Алгоритм обнаружения вторжений в информационных сетях на основе искусственной иммунной системы тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Бурлаков Михаил Евгеньевич
- Специальность ВАК РФ05.13.19
- Количество страниц 127
Оглавление диссертации кандидат наук Бурлаков Михаил Евгеньевич
ВВЕДЕНИЕ
ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ УГРОЗ В ИНТЕРНЕТ СФЕРЕ
1.1 Классы угроз в информационных системах
1.2 Стадии реализации угроз в информационных системах
1.3 Проблема обнаружения аномальных запросов
1.4 Системы обнаружения и предотвращения вторжений
1.4.2 Функциональное наполнение СОВ
1.4.3 Анализ методов применяемых в СОВ
1.4.3.1 Неадаптивные методы в СОВ
1.4.3.2 Адаптивные методы
1.5 Наборы данных как критерий эффективности адаптивных методов
1.6 Требования к адаптивным алгоритмам для обнаружения аномальных запросов
1.7 Выводы по первой главе. Цели и задачи исследования
ГЛАВА 2. РАЗРАБОТКА МОДЕЛЕЙ И ФОРМАЛИЗАЦИЯ ЗАДАЧИ ОБНАРУЖЕНИЯ АНОМАЛЬНЫХ ЗАПРОСОВ
2.1 Формализация задачи обнаружения аномальных запросов
2.2 Анализ экземпляров аномальных и не аномальных запросов
2.2.1 Набор данных NSL-KDD Dataset
2.2.2 Набор данных CSIC 2010 HTTP
2.2.3 Набор данных Enron Dataset
2.3 Оценка влияния атрибутов на конечный результат
2.3.1 Механизм анализа соответствий
2.3.1.1 Анализ соответствий. Понятия и определения
2.3.1.1.1 Профили
2.3.1.1.2 Веса
2.3.1.1.3 Метрика
2.3.1.1.4 Снижение количества атрибутов запросов
2.3.1.1.5 Алгоритм реализации SVD метода
2.4 Практический аспект оптимизации количества атрибутов у наборов данных механизмом анализа соответствий
2.5 Выводы по второй главе
ГЛАВА 3. РАЗРАБОТКА ИСКУССТВЕННОЙ ИММУННОЙ СИСТЕМЫ
3.1 Требования к искусственной иммунной системе
3.2 Элементы искусственной иммунной системы
3.2.1 Метрика для у#-элеметов
3.2.3 Операции в искусственной иммунной системе
3.2.4 Механизм внешнего воздействия в ИИС
3.3 Описание формальной реализации искусственной иммунной системы
3.3.1 Константы искусственной иммунной системы
3.3.2 Реализация искусственной иммунной системы
3.4 Вывод по третьей главе
ГЛАВА 4. РЕАЛИЗАЦИЯ ИССЛЕДОВАТЕЛЬСКОГО ПРОТОТИПА СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛЬНЫХ ЗАПРОСОВ
4.1 Архитектура системы обнаружения вторжений
4.2 Определение мер эффективности алгоритмов машинного обучения
4.3 Анализ эффективности алгоритмов машинного обучения на наборах данных
4.4 Анализ эффективности системы обнаружения вторжений с
внедренными алгоритмами машинного обучения
4.4.1 Модель клиент-серверного приложения при практической реализации
4.4.2 Практическая схема работы СОВ в ИС
4.5 Вывод по четвертой главе
ЗАКЛЮЧЕНИЕ
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
СПИСОК ЛИТЕРАТУРЫ
Приложение А. Акт о внедрении результатов диссертационной работы в ООО «Интеркаскад»
Приложение Б. Акт о внедрении результатов диссертационной работы в АО «Инстиут по проектированию и исследовательской работы в нефтяной промышленности «Гипровостокнефть»
Приложение В. Акт о внедрении результатов диссертационной работы в ОАО «Оренбургнефть»
Приложение Г. Акт о внедрении результатов диссертационной работы в ООО «Ютек-НН»
Приложение Д. Акт о внедрении результатов диссертационной работы в ООО «УБС»
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта2018 год, кандидат наук Браницкий Александр Александрович
Обнаружение вторжений в распределенных информационных системах на основе методов скрытого мониторинга и анализа больших данных2018 год, кандидат наук Штеренберг Станислав Игоревич
Программная система и способ выявления угроз информационной безопасности в компьютерных сетях2011 год, кандидат технических наук Селин, Роман Николаевич
Интеллектуальная система мониторинга информационной безопасности промышленного Интернета вещей с использованием механизмов искусственных иммунных систем2023 год, кандидат наук Шамсутдинов Ринат Рустемович
Многоагентная система обнаружения атак на информационную систему предприятия2013 год, кандидат технических наук Никишова, Арина Валерьевна
Введение диссертации (часть автореферата) на тему «Алгоритм обнаружения вторжений в информационных сетях на основе искусственной иммунной системы»
ВВЕДЕНИЕ
Любую современную компанию невозможно представить без окружающей ее информационной среды. С развитием программной и аппаратной инфраструктуры растут и требования к обеспечению безопасности и с каждым днем этот вопрос стоит все актуальнее[1,2]. Например, в 2015 году на 58% корпоративных компьютеров была отражена хотя бы одна атака вредоносного программного обеспечения (ПО), что на 3%, чем в 2014 году. Каждый третий компьютер в бизнес-среде (29%), подвергся хотя бы одной атаке через глобальную сеть Интернет. В 2016 году компании в области информационной безопасности заблокировали 2 871 965 угроз только на мобильных платформах [3]. Также, в связи с постоянным развитием и информатизацией бизнес сектора, атаки с использованием уязвимостей в офисных приложениях осуществляются в 3 раза чаще, чем в домашнем [4,5]. Общая динамика количества обнаруженных угроз представлена на рисунке 1.1.
Рисунок 1.1 - Общее количество угроз обнаруженных ТОП-10 группами исследователей в области информационной безопасности за последние 5 лет[6]
Повсеместное развитие компьютерных сетей и их дальнейшая интеграция с глобальной сетью Интернет только увеличивает количество угроз, связанных с доступностью, целостностью и конфиденциальностью - основополагающими принципами информационной безопасности [7].
Постоянный прогресс в развитии антивирусов, систем обнаружения и предотвращения вторжений, межсетевых экранов, сканеров безопасности радикально не меняют общую картину в лучшую сторону. Так, например, количество обнаруженных подозрительных и потенциально небезопасных объектов увеличилось с 1 849 949 за 2015 до 4 000 000 за 2016 г. [3].
Глобально выделяют два сектора работы выше обозначенного ПО -локальная вычислительная сеть (ЛВС) и стык «Интернет/Интранет». Если для первого случая существует множество рекомендаций и спецификаций, позволяющих снизить вероятность возникновения и эскалации угрозы, то во втором случае вопрос стоит куда более остро.
Для обнаружения атак из глобальной сети в сторону локальной используются различные классы инструментальных средств, такие как: комплексные системы управления безопасностью, пассивные и активные средства мониторинга доступности сетевых ресурсов, системы обнаружения и предотвращения вторжений (IDS и IPS)[8-11].
На данный момент вопросы исследований в области защиты локальных сетей от угроз из глобальной сети Интернет лежат в плоскости разработки средств проактивной защиты и активного аудита. Выбор данного направления позволяет решить несколько из обозначенных выше проблем путем использования технологий интеллектуального анализа данных, модульности, масштабируемости и многоагентности подхода.
Одновременно с этим, многие вопросы при построении систем и комплексов безопасности остаются открытыми и не до конца исследованными. Неясными остаются вопросы, связанные с надёжностью применения новых методов и технологий и их реализацией в режиме реального времени, поэтому тема диссертации, посвященная разработке системы обнаружения вторжений с использованием одного из перспективных направлений на основе технологии машинного обучения - искусственной иммунной системы, является актуальной.
Степень разработанности темы
В настоящее время в данной предметной области ведутся активные разработки как отечественных (Н.Н. Безруков, Ю.В. Бородакий, В.И. Васильев, Ю.А. Гатчин, П.Н. Девятин, В.Г. Дождиков, П.Д. Зегжда, И.В. Котенко, М.В. Кузнецов, И.В. Машкина, В.Ю. Пирогов, В.А. Семеренко, Л.А. Станкевич, В.В. Сухостат, А.О. Тараканов, Л.М. Ухлинов, В.Ф. Шаньгин и др.), так и зарубежных (С. Аллексон, Д. Аллен, Д. Андерсон, Д. Деннинг, К. Лендвер, Т. Лунт, Б. Меткалф, К. Скарфоне, С. Хайкин и др.) ученых.
В то же время, выделение направления проактивной защиты позволяет решить несколько из обозначенных выше проблем путем использования технологий интеллектуального анализа данных, модульности, масштабируемости и многоагентности подхода. Поэтому выбранное для исследования направление является актуальным и представляет научный и практический интерес в области защиты информации в сетях телекоммуникаций.
В соответствии с целями и задачами диссертационной работы определены ее объект и предмет.
Объектом исследования являются поступающие внешние запросы из Интернет пространства в локальные вычислительные системы.
Предметом исследования искусственная иммунная система, функционирующая в качестве адаптивного компонента сетевой системы обнаружения вторжений, на примере решения задачи обнаружения аномальных запросов.
Целью диссертационной работы является повышение эффективности обнаружения угроз, представленных в виде запросов, поступающих от внешних систем в ЛВС через Интернет, на основе разработки компонента адаптивной защиты в виде искусственной иммунной системы (ИИС) для систем обнаружения вторжений.
Для достижения поставленной цели необходимо решение следующих задач:
1. Исследование классов угроз, стадий их реализации, а также методов их обнаружения в рамках систем обнаружения вторжений, формулирование требований к адаптивным алгоритмам с целью обнаружения аномальных запросов.
2. Определение наборов данных аномальных и не аномальных запросов, исследование зависимости влияния атрибутов на общее представление запросов в наборах данных, разработка метода оптимизации атрибутного пространства у представленных экземпляров запросов.
3. Разработка метода кластеризации запросов с атрибутами, представленными в номинальных значениях с последующим выделением центров кластеров.
4. Разработка алгоритма искусственной иммунной системы для обнаружения аномальных запросов, с последующей интеграцией модели в СОВ.
5. Разработка программного комплекса системы обнаружения вторжений с внедренными адаптивными алгоритмами для детектирования аномальных запросов, анализ полученных результатов, представление рекомендаций по его практическому применению в реальных условиях эксплуатации.
Методы исследования. В работе использовались методы теории распознавания образов, теории искусственных нейронных сетей и нечеткой логики, искусственных иммунных систем, теории принятия решений и анализа соответствий, системного анализа, технологии объектно-ориентированного программирования. Для обработки результатов экспериментов использовались методы математической статистики и теории вероятностей.
Научная новизна результатов диссертации заключается в следующем:
1. Предложен метод оптимизации количества атрибутов в запросах, с помощью механизма анализа соответствий и вероятностных методов с получением репрезентативного набора данных для алгоритмов машинного обучения, позволяющий снизить количество анализируемых атрибутов не менее
чем в 1,5 раза для эталонных наборов данных протоколов TCP, HTTP/1.1 и SMTP и не менее чем в 2 раза для формируемых наборов данных.
2. Предложен метод кластеризации аномальных запросов с представлением атрибутов в номинальных шкалах со снижением анализируемого множества в среднем не менее чем в 2.7 раза для эталонных наборов данных протоколов TCP, HTTP/1.1 и SMTP.
3. Предложен алгоритм ИИС по обнаружению аномальных запросов для протоколов TCP, HTTP/1.1 и SMTP с применением механизма анализа соответствий, позволяющий повысить эффективность обнаружения угроз, по сравнению с алгоритмом логистической регрессии не менее чем на 5% и алгоритмом искусственной нейроной сети не менее чем на 4%, и уровнем ложного срабатывания не более 6%.
Теоретическая и практическая значимость результатов диссертации состоит в возможности использования разработанной системы обнаружения аномальных запросов при построении систем защиты противодействия угрозам.
Программный комплекс СОВ с интегрированной в качестве адаптивного механизма ИИС реализован для предотвращения угроз, возникающих при генерации запросов к системе через протоколы передачи информации TCP/UDP/ICMP, HTTP/1.1 и SMTP. Комплекс позволяет защитить пользователя в части обеспечения доступности, целостности и конфиденциальности данных, а также:
1. с высокой степенью эффективности (более 91%) обнаруживать новые, ранее неизвестные аномальные запросы по сравнению с иными применяемыми механизмами машинного обучения;
2. с высоким значением полноты и точности классификации аномальных запросов (более 96%) повысить вероятность их обнаружения.
Полученные результаты применимы как в системах обнаружения вторжений аномальных запросов, так и в системах предотвращения вторжений.
Внедрение результатов диссертационной работы. Результаты диссертационной работы были внедрены в:
• ОАО «Оренбургнефть», г. Оренбург (Акт о внедрении результатов №2902/21-01/1 от «21» февраля 2014г.),
• ООО «Интеркаскад», г.Бузулук (Акт о внедрении результатов №452 от «12» декабря 2014г.),
• ООО "Урал-Быт-Сервис", г. Бузулук (Акт о внедрении результатов №452 от «23» ноября 2014г.),
• ООО "Ютек-НН", г. Нижний Новгород (Акт о внедрении результатов №148 от «15» сентября 2015г.),
• АО "Институт по проектированию и исследовательским работам в нефтяной промышленности "ГИПРОВОСТОКНЕФТЬ", г. Самара, (Акт о внедрении результатов № исх-П-12/1-16 от «22» марта 2016г.).
Исследовательский прототип искусственной иммунной системы мониторинга и аудита ИС зарегистрирован в Федеральной службе по интеллектуальной собственности (№2013618955 от 09.10.2013, № 2014617066 от 10.07.2014 г.).
Соответствие диссертации паспорту научной специальности.
Содержание диссертации соответствует пункту 3 паспорта специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность» - Методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса.
Достоверность результатов работы обеспечивается сравнением результатов, полученных после реализации предложенного подхода и существующих аналогов ПО, проведенным тестированием разработанного ПО в части точности вычислений и времени выполнения, корректностью математических выкладок, использованием квалифицированных экспертных оценок для проведения вычислительных экспериментов, а также положительным эффектом от внедрения результатов работы.
Апробация работы. Основные научные и практические результаты диссертационной работы докладывались и обсуждались на международных научно-технических конференциях:
- XIII Международная научно-практическая конференция «Информационная безопасность - 2013», г. Таганрог (2013 г.).
- 9-я Всероссийская школа семинар аспирантов и молодых ученых "Актуальные проблемы науки и техники", г. Уфа (2014 г.).
- XV Всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности», г. Иркутск (2014 г.).
- Международная научно-техническая конференция «Перспективные информационные технологии», г. Самара (2014 г., 2016 г. и 2017 г.).
- Конференция "Информационные технологии и нанотехнологии", г. Самара (2016 г. и 2017 г.).
- XXIV Всероссийская конференция «Структура и динамика молекулярных систем», г. Йошкар-Ола (2017 г.).
Публикации по теме диссертации. Результаты диссертационной работы отражены в 21 публикациях, в том числе 6 публикациях в рецензируемых журналах из перечня ВАК и 1 публикация в рецензируемом журнале из перечня Scopus. 2 свидетельства о регистрации ПО в ФИПС. Результаты по направлению диссертационной работы были представлены на Областном конкурсе «Молодой ученый года-2015» Министерства образования и науки Самарской области, где автор стал победителем.
Личный вклад автора. В диссертационной работе использованы результаты, в которых автору принадлежит определяющая роль. Часть опубликованных работ написана в соавторстве с сотрудниками научной группы. Соискатель непосредственно разработал модель искусственной иммунной системы с применением механизма анализа соответствий. Также лично автором разработаны основные методы и алгоритмы комплекса программ.
Положения, выносимые на защиту:
1. Метод оптимизации количества атрибутов запросов, основанный на применении механизма анализа соответствий и вероятностных методов с получением репрезентативного набора данных для алгоритмов машинного обучения, позволяющий снизить количество анализируемых атрибутов не менее для эталонных и формируемых наборов данных протоколов TCP, HTTP/1.1 и SMTP.
2. Метод кластеризации аномальных запросов с представлением атрибутов в номинальных шкалах позволяющий снизить размер анализируемого множества для эталонных наборов данных протоколов TCP, HTTP/1.1 и SMTP.
3. Алгоритм ИИС по обнаружению аномальных запросов для протоколов TCP, HTTP/1.1 и SMTP с применением метода анализа соответствий, позволяющий повысить эффективность обнаружения угроз, по сравнению с алгоритмом логистической регрессии и алгоритмом искусственной нейроной сети.
4. Программный комплекс обнаружения аномальных запросов, позволяющий повысить защищенность информационной системы в части обнаружения новых угроз с использованием адаптивного механизма ИИС.
Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы из 152 наименований, 5 приложений. Общий объем работы составляет 127 страниц, в том числе 13 рисунков и 37 таблиц.
ГЛАВА 1. АНАЛИЗ СУЩЕСТВУЮЩИХ УГРОЗ В ИНТЕРНЕТ СФЕРЕ
1.1 Классы угроз в информационных системах
С момента организации глобальной сети Интернет, количество протоколов, использующих стек TCP/IP как средство адресации и транспортировки между различными приложениями, реализующих тот или иной функционал растет. Часть протоколов являются стандартом в глобальной сети, часть являются только экспериментальной разработкой. Каждый из протоколов функционирует на своем уровне семиуровневой модели OSI (Таблица 1.1).
Таблица 1.1 - Примеры протоколов по уровням модели OSI
Уровень OSI Протоколы, соответствующие уровню OSI
Прикладной BGP, DNS, FTP, HTTP, HTTPS, IMAP, LDAP, P OP3, SNMP, SMTP, SSH, Telnet, XMPP
Сеансовый/Представления SSL, TLS
Транспортный TCP, UDP, ICMP
Каждый протокол в глобальной сети отвечает за взаимодействие разного рода систем между собой содержа в себе как плюсы, так и минусы реализаций. Любой пробел в реализации несет в себе потенциальную угрозу с точки зрения конфиденциальности, доступности и целостности данных. В силу того, что системы могут быть между собой тесно переплетены, существует возможность эскалации угроз даже на защищенные компоненты. Например, неверная интерпретация входящих параметров в рамках работы веб-сервера может привести к нестабильной работе операционной системы, в рамках которой этот веб-сервер работает. В качестве основных транспортных протоколов работы сети Интернет на сегодняшний день являются протоколы TCP и UDP [12]. В рамках работы этих протоколов в 1999 компания DARPA [13] предложила классификацию угроз, которая стала де-факто стандартом в области безопасности
Интернет пространства. В рамках стека TCP, UDP и ICMP в общем случае выделяют 4 больших класса угроз:
• Отказ в обслуживании (Denial of Service, DoS). Класс угроз, где злоумышленник создает такие условия, при которых легитимные (авторизованные) пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. [14-16]
• Атака на удаленную инфраструктуру (Remote to Local, R2L). Класс угроз, при которых злоумышленник не имея доступа к инфраструктуре жертвы, пытается ее получить путем компрометации системы доступа [17].
• Повышение привилегий (User to Root, U2R). Класс угроз, при которых злоумышленник имеет ограниченный доступ в рамках инфраструктуры жертвы и пытается получить административные права по управлению и выполнению критических операций [18].
• Сканирование (Probe). Класс угроз, при котором злоумышленник пытается получить какие-либо сведения об атакуемой системе.
Как видно, классы угроз рассматривают инфраструктуру жертвы от момента сканирования до ее проникновения, либо прекращения ее нормального функционирования. Любая реализация угроз состоит из набора действий, реализация последовательности которых характеризует ее жизненный цикл. Рассмотрим подробнее стадии угроз, реализуемые в рамках информационных систем.
1.2 Стадии реализации угроз в информационных системах
Важным определением реализации угрозы в рамках взаимодействия информационной системы (ИС) с глобальной сетью является атака (вторжение, нападение). Согласно ГОСТ [19], атака (вторжение, нападение) на информационную систему - это совокупность преднамеренных действий
злоумышленника, направленные на нарушение одного из трех основных свойств информации - доступности, целостности и конфиденциальности.
Рассмотрим классификацию атак по типам. Выделяют как активные, так и пассивные типы атак [20]. Результатом воздействия активных атак является нарушение деятельности информационной системы, тогда как пассивные атаки ориентированы на получение информации из системы, не нарушая ее функционирования. В общем случае угроза с позиции злоумышленника состоит из 5 стадий:
1. Стадия рекогносцировки. На этой стадии злоумышленник старается получить как можно больше информации об объекте атаки (Probe requests), на основе которой планируются дальнейшие этапы реализации угроз. Такими данными, например, являются: тип и версия используемого веб-сервера или базы данных, специфика работы протокола передачи данных и др. Дополнительным вектором угрозы является отсуствие оперативного обновления ПО.
2. Исследование возможности эксплуатации. Злоумышленник на данном этапе исследует возможность эксплуатации выявленных уязвимостей. В случае если будет получено положительное решение, алгоритм переходит к этапу 3.
3. Стадия вторжения. На этом этапе злоумышленник получает несанкционированный доступ к ресурсам тех узлов, на которые совершается атака (R2L).
4. Стадия атакующего воздействия на ИС. Данная стадия угрозы направлена на достижение злоумышленником тех целей, для которых она предпринималась. Примерами таких действий могут являться нарушение работоспособности ИС, получение доступа к конфиденциальной информации, хранимой в системе, удаление или модификация данных и др. При этом злоумышленник может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в ИС (U2R, DoS).
5. Стадия дальнейшего развития атаки. На этом этапе выполняются действия, которые необходимы для продолжения атаки на другие объекты ИС.
Таким образом, реализация угроз имеет четкую структуру, которая позволяет точно идентифицировать каждый этап ее реализации. В рамках работы с транспортными протоколами на основе стеков TCP, UDP и ICMP вопрос обнаружения атак заключается в обнаружения аномальных (некорректных, представляющих угрозу) запросов, которые не могут быть корректно обработаны принимающей стороной (соответствующим ПО) и представляют потенциальную угрозу с дальнейшей возможностью реализации всех 4 классов угроз.
1.3 Проблема обнаружения аномальных запросов
На сегодняшний день существует множество методов позволяющих детектировать передаваемые между системами потенциально опасные, аномальные запросы (requests). В общем случае для их обнаружения используют сигнатурные и не сигнатурные методы [8-10,21]. Каждый из этих методов имеет свои преимущества и недостатки.
Сигнатурные методы. К преимуществам сигнатурных методов можно отнести:
• возможность оперативного обнаружения определенных запросов (либо их шаблонов), находящихся в базе данных сигнатур [22];
• низкий уровень ложных срабатываний, так как в базу данных сигнатур внесена информация только об аномальной активности [23,24].
Недостатками же данного подхода является:
• неспособность обнаруживать новые, потенциально опасные запросы, а значит существует промежуток времени между его появлением (например, в виде эксплойта или инъекции (угрозы «нулевого дня»)) и выходом сигнатуры, в котором конечные узлы остаются уязвимыми [25];
• необходимость постоянного и оперативного обновления сигнатур угроз;
• трудоемкий процесс создания сигнатуры с ручным созданием экземпляра объекта запроса [26].
Примером работы сигнатурного метода является технология DPI (Deep Packet Inspection) - технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому [27].
Не сигнатурные методы. В настоящее время можно выделить 5 наиболее часто используемых методов выявления аномалий не сигнатурными методами [28]:
• методы, основанные на анализе главных компонент (PCA-based):
o базовые методы;
o распределенный метод главных компонент и т.д.
• методы, основанные на шаблонах (Sketch-based):
o базовые методы;
o негауссовская многомерная статистика и т.д.
• методы на анализе сигналов (Signal-analysis based):
o статистические методы;
o методы с использованием вейвлет анализа;
o методы с использованием фильтров Калмана и т.д.
• метод на аномалиях (Anomaly extraction)
o нейронные сети;
o генетические алгоритмы;
o искусственные иммунные системы и т.д.
• методы, основанные на синтезе предыдущих подходов
o сетевая томография и т.д.
В каждом из описанных методов рассматривается запрос или группа запросов, циркулирующих в рамках информационных систем, с последующим принятием решения о наличии или отсутствии в них угроз.
Здесь и далее запросы, будут рассматриваться в рамках работы протоколов не ниже транспортного по модели OSI: TCP, UDP, ICMP.
С целью определения аномальной природы того или иного запроса, ценность алгоритма принимающего решения несомненна. Однако она лишена всякого смысла, если этот алгоритм не работает в рамках какой-либо системы (программно-аппаратного комплекса). Как правило, задача детектирования угроз ложится на плечи систем обнаружения и предотвращения вторжений. Именно они:
• определяют, с какими данными предстоит работать алгоритмам;
• производят первичную обработку данных (например, валидацию, квантование и т.д.)
• принимают решение о дальнейшем поведении системы в случае обнаружения угрозы.
В силу практической направленности диссертационной работы, рассмотрение и дальнейшая работа алгоритмов детектирования будет производиться в рамках системы обнаружения вторжений.
1.4 Системы обнаружения и предотвращения вторжений 1.4.1 Общие аспекты систем обнаружения и предотвращения вторжений
В настоящее время на рынке существует множество средств обнаружения и предотвращения вторжений (СОВ и СПВ), имеющих свои преимущества и недостатки [25,29,41]. К таковым решениям можно отнести: антивирусы, межсетевые экраны, системы сканирования, логирования и журналирования.
Система обнаружения вторжений (СОВ, Intrusion Detection System (IDS)) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или ЛВС, либо несанкционированного управления ими [30,31].
Система предотвращения вторжений (СПВ, Intrusion Prevention System (IPS)) — программная или аппаратная система сетевой (ЛВС) и компьютерной
безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них [32].
Все СОВ и СПВ можно многомерно классифицировать несколькими способами [33-40]:
По способу реагирования:
• активные (системы предотвращения вторжений), системы осуществляющие активные действия в случае обнаружения угрозы (блокировка источника угрозы, сканирование источника угрозы, закрытие всех соединений защищаемой инфраструктуры и т.д.);
• пассивные (системы обнаружения вторжений), системы, осуществляющие сбор и анализ данных, с последующим оповещением ответственных лиц или других систем о возникших угрозах.
По архитектуре:
• распределенные, где система состоит из сенсоров, центрального узла управления и интерфейса взаимодействия;
• централизованные, где все вычисления производятся в рамках одного узла.
По типу объекта мониторинга:
• сетевые СОВ, где объектом мониторинга выступает сетевой сегмент;
• узловые СОВ, где объектом мониторинга выступает является узел в сети;
• гибридные - СОВ с признаками узловых и сетевых.
По технологии анализа:
• с сохранением состояния, информация о предыдущих событиях сохраняется и учитывается при принятии решения;
• без сохранения состояния, где каждое событие рассматривается независимо от других.
По методу обнаружения угроз:
• сигнатурные системы, заключающиеся в выявлении характерных идентифицирующих свойств угроз в сетевом трафике или высокоуровневых данных;
• системы машинного обучения, основанные на применении функции, отображающей множество входных сигналов на множество классов, где параметры функции настраиваются на основе обучающей выборки;
• системы обнаружения аномалий, которые имеют у себя записи о нормальном состоянии системы и детектируют любую угрозу, которая не входит в шаблон этого состояния;
• системы обнаружения нарушений в протоколе, системы фиксирующие корректность передаваемых данных в рамках заявленного протокола взаимодействия.
В зависимости от сферы применения, СОВ обладают комбинацией тех или иных признаков.
Таким образом, различие между СОВ и СПВ заключается в типе реакции на обнаруженную подозрительную активность. СОВ является пассивной системой, которая при обнаружении нарушения безопасности записывает файл в журнал отчета (лог файл), а также сигнализирует об это другие подсистемы или оператора(ов). СПВ напротив, имеет активный характер: ПО может сбрасывать соединение, перенастраивает межсетевой экран с целью блокировки трафика от злоумышленника - выполняет самостоятельные, предварительно заложенные инструкции на обработку конкретных нештатных или отклоняющихся от нормы ситуаций.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Исследование и разработка методов и средств создания эталонов для оценки защищённости корпоративных программных систем2014 год, кандидат наук Петров, Сергей Андреевич
Мониторинг и политика ограничения использования процессов на основе анализа их поведения2014 год, кандидат наук Прохоров, Роман Сергеевич
Развитие принципов функционирования систем обнаружения сетевых вторжений на основе модели защищенной распределенной системы2005 год, кандидат технических наук Ушаков, Дмитрий Вячеславович
Гибридная искусственная иммунная система защиты компьютера от процессов с аномальной активностью2012 год, кандидат технических наук Ваганов, Михаил Юрьевич
Классификация IP-трафика в компьютерной сети с использованием алгоритмов машинного обучения2020 год, кандидат наук Ванюшина Анна Вячеславовна
Список литературы диссертационного исследования кандидат наук Бурлаков Михаил Евгеньевич, 2017 год
СПИСОК ЛИТЕРАТУРЫ
1. Меткалф, Б. Закон Меткалфа сорок лет спустя после рождения Ethernet [Текст]// Б. Меткалф. - Москва: Открытые системы, 2014. - № 01. - 96 с.
2. Белов, Е.Б. Основы информационной безопасности. Учебное пособие для вузов [Текст]// Е.Б. Белов., В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -Москва: Горячая линия - Телеком, 2006. - C. 69.
3. Kaspersky Security Bulletin 2016. Разивитие угроз [Электронный ресурс]: официальный сайт компании «Касперский». URL: https://securelist.com/files/2014/12/Kaspersky-Security-Bulletin-2014.-0verall-statistics-for-2014.pdf (дата обращения: 12.12. 2016).
4. Kaspersky Security Bulletin 2014. Overall statistics for 2014 [Электронный ресурс]: официальный сайт компании «Касперский». URL: https://securelist.com/files/2014/12/Kaspersky-Security-Bulletin-2014.-0verall-statistics-for-2014.pdf (дата обращения: 02.05. 2015).
5. Kaspersky Security Bulletin 2015. Overall statistics for 2015 [Электронный ресурс]: официальный сайт компании «Касперский». URL: https://securelist.com/files/2015/12/KSB_2015_Statistics_FINAL_EN.pdf (дата обращения: 02.03. 2016).
6. Бурлаков, М.Е. Исследование динамики активности публикации угроз в открытых и закрытых источниках [Текст]// М.Е. Бурлаков. - Самара, Перспективные информационные технологии (ПИТ-2017): труды Международной научно-технической конференции. - Самара: Издательство Самарского научного центра РАН,2017 - С. 315-320.
7. Burlakov, M.E. Research the dynamic of author activities in threats through to public and private sources [Текст]// M.E. Burlakov. - Samara: Information Technology and Nanotechnology - 2017 Information Security, 2017 - P. 958-961.
8. Allen, J. State of the Practice of Intrusion Detection Technologies [Текст]// J. Allen, A. Christie, W. Fithen. - Carnegie Mellon University, Software Engineering Institute, 2000. - P. 17-29.
9. Axelsson, S. Research in Intrusion-Detection Systems: A Survey [Текст]// S. Axelsson - Department of Computer Engineering Chalmers University of Technology, 1999. - P. 12-58.
10. Axelsson, S. Intrusion detection systems: A survey and taxonomy [Текст]// S. Axelsson. - Department of Computer Engineering Chalmers University of Technology, 2000. - P. 99-115.
11. Kvarnstrom, H. A survey of commercial tools for intrusion detection [Текст]// H. Kvarnstrom. - Department of Computer Engineering Chalmers University of Technology, 1999. - P. 32-54.
12. TCP Metrics Report [Электронный ресурс]: официальный сайт компании «Tenable». URL: https://www.tenable.com/sc-report-templates/tcp-metrics-report (дата обращения: 11.10. 2016).
13. Usefulness of DARPA Dataset for Intrusion Detection System Evaluation [Электронный ресурс]: официальный сайт организации «Indian Institute of Science». URL: https://core.ac.uk/download/pdf/ 11632149.pdf?repositoryId=375 (дата обращения: 01.02. 2017).
14. Denial of Service Attacks [Электронный ресурс]: официальный сайт организации «Texas State University». URL: https://s2.ist.psu.edu/ist451/DDoS-Chap-Gu-June-07.pdf (дата обращения: 02.02. 2017).
15. Lunt, T.F. Automated Audit Trail Analysis and Intrusion Detection: A Survey [Текст]// T.F., Lunt. - Proceedings of the 11th National Security Conference, 1988. - P.14.
16. Gordon, E.M. Cramming more components onto integrated circuits [Текст] // E.M. Gordon. - Electronics, 1965. - Vol. 38. - Num. 8. - P. 4-5.
17. Deconstructing the Computer: Report of a Symposium / Committee on Deconstructing the Computer, Committee on Measuring and Sustaining the New Economy, Board on Science, Technology, and Economic Policy, Policy and Global
Affairs, National Research Council - Washington: National Academies Press, 2005. -P. 49-50.
18. Таненбаум, Э. Архитектура компьютера [Текст]// Э. Таненбаум. - СПб: Питер, 2010. - C. 43-47.
19. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. - Москва: Стандартинформ, 2008. - С. 1-3.
20. Гатчин, Ю.А. Теория информационной безопасности и методология защиты информации [Текст] // Ю.А. Гатчин, В.В. Сухостат. - СПб.: СПбГУ ИТМО, 2010. - C. 98-100.
21. Adaptation Techniques for Intrusion Detection and Intrusion Response Systems [Электронный ресурс]: официальный сайт организации «Information Technology and Operations Center». URL: http://www.secdev.org/idsbiblio/adapt.pdf (дата обращения: 03.03. 2017).
22. Rajesh, R.S. Computer Networks: Fundamentals & Applications [Текст] // R.S. Rajesh, K.S. Easwarakumar, R. Balasubramanian. - New Delhi : Vicas Pub, 2012. - P. 19-25.
23. Mann, I. Hacking the Human: Social Engineering Techniques and Security Countermeasures [Текст] // I. Mann. - Gover Publishing Ltd, 2012. - 273 p.
24. Дородников, Н.А. Автоматизация процессов обеспечения безопасности сетевых ресурсов в гетерогенных ЛВС [Текст] // Н.А. Дородников, Ю.Г. Филиппова, С.А. Арустамов, Ю.А. Гатчин - Йошкар-Ола: Информационные технологии в профессиональной деятельности и научной работе, 2014. -С. 265-269.
25. Васильев, В.И. Интеллектуальные системы защиты информации [Текст] // В.И. Васильев. - Москва: «Машиностроение», 2012. - 171 с.
26. Adaptive Model Generation for Intrusion Detection Systems [Электронный ресурс]: официальный сайт организации «EDU Columbia». URL:
http://ids.cs.columbia.edu/sites/default/files/adaptive-ccsids00.pdf (дата обращения: 05.03. 2017).
27. Implications of Deep Packet Inspection (DPI) Internet Surveillance for Society [Электронный ресурс]: официальный сайт организации «Uppsala University». URL: http://fuchs.uti.at/wp-content/uploads/DPI.pdf (дата обращения: 06.03. 2017).
28. Network Traffic Anomaly Detection [Электронный ресурс]: официальный сайт организации «Klipsch School of Electrical and Computer Engineering». URL: https://arxiv.org/pdf/1402.0856.pdf (дата обращения: 08.03. 2017).
29. Pietro, R. Intrusion Detection Systems [Текст] // R. Pietro - Springer Science + Business Media LTD, 2008. - 210 p.
30. Long, J. No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing [Текст] // J. Long. - Syngress Publishing Inc, 2011. -281 p.
31. Scarfone, K. Guide to Intrusion Detection and Prevention Systems (IDPS) [Текст]// K. Scarfone, P. Mell. - Computer Security Resource Center (National Institute of Standards and Technology), 2010. - 127 p.
32. Roebuck, K. Ips - Intrusion Prevention System [Текст] // K. Roebuck. -Emereo Pty Limited, 2011. - P. 3-4.
33. Пирогов, В.Ю. Информационные системы и базы данных: организация и проектирование: учеб. пособие [Текст] // В.Ю. Пирогов. - СПб.: БХВ Петербург, 2009. - 528 с.
34. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях [Текст] // В.Ф. Шаньгин. - Москва: Litres, 2013. - 581 с.
35. IDS/IPS — Системы обнаружения и предотвращения вторжений [Электронный ресурс] // Net.Config Сетевые технологии. - 2014. - URL: http://netconfig.ru/server/ids-ips/ (дата обращения: 12.06. 2016).
36. Mehdi Bahrami, M.B. An overview to Software Architecture in Intrusion Detection System [Текст] // M.B. Mehdi Bahrami - International Journal of Soft Computing and Software Engineering, 2011. - P. 1-8
37. Gurley, R. Intrusion Detection [Текст] // R. Gurley. - Bace Sams Publishing, 2000. - P. 107-108.
38. Bhattacharyya, D.K. Network Anomaly Detection: A Machine Learning Perspective [Текст] // D.K. Bhattacharyy, J.K. Kalita. - CRC Press,2013. - 191 p.
39. Kazienko, P. Intrusion Detection Systems (IDS) Part 2 - Classification; methods; techniques [Электронный ресурс] / P. Kazienko. - 2004. - URL: http://www.windowsecurity.com/articles-tutorials/intrusion_detection/IDS-Part2-Classification-methods-techniques.html (дата обращения: 08.08. 2016).
40. Дрозд, А. Обзор корпоративных IPS-решений на российском рынке [Электронный ресурс] / А. Дрозд. - 2013. - URL: http://www.anti-malware.ru/IPS_russian_market_review_2013 (дата обращения: 10.06. 2016).
41. Denning D. An Intrusion-Detection Model [Текст] // D. Denning. - IEEE Transactions on Software Engineering, 1987. - Vol. SE-13. - No. 2. - P. 27-41.
42. Бурлаков, М.Е. Двухклассификационная искусственная иммунная система [Текст] // М.Е. Бурлаков. - Самара: Вестник Самарского государственного университета, 2014. - №7(118). - С. 207-221.
43. Youn, S. A Comparative Study for Email Classification [Текст] // S. Youn, D. McLeod. - University of Southern California, 2013. - P. 1-5.
44. Kiritchenko, S. Email Classification with Co-Training [Электронный ресурс] / S. Kiritchenko, S. Matwin. - 2014. - URL: https://archives.limsi.fr/Actualites/Seminaires/MMC_SEMINAR/cascon2002.pdf (дата обращения: 11.11. 2015).
45. Martin,S. Analyzing Behaviorial Features for Email Classification [Электронный ресурс] / S. Martin, A. Sewani, B. Nelson. - 2013. - URL: http://bnrg.cs.berkeley.edu/~adj/publications/paper-files/ceas_camera_ready.pdf (дата обращения: 03.04. 2016).
46. Awad, W. A. Machine learning methods for spam e-mail classification [Электронный ресурс] / W. A. Awad, S. M. ELseuofi. - 2012. - URL: http://airccse.org/journal/jcsit/0211ijcsit12.pdf (дата обращения: 10.11. 2016).
47. Jones, B.B. The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System [Текст] // B. B. Jones. - Bartlett Publishers, 2013. - P. 3-4.
48. Kerrisk, M. The Linux Programming Interface [Текст] // M. Kerrisk. - No Starch Press, 2010. - P. 5-8.
49. Vacca, J.R. Computer and Information Security Handbook [Текст] // J.R. Vacca. - Newnes, 2012. - 335 p.
50. Borger, E. The Abstract State Machines Method for High-Level System Design and Analysis [Текст] // E. Borger. - Dipartimento di Informatica, Universita di Pisa, 2007. - P. 35-37.
51. Shim, J. K. Information Systems and Technology for the Noninformation Systems Executive [Текст] // J.K. Shim. - CRC Press, 2000. - 235 p.
52. Bellovin, S.M. Applied Cryptography and Network Security [Текст] // S.M. Bellovin, R. Gennaro. - Springer Science & Business Media, 2008. - 233 p.
53. Vacca, J.R. Computer and Information Security Handbook [Текст] // J.R. Vacca. - Newnes, 2012. - 335 p.
54. Saul, L.K. Advances in Neural Information Processing Systems [Текст] // L.K.Saul, Y. Weis. - MIT Press, 2005. - 641 p.
55. Nunes, L. Artificial Immune Systems: A New Computational Intelligence Approach [Текст] // L. Nunes, J. Timmis. - Springer Science & Business Media, 2002. - P. 2-10.
56. Scherer, P. Using SVM and Clustering Algorithms in IDS Systems [Электронный ресурс] / P. Scherer, M. Vicher, P. Drazdilova. - 2014. - URL: http://ceur-ws.org/Vol-706/paper25.pdf (дата обращения: 02.02. 2017).
57. Tuck, N. Calder B. Deterministic Memory-Efficient String Matching Algorithms for Intrusion Detection [Электронный ресурс] / N. Tuck, T. Sherwood, B. Calder. - 2004. - URL: https://cseweb.ucsd.edu/~calder /papers/INF0C0M-04-IDS.pdf (дата обращения: 10.02. 2017).
58. Das, V. Network intrusion detection syste, based on machine learning algorithms [Электронный ресурс] / V. Das, V. Pathak, S. Sharma. - 2010. - URL: http://airccse.org/journal/jcsit/1210ijcsit13.pdf (дата обращения: 03.03. 2017).
59. Li, W. Using Genetic Algorithm for Network Intrusion Detection [Электронный ресурс] / W. Li. - 2010. - URL: http://citeseerx.ist.psu.edu/ viewdoc/download?doi=10.1.1.89.3125&rep=rep1&type=pdf (дата обращения: 30.12. 2016).
60. Хайкин, С. Нейронные сети: полный курс [Текст] // C. Хайкин. -Москва: Издательский дом Вильямс, 2008. - 32 с.
61. Abe, S. Support Vector Machines for Pattern Classification [Текст] // S. Abe. - Springer Science & Business Media, 2005. - P. 39-41.
62. Kollias, S. Artificial Neural Networks [Текст] // S. Kollias. - Springer Science & Business Media, 2006. - 161 p.
63. Искусственные иммунные системы и их применение [Текст] / под ред. Д. Дасгупты: пер. с англ. - М.: ФИЗМАТЛИТ, 2006. - 344 с.
64. Tarakanov, A. O. Immunocomputing: principles and applications [Текст] // A. O. Tarakanov. - New York:Springer Verlag, 2003.
65. Яремчук, С. Иммунная система для компьютера [Электронный ресурс]/ C. Яремчук. - 2004. - Системный администратор. - URL: http://av5.ru/journals-magazines-online/1/47/464 (дата обращения: 04.01. 2017).
66. Carney, B. L. A Comparison of Methods for Implementing Adaptive Security Policies [Электронный ресурс] / B. L. Carney. - 2008. - URL: https://www.usenix.org/legacy/publications/library/proceedings/sec98/full_papers/loe/lo e.pdf (дата обращения: 07.03. 2017).
67. Eskin, E. Adaptive Model Generation for Intrusion Detection Systems [Электронный ресурс] / E. Eskin, M. Miller, Z. Zhong. - 2014. - URL: http://ids.cs.columbia.edu/sites/default /files/adaptive-ccsids00.pdf (дата обращения: 10.04. 2017).
68. Hossain, M. A framework for an adaptive intrusion detection system with data mining [Электронный ресурс] / M. Hossain, S. M. Bridges. - 2014. - URL: https://dl.packetstormsecurity.net/papers/IDS/nids/A-Framework-For-An-Adaptive-Intrusion-Detection-System.pdf (дата обращения: 11.10.2016).
69. Ibrahim, H.E. Adaptive Layered Approach using Machine Learning Techniques with Gain Ratio for Intrusion Detection Systems [Электронный ресурс] / H. E. Ibrahim, S. M. Badr, M. A. Shaheen. - 2012. - URL: http://arxiv.org/ftp/arxiv/papers/1210/1210.7650.pdf (дата обращения: 08.12.2016).
70. Movahedi, M. Machine Learning Techniques for Intrusion Detection [Электронный ресурс] / M. Zamani, M. Movahedi. - 2015. - URL: http://arxiv.org/pdf/1312.2177.pdf (дата обращения: 06.06. 2017).
71. Farid, D.M. Combining naive bayes and decision tree for adaptive intrusion detection [Электронный ресурс] / D.M. Farid, N. Harbi, M.Z. Rahman. - 2010. -URL: http://arxiv.org/ftp/arxiv/papers/1005/ 1005.4496.pdf (дата обращения: 10.06. 2017).
72. Skinner, K. Adaptive, Model-based Monitoring for Cyber Attack Detection [Электронный ресурс] / A. Valdes, K. Skinner. - 2013. - URL: http://www.csl.sri.com/papers/adaptbn/adaptbn.pdf (дата обращения: 08.08. 2017).
73. Chavan, S. Adaptive Neuro-Fuzzy Intrusion Detection Systems [Электронный ресурс] / S. Chavan, K. Shah, N. Dave. - 2014. - URL: http: //www.tifr.res.in/~sanyal/papers/Sampada_nfids. pdf (дата обращения: 10.11.2016).
74. Kukielka, P. Adaptation of the neural network-based IDS to new attacks detection [Электронный ресурс] / P. Kukielka. - 2006. - URL: http://arxiv.org/ftp/arxiv/papers/1009/1009.2406.pdf (дата обращения: 11.11. 2016).
75. Moradi, M. A Neural Network Based System for Intrusion Detection and Classification of Attacks [Электронный ресурс] / M. Moradi, M. Zulkernine. - 2004. -URL: http://research.cs.queensu.ca/~moradi/148-04-MM-MZ.pdf (дата обращения: 23.04. 2017).
76. Linda, O. Neural Network Based Intrusion Detection System for Critical Infrastructures [Электронный ресурс] / O. Linda, T. Vollmer, M. Manic. - 2009. -URL: https://inldigitallibrary.inl.gov/sti/4363830.pdf (дата обращения: 29.11. 2016).
77. Reddy, E.K. Neural Networks for Intrusion Detection and Its Applications [Электронный ресурс] / E.K. Reddy. - 2013. - URL:
http: //www.iaeng.org/publication/WCE2013/WCE2013_pp1210-1214.pdf (дата
обращения: 24.09. 2017).
78. Bivens, A. Network-based intrusion detection using neural networks [Электронный ресурс] / A. Bivens, C. Palagiri, R. Smith, B. Szymanski, M. Emrechts. - 2002. - URL: http://webcache.googleusercontent.com/search?q=cache: fIzHUcHfl0AJ:web.info.uvt.r/ ~dzaharie/cne2013/proiecte/aplicatii/intrusion_detection_systems/NN%252BIDS/IDS% 252BNN2.pdf+&cd=5&hl=ru (дата обращения: 20.03. 2017).
79. Burton, B. Bayesian Spam Filtering Tweaks [Электронный ресурс] / B. Burton. - 2003. - URL: http://spamprobe.sourceforge.net/paper.html (дата обращения: 11.12. 2016).
80. Kim, J. Immune System Approaches to Intrusion Detection - A Review [Электронный ресурс] / J. Kim, P. J. Bentley, U. Aickelin, J. Greensmith, G. Tedesco, J. Twycross. - 2010. - URL: http://arxiv.org/ftp/arxiv/papers/0804/0804.1266.pdf (дата обращения: 25.12. 2016).
81. Kim, J. The Human Immune System and Network Intrusion Detection [Электронный ресурс] / J. Kim, P. J. Bentley. - 2010. - URL: http://www.cs.columbia.edu/~locasto/projects/candidacy/papers/kim99human.pdf (дата обращения: 27.12. 2016).
82. Ehret, C. Immune system based intrusion detection system [Электронный ресурс] / C. Ehret, U. Ultes-Nitsche. - 2008. - URL: http://icsa.cs.up.ac.za/issa/2008/Proceedings/Full/50.pdf (дата обращения: 20.02. 2017).
83. Learning and Optimization Using the Clonal Selection Principle [Электронный ресурс]: официальный сайт организации «IEEE». URL: ftp://ftp.dca.fee.unicamp.br/pub/docs/vonzuben/lnunes/ieee_tec01 .pdf (дата обращения: 09.09. 2017).
84. AIS Theory [Электронный ресурс]: официальный сайт организации «UCC». URL: http://boemund.dagstuhl.de/mat/Files/11/11172/11172. JansenThomas.Slides.pdf (дата обращения: 06.03. 2017).
85. Negative Selection Algorithm: Recent Improvements and Its Application in Intrusion Detection System [Электронный ресурс]: официальный сайт организации «International Journal of Computing Academic Research». URL: http://www.meacse.org/ijcar/archives/115.pdf (дата обращения: 21.08. 2017).
86. The Negative Selection Algorithm: a Supervised Learning Approach for Skin Detection and Classification [Электронный ресурс]: официальный сайт организации «IJCSNS International Journal of Computer Science and Network Security». URL: http://paper.ijcsns.org/07_book/201011/201011 14.pdf (дата обращения: 25.08. 2017).
87. Articulation and Clarification of the Dendritic Cell Algorithm [Электронный ресурс]: официальный сайт организации «Arxiv.org». URL: https://arxiv.org/ftp/arxiv/papers/0910/0910.4903.pdf (дата обращения: 06.09. 2017).
88. Hart, E. Artificial Immune Systems [Текст] // E. Hart, C. McEwan, J. Timmis. - 9th International Conference ICARIS-20086,2008. - P. 130-131.
89. Bentley, P. Artificial Immune Systems [Текст] // P. Bentley, D. Lee, S. Jung. - 7th International Conference ICARIS-2008, 2008. - P. 200-202.
90. Kruegel, C. Bayesian Event Classification for Intrusion Detection [Электронный ресурс] / C. Krugel, D. Mutz, Robertson W., Valeur F. - 2003. - URL: https://www.cs.ucsb.edu/~chris/research/doc/2003_07.pdf (дата обращения: 04.04. 2017).
91. Sharma, M. Intrusion Detection System using Bayesian Approach for Wireless Network [Электронный ресурс] / M. Sarma, K. Jindal, A. Kumar. - 2012. -URL: http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.258.6692&rep=rep1&type=pdf (дата обращения: 20.03. 2017).
92. Tuba, M. Design of an Intrusion Detection System Based on Bayesian Networks [Электронный ресурс] / M. Tuba, D. Bulatovic. - 2009. - URL: http://www.wseas.us/e-library/transactions/computers/2009/29-234.pdf (дата обращения: 25.08. 2017).
93. Гвозденко, А. Искусственные иммунные системы как средство сетевой самозащиты [Электронный ресурс] / А. Гвозденко. - 2000. - Компьютерное обозрение. - URL: http://itc.ua/node/4270 (дата обращения: 07.04. 2017).
94. Анкудинов, П.В. Искусственные иммунные системы - взгляд в будущее [Текст] // П.В. Анкудинов. - Защита информации. INSID, 2005. - №3. -С. 56-59.
95. Станкевич, Л.А. Иммунологически системы: модели и применение [Текст] // Л.А. Станкевич. - Москва: МИФИ, 2007. - С. 98-105.
96. Tarakanov, A.O. Immunocomputing for Intelligent Intrusion Detection [Текст] // A.O. Tarakanov. - IEEE Computational Intelligence Magazine, 2008. - Vol. 3. - № 2. - P. 22-30.
97. Гладыш, С.В. Иммунокомпьютинг в управлении инцидентами информационной безопасности [Электронный ресурс] / СВ. Гладыш. - 2008. -URL: http://www.nbuv.gov.ua/Portal/naturalZ11/2008_1/JournalAI_ 2008_1/Razdel3/00_Gladysh.pdf (дата обращения: 21.10. 2016)
98. Intrusion detection evaluation dataset [Электронный ресурс]: официальный сайт организации «University of New Brunswick». URL: http://www.unb.ca/cic/research/datasets/ids.html (дата обращения: 03.02. 2016).
99. Al-Hamami, A. H. Handbook of Research on Threat Detection and Countermeasures in Network Security [Текст] // A.H. Al-Hamami, G. M. W. Al-Saadoon. - IGI Global, 2014. - 450 p.
100. Levin, I. KDD-99 Classifier Learning Contest [Текст] // I. Levin. -LLSoft's Results Overview. SIGKDD Explorations, 2010. - P. 67-75.
101. Lippmann, R. P.. Evaluating Intrusion Detection Systems: The 1998 DARPA off-line intrusion detection evaluation [Текст] // R. P. Lippmann, D. J. Fried, I. Graf, J. W. Haines, K. Kendall, D. McClung, D. Webber, S. Webster, D. Wyschograd, R. Cunninghan, M. Zissman. - DARPA, 2000.
102. Tavallaee, M. A Detailed Analysis of the KDD CUP 99 Data Set [Текст] // M. Tavallaee, E. Bagheri, W. Lu, A. Ghorbani. - Submitted to Second IEEE
Symposium on Computational Intelligence for Security and Defense Applications (CISDA), 2009.
103. Knowledge discovery in databases DARPA archive [Электронный ресурс]: официальный сайт организации «University of California». URL: http://www.kdd.ics.uci.edu/databases/kddcup99/task.html (дата обращения: 29.01. 2017).
104. Paros - for web application security assessment [Электронный ресурс]: официальный сайт организации «Chinotec Technologies Company». URL: http://www.parosproxy.org/index.shtml (дата обращения: 14.02. 2017).
105. Web Application Attack and Audit Framework [Электронный ресурс]: официальный сайт организации «W3AF». URL: http://w3af.sourceforge.net (дата обращения: 03.11. 2015).
106. Raw Data at the Research Related Services by the Institutional Repository [Электронный ресурс]: официальный сайт организации «LIBER ». URL: http://libereurope.eu/wp-content/uploads/2014/06/LIBER-Case-Study-CSIC.pdf (дата обращения: 04.07. 2015).
107. Perez-Villegas A. Applying Markov Chains to Web IntrusionDetection [Текст] // A. Perez-Villegas, C. Torrano-Gimenez, G. Alvarez. - Reunión Española sobre Criptología y Seguridad de la Información (RECSI), 2010. - P. 361-366.
108. Torrano-Gimenez C. An anomaly-based approach for intrusion detection in web traffic [Текст] // C. Torrano-Gimenez, A. Perez-Villegas, G. Alvarez. - Journal of Information Assurance and Security, 2010. - vol. 5. - issue 4. - P. 446-454.
109. Torrano-Gimenez C. A Self-Learning Anomaly-Based Web Application Firewall [Текст] // C. Torrano-Gimenez, A. Perez-Villegas, G. Alvarez. - 2nd International Workshop in Computational Intelligence in Security for Information Systems (CISIS 09), 2009. - vol. 63. - P. 85-92.
110. Torrano-Gimenez C. An Anomaly-based Web Application Firewall [Текст] // C. Torrano-Gimenez, A. Perez-Villegas, G. Alvarez. - International Conference on Security and Cryptography (SECRYPT 2009), 2009. - P. 23-28.
111. Nguyen H. Application of the Generic Feature Selection Measure in Detection of Web Attacks [Текст] // H. Nguyen, C. Torrano-Gimenez, G. Alvarez, S. Petrovic, K. Franke. - International Workshop in Computational Intelligence in Security for Information Systems (CISIS 11 ), 2011. - P. 25-32.
112. Torrano-Gimenez C. Applying Feature Selection to Payload-Based Web Application Firewalls [Текст] // C. Torrano-Gimenez, H. Nguyen, G. Alvarez, S. Petrovic, K. Franke. - International Workshop on Security and Communication Networks (IWSCN 11), 2011. - P. 75-81.
113. CSIC 2010. [Электронный ресурс]: официальный сайт организации «Aberystwyth Universicty». URL: http://users.aber.ac.uk/pds7/csic_dataset/csic2010http.html (дата обращения: 09.09. 2015).
114. Enron-Spam datasets. [Электронный ресурс]: официальный сайт организации «CSMINING GROUP». URL: http://csmining.org/index.php/enron-spam-datasets.html (дата обращения: 04.07. 2015).
115. Metsis V. Spam Filtering with Naive Bayes - Which Naive Bayes? [Текст]// V. Metsis, I. Androutsopoulos, G. Paliouras. -CEAS, 2006.
116. Простой и множественный анализ соответствий как метод разведочного анализа данных [Электронный ресурс]: официальный сайт организации «Высшая школа экономики». URL: https://www.google.ru/url ?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwjPh-GRlrHWAhXIDpoKHWg7DSAQFggmMAA&url=http%3A%2F%2Fstatmod.ru%2Fwi ki%2F_media%2Fstudy%3Afall2015%3A5stat_lecture%3Ashafir_m._-prostoii_i_mnojestvennyiiii_analiz_sootvetstviii_kak_metod_razvedochnogo_analiza_d annyiih._vyiipysknaea_kvalifikats.pdf%3Fid%3Dstudy%253Afall2016%253A5stat_lec ture%26cache%3Dcache&usg=AFQjCNHyYVCE7-TqYRkR0vMCUQbAy7tXFQ (дата обращения: 24.08. 2014).
117. Адамов, С. Система анализа нечисловой информации [Текст] // С. Адамов. - Москва: САНИ. - 86- 104 с.
118. Nishisato, S. Analysis of categorical data: Dual scaling and its applications [Текст] // S. Nishisato. - Toronto: University of Toronto Press. 1980.
119. Singular Value Decomposition Tutorial [Электронный ресурс]: официальный сайт организации «Высшая школа экономики». URL: https://davetang.org/file/Singular_Value_Decomposition_Tutorial.pdf. Kirk Baker (дата обращения: 07.08. 2016).
120. The SVD Algorithm [Электронный ресурс]: официальный сайт организации «Высшая школа экономики». URL: https://web.stanford.edu/class/cme335/lecture6.pdf (дата обращения: 23.09. 2016).
121. SVD-разложение и его практические приложения [Электронный ресурс]: официальный сайт организации «Overleaf». URL: https://www.overleaf.com/articles/svd-razlozhieniie-i-iegho-praktichieskiie-prilozhieniia-svd-decomposition-and-its-practical-
applications/gkzqbdxdgmry#.WcNRiPNJZhE (дата обращения: 08.10. 2016).
122. SVD-разложение и его приложения [Электронный ресурс]: официальный сайт организации «Московский аивиационный институт». URL: https://www.overleaf.com/articles/svd-razlozhieniie-i-iegho-praktichieskiie-prilozhieniia-svd-decomposition-and-its-practical-applications/gkzqbdxdgmry/viewer.pdf (дата обращения: 31.11. 2015).
123. Computing the Sparse Singular Value Decomposition via SVDPACK [Электронный ресурс]: официальный сайт организации «Springer». URL: https://link.springer.com/chapter/10.1007/978-1-4613-9353-5_2 (дата обращения: 04.05. 2016).
124. SVDPACK [Электронный ресурс]: официальный сайт организации «Netlib». URL: http://www.netlib.org/svdpack/ (дата обращения: 23.10. 2016).
125. Боровиков, В. STATISTICA. Искусство анализа данных на компьютере: Для профессионалов [Текст] / В. Боровиков. - СПб.: Питер, 2003. -688 с.
126. Farid, D.M. Adaptive Intrusion Detection based on Boosting and Naïve Bayesian Classifier [Электронный ресурс] / D.M. Farrid, M.Z. Rahman, C.M.
Rahman. - 2011. - URL: http://www.ijcaonline.org/volume24 /number3/pxc3873883.pdf (дата обращения: 04.02. 2017).
127. Accurate SVDs of Structured Matrices [Электронный ресурс]: официальный сайт организации «Netlib». URL: http://www.netlib.org /lapack/lawnspdf/lawn130.pdf (дата обращения: 24.05. 2017).
128. Singular Value Decomposition [Электронный ресурс]: официальный сайт организации «NCSU». URL: http://www4.ncsu.edu/~ipsen/REU09/chapter4.pdf (дата обращения: 14.06. 2017).
129. Mukherjee S., Sharma N. Intrusion Detection using Naive Bayes Classifier with Feature Reduction [Электронный ресурс] / S. Mukherjee, N. Sharma - 2012. -URL: http://www.sciencedirect.com/science /article/pii/S2212017312002964 (дата обращения: 26.07. 2017).
130. Distances between Clustering, Hierarchical Clustering [Электронный ресурс]: официальный сайт организации «Netlib». URL: http://www.stat.cmu.edu/~cshalizi/350/lectures/08/lecture-08.pdf (дата обращения: 13.07. 2017).
131. Watkins, A. Artificial Immune Recognition System (AIRS):An Immune-Inspired Supervised Learning Algorithm [Текст] // A.Watkins, L. Bogges. - Kluwer Academic Publishers, 2003. - P. 32-34.
132. Корелов, С.В. Обнаружение аномального поведения процесса на основе системы вызовов [Электронный ресурс] / СВ. Корелов. - 2006. - URL: http://www.rf.unn.ru/rus/sci/books/06/docs/11InfSys06.doc (дата обращения: 13.12. 2015).
133. Kotov, V.D. Artificial Immune Systems Based Intrusion Detection System [Текст] // V.D. Kotov, V.I. Vasilyev. - Proceedings of the Second Intrnational Conference on Security of Information and Networks (SIN'09), 2009 - P. 207-212.
134. Кашаев, Т.Р. Алгоритмы активного аудита информационной системы на основе технологии искусственных иммунных систем [Текст]: дис. ... канд. техн. Наук: 05.13.19. - Уфа, 2008. - 131 с.
135. Обухов, А.В. Метод иммунного ответа на вторжения [Текст] // А.В. Обухов, С.А. Петренко, А.В. Беляев. - Защита информации. INSIDE, 2009. -№ 4. - C. 44-54.
136. Artificial Immune Systems: Theory and Applications [Электронный ресурс]: официальный сайт организации «Unicamp University». URL: ftp://vm1-dca.fee.unicamp.br/pub/docs/vonzuben/lnunes/tut_sbrn.pdf (дата обращения: 07.07.2017).
137. Hofmeyr, S.A. Immunity by Design: An Artificial Immune System [Электронный ресурс] / S.A. Hofmeyr, S. Forrest. - 2011. - URL: http://www.cs.unm.edu/~immsec/publications/gecco-steve.pdf (дата обращения: 03.11.2016).
138. An Immune-Based Network Intrusion Detection System [Электронный ресурс]: официальный сайт организации «Harvard University». URL: http://adsabs.harvard.edu/abs/2006SPIE.6241E..0UY (дата обращения: 24.12. 2015).
139. Perez-Andres, M. Human Peripheral Blood B-Cell Compartments: A Crossroad in B-Cell Traffic [Электронный ресурс] / M. Perez-Andres, B. Paiva, W. Nieto, A. Caraux, A. Schmitz, J. Almeida. - 2010. - URL: http://onlinelibrary.wiley.com/doi/10.1002/cyto.b.20547/pdf (дата обращения: 09.11. 2016).
140. Вапник, В.Н. Теория распознавания образов [Текст] // В.Н. Вапник, А.Я. Червоненкис. - М.: Наука, 1974. - C. 1-10.
141. Бурлаков, М.Е. Выделение верхнего и нижнего пределов энергии при распознавании объектов нейронной сетью с механизмом реакции на последовательности [Текст] // М.Е. Бурлаков. -Волгоград: ИУНЛ ВолГТУ, 2014. -58 с.
142. Mathematical Function Optimization using AIS Antibody Remainder method [Электронный ресурс]: официальный сайт организации «International Journal of Machine Learning and Computing». URL: http://www.ijmlc.org/papers/03-C00778-001.pdf (дата обращения: 11.11. 2016).
143. Hierarchical design based intrusion detection system for wireless ad hoc sensor network [Электронный ресурс]: официальный сайт организации «Arxiv.org». URL: https://arxiv.org/ftp/arxiv/papers/1208/1208.3772.pdf (дата обращения: 12.12. 2016).
144. Examples of Adaptive MCMC [Электронный ресурс]: официальный сайт организации «Arxiv.org». URL: http://probability.ca/jeff/ftpdir/adaptex.pdf (дата обращения: 27.12. 2016).
145. Protocol-Based Classification for Intrusion Detection [Электронный ресурс]: официальный сайт организации «CiteSeerX». URL: http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.492.687&rep=rep1&type=pd f (дата обращения: 24.01. 2017).
146. Боровиков, В. STATISTICA. Искусство анализа данных на компьютере: Для профессионалов [Текст] // В. Боровиков. — СПб.: Питер, 2003. -688 с.
147. Neural Network Design [Электронный ресурс]: официальный сайт организации «Private Site». URL: http://hagan.okstate.edu/NNDesign.pdf (дата обращения: 30.03. 2017).
148. Бульченко, С.А. Разработка генератора ПСП на основе виткового регистра сдвига с обощенной отдачей "Вихрь Мерсенна" и его исследование [Электронный ресурс] / С.А. Бульченко. - 2008. - URL: http://crypto.vl.ru/downloads/diplomas/2009_belchenko.pdf (дата обращения: 22.12. 2015).
149. Бурлаков, М.Е. Теоретическое обоснование реакционной модели нейрона на бинарные последовательности [Текст] // М.Е. Бурлаков. - Москва: Научная дискуссия: вопросы физики, математики,: Материалы IX междунар. научно-практической конф., 2013. - С. 61 - 68.
150. Коробко, И.В. Справочник системного администратора по программированию Windows [Текст] // И.В. Коробко. - Спб.: БХВ-Петербург, 2009. - C. 52-57.
151. Hofmeyr, S.A. Immunity by Design: An Artificial Immune System [Электронный ресурс] / S.A. Hofmeyr, S. Forrest. - 2011. - URL: http://www.cs.unm.edu/~immsec/publications/gecco-steve.pdf (дата обращения: 06.02.2017).
152. Clausen, S.-E. Applied correspondence analysis: An introduction. [Текст] // S. Clausen. - Sage university papers. Series: Quantitative applications in the social sciences, 1998. - Vol. 121. - p.137-150.
Приложение А
Акт о внедрении результатов диссертационной работы в ООО
«Интеркаскад»
Приложение Б
Акт о внедрении результатов диссертационной работы в АО «Инстиут по проектированию и исследовательской работы в нефтяной промышленности
«Гипровостокнефть»
Акт о внедрении результатов диссертационной работы в ОАО
«Оренбургнефть»
Акт о внедрении результатов диссертационной работы в ООО «Ютек-НН»
Общество с ограниченной ответственностью «Ютек-НН» (ООО «Ютек-НН»)
ул. Тургенева, 30, Нижний Новгород, 603024 www.utech-mi.com; e-mail: info@utech-nn.com ОКПО 90351217, ОГРН 1115260001394 ИНН/КПП 5260294513/526001001 15 сентября 2015 г.№148 На № от
Акт о внедрении результатов диссертационной работы Бурлакова М.Е. «Алгоритм обнаружения вторжений в информационных сетях на основе искусственной иммунной системы»
Настоящим актом подтверждается, что программно-аппаратный комплекс «Алгоритм обнаружения вторжений в информационных сетях на основе искусственной иммунной системы», как результат практической и научно-исследовательской работы, проведенной Бурлаковым Михаилом Евгеньевичем, прошла успешную демонстрацию в рамках информационной системы ООО «Ютек-НН» .
По результатам выполненных работ было принято положительное решение о возможности внедрения программно-аппаратного комплекса в имеющуюся систему предотвращения вторжений.
¿а ютек-нн
Директор ООО «Ютек-НН»
С.Н. Ситников
Акт о внедрении результатов диссертационной работы в ООО «УБС»
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.