автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему:Разработка методов и программных средств выявления аномальных состояний компьютерной сети

На правах рукописи

Дружинин Евгений Леонидович

РАЗРАБОТКА МЕТОДОВ И ПРОГРАММНЫХ СРЕДСТВ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ

Специальности: 05.13.13 - телекоммуникационные системы и компьютерные сети

05.13.11 - математическое обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Автор:

Москва - 2005

Работа выполнена в Московском инженерно - физическом институте (государственном университете)

Научный руководитель

доктор технических наук, профессор Чернышев Юрий Александрович

Официальные оппоненты:

доктор технических наук, профессор Домрачев Вилен Григорьевич, кандидат технических наук Левятов Илья Давыдович

Ведущая организация ФГУП "Концерн "Системпром"

Защита состоится « 1 » июня 2005 г. в 15 ч. 30 мин. на заседании диссертационного совета Д 212.130.03 в МИФИ адресу: 115409, г.Москва, Каширское шоссе, д.31.

С диссертацией можно ознакомиться в библиотеке МИФИ. Автореферат разослан 2005 г.

Отзывы в двух экземплярах, заверенные печатью организации, просим отправлять по адресу: 115409, Москва, Каширское шоссе, д.31.

Ученый секретарь диссертационного совета д.т.н., профессор

Вольфенгаген В.Э.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Сложность логической и физической организации современных компьютерных сетей приводит к объективным трудностям при решении вопросов управления и защиты.

При решении задач, связанных с диагностикой и защитой сетевых ресурсов, центральным вопросом является оперативное обнаружение состояний сети (аномалий), приводящих к потере полной или частичной ее работоспособности, уничтожению, искажению или утечке информации, являющихся следствием отказов, сбоев, получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности. Раннее обнаружение таких состояний позволит своевременно устранить их причину, а также предотвратит возможные катастрофические последствия.

Существующие системы диагностики и защиты не могут полностью предотвратить возможность появления аномалий, а также гарантировать их обнаружение и блокирование. Это вызвано объективными причинами, обусловленными несовершенством методов и алгоритмов, используемых в современных аппаратных и программных системах. Так, методы анализа, используемые в современных системах, направлены на обнаружение известных и точно описанных типов воздействий, но зачастую оказываются не в состоянии обнаружить их модификации или новые типы, что делает их использование малоэффективным.

Таким образом, на сегодняшний день крайне актуальной проблемой является поиск более эффективных методов выявления недопустимых событий (аномалий) в работе сети, являющихся следствием технических сбоев или несанкционированных воздействий.

Это направление научных исследований является очень молодым. Первые работы, посвященные данной проблеме, были опубликованы в 90-х годах прошлого столетия.

В настоящий момент исследования в этой области ведутся как крупными зарубежными коммерческими компаниями (Cisco, Computer Associates, ISS, Symantec и др.), так и университетскими научно- исследовательскими центрами (Columbia University, Florida Institute of Technology, Purdue University, Ohio University и др.). К сожалению, в свободном доступе представлено очень мало информации по аналогичным российским исследованиям.

Общий подход, лежащий в основе этих исследований и реализованный в данной работе, заключается в выявлении аномальных состояний информационных ресурсов в виде отклонений от обычного («нормального») состояния. Отклонения могут являться результатами сбоев в работе аппаратного и программного обеспечения, а также следствиями сетевых атак хакеров. Такой подход позволяет обнаруживать как известные, так и новые типы проблем. От эффективности и точности аппарата, определяющего «нормальное» состояние и фиксирующего отклонение, зависит в целом эффективность решения вопросов диагностики и защиты сетевых ресурсов.

Особую важность на текущий момент представляет проблема обнаружения аномальных состояний в работе сети, имеющих распределенный во времени характер (АРВ). АРВ могут являться следствиями: специально маскируемых сетевых атак злоумышленников, скрытых аппаратно-программных сбоев, новых вирусов и т.п.

Цели работы. Целью работы является разработка методики выявления аномальных состояний компьютерной сети на основе анализа сетевого трафика и создание программной системы, реализующей предложенную методику.

Основные направления работы сводятся к решению следующих задач:

• Разработка принципов структуризации сетевого трафика;

• Выбор объекта анализа, обоснование выбора;

• Разработка принципов и механизмов формирования характеристик объекта анализа;

• Исследование статистических свойств сетевых потоков, характеризующих поведение объекта анализа на сетевом и транспортном уровнях TCP/IP, выявление закономерностей в их поведении и степени влияния на них специально эмулируемых аномалий;

• Разработка математической модели объекта анализа, позволяющей задать шаблон его «нормального» поведения;

• Разработка системы принятия решений, позволяющей фиксировать переход объекта анализа в аномальное состояние (по степени отклонения от шаблона «нормального» поведения) и корректировать собственные параметры при объективно «нор-

мальных» изменениях в сетевой среде (свойство адаптивности);

• Разработка принципов использования математической модели объекта анализа и системы принятия решений для выявления сетевых аномалий;

• Разработка архитектуры программной системы, реализующей предложенную методику;

• Создание прототипа системы.

Методы исследований. В теоретических исследованиях применены современные методы теории вероятностей, математической статистики, кластерный анализ.

При разработке программной системы использовались методы объектно-ориентированного проектирования и программирования.

Достоверность научных результатов. Достоверность научных результатов подтверждена результатами статистических исследований реального сетевого трафика, а также результатами внедрения и практического использования в действующих компьютерных сетях. Научная новизна диссертации заключается в следующем:

1) Впервые предложена методика решения важной научно-технической задачи выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Создана новая математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Предложена система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Получены сравнительные результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений;

5) Разработаны и обоснованы методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Предложена распределенная архитектура программной системы, автоматизирующая методику выявления АРВ;

7) Разработаны и реализованы алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами программной системы. Создан ее прототип. Положения, выносимые на защиту:

1) Методика выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений.

5) Методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Архитектура распределенной программной системы, автоматизирующая методику выявления АРВ;

7) Алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами системы. Практическая ценность. Основной практический результат: создание научно - обоснованной методики выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер.

Разработаны и внедрены алгоритмы структуризации сетевого трафика и формирования интегральных показателей функционирования сетевого устройства.

Разработаны и внедрены алгоритмы визуализации истории сетевых взаимодействий.

Разработаны и внедрены алгоритмы решающих правил для оценивания степени аномальности поведения сетевого устройства на временных интервалах различной длительности.

Предложенные методы могут быть использованы при построении систем, предназначенных для выявления аномальных состояний компьютерных сетей.

Реализация результатов. Разработанная в ходе диссертационных исследований программная система внедрена в сети МИФИ, а также в:

• Компьютерной сети представительства коммерческой компании «Beauty&Co»;

• Компьютерной сети представительства коммерческой компании «Aria».

Практическое использование результатов диссертации подтверждено 3 актами о внедрении.

Апробация работы. Основные положения и результаты диссертации докладывались и обсуждались:

• На научных сессиях МИФИ 2001 -2004 гг.;

• На XI-ом и ХИ-ом Международных научно-технических семинарах «Современные технологии в задачах управления, автоматики и обработки информации» (г. Алушта 2002, 2003);

• Работа участвовала в конкурсе молодых ученых «Ползуновские гранты'2002» и стала ее лауреатом. В результате был получен грант на проведение исследовательских работ от Фонда поддержки развитию малых форм предприятий в научно-технической сфере;

• На ХШ-ой ежегодной конференции «Техникон'2003» (г.Москва, 2003г.);

• В начале 2004 года данная работа в виде проекта по созданию «Системы Аудита Вычислительной Сети» прошла конкурсный отбор по программе «СТАРТ», проводимой Фондом поддержки развитию малых форм предприятий в научно-технической сфере для поддержки малых предприятий, занимающихся наукоемкими разработками. Для ее реализации в виде инновационного коммерческого программного продукта были выделены финансовые средства. В настоящий момент продолжается реализация и доведение до совершенства всех предложенных в работе идей в рамках этой программы.

Публикации. По теме диссертации опубликовано 13 печатных работ.

Структура и объем работы. Диссертация состоит из списка используемых сокращений, введения, четырех глав, заключения, библиографии из 117 наименований и восьми приложений. Объем диссертации 164 страницы (без приложений) с рисунками и таблицами.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ Во введении показана актуальность темы диссертации, определены цели и задачи проведенных исследований, раскрывается научная новизна и практическая значимость полученных результатов, приведены сведения об апробации и внедрении результатов работы.

Первая глава посвящена анализу современного состояния решения проблемы выявления аномальных состояний компьютерных сетей, которые могут являться следствием отказов, сбоев аппаратного и программного обеспечения, получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности.

Предлагается классификация наиболее распространенных сетевых аномалий. Особое внимание уделяется классификации аномалий, распределенных во времени.

Вводится следующее определение аномалии, распределенной во времени: аномалией, распределенной во времени (АРВ), будем называть состояние объекта, не соответствующее «нормальному» и проявляющееся на протяжении некоторого интервала времени. Приводится анализ наиболее типичных АРВ и их влияние на значения характеристик сетевого трафика.

На сегодняшний день известно два подхода, которые могут быть положены в основу методики обнаружения АРВ на основе анализа сетевого трафика:

1) Обнаружение злоупотреблений, что подразумевает обнаружение известных типов сетевых проблем;

2) Обнаружение аномалий. В рамках данного подхода наличие сетевых проблем определяется по отклонению состояния исследуемого объекта от обычного («нормального») состояния.

Первый подход имеет серьезные ограничения. Он не позволяет обнаруживать новые виды и модификации аномальных состояний. Кроме того, реализующие его системы имеют высокий уровень ложных ера-

батываний. Несмотря на эти ограничения, он нашел свое применение во многих коммерческих системах, поскольку достаточно прост в реализации.

Второй подход потенциально позволяет обнаруживать новые типы аномальных состояний. Поэтому, он был положен в основу создаваемой методики.

На сегодняшний день не существует эффективных и законченных методик (на основе принципа обнаружения аномалий) и реализующих их систем. Это объясняется трудностями, возникающими у исследователей при попытках четкого описания «нормальных» состояний анализируемых объектов. Данные выводы следуют из анализа существующих методов обнаружения, результаты которого приводятся в первой главе.

Проведенный анализ был направлен на изучение методов обнаружения, реализованных в современных коммерческих системах, а также результатов исследований, проводимых в зарубежных университетских научных лабораториях. Он позволил выявить следующие общие недостатки:

• Отсутствуют результаты исследований, направленные на выявление распределенных во времени аномалий;

• У исследователей отсутствует единое представления об объекте анализа и характеризующих его параметрах, необходимых для выявления аномалий;

• Многие предлагаемые методы не имеют четких математических обоснований и позволяют обнаруживать только ограниченные типы аномалий;

• Многие результаты не имеют экспериментальных подтверждений, а некоторые основаны на анализе данных, предоставленных сторонними лицами, чья достоверность и полнота вызывает сомнения. Исходя из выявленных объективных сложностей, возникающих

при решении данной задачи, а также явной необходимости создания эффективного инструмента обнаружения АРВ для сетевого администратора, сформулированы основные требования к создаваемой методике и ее программной реализации. Требования разделены на три группы: требования к методу выявления АРВ, технической реализации методики в виде программной системы и пользовательские требования к программной системе. Показана значимость требований.

Во второй главе рассматривается методика выявления АРВ на основе анализа сетевого трафика.

Методика реализует принцип построения шаблона «нормального» поведения сетевого устройства и выявления отклонений от него. Обнаруженное отклонение принимается за аномалию.

Под сетевым устройством (СУ) понимается сетевой объект, имеющий логический адрес (№).

Изложение предложенной методики включает в себя следующие аспекты:

• Схему обработки сетевого трафика с целью выявления АРВ;

• Обоснование выбора в качестве объекта анализа сетевого устройства и описание его характеристик;

• Модель сетевого устройства, описывающая его функционирование по протоколам TCP, UDP, ICMP;

• Метод структуризации сетевого трафика, позволяющий восстанавливать в дальнейшем по структурированной информации историю сетевых взаимодействий и получать значения характеристик сетевых устройств для последующего анализа;

• Принципы формирования и модификации шаблонов «нормального» поведения объектов анализа;

• Описание последовательностей шагов процесса анализа, осуществляемого в реальном масштабе времени.

Общая схема обработки сетевого трафика, реализуемая в рамках методики, представлена на рис. 1.

Рис 1 Общая схема обработки сетевого трафика

Выбор в качестве объекта анализа СУ обусловлен практическими соображениями. Так, с точки зрения администратора сети, СУ - объект,

наилучшим образом отражающий его реальный взгляд на сеть, как на логически и физически связанную структуру, состоящую из СУ.

Моделью сетевого устройства (МСУ) будем называть набор характеристик (интегральных показателей) СУ и способ их формирования, позволяющий оценивать степень аномальности состояния СУ.

МСУ предложено строить на основе характеристик, извлекаемых из входных и выходных сетевых потоков СУ. МСУ иллюстрируется на рис.2.

На рис.2 ' - вектор, содержащий значения интегральных показателей сетевого устройства за некоторый интервал времени (шаг струк-с

туризации трафика), < - вектор нормированных интегральных показателе"

51 =(5 5 5 }

- диапазон времени, а к - число интеграль-

ньг'"""—-Лттей.

I

а' , где

5 - вектор средних значений шаблонных данных

- среднеквадратическое отклонение на шаблонных данных

Рис 2 Модель сетевого устройства МСУ определяет способ формирования вектора нормированных

интегральных показателей сетевого устройства являющихся входными данными для аппарата выявления АРВ (системы принятия решений).

В качестве характеристик (интегральных показателей), определяющих функционирование СУ. предложено использовать показатели работы СУ на сетевом (IP) и транспортном (TCP, UDP, ICMP) уровнях.

с

Все интегральные показатели разделены на три группы: определяющие работу СУ по протоколам IP-TCP, IP-UDP, IP-ICMP. В группу IP-TCP входит 28 интегральных показателей, а в группы IP-UDP, IP-ICMP по 16.

Демонстрируется характер взаимосвязи типичных АРВ с предложенными характеристиками, который указывает на то, что известные типы АРВ могут быть зафиксированы на данном наборе интегральных показателей. Кроме того, обосновывается утверждение, что на этом наборе характеристик будут зафиксированы и новые типы АРВ. проявляющиеся аналогичным образом.

Предложен принцип структуризации сетевых пакетов, позволяющий в дальнейшем по сохраненной информации восстановить историю сетевых взаимодействий и сформировать необходимые интегральные показатели СУ.

Структуризация сетевых пакетов позволяет преодолеть «проклятие размерности», т.е. уменьшить объем анализируемых данных без существенной потери информативности с точки зрения выявления АРВ. Она представляет собой процесс упорядочения трафика с целью его рационального хранения и возможности извлечения интегральных показателей СУ.

Структуризация заключается в формировании счетчиков значений отдельных полей сетевых пакетов по ключевым полям в ходе процесса захвата сетевых пакетов. Ключевые поля задают логическую связь между пакетами.

Проведенные эксперименты показали, что предложенный способ структуризации позволяет трансформировать сетевой трафик в данные, размер которых составляет в среднем 1ч-5 % от первоначального объема.

Введем следующие определения.

Шаблонными данными (ШД) СУ назовем массивы векторов значений интегральных показателей СУ на некотором временном интервале (шаблонном окне), которые считаются данными, характеризующими его нормальную работу.

Под шаблоном нормального поведения (ШИП) СУусловимся понимать вектор значений интегральных показателей Swt содержащий наиболее вероятные значения каждого из них и значений параметров, определяемых алгоритмами обнаружения АРВ и вычисленных на основе нормированных шаблонных данных СУ.

S =(S S SPP P )

ш v mV w2'"'' im*' wi' ш2'"'' uii}5 где к - число интегральных показателей СУ, Ш1. наиболее вероятное значение i-ro нормированного показателя, / - общее число параметров, ""- значение j-ro параметра.

Период модификации ШНП - интервал времени через который происходит актуализация шаблонных данных.

Система принятия решений (СПР) - способ преобразования (набор алгоритмов) характеристик СУ в новое метрическое пространство и набор критериев (решающих правил), согласно которым АРВ выявляются по степени отклонения параметров текущего состояния СУ от шаблонных параметров.

Обнаружение АРВ в работе СУ осуществляется СПР путем выявления степени близости текущих значений характеристик СУ по отношению к ШНП в метриках СПР.

Входными данными для построения ШНП являются структурированные данные о сетевом трафике, накопленные на этапе обучения. Обучение связано с накоплением информации о функционировании сети и ее преобразованием в ШНП сетевого устройства.

Важной проблемой является потребность корректировки ШНП. Корректировка необходима для учета объективных изменений в конфигурации программного или аппаратного наполнения СУ и окружающих его устройств.

Предлагается следующий практический подход к построению ШНП и его динамической модификации.

После внедрения системы в сетевую инфраструктуру запускается процесс накопления данных. Этот процесс должен работать в течение некоторого временного интервала (минимум одной недели, так как этот промежуток времени представляет собой полный цикл поведения СУ, поскольку включает ночную и дневную активность в рабочие и выходные дни). Далее, на основе накопленных данных, запускается процесс построения ШНП. При этом, предполагается, что в данных могут содержаться следы АРВ. ШНП одного устройства формируется отдельно для каждого часа в рабочие и выходные дни.

Таким образом, для каждого СУ создается ШНП, состоящий из 48 наборов значений характеристик и соответствующих параметров, включающий значения для:

• Почасовой активности в рабочие дни;

• Почасовой активности в выходные дни.

После этого запускается процесс сопоставления вновь поступающих данных с ШНГТ, соответствующим текущему моменту времени (часу работы).

Для того, чтобы отсеять АРВ, которые могли находиться в обучающих данных и иметь актуальный ШНП, предлагается периодически его перестраивать, отбрасывая самые старые данные и добавляя вновь поступившие (с учетом результатов проведенного анализа- добавляются данные, имеющие приемлемую степень аномальности) Уточнение ШНП может осуществляться двумя способами-

1) Автоматически Автоматическое перестроение ШНП и сдвиг шаблонного окна с учетом результатов анализа;

2) Принудительно администратором системы (в случае возникновения подозрений на некорректную работу СПР) Предполагает визуальный анализ администратором истории взаимодействий, принудительное включение/исключение данных в ШД и запуск процесса перестроения ШНП

Автоматическое перестроение ШНП подразумевает сдвиг шаблонного окна на сутки (самые старые сутки удаляются из рассмотрения, а новые добавляются) Данные, включаемые в ШНП, должны иметь специальную метку выставляемую системой на этапе анализа Метки накладываются на те данные, степень аномальности которых находится в заданных пределах Рассмотренный процесс иллюстрируется на рис 3 Введем следующие определения

Окно анализа - интервал времени от текушего момента до некоторого момента в прошлом, на котором оцениваются значения характеристик СУ с целью определения степени аномальности его поведения

Шаг анализа - интервал времени, на который происходит смещение окна анализа Длительность шага анализа принимается равной длине шага структуризации трафика

Методика выявления АРВ может быть представлена в виде циклического процесса, реализуемого автоматизированной системой и действий администратора по работе с ней Общие принципы ее работы иллюстрирует рис 3

Интеграция САВС а инфраструктуру сети Накопление данных формирование начального шаблона ' нормального' поведения сетевого устройства Анализ данных 1

1

Шаблонное окно (1 неделя) [тн. Окно анализа (1 час) Семг иждм!»»^

Рис. 3 Принцип функционирования мечодики.

Методика включает в себя следующие шаги:

1. В инфраструктуру компьютерной сети внедряется автоматизированная система (реализующая данную методику), которая в течении недели работает в режиме накопления структурированных данных о сетевом трафике;

2. Через неделю запускается процесс обучения. В ходе его работы для интересующих СУ строятся ШНП;

3. Запускается множество параллельных процессов анализа для конкретных СУ;

4. В течение шага процесса анализа происходит захват трафика, его структуризация, сохранение в базе данных, извлечение и нормировка характеристик интересующего СУ;

5. Полученный на текущем шаге вектор характеристик стыкуется с векторами, полученными на предыдущих шагах и входящими во временное окно анализа;

6. На данных, входящих в окно анализа, запускается процесс выявления АРВ;

7. Информация о выявленной степени аномальности в текущих данных заносится в базу данных;

8. В зависимости от результатов анализа происходит корректировка ШД (на данные, имеющие допустимый уровень аномальности ставится метка о включении в ШД, а с данных, имеющих недопустимый уровень аномальности, аналогичная метка снимается);

9. Окно процесса анализа сдвигается на шаг анализа. При этом из рассмотрения удаляются данные самого старого шага анализа и добавляются нормированные данные за последний шаг;

10. В случае перехода начала окна анализа через середину следующего часа, происходит актуализация текущих шаблонных параметров (из ШНП СУ выбираются шаблонные значения следующего часа).

11. Далее процесс повторяется (с п.4);

По запросу администратора предоставляется информация о тенденциях изменения степени аномальности СУ.

Управление описанным выше процессом осуществляется администратором. Наиболее важными задачами, которые должен решать администратор в процессе использования системы, являются:

• Анализ результатов работы системы по выявлению степени аномальности СУ;

• Контроль за модификацией ШНП.

В случае выявления АРВ администратор должен принять меры по ее устранению. Принимаемые меры в каждом конкретном случае могут быть разными, т.к. зависят от типа АРВ и существующей сетевой конфигурации. В качестве примера, они могут заключаться в:

• изменении правил настройки межсетевого экрана;

• обновлении уязвимого программного обеспечения;

• обновлении антивирусных баз;

• изменении настроек сетевых сервисов;

• временной остановке сетевой службы;

• др.

В третьей главе диссертации рассматриваются:

• Результаты исследований реального сетевого трафика, которые были направлены на выявление характера и структуры взаимосвязей между интегральными показателями СУ в случае «нормальной» работы и при наличии АРВ;

• Алгоритмы работы системы принятия решений (СПР), определяющие математический аппарат выявления АРВ на основе анализа многомерных массивов данных (интегральных показателей СУ), характеризующих функционирование сетевого устройства во времени.

Исследования заключались в обработке статистическими методами реального сетевого трафика. Следы АРВ в нем были имитированы сетевым сканером nmap, используемым в маскирующих режимах работы. Данный метод моделирования АРВ был выбран исходя из того, что проявление в сетевом трафике попыток распределенного во времени сканирования отражает наиболее общие выявленные особенности АРВ.

Для исследований были использованы одномерные и многомерные методы анализа. В рамках одномерного анализа для каждого интегрального показателя СУ были получены и проанализированы:

• Точечные оценки математических ожиданий и среднеквадратиче-ских отклонений;

• Интервальные оценки генеральных средних;

• Функции плотностей распределения.

Точечная оценка математического ожидания проводилась по формуле нахождения выборочного среднего:

т = ^

Л , где х, - значение характеристики, N - количество значений в исследуемой выборке.

Выборочное среднеквадратическое отклонение оценивалось следующим образом: 5 = -

' , где х, - значение характеристики, N - количество

значений в исследуемой выборке, т* - выборочное среднее.

Для интервального оценивания генеральных средних использова-

лас л---------

5 _ _ 5

^ , где 0 - генеральное среднее, ^

- вы-

к

борочное среднее, 7 - аргумент функции Лапласа, соответствующий

задаваемой доверительной вероятности - выборочное среднеквад-

ратическое отклонение, " - объем выборки. Оценивание проводилось У = 0 95

для

Основные результаты одномерного анализа:

• оценки математических ожиданий отдельных характеристик для нормальных выборок принимают меньшие значения по сравнению с данными, содержащими АРВ;

• значения среднеквадратических отклонений для данных, содержащих АРВ, выше, чем для нормальных;

• доверительные интервалы генеральных средних для отдельных характеристик не пересекаются. Это указывает на разделение по генеральным средним нормальных данных и данных, содержащих АРВ;

• большинство функций плотностей распределения отдельных интегральных показателей в случае «нормальной» работы СУ проявляют свойство одномодальности (достигают максимума только в одной точке) и имеют положительную асимметрию;

• для распределений интегральных показателей при наличии АРВ характерно возникновение полимодальности.

Многомерный анализ был проведен на основе корреляционного и кластерного анализа.

Основные результаты корреляционного анализа:

• Корреляционные связи между частью переменных на «нормальных» данных являются достаточно устойчивыми;

• Существующая устойчивость корреляционных связей на данных, содержащих следы АРВ, может нарушаться. Это проявляется:

1) в изменении силы корреляционной связи (ее уменьшении/ увеличении);

2) изменении знака связи при одновременном уменьшении значимости.

Кластерный анализ был выбран для исследования степени близости событий, характеризующих состояние СУ на текущем шаге структуризации, в случае «нормальной» работы устройства и при возникновении АРВ.

В качестве меры близости использовалось обычное евклидово расстояние, вычисляемое по формуле:

' , где х 11, х >' - величина 1-ой характери-

стики ьго G"г0) события, к - общее число характеристик объекта.

Классификации событий предшествовала нормировка каждой характеристики СУ к единой шкале измерений. Нормировка проводилась путем деления центрированной характеристики на среднее квадрати-ческое отклонение:

' , где Х'! - значение 1 -ой характеристики у I -го объекта (события);

Х' - среднее арифметическое значение ! -ой характеристики, полученной на ШД;

п ' - среднее квадратическое отклонение ! -ои

характеристики, полученной на ШД.

Основные результаты кластерного анализа:

• на событиях, характеризующих «нормальную» работу СУ, как правило, формируется единственный, ярко выраженный кластер;

• классификация массива данных, содержащего нормальные и аномальные события, приводит к расслоению данных на два кластера. Таким образом, было установлено, что критерием наличия АРВ по

отношению к СУ может выступать факт формирования отдельного кластера, заметно отстоящего от нормального, на некотором временном окне анализа.

Проведенные исследования позволили предложить алгоритмы определения степени аномальности поведения СУ, которые легли в основу системы принятия решений (СПР).

СПР определяет аппарат, позволяющий формировать ШНП для СУ и вычислять степень отклонения от него, определяющую степень аномальности СУ.

В качестве параметров ШНП СУ выбирается центр многомерного кластера, сформированного на ШД, средние, среднеквадратические отклонения отдельных интегральных показателей (вычисляемые на ШД и используемые при нормировке координат новых событий), ковариационная матрица и три пороговых значения отклонения от центра.

Пороговые отклонения (гкр|, гкр?, Гкрз) вычисляются на основе изначально задаваемых значений доверительных вероятностей по функции плотности распределения отклонений от центра в «нормальном» кластере, их рекомендуемые значения определены эмпирически, являются параметрами методики и могут быть изменены при необходимости администратором. Пороговые отклонения определяют границы зон аномальности и позволяют администратору наглядно оценить текущую ситуацию. Удаление от центра кластера указывает на увеличение общего уровня аномальности.

Центр кластера формируется методом поиска наиболее вероятного значения для каждого из интегральных показателей СУ и группированием этих значений в единый вектор.

В качестве метрики отклонений событий от центра «нормального» кластера было выбрано расстояние Махаланобиса, поскольку оно позволяет учесть как изменение абсолютных значений характеристик СУ, так и наличие зависимостей между ними.

Расстояние Махаланобиса вычисляется по следующей формуле:

К ^ где 5 - вектор, характеризующий

событие (или окно событий), 8ш - вектор, характеризующий центр "нормального" кластера, К' - обратная ковариационная матрица текущего ШНП.

Выявление степени аномальности заключается:

1) В вычислении расстояний Махаланобиса отклонений новых событий от центра «нормального» кластера и сопоставлении отклонений с зонами аномальности (анализ одиночных событий);

2) В вычислении расстояний Махаланобиса отклонений центра множества новых событий на временном окне анализа от центра «нормального» кластера и сопоставлении отклонений с зонами аномальности, а также в вычислении и анализе дисперсии, характеризующей разброс событий на окне анализа (анализ множества событий).

По динамике изменения этих характеристик администратор может делать выводы о характере поведения СУ и, в том числе, оценивать адекватность и корректность текущего ШНП. Обоснование и проверка адекватности работы предложенных алгоритмов СПР проводилось на основе экспериментальных данных. Анализ одиночных событий:

Основу СПР, определяющей степень аномальности отдельных событий, составляет оценка следующей гипотезы: событие, характеризующее работу СУ, является нормальным, если его отклонение (расстояние Махаланобиса) от центра «нормального» кластера не превышает заданное пороговое значение гкр.

Общие шаги работы СПР по оценке степени аномальности отдельных событий заключаются в следующем:

• Строится ШНП СУ (определяется центр, находится функция плотности распределения отклонений событий от центра и ковариационная матрица, выявляющая зависимости между характеристиками, определяются пороговые значения зон аномальности - расстояния от центра кластера, соответствующие заданным изначально

значениям доверительных вероятностей (pi = 0,92 (для rKpi). рг =

• В ходе анализа вычисляется отклонение новых событий (значения которых подвергаются предварительной нормировке) от центра кластера и каждому событию ставится в соответствие «пометка», связывающая событие с зоной аномальности.

• Величина отклонения события от границ зон аномальности (гкр1, гкр2 и гкр3) определяет степень аномальности события.

На этапе дальнейшей модификации ШНП в качестве ШД используются только те события, для которых г < гкр1. Анализ множества событий:

Работу СУ на фиксированном временном окне анализа можно представить в виде некоторого облака точек (событий) в многомерном пространстве координат. В зависимости от степени близости центра облака к центру «нормального» кластера и вида этого облака (разброса событий относительно центра облака) можно делать вывод о степени аномальности всего окна анализа.

Каждое такое окно будем характеризовать координатой центра и разбросом значений от центра (среднеквадратическим отклонением). Среднеквадратическое отклонение может являться показателем устойчивости степени аномальности СУ на текущем окне анализа. Введено и проверено следующее утверждение:

Степень аномальности поведения СУ на некотором окне событий определяется удаленностью центра этого окна от центра кластера, построенного на «нормальных» событиях, и характеризуется принадлежностью соответствующим зонам аномальности. Среднеквадра-тическое отклонение окна событий определяет устойчивость нахождения СУ в нормальном или аномальном состоянии.

Центр облака вычисляется нахождением по каждой характеристике средних значений:

x4=(x(l)(k)+x(2}(k)+-. .+X(N)(|[))/N, k = 1..К, k= 1..K X(,j(k) - значение fc-ой жарактеристики i-oro события. К - количество характеристик, N - количество точек (событий) в окне анализа, Х1^ - k-ая координата центра облака, соответствующего j-ому окну.

- вектор, определяющий центр облака,

соответствующий j-му окну.

Сумма внутриклассовых дисперсий для j-oro окна вычисляется по формуле:

гле п - метлика, определяющая степень близости между события-

X^ Х{1) XХи)

ми ' и т , ' - координата i-ro события, "" - координата центра облака, соответствующая ,)-ому окну.

В качестве метрики используется расстояние Махаланобиса. В рамках проведенных исследований размер окна анализа соответствовал одному часу.

Общие шаги алгоритма работы СПР, оценивающего степень аномальности множества событий, аналогичны анализу одиночных событий, за исключением того, что в ходе анализа вычисляется расстояние Махаланобиса центра окна анализа от центра кластера и среднеквадратичное отклонение событий внутри окна анализа.

В данной главе также приводятся результаты оценки эффективности СПР Эффективность СПР было предложено оценивать на основе следующих критериев:

1) Точности обнаружения АРВ. Этот показатель характеризуется отношением количества состояний, соответствующих правильно обнаруженным АРВ, и количества всех состояний, охарактеризованных СПР как АРВ.

2) Полноты обнаружения АРВ (detection rate). Полнота обнаружения определяется как количественное отношение правильно обнаруженных АРВ и общего количества всех АРВ, действительно имевших место.

3) Величины ошибки 1-го рода. Вероятность «допустить ошибку 1-го рода связана с выходом события, характеризующего нормальную работу СУ за пределы фиксированного отклонения (г>г ). т.е. с отнесением события к аномалии, если оно ею не является. Это -«ложная тревога» (false positive).

4) Величины ошибки 2-го рода. Вероятность /3 допустить ошибку 2-го рода связана с не отнесением события к аномальному, если оно на

самом деле содержало след АРВ. Такую ситуацию можно назвать «пропуск аномалии» (false negative). Это возможно, когда аномальное событие соответствует условию г<г .

Логический смысл этих критериев проиллюстрирован на диаграмме множеств (см. рис.4).

Рис.4. Результаты работы СПР в виде диаграммы множеств. Результаты работы СПР могут быть представлены в виде четырех множеств:

• А - правильно зафиксированная нормальная работа;

• В - пропущенные аномалии;

• С - ложные срабатывания;

• D - правильно зафиксированные аномалии. Соответственно, предложенные выше критерии оценки эффективности могут быть описаны следующими формулами:

1 )Р - точность обнаружения аномалий

Р = -

ICU0I

- мощность множества объединения множеств С и D.

2) R - полнота обнаружения аномалий \0\

- мощность

R=-

\B\JD\

3) а - вероятность ошибки 1-го рода

ICI

а = -

\A\JC\

4) /3 - вероятность ошибки 2-го рода

Р = -

\В\ B[)D\

Оценка была проведена на основе экспериментальных данных. Ее результаты приведены в табл.1.

Зоны аномальности,

Критерий оценки <8 8+10 10+12 >12

Р <0,54 0,54 0,66 >0,72

R >0,85 0,85 0,78 <0,70

а >0,17 0,17 0,12 <0,08

ß <0,14 0,14 0,18 >0,26

Четвертая глава содержит описание разработанной программной системы, автоматизирующей предложенную в работе методику. Система получила название «САВС» («Система Аудита Вычислительной Сети»):

• Приводятся описания (на языке UML) архитектуры основных компонент «САВС», алгоритмов, реализующих логику их работы, структур таблиц базы данных;

• Описываются принципы, реализующие разработанные требования к методике выявления аномалий. В частности, требования распределенности системы, защищенности, расширяемости, централизованного анализа, минимизации возможных потерь сетевых пакетов, времени анализа, объемов хранимых данных и др.;

• Рассматриваются вопросы повышения эффективности работы отдельных программных компонент, в частности, реализующих структуризацию сетевых пакетов и взаимодействие с базой данных;

• Рассматривается разработанный протокол сетевого взаимодействия между отдельными компонентами, основанный на языке XML;

• Описывается схема интеграции отдельных компонент и результаты опытной эксплуатации прототипа «САВС».

Архитектура «САВС» включает три основных компонента (см. рис.5):

1. Сетевой агент (СА);

2. Система управления ресурсами (СУР);

3. Система отображения и анализа данных (СОАД).

Рис 5. Общая архитектура «САВС».

С А предназначен для захвата сетевого трафика, его структуризации и сохранения структурированной информации о трафике в СУБД посредством СУР. СА реализован на языке программирования Си для ОС Linux и Windows.

Задачей СУР является получение защищенного, контролируемого доступа к данным, хранящимся в СУБД. СУР реализован на JAVA.

СОАД реализует СПР для выявления АРВ и предоставляет пользовательский интерфейс, позволяющий управлять процессом анализа и получать доступ к данных, описывающим историю взаимодействия СУ. СОАД реализован в виде WEB-приложения на основе технологий JAVA, JSP, XML/XSL, Flash.

Автоматизированным рабочим местом (АРМ) администратора является компьютер с установленным броузером MS ¡Explorer.

В качестве базы данных использована СУБД Oracle.

В заключении отражены основные результаты, полученные в диссертационной работе:

1. Предложена методика выявления аномалий, распределенных во времени, на основе формирования (и дальнейшей модификации) шаблона нормального поведения сетевого устройства и выявления отклонений от него, указывающих на наличие АРВ.

2. Предложена новая формальная модель сетевого устройства.

3. Разработана система принятия решений, включающая в себя алгоритмы автоматизированного выявления АРВ в отношении сетевого устройства. Ш реальном сетевом трафике и имитационных примерах АРВ оценена ее эффективность.

4. Сформулированы основные требования к методике выявления АРВ и ее программной реализации.

5 Предложены принципы структуризации сетевого трафика.

6. Получены результаты сопоставления статистических свойств интегральных показателей СУ в случае его «нормальной» работы и при наличии АРВ.

7. Предложен метод создания и актуализации ШНП.

8. Разработана программная система, реализующая методику. Создан ее прототип.

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Дружинин Е.Л., Самохин A.M., Чернышев Ю.А., Смирнов СЮ. Система мониторинга ЛВС, включающая возможности по анализу безопасности. Научная сессия МИФИ- 2001. Сб. науч. тр.,т.10.С.60-61.

2. Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 37-38.

3. Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Проблемы и принципы структуризации событий о функционировании вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 93-94.

4. Дружинин Е.Л., Самохин A.M., Чернышев Ю.А., Куцыгин С.А. Разработка XML-сервера. Научная сессия МИФИ- 2002. Сб. науч. тр. т. 10. С. 77-78.

5. Дружинин Е.Л., Мишулина О.А., Самохин A.M., Усанов А.В., Александров М.А. Применение нейросетевых методов анализа для решения проблем защиты и управления сетями на основе Системы Аудита Вычислительных Сетей. Сб. науч. тр. XI Международного научно - технического семинара Современные технологии в задачах управления, автоматики и обработки информации. Алушта-2002. С. 141-142.

6. Дружинин Е.Л., Дервиженко Е.В. Выявление несанкционированных воздействий на вычислительную сеть статистическими методами анализа сетевого трафика. Сб. науч. тр. XII Международного научно - технического семинара Современные тех-

нологии в задачах управления, автоматики и обработки информации. Алушта-2003. С. 50-51.

7. Дружинин Е.Л., Жданова М.С., Самохин A.M., Чернышев Ю.А. Поиск методов выявления аномалий в поведении сетевых устройств на основе анализа сетевого трафика. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 33-34.

8. Дружинин Е.Л., Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 46-47.

9. Дружинин Е.Л., Гребенников B.C., Жинкин Д.В., Самохин A.M., Чернышев Ю.А. Исследование возможностей статистических методов для обнаружения аномалий в работе сети. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 61-62.

10. Дружинин Е.Л., Кувшинов Е.М., Самохин A.M., Чернышев Ю.А. Система аудита вычислительной сети. Научная сессия МИФИ- 2004. Сб. науч. тр. Т. 10. С. 31-32.

11. Дружинин Е.Л. Выявление аномалий функционирования сетевых устройств на основе анализа сетевого трафика. // Наука производству. 2004. № 10. С. 51-58.

12. Крупин A.M., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка пользовательского интерфейса для системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 87-88.

13. Хохлов С.А., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка сервера аутентификации и разграничения доступа (САРД). Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 9596.

ом я- 05:/з

Подписано в печать 20.04.2005 г. Формат 60 х 90/16. Объем 1.0 п.л. Тираж 100 экз. Заказ № 2004051

Оттиражировано в ИП Гурбанов Сергей Талыбович Св. о регистрации № 304770000207759 от 09 июня 2004 года ИНН 770170462581

964

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

ГЛАВА 1. КЛАССИФИКАЦИЯ СЕТЕВЫХ АНОМАЛИЙ И АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ИХ ОБНАРУЖЕНИЯ.

1.1 Классификация сетевых аномалий.i з

1.1.1 Удаленное сканирование сетевых ресурсов.

1.1.2 «Отказ в обслуживании».

1.1.3 Удаленное «переполнение буфера».

1.1.4 Аппаратные сбои сетевых устройств.

1.1.5 Программные сбои сетевых приложений.

1.1.6 Вирусы, сетевые черви.

1.1.7 Скрытые люки.

Ф 1.2 Особенности аномалий, распределенных во времени.

1.3 Обзор существующих методов обнаружения аномалий.

1.3.1 Методы выявления аномалий, реализованные в современных системах.

1.3.2 Обзор результатов исследований, проводимых в зарубежных научно-исследовательских центрах.

1.4 Требования к создаваемой методике и ее программной реализации.

1.4.1 Требования к методу обнаружения аномалий.

1.4.2 Требования к технической реализации.

1.4.3 Пользовательские требования. выводы.

ГЛАВА 2. РАЗРАБОТКА МЕТОДИКИ ОБНАРУЖЕНИЯ АНОМАЛИЙ.

2.1 Схема обработки сетевого трафика. л* 2.2 Выбор объекта анализа.

2.3 Модель сетевого устройства.

2.4 Структуризация сетевого трафика.

2.5 Формирование шаблона нормального поведения сетевого устройства.

2.6 Методика выявления распределенных во времени аномалий.

Выводы.

ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПРИНЯТИЯ РЕШЕНИЙ ПО ВЫЯВЛЕНИЮ АНОМАЛИЙ, РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ

3.1. Исследование математических свойств характеристик сетевых устройств.

3.1.1 Описание тестовой среды.

3.1.2 Анализируемые массивы данных.

3.1.3 Результаты анализа математических свойств отдельных характеристик т (одномерный анализ).

3.1.4 Результаты анализа математических свойств совокупности характеристик (многомерный анализ).

3.2 Система принятия решений для выявления аномалий.

3.2.1 Основные принципы, лежащие в основе системы принятия решений.

3.2.2 Построение системы принятия решений, оценивающей степень аномальности отдельных событий.

3.2.3 Построение системы принятия решений, оценивающей степень аномальности множества событий.

3.3 Вопросы автоматизации системы принятия решений и анализа ее эффективности.

Выводы.

ГЛАВА 4. РАЗРАБОТКА ПРОГРАММНОЙ СИСТЕМЫ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ.

4.1 Архитектура САВС.и

4.1.1 Принципы функционирования.

4.1.2. Соотнесение принципов архитектуры САВС с требованиями к методике выявления аномалий.

4.1.3 Вопросы повышения эффективности работы отдельных компонент.

4.2 Структуры таблиц базы данных.

4.3 Сетевой агент.

4.4 Система управления ресурсами.

4.5 Система отображения и анализа данных.

4.6 Интеграция компонент САВС.

Опытная эксплуатация САВС.!.

Выводы.

Актуальность проблемы. Важнейшим атрибутом нашего времени является глобальная информационная интеграция, основанная на построении компьютерных сетей масштаба предприятия и их объединении посредством сети Internet.

Сложность логической и физической организации современных сетей приводит к объективным трудностям при решении вопросов управления и защиты сетей. В процессе эксплуатации компьютерных сетей администраторам приходится решать две главные задачи:

• Диагностировать работу сети и подключенных к ней серверов, рабочих станций и соответствующего программного обеспечения;

• Защищать информационные ресурсы сети от несанкционированной деятельности хакеров, воздействий вирусов, сетевых червей и т.п., то есть обеспечивать их конфиденциальность, целостность и доступность.

При решении задач, связанных с диагностикой и защитой сетевых ресурсов, центральным вопросом является оперативное обнаружение состояний сети, приводящих к потере полной или частичной ее работоспособности, уничтожению, искажению или утечке информации, являющихся следствием отказов, сбоев случайного характера или результатом получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности. Раннее обнаружение таких состояний позволит своевременно устранить их причину, а также предотвратит возможные катастрофические последствия.

Для их обнаружения используется большой спектр специализированных систем. Так, при решении проблем диагностики сетей применяются средства систем управления, анализаторы сетевых протоколов, системы нагрузочного тестирования, системы сетевого мониторинга. Проблемы защиты информационных ресурсов сетей решаются с помощью межсетевых экранов (firewall), антивирусов, систем обнаружения атак (IDS), систем контроля целостности, криптографических средств защиты.

Характерными особенностями использования этих систем является либо их периодическое и кратковременное применение для решения определенной проблемы, либо постоянное использование, но с довольно статическими настройками. Так, методы анализа, используемые в современных системах, направлены на обнаружение известных и точно описанных типов воздействий, но зачастую оказываются не в состоянии обнаружить их модификации или новые типы, что делает их использование малоэффективным.

Таким образом, на сегодняшний день очень актуальной задачей является поиск более эффективных методов выявления недопустимых событий (аномалий) в работе сети, являющихся следствием технических сбоев или несанкционированных воздействий. Основным требованием к этим методам является возможность обнаружения произвольных типов аномалий, в т.ч. новых, а также воздействий, распределенных во времени.

Это направление научных исследований является очень молодым. Первые работы, посвященные данной проблеме, были опубликованы в 90-х годах прошлого столетия.

В настоящий момент, исследования в этой области ведутся как крупными зарубежными коммерческими компаниями (Cisco [18,19], Computer Associates [21], ISS [74], Symantec [80] и др.), так и университетскими научно- исследовательскими центрами (Columbia University [26,50,70], Florida Institute of Technology [17,56,57,58], Purdue University [46], Ohio University [5,13,72,73] и др.). К сожалению, в свободном доступе представлено очень мало информации по аналогичным российским исследованиям.

Общий подход, лежащий в основе этих исследований, заключается в поиске методов анализа, позволяющих выявлять аномальные состояния информационных ресурсов в виде отклонений от обычного («нормального») состояния. Эти отклонения могут являться результатами сбоев в работе аппаратного и программного обеспечения, а также следствиями сетевых атак хакеров. Такой подход теоретически позволит обнаруживать как известные, так и новые типы проблем. От эффективности и точности аппарата, определяющего «нормальное» состояние и фиксирующего отклонение, зависит в целом эффективность решения вопросов диагностики и защиты сетевых ресурсов.

Особую важность на текущий момент представляет проблема обнаружения аномальных состояний в работе сети, имеющих распределенный во времени характер (APB). АРВ могут являться следствиями: специально маскируемых сетевых атак злоумышленников, скрытых аппаратно-программных сбоев, новых вирусов и т.п.

Цели работы. Целью работы являлась разработка методики выявления АРВ компьютерной сети на основе анализа сетевого трафика и создание программной системы, реализующей предложенную методику.

Основные направления работы сводятся к решению следующих задач:

• Разработка принципов структуризации сетевого трафика;

• Выбор объекта анализа, обоснование выбора;

• Разработка принципов и механизмов формирования характеристик объекта анализа;

• Исследование статистических свойств сетевых потоков, характеризующих поведение объекта анализа на сетевом и транспортном уровнях TCP/IP, выявление закономерностей в их поведении и степени влияния на них АРВ;

• Разработка математической модели объекта анализа, позволяющей задать шаблон его «нормального» поведения;

• Разработка СПР, позволяющей фиксировать переход объекта анализа в аномальное состояние (по степени отклонения от шаблона «нормального» поведения) и корректировать собственные параметры при объективно «нормальных» изменениях в сетевой среде (свойство адаптивности);

• Разработка принципов использования математической модели объекта анализа и системы принятия решений для выявления сетевых аномалий;

• Разработка архитектуры программной системы, реализующей предложенную методику;

• Создание прототипа САВС.

Сетевой трафик выбран в качестве информационных данных для выявления сетевых аномалий не случайно. Он является наиболее полным источником данных о происходящих в сети взаимодействиях.

Другими источниками данных могут выступать данные, накапливаемые активным сетевым оборудованием в собственных базах MIB (Management Information Base) или данные, содержащиеся в лог-файлах операционных систем и приложений. Это также очень важные источники информации, но эффективность выявления аномалий на их основе будет ниже вследствии изначально более низкой информационной насыщенности.

Выбор TCP/IP в качестве анализируемых протоколов обусловлен их повсеместным распространением при построении современных сетей.

Методы исследований. В теоретических исследованиях применены современные методы теории вероятностей, математической статистики, кластерный анализ.

При разработке программной системы использовались методы объектно-ориентированного проектирования и программирования.

Достоверность научных результатов. Достоверность научных результатов подтверждена результатами статистических исследований реального сетевого трафика, а также результатами внедрения и практического использования в действующих компьютерных сетях.

Научная новизна диссертации заключается в следующем:

1) Впервые предложена методика решения важной научно-технической задачи выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Создана новая математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Предложена система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Получены сравнительные результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений.

Замечание. В источниках, доступных в свободном доступе, автору не удалось обнаружить результатов исследований, делающих акценты на выявлении АРВ на основе анализа сетевого трафика. Поэтому можно утверждать, что приводимые в работе результаты получены впервые.

5) Разработаны и обоснованы методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Предложена распределенная архитектура программной системы, автоматизирующая методику выявления АРВ;

7) Разработаны и реализованы алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами программной системы. Создан ее прототип.

Положения, выносимые на защиту:

1) Методика выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер;

2) Математическая модель функционирования сетевого устройства на основе интегральных показателей, извлекаемых из полей сетевых пакетов;

3) Система принятия решений, выявляющая распределенные во времени аномалии в функционировании сетевого устройства, описываемого указанной математической моделью;

4) Результаты статистических исследований интегральных показателей работы сетевого устройства при «нормальном» функционировании и в случае наличия АРВ, позволившие разработать решающие правила системы принятия решений.

5) Методы структуризации сетевого трафика и последующего формирования интегральных показателей сетевого устройства, позволяющие снизить объем обрабатываемых данных без существенной потери степени информативности с точки зрения обнаружения АРВ;

6) Архитектура распределенной программной системы, автоматизирующая методику выявления АРВ;

7) Алгоритмы работы отдельных программных модулей, протокол сетевого взаимодействия между компонентами системы.

Практическая ценность. Основной практический результат: создание научно - обоснованной методики выявления аномальных состояний сетевого устройства, имеющих распределенный во времени характер.

Разработаны и внедрены алгоритмы структуризации сетевого трафика и формирования интегральных показателей функционирования СУ.

Разработаны и внедрены алгоритмы визуализации истории сетевых взаимодействий.

Разработаны и внедрены алгоритмы решающих правил для оценивания степени аномальности поведения сетевого устройства на временных интервалах различной длительности.

Предложенные методы могут быть использованы при построении систем, предназначенных для выявления аномальных состояний компьютерных сетей.

Реализация результатов. Методы и алгоритмы, предложенные в диссертации, были реализованы в виде программного комплекса, получившего название «Система Аудита Вычислительной Сети» (САВС).

САВС внедрена в сети МИФИ, а также в представительствах коммерческих компаний "Beauty&Co" и "Aria" (что подтверждено соответствующими актами о внедрении (см. приложение 8)).

Апробация работы. Основные положения и результаты диссертации докладывались и обсуждались:

• На научных сессиях МИФИ с 2001 по 2004 гг.;

• На Х1-ом и ХН-ом Международных научно-технических семинарах «Современные технологии в задачах управления, автоматики и обработки информации» (г. Алушта 2002, 2003 гг.);

• Работа участвовала в конкурсе молодых ученых «Ползуновские гранты'2002» (Барнаул, 2002г.) и стала ее лауреатом. В результате был получен грант на проведение исследовательских работ от Фонда поддержки развитию малых форм предприятий в научно-технической сфере.

• На ХШ-ой ежегодной конференции «Техникон'2003» (г.Москва 2003г.).

• В начале 2004 года данная работа в виде проекта по созданию программного комплекса «Система Аудита Вычислительной Сети» прошла конкурсный отбор по программе «СТАРТ», проводимой Фондом поддержки развитию малых форм предприятий в научно-технической сфере для поддержки малых предприятий, занимающихся наукоемкими разработками. Для ее реализации в виде инновационного коммерческого программного продукта были выделены финансовые средства. В настоящий момент продолжается реализация и доведение до совершенства всех предложенных в работе идей в рамках этой программы.

Публикации. По теме диссертации опубликовано 13 печатных работ.

Далее кратко изложено содержание диссертации.

Первая глава посвящена анализу текущего состояния решения в мире проблемы выявления аномальных состояний компьютерный сетей на основе анализа сетевого трафика.

В ней приводится классификация известных типов сетевых аномалий, анализируются результаты анализа методов обнаружения аномалий, реализованных в коммерческих системах.

Рассматриваются и анализируются доступные в свободном доступе результаты исследований по данной проблеме в крупнейших западных научно-исследовательских центрах и университетах.

Приводятся выявленные недостатки существующих подходов и методов обнаружения сетевых аномалий и формулируются основные требования к программной реализации системы выявления аномальных состояний компьютерной сети.

Вторая глава посвящена разработке методики выявления распределенных во времени аномалий.

В ней рассматриваются и обосновываются входные данные для обнаружения АРВ, принципы структуризации сетевого трафика, общие идеи выявления АРВ, принципы создания и модификации шаблона «нормального» поведения сетевых устройств, ключевые идеи, связанные с автоматизацией методики в целом.

Третья глава посвящена разработке системы принятия решений (СПР), реализующей принципы выявления АРВ.

В ней приводятся результаты исследований математических свойств характеристик сетевых устройств. Исследования осуществлялись на основе реальных данных, полученных при захвате и структуризации трафика в течении нескольких месяцев в сети МИФИ с помощью прототипа САВС. Анализ был направлен как на выявление свойств отдельных характеристик, так и их совокупности.

Кроме этого, в третьей главе предлагаются и обосновываются алгоритмы работы СПР по выявлению распределенных во времени аномалий сетевых устройств, приводится оценка их эффективности и рассматриваются результаты проверки их реальной работоспособности.

Четвертая глава диссертационной работы описывает практические аспекты разработки и создания Системы Аудита Вычислительной Сети (САВС). В этой главе рассматривается программная архитектура САВС.

Детально описываются отдельные программные компоненты САВС: сетевой агент, система управления ресурсами (СУР), система отображения и анализа данных (СОАД).

Рассматриваются вопросы программной реализации, связанные с воплощением конкретных положений методики и оптимизацией работы отдельных компонент.

Приводятся результаты опытной эксплуатации САВС.

Основные результаты работы заключаются в следующем:

1. Предложена методика выявления аномалий, распределенных во времени (АРВ), на основе формирования (и дальнейшей модификации) шаблона нормального поведения (ШНП) сетевого устройства (СУ) и выявления отклонений от него, указывающих на наличие АРВ.

2. Предложена новая формальная модель сетевого устройства (МСУ), представляющая собой способ формирования его нормированных интегральных показателей, являющихся входными данными для процессов выявления АРВ. Она обобщает и существенно расширяет известные на сегодняшний день модели. В рамках МСУ определены наиболее информативные наборы характеристик СУ, определяющие его взаимодействия по протоколам IP, TCP, UDP и ICMP.

3. Разработана система принятия решений (СПР), включающая в себя алгоритмы автоматизированного выявления АРВ в отношении СУ. На реальном сетевом трафике и имитационных примерах АРВ оценена ее эффективность по четырем критериям (точность, полнота, вероятности ошибок 1-го и 2-го рода). Так, полученные оценки точности находятся в пределах 0,54+0,72, полноты -0,70+0,85, вероятности ложного срабатывания (1-го рода) - 0,08+0,17, вероятности пропуска АРВ (2-го рода) - 0,14+0,26. Полученные оценки достаточно хорошо согласуются с оценками методов зарубежных исследователей, направленных на выявление кратковременных аномалий, и по отдельным критериям превосходят их.

4. Выявлено, что современные методы обнаружения аномалий обладают принципиальными недостатками и на сегодняшний день не существует единой теории эффективного обнаружения АРВ.

5. Сформулированы основные требования к методике выявления АРВ и ее программной реализации, предусматривающие возможность выявления произвольных типов АРВ (в т.ч. неизвестных) и позволяющие сетевому администратору эффективно использовать соответствующий инструмент для решения вопросов диагностики и защиты информационных ресурсов компьютерной сети.

6. Предложены принципы структуризации сетевого трафика, позволяющие сохранять служебную информацию из заголовков сетевых пакетов без потери информативности с точки зрения выявления АРВ, и формировать на их основе интегральные показатели СУ. Предложенные принципы позволяют сохранять только 1-г5% данных от первоначального объема сетевого трафика.

7. Получены результаты сопоставления статистических свойств интегральных показателей СУ в случае его «нормальной» работы и при наличии АРВ. Исследования проводились на основе реального сетевого трафика. Проводился анализ как отдельных характеристик, так и их совокупности в целом. Полученные результаты позволили предложить алгоритмы выявления АРВ для СПР.

8. Предложен метод создания и актуализации ШНП, который позволил реализовать принцип адаптивности методики к объективно нормальным изменениям в сети. Это удалось достичь на основе модифицирования ШНП в соответствии с результатами анализа.

9. Продемонстрирована работоспособность алгоритмов СПР на основе реального сетевого трафика коммерческой компании "Beauty&Co" (выявлено три вирусных эпидемии, являвшихся следствиями различных модификаций сетевого червя MyDoom).

10. Разработан прототип программной системы САВС, реализующий методику. В ходе проектирования и создания САВС предложены программные решения по повышению эффективности работы ее отдельных компонент. САВС является системой, органично дополняющей функциональность систем, используемых в настоящий момент в сетях для решения вопросов диагностики и защиты, и позволяет существенно повысить эффективность решения этих вопросов.

11. Прототип САВС запущен в опытную эксплуатацию в сети МИФИ. В составе САВС работают два сетевых агента. Один из них анализирует канал, соединяющий Лабораторию Сетевых Технологий ЦНИТ МИФИ с сетью МИФИ, а другой - канал, соединяющий сеть МИФИ с провайдером услуг

Internet. Кроме того, САВС внедрена в представительствах коммерческих компаний "Beauty&Co" и "Aria". Это подтверждено соответствующими актами о внедрении (см. приложение 8).

Большая часть приведенных результатов получена автором лично, ряд программных модулей САВС был создан в рамках студенческих учебно-исследовательских и дипломных работ, проводимых под руководством автора в течении 2000-2004 гг.

Полученные результаты имеют большую теоретическую и практическую значимость в связи с высокой актуальностью данной проблемы.

Промежуточные результаты, получаемые в ходе выполнения этой работы были неоднократно представлены автором на научной сессии МИФИ в 20002004гг., XI -ом Международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» в 2002г., XII -ом Международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» в 2003г.

Автор имеет серию публикаций, в которых отражены отдельные как теоретические, так и практические составляющие всей диссертационой работы.

В 2002 году автор стал лауреатом конкурса молодых ученых «Ползуновские гранты'2002», был получен грант на проведение исследовательских работ от Фонда поддержки развитию малых форм предприятий в научно-технической сфере.

В начале 2004 года данная работа в виде проекта по созданию «Системы Аудита Вычислительной Сети» прошла конкурсный отбор по программе «СТАРТ», проводимой Фондом поддержки развитию малых форм предприятий в научно-технической сфере для поддержки малых предприятий, занимающихся наукоемкими разработками. Для ее реализации в виде инновационного коммерческого программного продукта были выделены финансовые средства. В настоящий момент продолжается реализация и доведение до совершенства всех предложенных в работе идей в рамках этой программы.

Заключение

В результате проведенных исследований решен ряд важных задач, составляющих проблему выявления аномальных состояний в работе компьютерной сети на основе анализа сетевого трафика.

1. Abry P., Veitch D. Wavelet analysis of long range dependent traffic // 1.EE Transactions on Information Theory, vol.44, no.l, 1998

2. Agilent WireScope 350 Specification, http://we.home.agiIent.com

3. Anderson D., Lunt T.F., Lavitz H., Tamaru A., Valdes A. Detecting Unusual Program Behavior Using the Statistical Component of the Next-generation Intrusion Detection Expert System (NIDES) // SRI Computer Science Laboratory, 1995.

4. Axelsson S. Intrusion Detection Systems: A Survey and Taxonomy. Chalmers University of Technology, Sweden, 2000

5. Balupari R. Real-time network-based anomaly intrusion detection. Ohio University, 2002.

6. Barbara D., Wu N., Jajodia S. Detecting Novel Network Intrusions Using Bayes Estimators // First SIAM Conference on Data Mining, Chicago,2001

7. Barford P., Plonka D. Characteristics of Network Traffic Flow Anomalies. University of Wisconsin, Madison, 2001

8. Barford P., Kline J., Plonka D., Ron A. A Signal Analysis of Network Traffic Anomalies // In Proceedings of ACM Sigcomm Internet Measurement Workshop, 2002

9. Big Brother. Web-based systems and network monitor, http://bb4.com

10. Bivens A., Palagiri C., Smith R., Szymanski В., Embrechts M. Network-Based Intrusion Detection Using Neural Networks. Rensselaer Polytechnic Institute Troy, New York, 2002

11. Bloedorn E., Data Mining for Network Intrusion Detection: How to Get Started // MITRE Technical Report, 2001

12. Brutlag J. Aberrant behavior detection in time series for network monitoring // LISA XIV, New Orleans, 2000

13. Bykova M. Statistical analysis of malformed packets and their origins in the modern Internet. School of Electrical Engineering & Computer Science Ohio University, 2002

14. Cabrera J., Lewis L., Qin X., Lee W., Prasanth R.K., Ravichanran В., Mehra R.K. Proactive Detection of Distributed Denial of Service Attacks using MIB Traffic

15. Variables A Feasible Study, Proc. 7th IFIP/IEEE International Symposium on Integrated Network Management, Seatle, 2001

16. Cannady J. Next Generation Intrusion Detection: Autonomous Reinforcement Learning of Network Attacks // 23rd National Information Systems Security Conference, Baltimore, 2000

17. Cannady J. Artificial Neural Networks for Misuse Detection. School of Computer and Information Sciences Nova Southeastern University Fort Lauderdale, 1998

18. Chan P.K., Mahoney M.V., Arshad M.H. A Machine Learning Approach to Anomaly Detection // Technical report, Florida Institute of Technology, Melbourne, 2003

19. Cisco IDS 4200 Series Sensors, http://www.cisco.com/en/US/products/hw

20. Cisco Integrated Firewall Solutions, http://www.cisco.com/en/US/products/hw

21. Cohen W.W. Fast effective rule induction. In Machine Learning // The 12th International Conference, Lake Taho, 1995

22. Computer Associates eTrust Intrusion Detection 1.5. http://ca.com/channel/emea/mktg/datasheetsnew/etrust

23. Das K. Protocol Anomaly Detection for Network-based Intrusion Detection. SANS Institute,2002

24. Dasgupta D., Forrest S. Artificial Immune Systems in Industrial Applications // International conference on Intelligent Processing and Manufacturing Material (IPMM), Honolulu, 1999

25. Enterasys Networks. Intrusion Detection Methodologies Demystified, http://www.enterasys.com/products

26. Enterasys Networks. Dragon Intrusion Defence System Network Sensor User's Guide. Version 6.3, http://www.enterasys.com, 2004

27. Eskin E. Sparse Sequence Modeling with Applications to Computational Biology and Intrusion Detection. PhD thesis, Columbia University, 2002

28. FAQ: Network Intrusion Detection Systems, http://www.robertgraham.com/pubs

29. Firewall-1, http://www.checkpoint.com/products

30. Ftest 3.2. Руководство пользователя, http://www.prolan.ru/pdf/ftest

31. Gerken M. Statistical-Based Intrusion Detection. Air Force Rome Laboratory. Carnegie Mellon University. 2004.

32. Ghosh A., Schwartzbard A. A Study in Using Neural Networks for Anomaly and Misuse Detection // Proceedings of the 8th USENIX Security Symposium. 1999

33. Gonzalez F., Dasgupta D. Neuro-Immune and Self-Organizing Map Approaches to Anomaly Detection: A Comparison, The University of Memphis and Universidad Nacional de Colombia. 2002

34. Hood Cynthia S., Ji Chanyi. Proactive Network Fault Detection. Illinois Institute of Technology, Chicago, 1997

35. How Tripwire Works, http://www.tripwire.com/products

36. Iris Network Traffic Analyzer, http://www.eeye.com/~data

37. Jakobson G., Weissman M.D. Alarm correlation I I IEEE Network, vol.7, 1993

38. Jung J., Krishnamurthy В., Rabinovich M. Flash crowds and denial of service attack: Characterization and implications for CDNs and web sites, in WWW-02, Hawaii, 2002

39. K2. ADMmutate README. ADMmutate source code distribution. Version 0.8.4. URL: http://www.ktwo.ca/c/ADMmutate-0.8.4.tar.gz. 2002.

40. Katzela I., Schwartz M. Schemes of fault identification in communications networks // IEEE/ACM Transactions on Networking, vol.3, 1995

41. KDD99. KDD99 cup dataset. http://kdd.ics.uci.edu/databases/kddcup99/ kddcup99.html

42. Kendal K. A database of computer attacks for the evaluation of Intrusion Detection Systems. Master's Thesis, Massachusetts Institute of Technology, 1998.

43. Kim J., Bentley P.J. Towards an Artificial Immune System for Network Intrusion Detection: An Investigation of Dynamic Clonal Selection. Department of Computer Science King's College London, 2002

44. Kim J. Integrating Artificial Immune Algorithms for Intrusion Detection. PhD Thesis, Department of Computer Science, University College London, 2002.

45. Krugel C., Toth Т., Kirda E. Service Specific Anomaly Detection for Intrusion Detection. Vienna, Austria, 2002

46. Krugel C. Network Alertness Towards an adaptive, collaborating Intrusion Detection System. Dissertation, Vienna, Austria, 2002

47. Kumar S. Classification and Detection of Computer Intrusions. PhD thesis, Dept. of Computer Science, Purdue University, 1995

48. Lancope Optimizing Security and Network Operations: StealthWath Delivers Security through Network Intelligence, http://www.lancope.com

49. Lazar A., Wang W., Deng R. Models and algorithms for network fault detection and identification // IEEE Int. Contr. Conf., 1992

50. Lazarevic A., Ertoz L., Kumar V., Ozgur A., Srivastava J. A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection // Proceedings of SIAM International Conference on Data Mining. 2003.

51. Lee W. A Data Mining Framework for Constructing Features and Models for Intrusion Detection Systems. Columbia University, 1999.

52. Lee W., Stolfo S.J. Data Mining Approaches for Intrusion Detection // USENIX Security Symposium, 1998

53. Lee W., Xiang D. Information-Theoretic Measures for Anomaly Detection // Proceedings. IEEE Symposium, 2001

54. Lewis L., Dreo G. Extending trouble ticket systems to fault diagnosis // IEEE Network, vol.7, 1993

55. Luo J. Integrating Fuzzy Logic With Data Mining Methods for Intrusion Detection, Missisipi State University, 1999

56. M.Roesch, C.Green. Snort Users Manual. Sourcefire, Inc. 2003, http://www.snort.org/docs/snort manual/

57. Mahoney Matthew V., Chan Philip K. Learning Models of Network Traffic for Detecting Novel Attacks // Florida Institute of Technology Technical Report CS-2002-08.

58. Mahoney Matthew V. Network Traffic Anomaly Detection Based on Packet Bytes // Florida Institute of Technology. Technical Report CS-2002-13.

59. Mahoney Matthew V. A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic, Ph.D. Dissertation, Florida Tech., 2003

60. Man tcpdump. http://www.tcpdump.org/tcpdunipman.html

61. Manganaris S., Christensen M., Serkle D., Hermix K. A Data Mining Analysis of RTID Alarms // RAID 99,West Lafayette, 1999

62. McCarthy L. A Justification for Intrusion Detection, Symantec Enterprise Security. 2003.

63. MicroScanner Pro. Users Manual, http://www.flukenetworks.com

64. Multi Router Traffic Grapher MRTG. http://www.mrtg.org

65. Ndousse T.D., Okuda T. Computational intelligence for distributed fault management in networks using fuzzy cognitive maps // IEEE ICC, Dallas, 1996

66. Network traffic probe NTOP. http://www.ntop.org

67. Next Generation Security Technologies. Polymorphic Shellcodes vs. Application IDSs. http://www.ngsec.com. 2002.

68. Observer product family, http://www.networkinstruments.com

69. Paxon V. Measurements and Analysis of End-to-End Internet traffic, Ph.D. thesis, University of California Berkeley, 1997

70. Paxon V., Floyd S. Wide-area traffic: The failure of poisson modeling // IEEE/ACM Transactions on Networking, vol.3(3), 1995.

71. Portnoy L., Eskin E., Stolfo S. Intrusion Detection with Unlabeled Data Using Clustering, Department of Computer Science Columbia University, New York, 2001

72. Ptacek Т., Newsham T. Insertion, evasion, and denial of service: eluding network intrusion detection // Secure Networks, 1998.,

73. Ramadas M. Detecting anomalous network traffic with self-organizing maps. Ohio University, 2002.

74. Ramadas M. Detecting Anomalous Network Traffic with Self-Organizing Maps/ Master's Thesis, Ohio University, 2002

75. RealSecure Network 10/100, http://documents.iss.net/literature/RealSecure

76. Roesch, Martin. Snort FAQ. Snort source code distribution. URL: http://www.snort.Org/dl/snort-2.l.3.tar.gz

77. Ryan J., Lin Meng-Jang, Miikkulainen R. Intrusion Detection with Neural Networks. Department of Computer Sciences The University of Texas at Austin, 1998

78. Shah H., Undercoffer J., Joshi A. Fuzzy Clustering for Intrusion Detection // Proceedings of the 12th IEEE International Conference on Fuzzy Systems, 2003

79. Snort Users Manual, http://www.snort.org/docs/snortmanual/

80. Staniford S., Hogland J.A., McAlerney J M. Practical automated detection of Stealthy Portscans // In Proceedings of the IDS Workshop of the 7th Computer and Communication Security Conference, Athens, 2000.

81. Symantec. ManHunt 3.0 R2 Administration Guide, ftp://ftp.symantec.com

82. Thottan M., Ji C. Anomaly detection in IP Networks // IEEE Transactions on signal processings, vol.51, no.8, 2003

83. WEB- сайт Системы Аудита Вычислительной Сети, http://www.eveadmin.com

84. Willinger W., Taqqu M., Sherman R., Wilson D. Self-similarity through high-variability: Statisticl analysis of Ethernet LAN traffic at the source level // IEEE/ACM Transactions on Networking, vol.5, 1997.

85. Ye Nong, Emran S.M., Chen Q., Vilbert S. Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection // IEEE transaction on computers, vol.51, no.7. 2002

86. Айвазян C.A., Мхитарян B.C. Теория вероятностей и прикладная статистика, т.1. М.: Юнити-ДАНА, 2001. - 656с .

87. Антивирус AVP. http://www.kaspersky.ru

88. Антивирус DrWeb. http://www.drweb.ru/products.shtml

89. Барабаш Ю.Л., Варский Б.В., Зиновьев В.Т., Кириченко В.С, Сапегин В.Ф. Вопросы статистической теории распознавания. М.: Советское радио, 1967г. -399 с.

90. Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите информации // Экспресс-Электроника №2, 2004 г. С. 86 - 96.

91. Боровиков В. Statistica. Искусство анализа данных на компьютере: Для профессионалов. 2-е изд.-СПб.: Питер, 2003. 688 с.

92. Буч Г. Объектно-ориентированный анализ и проектирование. М.: Издательство Бином, 2001. - 560 с.

93. Буч Г., Рамбо Д., Джекобсон А. Язык UML. Руководство пользователя. М.:ДМК, 2000г. 432 с.

94. Вентцель Е.С. Теория вероятностей. М.: Наука, 1969. - 576 с.

95. Вирусная энциклопедия, http://vvww.viruslist.com.

96. Дружинин E.JL, Самохин A.M., Чернышев Ю.А., Смирнов С.Ю. Система мониторинга ЛВС, включающая возможности по анализу безопасности. Научная сессия МИФИ- 2001. Сб. науч. тр., т. 10. С. 60-61.

97. Дружинин E.JI., Самохин A.M., Чернышев Ю.А. Разработка системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 37-38.

98. Дружинин E.JL, Самохин A.M., Чернышев Ю.А. Проблемы и принципы структуризации событий о функционировании вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр., т. 10. С. 93-94.

99. Дружинин E.JI., Самохин A.M., Чернышев Ю.А., Куцыгин С.А. Разработка XML-сервера. Научная сессия МИФИ- 2002. Сб. науч. тр. т. 10. С. 77-78.

100. Дружинин E.JI., Жданова М.С., Самохин A.M., Чернышев Ю.А. Поиск методов выявления аномалий в поведении сетевых устройств на основе анализа сетевого трафика. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 33-34.

101. Дружинин E.JI., Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 46-47.

102. Дружинин E.JI., Гребенников B.C., Жинкин Д.В., Самохин A.M., Чернышев Ю.А. Исследование возможностей статистических методов для обнаружения аномалий в работе сети. Научная сессия МИФИ-2004. Сб. науч. тр. Т.10. С. 61-62.

103. Дружинин E.JI., Кувшинов Е.М., Самохин A.M., Чернышев Ю.А. Система аудита вычислительной сети. Научная сессия МИФИ- 2004. Сб. науч. тр. Т. 10. С. 31-32.

104. Дружинин E.JI. Выявление аномалий функционирования сетевых устройств на основе анализа сетевого трафика. // Наука производству. 2004. № 10. С. 51-58.

105. Дубров A.M., Мхитарян B.C., Трошин Л.И. Многомерные статистические методы: Учебник. М.: Финансы и статистика, 2000. - 352 с.

106. Дюк В., Самойленко A. Data Mining: учебный курс, СПб: Питер, 2001 .368 с.

107. Жульков Е. Поиск уязвимостей в современных системах IDS// Открытые системы. СУБД -2003. N 7/8. С. 37 - 42.

108. Иберла К. Факторный анализ. М.: Статистика, 1980.

109. Кокс Д., Льюис П. Статистический анализ последовательностей событий

110. Кремер Н.Ш. Теория вероятностей и математическая статистика. М.:Юнити-ДАНА, 2004г. 573 с.

111. Кретов М.В. Теория вероятностей и математическая статистика. -Калининград: Янтар. сказ. 2004 г. 227 с.

112. Крупин A.M., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка пользовательского интерфейса для системы аудита вычислительных сетей. Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 87-88.

113. Свешников А.А. Сборник задач по теории вероятностей, математической статистике и теории случайных функций. М.: Наука, 1970. -656 с.

114. Система обнаружения сетевых атак NFR. http://www.nfr.net

115. Фрагментатор сетевых пакетов fragrouter. http://www.packetst0rrnsecurity.0rg/UNIX/IDS/fragr0uter-l.6.tar.gz

116. Хохлов С.А., Дружинин Е.Л., Самохин A.M., Чернышев Ю.А. Разработка сервера аутентификации и разграничения доступа (САРД). Научная сессия МИФИ- 2002. Сб. науч. тр. Т. 10. С. 95-96.

117. Сопоставление значений математических ожидании и среднеквадратнческихотклонений