автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Управление трафиком вычислительной сети на основе идентификации аномалий

кандидата технических наук
Марьенков, Александр Николаевич
город
Астрахань
год
2012
специальность ВАК РФ
05.13.01
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Управление трафиком вычислительной сети на основе идентификации аномалий»

Автореферат диссертации по теме "Управление трафиком вычислительной сети на основе идентификации аномалий"

На правах рукописи 005053326 ^

Марьенков Александр Николаевич

УПРАВЛЕНИЕ ТРАФИКОМ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ НА ОСНОВЕ ИДЕНТИФИКАЦИИ АНОМАЛИЙ

05.13.01 - Системный анализ, управление и обработка информации (промышленность, информатика)

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

1 1 ОКТ 2012

Астрахань - 2012

005053326

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Астраханский государственный технический университет»

НАУЧНЫЙ РУКОВОДИТЕЛЬ: кандидат технических наук, доцент

Ажмухамедов Искандар Маратович

ОФИЦИАЛЬНЫЕ ОППОНЕНТЫ:

ВЕДУЩАЯ ОРГАНИЗАЦИЯ:

профессор кафедры «Системы автоматизированного проектирования» ФГБОУ ВПО «Тамбовский государственный технический университет»,

доктор технических наук, профессор Литовка Юрий Владимирович

доцент кафедры «Связь» ФГБОУ ВПО «Астраханский государственный технический университет»,

доцент, кандидат технических наук Мальцева Наталья Сергеевна. ФГБОУ ВПО «Волгоградский государственный университет».

Защита состоится «26» октября 2012 г. В 12 часов 00 минут на заседании диссертационного совета Д 307.001.06 при Астраханском государственном техни ческом университете по адресу: 414025, г. Астрахань, ул. Татищева, 16, главны] корпус, аудитория 305

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью орга низации, просим направлять по адресу: 414025, г. Астрахань, ул. Татищева, 16 АГТУ, ученому секретарю диссертационного совета Д 307.001.06.

С диссертацией можно ознакомиться в научной библиотеке Астраханского го сударственного технического университета.

Автореферат разослан «.¿2.» 201-Z г.

Ученый секретарь

диссертационного совета У, — A.A. Ханова

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность. Сетевые технологии стали неотъемлемой частью человеческой жизни. При этом интенсивность их использования постоянно растет. Согласно исследованиям зарубежных ученых, объем передаваемых по сети Интернет данных увеличиваются почти вдвое каждые 5 лет.

В связи с ростом объема передаваемых данных все большую актуальность приобретают вопросы управления трафиком вычислительных сетей (ВС) и повышение эффективности передачи данных.

Одной из главных причин, влияющих на эффективность работы ВС, являются аномалии трафика. Они могут быть вызваны случайными или преднамеренными действиями со стороны легитимных пользователей, неверной работой приложений, действиями злоумышленников и т. д.

Для надежной передачи данных в ВС должны быть приняты меры по своевременному выявлению аномалий, поиску их источника или источников и принятию мер по их устранению (оповещение о неисправности, фильтрация аномального трафика, увеличение или перераспределение вычислительных мощностей и т. п.). Следовательно, для обеспечения надежной передачи данных в ВС большое значение приобретает разработка методов обнаружения аномалий.

На сегодняшний день разработано множество методик для определения аномалий. Обычно их разделяют на два вида согласно их принципам действия: сигнатурный и поведенческий.

Исследованиями в области методов обнаружения аномальной активности сетевого трафика занимаются российские и зарубежные ученые:

1. Сигнатурный принцип - Р. Н. Селин, R. Lippmann, R. Kwitt, A. Ghosh, Е. Eskin, N. Cristianini, Mohammed Salem, Helen Amstrong и др;

2. Поведенческий принцип - В. А. Артамонов, Д. Ю. Гамаюнов, Paul Barford, Jeffery Kline, Hyun Joo Kim, Pedro Casas и др.

Однако ни один из существующих методов не позволяет полностью выявлять аномальную активность в трафике ВС. Проблемы выявления аномалий трафика частично могут быть объяснены недостатком теоретических исследований трафика ВС.

В связи с этим возникает необходимость исследования поведения трафика и разработки новых методов обнаружения сетевых аномалий для повышения эффективности передачи данных в ВС.

Объект исследования — объем трафика в вычислительных сетях.

Предмет исследования - процессы управления трафиком в вычислительных сетях.

Целью диссертационной работы является повышение эффективности передачи данных в вычислительных сетях путем разработки методики управления трафиком на основе выявления аномалий. Для достижения поставленной цели необходимо решить следующие задачи:

1. Провести анализ существующих методов прогнозирования сетевого трафика, раскрыть их достоинства и недостатки, разработать математическую модель прогнозирования трафика на базе циклического анализа временных рядов.

2. Разработать методику управления сетевым трафиком на основе предложенной модели.

3. На основе методики разработать алгоритмы, формализующие процессы поиска аномалий и управления сетевым трафиком. На основе алгоритмов разработать программный продукт, реализующий систему поддержки принятия решения о применении мер по управлению трафиком.

4. Оценить на конкретных примерах эффективность предлагаемого в диссертационной работе подхода к управлению трафиком в вычислительной сети.

Методы исследования. В процессе работы использовались методы математического моделирования, теории вероятностей, математической статистики, аппарат нечеткой логики и теории нечетких множеств, методы искусственного интеллекта.

Достоверность и обоснованность работы. Обоснованность научных положений и выводов, сформулированных в работе, подтверждается результатами экспериментальных исследований и расчетов, проведенных с помощью программного продукта, разработанного на основе предлагаемой методики. Достоверность подтверждается успешным практическим применением результатов диссертационной работы, что отражено в актах внедрения.

Научная новизна диссертационного исследования:

1. Построена математическая модель прогнозирования трафика на базе циклического анализа временных рядов, позволяющая определять загрузку сети на основе поиска периодичности в сетевом трафике;

2. Разработана система поддержки принятия решения о наличии аномалии, на основе которой можно оценивать величину аномалии и принимать решение о необходимости применения управляющих воздействий для ее устранения;

3. Разработана методика управления трафиком на основе построенной модели, позволяющая повысить эффективность передачи данных в вычислительных сетях, отличающаяся тем, что позволяет не только обнаруживать аномальный трафик в работе вычислительной сети, но и производить численные оценки величины аномалии и принимать меры по ее устранению.

Практическая значимость:

1. Разработан алгоритм циклического анализа сетевого трафика, позволяющий проводить прогнозирование трафика. Данные исследования могут быть применены для планирования развития мощностей сетевого оборудования, распределения вычислительных ресурсов, а также в целях повышения работоспособности и надежности функционирования вычислительных сетей.

2. Разработано программное обеспечение, реализующее методику управления трафиком на основе циклического анализа сетевого трафика, предназначенное

для выявления аномалий объема трафика, поиска источников аномалий и проведения фильтрации сетевых пакетов от источников, вызывающих аномалии.

3. Предложена техническая реализация разработанной методики и получен патент на полезную модель № 113041 от 27.01.2012.

Результаты диссертации использованы в Астраханском государственном техническом университете при разработке учебно-методического обеспечения дисциплины «Технология проектирования защищенных автоматизированных систем» на кафедре информационной безопасности, в министерстве финансов Астраханской области, а также в государственном казенном учреждении Астраханской области «Управление по техническому обеспечению деятельности Министерства социального развития и труда Астраханской области».

Диссертационное исследование выполнено в рамках НИР, проведенной в ФГБОУ ВПО «АГТУ» «Методы систематизации и классификации в задачах защиты информации» № гос. per. 02201155454 (Внутр. № 01201051067).

Апробация работы. Основные положения и отдельные результаты диссертации докладывались и обсуждались на: XXIII, XXIV международных научных конференциях «Математические методы в технике и технологиях» (Саратов, 2010; Пенза, 2011), Ежегодной международной межвузовской научно-практической конференции «Молодежь и образование - 2010: факторы и стратегии карьерной успешности» (Астрахань, 2010), XXII Всероссийской научно-практической конференции молодых ученых, студентов и аспирантов «Молодежь. Образование. Экономика» (Ярославль, 2011), Международной межвузовской научно-практической конференции «Молодежь. Экономика. Коммуникация. Общество» (Астрахань, 2012).

Публикации. По теме диссертации опубликовано 9 печатных работ: 3 статьи в журналах из списка, рекомендованного ВАК РФ, 6 статей в межвузовских научных сборниках, сборниках трудов международных и всероссийских научных конференций. Получены свидетельство об официальной регистрации программы для ЭВМ и патент на полезную модель.

Структура и объем работы. Работа состоит из введения, 4 глав, заключения, списка литературы из 110 наименований, 6 приложений и включает в себя 130 страниц машинописного текста, 11 таблиц и 50 рисунков.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность выбранной темы диссертации, формулируются цель и задачи исследования, раскрываются научная новизна и практическая значимость.

Первая глава посвящена анализу проблем обеспечения надежности передачи данных в ВС. Выявлено влияние сетевых атак на эффективность передачи сетевого трафика (СТ). На основе анализа существующих работ в области обнаружения атак на ВС общего пользования проведен анализ проблем выявления негативных воздействий на ВС.

Рассмотрены основные средства защиты информации в ВС. Представлена классификация систем обнаружения атак в зависимости от принципа их действия. Проведенный анализ достоинств и недостатков существующих средств защиты показал актуальность разработки новых механизмов поиска сетевых аномалий и их источников, влияющих на надежность передачи данных в ВС.

Проведен анализ методов прогнозирования временных рядов. В качестве метода прогнозирования трафика был выбран метод циклического анализа, как наиболее отвечающий требованиям разработанной методики.

На основе проведенного анализа наиболее распространенных методов, используемых при автоматизации управления, сделаны выводы о целесообразности использования сочетания аппарата нечетких множеств и экспертных систем для автоматизированного определения аномалий в сетевом трафике.

В результате анализа работ по предметной области поставлена цель исследования: разработка методики управления трафиком на основе циклического анализа, которая позволит повысить надежность передачи данных в ВС.

Во второй главе рассмотрена общая схема системы управления трафиком на основе идентификации аномалий объема сетевого трафика с использованием циклического анализа. Разработана математическая модель и методика управления СТ на основе выявления отклонений в поведении трафика.

Схема системы управления СТ представлена на рис. 1. Сетевой монитор собирает статистику из внешней и внутренней сетей. Накопленные данные сохраняются в базе данных сетевой статистики. На основе статистики формируется прогноз загрузки сети. В системе поддержки принятия решений (СППР) происходит сравнение реальной загрузки сети с прогнозируемой и принимается решение о наличии аномалии, а также производится поиск источников аномалии, оценивается ее величина. Заполнение базы правил СППР производится экспертом и лицом, принимающим решение (ЛПР). Оценка величины аномалии передается в блок реагирования (фильтрация трафика, подключение дополнительных ресурсов и т. п.).

Методика управления СТ включает из следующие основные этапы:

1. Сбор необходимой статистики по трафику.

2. Построение прогноза объема трафика.

3. Поиск и оценка аномалий.

4. Реагирование на аномалии: оповещение о неисправности, фильтрация аномального трафика, увеличение или перераспределение вычислительных мощностей и т.п.

На первом этапе необходимо провести сбор статистики по трафику. Поскольку цель прогнозирования на основе имеющихся данных о загрузке сети получить значение объема трафика на определенный период времени в будущее, из заголовка 1Р-пакета необходимо выделять информацию об общей длине пакета, а также сохранять дату и время получения пакета. Для реагирования на ано-

малию необходима информация об адресе источника и адресе назначения ІР-пакета. Таким образом, для прогнозирования трафика из 1Р-пакета извлекаются: объем сетевого пакета, 1Р-адрес источника, 1Р-адрес назначения, дата получения 1Р-пакета, время получения 1Р-пакета.

Внутренняя сеть Внешняя сеть

51

Трафик

Сетевой монитор

1

Информация о сетевых пакетах

База данных сетевой статистики

Данные о трафике

Прогнозирование

ЛПР и Эксперт

Заполение и редактирование пбазы правил

---N

Прогноз

1

V

СППР

Результаты обработки

Величина аномалии

Трафик

1-І аномалии Блок реагирования

Трафик после обработки аномалии

Внутренняя сеть Внешняя сеть

Рис.1. Схема системы управления СТ

Следующий этап методики построение прогноза объема трафика. Прогнозирование трафика методом циклического анализа состоит из представленных ниже шагов. За основу взята идея о фрактальных свойствах трафика.

Отбор данных. На данном этапе собранную статистику необходимо представить в виде ряда данных. Пусть имеется статистика по трафику, собранная за период времени Т. Чтобы получить ряд данных, разделим период времени Т

Т

на Q равных интервалов Д/: <2= —. Период времени Т и интервал Д/ под-

Дг

бираются таким образом, чтобы количество полученных интервалов Q было целым числом.

Далее для каждого интервала А/ складываем объемы сетевых пакетов, под

павших в данный интервал времени: Хд(Дґ) = ^У¡-пакета >

у=1

где: Л - количество сетевых пакетов, попавших в интервал Аі, д - номер интервала, д = 1,...,<2, ^ - ряд упорядоченных данных, описывающий изменения

объема трафика во времени, с частотой дискретизации А1.

Сглаживание трафика. На данном этапе с помощью метода центрированной скользящей средней выполняется сглаживание случайных колебаний и устранение возможных ошибок в трафике. Количество точек для сглаживания данных возьмем равным Ь (на каждую выполняемую итерацию необходимо выбирать нечетное количество точек, количество точек должно быть не менее 3). При вычислении скользящей средней по Ь точкам, из первоначального ряда

данных будет выброшено I -1 точек: - в начале и в конце ряда. Таким

образом, длина нового ряда данных Хк равна: Л' = О - (I -1), к = \,...,іУ:

_ і

ь у=*

Поиск возможных циклов. Устранив случайные колебания, можно приступать к непосредственному поиску циклов. Чтобы определить частотные составляющие рассматриваемого ряда, используем метод спектрального анализа. Математической основой спектрального анализа является преобразование Фурье.

С помощью прямого дискретного преобразования Фурье найдем комплексные амплитуды ряда данных X к :

ы - ГЧГ"* ¿=і

где N - количество элементов ряда данных Хк и количество компонентов разложения, і - мнимая единица.

На основе значений комплексных амплитуд Ук вычисляется спектр мощности:

а

Л„-|Г„|2=Ке2(Г„) + 1ш2(Уп),

На рис. 2 видно, что высокие значения скапливаются около некоторых частот. Пики в областях скопления высоких значений показывают возможные циклы. Значением частоты цикла будет являться индекс п, при котором наблюдается высокое значение спектра мощности Яп

Частота

Рис. 2. Спектр мощности

Определив возможные циклы и их частоты, рассчитаем обычную (вещественную) амплитуду А и фазу <р . Пусть найдено Ъ возможных циклов, частоты которых составляют множество 5, т. е. каждое значение частоты, при которой наблюдается пик в области скопления высоких значений спектра, является элементом множества Б. Тогда амплитуды и фазы найденных циклов могут быть

1 1 I—-г-

вычислены по формулам: Ау1 = = — д/11е (5/,) + 1т (£/,),

<рк = А>^{Бк ) = , где к = 1,..., Ь , Аг^(Би) - функция мнимого

числа, угол мнимого числа (в радианах), соответствующий Би .

Функция, описывающая цикл, выглядит как: //, (0 = А со^Б^ + <Ри) • Удаление трендовых компонентов в трафике. Качество проверки циклов на статистическую надежность сильно зависит от существования направленности в данных. Чтобы удалить тренд в данных необходимо для каждой найденной частоты рассчитать скользящую среднюю для ряда данных Хк с количеством точек сглаживания ¿ = 5Л(если Ь четное число, к нему прибавляется 1): _ 1 к+Ь-1_

Х'к=— ХЖу > гДе полученный ряд данных будет короче исходного на 1-1 £

точек: N"=N-(¿-1), к = .

Далее вычитаем из исходного ряда данных X к полученную скользящую

среднею Х'к ■ = Хк - Х\ - Удалив силы роста в данных, можно приступать к

проверке найденных циклов на статистическую значимость.

Проверка циклов с точки зрения статистической значимости. Для оценки циклов используются тесты критерий Фишера и хи-квадрат. Первый измеряет надежность амплитуды цикла (его формы), второй измеряет надежность фазы цикла (его времени).

Комбинирование и проецирование циклов в будущее. Допустим, что тесты прошло Б циклов. Подтвердившиеся циклы объединяются в общую кривую,

о

описывающую периодичность в ряде данных: ^ (0 = ^ /а (0 ■

>1

Данная функция описывает периодичность в трафике, найденную на основе данных за период времени Т. Полученная функция может быть экстраполирована в будущее и позволяет получить прогнозируемое значение трафика на пе-

риод времени Т в будущее: ^

прогноз

ХП=І.МП>™ ҐЄ(Г,Г) (рис. 3). /=1

Рис. 3. Прогнозирование трафика

Следующий этап методики включает поиск и оиенку аномалии. Поиск аномалии происходит на основе сравнения трафика, поступающего в реальном времени с прогнозируемым значением. Для этого в единицу времени I сравниваются два значения Уреал — величина объема текущего трафика и

^прогноз

прогнозируемое значение объема. Аномальным будет считать отклонение объема, превышающее или равное заданной величине а : |Упрогноз ~ Vреал | - а ■ Если

аномалия была обнаружена, происходит поиск источников аномалии. Поиск источников определяется на основе информации, извлекаемой из текущего трафика.

Далее оценивается величина аномалии и принимается решение по ее обработке. Рассматриваются два основных способа обработки аномалии: фильтрация аномального трафика и выделение дополнительных ресурсов. Введем две группы адресов:

• приоритетные (Р) - в случае возникновения аномалий по этим адресам, необходимо выделить дополнительные ресурсы;

• обычные (О) - для данных адресов аномальные пакеты фильтруются. Оценка величины аномалии происходит на основе продукционной базы

правил. Поскольку эксперт не может достаточно точно указать диапазоны количественных параметров, описывающих аномалию, было решено использовать нечеткие числа.

Рассмотрим структуру базы правил (БП) более подробно. Для оценки величины аномалии используются переменные с соответствующими терм-множествами:

• величина отклонения. F£ {низкая, ниже среднего, средняя, выше среднего, высокая};

• частота появления аномалии. А/ 6 {низкая, ниже среднего, средняя, выше среднего, постоянная};

• количество источников аномалий. / G {незначительное, ниже среднего, среднее, выше среднего, большое};

• средний объем трафика от одного источника. W £ {незначительный, ниже среднего, средний, выше среднего, высокий}.

Выходным параметром является величина аномалии Е 6 {незначительная, ниже среднего, средняя, выше среднего, высокая}.

Хранение правил было организовано с использованием методологии экспертных систем, в основе которых лежит БП. Пример правил:

• ЕСЛИ V е {ОТ низкая ДО ниже среднего} и Me {ОТ низкая ДО средняя} и /£ {ОТ незначительное ДО среднее} и W £ {ОТ незначительный ДО средний} ТО Е — «незначительная»;

• ЕСЛИ V £ {ОТ выше среднего ДО высокая} и М Е {ОТ постоянная ДО постоянная } и / £ {ОТ выше среднего ДО большое} и W £ {ОТ выше среднего ДО

выше среднего} ТО Е — «высокая»;

Последний этап методики состоит в реагировании на аномалии. Правила, задающие параметры фильтрации аномальных пакетов или определяющие объем добавляемых ресурсов, выбираются в зависимости от приоритета IP-адреса. Если свободных ресурсов нет, может быть произведено заимствование пропускной способности у менее приоритетных адресов, по аналогии с механизмами обеспечения гарантированного обслуживания.

Для заполнения БП СППР были привлечены эксперты. Разработанная БП была проверена на избыточность, противоречивость и полноту. Полученная БП используется для нечеткого логического вывода. В качестве механизма нечеткого вывода используется метод Мамдани.

Опираясь на рассмотренную схему поиска и оценки аномалии, построим модель выявления и оценки аномалий на основе прогнозирования объема СТ:

e\Prod{V,MJ,W,E\\vnpo,„03-Vpea]1\>cc, |0 \у -V \< а '

I ' прогноз ре&л | где Prod — процедура использования продукционных правил.

Необходимость принятия мер для устранения аномалии определяется на основании информации об аномалии, а также за счет настроек ЛПР, на основе

которых формируются исключения {Z}. Далее происходит непосредственное

управление трафиком и подготовка отчета об аномалии.

Общая модель формирования правил управления может быть представлена как: G = Func{e,Z, F,U), где Func - функция формирования правил управления на основе переменных: Z - сетевые адреса источников аномалии, F - параметр, характеризующий ответную реакцию (например, время фильтрации), определяется в зависимости от величины e,U - список исключений.

Таким образом, разработанные модель и методика позволяют проводить поиск и оценку аномалий объема сетевого трафика с целью повышения эффективности передачи данных в вычислительных сетях.

В третьей главе разработаны алгоритмы, формализующие процесс поиска источников аномалии и методику управления сетевым трафиком. На основе разработанных алгоритмов реализован программный продукт (ПП). Проведено обучение СППР.

Поиск аномалии трафика в ВС (рис. 4) осуществляется на основе сравнения значения скользящей средней объемов реального трафика с предсказанным значением. После установления наличия аномалии производится поиск ее источников, а также оценивается ее величина. Вся полученная информация об аномалии

Схема алгоритма управления трафиком ВС представлена на рис. 5.

Рис. 5. Управление трафиком ВС

Разработанный ПП содержит инструменты для сбора, обработки и хранения сетевой статистики, прогнозирования загрузки сети, СППР для поиска и оценки величины аномалии, а также имеет механизм фильтрации 1Р-пакетов.

В четвертой главе приведены результаты проверки адекватности предложенной модели прогнозирования трафика. Представлены результаты верификации и анализа эффективности предлагаемой методики управления СТ и разработанного на ее основе ПП. Предложена техническая реализация методики.

В работе были проведены эксперименты для проверки адекватности полученной модели. Для этого данные, полученные в результате прогнозирования, сравнивались с объемами трафика, наблюдаемыми в реальном времени (рис. 6).

Рис. 6. Сравнение реальных и прогнозируемых значений трафика

Сравнение данных показало, что между прогнозируемыми и получаемыми в реальном времени значениями наблюдаются некоторые расхождения (от 2,99 % до 5,56 %). Проверка по критерию Фишера с уровнем значимости 0,05 полученных данных показала адекватность разработанной модели.

Для оценки эффективности предложенной методики был проведен ряд экспериментов на реальной сети, которые заключались в генерации аномалий трафика с использованием одного и пяти источников при обмене данными с сервером. Аномальный трафик генерировался с помощью сканеров уязвимости: X-Scan 3.3 и Nsauditor Network Security Auditor, а также стандартными средствами Windows. Для резких изменений в объеме трафика также генерировались «Широковещательные штормы». Проводилось также копирование информации из баз данных. При этом эксперименты разделялись на два вида:

1. Генерация аномалий из внутренней сети.

2. Генерация аномалий из внешней сети.

Было проведено два эксперимента. В первом между сервером и источниками аномалий была развернута бесплатная сетевая система обнаружения вторжений Snort 2.9.1.2 с актуальным набором правил. Были проведены четыре серии экспериментов. В каждой серии было сгенерировано по 1000 аномалии.

После этого, были проведены еще четыре серии экспериментов с разработанным в рамках диссертационного исследования ПП. Как видно из результатов, приведенных в табл. 1, после внедрения ПП, количество обнаруженных аномалий возросло в среднем на 9-13 %.

Таблица 1.

Результаты экспериментов

Внутренняя сеть

Внешняя сеть

1 источник

5 источников

1 источник

5 источников

Количество обнаруженных аномалий (из 1000)

До внедрения

745

721

754

738

После внедрения

841

787

842

815

Увеличение эффективности

13%

9%

12%

10%

Данные исследования могут быть применены для распределения вычислительных ресурсов, при планировании развития мощностей сетевого оборудования, а также для повышения надежности функционирования ВС. Разработанный на основе методики ПП может быть полезен в сочетании с традиционными, более сфокусированными на сигнатурном анализе, методами обнаружения атак. Для этого на основе разработанной методики предложено техническое решение, направленное на повышение уровня защищенности вычислительных сетей и систем от внешних и внутренних угроз и автоматизация процесса фильтрации

аномального трафика.

В заключении излагаются основные результаты, полученные в ходе диссертационного исследования, делаются общие выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ 1. Построена математическая модель прогнозирования трафика на базе циклического анализа временных рядов.

2. Разработана система поддержки принятия решения о наличии аномалии, на основе которой можно оценивать величину аномалии и принимать решение о необходимости применения управляющих воздействий для ее устранения.

3. Разработана методика управления СТ на основе построенной модели, позволяющая повысить эффективность передачи данных в вычислительных сетях, отличающаяся тем, что позволяет не только обнаруживать аномальный трафик в работе вычислительной сети, но и производить численные оценки величины аномалии и принимать меры по ее устранению.

4. Модель реализована в виде программного продукта для управления трафиком с целью повышения надежности передачи данных в вычислительных сетях. Получено свидетельство об официальной регистрации программы для ЭВМ № 2011614156 от 27.05.2011.

5. Применение программного продукта позволило повысить качество обнаружения отклонений поведения сетевого трафика на 9-13 %.

6. Предложена техническая реализация методики. Получен патент на полезную модель№ 113041 от 27.01.2012. Приоритет полезной модели 31.08.2011.

7. Было произведено внедрение результатов работы в Астраханском государственном техническом университете при разработке учебно-методического обеспечения дисциплины «Технология проектирования защищенных автоматизированных систем» на кафедре информационной безопасности, в министерстве финансов Астраханской области, а также в ГКУ АО «Управление по техническому обеспечению деятельности Министерства социального развития и труда Астраханской области».

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ Публикации в ведущих рецензируемых изданиях, рекомендуемых ВАК РФ

1. Марьенков, А. Н. Повышение безопасности компьютерных систем и сетей на основе анализа сетевого трафика / А. Н. Марьенков, И. М. Ажмухамедов // Инфокоммуникационныетехнологии.-2010.-№3,-Т. 8.-С.106- 108.

2. Марьенков, А. Н. Обеспечение информационной безопасности компьютерных сетей на основе анализа сетевого трафика / А. Н. Марьенков, И. М. Ажмухамедов // Вестник Астраханского государственного технического университета. Серия «Управление, вычислительная техника и информатика». - 2011. 1 -С.137- 141.

3. Марьенков, А.Н. Поиск и оценка аномалий сетевого трафика на основе циклического анализа / А. Н. Марьенков, И. М. Ажмухамедов // Инженерный вестник Дона [Электронный ресурс], 2012. - №2. - Режим доступа: http://www.ivdon.ru/magazine/archive/n2y2012/742/.

Публикации в других изданиях

4. Марьенков, А. Н. Методика обнаружения аномалий объема трафика в вычислительных сетях / А. Н. Марьенков // Сб. трудов XXIII Междунар. науч. конф. «Математические методы в технике и технологиях - ММТТ-23»: в 12 т. Т.

I !

V

7. Секция 8 / под общ. ред. B.C. Балакирева. — Саратов: Изд-во Сарат. гос. техн. ун-та, 2010.-С. 194-196.

5. Марьенков, А. Н. Структура правил для определения аномалий объема сетевого трафика / А. Н. Марьенков, И. М. Ажмухамедов // Молодежь и образование - 2010: факторы и стратегии карьерной успешности. Материалы международной научно-практической конференции. — Астрахань. — 2010, С. 134 — 135.

6. Марьенков, А. Н. Повышение защищенности информационных систем на основе анализа аномалий сетевого трафика / А. Н. Марьенков, И. М. Ажмухамедов // Сборник научных статей 12-й Всероссийской научно-практической конференции молодых ученых, студентов и аспирантов. - Ярославль: издательство «Еще не поздно!». — 2011. — С. 68 — 69.

7. Марьенков, А. Н. Определите аномалий объема сетевого трафика на основе аппарата нечетких множеств / А. Н. Марьенков, И. М. Ажмухамедов // Вестник Астраханского государственного технического университета. Серия «Общенаучный». -2011. - № 1. - С. 48-50.

8. Марьенков, А. Н. Прогнозирование загрузки веб-узла / А. Н. Марьенков // Сб. трудов XXIV Междунар. науч. конф. «Математические методы в технике и технологиях - ММТТ-24»: в 10 т. Т. 9. Секция 9,13 / под общ. ред. B.C. Балакирева. - Пенза: Изд-во Пенз. гос. технол. академия, 2011. - С. 84 - 85.

9. Марьенков, А. Н. Прогнозирование объемов сетевого трафика с помощью методов циклического анализа / А. Н. Марьенков, И. М. Ажмухамедов // Молодежь. Экономика. Коммуникация. Общество. Материалы международной научно-практической конференции. - Астрахань. - 2011, С. 201 - 203.

Свидетельство о регистрации программ для ЭВМ

10. Марьенков, А. Н. Программа для повышения защищенности вычислительных сетей на основе циклического анализа сетевого трафика / А. Н. Марьенков, И. М. Ажмухамедов // Свидетельство об официальной регистрации программы для ЭВМ № 2011614156. Зарегистрировано в реестре программ для ЭВМ 27.05.2011.

Свидетельство о получении патента на полезную модель

11. Марьенков, А. Н. Устройство защиты вычислительных сетей и систем от компьютерных атак / А. Н. Марьенков, И. М. Ажмухамедов // Патент на полезную модель № 113041. Зарегистрировано в Государственном реестре полезных моделей Российской Федерации 27.01.2012. Приоритет полезной модели 31.08.2011.

Заказ № 0139/12 Отпечатано 20.09.2012 г. Тир. 100 экз.

Гарнитура Times New Roman. Формат 60x84/16. Усл. печ. л. 1,0 Типография ООО « Альфа Принт » Ю.а.: 414004, г. Астрахань, ул. Б. Алексеева 30/14

С ma^8%3^85666er'ra'

Оглавление автор диссертации — кандидата технических наук Марьенков, Александр Николаевич

СОДЕРЖАНИЕ.

СПИСОК СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ ПРОБЛЕМ ОБЕСПЕЧЕНИЯ ЭФФЕКТИВНОСТИ ПЕРЕДАЧИ ДАННЫХ В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ.

1.1. Проблемы функционирования информационного и программного обеспечения в вычислительных сетях.

1.2. Анализ средств выявления аномалий в вычислительных сетях.

1.3. Анализ методов и средств противодействия аномалиям в вычислительных сетях.

1.4. Определение и свойства самоподобных процессов сетевого трафика.

1.5. Анализ математических методов прогнозирования загрузки вычислительной сети.

1.6. Выбор подхода к разработке системы управления трафиком вычислительной сети.

1.7. Постановка задач исследования.

1.8. Выводы и результаты по главе 1.

ГЛАВА 2. МАТЕМАТИЧЕСКАЯ МОДЕЛЬ И МЕТОДИКА УПРАВЛЕНИЯ ТРАФИКОМ НА ОСНОВЕ ИДЕНТИФИКАЦИИ АНОМАЛИЙ.

2.1. Общая схема системы управления трафиком на основе идентификации аномалий.

2.2. Организация сбора информации о сетевом трафике для целей прогнозирования.

2.3. Построение прогноза объемов сетевого трафика, предаваемого по сетям.

2.4. Поиск и оценка величины аномалии сетевого трафика.

2.5. Реагирование на аномалии в вычислительных сетях.

2.6. Заполнение базы правил для оценки величины аномалии сетевого трафика.

2.7. Выводы и результаты по главе 2.

ГЛАВА 3. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ ТРАФИКОМ НА ОСНОВЕ ИДЕНТИФИКАЦИИ АНОМАЛИЙ ОБЪЕМА.

3.1. Алгоритмы, формализующие методику управления трафиком на основе идентификации аномалий объема.

3.2. Описание программного продукта, реализующего методику управления сетевого трафика на основе прогнозирования.

3.3. Варианты использования системы управления трафиком в структуре вычислительной сети.

3.4. Выводы и результаты по главе 3.

ГЛАВА 4. ПРИМЕНЕНИЕ МЕТОДИКИ УПРАВЛЕНИЯ ТРАФИКОМ НА ОСНОВЕ ВЫЯВЛЕНИЯ ОТКЛОНЕНИЙ.

4.1. Прогнозирование трафика вычислительной сети на основе циклического анализа.

4.2. Имитационное моделирование аномального поведения трафика в сетях общего доступа.

4.3. Техническая реализация методики управления трафиком на основе выявления аномалий.

4.4. Выводы и результаты по главе 4.

Введение 2012 год, диссертация по информатике, вычислительной технике и управлению, Марьенков, Александр Николаевич

Актуальность темы. Сетевые технологии стали неотъемлемой частью человеческой жизни. При этом интенсивность их использования постоянно растет. Согласно исследованиям зарубежных ученых, объем передаваемых по сети Интернет данных увеличиваются почти вдвое каждые 5 лет.

В связи с ростом объема передаваемых данных все большую актуальность приобретают вопросы управления трафиком вычислительных сетей (ВС) и повышение эффективности передачи данных.

Одной из главных причин, влияющих на эффективность работы ВС, являются аномалии трафика. Они могут быть вызваны случайными или преднамеренными действиями со стороны легитимных пользователей, неверной работой приложений, действиями злоумышленников и т. д.

Для надежной передачи данных в ВС должны быть приняты меры по своевременному выявлению аномалий, поиску ее источника или источников и принятию мер по ее устранению (оповещение о неисправности, фильтрация аномального трафика, увеличение или перераспределения вычислительных мощностей и т. п.). Следовательно, для обеспечения надежной передачи данных в ВС большое значение приобретает разработка методов обнаружения аномалий.

На сегодняшний день разработано множество методик для определения аномалии. Обычно их разделяют на два вида согласно их принципам действия:

•сигнатурный принцип состоит в том, что каждая атака описывается определенным шаблоном, называемым сигнатурой; исходные данные проверяются на сопоставление известным шаблонам атак, их обнаружение является свидетельством атаки;

•поведенческий принцип заключается в выделении процессов, отличающихся от ранее наблюдаемых, которые могут быть потенциальными атаками.

Исследованиями в области обнаружения аномальной активности сетевого трафика занимаются российские и зарубежные ученые:

•сигнатурный принцип - Р. Н. Селин, R. Lippmann, R. Kwitt, A. Ghosh, Е. Eskin, N. Cristianini, Mohammed Salem, Helen Amstrong и др;

•поведенческий принцип - В. А. Артамонов, Д. Ю. Гамаюнов, Paul Barford, Jeffery Kline, Hyun Joo Kim, Pedro Casas и др.

Однако ни один из существующих методов не позволяет полностью выявлять аномальную активность в трафике ВС. Проблемы выявления аномалий трафика частично могут быть объяснены недостатком теоретических исследований трафика ВС.

В связи с этим возникает необходимость исследования поведения трафика и разработки новых методов обнаружения сетевых аномалий для повышения эффективности передачи данных в ВС.

Объект исследования - объем трафика в вычислительных сетях. Предмет исследования - процессы управления трафиком в вычислительных сетях.

Целью диссертационного исследования является повышение эффективности передачи данных в вычислительных сетях путем разработки методики управления трафиком на основе выявления аномалий.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Провести анализ существующих методов прогнозирования сетевого трафика, раскрыть их достоинства и недостатки, разработать математическую модель прогнозирования трафика на базе циклического анализа временных рядов.

2. Разработать методику управления сетевым трафиком на основе предложенной модели.

3. На основе методики разработать алгоритмы, формализующие процессы поиска аномалий и управления сетевым трафиком. На основе алгоритмов разработать программный продукт, реализующий систему поддержки принятия решения о применении мер по управлению трафиком.

4. Оценить на конкретных примерах эффективность предлагаемого в диссертационной работе подхода к управлению трафиком в вычислительных сетях.

Методы исследования. В процессе работы использовались методы математического моделирования, теории вероятностей, математической статистики, аппарат нечеткой логики и теории нечетких множеств, методы искусственного интеллекта.

Научная новизна диссертационного исследования:

1. Построена математическая модель прогнозирования трафика на базе циклического анализа временных рядов, позволяющая определять загрузку сети на основе поиска периодичности в сетевом трафике.

2. Разработана система поддержки принятия решения о наличии аномалии, на основе которой можно выявлять и оценивать величину аномалии и принимать решение о необходимости применения управляющих воздействий для ее устранения.

3. Разработана методика управления трафиком на основе построенной модели, позволяющая повысить эффективность передачи данных в вычислительных сетях, отличающаяся тем, что позволяет не только обнаруживать аномальный трафик в работе вычислительной сети, но и производить численные оценки величины аномалии и принимать меры по ее устранению.

Обоснованность и достоверность. Обоснованность научных положений и выводов, сформулированных в работе, подтверждается результатами экспериментальных исследований и расчетов, проведенных с помощью программного продукта, разработанного на основе предлагаемой методики.

Достоверность подтверждается успешным практическим применением результатов диссертационной работы, что отражено в актах внедрения.

Практическая значимость работы

1. Разработан алгоритм циклического анализа сетевого трафика, позволяющий проводить прогнозирование трафика. Данные исследования могут быть применены для планирования развития мощностей сетевого оборудования, распределения вычислительных ресурсов, а также в целях повышения работоспособности и надежности функционирования вычислительных сетей.

2. Разработано программное обеспечение, реализующее методику управления трафиком на основе циклического анализа сетевого трафика, предназначенное для выявления аномалий объема трафика, поиска источников аномалий и проведения фильтрации сетевых пакетов от источников, вызывающих аномалии.

3. Предложена техническая реализация разработанной методики и получен патент на полезную модель №113041 от 27.01.2012.

Результаты диссертации использованы в Астраханском государственном техническом университете при разработке учебно-методического обеспечения дисциплины «Технология проектирования защищенных автоматизированных систем» на кафедре «Информационная безопасность», в министерства финансов Астраханской области, а также в государственном казенном учреждении Астраханской области «Управление по техническому обеспечению деятельности Министерства социального развития и труда Астраханской области».

Диссертационные исследования выполнены в рамках НИР, проведенной в ФГБОУ ВПО «АГТУ» «Методы систематизации и классификации в задачах защиты информации» № гос. per. 02201155454 (Внутр.№01201051067).

Апробация результатов. Основные положения и отдельные результаты диссертации докладывались и обсуждались на следующих международных и всероссийских конференциях и семинарах: XXIII Международной научной конференции «Математические методы в технике и технологиях ММТТ - 23» (Саратов, 2010), Ежегодная международная межвузовская научно-практическая конференция «Молодежь и образование -2010: факторы и стратегии карьерной успешности» (Астрахань, 2010), XXIV Международной научной конференции «Математические методы в технике и технологиях ММТТ - 24» (Пенза, 2011), 12-ой Всероссийской научно-практической конференции молодых ученых, студентов и аспирантов «Молодежь. Образование. Экономика» (Ярославль, 2011), Международной межвузовской научно-практической конференции «Молодежь. Экономика. Коммуникация. Общество» (Астрахань, 2012).

Публикации. По теме диссертации опубликовано 9 печатных работ: 3 статьи в журналах из списка, рекомендованного ВАК РФ, 6 статей в межвузовских научных сборниках, сборниках трудов международных и всероссийских научных конференций.

Получено свидетельство об официальной регистрации программы для ЭВМ № 2011614156, зарегистрированное в Реестре программ для ЭВМ Федеральной службы по интеллектуальной собственности, патентам и товарным знакам 27.05.2011.

Получен патент на полезную модель № 113041, зарегистрированный в Государственном реестре полезных моделей Российской Федерации 27.01.2012

Структура и объем работы: Работа состоит из введения, 4 глав, заключения, списка литературы из 110 наименований, 6 приложений и включает в себя 130 страницы машинописного текста, 11 таблиц и 50 рисунков.

Во введении описывается структура работы, обосновывается актуальность выбранной темы, а также формулируется научная новизна и практическая значимость диссертационного исследования.

Первая глава посвящена анализу проблем обеспечения надежности передачи данных в ВС. Выявлено влияние сетевых атак на эффективность передачи сетевого трафика (СТ). На основе анализа существующих работ в области обнаружения атак на ВС, проведен анализ проблем выявления негативных воздействий на ВС.

Рассмотрены основные средства защиты информации (СЗИ) в ВС. Представлена классификация систем обнаружения атак (СОА) в зависимости от принципа их действия. Проведенный анализ достоинств и недостатков существующих средств защиты показал актуальность разработки новых механизмов поиска сетевых аномалий и их источников, влияющих на надежность передачи данных в ВС.

Проанализирована литература в области прогнозирования временных рядов. Анализ наиболее распространенных методов прогнозирования (МП) временных рядов (ВР) позволил выявить их достоинства и недостатки. В качестве метода прогнозирования сетевого трафика выбран циклический анализ временных рядов.

Проведен анализ распространенных методов, используемых при автоматизации управления, выявлены их достоинства и недостатки. Сделаны выводы о целесообразности использования сочетания аппарата нечетких множеств (НМ) и экспертных систем (ЭС) для автоматизированного определения аномалий в сетевом трафике.

В результате анализа работы по предметной области поставлена цель исследования: разработка методики управления трафиком на основе циклического анализа, которая позволит повысить надежность передачи данных в ВС.

Во второй главе разработана методика управления СТ на основе выявления отклонений в поведении трафика. Построена общая схема системы управления (СУ) трафиком на основе идентификации аномалий объема сетевого трафика с использованием циклического анализа. Разработана математическая модель (ММ) прогнозирования трафика на основе циклического анализа.

В третьей главе разработаны алгоритмы, формализующие процесс поиска источников аномалии и методику управления на основе механизма фильтрации трафика. Проведено обучение системы поддержки принятия решения (СППР). На основе разработанных алгоритмов реализован программный продукт (ПП). Предложены варианты применения ПП в вычислительной сети.

В четвертой главе проведен анализ эффективности разработанной методики управления сетевым трафиком и разработанной на ее основе программного продукта. Предложена техническая реализация представленной методики на основе механизма фильтрации трафика.

В заключении изложены научные результаты, полученные в диссертационной работе.

Заключение диссертация на тему "Управление трафиком вычислительной сети на основе идентификации аномалий"

4.4. Выводы и результаты по главе 4

1. Проведено прогнозирование трафика вычислительной сети методом циклического анализа временных рядов. Проведены эксперименты для проверки адекватности построенной модели прогнозирования трафика. Полученные результаты показывают, что метод циклического анализа можно использовать для прогнозирования сетевого трафика. В свою очередь, полученный прогноз может быть использован для определения неисправностей в работе сети, вызванных техническими сбоями или атаками.

2. Проведено имитационное моделирование аномального поведения трафика в вычислительных сетях. Было выявлено, что использование разработанной методики позволило повысить качество обнаружения аномалий в вычислительных сетях (в среднем, количество обнаруженных аномалий увеличилось на 913%).

3. Предложена техническая реализация представленной методики. Получен патент на полезную модель №113041 от 27.01.2012. Приоритет полезной модели 31.08.2011.

ЗАКЛЮЧЕНИЕ

В диссертационной работе получены следующие основные результаты:

1. Построена математическая модель прогнозирования трафика ВС на базе циклического анализа временных рядов.

2. Разработана система поддержки принятия решения о наличии аномалии, на основе которой можно выявлять и оценивать величину аномалии, а также принимать решение о необходимости применения управляющих воздействий для ее устранения.

3. Разработана методика управления СТ на основе построенной модели, позволяющая повысить эффективность передачи данных в вычислительных сетях, отличающаяся тем, что позволяет не только обнаруживать аномальный трафик в работе вычислительной сети, но и производить численные оценки величины аномалии и принимать меры по ее устранению.

4. Модель реализована в виде программного продукта для управления трафиком с целью повышения надежности передачи данных в вычислительных сетях.

5. Применение программного продукта позволило повысить качество обнаружения отклонений поведения сетевого трафика на 9-13%.

6. Предложена техническая реализация представленной методики. Получен патент на полезную модель №113041 от 27.01.2012. Приоритет полезной модели 31.08.2011.

7. Было произведено внедрение результатов работы в Астраханском государственном техническом университете при разработке учебно-методического обеспечения дисциплины «Технология проектирования защищенных автоматизированных систем» на кафедре информационной безопасности, в министерстве финансов Астраханской области, а также в ГКУ АО «Управление по техническому обеспечению деятельности Министерства социального развития и труда Астраханской области».

Обоснованность результатов работы обусловлена корректным применением методов математического моделирования, теории вероятностей, математической статистики, методов искусственного интеллекта.

Обоснованность научных положений и выводов, сформулированных в работе, подтверждается результатами экспериментальных исследований и расчетов, проведенных с помощью программного продукта, разработанного на основе предлагаемой методики. Достоверность подтверждается успешным практическим применением результатов диссертационной работы, что отражено в актах внедрения.

Таким образом, все поставленные задачи решены, и, следовательно, цель диссертационного исследования достигнута.

Библиография Марьенков, Александр Николаевич, диссертация по теме Системный анализ, управление и обработка информации (по отраслям)

1. Биячуев, Т.А. Безопасность корпоративных сетей. Учебное пособие / Т.А. Биячуев, под ред. Л.Г.Осовецкого.- СПб: СПб ГУ ИТМО, 2004.- 161 с.

2. Таненбаум, Э. Компьютерные сети. 4-е издание / Э. Таненбаум СПб.: Питер, 2003 - 992 с.

3. Ирвин, Дж. Передача данных в сетях: инженерный подход / Дж. Ирвин, Д. Харль. СПб.: БХВ-Петербург, 2003 - 434 с.

4. Гаранин, М.В. Системы и сети передачи информации: Учебное пособие для вузов, / М.В. Гаранин, В.И. Журавлев, C.B. Кунегин М.: Радио и связь, 200 - 336 с.

5. Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы. 3-е издание / В. Г. Олифер, Н. А. Олифер СПб.: Питер, 2006 - 958 с.

6. Столлингс, В. Компьютерные системы передачи данных. 6-е издание /

7. B. Столлингс М.:Вильямс, 2002 - 928 с.

8. Парк, Дж. Передача данных в системах контроля и управления / Дж. Парк,

9. C. Маккей, Э. Райт М.ЮОО «Группа ИДТ», 2007 - 480 с.

10. Халсалл, Ф. Передача данных, сети компьютеров и взаимосвязь открытых систем / Ф. Халсалл М.: Радио и связь, 1995 - 408 с.

11. Гладких, A.A. Базовые принципы информационной безопасности вычислительных систем / A.A. Гладких, В.Е. Дементьев Ульяновск: УлГТУ, 2009.- 156 с.

12. Ю.Медведовский, И.Д. Атака из Internet / И.Д. Медведовский, П.В. Семьянов, Д.Г. Леонов, A.B. Лукацкий М.: Солон-Р, 2002 - 368 с.

13. Галатенко, В.А. Основы информационной безопасности / В.А. Галатенко -М.: Интернет-Университет Информационных Технологий ИНТУИТ.РУ, 2003 - 264 с.

14. Щербаков, А.Ю. Введение в теорию и практику компьютерной безопасности / А.Ю. Щербаков М.: Издательство Молгачева С. В., 2001 - 352 с.

15. Чуянов, А.Г. Информационная безопасность: учеб. пособие / А.Г. Чуянов,

16. A.A. Симаков Омск: Изд-во Омск. акад. МВД России, 2001 - 184 с.

17. Козлов, В.Е. Теория и практика борьбы с компьютерной преступностью /

18. B.Е. Козлов М.: Горячая линия-Телеком, 2002. С. 33 - 38.

19. Камаев, В.А. Методология обнаружения вторжений / В.А. Камаев, В.В. Натров Волгоград: Изв. Волгоград, гос. техн. ун-та.Сер.: Концептуальное проектирование в образовании, технике и технологии: межвуз. сб. науч. ст., 2006-С. 148-153.

20. Карлтон, Е. Интернет и проблемы безопасности корпоративных сетей / Е. Карлтон // Электронный ресурс., 2007. Режим доступа: http://st.free-lance.ru/users/ViktorS/upload/f4a2a86252e267.pdf

21. Платонов, В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей / В.В. Платонов М.: Академия, 2006 - 240 с.

22. Андрончик, А.Н. Защита информации в компьютерных сетях / А.Н. Андрончик, В.В. Богданов, H.A. Домуховский, A.C. Коллеров, Н.И. Синадский, Д.А. Хорьков, М.Ю. Щербаков Екатеринбург: УГТУ-УПИ, 2008 - 248 с.

23. Норткат, С.Обнаружение нарушений безопасности в сетях / С. Норткат, Дж. Новак М.: Изд. дом "Вильяме", 2003 - 448 с.

24. Романец, Ю.В. Защита информации в компьютерных системах и сетях / Ю. В. Романец, П. А. Тимофеев, В. Ф. Шаньгин М: "Радио и связь", 1999 - 328 с.

25. Поршнев, C.B. Спектральные свойства аномального Интернет-трафика / С. В. Поршнев, Э. В. Афонцев М. : Машиностроение : Информационные технологии. 2006. - N 12 - С.66 - 69.

26. Гирик, A.B. Обнаружение информационных угроз безопасности передачи данных в телекоммуникационных сетях / A.B. Гирик Телематика-2008: Труды XV Всероссийской научно-методической конференции, 2008

27. Хореев, П.Б. Методы и средства защиты информации в компьютерных системах: Учеб. Пособие для студ. высш. учеб. Заведений / П.Б. Хореев -М.: Издательский центр «Академия», 2005 256 с.

28. Хоффман, J1. Дж. Современные методы защиты информации / Л.Дж. Хоффман М.: Советское радио, 1980 - 264 с.27.3Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие / В.Ф. Шаньгин М.: ИД «ФОРУМ»: ИНФРА-М, 2009416 с.

29. Запечников, C.B. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 Средства защиты в сетях /C.B. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков М.: Горячая линия -Телеком, 2008 - 558 с.

30. Зима, В.М. Безопасность глобальных сетевых технологий / В.М. Зима, A.A. Молдовян, H.A. Молдовян СПб., "БХВ-Петербург", 2000 - 320с.

31. Грушо, А. А. Теоретические основы компьютерной безопасности: учеб. пособие для вузов по специальности 090100 "Информационная безопасность" / А. А. Грушо, Э. А. Применко, Е. Е. Тимонина, 2009. 267 с.

32. Щеглов, А.Ю. Защита компьютерной информации от несанкционированного доступа / А.Ю. Щеглов СПб: Наука и Техника, 2004. - 384 с.34,Остроухов, М. Поговорим о брандмауэрах / М. Остроухое М.: КомпьютерПресс, 2005. - № 2. - С.80-92.

33. Дмитриев, И.И. Критерии выбора межсетевых экранов. / И.И. Дмитриев, Т.Т. Рындина, И.Т. Сахаров М.: Технологии и средства связи., 1999. - №41. C.82-86.

34. Лукацкий, А.В. Системы обнаружения атак» / А.В. Лукацкий М.: Электроника НТБ. - 1999. - №5.

35. Наумов, Д.А. Построение модели бессигнатурной системы обнаружения атак / Д.А. Наумов // Материалы межрегиональной научно-технической конференции «Телематика 2007». СПб.: 2007, т. 2, С. 459-461.

36. Лукацкий, А.В. Безопасность сети банка глазами специалистов / А.В. Лукацкий // Аналитический банковский журнал, 1999 №1-2.

37. Amoroso, Е. Intrusion Detection. An Introduction to Internet. Surveillance. Correlation, Trace Back, Traps and Response / E Amoroso Intrusion.Net Books, 1999.

38. Barford P. A Signal Analysis of Network Traffic Anomalies / P. Barford, J. Kline,

39. D. Plonka, A. Ramos proceedings of acm sigcomm internet measurement workshop 2002.

40. Salem M. Identifying DOS Attacks Using Data Pattern Analysis / M.Salem, H.Armstrong 2008.

41. Hyun Joo Kim. Network Traffic Anomaly Detection based on Ratio and Volume Analysis / Hyun Joo Kim, Jung C. Na, Jong S. Jang 2006.

42. Li Zonglin. Detecting Distributed Network Traffic Anomaly with Network-Wide Correlation Analysis / Li Zonglin, Hu Guangmin, Yao Xingmiao, and Yang Dan -2008.

43. Casas P. Volume Anomaly Detection in Data Networks: an Optimal Detection Algorithm vs. the PCA Approach / Pedro Casas, Lionel Fillatre, Sandrine Vaton, Igor Nikiforov FITraMEn, Vol. 5464Springer (2008), p. 96-113.

44. Chatzigiannakis, V. Data fusion algorithms for network anomaly detection: classification and evaluation / V. Chatzigiannakis, G. Androulidakis, K. Pelechrinis, S. Papavassiliou, V. Maglaris 2007.

45. Сердюк, B.A. Перспективы развития новых технологий обнаружения информационных атак. // Системы безопасности связи и телекоммуникаций, №5, 2002, С. 78-82.

46. Свечников, JI.A. Архитектура распределенной системы обнаружения атак. // Материалы 8й научно-практической конференции «Информационная безопасность 2006». Таганрог: Изд. ТРТУ, 2006, С. 180-184.

47. Свечников, JI.A. Моделирование и оптимизация системы обнаружения атак в локальных вычислительных сетях. Интеллектуальные системы обработки и управления информацией. Уфа: Изд-во УГАТУ, 2008, С. 175-178

48. Беляев А. Системы обнаружения аномалий: новые идеи в защите информации / А. Беляев, С. Петренко "Экспресс-Электроника", 2004 - №2.

49. Аверьянихин, А. Е. Оптимизация работы коммуникационного оборудования путем упреждающего прогнозирования состояния сети // Сборник материалов конференции «Наукоемкие технологии и интеллектуальные системы 2007», 2007. Т1, с. 80-89.

50. Городецкий, А .Я. Информатика. Фрактальные процессы в компьютерных сетях: Учеб. пособие. / А.Я. Городецкий, B.C. Заборовский СПб.: Изд-во СПбГТУ - 2000 - 102 с.

51. Соловьев, А.Ю. О задаче прогнозирования самоподобных сетевых процессов // Труды Второй Международной научной интернет-конференции

52. Современные проблемы информатизации в системах моделирования, программирования и телекоммуникациях» Электронный ресурс., 2009. -Режим доступа: http://econf.rae.ni/pdf/2009/l 1 /7dcd340d84.pdf.

53. Треногин, Н. Г. Фрактальные свойства сетевого трафика в клиент-серверной информационной системе. // Вестник НИИ СУВПТ. Сборник научных трудов. Красноярск, 2003. С. 163-172.

54. Бельков, Д.В. Исследование сетевого трафика // 36. Наукових праць ДонНТУ. CepiH "1нформатика, юбернетика, обчислювальна техшка". Вип. 10 (153): Донецьк: ДонНТУ.- 2009.- С. 212 -215.

55. Leland, W.E. On the self-similar nature of Ethernet traffic (extended version) / Leland, W.E., Taqqu, M.S., Willinger, W., Wilson, D.V. IEEE/ACM Transactions of Networking, 2(1):1-15, 1994.

56. Столлингс, В. Современные компьютерные сети / В. Столлингс СПб.: Питер, 2003 - 783 с.5 7. Платов, В. В. Исследование самоподобной структуры телетрафика беспроводной сети // Радиотехнические тетради, № 30, 2004, С. 58-62.

57. Цыбаков, Б.С. Модель телетрафика на основе самоподобного случайного процесса / Б.С. Цыбаков С. Радиотехника, №5, 1999. - С.24-31.

58. Стешенко, В.В. Управление трафиком корпоративных вычислительных сетей на базе нейросетевых технологий. Диссертация, Астрахань, 2008.

59. Петров, В.В. Структура телетрафика и алгоритм обеспечения качества обслуживания при влиянии эффекта самоподобия. Диссертация, Москва, 2004.

60. Урьев, Г.А. Исследование фрактальных свойств потоков трафика реального времени и оценка их влияния на характеристики обслуживания телекоммуникационных сетей, автореферат, Москва, 2007.

61. Осин, A.B. Влияние самоподобности речевого трафика на качество обслуживания в телекоммуникационных сетях, автореферат, 2005.

62. Керимов, A.K. Анализ и прогнозирование временных / А.К. Керимов М.: Издательство Российского Университета дружбы народов, 2005 - 140 с.

63. Андерсон, Т. Статистический анализ временных рядов / Т. Андерсон М.: Мир, 1976 -756 с.

64. Криницкий, H.A. Автоматизированные информационные системы / H.A. Криницкий, Г.А. Миронов, Г.Д. Фролов; под ред. A.A. Дородницына М.: Наука. Главная редакция физико-математической литературы, 1982. - 384 с.

65. Белоногов, Г.Г. Автоматизированные информационные системы / Г.Г. Белоногов, В.И. Богатырев; под ред. К.В. Тараканова М.: «Сов. радио», 1973. —328 с.

66. Проталинский, О.М. Применение методов искусственного интеллекта при автоматизации технологических процессов. Монография / О.М. Проталинский Астрахань: Изд-во АГТУ, 2004. - 184 с.

67. Джарратано, Дж. Экспертные системы. Принципы разработки и программирование / Дж. Джарратано, Г. Райли М.: Вильяме, 2006. - 267 с.

68. Попов, Э.В. Статические и динамические экспертные системы / Э.В. Попов, И.Б. Фоминых, Е.Б. Кисель, М.Д. Шапот М.: Финансы и статистика, 1996 -320 с.

69. Уотермен, Д. Руководство по экспертным системам / Д. Уотермен М.: Мир, 1989.-390 с.

70. Алтунин, А.Е. Модели и алгоритмы принятия решений в нечетких условиях / А.Е. Алтунин, М.В. Семухин Тюмень: Изд-во ТюмГУ, 2000. - 352 с.

71. Конышева, J1. К. Основы теории нечетких множеств. Учебное пособие / JI.K. Конышева, Д.М. Назаров. Издательство: Питер, Серия: Учебное пособие, 2011 г. - 192 с.

72. Марьенков, А.Н. Повышение безопасности компьютерных систем и сетей на основе анализа сетевого трафика / А.Н. Марьенков, И.М. Ажмухамедов // Инфокоммуникационные технологии. 2010. - №3 - Т.8. С.106-108.

73. Заболотский, В.П. Математические модели в управлении. Учебное пособие / В.П. Заболотский A.A. Оводенко, А.Г. Степанов СПб.: СПбГУАП, 2001. -196 с.

74. Ивахненко, А.Г. Моделирование сложных систем по экспериментальным данным / А.Г. Ивахненко М.: Радио и связь, 1987, - С 71 - 73.

75. Шрейдер, Ю.А. Системы и модели / Ю.А. Шрейдер М.: Радио и связь, 1982 -С. 152.

76. Швагер, Д.Н. Технический анализ Полный курс / Д.Н. Швагер М.: издательство Альпина Бизнес Букс, 2007 - 768 с.

77. Медведев, С.Ю. Преобразование Фурье и классический цифровой спектральный анализ / С.Ю. Медведев // Электронный ресурс. Режим доступа: http://www.vibration.ru/preobrazfur.shtml.

78. Елисеева, И.И. Общая теория статистики / И.И. Елисеева М.: Финансы и статистика, 2004. - 656 с.

79. Васенин, В.А. Проблемы и методики анализа трафика телекоммуникационных компьютерных сетей / В.А. Васенин, A.A. Макаров // Тез. докл. Международной научно-практической конференции, Новосибирск, 1997 с. 173.

80. Васяева, Н.С. DoS атаки, обнаружение и их предотвращение в компьютерных сетях / Н.С. Васяева, A.B. Скулкин // Сборник материалов региональной научно-практической конференции. Йошкар-Ола: МарГТУ, 2005, - С. 65-69.

81. Уотерман, Д. Руководство по экспертным системам /Д. Уотерман М.: Мир, 1989. - 388 с.

82. Уэно, X. Представление и использование знаний /X. Уэно, М. Исидзука М.: «Мир», 1989 - 220 с.

83. Иванов, A.C. К вопросу верификации продукционных баз знаний /

84. A.С.Иванов // Теоретические проблемы информатики и ее приложений. Вып. 7. Саратов, 2006. - С.52-59.

85. Хейес-Рот, Ф. Построение экспертных систем / Ф. Хейес-Рот , Д. Уотерман, Д. Ленат М.: Мир, 1987.

86. Заде, Л. Понятие лингвистической переменной и его применение к принятию приближенных решений / Л. Заде М: МИР, 1976. - 166 с.

87. Гиляров, В.Н. Формализация знаний в нечетких экспертных системах /

88. B.Н. Гиляров, А.Н. Токмаков // Приборы и системы: Управление, контроль, диагностика 2001. - №9.

89. Джексон, П. Введение в экспертные системы / П. Джексон М.: Изд. дом «Вильяме», 2001.

90. Иванов, A.C. Представление продукционных баз знаний в экспертных системах / A.C. Иванов // Компьютерные науки и информационные технологии. Саратов, 2002. - С.30-31.

91. Титенко, Е.А. Продукционный подход к проектированию экспертных систем / Е.А. Титенко, Ф.А. Стариков //Известия Курского государственного технического университета, 2002.- №2.

92. Башмаков, А.И. Стратегии разрешения противоречий в базах знаний / А.И. Башмаков, И.А. Башмаков // Вестник МЭИ, 2001. №3. - С. 80-87.

93. Дунаев, С.Б. INTRANET технологии / С.Б. Дунаев М.: Диалог-МИФИ, 1997. - 272 с.

94. Компания Cisco Systems. Руководство по технологиям объединенных сетей: Пер. с англ. / Компания Cisco Systems; под редакцией Крикуна А.Н. М.: Издательский дом «Вильяме», 2002. - 1040 с.

95. Официальный сайт компании xfous. http://www.xfocus.org

96. Официальный сайт компании «NsaSoft US LLC» http://www.nsauditor.com

97. Официальный сайт сетевой система обнаружения и предотвращения вторжений Snort.org

98. Система обнаружения вторжений на базе IDS Snort (snort ids), http://www.opennet.ru/base/sec/snortids.txt.html

99. Сайт русской группы пользователей Snort http://www.snortgroup.ru/

100. RFC 791, http://tools.ietf.org/html/rfc791

101. Блюмин, C.JI. Нечеткая логика: алгебраические основы и приложения: Монография / C.JI. Блюмин и др. Липецк: ЛЭГИ, 2002. - 113 с.

102. Кучерявый, Е.А. Управление трафиком и качество обслуживания в сети Интернет / Е.А. Кучерявый СПб.: Наука и Техника, 2004. - 336 с.

103. Чернышевская, Е.И. Метод обеспечения гарантированного качества обслуживания в IP-сетях / Е.И. Чернышевская, И.Ю. Селянина // "Век качества" № 6. - 2010 С.70-72.

104. Гольдштейн, Б.С. Показатели функционирования мультисервисной сети связи общего пользования / Б.С. Гольдштейн, М.А. Маршак, Е.Д. Мишин, H.A. Соколов, A.B. Тум Вестник связи, - №5-6. - 2009, С.34-39.

105. Вегешна, Ш. Качество обслуживания в сетях 1Р / Ш. Вегешна М.: Вильяме, 2003. - 368 с.

106. Кудзиновская, И. П. Анализ методов обеспечения качества обслуживания в высокоскоростных компьютерных сетях Електронний ресурс. / И.П. Кудзиновская // Режим доступа:

107. Ьйр://ша81ег8. donntu.edu.ua/201 О^ка/^БЬепко/НЬгагу/articlel.htm

108. Величкевич, И.О. Обеспечение качества обслуживания в сетях с коммутацией пакетов / И.О. Величкевич, Н.И. Листопа Весшк сувяз1, 2009. --№2.-С. 17-23.