автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Выявление нарушений информационной безопасности по данным мониторинга информационно-телекоммуникационных сетей

На правах рукописи

Ковалев Дмитрий Олегович

ВЫЯВЛЕНИЕ НАРУШЕНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ДАННЫМ МОНИТОРИНГА ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

Специальность 05.13.19 - «Методы и системы защиты информации, информационная безопасность»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

~ 3 НОЯ 2011

Москва-2011

4858594

Работа выполнена в Национальном исследовательском ядерном университете «МИФИ» (НИЯУ МИФИ)

Научный руководитель: кандидат технических наук, доцент

Милославская Наталья Георгиевна

Официальные оппоненты: доктор технических наук, с.н.с.,

член-корреспондент академии криптографии РФ Будзко Владимир Игоревич

кандидат физико-математических наук, с.н.с Велигура Александр Николаевич

Ведущая организация: Всероссийский научно-исследовательский

институт проблем вычислительной техники и информатизации (ВНИИПВТИ)

Защита состоится 23 ноября 2011 г. в 15 часов 00 минут на заседании диссертационного совета ДМ 212.130.08 при Национальном исследовательском ядерном университете «МИФИ» по адресу: 115409, г. Москва, Каширское шоссе., д.31, диссертационные советы при НИЯУ МИФИ, тел.: +7 (495) 323-95-26.

С диссертацией можно ознакомиться в библиотеке Национального исследовательского ядерного университета «МИФИ».

Отзывы в двух экземплярах, заверенные печатью организации, просьба направлять по адресу: 115409, г. Москва, Каширское шоссе., д.31, диссертационные советы при НИЯУ МИФИ, тел.: +7 (495) 323-95-26.

Автореферат разослан « »СЮуу^цА 2011 г.

Ученый секретарь диссертационного совета:

Кандидат технических наук, доцент

Горбатов В.С.

I. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Информационно-телекоммуникационная сеть (ИТС) крупной корпоративной организации часто насчитывает десятки средств защиты информации (СЗИ), входящие в состав системы обеспечения информационной безопасности (СОИБ). Каждое из СЗИ может регистрировать сотни тысяч событий информационной безопасности (ИБ) в день. Большинство из этих сообщений ИБ являются результатом нормальной сетевой активности, и лишь немногие свидетельствуют о наличии реальных атак в ИТС. Поэтому в настоящее время мониторинг ИБ ИТС в динамически меняющейся сетевой среде является очень важной и сложной задачей. Для решения этой задачи используются системы мониторинга ИБ, которые осуществляют сбор сообщений ИБ, приведение их к единому виду, агрегацию и корреляцию для выявления аномальной сетевой активности. Примерами таких систем являются: Netforencics, Cisco MARS, IBM Tivoli, HP Arcsight и т.п.

Помимо сообщений ИБ современные системы мониторинга ИБ хранят в своем банке данных большое количество данных, имеющих отношения к ИБ: сведения об уязвимости конечных систем, сведения о выполнении политик ИБ и т.п. Совокупность информации, хранящейся в подобном банке данных, может быть использована для поддержки принятия решений по обеспечению ИБ. Однако объемы этих данных их разнородный характер делают сложным учет всех возможных параметров. Таким образом, возникает противоречие между наличием параметров, влияющих на обеспечение ИБ организации, и отсутствием методики, позволяющей одновременно учесть все эти параметры и дать на их основе некоторую консолидированную оценку результатов мониторинга ИБ. Положительный эффект от методики получения консолидированной оценки результатов мониторинга ИБ заключается в том, что она может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.

Данное противоречие может быть разрешено посредством оперативной обработки разнородных данных хранящихся в БД системы мониторинга ИБ и рас-

3

чета на их основе некоторой консолидированной оценки результатов мониторинга ИБ. Консолидированная оценка позволит учесть все множество данных, хранящихся в системе мониторинга ИБ, при этом сведя их к значимому, релевантному и понятному единому индикатору. Полученный индикатор может быть далее использован для принятия быстрых корректных ответных действий обслуживающим персоналом системы мониторинга ИБ.

В направлении исследования систем мониторинга ИБ работали многие отечественные и зарубежные ученые: П.Д. Зегжда, А.В Лукацкий, О.Б. Макаревич, В.В Романов, Д.В. Ушаков, И.А. Шелудько, R. Bidou, H. R. Debar, L. A. Johnson, R. Marchan, J. Myers, V. Paxson, J.S. Thomas, H. Zhang и другие.

В тоже время дальнейшего развития требуют методы обобщения результатов мониторинга ИБ, получения консолидированной оценки результатов мониторинга ИБ и способы построения централизованной упреждающей защиты.

Научно-технические проблемы защиты информационных ресурсов, информационных и телекоммуникационных систем определены в качестве основных направлений научных исследований в области обеспечения ИБ РФ, утвержденных Советом безопасности в 2008 г., что подчеркивает актуальность настоящей работы.

Тема работы соответствует пунктам 2, 14, 15 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Объект исследования. Объектом исследования являются системы мониторинга ИБИТС.

Предмет исследования. Предметом исследования являются методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС. В работе рассматриваются корпоративные ИТС, представляющие собой открытые среды с возможностью выхода в Интернет, а также сетевые атаки, которые могут быть идентифицированы посредством анализа данных, содержащихся в системах мониторинга ИБ. Рассматриваются системы мониторинга ИБ, построенные на базе реляционных СУБД.

Цель исследования. Целью работы является повышение защищенности ИТС посредством своевременного результативного выявления нарушений ИБ.

Задачи, решаемые для достижения поставленной цели. В рамках работы решаются следующие задачи:

1) исследовать методы и алгоритмы, используемые в работе систем мониторинга ИБ;

2) исследовать закон распределения количества сообщений ИБ;

3) разработать метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ;

4) разработать методику получения консолидированной оценки результатов мониторинга ИБ ИТС;

5) разработать практические рекомендации по улучшению систем мониторинга ИБ;

6) разработать программную реализацию, позволяющую получить консолидированную оценку результатов мониторинга ИБ и провести экспериментальную проверку ее работы.

Методы исследования. В качестве основных методов исследования применялись методы системного анализа, теории вероятности и математической статистики, теории нечетких множеств и нечеткой логики.

Основные научные результаты, полученные автором. На защиту выносятся следующие основные результаты работы:

1) метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ;

2) методика получения консолидированной оценки результатов мониторинга ИБ, основанная на методах нечеткой логики и включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки.

Научная новизна. Научная новизна работы заключается в следующем:

1) исследован закон распределения количества сообщений ИБ для различных временных интервалов при отсутствии атак в ИТС, который в дальнейшем используется в методе выявления нарушений ИБ в потоке сообщений ИБ;

2) разработан метод выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ. Данный метод позволяет определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, что может являться сигналом аномальной сетевой активности;

3) создана методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки, используемые в процессе обеспечения ИБ ИТС.

Практическая значимость работы. Практическая значимость работы заключается в следующем:

1) результаты исследования могут использоваться организациями при проектировании и разработке собственных систем мониторинга ИБ и наметить дальнейшие перспективы развития систем мониторинга ИБ и комплексных систем защиты информации в целом;

2) программная реализация, позволяющая получить консолидированную оценку результатов мониторинга ИБ, может быть применена организациях в процессе обеспечения ИБ ИТС;

3) материалы диссертации также могут быть использованы при чтении курсов лекций по теории и практике защиты информации.

Достоверность результатов. Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, соответствием предложенных улучшений общим архитектурным принципам построения СЗИ и результатами лабораторного эксперимента.

Реализация результатов исследования. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Кибернетика и информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Апробация результатов и сведения о публикациях. Основные положения диссертационной работы нашли отражение в 13 публикациях по теме проведенного исследования, 4 из которых опубликованы в журналах Перечня ВАК и 9 тезисов научных докладов. Результаты диссертационной работы докладывались на Всероссийской научно-технической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2008-2010 гг.), конференции «Технологии Microsoft в теории и практике программирования» (Москва, 2008 г.), конференции «Информационная безопасность» (Красноярск, 2008 г.), международная конференция «Информационная безопасность» (Таганрог, 2008 г.), общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008 г.), а также на семинарах кафедры «Информационной безопасности банковских систем» НИЯУ МИФИ (Москва, 2009-2010 гг.).

Структура и объем работы. Структура диссертации подчинена логике исследования и состоит из введения, четырех глав, заключения и списка литературы. Объем работы составляет 170 страниц, 42 рисунка, 19 таблиц, 4 приложения. II. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность темы исследования, сформулированы цель исследования и содержание поставленных задач, описаны объект и предмет исследования, указаны избранные методы исследования, определены научная новизна и практическая ценность выносимых на защиту результатов.

В первой главе производится анализ применения современных систем мониторинга в рамках комплексного подхода к обеспечению ИБ ИТС. Системы мониторинга ИБ ИТС исследуются с точки зрения архитектуры и функционального

7

устройства, используемых методов и алгоритмов и организационной структуры подразделения ИБ. Рассматриваются преимущества и недостатки различных систем мониторинга ИБ. На основании сделанных заключений делается вывод о том, что методика получения консолидированной оценки результатов мониторинга ИБ ИТС может быть использована при в процессе обеспечения ИБ и реализации упреждающей защиты ИТС.

Сетевая среда ИТС динамически меняется: появляются новые уязвимости, меняется ценность активов организации, возрастает количество известных атак, а также активность злоумышленников. При этом системы мониторинга ИБ хранят в своем банке данных большое количество информации, имеющей отношение к ИБ: сообщения ИБ, сведения об уязвимости конечных систем, сведения о выполнении политик ИБ. Совокупность информации, хранящейся в подобном банке данных, может быть использована для формирования Консолидированной оценки и принятия на основании нее решения о том, какие меры защиты и в какой степени актуальны в текущий момент времени. Таким образом, консолидированная оценка используется оператором системы мониторинга в процессе обеспечения ИБ.

Поддержка в принятии решения

Регистрация событий ИБ Рисунок 1. Система мониторинга ИВ ИТС

Формальная постановка задачи выглядит следующим образом: найти функцию Р5:{1х,13,1у}-* где 1Х, 15,- показатели, позволяющие оценить количе-

8

ство сообщений ИБ, выполнение политик безопасности и уязвимости конечных систем соответственно, ^ - консолидированная оценка результатов мониторинга ИБ. Поскольку в рамках работы рассматриваются три типа исходной информации, хранящейся в БД системы мониторинга ИБ (выполнение политик ИБ, уязвимость конечных систем, сообщения ИБ), то п = 1,3.

Во второй главе производится разработка метода и алгоритма выявления нарушений ИБ в потоке сообщений ИБ. Основным результатом работы любой системы мониторинга ИБ является набор сообщений о выявленных событиях ИБ. В случае, если против ИТС направлена сетевая атака, то количество сообщений ИБ резко увеличивается. Это справедливо как для известных сетевых атак, так и для атак нулевого дня, поскольку СЗИ будут регистрировать большое количество сообщений ИБ, связанных с подозрительной сетевой активностью. Сложность заключается в том, чтобы оценить допустимое количество сообщений ИБ прежде, чем сделать заключение о том, что атака действительно имеет место.

На рис. 2 показан график количества сообщений ИБ при отсутствии атак на ИТС в рамках 10-минутных временных интервалов (значения фиксировались на протяжении одной недели). Из графика видно, что в разное время суток количество сообщений ИБ может значительно различаться. Также видно, что количество сообщений ИБ периодически повторяются изо дня в день с определенной погрешностью.

".V ..........

* :>

1И ^х': 5Г:

:МапЛ«1В И Ту* .VI! еЫт !*

■ гаи

Рисунок 2 - Количество сообщений ИБ в рамках 10-минутных интервалов (Скриншот)

Таким образом, очевидно, что не существует единого порогового значения, которое можно задать заранее для идентификации атаки, и необходимо произво-

Г!

дить оценку количества сообщений ИБ, то есть найти функцию ц = х1—> 1Х, где ¡1 = х{ - число сообщений ИБ, полученных на 1-ом интервале времени I, 1х -показатель, позволяющий оценить количество сообщений ИБ.

Решение данной задачи требует создания адаптивных пороговых значений, которые могли бы динамически обучаться шаблонам сообщений ИБ и постоянно находиться в актуальном состоянии по мере обновления данных.

С точки зрения математической статистики знание распределения количества сообщений ИБ для различного времени суток при отсутствии атак в ИТС позволит достаточно точно определить пороговые значения в нужный момент времени. В табл. 1 приведена статистика количества сообщений ИБ для одного из 10-минутных интервалов, собранная на испытательном стенде в течение 8 недель.

Таблица 1 - Количество сообщений ИБ в рамках 10-минутного интервала [сообщений, шт.]

Неделя/День 1 2 3 4 5 6 7

1 173 154 173 175 162 178 163

г 164 180 172 180 184 180 173

3 164 173 180 174 184 187 184

4 173 184 176 184 192 174 180

5 210 175 175 195 176 185 178

6 185 157 184 185 140 197 185

7 174 180 163 178 184 179 181

8, 173 180 175 174 165 173 161

Мат. ожидание(ЕХ): 176.5536 Дисперсия(1>Х): 121.0153

Для удобства работы со статистическими данными на основании табл. 1 рас-

х-ех , »

считана нормированная статистика , приведенная в табл. 2.

Таблица 2 — Нормированная статистика для количества сообщений ИБ

Неделя/День 1 г 3 4 5 6 7

1 -0.3230 -2.0502 -0.3230 -0.1412 -1.3230 0.1315 -1.2321

2 -1.1412 0.3133 -0.4139 0.3133 0.6769 0.3133 -0.3230

3 -1.1412 -0.3230 0.3133 -0.2321 0.6769 0.9496 0.6769

4 -0.3230 0.6769 -0.0503 0.6769 1.4041 -0.2321 0.3133

5 3.0404 -0.1412 -0.1412 1.6768 -0.0503 0.7678 0.1315

6 0.7678 -1.7775 0.6769 0.7678 -3.3228 1.8586 0.7678

7 -0.2321 0.3133 -1.2321 0.1315 0.6769 0.2224 0.4042

8 -0.3230 0.3133 -0.1412 -0.2321 -1.0503 -0.3230 -1.4139

Мат. ожидание(ЕХ): 0.0000 ДисперсияфХ): 1.0000

Для проверки гипотезы о распределении количества сообщений ИБ в работе использовался непараметрический критерий Колмогорова. Выбор в пользу данного критерия обусловлен тем, что этот критерий достаточно прост, его можно применять для малых выборок и считается, что его мощность выше, чем у критерия х2 • Гистограмма распределения для нормированной статистики количества сообщений ИБ представлена на рис. 3. Для построения гистограммы все множество значений выборки было разбито на л/п = >/56 « 8 интервалов. Вид гистограммы позволяет выдвинуть гипотезу о том, что количество сообщений ИБ распределено по нормальному закону распределения.

© Рг^льгёяь* «м Й

«лда

5.МЙ ■~иг*>

«ш?

■е.ш>

I .ЙИ

в.еш г*»!

Рисунок 3. Гистограмма распределения количества сообщений ИБ Для приведенной статистики мера расхождения между теоретическими значениями нормального распределения и эмпирическими значениями выборки Я = 5ирх ~ Р(х)\у/п = 1.2848, что является меньше, чем Ля » 1.36 для уровня значимости а = 0.05. Таким образом, гипотеза о распределении количества сообщений ИБ принимается при данном уровне значимости. Аналогичные результаты были получены для всех 10-минутных интервалов при уровне значимости а ' 0.05.

Математическое ожидание и дисперсия распределения на соседних временных интервалах должны не очень сильно отличаться, поэтому их оценки могут

быть получены в результате интерполяции по значениям, хранящимся в специально для этого созданной таблице моментов (имеются в виду 1-ый и 2-ой моменты случайной величины). В ходе экспериментов было установлено, что метод квадратичной интерполяции позволяет получить наиболее точные значения оценок математического ожидания и дисперсии. Таблица моментов используется для отслеживания цикличности сообщений ИБ. В рамках данной работы таблица моментов содержит 24 значения для математического ожидания и 24 значения дисперсии, соответствующие каждому часу в сутках. В типовой организации размеры таблицы моментов будут выбираться исходя из цикличности сообщений ИБ. Значения, хранящиеся в таблице моментов, динамически обновляются посредством экспоненциального скользящего среднего после получения очередного количества сообщений ИБ. Метод экспоненциального скользящего среднего представляет собой взвешенное скользящее среднее, у которого веса уменьшаются экспоненциально с удаленностью рассчитываемой величины от текущего значения наблюдения. Комбинация методов интерполяции значений таблицы моментов и расчета значений экспоненциальным скользящим средним позволяет оценивать как цикличность сообщений ИБ, так и долговременные тенденции.

Функция ^ реализуется последовательностью из четырех основных шагов, которые применяются каждый раз при получении очередного количества сообщений ИБ х{:

1) интерполировать значения в таблице моментов и получить оценку параметров для нормального распределения Р( для 1-го интервала времени;

2) обновить значения таблицы моментов в соответствие с полученным значением количества сообщений ИБ

3) оценить количество сообщений ИБ хг путем расчета стандартной оценки на основании параметров распределения Рг;

4) рассчитать значение показателя 1х на основании стандартной оценки

Пусть х( - это количество сообщений, полученное на Ьом интервале времени, который соответствует циклу с, часу Ь (1< Ь <Н) и минуте ш (1< ш <М), где 11=24 - количество часов в дне, М=60 - количество минут в часе.

12

На первом шаге происходит получение оценок математического ожидания Р^и дисперсии а£ т нормального распределения на 1-ом интервале времени получаются в результате квадратичной интерполяции значений математического ожидания и дисперсии, хранящихся в таблице моментов {(Е),, И),): Ь=1,...,Н}.

Пусть арифметическое среднее М=60 математических ожиданий, полученных в результате интерполяции в рамках одного часа, равно соответствующему значению из таблицы моментов. Аналогично арифметическое среднее М=60 дисперсий, полученных в результате интерполяции в рамках одного часа, равно соответствующему значению Оь из таблицы моментов.

Тогда, если взять три последовательных часа (-1,0], (0,1], (1,2], то можно определить коэффициенты квадратической интерполяции (А,В,С):

гi уд 2 3

J (At2 + Bt + C)dt = y-y + C = E1M

Решение данной системы уравнений относительно А,В,С дает: А = М(Е_! - 2Е0 + Еа)/2 В = М(Е0 - E_j) С = M(2E_i + 5Е0 - Еа)/б

_ т-1 ш

Пусть m J = -jj- , ш2 = — - две последовательные минуты, тогда значение оценки математического ожидания, полученное в результате процедуры интерполяции, соответствующей минуте m часа h равно:

Рьда = /"'(At2 + Bt + C)dt = A (mi2 + mim2 + ш22) + i (Ш! + ш2) + £

Таким образом, выведено выражение для расчета оценки р^ из сохраненных значений математических ожиданий в таблице моментов. Аналогичным образом для дисперсии:

о

А' = М(0_! - 2О0 + 0^/2

В' = М(Б0 - 0_а)

С' = М(20_а + 500 - 0^/6

^ = + ВЧ + Ой = £ (га^ + пцш, + т22) + ^ (т, + т2) + £

Интерполяция коэффициентов (А, В, С) и (А', В', С'), использующихся для расчета оценок математического ожидания и дисперсии, производится раз в час. Интерполяция сглаживает как значения внутри часа, так и между часами, поскольку коэффициенты зависят от хранящихся в таблице моментов оценок для данного часа, а также двух смежных с ним часов.

На втором шаге происходит обновление значений таблицы моментов. При обновлении значений таблицы моментов сложная ситуация возникает в случае экстремальных значений количества сообщений ИБ. Большой разброс значений может привести к резкому увеличению математического ожидания и дисперсии, что в свою очередь означает длинные хвосты распределения и неоднозначность выявления атаки в будущем. Если просто перестать учитывать экстремальные значения в расчетах, то это приведет к недооценке математического ожидания и дисперсии, то есть получится распределение с очень короткими хвостами и большим количеством ложных срабатываний. Таким образом, ситуации экстремальных значений количества сообщений ИБ необходимо обрабатывать особенно. Возможны следующие варианты:

1) очень большое экстремальное значение хс > хо ч9чч - в этом случае в расчетах вместо Х(; используется произвольное значение х'с из интервала: х0.дд < х[ < х0 9999, где х0.99,х0 9999 - квантили распределения уровней 0.99 и 0.9999 соответственно;

2) очень маленькое экстремальное значение х£ < х0 0001 - в этом случае в расчетах вместо х1 используется произвольное значение х" из интервала: хо.ооо1 < х" < Хо.о1> гДе хо.о1>хо.ооо1 ~ квантили распределения уровней 0.01 и 0.0001 соответственно;

3) отсутствие количества сообщений ИБ на интервале I - в этом случае в

расчетах используется произвольное значение х'(" из интервала: х001 < х"' <

14

х0.99 где х0 01,х0 д9 - квантили распределения Рг уровней 0.01 и 0.99 соответственно.

Математическое ожидание и днсперспя сохраняются в таблицу моментов по истечении каждого часа. Обновленное значение математического ожидания для нормального распределения на 1-ом интервале времени, заканчивающимся на минуте т и часу Ь цикла с, рассчитывается как экспоненциальное скользящее среднее от двух величин: 1) р^, полученной в результате интерполяции 2) хь которое является количеством наблюдаемых сообщений ИБ (с учетом правил для экстремальных или отсутствующих значений указанных выше):

р^;' = (1 - + шсх{; шс = ы + ^ , где

V,' - некоторый фиксированный вес, принимающий значения между 0 и 1. шс - временный вес для текущего цикла, который снижается до постоянного веса по мере прохождения циклов и позволяет быстрее определить значение математического ожидания при инициализации системы. Фактически после прохождения большого количества циклов выражение принимает вид:

Выражение для дисперсии выводится следующим образом:

так как 0П = -Х^)2, гдеХ^ = ¿2?=!^, то:

оп+1 + (хп+1 -ю2+тасх,,« +

+(п+1)(Х;-

Поскольку = Х; Х1 = £¡¿£¡±1, то:

Оп+1 = "п + ^¡^(Хп+1 — — хп+1),

Приняв \ус = —получается выражение для обновленного значения оценки дисперсии для 1-го интервала времени:

а1т ' = С1 ~ ™с)сть,т + - - Р^')

Значения математического ожидания и дисперсии в таблице моментов не

меняются в течение всего цикла. Для того чтобы в конце цикла обновить таблицу

моментов по мере поступления наблюдений, рассчитываются временные значе-

15

ния математического ожидания Е{, и дисперсии Е{, и инициализируются нулевыми значениями в начале часа по мере поступления наблюдений х,. обновляются по следующим формулам:

Р'-р' -Р' - + г, _п.

(Ш ~ 1)4,т-1 + (<т )' ,

К = Км-, ои =-'т : Ом = 0;

В конце цикла полученные Е^ и замещают сохраненные в таблице моментов Еь и соответственно, которые используются в следующем цикле.

На третьем шаге производится оценка х4. Атаки в ИТС характеризуются повышенным количеством сообщений ИБ. Сниженное количество сообщений ИБ является индикатором того, что одно или несколько СЗИ вышло из строя. Таким образом необходимо отслеживать оба типа ситуаций.

Поскольку нормальные распределения на различных временных интервалах будут иметь различные параметры, то для того, чтобы сравнивать наблюдения х4 между собой их предварительно необходимо нормировать. Для этого рассчитывается нормированная статистика = .—1- .

На четвертом шаге производится расчет значения 1х по методу экспоненциального скользящего среднего от по следующей формуле:

^ _ ^——

1Х = (1 — + тл^, где Ъ^ — Для веса V/ в интервале (0,1], 10 = 0.

Показатель 1Х позволяет учитывать как магнитуду, так и длительность изменений. Например, резкий скачок количества сообщений (высокая магнитуда, но короткая длительность) может вывести 1х за пороговые значения точно также, как последовательность менее выраженных, но необычных скачков сообщений ИБ (малая магнитуда, но большая длительность) могут свидетельствовать об атаке. Для того, чтобы учитывать длительность изменений используется вес \у, принимающий значения в интервале (0,1]. Значение выбирается для каждой организации отдельно, либо опытным путем, либо на основании экспетных оценок.

16

В третьей главе производится разработка методики получения консолидированной оценки \ результатов мониторинга ИБ. Методика получения консолидированной оценки результатов мониторинга ИБ включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ, получения консолидированной оценки и выработки рекомендаций по настройке СЗИ на ее основе.

Для получения консолидированной оценки формально требуется найти

функцию ^'.Ох,^, 1у}-» I, где 1Х,15.1У- показатели, позволяющие оценить количество сообщений ИБ, выполнение политик безопасности и уязвимости конечных систем соответственно, £ - консолидированная оценка. Для решения данной задачи применяются методы теории нечетких множеств и нечеткой логики. Алгоритм получения консолидированной оценки представлен на рис.4.

Начало

Рисуиок 4. Алгоритм получения консолидированной оценки 17

Алгоритм включает следующие шаги:

1) если экспертные оценки не были проведены, то провести экспертные оценки, в противном случае перейти к шагу 5;

2) на основании экспертных оценок составить набор лингвистических термов, характеризующих значения входных параметров [¡: а'к,к £ [1,7;] и выходного параметра г: (3;, ) 6 [1,Т], где Т( - количество термов параметра Т - количество термов выходного параметра г. В качестве термов а'к, {¡] используются лингвистические значения вида: «низкий», «средний», «высокий» и т. д.;

3) на основание экспертных оценок построить функции принадлежности для всех входных параметров I,: {Р^СЬУ- £ [1. М]. к £ [1, Т(]} и для выходного параметра г: £ [1,7"]}, где и г — переменные значения входных и выходного параметров. Функции принадлежности определяют соответствие входных и выходного параметров нечетким множествам. Нечеткие множества формализуют лингвистические высказывания вида: «Большое количество уязвимостей», «Малое количество сообщений ИБ» и т. д.;

4) на основании экспертных оценок построить базу нечетких правил в виде набора правил вида П;е[1,лг] {<4: к е [1. ~> {Р/- У £ [1. Л};

5) получить оценки параметров I; из банка данных системы мониторинга ИБ;

6) провести фаззификацию входных параметров, определить значения функций принадлежности, соответствующие оценкам, полученным на шаге 2: Я^Д £ [1,Т(] I £ [1,Л7];

7) определить степени истинности для каждого из нечетких правил;

8) рассчитать значение выходного параметра г на основании степеней истинности нечетких правил;

9) вычислить результирующее значение % путем дефаззификации выходного параметра ^ =

В четвертой главе производится разработка программной реализации, позволяющей получить консолидированную оценку результатов мониторинга ИБ, и экспериментальная проверка ее работы. Для проведения эксперимента и получения статистических данных в рамках работы использовался стенд, представленный на рис. 5. Стенд, используемый для проведения лабораторного эксперимента, основан на программно-аппаратном комплексе Spirent ThreatEx 3.30, предназначенном для эмуляции сетевых атак, сетевом оборудовании компании Cisco, ПЭВМ и серверах под управлением ОС Windows, реализованных в виде виртуальных машин VMWare.

ч

ЫярщщГй Ж Ж

Р9

ЩЩ М

Ст'тр

Рисунок 5. Схема испытательного стенда

В рамках эксперимента был разработан блок адаптивной настройки СЗИ на базе консолидированной оценки. Данный блок предназначен для считывания значения консолидированной оценки из банка данных системы мониторинга и автоматизации настройки СЗИ. В зависимости от значения консолидированной оценки результатов мониторинга ИБ блок адаптивной настройки СЗИ отправляет один из трех вариантов настроек, представленных в табл. 3. Фактически данный блок осуществляет симуляцию работу оператора системы мониторинга ИБ.

В ходе работы сделано предположение, что в корпоративных ИТС различные варианты настроек СЗИ будут также заранее разработаны и регламентированы в нормативной документации.

Лабораторный эксперимент проводился посредством генерации определенного количества атак против ИТС при помощи программно-аппаратного комплекса Spirent ThreatEx.

Перед каждой итерацией эксперимента выбирались количество сообщений ИБ, вариант состояния уязвимости ИТС и вариант выполнения политик ИБ при этом настройки СЗИ сбрасывались до минимального уровня. Итерация эксперимента проводилась в течение часа, в рамках которого сетевые атаки были равномерно распределены во времени. Таким образом значение консолидированной оценки в течение часа динамически менялось и на основании этого значения применялся тот или иной вариант настроек СЗИ.

Таблица 3 - Варианты настроек СЗИ

Объект настройки Минимальные настройки Стандартные настройки Усиленные настройки

МЭ Списки контроля доступа Более строгие правила в списках контроля доступа Включение анализа пакетов для ряда протоколов Включение анализа пакетов для всех протоколов Включение ограничений по количеству сессий

сопв СОПВ работает в режиме обнаружения вторжений СОПВ работает в режиме предотвращения вторжений СОПВ работает в режиме предотвращения вторжений и блокирования атакующего

СОПВ уровня хоста Блокирует все известные атаки, разрешает подозрительные действия Блокирует все известные атаки, запрашивает пользователя о подозрительных действиях Блокирует все известные атаки, запрещает подозрительные действия

Функции защиты браузера Средний уровень безопасности Умеренно-высокий уровень безопасности Высокий уровень безопасности

Результаты эксперимента представлены на рис. 6. Было произведено 27 итераций эксперимента, соответствующих всевозможным комбинациям трех вариантов количества сообщений ИБ, трех вариантов состояния уязвимостей ИТС, и трех вариантов выполнения политик ИБ. Система мониторинга ИБ ИТС на базе консолидированной оценки в среднем позволила заблокировать на 25.35% атак.

7 9 11 13 15 17 19 21 23 25 27 Итерации эксперимента

-Успешно произведено атак, шт.

-Успешно реализовано атак, шт. (блок адагтговной настроим СЗИ на базе КО выключен)

-Успешно реализовано атак, шт. (блок адаптивной настроки СЗИ на базе КО включен)

Рисунок 6. Результаты эксперимента

Результаты испытаний показали, что система мониторинга ИБ, основанная на методике получения консолидированной оценки результатов мониторинга ИБ, может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.

III. Основные выводы по результатам исследования

Основным результатом диссертационной работы является разработка методики получения консолидированной оценки результатов мониторинга ИБ. Методы и алгоритмы, входящие в состав методики получения консолидированной оценки результатов мониторинга ИБ позволяют повысить защищенность в процессе обеспечения ИБ и реализации упреждающей защиты ИТС.

В соответствии с поставленными задачами в диссертации получены следующие результаты:

1) Проанализированы современное состояние систем мониторинга ИБ, включая уровень технического обеспечения, уровень методов и алгоритмов и уровень организационного обеспечения систем мониторинга ИБ, а также методы и алгоритмы, используемые в них. На основе анализа литературных источников и документов, связанных с системами мониторинга ИБ, произведена формальная постановка задачи определения функции получения консолидированной оценки результатов мониторинга ИБ.

2) Исследован закон распределения количества сообщений ИБ посредством использования непараметрического статистического критерия Колмого-

21

рова на уровне значимости а = 0.05. Знание данного закона позволяет определить случаи аномального количества сообщений ИБ, сигнализирующие об атаках в ИТС и разработать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС.

3) Создан метод выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для нормального закона распределения сообщений ИБ. Данный метод использует технику квадратичной интерполяции значений, хранящихся в таблице моментов, для получения оценок математического ожидания и дисперсии, являющихся параметрами закона распределения количества сообщений ИБ на заданном интервале времени.

4) Построен алгоритм выявления нарушений ИБ в потоке сообщений ИБ. Данный алгоритм позволяет практически реализовать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС и предоставить входные данные для метода и алгоритма адаптивной настройки СЗИ.

5) Разработана методика получения консолидированной оценки результатов мониторинга ИБ. Данная методика включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки результатов мониторинга ИБ.

6) Исследованы системы мониторинга ИБ и на основе полученных результатов выработаны практические рекомендации по их улучшению, которые включают: блок адаптивной настройки СЗИ, многоуровневую систему хранения сообщений ИБ, развитие корреляционного анализа сообщений ИБ и межкорпоративную корреляцию событий ИБ. Данные улучшения позволят повысить качество мониторинга ИБ и, как следствие, защищенность ИТС.

7) Разработана программная реализация, позволяющая получить консолидированную оценку результатов мониторинга ИБ. Данная программная реализация применима для систем мониторинга ИБ, использующих в своем составе стандартные СУБД и может работать в любых локальных и глобальных сетях, использующих в качестве основы для передачи информации стек протоколов TCP/IP.

IV. Список опубликованных работ по теме диссертации Статьи в журналах, включенных ВАК в перечень ведущих рецензируемых научных журналов и изданий, в которых должны быть опубликованы основные научные результаты диссертаций

1) Ковалев Д.О. Идеология и реализация операционных центров информационной безопасности / Д.О. Ковалев // Безопасность информационных технологий. - 2008. - N4. С. 103.

2) Ковалев Д.О., Милославская Н.Г. Межкорпоративная корреляция событий информационной безопасности / Д.О. Ковалев // Безопасность информационных технологий. - 2010. - N1. С. 76-80.

3) Ковалев Д.О. Оценка количества сообщений ИБ в автоматизированных системах как метод выявления сетевых атак / Д.О. Ковалев // Безопасность информационных технологий. - 2011. - N1. 44-50 С.

4) Ковалев Д.О., Милославская Н.Г. Методика адаптивной настройки Средств защиты информации на базе консолидированной оценки результатов мониторинга информационной безопасности / Д.О. Ковалев // Информация и безопасность. Воронеж. 2011. -Т14 41. С 45-53.

Тезисы научных докладов

5) Ковалев Д.О., Милославская Н.Г. Операционные центры информационной безопасности / Д.О. Ковалев // В сб. Научная сессия МИФИ - 2008. XV Всероссийская научно-техническая конференция «Проблемы информационной безопасности в системе высшей школы», - М: МИФИ, 2008 г., С. 75-77

6) Ковалев Д.О., Милославская Н.Г. Современные центры управления безопасностью / Д.О. Ковалев // В сб. докладов X Международная конференция «Информационная безопасность», Таганрог, 24-27 июня 2008 г., С. 26-29.

7) Ковалев Д.О., Милославская Н.Г. Построение операционного центра по информационной безопасности / Д.О. Ковалев // В сб. Методы и технические средства обеспечения безопасности информации: Материалы XVII

Общероссийской научно-технической конференции. - Спб.: Изд-во Политехнического ун-та, 2008 г., С. 85.

8) Ковалев Д.О., Милославская Н.Г. Особенности построения современных систем управления информационной безопасностью / Д.О. Ковалев // В сб. Докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР-2008». -2008. №2(18), часть 1.-С. 112-113.

9) Ковалев Д.О., Милославская Н.Г. Особенности реализации операционного центра информационной безопасности / Д.О. Ковалев // В сб. Научная сессия МИФИ - 2009. XVI Всероссийская научно-техническая конференция «Проблемы информационной безопасности в системе высшей школы», -М: МИФИ, 2009 г., Том 3, С. 200.

10) Д.О.Ковалев, Н.Г. Милославская. Межкорпоративная корреляция событий информационной безопасности / Д.О. Ковалев // В сб. Научная сессия НИЯУ МИФИ - 2010. XVII Всероссийская научно-техническая конференция «Проблемы информационной безопасности в системе высшей школы», -М: НИЯУ МИФИ, 2010 г., Том 3, С 155.

11) Д.О.Ковалев, Н.Г. Милославская. Адаптивная защита автоматизированной банковской системы в операционных центрах информационной безопасности / Д.О. Ковалев // Труды научной сессии НИЯУ МИФИ - 2010. XVTI Всероссийская научно-техническая конференция «Проблемы информационной безопасности», - М: НИЯУ МИФИ, 2010. Том 5. - С.205-207.

12) Д.О.Ковалев, Н.Г. Милославская. Адаптивная защита автоматизированной банковской системы при помощи операционного центра информационной безопасности / Д.О. Ковалев // В сб. Научная сессия НИЯУ МИФИ - 2010. XVII Всероссийская научно-техническая конференция «Проблемы информационной безопасности в системе высшей школы», - М: НИЯУ МИФИ, 2010 г., Том 3, С 155.

13) Д.О.Ковалев, Н.Г. Милославская. Адаптивные операционные центры управления информационной безопасностью в банковских средах / Д.О.

Ковалев // В сб. международной научно-технической конференции «Информационная безопасность 2010», Таганрог 2010 г., С 92.

Ковалев Дмитрий Олегович

ВЫЯВЛЕНИЕ НАРУШЕНИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ДАННЫМ МОНИТОРИНГА ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ

Подписано в печать 19.10.2011 Тираж 100 экз. Типография НИЯУ МИФИ. 115409, г. Москва, Каширское ш., 31 Заказ № 298

Введение.

1 Анализ применения современных систем мониторинга ИБ в рамках процесса обеспечения информационной безопасности информационнотелекоммуникационных сетей.

1.1 Мониторинг ИБ информационно-телекоммуникационных сетей.

1.2 Архитектура и функциональное устройство систем мониторинга ИБ.

1.2.1 Высокоуровневая архитектура системы мониторинга ИБ.

1.2.2 Обработка данных в системах мониторинга ИБ.

1.3 Методы и алгоритмы, используемые в работе систем мониторинга ИБ.

1.3.1 Корреляционный анализ.

1.3.2 Контекстный анализ.

1.3.3 Структурный анализ.

1.3.4 Функциональный и поведенческий анализ.

1.4 Организационная структура систем мониторинга ИБ.

1.4.1 Подразделение ИБ.

1.4.2 Ответная реакция и обработка инцидентов ИБ.

1.5 Выводы по главе 1.

2 Метод выявления нарушений ИБ в потоке сообщений ИБ ИТС.

2.1 Область действия.

2.2 Исследование закона количества сообщений ИБ.

2.3 Метод выявления нарушений И Б в потоке сообщений И Б ИТС.

2.3.1 Интерполяция значений оценок математического ожидания и дисперсии количества сообщений ИБ в таблице моментов.

2.3.2 Обновление значений таблицы моментов.

2.3.3 Оценка количества сообщений ИБ.

2.3.4 Расчет значения показателя количества сообщений ИБ.

2.4 Алгоритм выявления нарушений ИБ в потоке сообщений ИБ ИТС.

2.5 Исследование вероятностных характеристик метода выявления нарушений ИБ в потоке сообщений ИБ ИТС.

2.5.1 Исследование на предмет наличия ошибок первого рода.

2.5.2 Исследование на предмет наличия ошибок второго рода.

2. б Выводы по главе 2.

3 Синтез системы мониторинга ИБ.

3.1 Методика получения консолидированной оценки результатов мониторинга ИБ.

3.2 Интеграция блока адаптивной настройки средств защиты информации в систему мониторинга ИБ

3.3 Создание многоуровневой системы хранения сообщений ИБ.

3.4 Развитие корреляционного анализа сообщений ИБ.

3.5 Реализация межкорпоративной корреляции сообщений ИБ.

3.6 Выводы по главе 3.

4 Практическая реализация методики получения консолидированной оценки результатов мониторинга ИБ.

4.1 Описание программной реализации для получения консолидированной оценки результатов мониторинга ИБ.

4.2 Описание лабораторного стенда.

4.3 Разработка вариантов настроек для средств защиты информации.

4.4 Результаты лабораторного эксперимента.

Информационно-телекоммуникационная сеть (ИТС) представляет собой интегрированную автоматизированную мультисервисную систему, обеспечивающую информатизацию функциональной деятельности организации и предоставляющую информационные и телекоммуникационные сервисы должностным лицам и структурным подразделениям организации с применением современных информационных технологий, средств вычислительной техники и связи. ИТС крупной организации часто насчитывает десятки средств защиты информации (СЗИ), входящие в состав системы обеспечения информационной безопасности (СОИБ). Данные СЗИ включают:

• средства управления доступом;

• межсетевые экраны (МЭ);

• сетевые системы обнаружения и предотвращения вторжений (СОПВ);

• СОПВ уровня хоста;

• средства защиты от атак «отказа в обслуживании»;

• средства контентной фильтрации и защиты Веб-приложений;

• средства защиты от спама;

• средства антивирусной защиты;

• средства защиты от утечки конфиденциальной информации;

• и т.п.

Каждое из СЗИ может регистрировать сотни тысяч событий информационной безопасности (ИБ) в день. Большинство из этих сообщений ИБ являются результатом нормальной сетевой активности, и лишь немногие свидетельствуют о наличии реальных атак в ИТС. Поэтому в настоящее время мониторинг ИБ ИТС в динамически меняющейся сетевой среде является очень важной и сложной задачей.

Мониторинг ИБ - это постоянное наблюдение за объектами и субъектами, влияющими на ИБ ИТС, а также сбор, анализ и обобщение результатов наблюдений [10]. Системы мониторинга ИБ, осуществляют сбор сообщений ИБ, приведение их к единому виду, агрегацию и корреляцию для выявления аномальной сетевой активности. Для этого системы мониторинга ИБ, как правило, имеют в своем составе информационно-аналитическую систему, позволяющую оценить реальное состояние ИТС, выявить тенденции развития внутренних и внешних изменений, проанализировать возможные последствия управляющих воздействий.

Необходимость широкого применения систем мониторинга ИБ в сложных организационно-технических системах диктует усложнение и расширение круга задач 5 управления ИБ ИТС, высокую меру ответственности за принятое решение, потребность агрегирования данных для оценки и прогнозирования ситуации и потребность в эффективном реагировании на ее быстрые изменения [3]. Примерами таких систем являются: Netforencics, Cisco MARS, IBM Tivoli, HP Arcsight и т.п.

Помимо сообщений ИБ современные системы мониторинга ИБ хранят в своем банке данных большое количество данных, имеющих отношения к ИБ: сведения об уязвимости конечных систем, сведения о выполнении политик ИБ и т.п. Совокупность информации, хранящейся в подобном банке данных, может быть использована для поддержки принятия решений по обеспечению ИБ. Однако объемы этих данных их разнородный характер делают сложным учет всех возможных параметров. Таким образом, возникает противоречие между наличием параметров, влияющих на обеспечение ИБ организации, и отсутствием методики, позволяющей одновременно учесть все эти параметры. Это противоречие подчеркивает актуальность настоящей работы.

Данное противоречие может быть разрешено посредством оперативной обработки разнородных данных хранящихся в БД системы мониторинга ИБ и расчета на их основе некоторой консолидированной оценки результатов мониторинга ИБ. Консолидированная оценка позволит учесть все множество данных, хранящихся в системе мониторинга ИБ, при этом сведя их к значимому, релевантному и понятному единому индикатору. Полученный индикатор может быть далее использован для принятия быстрых корректных ответных действий обслуживающим персоналом системы мониторинга ИБ.

Поскольку принятие решения по управлению ИБ сложных систем, к числу которых относятся ИТС, происходит в условиях многокритериальности, многофакторности, неопределенности и при наличии большого числа ограничений, что приводит к тому, что лица, принимающие решения, без дополнительной аналитической и инструментальной поддержки используют упрощенные, а иногда противоречивые решающие правила. Многопараметричность и многокритериальность управленческой деятельности предполагает подключение на помощь человеку системы поддержки принятия решений (СППР) [69]. Положительный эффект от методики получения консолидированной оценки результатов мониторинга ИБ заключается в том, что она может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.

Формальная постановка задачи заключается в том, чтобы найти функцию, которая преобразует множество различных показателей ИБ, содержающихся в БД системы мониторинга, в единый индикатор - консолидированную оценку результатов мониторинга ИБ.

Системы мониторинга ИБ является важной частью реализации стратегии обеспечения ИБ различных организаций. Однако процессы обеспечения ИБ будут работать наиболее эффективно в случае, когда операционные (текущие), тактические (в ближайшей перспективе) и стратегические (в отдаленной перспективе) задачи будут четко определены и будут решаться, поддерживая друг друга [78]. Системы мониторинга ИБ предназначены для решения оперативных и тактических задач, содействуя в достижении стратегических целей.

В направлении исследования систем мониторинга ИБ работали многие отечественные и зарубежные ученые: П.Д. Зегжда, А.В Лукацкий, О.Б. Макаревич, В.В Романов, Д.В. Ушаков, И.А. Шелудько, M. Basseville, A. Benveniste, R. Bidou, H. R. Debar, L. A. Johnson, R. Marchan, J. Myers, V. Paxson, D. Shin, F.W. Feather, M. Thottan, С. Ji G. Wang, H. Zhang и другие.

В тоже время дальнейшего развития требуют методы обобщения результатов мониторинга ИБ, получения консолидированной оценки результатов мониторинга ИБ и способы построения централизованной упреждающей защиты.

Научно-технические проблемы защиты информационных ресурсов, информационных и телекоммуникационных систем определены в качестве основных направлений научных исследований в области обеспечения ИБ РФ, утвержденных Советом безопасности в 2008 г., что подчеркивает актуальность настоящей работы.

Тема работы соответствует пунктам 2, 14, 15 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Объектом исследования являются системы мониторинга ИБ ИТС.

Предметом исследования являются методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС. В работе рассматриваются корпоративные ИТС, представляющие собой открытые среды с возможностью выхода в Интернет, а также сетевые атаки, которые могут быть идентифицированы посредством анализа данных, содержащихся в системах мониторинга ИБ. Рассматриваются системы мониторинга ИБ, построенные на базе реляционных СУБД.

Целью данной работы является повышение защищенности ИТС посредством своевременного результативного выявления нарушений ИБ.

В рамках работы решаются следующие задачи:

• исследовать методы и алгоритмы, используемые в работе систем мониторинга

ИБ;

• исследовать закон распределения количества сообщений ИБ; I

• разработать метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ

ИТС;

• разработать методику получения консолидированной оценки результатов мониторинга ИБ ИТС;

• разработать практические рекомендации по улучшению систем мониторинга

ИБ;

• разработать программную реализацию для получения консолидированной оценки результатов мониторинга ИБ и провести экспериментальную проверку ее работы.

В качестве основных методов исследования применялись методы системного анализа, теории вероятности и математической статистики, теории нечетких множеств и нечеткой логики.

Научная новизна работы заключается в следующем.

1. Исследован закон распределения количества сообщений ИБ для различных временных интервалов при отсутствии атак в ИТС, который в дальнейшем используется в методе выявления нарушений ИБ в потоке сообщений ИБ ИТС.

2. Разработан метод выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ. Данный метод позволяет определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, что может являться сигналом аномальной сетевой активности.

3. Создана методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки, используемая в процессе обеспечению ИБ ИТС.

Сформулированные в работе теоретические положения и выводы развивают и дополняют разделы теории ИБ, посвященные построению комплексных систем ЗИ ИТС. Поставленные в диссертации вопросы повышения защищенности и удобства использования ИТС определяют теоретически важный аспект фундаментальных проблем ИБ, а их теоретическое осмысление обусловливает теоретическую значимость и ценность исследования.

Практическая значимость работы заключается в следующем.

1. Результаты исследования могут использоваться организациями при проектировании и разработке собственных систем мониторинга ИБ и наметить дальнейшие перспективы развития систем мониторинга ИБ и комплексных систем защиты информации в целом;

2. Программная реализация для получения консолидированной оценки результатов мониторинга ИБ может быть применена организациях для в процессе обеспечения ИБ ИТС;

3. Материалы диссертации также могут быть использованы при чтении курсов лекций по теории и практике защиты информации.

На защиту выносятся следующие основные результаты работы:

1. Метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ;

2. Методика получения консолидированной оценки результатов мониторинга ИБ, основанная на методах нечеткой логики и включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки.

Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, соответствием предложенных улучшений общим архитектурным принципам построения систем ЗИ и результатами лабораторного эксперимента.

Использование результатов исследования. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные положения диссертационной работы нашли отражение в 11 публикациях по теме проведенного исследования, 2 из которых опубликованы в журналах Перечня ВАК и 8 тезисов научных докладов. Результаты диссертационной работы докладывались на Всероссийской научно-технической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2008-2010 гг.), конференции «Технологии Microsoft в теории и практике программирования» (Москва, 2008 г.), конференции «Информационная безопасность» (Красноярск, 2008 г.), международная конференция «Информационная безопасность» (Таганрог, 2008 г.), общероссийской научно-технической конференции «Методы и 9 технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008 г.), а также на семинарах кафедры «Информационной безопасности банковских систем» НИЯУ МИФИ (Москва, 2009-2010 гг.).

Структура и объем работы. Структура диссертации подчинена логике исследования и состоит из введения, четырех глав, заключения и списка литературы. Объем работы составляет 170 страниц, 42 рисунка, 19 таблиц, 4 приложения.

4.7 Выводы по главе 4

• В ходе работы была создана программная реализация для получения консолидированной оценки результатов мониторинга ИБ ИТС и экспериментальная проверка ее работы. Архитектура программной реализации для получения консолидированной оценки результатов мониторинга ИБ включает в себя следующие элементы: модуль взаимодействия с системой мониторинга ИБ, локальное хранилище данных, интерфейс пользователя, модуль настройки параметров ПО и модуль нечеткой логики.

• Для проведения эксперимента и получения статистических данных использовался стенд, основанный на программно-аппаратном комплексе Spirent ThreatEx 3.30, предназначенном для эмуляции сетевых атак, сетевом оборудовании компании Cisco, ПЭВМ и серверах под управлением ОС Windows, реализованных в виде виртуальных машин VMWare.

• Для симуляции работы оператора системы мониторинга ИБ в рамках лабораторного эксперимента использовался блок адаптивной настройки СЗИ, а также были разработаны различные варианты настроек СЗИ, которые автоматически отправлялись на СЗИ в зависимости от значения консолидированной оценки результатов мониторинга ИБ.

• В ходе проведения эксперимента было показано, что система мониторинга ИБ ИТС на базе консолидированной оценки в среднем позволила заблокировать на 25.35% атак, по сравнению с обычной системой мониторинга ИБ. Таким образом, методику получения консолидированной оценки результатов мониторинга ИБ целесообразно использовать в процессе обеспечения ИБ и реализации упреждающей защиты ИТС.

• Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.

Заключение

Основным результатом диссертационной работы является разработка методики получения консолидированной оценки результатов мониторинга ИБ, которая включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки и используется в процессе обеспечения ИБ ИТС.

В соответствии с поставленными задачами в диссертации получены следующие результаты:

1. Проанализированы современное состояние систем мониторинга ИБ, включая уровень технического обеспечения, уровень методов и алгоритмов и уровень организационного обеспечения систем мониторинга ИБ, а также методы и алгоритмы, используемые в них. На основе анализа литературных источников и документов, связанных с системами мониторинга ИБ, произведена формальная постановка задачи определения функции получения консолидированной оценки результатов мониторинга ИБ.

2. Исследован закон распределения количества сообщений ИБ посредством использования непараметрического статистического критерия Колмогорова на уровне значимости а = 0.05. Знание данного закона позволяет определить случаи аномального количества сообщений ИБ, сигнализирующие об атаках в ИТС и разработать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС.

3. Создан метод выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов для нормального закона распределения сообщений ИБ. Данный метод использует технику квадратичной интерполяции значений, хранящихся в таблице моментов, для получения оценок математического ожидания и дисперсии, являющихся параметрами закона распределения количества сообщений ИБ на заданном интервале времени.

4. Построен алгоритм выявления нарушений ИБ в потоке сообщений ИБ ИТС. Данный алгоритм позволяет практически реализовать метод выявления нарушений ИБ в потоке сообщений ИБ ИТС и предоставить входные данные для метода и алгоритма адаптивной настройки СЗИ.

5. Разработана методика получения консолидированной оценки результатов мониторинга ИБ. Данная методика включает в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки результатов мониторинга ИБ, используемой в процессе обеспечения ИБ ИТС.

6. Исследованы системы мониторинга ИБ и на основе полученных результатов выработаны практические рекомендации по их улучшению, которые включают: блок адаптивной настройки СЗИ, многоуровневую систему хранения сообщений ИБ, развитие корреляционного анализа сообщений ИБ и межкорпоративную корреляцию событий ИБ. Данные улучшения позволят повысить качество мониторинга ИБ и, как следствие, защищенность ИТС.

7. Разработана программная реализация для получения консолидированной оценки результатов мониторинга ИБ, включающая SQL-запросы к таблицам базы данных, Bash-скрипты для настройки СЗИ, библиотека, реализующая нечеткую логику и графический интерфейс, выполненный на языке Microsoft Visual Basic.

Разработанная программная реализация для получения консолидированной оценки рекомендуется для использования в составе систем мониторинга ИБ ИТС и создания упреждающей защиты.

В качестве дальнейшего развития работы можно назвать профессиональную практическую реализацию методики получения консолидированной оценки результатов мониторинга ИБ, обобщение методики для территориально распределенных ИТС, работающих в различных временных поясах, добавление и разработку дополнительных показателей ИБ, более глубокое изучение взаимосвязи между заданными показателями ИБ и различными настройки СЗИ, а также применение разработанной методики к другим областям знания (например, к анализу производительности труда сотрудников ИТС на рабочем месте, посредством отслеживания таких показателей, как количество обращений пользователей к серверам социальных сетей, количество встреч в календарях Outlook, распределению количества телефонных звонков, запросов пользователей к новостным сайтам и т.п.).

1. Лукацкий А.В., Ситуационные центры по информационной безопасности / А.В. Лукацкий // Журнал. «Information Security/Информационная безопасность». 2005. — №2.- С. 28-30. ссылка.

2. Романов В.В., Ситуационные центры в решении проблем информационной безопасности / В.В. Романов // Журнал «Information Security/Информационная безопасность». 2006. - №3,4. - С. 28. ссылка]

3. Security Information Management Электронный ресурс] : Веб-сайт / Netforensics. 2003- .- Режим доступа к Веб-сайту: http://www.netforensics.com.

4. Построение центра мониторинга и управления безопасностью Cisco. Архитектура, процессы и результаты Электронный ресурс]: Веб-сайт / Cisco. 2006- . Режим доступа к Веб-сайту: http://www.cisco.ru.

5. Rationalizing Security Events with Three Dimensions of Corrélation Электронный ресурс]: Веб-сайт / Cisco. 2005- . Режим доступа к Веб-сайту: http://www.cisco.com.

6. Security Opération Center Concepts & Implementation Электронный ресурс]: Веб-сайт / R. Bidou. 2005- Режим доступа к Веб-сайту:http://www.iv2-technologies.com/~rbidou/SOCConceptAndImplementation.pdf

7. Northcutt S. Network Intrusion Détection / S. Northcutt, J. Novak. SAMS, 2002.- 3 Edition. 512 p.

8. Spafford E.H., Intrusion détection using autonomous agents / E.H. Spafford, D. Zamboni // Computer Networks. 2000. - №34. - P. 547-570.

9. СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы российской федерации. Общие положения. Введ. 2010-06-21. — М.: 2010.-42 с.

10. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления безопасностью. Введ. 2009-29-12. - М.: Стандартинформ, 2006. -62 с.

11. Игнатьев М., Общий Центр Обслуживания как инструмент повышения эффективности крупной компании / М. Игнатьев // Журнал «Нефтегазовая вертикаль». -2005.-№15. ссылка]

12. Лукацкий А.В., Безопасность сети оператора / А.В. Лукацкий // Журнал «Информкурьер-связь». — 2005. № 2. ссылка]

13. Bypassing Intrusion Detection Systems Электронный ресурс]: Веб-сайт / R. Gula. 2000- . Режим доступа к Веб-сайту: http://blackhat.com

14. Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection Электронный ресурс]: Веб-сайт / T.Ptacek, Т. Newsham. 1998- — Режим доступа к Вебсайту: http://citeseer.ist.psu.edu/ptacek98insertion.html

15. Almgrent М. Application-Integrated Data Collection for Security Monitoring / M. Almgren, U. Lindqvist // RAID International Symposium. Davis. - 2001.

16. Welz M. Interfacing Trusted Applications with Intrusion Detection Systems / M. Welz // Recent Advances in Intrusion Detection / M. Welz, A. Hutchison. Springer Berlin/Heidelberg, 2001, P. 37-53.

17. Intrusion Detection Exchange Format Электронный ресурс]: Веб-сайт / M. Erlinger, S. Staniford-Chen. 2001— . — Режим доступа к Веб-сайту: http://www.ietf.org

18. Valdes A. Probabilistic Alert Corelation / A. Valdes, K. Skinner // RAID International Symposium. Davis. — 2001.

19. Designing a Web of High-Configurable Intrusion Detection Sensors Электронный ресурс]: Веб-сайт / G. Vigna, R.A. Kemmerer, P. Blix. 2001- . Режим доступа к Веб-сайту: http://citeseerx.ist.psu.edu

20. Cisco Monitoring Analysis and Response System Электронный ресурс]: Веб-сайт / Cisco Systems. 2006- . Режим доступа к Веб-сайту: www.cisco.com [ссылка]

21. Debar Н. Aggregation and Correlation of Intrusion-detection Alerts / H. Debar // Recent Advances in Intrusion Detection / H. Debar, A. Wespi. Springer Berlin/Heidelberg, 2001, P. 85-103.

22. Vert G. A Visual Mathematical Model for Intrusion Detection / G. Vert, D.A. Frincke, J.C. McConnel // NISS Conference. Crystal City. - 1998.

23. A Framework for Cooperative Intrusion Detection Электронный ресурс]: Веб-сайт / D. Frincke, D. Tobin, J. McConnel, J. Marconi, D. Polla. 1998- . Режим доступа к Веб-сайту: http://www.cs.umbc.edu/research/cadip/pubs.html

24. Modeling and Simulation of Intrusion Risk Электронный ресурс]: Веб-сайт / R. Bidou. 1998- . — Режим доступа к Веб-сайту: http://www.intexxia.com

25. Radatz J. The IEEE Standard Dictionary of Electrical and Electrics Terms / J. Radatz. -N.Y.: IEEE Standards Office, 1997. 1278 p.

26. Amoroso E.G. Fundamentals of Computer Security Technology / E.G. Amoroso. -Prentice Hall PTR, 1994. 432 p.

27. A Common Language for Computer Security Incidents Risk Электронный ресурс]: Веб-сайт / J.D. Howard, Т.A. Longstaff. 1998- . — Режим доступа к Веб-сайту: http://citeseerx.ist.psu.edu

28. RFC 1757. Remote Network Monitoring Management Information Base. Введ. 2005-02.-IETF, 1995.-91 c.

29. Attack trees Электронный ресурс]: Веб-сайт / В. Schneier. 1999- . Режим доступа к Веб-сайту: http://www.schneier.com

30. Survivable Networks Systems: An Emergency Discipline / R.J. Ellison et al.]. -Pittsburgh, PA: Carnegie Mellon University, 1997. 58 p.

31. Handbook for Computer Security Incident Response Teams / M.J. West-Brown et al.] — Pittsburgh, PA: Carnegie Mellon University, 2003. 222 p.

32. ГОСТ P ИСО/МЭК 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. — Введ. 2008-01-07. М.: Стандартинформ, 2009. - 50 с.

33. Банковская система России. Центробанк и коммерческие банки Электронный ресурс]: Веб-сайт / Е. Трубович. 2008- . Режим доступа к Веб-сайту: http://www.zanimaem.ru [ссылка]

34. ФЗ № 86 «О Центральном банке Российской Федерации (Банке России)». Введ. 2002-06-10. -М.: Кремль, 2002. 61 с.

35. ФЗ № 395-1 «О банках и банковской деятельности». Ред. 2010-02-15. -М.: Кремль, 2010.-32 с.

36. COBIT 4.1. Control Objectives for Information Technologies Электронный ресурс]: Веб-сайт / IT Governance Institute . 2007- . Режим доступа к Веб-сайту: http://www.isaca.org

37. RFC 4765. Intrusion Detection Message Exchange Format. Введ. 2007-03. - IETF, 2007.- 157 c.

38. RFC 1700. Assigned Numbers-Введ. 1994-10. IETF, 1994.-230 c.

39. Analysis Techniques for Detecting Coordinated Attack and Probes / J. Green et al.] Santa Clara, CA: Workshop on Intrusion Detection and Network Monitoring-1999 - 10 p.

40. Kuri J. A Pattern Matching Based Filter for Audit Reduction and Fast Detection of Potential Intrusions / J. Kuri // Recent Advances in Intrusion Detection / J. Kuri et al.] -Springer Berlin/Heidelberg, 2000, P. 17-27.

41. Скородумов Б.И. Информационная безопасность современных коммерческих банков / Б.И. Скородумов // Журнал «Информационное общество». 2004. № 6. -С. 41-45. ссылка]

42. Нив Г.Р. Цикл Деминга / Г.Р. Нив // Пространство доктора Деминга / Г.Р. Пив. -Альпина Бизнес Букс, 2005. Гл.9. - С. 74-78.

43. Заде JI. Понятие лингвистической переменной и его применение к принятию приближенных решений / JI. Заде. М.: Мир, 1976. - 165 с.

44. Круглов В.В. Интеллектуальные информационные системы: компьютерная поддержка систем нечеткой логики и нечеткого вывода / В.В. Круглов, М.И. Дли М.: Физматлит, 2002. - 252 с.

45. Классификатор Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

46. Системный анализ Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

47. Голубков З.П. Использование системного анализа при принятии решений / З.П. Голубков М.: Экономика, 1992. - 456 с.

48. Игнатьева А. В. Исследование систем управления / A.B. Игнатьева, М.М. Максимцов. М.: ЮНИТИ-ДАНА, 2000. - 157 с.

49. Кузьмин В. П. Исторические предпосылки и гносеологические основания системного подхода / В.П. Кузьмин // Психол. журн. 1982. -№3, -С. 3-14; №4. -С. 3-13.

50. Леоленков A.B. Нечеткое моделирование в среде MATLAB и fuzzyTECH / A.B. Леоленков. СПб.: БХВ-Петербург, 2005. - 736 с.

51. Рутковская Д. Нейронные сети, генетические алгоритмы и нечеткие системы / Д. Рутковская, М. Пилиньский, Л. Рутковский, М.: Горячая линия-Телеком, 2004. - 452 с.

52. Масалович А. Нечеткая логика в бизнесе и финансах Электронный ресурс]: Вебсайт / ТОРА-Центр. 2005- . Режим доступа к Веб-сайту: http://www.tora-centre.ru [ссылка]

53. Kosko В. Fuzzy systems as universal approximators / В. Kosko // IEEE Transactions on computers.- 1994. -№ 11.-P. 1329-1333.

54. Cordon O. A General study on genetic fuzzy systems / O. Cordon, F. Herrera // Genetic Algorithms in engineering and computer science. 1995. - P. 33-57.

55. Герасименко В.А. Основы защиты информации / В.А. Герасименко, А.А. IVTemioK. -М.: МИФИ, 1997.-537 с.

56. Домарев В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев. М.: ТИД ДС, 2004. - 992 с.

57. Application for Fuzzy Logic Электронный ресурс]: Веб-сайт / Univercity of Strathclyde ESRU. 1996- . Режим доступа к Веб-сайту: http://www.esru.strath.ac.uk/Reference/concepts/fuzzy/fuzzyappl.10.htm

58. Метод Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Вебсайту: http://www.wikipedia.ru [ссылка]

59. Методика Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

60. Дьяконов В. П. MATLAB. Анализ, идентификация и моделирование систем. Специальный справочник / В.П. Дьяконов В. П., В.В. Круглов -СПб.: Питер, 2002. — 443 с

61. Основы языка SQL Электронный ресурс]: Веб-сайт / Каталог программиста. 2004. Режим доступа к Веб-сайту: http://articles.org.ru/docum/sql/sqlnew.php

62. Боллапрагада В. Структура операционной системы Cisco IOS / В. Боллапрагада, К.' Мэрфи, Р. Уайт. М.: «Вильяме», 2002. - 208 с.

63. Cooper М. Advanced Bash Scripting Guide / M. Cooper. UK.: Paul-Robert Archibald, 2006. 695 p. ссылка]

64. СТО БР ИББС-2.2-2009. Обеспечение информационной безопасности организаций банковской системы российской федерации. Методика оценки рисков нарущения информационной безопасности. Введ. 2010-01-01. - М.: 2009. - 23 с.

65. Cisco на российском рынке ИБ Электронный ресурс]: Веб-сайт / CNews. 2008— . -Режим доступа к Веб-сайту: http://www.cnews.ru [ссылка]

66. Ковалев Д.О. Операционные центры информационной Безопасности / Д.О. Ковалев, Н.Г. Милославская // Научная сессия МИФИ-2008. Проблемы информационной безопасности в системе высшей школы. М.: МИФИ. -2008.

67. Ковалев Д.О. Современные центры управления безопасностью / Д.О. Ковалев, II.Г. Милославская // X Международная конференция «Информационная безопасность». -Таганрог: ЮФУ. 2008. С. 25-27.

68. Ковалев Д.О. Идеология и реализация операционных центров информационной безопасности / Д.О. Ковалев // Безопасность информационных технологий. 2008. - N4. С. 103.

69. Ковалев Д.О. Особенности построения современных систем управления информационной безопасностью / Д.О. Ковалев, Н.Г. Милославская // Доклады Томского государственного университета систем управления и радиоэлектроники. 2008. -№ 2(18) часть 1.-С. 112-113.

70. Ковалев Д.О. Архитектура операционного центра информационной безопасности / Д.О. Ковалев, Н.Г. Милославская // Научная сессия МИФИ-2009. Проблемы информационной безопасности в системе высшей школы. — М.: МИФИ. -2009.

71. Ковалев Д.О. Основные тенденции обеспечения информационной безопасности в 2009 году / Д.О. Ковалев // Аналитический банковский журнал. 2009. - N3(166). С. 7073.

72. Ковалев Д.О. Управление информационной безопасностью / Д.О. Ковалев // Аналитический банковский журнал. -2009. -N10(173). С. 79-81.

73. Ковалев Д.О. «Новый подход к использованию систем обнаружения вторжений для защиты банковских Интернет-приложений» / Д.О. Ковалев // Аналитический банковский журнал. -2009. -N3(166). С. 70-73.

74. Harris S. CISSP Certification All-in-One Exam Guide / S. Hams N.Y.: McGraw-Hill Osborne Media, 2007. - 1145 p.

75. Центр координации деятельности по информационной безопасности Электронный ресурс]: Веб-сайт / Лаборатория информационных систем. М.:2008- . Режим доступа к Веб-сайту: http://wwvv.lins-m.ru

76. Сгатьев В.Ю. Информационная безопасность распределенных информационных систем / В.Ю. Статьев, В.А. Тиньков // Журнал «Информационное общество». 1997. -№. 1.С. 68-71.

77. Marty R. Applied Security Visualization / R. Marty. Addison-Wesley Professional, 2009. - 552 p.

78. Carter E. Intrusion Prevention Fundamentals / E. Carter, J. Hogue. Indianapolis, IN: Cisco Press, 2006.-312 p.

79. Корреляция Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . Режим доступа к Веб-сайту: http://www.wilcipedia.ru [ссылка]

80. Центроид треугольника Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . — Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

81. Doyle J. Routing TCP/IP. Volume 1 / J. Doyle, J. Carroll. Indianapolis, IN: Cisco Press, 2006.-936 p.

82. Bastien G. CCSP SNPA Official Exam Certificatino Guide / G. Bastien et al.]. -Indianapolis, IN: Cisco Press, 2006. 768 p.

83. Вирусы и антивирусы: гонка вооружений Электронный ресурс]: Веб-сайт / Securelist.com. 2008- . — Режим доступа к Веб-сайту: http://www.securelist.com [ссылка]

84. Служба информационной безопасности Электронный ресурс]: Веб-сайт / Wikipedia. 2009- . — Режим доступа к Веб-сайту: http://www.wikipedia.ru [ссылка]

85. Голов А. «Обеспечение информационной безопасности современного банка» / А. Голов // СЮ. 2006. - N6. ссылка]

86. Евтеев Д. «Анализ защищенности Web-приложений» / Д. Евтеев // Открытые системы. 2009. -N3. ссылка]

87. Курило А.П. «О новой редакции Стандарта Банка России» / А.П. Курило // Деньги и кредит. 2009. -N2. С. 3-7. ссылка]

88. Netforensics Электронный ресурс]: Веб-сайт / Netforensics. 2008- . Режим доступа к Веб-сайту: http://www.netforensics.com.

89. CA E-trust Электронный ресурс]: Веб-сайт / Computer Associates. 2008- . Режим доступа к Веб-сайту: http://www.ca.com. [ссылка]

90. Cisco MARS Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com. [ссылка]

91. Tivoly TSOM Электронный ресурс]: Веб-сайт / IBM. 2010- . Режим доступа к Веб-сайту: http://www.ibm.com. [ссылка]

92. Eventia Analyzer Электронный ресурс]: Веб-сайт / Checkpoint. 2009- . Режим доступа к Веб-сайту: http://www.checkpoint.com. [ссылка]

93. Шювба С.Д. Проектирование нечетких систем средствами MATLAB / С.Д. Штовба. М.: Горячая линия - Телеком, 2007. - 288 с.

94. Сенаторов М.Ю. Информационно-телекоммуникационная система Банка России / М.Ю. Сенаторов. М.: 2007. - 199 с.

95. Castro J.L. Fuzzy systems with defuzzification are universal approximators / J.L Castro, M. Delgado // Systems, Man, and Cybernetics, Part B: Cybernetics. 1996. -N26(1). P. 149152

96. Thottan M. Proactive anomaly detection using distributed agents / M. Thottan, C. Ji // IEEE Network. 1998. P. 21-27

97. Feather F. W. Fault Detection in Ethernet Networks via Anomaly Detection / F.W. Feather // Ph.D. thesis, Department of Electrical Engineering and Computer Engineering, Carnegie Mellon University. 1992.

98. Feather F. W. Fault Detection In Ethernet Network Using Anomaly Signature Matching / F.W. Feather, D. Siewiorek, R. Maxion // Proceedings of the SIGCOMM93. 1993, P. 279-288.

99. Баранов П. А. Обнаружение аномалий на основе анализа характеристик мощности рассеивания в критерии однородности / П.А. Баранов // Проблемы информационной безопасности СПб , 2006, - № 3, С 15-24.

100. Шевченко А.С. Методы обнаружения сетевых вторжений / А.С. Шевченко, А.К. Зыков // Информационные, сетевые и телекоммуникационные технологии. Сборник научных трудов, под ред. проф. д.т.н. Жданова B.C., МГИЭМ, М.:, 2005. С. 114-117.

101. Дружинин Ф.Д. Выявление и предотвращение злоумышленной активности на отдельном сервере или рабочей станции / Ф.Д. Дружинин // III Общероссийская студенческая электронная научная конференция «Студенческий научный форум 2011». М.:, 2011.-С. 1-13.

102. Шелудько И.А. Регистрация и анализ событий безопасности в информационныхсистемах / О.Б. Макаревич, И.А. Шелудько // Известия ТРТУ. Тематический выпуск.145

103. Материалы V Международной научно-практической конференции «Информационная безопасность», Таганрог, 2003 г., с. 211-216.

104. Ковалев Д.О. Оценка количества сообщений ИБ в автоматизированных системах как метод выявления сетевых атак / Д.О. Ковалев, Н.Г. Милославская // Безопасность информационных технологий. 2011. -N1. С. 44-50.

105. Условия применения экстраполяции Электронный ресурс]: Веб-сайт / Extrapolation.ru. 2009- . Режим доступа к Веб-сайту: http://extrapolation.ru [ссылка]

106. Махотило К.В. Разработка методик эволюционного синтеза нейросетевых компонентов систем управления / К.В. Махотило // Диссертация на соискание ученой степени кандидата технических наук, ХГПУ, Харьков, 1998.

107. Интерполяция Электронный ресурс]: Веб-сайт / Wikipedia. 2009-. Режим доступа к Веб-сайту: http://wikipedia.ru [ссылка]

108. Интерполяционный многочлен Лагранжа Электронный ресурс]: Веб-сайт / Wikipedia. 2009- Режим доступа к Веб-сайту: http://wikipedia.ru [ссылка]

109. Han К. Development of threat evaluation tool for distributed network environment / K. Han, I. Kim, K. Lee, J. Choi, S. Jeon // Department of Computer Science and Engineering Korea University, Seoul, 2005.

110. Axelsson S. On a Difficulty of Intrusion Detection / S. Axelsson // Department of Computer Engineering, Chalmers University of Technology, Gothenburg, 1999.

111. Bass T. Intrusion Detection Systems and Multisensor Data Fusion / T. Bass // Communications of the ACM, Vol. 43, 2001, N 4, P 99-105.

112. Костогрызов А.И. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем / Безкоровайный М. М., Костогрызов А. И., Львов В. М. // Вооружение, политика, конверсия, М.: 2001, 303 с.

113. Craddock R. What can Modern Data Fusion do for you / R. Craddock R // Thales Research and Technology, UK, 2009.

114. Kagey P. Data Fusion / P. Kagey // Lockheed Martins, 2006.

115. Tan R. Impact of Data Fusion on Real-Time Detection in Sensor Networks / R. Tan, G. Xing, B. Liu, J. Wang // Michigan State University, Tech. Rep., 2009, MSU-CSE-09-19.

116. Voice and Unified Communitcations Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com.146

117. Fibre Channel over Ethernet Электронный ресурс]: Веб-сайт / Cisco. 2010- . Режим доступа к Веб-сайту: http://www.cisco.com.

118. Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой. -М.: Юнити-Дана, 2004. 592 с.

119. Magic Quadrant for Network Inrusion Preventio Systems Электронный ресурс]: Вебсайт / Gartner. 2008- . — Режим доступа к Веб-сайту: http://www.gartner.com

120. Buyer's Guide For Intrusion Prevention Systems Электронный ресурс]: Веб-сайт / Intrusion Forum. 2008- . Режим доступа к Веб-сайту: http://forum-intrusion.com

121. Гмурман В.Е. Теория вероятностей и математическая статистика / В.Е. Гмурман -Москва: Высшая школа, 2003. 479 с.