Метод поддержки принятия решения о безопасности программного обеспечения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Беляков, Игорь Александрович
- Специальность ВАК РФ05.13.19
- Количество страниц 197
Оглавление диссертации кандидат технических наук Беляков, Игорь Александрович
ОГЛАВЛЕНИЕ
СПИСОК СОКРАЩЕНИЙ
ВВЕДЕНИЕ
ГЛАВА 1 АНАЛИЗ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОАО «РЖД»
1.1 Общая характеристика предметной области
1.2 Анализ проблемы обеспечения безопасности ПО
1.2.1 Уязвимости программного обеспечения
1.2.2 Классификация и учет уязвимостей ПО
1.2.3 Последствия эксплуатации уязвимого ПО
1.2.4 Анализ недекларированных возможностей как уязвимостей ПО
1.3 Обзор существующих методов выявления уязвимостей
1.3.1 Стандарты разработки программного обеспечения
1.3.2 Методы тестирования безопасности
1.3.3 Особенности сертификации безопасности программного обеспечения
1.3.4 Методы статического анализа
1.4 Постановка научной и частных задач исследования
ВЫВОДЫ ПО ГЛАВЕ 1
ГЛАВА 2 МОДЕЛЬ СИСТЕМЫ ОЦЕНКИ СООТВЕТСТВИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
2.1 Анализ существующей системы выявления уязвимостей
2.1.1 Формализация показателей, оцениваемых экспертом
2.1.2 Обобщение и систематизация данных статического анализа
2.1.3 Модель системы
2.2 Выбор и обоснование используемых математических методов
2.3 Особенности применения аппарата искусственных нейронных сетей
2.3.1 Модель нейрона
2.3.2 Классификация нейронных сетей
2.3.3 Исследование процесса обучения нейронных сетей
2.3.4 Применение нейронных сетей для решения задач классификации
2.4 Разработка модели системы поддержки принятия решения о
соответствии программного обеспечения требованиям безопасности
ВЫВОД ПО ГЛАВЕ 2
ГЛАВА 3 РАЗРАБОТКА МЕТОДА ПРИНЯТИЯ РЕШЕНИЯ О СООТВЕСТ-ВИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ
3.1 Метод верификации безопасности ПО
3.1.1 Основные этапы метода
3.1.2 Формирование вектора характеристик безопасности ПО
3.1.3 Оценивание характеристик безопасности
3.1.4 Принятие решения о соответствии ПО требованиям безопасности
3.2 Разработка архитектуры нейронной сети для решения задачи верификации безопасности ПО
3.2.1 Определение условий решаемой задачи
3.2.2 Определение топологии ИНС
3.2.3 Расчет мощности ИНС
3.2.4 Разработка метода обучения искусственной нейронной сети используемой в качестве решателя в модуле принятия решений
3.2.5 Анализ полученных результатов обучения
3.3 Разработка метода использования ИНС для решения задачи поиска заданных конструкций
3.3.1 Разработка модели подсистемы поиска заданных конструкций
3.3.2 Анализ полученных результатов
3.4 Методика автоматизированной верификации безопасности ПО
ВЫВОДЫ ПО ГЛАВЕ 3
ГЛАВА 4 ОПИСАНИЕ ПРОТОТИПА СИСТЕМЫ ВЫЯВЛЕНИЯ УЯЗВИМОСТЕЙ И ПРЕДЛОЖЕНИЙ ПО ЕГО ПРАКТИЧЕСКОЙ
РЕАЛИЗАЦИИ
4.1 Разработка прототипа системы
4.1.1 Разработка функциональных требований
4.1.2 Методика обучения и тестирования системы
4.1.3 Проверка корректности исходных данных
4.1.4 Расчет характеристик безопасности ПО
4.1.5 Определение классификатора соответствия
4.1.6 Принятие решения о соответствии ПО требованиям безопасности
4.2 Апробация прототипа
4.2.1 Структура системы верификации безопасности ПО АС ОАО «РЖД»
4.2.2 Интерфейс системы верификации ПО
4.2.3 Анализ соответствия проекта требованиям безопасности
4.3 Методика проведения испытаний
4.4 Анализ полученных результатов и разработка предложений по
практическому применению СВУ
ВЫВОДЫ ПО ГЛАВЕ 4
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
СПИСОК СОКРАЩЕНИЙ
АСД - Абстрактное синтаксическое дерево. ЗИ - Защита информации. ЗК - Заданная конструкция. ИБ - Информационная безопасность. ИЛ - Испытательная лаборатория. ИНС - искусственная нейронная сеть. ИО - Информационный объект. ИТ - Исходные тексты. МИО - Матрица передачи информационных объектов (переменных). МИД - Модуль подготовки данных МПР - Модуль принятия решения МФО - Матрица вызова функциональных объектов.
НДВ - недекларированные возможности программного обеспечения. РД НДВ ФСЭК России. ПО - программное обеспечение. РД НДВ - руководящий документ ФСТЭК России: «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». СВУ - Система выявления уязвимо стей. СЗИ - Средство защиты информации. СППР - система поддержки принятия решения. ФО - Функциональный объект. ФСТЭК - Федеральная служба по техническому и экспортному контролю.
С VE - Common Vulnerabilities and Exposures. OWASP - The Open Web Application Security Project. HARM - Hailstorm Application Risk Metric.
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Метод выявления недекларированных возможностей программ с использованием структурированных метрик сложности2012 год, кандидат технических наук Диасамидзе, Светлана Владимировна
Разработка методов и средств поиска уязвимостей при сертификационных испытаниях защищенных вычислительных систем1998 год, кандидат технических наук Корт, Семен Станиславович
Технология комплексной оценки качества интеллектуальных программных продуктов двойного применения в процессе сертификационных испытаний2000 год, кандидат технических наук Белов, Виктор Викторович
Метод верификации и анализа защищенности баз данных на основе формализации требований целостности2011 год, кандидат технических наук Глухарев, Михаил Леонидович
Разработка и исследование модели и алгоритма выявления недекларированных возможностей в автоматизированных системах2012 год, кандидат технических наук Дацун, Наталья Николаевна
Введение диссертации (часть автореферата) на тему «Метод поддержки принятия решения о безопасности программного обеспечения»
ВВЕДЕНИЕ
Современное общество невозможно представить без широкого применения информационных технологий во многих областях человеческой деятельности. Программное обеспечение (ПО) является составной частью подавляющего большинства устройств и систем, используемых в повседневной жизни. Интенсивное развитие и растущее многообразие информационных технологий ставит новые задачи в области обеспечения информационной безопасности, а существующие проблемы безопасности становятся все более актуальными. Начиная с 2002 года проблеме создания безопасных программ уделяется повышенное внимание [3]. Существующая ситуация показывает [6, 17, 19], что проблема обеспечения информационной безопасности ПО, с развитием информационных технологий становится только актуальнее. Исследования в области обеспечения безопасности ПО ведутся такими международными организациями как NIST, OWASP. В России вопросы обеспечения безопасности ПО находятся в ведении Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности. Также внутренние РД есть у других министерств и ведомств (МинОбр, Минфин), регламентирующие использование ПО в рамках своей компетенции.
Повсеместное использование ПО в сферах деятельности человека, в которых цена ошибки играет важнейшую роль, предполагает, что оно должно проходить специализированные проверки на функциональную и информационную безопасность. ПО, не прошедшее соответствующие проверки, представляет угрозу как для жизни и здоровья, так и для материальных ценностей. Это особенно актуально в транспортной сфере, особенно в области организации железнодорожных перевозок. Пассажирооборот, по итогам 2011 года, составил более 150 миллиардов пасс/км, в то же время грузооборот превышает 999 тонн/км. Принимая во внимание, что нормальное функционирование подавляющего большинства подразделений ОАО «РЖД» находится в непосредственной зависимости от ИС. К настоящему времени в
ОАО используется более 100 автоматизированных систем, к наиболее важным из которых, в первую очередь, относятся: АСУ ЭКСПРЕСС, АСУ ПП, ЕКАСУФР, ДИСПАРК, ДИСТПС [79].
Принимая во внимание эти факторы, становится очевидным, что любой сбой в работе столь сложных организационно-технических систем может привести к катастрофическим последствиям.
В настоящее время основным инструментом подтверждения безопасности ПО, на территории РФ, является процедура сертификации на наличие НДВ. Одним из наиболее длительных и трудоемких этапов, при проведении сертификационных испытаний, является работа эксперта, связанная с обработкой результатов работы специализированного ПО, предназначенного для поиска НДВ. И чем сложнее исследуемое ПО, тем больше времени эксперт тратит на проведение его испытания и тем выше вероятность ошибки эксперта.
Основным органом, контролирующим процедуру сертификации, является ФСТЭК. Испытания проводятся в Испытательных лабораториях, деятельность которых лицензирует ФСТЭК. Испытательные лаборатории выполняют всю основную работу по поиску НДВ. После того, как Испытательная лаборатория закончит испытания ПО, результаты испытаний направляются в орган по сертификации, который проверяет корректность испытаний и выводы. Проверив результаты работы Испытательной лаборатории, орган по сертификации отправляет отчет во ФСТЭК. В результате всех этих действий, на программу выдается сертификат соответствия, подтверждающий отсутствие НДВ по определенному классу требований.
Исходя из специфики ПО, наибольшего внимания заслуживают существующие методы анализа программ на наличие/отсутствие недекларированных возможностей (НДВ). Применяемые в настоящее время методы верификации соответствия ПО требованиям безопасности позволяют в полной мере решить проблемы выявления НДВ. Однако, система сертификационных испытаний в целом обладает существенным недостатком -
высокими требованиями к времени. Это делает процедуру верификации ПО недоступной для широкого круга разработчиков, и, тем самым, оказывает негативное влияние на защищенность современных ИС.
Таким образом, целью исследования является сокращение временных затрат, необходимых для поведения сертификационных испытаний, направленных на подтверждение соответствия ПО требованиям безопасности.
Объектом исследования, в диссертационной работе, является существующая система выявления недекларированных возможностей в ПО, применяемая в рамках существующей процедуры сертификации. Исследования проводились на базе испытательной лаборатории средств защиты информации ПГУПС, департамента безопасности ОАО «РЖД», ОАО «НИИАС».
Предметом исследования являются методы и алгоритмы верификации соответствия ПО требованиям безопасности, а также исследование возможности применения элементов искусственного интеллекта для повышения их эффективности и оперативности принятия решения о наличии/отсутствии недекларированных возможностей.
Для достижения поставленной цели в работе решались следующие задачи:
- Исследование существующих подходов выявления уязвимостей и подтверждения соответствия программ требованиям безопасности.
- Анализ процесса принятия решения экспертом при проведении сертификационных испытаний.
- Разработка модели системы верификации соответствия ПО требованиям безопасности.
- Разработка метода принятия решения о безопасности ПО.
- Разработка методики верификации соответствия ПО требованиям безопасности.
- Разработка прототипа системы выявления уязвимостей.
- Оценка полученных результатов и представление заключения по
дальнейшему развитию.
Основной научной задачей диссертационной работы является обоснование и разработка новых методов автоматизированной верификации программ, позволяющих существенно снизить нагрузку на эксперта, и, тем самым, сократить временные затраты на проведение сертификационных испытаний. Также решается задача адаптации аппарата ИНС для решения задач принятия решения по результатам сертификационных испытаний и повышения эффективности поиска опасных конструкций в исходных текстах программного обеспечения.
Методы исследования. Для решения поставленных задач использовались методы абстрактной алгебры и искусственного интеллекта, теория вероятностей, системный анализ, методы верификации ПО, а также информационной безопасности и защиты информации.
Научной новизной обладают следующие результаты диссертационной работы:
- Модель системы верификации ПО требованиям безопасности с применением методов искусственного интеллекта.
- Метод поддержки принятия решения о соответствии ПО заданным требованиям безопасности.
- Алгоритм обучения ИНС для решения поставленной задачи верификации.
- Методика применения метода поддержки принятия решения в существующих системах сертификации безопасности ПО.
- Прототип системы верификации соответствия ПО требованиям безопасности, построенной в соответствии с предложенным методом.
Практическая значимость диссертационной работы заключается в том, что применение предложенного метода позволяет автоматизировать решение таких задач как оценивание данных анализа и принятие решения, позволяя, тем
самым, практически полностью, снять нагрузку с эксперта при проведении сертификационных испытаний.
Эффективность применения подтверждена численным анализом.
Реализация и внедрение результатов исследований.
Основные результаты диссертации использованы в ОАО «Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте», в учебном процессе ПГУПС в дисциплинах «Комплексное обеспечение информационной безопасности автоматизированных систем» и «Безопасность операционных систем», а также работе Испытательной лаборатории средств защиты информации ПГУПС.
Апробация результатов работы. Основные положения и результаты диссертации докладывались и обсуждались на заседаниях кафедры «Информатика и информационная безопасность», международной научно-практической конференции (МНПК) «ИнтеллектТранс 2011», МНПК «ИнтеллектТранс 2012», юбилейной научно-технической конференции «Инновации на железнодорожном транспорте - 2009», Юбилейной 20-й научно-технической конференции «Методы и технические средства обеспечения безопасности информации».
По теме диссертации опубликовано одиннадцать печатных работ (статьи и доклады на научно-технических и научно-практических конференциях), из них четыре в изданиях, рекомендованных ВАК Минобрнауки России.
Структура и объем диссертации. Диссертационная работа состоит из введения, четырех разделов основного содержания с выводами по каждому разделу, заключения, списка используемых источников, включающего 151 наименование. Материалы диссертации изложены на 197 страницах машинописного текста, включающих 88 иллюстраций и 22 таблицы, а также приложения объемом 19 страниц, включая 1 таблицу и 2 рисунка.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Оценка актуальных угроз и уязвимостей объектов критической информационной инфраструктуры с использованием технологий интеллектуального анализа текстов2023 год, кандидат наук Кучкарова Наиля Вакилевна
Моделирование процессов обеспечения комплексной безопасности складов нефтепродуктов2010 год, кандидат технических наук Петрищев, Игорь Олегович
Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак2004 год, кандидат технических наук Сердюк, Виктор Александрович
Разработка нормативно-методического и информационного обеспечения процесса сертификации программной продукции2007 год, кандидат технических наук Поляков, Сергей Дмитриевич
Метрологическое обеспечение сертификационных испытаний газовой продукции0 год, кандидат технических наук Окрепилов, Михаил Владимирович
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Беляков, Игорь Александрович
ЗАКЛЮЧЕНИЕ
В данной работе предложен новый подход к автоматизации проведения сертификационных испытаний ПО на соответствие требованиям безопасности.
В работе показано, что применение интеллектуальных технологий позволяет создавать эффективные автоматизированные системы подтверждения соответствия ПО заявленным требованиям безопасности. Применение подобных систем в ходе проведения сертификационных испытаний позволяет существенно сократить общее время, необходимое на сертификацию ПО.
В первой главе работы представлен обзор проблемы обеспечения безопасности ПО, а также представлен анализ основных подходов к анализу безопасности ПО. Особое внимание уделено исследованию существующих методов выявления уязвимостей и подтверждения соответствия программ требованиям безопасности.
Показано, что использование существующих методов и методик анализа безопасности ПО не обеспечивают необходимого результата за приемлемое время. Существующие подходы к анализу ИБ ПО являются излишне трудоемкими, детальный анализ может занимать до нескольких месяцев. Это связано с тем, что экспертам для принятия решения приходится анализировать большие объемы информации.
Во второй главе работы проведен анализ процесса принятия решения экспертом при проведении сертификационных испытаний. В ходе анализа работы эксперта при проведении сертификационных испытаний были установлены причины избыточных временных затрат. Систематизированы и формализованы критерии, в соответствии с которыми эксперт осуществляет оценивание соответствия ПО требованиям безопасности.
Исследование особенностей существующей СВУ позволило систематизировать ее в виде модели, определить основные задачи, решаемые экспертом при проведении сертификационных испытаний и определить набор характеристик безопасности, на основании которых эксперт принимает решение. На основании модели существующей СВУ установлено, что наибольшие затраты времени приходятся на решение экспертом задач обработки данных и принятия решения. Следовательно, автоматизация процесса решения этих задач даст наибольший эффект по сокращению времени, необходимого на оценивание безопасности ПО. Основываясь на полученных результатах, была предложена новая модель СВУ, использование которой позволит снизить нагрузку на эксперта. Для решения этой задачи предлагается дополнить существующую СВУ подсистемой обработки данных анализа и подсистемой принятия решения.
По результатам обоснованного выбора математического аппарата установлено, что наиболее подходящим для решения задачи принятия решения о соответствии ПО требованиям безопасности является аппарат ИНС. Показано, что использование ИНС является перспективным решением для применения в СППР, решающих задачу верификации соответствия ПО заявленным требованиям.
В третьей главе детально рассмотрены преимущества и недостатки аппарата ИНС. Разработан метод принятия решения о безопасности ПО. Дано детальное описание основных этапов метода. Также приведены результаты тестовой апробации, которые показывают, что предложенный метод позволит получить корректное решение в 99,8% случаев. Во многом, такой высокий процент был получен за счет применения нового метода обучения ИНС, который является модификацией метода обратного распространения ошибки.
Предложена методика использования разработанного метода при проведении сертификационных испытаний ПО на соответствие требованиям РДНДВ.
Четвертая глава данной работы посвящена разработке прототипа системы выявления уязвимостей. Дано детальное описание прототипа. Особое внимание уделено МПР. Для подтверждения работоспособности прототипа был проведен ряд практических экспериментов, в ходе которых установлено, что время, необходимое для проведения сертификационных испытаний сократилось на 27%. Полученный процент не является предельным, так как в 30% случаев потребовалось дополнительное вмешательство эксперта. Это было вызвано тем, что система не смогла принять окончательное решение.
Таким образом, решены все задачи, поставленные для достижения сформулированной в работе цели.
Показано, что использование ИНС повышает гибкость механизмов поиска уязвимостей и оперативность принятия решения, что, в общем, способствует повышению эффективности СБУ и сокращению временных затрат. Следовательно, можно сделать вывод, что цель работы достигнута.
Таким образом, в ходе проведенного исследования были решены частные задачи, главная научная задача исследования и достигнута цель, состоящая в повышении оперативности и полноты выявления НДВ в ОЦ и триггерах реляционных БД.
На основе решенных в диссертации задач можно определить следующие направления дальнейших исследований:
- развитие требований к безопасности ПО;
- разработка единой базы уязвимостей (опасных конструкций).
Список литературы диссертационного исследования кандидат технических наук Беляков, Игорь Александрович, 2013 год
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Cenzic, Web Application Security Trends Report, 2009. - 23
2. Chess, Brian, Secure programming with static analysis - Addison-Wesley, 2007.-588
3. Christopher Alberts, Audrey Dorofee, Managing Information Security Risks: The OCTAVESM Approach - Addison Wesley, 2002. - 512
4. Dustin, Elfriede, Effective software testing: 50 specific ways to improve your testing - Addison-Wesley, 2003. - 203
5. Haykin, Kalman filtering and neural networks - New York: John Wiley & Sons, 2001.-284
6. Info Watch, Глобальное исследование утечек - Info Watch, 2009. - 11
7. Ivanov-Sotirov A., Automatic vulnerability detection using static source code analysis - Alabama, 2005. - 108
8. Foster, Osipov, Bhalla, Buffer Overflow Attacks: Detect, Exploit, Prevent -Syngress Publishing,Inc, 2005. - 497
9. Tian, Software Quality Engineering - Testing, Quality Assurance, and Quantifiable Improvement - New Jersey: John Wiley & Sons, Inc., 2005. - 412
10. Erickson, Hacking The Art Of Exploitation - No Starch Press, 2003. - 241
11. Krose, Smagt, An introduction to Neural networks - , 1996. - 135
12. Lewis, William E. Software Testing and Continuous Quality Improvement - AUERBACH PUBLICATIONS, 2005. - 534
13.Fewster, Graham, Software Test Automation: Effective use of test execution tools - Addison-Wesley, 1999. - 574
14. Bishop, Introduction to Computer Security - Prentice Hall PTR, 2004. -
15. Microsoft, Microsoft Security Intelligence Report volume 7. Jan-Jun2009 -
Microsoft Press, 2009. - 232
16. Myers, Glenford, The Art of Software Testing - New Jersey: John Wiley & Sons, Inc., 2004.-234
17. OWASP, OWASP Top 10 - 2010, 2010. - 21
18. Patton, Software Testing - Sams Publishing, 2005. - 408
19. WAS С, WASC THREAT CLASSIFICATION, 2010. - 172
20. Агафонов B.H., Спецификация программ: понятийные средства и их организация. - Новосибирск: Наука, 1987. - с.30-73
21. Аксенов C.B., Новосельцев В.Б., Организация и использование нейронных сетей (методы и технологии) - Томск: Издательство HTJI, 2005. -
128
22. Андерсон Р., Доказательство правильности программ. - М.: Мир, 1982.
- 163
23. Анин Б.Ю., Защита компьютерной информации. - СПб.: БХВ, 2000. -
384
24. Архангельский Б.В., Черняховский В.В., Поиск устойчивых ошибок в программах. - М.: Радио и связь, 1989. - 237
25. Астахов А., Анализ защищенности корпоративных систем. // Открытые системы, №7-8, 2002. - с.44-49
26. Ахо А., Сети Р., Ульман Дж., Компиляторы: принципы, технологии и инструменты. - М.: Издательский дом «Вильяме», 2003. - 768
27. Ахо А., Ульман Дж., Теория синтаксического анализа, перевода и компиляции, т.1: Синтаксический анализ. - М.: Мир, 1978. - 614
28. Ахо, Альфред В., Лам, Компиляторы: принципы, технологии и инструментарий, 2-е изд. - М.: ООО Издательский дом "Вильяме", 2008. - 1184
29. Барнетт М., Фостер Д., Хаккинг кода: ASP.NET Web Application
Security - M.: ЗАО "Новый издательский дом", 2005. - 464
30. Барский А.Б., Нейронные сети: распознавание, управление, принятие решений. - М.: Финансы и статистика, 2004. - 176
31. Барсуков B.C., Комплексная защита от электромагнитного терроризма. // Системы безопасности, связи и телекоммуникаций, №32, 2000. - с.94
32. Беркинблит М.Б.Нейронные сети: Учебное пособие - М.: МИРОС и ВЗМШ РАО, 1993.-96
33. Боровиков В.П., Нейронные сети. STATISTICA Neural Networks: Методология и технологии современного анализа данных - М.: Горячая линия-Телеком, 2008. - 392
34. Боэм Б.У., Инженерное проектирование программного обеспечения: пер с англ. - М.: Радио и связь, 1985. - 325
35. Бьерн Страуструп, Язык программирования С++ - Бином, 2008. - 1104
36. Вихорев С., Кобцов Р., Как определить источники угроз. // Открытые системы, №7-8, 2002. - с.50-53
37. Воронцов Ю.В., Гайдамакин H.A., Модель комплексной оценки защищенности компьютерных систем в идеологии ущерба от угроз безопасности // Вопросы защиты информации, №1, 2003. - с.45-53
38. Гагарина JI. Г., Кокорева Е. В., Виснадул Б.Д., Технология разработки программного обеспечения: учебное пособие - М.: ИД «ФОРУМ», 2007. - 400
39. Галатенко А. В., Пучков Ф. М., Шапченко К. А.Способ анализа программ на наличие угроз переполнения буферов. // Материалы конференции «Информационная безопасность регионов России» (ИБРР-2003), 2003. - с.33
40. Галушкин А.И., Теория нейронных сетей. Кн. 1: Учеб. пособие для вузов - М.: ИПРЖР, 2000. - 416
41. Геловани В.А., Башлыков A.A., Бритков В.Б., Интеллектуальные
системы поддержки принятия решений в нештатных ситуацях с использованием информации о состоянии природной среды. - М.: Эдиториал, 2001.-304
42. Гордеев A.B., Молчанов А.Ю., Системное программное обеспечение -СПб.: Питер, 2003.-736
43. ГОСТ 16504-81, Система государственных испытаний продукции. Испытания и контроль качества продукции. Основные термины и определения.
44. ГОСТ 28195-89, Оценка качества программных средств. Общие положения.
45. ГОСТ Р 50922-96, Защита информации. Основные термины и определения.
46. ГОСТ Р 51188-98, Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
47. Гостехкомиссия России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М.: Военное издательство, 1992.
48. Гроувера, Защита программного обеспечения - М.: Мир, 1992. - 125
49. Дал.У., Дейкстра Э., Хоор К. Структурное программирование, Пер. с англ. - М.: Мир, 1975. - 247
50. Дамарацкий А.Н., Дамарацкий Я.А., Вероятность обнаружения дефектов во время тестирования программных изделий // Программные продукты и системы, №4 - , 1999. - с.27-30
51. Дастин, Рэшка, Пол, Автоматизированное тестирование программного обеспечения: Внедрение, управление и эксплуатация - М.: Лори, 2003. - 592
52. Дейкстра Э., Дисциплина программирования: Пер. с англ. - М.: Мир, 1978.-225
53. Домарацкий Я.А., Модульное тестирование операционной системы реального времени // Программные продукты и системы, №4 - , 1998. - с.37^40
54. Донаху Дж., Семантика языков программирования - М.: Мир, 1980. -
396
55. Крылов, Острейковский, Типикин, Техника разработки программ. В 2 книгах. Книга 2. Технология, надежность и качество программного обеспечения - Высшая школа, 2008. - 472
56. Евстигнеев В.А. и др., Топологические меры сложности программ. -Препринт №23, 1985.- 125
57. Еремеев М.А., Глухарев М.Л., Корниенко A.A., Анализ методов проверки корректности программ // Сборник докладов 10 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2005» - С-Пб.: ПГУПС, 2005. -с.276-280
58. Ершов А.П., Введение в теоретическое программирование - М.: Наука, 1972.-288
59. Жорницкий В.Б. и др., Измерительный комплекс для динамического анализа ПЛ/1- программ // Программирование, №5 - , 1982. - с.52-57
60. Жульков Е.Поиск уязвимостей в современных системах IDS // Открытые системы, № 7-8 - , 2003. - с.37^2
61. Заенцев И.В., Нейронные сети: основные модели - , 2002. - 76
62. Захаров В.К. и др., Теория вероятностей - М.: Наука, 1983. - 160
63. Захаров В.Н., Хорошевский В.Ф., Искусственный интеллект. Книга 3. Программные и аппаратные средства - М.: Радио и связь, 1990. - 363
64. Зиглер К., Методы проектирования программных систем. - М.: Мир, 1985.-328
65. Зима В.М., Молдовяи A.A., Многоуровневая защита информационно-программного обеспечения вычислительных систем. Учебное пособие -ВИККА им. А.Ф. Можайского -СПб., 1997. -
66. Зима В.М., Молдовян A.A., Молдовян H.A., Безопасность глобальных сетевых технологий. - СПб.: БХВ-Петербург, 2000. - 320
67. Зиндер Е., Реинжиниринг + информационные технологии = Новое системное проектирование // Открытые системы, №1 - , 1996. - с.56-59
68. Зиновьев Э.В., Управление сетевыми информационными процессами и ресурсами. - Рига: Зинанте, 1987. - 303
69. Зыль С., Проектирование, разработка и анализ программного обеспечения систем реального времени - БХВ-Петербург, 2010. - 336
70. Йодан Э., Структурное проектирование и конструирование программ. -М.: Мир, 1979.-416
71. Казарин О.В., Безопасность ПО компьютерных систем. Монография -М.: МГУЛ, 2003.-212
72. Каллан, Роберте, Основные концепции нейронных сетей - М.: ООО Издательский дом "Вильяме", 2001. - 288
73. Канер, Фолк, Нгуен, Тестирование программного обеспечения -ДиаСофт, 2008.-544
74. Карпов В.В., Вероятностная модель оценки защищенности средств вычислительной техники с аппаратным комплексом защиты информации от несанкционированного доступа // Программные продукты и системы, №1 - , 2003. - с.31-36
75. Карпов В.В., Критерии и показатели защищенности автоматизированных систем от несанкционированного доступа.// Программные продукты и системы, №1 - , 2001. - с. 18-21
76. Карповский У.Я., Надежность специального математического
обеспечения. - Киев: Вища школа, 1982. - 425
77. Кауфман A.B., Черноножкин С.К., Критерии тестирования и система оценки полноты набора тестов // Программирование, №6 - , 1998. - с.44-59
78. Ключевский Б., Программные закладки // Системы безопасности, связи и телекоммуникаци, №22, 1998. - с.60-66
79. Ковалев В.И., Осьминин А.Т., Грошев Г.М., Системы автоматизации и информационные технологии управления перевозками на железных дорогах -М: Маршрут, 2006. - 544
80. Колищак А., Атака на переполнение буфера // Защита информации. Конфидент, №3, 2000. - с.42^16
81. Колмогоров А.Н. и др., Введение в теорию вероятностей - М:Наука, 1982.- 160
82. Комашинский В.И., Смирнов Д.А., Нейронные сети и их применения в системах управления и связи - М.: Горячая линия - Телеком, 2003. - 94
83. Кормен Т., Лейзерсон Ч., Ривест Р., Алгоритмы: построение и анализ. Второе издание. - М.: Издательский дом «Вильяме», 2011. - 1296
84. Корниенко A.A. и др., Методика экспресс-анализа информационно-управляющих систем железнодорожного транспорта на отсутствие недекларированных возможностей // Сборник докладов 11 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2006» - С-Пб.: ПГУПС, 2006. -с.286-287
85. Корт С.С., Разработка методов и средств поисков уязвимостей при сертификационных испытаниях защищенных вычислительных систем. Кандидатская диссертация. - 1999.
86. Костырко B.C., Об одной методике доказательства правильности программ. // Кибернетка, №1, 1978. - с.51-58
87. Котенко И.В., Многоагентные технологии анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Защита информации. Конфидент, №2, 2004. - с.78-82
88. Криницкий Н.А. и др., Автоматизированные информационные системы. - М.: Наука. Гл. ред. физ.-мат. лит., 1982. - 384
89. Круглов В.В., Борисов В.В., Искуственные нейронные сети. Теория и практика - М.: Горячая линия - Телеком, 2002. - 382
90. Круглов В.В., Дли М.И., Нечеткая логика и искусственные нейронные сети - М.: Физматлит, 2001. - 224
91. Кузин Ф.А., Кандидатская диссертация. Методика написания, правила оформления и порядок защиты: Практическое пособие для аспирантов и соискателей учёной степени. - М.: Ось-89, 2004. - 224
92. Куксенко C.B., Шелехов В.И., Статический анализатор семантических ошибок периода исполнения // Программирование, №6, 1998. - с.27^3
93. Курило А.П., Зевиров С.Л., Головани В.Б., Аудит информационной безопасности - М.: Издательская группа "БДЦ-пресс", 2006. - 304
94. Ларичев О.И., Теория и методы принятия решения, а так же хроника событый в волшебных странах - М.: Логос, 2000. - 296
95. Левин В.И., Структурно-логические методы исследования сложных систем с применением ЭВМ. - М.: Гл. ред. физ.-мат. лит., 1987. - 304 с.
96. Леффиигуэл, Дин, Уидриг, Принципы работы с требованиями к программному обеспечению. Унифицированный подход - М.: Издательский дом "Вильяме", 2002.-448
97. Лингер Р. и др., Теория и практика структурного программирования. -М.:, 1982.-406
98. Липаев В.В., Качество программного обеспечения. - М.: Финансы и статистика, 1983.-263
99. Липаев В.В., Методы обеспечения качества крупномасштабных программных средств. - М.: Синтег, 2003. - 520
100. Липаев В.В., Отладка сложных программ: Методы, средства, технология. - М.: Энергоатомиздат, 1993. - 384
101. Липаев В.В., Программная инженерия. Методологические основы. -М.: Теис, 2006.-608
102. Липаев В.В., Процессы и стандарты жизненного цикла сложных программных средств. - М.: Синтег, 2006. - 276
103. Липаев В.В., Тестирование программ. - М.: Радио и связь, 1986. -
296
104. Ломако А.Г., Зима В.М. . Многомодельное исследование программ // Приборостроение, №2, 1993. - с.76-84
105. Ломако А.Г., Ковалев В.В., Зима В.М. . Автотестирование программ по спецификациям // Приборостроение, №2, 1993. - с.48-66
106. Ломако А.Г., Новиков В.А., Специфика вскрытия недекларированных возможностей программ при отсутствии исходных текстов // Постоянно действующий научно-технический семинар, №10 - С-Пб.: BKA, 2007.
107. Лоскокко П.И. и др., Неизбежность провала: ошибочные предположения о безопасности современных компьютерных систем // Защита информации. Конфидент, №2, 2003. - с.38^48
108. Ховард, Лебланк, Защищенный код для Windows Vista - СПб.: Питер, 2008.-224
109. Майерс Г, Искусство тестирования программ. - М.: Финансы и статистика, 1982. - 176
110. Макгрегор Джон, Сайке Девид, Тестирование объектно-ориентированного программного обеспечения. Практическое пособие. - К.: ООО "ТИД "ДС", 2002. - 432
111. Мак-Клар С., Скембрей Дж., Курц Дж., Секреты хакеров. Безопасность сетей — готовые решения, 3-е издание. - М.: Издательский дом «Вильяме», 2002. - 736
112. Маликов O.P., Несов B.C., Автоматический поиск уязвимостей в больших программах. // Известия ТРТУ, Тематический выпуск «Информационная безопасность», №7, 2006. - с.114-120
113. Маликов O.P., Автоматическое обнаружение уязвимостей в исходном коде программ. // Известия ТРТУ №4, 2005. - с.48-53
114. Маликов O.P., Исследование и разработка методики автоматического обнаружения уязвимостей в исходном коде программ на языке Си. // Дис. . канд. физ.-мат. наук: 05.13.11,2006.- 101
115. Манна 3., Волдингер Р., Знания и рассуждения о синтезе программ // Труды IV Межд. конф. по Искусственному Интеллекту т.4, 1975. - с.53-75
116. Марков A.C., Миронов С.В, Цирлов B.JI. и др., Выявление уязвимостей программного обеспечения в процессе сертификации. Научно-практический журнал «Информационное противодействие угрозам терроризма» №7 - М.: ФГУП НТЦ, 2006. - с. 177-186
117. Мартин Р., Чистый код: создание, анализ и рефакторинг. Библиотека программиста - СПб.: Питер, 2010. - 464
118. Медведев B.C., Потемкин В.Г.Нейронные сети. MATHLAB 6 - M.: Диалог-МИФИ, 2002. - 496
119. Мозговой М.В., Классика программирования: алгоритмы, языки, автоматы, компиляторы. Практический подход - СПб.: Наука и техника, 2006. -320
120. Непомнящий В.А., Ануреев И.С., Михайлов И.Н., На пути к верификации С-программ. Часть 1. Язык C-light. // РАН. Сиб. Отд-ние. ИСИ, №84, 2001.
121. Несов B.C., Маликов О.Р., Использование информации о линейных зависимостях для обнаружения уязвимостей в исходном коде программ. // Труды ИСП РАН, №9, 2006. - с.51-57
122. Новиков В.А и др., Верификация защищенных информационно-управляющих систем железнодорожного транспорта на наличие недекларированных возможностей // Сборник докладов 11 международной научно-практической конференции «Информационные технологии на железнодорожном транспорте «Инфотранс - 2006» - С-Пб.: ПГУПС, 2006. -с.299-303
123. Новиков В.А., Анализ существующих подходов по вскрытию НДВ // Сборник статей - Орел.: Академия ФСО, 2003.
124. Новиков В.А. и др., «Спецпроверка» программного обеспечения // Журнал «INSAID» № 2, 2006. - с. 18-27
125. Новиков В.А. и др., Выявление дефектов и исследование недекларированных возможностей программ // Сборник статей научно-технической конференции - М.: ГШ ВС РФ, 2006.
126. Орлов С.А., Технологии разработки программного обеспечения -Питер, 2009.-464
127. Осовский С., Нейронные сети для обработки информации - М.: Финансы и статистика, 2002. - 344
128. Полаженко С, Актуальность вопросов тестирования безопасности и защищенности программных продуктов
129. Половко A.M., Бутусов П.Н., MATHLAB для студента - СПб.: БХВ-Петербург, 2005.-320
130. Проскурин В.Г., Microsoft WINDOWS. Программные закладки // Защита информации. Конфидент, №3, 2000. - с.47-51
131. Пучков Ф.М., Шапченко К.А., Способ верификации программного
обеспечения распределенных вычислительных комплексов и система для его реализации. // Патент на изобретение №2373570, 2009.
132. Пучков Ф.М., Шапченко К.А., Способ генерации баз данных и баз знаний для систем верификации программного обеспечения распределенных вычислительных комплексов и устройство для его реализации. // Патент на изобретение №2373569, 2009.
133. Рассел, Стюарт, Норвиг, Искусственный интеллект: современный подход, 2-е изд. - М.: Издательский дом "Вильяме", 2006. - 1408
134. Розенблатт, Принципы нейродинамики: Перцептроны и теория механизмов мозга - М.: Мир, 1965. - 480
135. Рутковская Д., Пилиньский М., Рутковский Л., Нейронные сети, генетические алгоритмы и нечеткие системы - М.: горячая линия - Телеком, 2006.-452
136. Рыжов А.П., Элементы теории нечетких множеств и измерения нечеткости - М.: Диалог-МГУ, 1998. - 116
137. Синицын, Налютин, Верификация программного обеспечения -Бином, 2008.-368
138. Макконнелл, Совершенный код - Питер, 2007. - 896
139. Савельев А.Г., Оценка надежности функционирования компьютерных систем защиты информации // Программные продукты и системы, №2 - , 2002. - с.47^8
140. Советов С.К., Гостехкомиссия. Сертификация операционных систем Microsoft // Системы безопасности, №3, 2003. - с. 12-13
141. Сырков Б.Ю., Перехват паролей при помощи программных закладок внедряемых в операционные системы. // Системы безопасности, связи и телекоммуникаций, №23, 1998. - с. 19-23
142. Тампе Л., Введение в тестирование программного обеспечения - М.:
Издательский дом "Вильяме", 2003. - 368
143. Тейчроу Д., Херши Э., PSL/PSA: Автоматизированная методика структурированного документирования и анализа систем обработки информации. // Требования и спецификации в разработке программ / Пер. с англ. - M.: Мир, 1984. - с.7-27
144. Хайкин С., Нейронные сети. Полный курс - М.: Издательский дом "Вильяме", 2006.- 1104
145. Абельсон, Сассман, Структура и интерпретация компьютерных программ - The MIT Press, 2006. - 608
146. Ховард M., Лебланк Д., Защищенный код - М.: Издательство «Русская Редакция», 2005. - 704
147. Хогланд, Грег, Мак Гроу, Взлом программного обеспечения: анализ и использование кода - М.: ООО Издательский дом "Вильяме", 2005. - 400
148. Прохоров, Математический энциклопедический словарь, 1988. - 847
149. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Руководящий документ Гостехкомиссии России (введен в действие приказом Председателя Гостехкомиссии России N114 от 4.06.99 г.).
150. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. ФСТЭК России. - М.: Военное издательство, 2004. -
151. Статический анализ байт-кода Java. // Автоматика и вычислительная техника, №6 - , 2002. - с.2—42. Cenzic Web Application Security Trends Report -2009 - 23
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.