. Fall K., Floyd S. Simulation-based Comparisons of Tahoe, Reno, and SACK TCP // Computer Communications Review. July. 1996.

86. Demers A., Keshav S., Shenker S. Analysis and Simulation of a Fair Queueing Algorithm // ACM SIGCOMM'89. 1989. - P. 3-12.

87. Geria M. Kleinrock L. Congestion Control in Interconnected LANs // IEEE Network. 1988. Vol. 2. N 1.

88. Floyd S. TCP and Explicit Congestion Notification. // Computer Communications Review. 1994. - P. 10-23.

89. Алексеев И.В. Математическая модель протокола TCP с адаптацией скорости // Моделирование и анализ информационных систем. 1999. Т.6, №2. -С. 51-53.

90. Гольдштейн Б. Протоколы сети доступа. -М.: Радио и связь, 1999.

91. Chiu D., Jain R. Analysis of the Increase and Decrease Algorithms for Congestion Avoidance in Computer Networks. // Computer Networks and ISDN Systems. 1989. Vol. 17-P. 1-14.

92. Morris R. TCP Behavior with Many Flows // IEEE International Conference on Network Protocols. 1997.

93. Comer D. Internetworking with TCP/IP, Vol. II: Design Implementation and Internals. Prentice Hall, 1994.

94. Comer D. Internetworking with TCP/IP, Vol. Ill: Client Server Programming and Applications. - Prentice Hall, 1994.

95. Frost V., Melamed B. Traffic modelling for telecommunications networks // IEEE Communications Magazine. 1994. 32(2) - P. 70-80.

96. Taqqu M., Teverovsky V., Willinger W. Is network traffic self-similar or multifractal? // Fractals. 1997. N 5. - P. 63-73.

97. Willinger W., Taqqu M., Sherman R., Wilson D. Self-similarity through high variability: Statistical analysis of Ethernet LAN traffic at source level // IEEE/ACM Transactions of Networking. 1997. N 5. - P. 71-86.

98. Хакен Г. Синергетика. M., Мир, 1989. - С. 379.

99. George F., Young G. SNA Flow Control: Architecture and Implementation // IBM System Journal. 1982. Vol. 21. N 2.-P. 179-210.

100. Технология Cisco Span Электронный ресурс. Режим доступа: http://www.cisco.cOm/warp/public/473/41 .html

101. Протокол Cisco NetFlow Электронный ресурс. Режим доступа: http://www.cisco.com/en/US/products/ps6601/productsiosprotocolgrouphome .html

102. Протокол Rmon Электронный ресурс. Режим доступа: http://www.cisco.com/univercd/cc/td/doc/cisintwk/itodoc/rmon.htm

103. Протокол Snmp Электронный ресурс. Режим доступа: http://www.faqs.org/rfcs/rfcl 157.html

104. Программа Net-snmp Электронный ресурс. Режим доступа: http://net-snmp.sourceforge.net/

105. Программа Mrtg Электронный ресурс. Режим http://people.ee.ethz.ch/~oetiker/webtools/mrtg/

106. Программа Rrdtool Электронный ресурс. Режим http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/

107. Программа Flow-tools Электронный ресурс. Режим http://www.splintered.net/sw/flow-tools/

108. Программа Cflowd Электронный ресурс. Режим http ://www. caida. org/tools/measurement/cfl о wd/

109. Программа Flowc Электронный ресурс. Режим http://netacad.kiev.ua/flowc/

110. Программа Tcpdump Электронный ресурс. Режим http://www.tcpdump.org

111. Программа Ethereal Электронный ресурс. Режим http://www.ethereal.com/

112. Computer Emergency Response Team Coordination Center Электронный ресурс. Режим доступа: http://www.cert.org

113. Протокол sFlow Электронный ресурс. http://www.inmon.com

114. Протокол IPFIX Электронный ресурс. http://www.ietf.org/html.charters/ipfix-charter.html

115. Программа Sniffit Электронный ресурс. http://sniffit.sourceforge.net

116. Тезаурус уязвимостей Common Vulnerabilities and Exposures Электронный ресурс. Режим доступа: http://www.cve.mitre.org

117. Протокол Intrusion Detection Messag Exchange Format Электронный ресурс. Режим доступа: http://xml.coveфages.org/draft-ietf-idwg-idmef-xml-12.txtдоступа: доступа: доступа: доступа: доступа: доступа: доступа:

118. Режим доступа: Режим доступа: Режим доступа:

119. Протокол Common Intrusion Detection Framework Электронный ресурс. Режим доступа: http://gost.isi.edu/cidf

120. Аналитический центр Synergy Research Электронный ресурс. Режим доступа: http://www.srgresearch.com/store/index.asp

121. Сайт компании Cisco Systems Электронный ресурс. Режим доступа: http://www.cisco.com

122. Сайт компании Juniper Networks Электронный ресурс. Режим доступа: http://www.juniper.net

123. Сайт компании Internet Security System Электронный ресурс. Режим доступа: http://www.iss.net/

124. Сайт компании Symantec Электронный ресурс. Режим доступа: http://www.symantec.com/index.htm

125. Сайт компании Tipping Point Электронный ресурс. Режим доступа: http://www.tippingpoint.com

126. Сайт компании McAfee Электронный ресурс. Режим доступа: http://www.mcafee.com

127. Сайт компании Check Point Электронный ресурс. Режим доступа: http://www.checkpoint.com

128. Программа Snort Электронный ресурс. Режим http://www.snort.org

129. Программа Prelude Электронный ресурс. Режим http://www.prelude-ids.org

130. Программа Emerald Электронный ресурс. Режим http://www.csl.sri.com/projects/emerald

131. Программа PortSentry Электронный ресурс. Режим http://sourceforge.net/projects/sentrytools

132. Пакет MatLab Электронный ресурс. Режим http://www.mathworks.com

133. Доктрина информационной безопасности Российской Федерации Электронный ресурс. Режим доступа: http://www.rg.ru/oficial/doc/minandvedom/mimbezop/doctr.shtm

134. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" Электронный ресурс. Режим доступа: http://www.rg.ru/2006/07/29/informacia-dok.html

135. Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Электронный ресурс. Режим доступа: http://www.fstec.ru

136. Программа Shell Электронный ресурс. Режим доступа: http://www.gnu.org/software/bash

137. Язык программирования Perl Электронный ресурс. Режим доступа: http://www.perl.com

138. Операционная система FreeBSD Электронный ресурс. Режим доступа: http://www.freebsd.orgдоступа: доступа: доступа: доступа: доступа:

139. Афонцев Э.В. Поршнев С.В. Опыт построения методик обнаружения вирусной сетевой активности // Вестник УГТУ-УПИ. 50-летие радиотехнического образования на Урале. Серия радиотехническая. -Екатеринбург: ГОУ ВПО УГТУ-УПИ, 2004. № 20(50). С. 215-217.

140. Афонцев Э.В. Поршнев С.В. Применение спектральных методов анализа к задачам обнаружения аномальной сетевой активности в телекоммуникациях // Вестник науки Костанайского социально-технического университета. 2005. № 8. - С. 43-48.

141. Афонцев Э.В. Поршнев С.В. Статистические свойства Интернет-трафика // Научные труды IX конференции молодых ученых ГОУ ВПО УГТУ-УПИ: сборник статей. В 4 ч. Екатеринбург: ГОУ ВПО УГТУ-УПИ, 2006. Ч. 4. -С. 178-185.

142. Афонцев Э.В. Поршнев С.В. Технологии сбора информации о сетевой активности // Научные труды "Актуальные проблемы математики, механики, информатики". Пермь, 2006. - С. 204-205.

143. Афонцев Э.В. Поршнев С.В. Спектральные свойства аномального Интернет-трафика // Информационные технологии. 2006. №12.

144. Афонцев Э.В. Поршнев С.В. Вейвлет-анализ аномального Интернет-трафика // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". Екатеринбург, 2006. - С. 112-116.

145. Гольдштейн А.Б., Гольдштейн Б.С. Технология и протоколы MPLS. -СПб.: БХВ Санкт-Петербург, 2005.

146. Manikopoulos С., and Papavassiliou S. Network Intrusion and Fault Detection: a Statistical Anomaly Approach // IEEE Communications Magazine. -2002. Vol. 40. N 10. P. 76-82.

147. P. Barford, D. Plonka. Characteristics of network traffic flow anomalies // ACM SIGCOMM Internet Measurement Workshop. 2001.

148. Ye, N., Emran. S. M., Chen. Q., Vilbert S. Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection // IEEE Transactions on Computers. 2002. Vol. 51. N 7.

149. N. Ye, X. Li. Q. Chen, S. M. Emran, M. Xu. Probabilistic Techniques for Intrusion Detection Based on Computer Audit Data // IEEE Transactions on Systems, Man, and Cybernetics. 2001. Vol. 31. N 4. P. 266-274.

150. Bykova M. Ostermann S. Statistical analysis of malformed packets and their origins in the modern Internet // 2nd ACM SIGCOMM Workshop on Internet measurement. P. 83-88.

151. Hussein, J. Heidemann, C. Papadopoulus. A framework for classifying denial of service attacks // ACM SIGCOMM 2003. 2003.

152. P. Barford, J. Kline, D. Plonka, A. Ron. A Signal Analysis of Network Traffic Anomalies // ACM SIGCOMM Internet Measurement Workshop (IMW) . -2002.-P. 71-82.

153. С. Cheng, H. T. Kung, K. Tan. Use of spectral analysis in defense against DoS attacks // IEEE Globecom. 2002.

154. P. Huang, A. Feldmann, W. Willinger. A non-intrusive, wavelet-based approach to detecting network performance problems. 2001.

155. M. Kim, S. Lam, T. Kim, Y. Shin, E. J. Powers. Wavelet-based approach to detect shared congestion // ACM SIGCOMM Conference 2004. 2004.

156. S. Kim, A. L. N. Reddy, M. Vannucci. Detecting traffic anomalies using discrete wavelet transform // International Conference on Information Networking (ICOIN) 2004. 2004. Vol. 3090. - P. 951-961.

157. Программа HP Open View Электронный ресурс. Режим доступа: http://h20229.www2.hp.com

158. Программа IBM NetView Электронный ресурс. Режим доступа: http://www-306.ibm.com/software/tivoli/products/netview

159. Программа Sun Net Manager Электронный ресурс. Режим доступа: http://ceu.fi.udc.eS/docs/SunNetManager2.2.3/SunNetManager2.2.3UsersGui de.html

160. Программа Aprisma Электронный ресурс. Режим доступа: http://www.aprisma.com

161. Программа Cisco Works Электронный ресурс. Режим доступа: http://www.cisco.com

162. Дружинин Е.JT. Разработка методов и программных средств выявления аномальных состояний компьютерной сети: Диссертация на соискание ученой степени кандидата технических наук. М., 2005.

163. Программа "Касперский анти-хакер" Электронный ресурс. Режим доступа: http://www.kaspersky.ru

164. Сайт компании "Инфосистемы Джет" Электронный ресурс. Режим доступа: http://www.jetsoft.ru

165. Сайт компании "Элвис-плюс" Электронный ресурс. Режим доступа: http://www.elvis.ru

166. Сайт компании "Информзащита" Электронный ресурс. Режим доступа: http://www.infosec.ru

167. Березовский А.Н. Методы анализа аномального трафика подсетей корпоративной сети // Научные труды 13 конференции региональных образовательных сетей "Реларн 2006". 2006.

168. В.А. Нестеренко. Статистические методы обнаружения нарушений безопасности в сети // Информационные процессы. — 2006. том 6, N3. С. 208127.

169. Петровский М.И. Применение методов интеллектуального анализа данных в задачах выявления компьютерных вторжений // Научные труды Всероссийской научно-технической конференции "Методы и средства обработки информации МСО 2005". М., 2005.

170. Д.И. Морозов. Некоторые аспекты функциональности средств мониторинга и анализа крупных локальных сетей // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". Екатеринбург, 2003. - С. 48-50.

171. С.В. Горячев Компьютерные вирусы. Классификация и результаты воздействия // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". Екатеринбург, 2003.-С. 119-122.

172. Богданов В.В. Многоагентная система обнаружения компьютерных атак с учетом внешних и внутренних воздействий // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". — Екатеринбург, 2005. С. 45—46.

173. Морозов Д.И. Алгоритм детектирования аномальной сетевой активности узлов Ethernet-сегмента // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". -Екатеринбург, 2005. С. 78-80.

174. Улейко Е.В. Синадский Н.И. Модуль системы обнаружения предупреждения локальных и сетевых атак // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". Екатеринбург, 2006. - С. 103.

175. Богданов В.В. Многоагентная система мониторинга и корреляции событий компьютерной сети // Научные труды Международной научно-практической конференции "Безопасность информационного пространства". -Екатеринбург, 2006. С. 109.

176. Сайт компании ЗАО "РНТ" http://www.rnt.ru

177. Сайт компании ЗАО "НПП СТЗИ" Электронный ресурс. Режим доступа: http://www.stzi-security.ru

178. Обзор сетевых атак Электронный ресурс. Режим доступа: http://book.itep.ru/6/intrusion.htm

179. Сайт организации SANS Электронный ресурс. Режим доступа: http://www.sans.org

180. Сайт организации NIST Электронный ресурс. Режим доступа: http://csrc.nist.gov

181. Сайт организации CERIAS Электронный ресурс. Режим доступа: http://www.cerias.purdue.edu

182. Сайт организации USCERT Электронный ресурс. Режим доступа: http://www.us-cert.gov

183. Сайт организации NANOG Электронный ресурс. Режим доступа: http://www.nanog.org

184. Сайт организации RIPE Электронный ресурс. Режим доступа: http://www.ripe.net

185. Сайт организации APNIC Электронный ресурс. Режим доступа: http://www.apnic.net

186. Сайт организации ARIN Электронный ресурс. Режим доступа: http://www.arin.net/index.shtml

187. Сайт программы NIDES Электронный ресурс. Режим доступа: http://www.sdl.sri.com/projects/nides

188. Mahoney М., Р. К. Chan. PHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic // Florida Technical report 2001-04. 2001.

189. D.Y. Yeung, C. Chow. Parzen window network intrusion detectors // Proc. International Conference on Pattern Recognition. 2002.

190. S. Kim, S. Peker, B. Chan. Detecting hackers (analyzing network traffic) by poisson model measure // Eighth PIMS-MITACS Industrial Problem Solving Workshop. 2004.

191. Hyun Joo Kim, Jung C. Na, Jong S. Jang. Network Traffic Anomaly Detection based on Ratio and Volume Analysis // IJCSNS International Journal of Computer Science and Network Security. 2006. Vol. 6. N 5.

192. Kwitt R. A Statistical Anomaly Detection Approach for Detecting Network Attacks // Univ. of Applied Sciences and Technologies Salzburg 14th December 2004 6QM Workshop. 2004.

193. Anukool L., Mark C., Diot C. Characterization of Network-Wide Anomalies in Traffic Flows // BUCS-TR-2004-020. 2004.

194. Li J., Manikopoulos C. Early Statistical Anomaly Intrusion Detection of DOS Attacks Using MIB Traffic Parameters // Proceedings of the 2003 IEEE Workshop on Information Assurance United States Military Academy. — 2003.

195. L. Feinstein, D. Schnackenberg, R. Balupari, D. Kindred. Statistical Approaches to DDoS Attack Detection and Response // DARPA Information Survivability Conference and Exposition (DISCEX). 2003.

196. H. S. Javitz, A. Valdes. The NIDES statistical component: description and justification // Tech. Report Computer Science Lab. 1994.

197. D. Marchette. A statistical method for profiling network traffic // In Proceedings of the Workshop on Intrusion Detection and Network Monitoring. -1999.

198. A. Valdes, K. Skinner. Adaptive, model-based monitoring for cyber attack detection // In Proceedings of the 3rd International Workshop on Recent Advances in Intrusion Detection. 2000.

199. Anderson D. Detecting unusual program behavior using the statistical component of the Next-generation Intrusion Detection Expert System (NIDES) // Computer Science Laboratory SRI-CSL 95-06. 1995.

200. Cabrera J., Ravichandran В., Mehra R. Statistical Traffic Modeling For Network Intrusion Detection // Proceedings of the 8th International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems. -2000.

201. A. Lakhina, M. Crovella. Mining Anomalies Using Traffic Feature Distributions // SIGCOMM'05. 2005.

202. A. Valdes, D. Anderson, Statistical Methods for Computer Usage Anomaly Detection Using NIDES // Technical report SRI International. — 1995.

203. Haining Wang Danlu Zhang Kang G. Shin. Change-Point Monitoring for Detection of DoS Attacks // Department of Electrical Engineering and Computer Science, the University of Michigan report 48109-2122.

204. Siris V.A., Papagalou F. Application of anomaly detection algorithms for detecting SYN flooding attacks // Global Telecommunications Conference GLOBECOM '04 IEEE. 2004. Vol. 4.

205. Hellinton H. Takada, Ulrich Hofmann. Application and Analyses of Cumulative Sum to Detect Highly Distributed Denial of Service Attacks using Different Attack Traffic Patterns // EC 1ST INTERMON.

206. Yongro Park. A statistical process control approach for network intrusion detection : A Dissertation Presented to

207. The Academic Faculty for the Degree Doctor of Philosophy in the School of Indus trial and Systems Engineering Georgia Institute of Technology. 2005.

208. H. Wang, D. Zhang, K. G. Shin. Detecting SYN flooding attacks // In Proc. of IEEE INFOCOM'02. 2002.

209. M. Thottan, C. Ji. Adaptive thresholding for proactive problem detection // In Proc. of IEEE Int'l Workshop on Syst. Manag. 1998.

210. Masaki Ishiguro, Hironobu Suzuki, Ichiro Murase, Hiroyuki. Internet Threat Detection System Using Bayesian Estimation // Mitsubishi Research Institute. -2004.

211. Barbara, D., Wu N., Jajodia S. Detecting novel network intrusions using bayes estimators // In First SIAM Conference on Data Mining. 2001.

212. Gu Y., Mccallum A., Towsley D. Detecting anomalies in network traffic using maximum entropy // Tech. rep. Department of Computer Science UMASS. -2005.

213. A. Wagner, B. Plattner. Entropy Based Worm and Anomaly Detection in Fast IP Networks // In Proceedings of IEEE International Workshop on Enabling Technologies. 2005.

214. A. Lakhina, M. Crovella, C. Diot. Mining anomalies using trafficc feature distributions // In Proceedings of ACM SIGCOMM. 2005.

215. L. Feinstein, D. Schnackenberg, R. Balupari, D. Kindred. Statistical approaches to DDoS attack detection and response // In Proceedings of the DARPA Information Survivability Conference and Exposition. 2003.

216. Gu Y., Mccallum A., Towsley D. Detecting anomalies in network traffic using maximum entropy // Tech. rep. Department of Computer Science UMASS. -2005.

217. Ashwin Lall, Vyas Sekar, Mitsunori Ogihara, Jun (Jim) Xu, Hui Zhang. Data Streaming Algorithms for Estimating Entropy of Network Traffic //SIGMETRICS Performance'06. 2006.

218. Khaled Labib, V. Rao Vemuri. Detecting and Visualizing Denial of Service And Network Probe Attacks Using Principal Component Analysis // SAR'04 the 3rd Conference on Security and Network Architectures. 2004.

219. Khaled Labib, V. Rao Vemuri. An Application of Principal Component Analysis to the Detection and Visualization of Computer Network Attacks // Annals of Telecommunications. 2005.

220. Huang Ling Nguyen, XuanLong Garofalakis, Minos Jordan, Michael Joseph, Anthony D Taft. Distributed PCA and Network Anomaly Detection // EECS-2006-99.-2006.

221. A. Lakhina, M. Crovella, C. Diot. Characterization of Network-Wide Anomalies in Traffic Flows // SIGCOMM Internet Measurement Conference. 2004.

222. Arshad Ali, Modood Ahmad Khan, S. Azam H. Bukhari, Waqar Mahmood. ADAM: A Practical Approach for Detecting Network Anomalies Using PCA // National Conference on Emerging Technologies. 2004.

223. Anukool Lakhina, Konstantina Papagiannaki, Mark Crovella, Christophe Diot, Eric D. Kolaczyk, Nina Taft. Structural Analysis of Network Traffic Flows // SIGMETRICS/Performance'04. 2004.

224. W. Wang, R. Battiti. Identifying intrusions in computer networks with principal component analysis // In The First International Conference on Availability,Reliability and Security. 2006. - P. 270 - 279.

225. Shyu M.L., Chen S.C., Sarinnapakorn K., Chang L.W. A novel anomaly detection scheme based on principal component classifier // In Proceedings of the IEEE Foundations and New Directions of Data Mining Workshop. 2003.

226. Chan P.K., Mahoney M., Arshad M.H. Learning Rules and Clusters for Anomaly Detection in Network Traffic // Managing Cyber Threats: Issues, Approaches and Challenges. 2003.

227. Portnoy L., Eskin E., Stolfo S. Intrusion detection with unlabeled data using clustering // In Proceedings of ACM CSS Workshop on Data Mining Applied to Security (DMSA-2001). 2001.

228. Art M., Rich C. Cluster Ensembles for Network Anomaly Detection // 1st North East Student Colloquium on Artificial Intelligence (NESCAI). 2006.

229. Khaled Labib, V. Rao Vemuri. A Hardware-Based Clustering Approach for Anomaly Detection // International Journal of Network Security. 2005.

230. Shi Zhong, Taghi M. Khoshgoftaar, Naeem Seliya. Evaluating Clustering Techniques for Unsupervised Network Intrusion Detection // International Journal of Reliability, Quality, and Safety Engineering. 2005.

231. Shi Zhong, Taghi M. Khoshgoftaar, Naeem Seliya. Evaluating Clustering Techniques for Network Intrusion Detection // In 10th ISSAT Int. Conf. on Reliability and Quality Design. 2004.

232. L. Portnoy. Intrusion detection with unlabelled data using clustering : Undergraduate Thesis. Columbia University, Dept. of Computer Science. 2000.

233. Cuppens F., Miege A. Alert correlation in a cooperative intrusion detection framework // In Proceedings of the 2002 IEEE Symposium on Security and Privacy. 2002.

234. Abad C., Taylor J., Sengul C., Zhou Y., Yurcik W., Rowe K. Log correlation for intrusion detection: A proof of concept // In Proceedings of the 19th Annual Computer Security Applications Conference. 2003.

235. C.Kruegel, C.Kerer. Decentralized event correlation for intrusion detection // International Conference on Information Security and Cryptology (ICISC). 2001.

236. Joshua McNutt, Markus De Shon. Correlations between quiescent ports in network flows // CERT Network Situational Awareness Group Carnegie Mellon University.

237. S. Jin, D. Yeung. А со variance analysis model for ddos attack detection.

238. Bruno Bogaz Zarpelao, Leonardo de Souza Mendes, Mario Lemes Proenfa Jr. Graph-based Correlation of SNMP Objects for Anomaly Detection // IJCSNS International Journal of Computer Science and Network Security. 2006. Vol. 6. N 5.

239. Kun-Chan Lan John Heidemann. A measurement study of correlations of Internet flow characteristics // Computer Networks: The International Journal of Computer and Telecommunications Networking. 2006. Vol. 50.

240. C. Zou, W. Gong, D. Fellow. The monitoring and early detection of internet worms // IEEE ACM transactions on networking. 2005. Vol. 13. N 5.

241. X. Qin, D. Dagon,G. Gu, W. Lee. Worm detection using local networks // Technical report College of Computing Georgia Tech. — 2004.

242. Augustin Soule, Kav'e Salamatian, Nina Taft. Combining Filtering and Statistical Methods for Anomaly Detection // USENIX Association Internet Measurement Conference. 2005.

243. Xinming He, Christos Papadopoulos, John Heidemann, Urbashi Mitra, Usman Riaz, Alefiya Hussain. Spectral Analysis of Bottleneck Traffic // USCCS technical report 1.

244. Alefiya Hussain, John Heidemann, and Christos Papadopoulos. A Framework for Classifying Denial of Service Attacks-extended // Technical Report ISI-TR-2003-569b USC/Information Sciences Institute. 2003.

245. C.M. Cheng, H. Kung, K.S. Tan. Use of spectral analysis in defense against DoS attacks // In Proceedings of the IEEE Globecom. 2002.

246. Y. Chen, K. Hwang, Y. Kwok. Collaborative Defense against Periodic Shrew DDoS Attacks in Frequency Domain // ACM Transactions on Information and System Security (TISSEC). 2005.

247. Xinming He, Christos Papadopoulos, John Heidemann, Urbashi Mitra, Usman Riaz, Alefiya Hussain. Spectral Analysis of Bottleneck Traffic // Technical

248. Report USC-CSD-TR-05-854 University of Southern California Computer Science Department. 2005.

249. Hussain A. Measurement and Spectral Analysis of Denial of Service Attacks : PhD thesis. 2005.

250. P. Huang, A. Feldmann, W. Willinger. A non-intrusive, wavelet-based approach to detecting network performance problems // Proc. of Internet Measurement Workshop. 2001.

251. Sachin Thareja. A Real Time Network Traffic Wavelet Analysis Implementation and Evaluation : Bachelor of Engineering Ambedkar University.2003.

252. M. S. Kim, T. Kim, Y. Shin, S. S. Lam, E. J. Powers. A Wavelet-Based Approach to Detect Shared Congestion // in Proceedings of the ACM SIGCOMM'2004. 2004.

253. Seong Soo Kim. Real-time analysis of aggregate network traffic for anomaly detection : Submitted for the degree of doctor of philosophy. 2005.

254. R. Carcia, M. Sadiku, J. Cannady. WAID: Wavelet analysis Intrusion Detection // IEEE letters. 2002.

255. Mark Crovella, Eric Kolaczyk. Graph Wavelets for Spatial Traffic Analysis // IEEE INFOCOM 2003. 2003.

256. D. KWON. Wavelet methods and statistical applications: network security and bioinformatics : A Dissertation Submitted in partial fulfillment of the requirements for the degree of doctor fo philosophy. 2005.

257. L. Li, G. Lee. DDoS attack detection and wavelets // In International Conference on computer communications and networks. 2003.

258. J. Yuan, K. Mills. DDoS attack detection and wavelets // Technical report National Institute of Standards and Technology. 2004.

259. Z. Zhang, C. Manikopoulos, J. Jorgenson, J. Ucles. Comparision of wavelet compression algorithms in network intrusion detection // World Scientific. 2001. N 6.

260. Alexessander da Silva Couto Alves. Internet Traffic Engineering An Artificial Intelligence Approach : Dissertation. 2004.

261. N. K. Groschwitz, G. C. Polyzos. A Time Series Model of Long-Term NSFNET Backbone Traffic // In IEEE ICC'94. 1994.

262. K. Papagiannaki. Provisioning IP backbone networks based on mrasurement: Dissertation for the degree of doctor of philosophy. — 2003.

263. A. Plessis. Network traffic modeling with application to Ethernet traffic : dissertation submitted in fulfilment of the requirements for the degree magister in electronic engineering. 2003.

264. M. Roughan, T. Griffin, M. Mao, A. Greenberg, B. Freeman. Combining routing and traffic data for detection of IP forwarding anomalies // Sigmetrics 2004.2004.

265. И. Енюков, И. Ретинская, А. Скуратов. Статистический анализ и мониторинг научно-образовательных Интернет-сетей. — М.: Финансы и статистика, 2004.

266. Brutlag J. D. Aberrant behavior detection in time series for network service monitoring // In Proceeding of the 14th Systems Administration Conference. 2000. -P. 139-146.

267. S. Basu, A. Mukherjee. Time Series Models for Internet Traffic // In 24th Conf. on Local Computer Networks. 1999. - P. 164-171.

268. William H. Allen, Gerald A. Marin. On the Self-similarity of Synthetic Traffic for the Evaluation of Intrusion Detection Systems // 2003 Symposium on Applications and the Internet (SAINT'03). 2003. - P. 242.

269. Vladimir Gudkov, Joseph E. Johnson. Multidimensional Network Monitoring for Intrusion Detection // International Conference on Complex Systems. -2002.

270. Baldi M., Baralis E., Risso F. Data mining techniques for effective and scalable traffic analysis // Integrated Network Management 2005 9th IFIP/IEEE International Symposium. -2005.

271. Lee W., Stolfo S. Data mining approaches for intrusion detection // In Proc. of the 7th USENIX Security Symp. 1998.

272. Lee W. A Data Mining Framework for Constructing Features and Models for Intrusion Detection Systems : PhD thesis, Computer Science Department, Columbia University. 1999.

273. Akira Kanaoka, Eiji Okamoto. Multivariate Statistical Analysis of Network Traffic for Intrusion Detection // 14th International Workshop on Database and Expert Systems Applications (DEXA'03). 2003.

274. Barbara D., Couto J., Jajodia S., Popyack L., Wu N. ADAM: Detecting Intrusions by Data Mining // In Proceedings of the IEEE Workshop on Information Assurance and Security. 2001.

275. Arnold A., Eskin E., Prerau M., Portnoy L., Stolfo S.A. Geometric Framework for Unsupervised Anomaly Detection: Detecting Intrusions in Unlabeled Data // Applications of Data Mining in Computer Security. 2002. - P. 272.

276. Mikhail Petrovskiy. Fuzzy Kernel-based Method for Real-time Network Intrusion Detection // Springer-Verlag LNCS. 2003. Vol. 2877. - P. 189-200.

277. Bala J., Baik S., Hadjarian Al, Gogia В., Manthome C. Application of a Distributed Data Mining Approach to Network Intrusion Detection // In Proceedings of the First International Joint Conference on AutonomousAgents and Multiagent Systems. 2002.

278. Hu, Y., Panda B. A Data Mining Approach for Database Intrusion Detection // In Proceedings of the 2004 ACM Symposium on Applied Computing. -2004.

279. Tamas Abraha. IDDM: Intrusion Detection using Data Mining Techniques // DSTO Electronics and Surveillance Research Laboratory.

280. Min Qin, Kai Hwang. Anomaly Intrusion Detection by Internet Datamining of Traffic Episodes // ACM Transactions on Information and System Security (TISSec). —2004.

281. L. Ertz, E. Eilertson, A. Lazarevic, P.-N. Tan, V. Kumar, J. Srivastava, P. Dokas. The MINDS Minnesota Intrusion Detection System // MIT Press Next Generation Data Mining.

282. Shrijit S. Joshi, Vir V. Phoha. Investigating Hidden Markov Models Capabilities in Anomaly Detection I 143rd ACM Southeast Conference. 2005.

283. Д.Э. Джонсон. Сети, моноиды Маркова и обобщенная энтропия // материалы Международного семинара «Математические модели, методы и архитектуры для защиты компьютерных сетей» (MMM-ACNS-2005). СПб., 2005.

284. Y. Qiao, X.W. Xin, Y. Bin, S. Ge. Anomaly Intrusion Detection Method Based on HMM // Electronics Letters. 2002. N 38(13). - P. 663-664.

285. A. H. Sung, S. Mukkamala. Identifying important features for intrusion detection using support vector machines and neural networks // In 2003 Symposium on Applications and the Internet. IEEE Computer Society Press, 2003. - P. 209216.

286. Mukkamala, S., A. H. Sung, A. Abraham. Identifying key variables for intrusion detection using soft computing Электронный ресурс. Режим доступа: http://citeseer.nj.nec.com/544845.html

287. Sandeep Kumar, Eugene H. Spafford. A pattern matching model for misuse intrusion detection // In Proceedings of the 17th National Computer Security Conference. 1994.

288. Tao Peng, Wanli Zuo. Data Mining for Network Intrusion Detection System in Real Time // IJCSNS International Journal of Computer Science and Network Security. 2006. Vol. 6. No.2B.

289. Shah H., Undercoffer J., Joshi A., Fuzzy Clustering for Intrusion Detection // FUZZ-IEEE. 2003.

290. S.M. Bridges, Rayford M. Vaughn. Fuzzy data mining and genetic algorithms applied to intrusion detection // In Proceedings 23 rd National Information Systems Security Conference, Baltimore. 2000. - P. 13-31.

291. John E. Dickerson, Julie A. Dickerson. Fuzzy Network Profiling for Intrusion Detection // Iowa State University. 2001.

292. M. Mohajerani, A. Moeini, M. Kianie. NFIDS: A Neuro-fiizzy Intrusion Detection System // Proceedings of the 10th IEEE International Conference on Electronics, Circuits and Systems. 2003. - P. 348-351.

293. H. Shah, J. Undercoffer, A. Joshi. Fuzzy Clustering for Intrusion Detection // The 12th IEEE International Conference on Fuzzy Systems. 2003. Vol. 2. - P. 1274-1278.

294. S.M. Bridges, R.B. Vaughn. Intrusion Detection via Fuzzy Data Mining // Proceedings: 12th Annual Canadian Information Technology Security Symposium. -2000.-P. 111-121.

295. J. Luo. Integration Fuzzy Logic with Data Mining Methods for Intrusion Detection : Masters Thesis, Mississippi State University. 1999.

296. Власов Л.И., Колосков C.B., Пякилев A.E. Нейросетевые методы и средства обнаружения атак на сетевом уровне // Сб. науч. тр. VII

297. Всероссийской научно-технической конференции нейроинформатика-2005". -М., 2005.-С. 30-39.

298. Райх В.В., Синица И.Н., Шарашкин С.М. Макет системы выявления атак на основе обнаружений аномалий сетевого трафика // труды Второй Всероссийской научной конференции " Методы и средства ". МГУ, 2005.

299. Gerald Tesauro, Jeffrey O. Kephart, Gregory B. Sorkin. Neural Networks for Computer Virus Recognition // IEEE Expert. 1996. N 11 (4).

300. S. T. Sarasamma, Q. A. Zhu, J. Huff. Hierarchical kohonenen net for anomaly detection in network security // IEEE Transactions on Systems, Man and Cybernetics. -2005. Vol. 35. N 2. P. 302-312.

301. Didaci, L., G. Giacinto, F. Roli. Ensemble learning for intrusion detection in computer networks Электронный ресурс. Режим доступа : http://citeseer.nj.nec.com/533620.html

302. Joan Petur Petersen, Forensic examination of log files // M.Sc. Thesis IMM-THESIS-2005-2, Informatics and Mathematical Modelling Technical University of Denmark. — 2005.

303. Khaled Labib, V. Rao Vemuri. NSOM: A Real-time Network-Based Intrusion Detection System Using Self-Organizing Maps // Networks and Security. -2002.

304. Mitrokotsa A. Douligeris C. Detecting denial of service attacks using emergent self-organizing maps // Fifth IEEE International Symposium Signal Processing and Information Technology. 2005.

305. Rhodes В., Mahaffey J., Cannady J., Multiple Self-Organizing Maps for Intrusion Detection // Proceedings of the NISSC 2000 conference. 2000.

306. M. Ramadas, S. Ostermann, B. Tjaden. Detecting anomalous network traffic with self-organizing maps // In 6th International Symposium on Recent Advances in Intrusion Detection. 2003. - P. 36-54.

307. D. Bolzoni, E. Zambon, S. Etalle, P. Hartel. POSEIDON: a 2-tier Anomaly-based Network Intrusion Detection System // In IWIA '06: Proc. 4th IEEE International Workshop on Information Assurance. -2006. P. 144-156.

308. Zanero S. Improving self organizing map performance for network intrusion detection // In SDM 2005 Workshop on "Clustering High Dimensional Data and its Applications". 2005.

309. W. Li. Using genetic algorithm for network intrusion detection Электронный ресурс. Режим доступа:http://www.security.cse.msstate.edu/docs/Publications/wli/DOECSG2004.pdf

310. Neri F. Comparing local search with respect to genetic evolution to detect intrusion in computer networks // In Proc. of the 2000 Congress on Evolutionary Computation CEC00. 2002. - P. 238-243.

311. Neri F. Mining TCP/IP traffic for network intrusion detection // In R. L. de M'antaras and E. Plaza (Eds.) Proc. of Machine Learning: ECML 2000, 11th European Conference on Machine Learning. 2000. - P. 313-322.

312. Sinclair, C., L. Pierce, S. Matzner. An application of machine learning to network intrusion detection // In Proc. 15th Annual Computer Security Applications Conference (ACSAC '99). 1999. - P. 371-377.

313. Jeffrey O. Kephart. A biologically inspired immune system for computers // In Artificial Life IV: Proc. Fourth Int'l Workshop on the Synthesis and Simulation of Living Systems.

314. C. Warrender, S. Forrest, B. Pearlmutter. Detecting Intrusions Using System Calls: Alternative Data Models // Proceedings of 1999 IEEE Symposium on 126 Research in Security and Privacy. 1999. - P. 133-145.

315. Kim, J. Bentley, P. The Human Immune System and Network Intrusion Detection // Submitted to EUFIT'99. 1999.

316. Jungwon Kim, Peter Bentley. The Artificial Immune Model for Network Intrusion Detection // 7th Euro. Conf. on Intelligent Techniques and Soft Computing (EUFIT'99).-1999.

317. Hofmeyr S. A. Forrest S. Immunizing computer networks: Getting all the machines in your network to fight the hacker disease // In Proc. of the 1999 IEEE Symp. on Security and Privacy. 1999.

318. Justin Balthrop, Stephanie Forrest, Matthew Glickman. Revisting LISYS: Parameters and Normal Behavior // Proc. 2002 Congress on Evolutionary Computation. 2002.

319. Paul Williams, Kevin Anchor, John Bebo, Gregg Gunsch, Gary Lamont. CDIS: Towards a Computer Immune System for Detecting Network Intrusions // Proc. 4th Int'l Symp., Recent Advances in Intrusion Detection 2001. 2001.

320. Yan Qiao. AINIDS—An Immune-Based Network Intrusion Detection System // Proc. SPIE. 2006. - Vol. 6241.