Методики сбора и обработки данных о качестве IP соединений для задач сетевой безопасности тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Майхуб Самара

Актуальность темы исследования

Системы сбора данных в инфокоммуникационных сетях предназначены для решения целого спектра задач. Традиционно, к этим задачам относится мониторинг состояния сети, определение качества соединений, проблемы безопасности. Наиболее ценными являются те методы обработки данных, что опираются на сетевые стандарты и протоколы.

Новые типы сетей порождают и новые требования к системам сбора данных. Например, для сетей с ультрамалой задержкой необходимы новые механизмы измерения односторонней задержки. Точность измерения традиционных утилит не превышает 0,1 миллисекунды, в то время как сама задержка не должна быть больше 1 миллисекунды, поэтому требуются новые инструменты сбора и обработки данных.

В области обеспечения сетевой безопасности также необходимо совершенствовать технологии сбора и обработки данных о трафике для своевременного обнаружения аномальных состояний. Методы обнаружения сетевых аномалий могут опираться на традиционные сетевые инструменты, которые анализируют данные на уровне пакетов или потоков на основе статистического подхода.

Новые типы деструктивных сетевых действий разрабатываются постоянно, причем методы нападения совершенствуются для применения на всех этапах сетевого вторжения. Поэтому новые способы определения сетевых аномалий необходимы, начиная с начального этапа сетевого вторжения (сканирование портов). Отметим, что методы обнаружения аномалий опираются на стандартные способы анализа трафика, такие как определение типа и атрибутов сетевых пакетов. Так как сканирование портов часто сопровождается обращением к закрытым портам TCP и UDP, то его достаточно просто обнаружить.

Степень разработанности темы диссертационного исследования

В настоящее время разработано множество технологий сбора и анализа данных, которые позволяют строить модели трафика телекоммуникационных

систем и выявлять аномальные сетевые состояния как отклонения от области рабочей эксплуатации. Этими вопросами занимались Vassilakis V.G. [1], Mohammadi R. и Javidan R. [2], Yan, Z. [3], Noor M. M. [4], Шелухин О. И. [5], Котенко И. В. и Саенко И. Б. [6]. Основная проблема анализа сетевых данных заключается в их гигантском объеме, поэтому одно из основных направлений исследований по моделированию трафика - это разработка способов сжатия данных. Первый пример такого подхода предложила компания CISCO, которая разработала технологию NetFlow, которая собирает данные об агрегированных состояниях сети, называемых потоками. Но этого метода сокращения информации о трафике оказалось недостаточно.

В последнее время появился новый подход к сжатию данных, являющийся составной частью технологии под названием программно-конфигурируемая сеть (Software-Defined Networking - SDN). Технология SDN используется как система сбора данных в области управления сетями и обеспечения качества сетевых соединений. Вопросами использования технологии SDN для анализа данных и для систем обнаружения вторжения занимались ученые как Tsai, S. C. [7], Guizani, M. [8], Scott-Hayward, S. [9], Смелянский, Р. Л. [10] и Бабанин, И. Г. [11,12]. В технологии SDN на смену технологии агрегации данных NetFlow пришла sFlow. Эта технология предусматривает выборочный анализ пакетов, когда выводы делаются на основе ограниченного набора пакетов. Причем отбираться может только один из нескольких тысяч. К плюсам SDN можно отнести возможность быстрой блокировки трафика с любых адресов.

Одно из достижений последних лет состоит в предложении анализировать исходящий от защищаемого сервера трафик и искать в нем пакеты отклики определенных типов для обнаружения сетевых аномалий. Такой подход значительно сокращает объём данных, которые подлежат анализу. Данный подход основан на использовании пакетов TCP RST для обнаружения обращения к закрытым TCP портам и пакетов ICMP типа 3.3 (недоступность порта) для обнаружения обращений к закрытым UDP портам. Этот подход был предложен в работах Birkinshaw C., Rouka E. и Vassilakis V.G [1].

Новые требования к измерению временных интервалов в сетевых процессах порождают и новые потребности в измерительных инструментах. Измерение любого типа временного промежутка сводиться к проставлению временных меток и нахождению интервала между ними. Данные о задержке необходимы, например, для определения временных параметров систем блокировки атакующего трафика. Для мониторинга новых технологий требуется не только увеличение точности измерений, но и переход к измерениям односторонней задержки. Измерение односторонней задержки значительно труднее, так как временные метки проставляются на различных устройствах. Для правильного вычисления величины односторонней задержки требуется синхронизация временных шкал на удаленных устройствах. Основные измерительные утилиты были разработаны учеными: Jeff Boote, Anatoly Karp, Shalunov S. и другие разработали измерительную утилиту OWAMP (One-Way Ping) [13,14]. Цель работы

Повышение эффективности выявления аномальных сетевых состояний и устранение причин их порождающих.

Для достижения поставленной цели в диссертационной работе решаются следующие основные задачи:

1. Нахождение квалификационных признаков для сетевого трафика, позволяющих выявлять источники аномальных сетевых состояний.

2. Разработка методик противодействия, позволяющих повысить эффективность защитных механизмов для сетевых аномалий, вызванных сканированием портов и атаками с DNS усилением.

3. Разработка нового метода измерения длительности процессов в сетях TCP/IP, позволяющего повысить точность измерения.

Научная новизна

Научная новизна заключается в следующем:

1. Найдены квалификационные признаки для сетевого трафика, позволяющие выявлять источники, с которых происходит сканирование портов и

отличающиеся анализом пакетов-откликов типа TCP RST и ICMP 3.3 с закрытых портов сканируемого сервера.

2. Разработаны методики для противодействия сетевым атакам с DNS усилением, позволяющие повысить эффективность защитных механизмов и отличающиеся малой вероятностью случайного срабатывания системы.

3. Разработка нового метода измерения длительности процессов в сетях TCP/IP, позволяющего повысить точность измерения и отличающегося совпадением результатов односторонней задержки для одного направления независимо от размещения клиентского и серверного программного обеспечения.

Теоретическая и практическая ценность полученных результатов

Найдены новые квалификационные признаки для обнаружения начального этапа сетевого вторжения (сканирование портов) и DDoS атак с усилением, позволяющие повысить точность определения атакующих серверов и снизить вероятность случайного срабатывания защитной системы. С этой целью используются новые статистические условия.

Практическая ценность заключается в разработке приложений на основе сформулированных методик, позволяющих блокировать 99,8% атакующих пакетов и в повышении точности измерений односторонней задержки в 2,5 раза.

Методы исследования. В диссертационной работе использовались методы анализа сетевого трафика, теории измерений, теории вероятностей, моделирование, а также натурные эксперименты в сети Интернет. Объект исследования

Системы сбора и обработки данных в сетях TCP/IP. Предмет исследования

Процессы сбора и обработки данных для выявления аномальных состояний и причин их возникновения.

Основные положения, выносимые на защиту:

1. Квалификационные признаки на основе анализа заголовков пакетов типа TCP RST и ICMP 3.3, позволяющие выявлять источники, с которых происходит сканирование и отличающиеся отслеживанием исходящего трафика.

2. Методики противодействия сканированию портов и сетевым атакам с DNS усилением, позволяющие повысить эффективность защитных механизмов и отличающиеся возможностью оценить вероятность случайного срабатывания защитной системы.

3. Разработка нового метода измерения длительности процессов в сетях TCP/IP, позволяющий повысить точность измерения и отличающийся тем, что метки выставляются точно в момент физической отправки и приема пакета.

Соответствие паспорту специальности

Результаты исследования соответствуют пунктам 5, 10, 17 паспорта научной специальности 2.2.15. Системы, сети и устройства телекоммуникаций: Степень достоверности результатов

Достоверность научных полученных результатов диссертационного исследования базируется на апробации разработанных методик по обнаружению сетевых атак и выставлению временных меток, и тестовых испытаний созданного программного обеспечения. Достоверность также подтверждается соответствием результатов смоделированных и экспериментальных данных. Апробация результатов работы

Основные научные результаты диссертационного исследования докладывались на научных конференциях. В их числе упоминаются следующие конференции:

- XVII Международная конференция IEEE/ACM «CNSM 2021», 17th International Conference on Network and Service Management, в г. Измир, Турция, 2021 г, ранг CORE B.

- Международный семинар IEEE «2020 AIPR» 49th Applied Imagery Pattern Recognition Workshop (AIPR) по тематике доверенных вычислений для повышения кибербезопасности, устойчивости и конфиденциальности мультимедиа.

- XXIII международная научно-практическая конференция «РусКрипто'2021» (Московская область, 2021г.).

- VI международная конференция и молодежная школа (ИТНТ-2020) «Информационные технологии и нанотехнологии» (г.Самара, 2020 г.).

- Международный семинар (NMC 2020) «Навигация и управление движением» (г.Самара, 2020 г.).

- II Всероссийская научно-техническая конференция «Состояние и перспективы развития современной науки по направлению «Информатика и вычислительная техника»" Военный инновационный технополис "ЭРА" (Анапа, 2020 г.).

Диссертационное исследование поддержано грантом РФФИ № 20-37-90002 (Аспиранты), «Сбор и анализ данных о качестве сетевых соединений».

Публикации

По основным результатам диссертационного исследования опубликовано 11 научных работ, из них 3 научные статьи опубликованы в рецензируемых научных изданиях, рекомендованных ВАК. 2 научные статьи опубликованы в продолжающихся периодических изданиях, индексируемых международными базами WoS/Scopus и размещенных в цифровой библиотеке IEEExplore. Дополнительно опубликованы 3 научных доклада и 2 тезиса докладов в материалах Международных и Всероссийских научных конференций. Получено одно свидетельство о государственной регистрации программы для ЭВМ.

Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложений. Объём диссертации составляет 138 страниц, 34 рисунка, 22 таблицы, список литературы из 147 источников.

Личный вклад автора. Личный вклад автора заключается в том, что все основные научные положения, выводы и рекомендации, составляющие содержание диссертационного исследования, разработаны автором лично.

Краткое содержание работы.

В первой главе диссертационной работы приведена общая классификация методов сбора данных. Проведен обзор и сравнительный анализ существующих методик обнаружения и противодействия сетевым аномалиям. Также производится обзор методик измерения сетевой задержки в TCP/IP сетях.

Во второй главе диссертационной работы рассмотрены квалификационные признаки для определения аномальных сетевых состояний. Сформулированы квалификационные признаки для определения сканирования портов и DDoS атак с усилением. Также найдена вероятность случённого срабатывания системы защиты.

В третьей главе диссертационной работы разработаны методик противодействия сетевым вторжениям. Эти методики положены в основу программного обеспечения. Также проведены эксперименты для тестирования разработанных защитных механизмов.

В четвёртой главе формулированы основные этапы измерения временных интервалов в сетях TCP/IP. Разработана новая версия утилиты измерения временных интервалов. Также проведены эксперименты, в локальной и глобальной сетей, для тестирования эффективности разработанной системы измерения временных интервалов.

В заключении приведено описание основных результатов диссертации.

ГЛАВА 1. ОБЗОР МЕТОДИК СБОРА ДАННЫХ ДЛЯ ЗАДАЧ СЕТЕВОЙ БЕЗОПАСНОСТИ И МОНИТОРИНГА ТРАФИКА

1.1 Сбор данных в информационных сетях - методы и области применения

Настоящая глава будет посвящена обзору методик сбора данных и выявлению прикладных областей, где могут применяться собранные знания о данных. Особое внимание в первой главе будет уделено обсуждению предшествующих работ, касающихся сбора данных для задач безопасности и измерения метрик производительности соединений сети.

Сбор сетевых данных является важным этапом во многих сетевых задачах. Используя собранные сетевые данные, сетевые администраторы могут выполнять мониторинг состояния сети, определять производительность сети и выявлять недостатки сетевой инфраструктуры и возможные её уязвимости для несанкционированных действий третьих лиц.

Среди областей применения систем сбора данных можно отметить следующие направления:

• Мониторинг состояния сети;

• Биллинг трафика;

• Обнаружение сетевых вторжений;

• При подготовке сетевых атак и вторжений.

Мониторинг состояния сети является важным элементом в задачах управления сетью, поскольку позволяет определять поведение сети и её состояния, диагностировать сетевые проблемы, настраивать и проектировать сети. В основе мониторинга сети лежит измерение значений четырех сетевых параметров [15]. Эти сетевые параметры считаются показателями качества сетевых соединений в IP/TCP сетях. Стандарты этих показателей качества называются метриками производительности IP сетей, которые включают в себе следующие метрики:

• Двухсторонняя задержка сетевого пакета (определяется в стандарте RFC 2681[16]);

• Односторонняя задержка сетевого пакета (определяется в стандарте RFC 7679 [17]);

• Вариация задержки или джиттер (определяется в стандарте RFC 3393 [18]);

• Величина потери пакетов (определяется в стандарте RFC 2680 [19]);

• Доступная пропускная способность.

Особое внимание уделяю определением сетевого джиттера (Jitter). Он представляет собой среднее квадратичное отклонение от средней величины. Более низкое значение джиттера означает лучшее качество Интернет соединений.

Процесс мониторинга состояния сети делится на два этапа: измерение и обработка данных [7]. Этап измерения включает в себя:

• Сбор данных с измерительных узлов сети;

• Преобразование собранных данных в стандартный формат;

• Передача преобразованных данных в коллектор для последующей обработки.

Этап обработки данных включает в себя:

• Анализ и интерпретация собранных данных с целью получения информации о сете и её компонентах, в том числе о качестве соединений между узлами сети;

• Представление данных в удобном для использования виде, в том числе в графиках и в таблицах и т.д.

Эффективная система мониторинга состояния сети направлена на сбор и анализ данных в режиме реального времени.

Обнаружение сетевых вторжений - это процесс распознавания признаков вторжения и обнаружения деструктивных действий или нарушений сетевых протоколов. Авторы [20] определили обнаружение вторжений как процесс мониторинга событий, происходящих в компьютерной системе или в сети, и анализа этих событий для определения наличия признаков вторжений.

Первым этапом в любой системе обнаружения вторжений является сбор данных о состоянии сетевого соединения.

Биллинг трафика - это процесс отслеживания активности пользователя при использовании сетевых ресурсов, включая количество времени, проведенного в сети, сервисах, к которым пользователь обращался, и объёма данных, переданных во время сеанса [21]. Собранные при учёте данные используются для выставления счётов, и анализа затрат и т.д.

Интернет-провайдеры (Internet Service Providers - ISP) и другие Интернет-компании используют системы учёта трафика, чтобы собирать оплату со своих абонентов.

При подготовке сетевых атак и вторжений - злоумышленники используют сбор сетевых данных. На этом этапе злоумышленник, как правило, собирает данные о состоянии портов атакуемого узла. Злоумышленники используют как активные, так и пассивные методы сбора данных. Процесс разведки портов начинается с отправки различных типов пробных пакетов. После того изучаются отклики на эти пробные пакеты. В результате определяется, является ли порт открытым или закрытым.

В работе [22] авторы выделяют три типа систем сбора сетевых данных:

• Системы сбора данных на основе пакетов;

• Системы сбора данных на основе потоков (агрегированные данные со сжатием);

Системы сбора данных на основе сетевых пакетов - сетевой пакет является носителем данных в TCP/IP сетях. Поэтому захват пакетов является традиционным методом сбора данных. В целом сетевые пакеты состоят из двух частей: заголовок и полезная нагрузка (Payload). В этих методах сбора данных заголовок пакета является важным компонентом для идентификации и фильтрации пакетов. В больших сетях этот метод страдает от значительного объёма данных, сбор которых сильно затрудняет работу сетевого оборудования.

Поэтому было предложено использовать механизмы агрегации данных в режиме реального времени.

Анализ данных из пакетов позволяет получить следующую информацию:

• Параметры сетевого оборудования, такие как загрузка процессора, использование памяти, загруженность сетевых интерфейсов, и состояния сетевых портов (открыт или закрыт);

• Используемые сетевые протоколы на различных уровнях модели OSI;

• Производительность сети и качество Интернет-соединения, в том числе потеря пакетов, задержка, потребление пропускной способности и т. д.

Методы сбора данных на основе пакетов делаться на двух типа:

• Активные методы сбора данных- В этих методах отправляются пробные пакеты и обрабатываются ответные пакеты в целях измерения качества соединений сети и параметры сетевых соединений. В качестве примеров можно упомянуть известную утилиту "Ping", стандартную утилиту Nmap для сканирования состояний сетевых портов [23], и протокол сетевого управления SNMP [24].

• Пассивные методы сбора данных - отслеживают сетевой трафик с помощью программных и аппаратных инструментов мониторинга. Для реализации пассивных систем сбора данных используются снифферы (sniffers), такие как Wireshark [25] и TCPdump[26].

Системы сбора данных о трафике на основе потоков - Поток представляет собой набор пакетов с одинаковыми характеристиками. Поток определяется в [27] как набор сетевых пакетов, проходящих узел наблюдения в сети в течение определенного периода времени и имеющих общие свойства.

В научной литературе используются различные наборы характеристик потока для оценки сетевого трафика. Например, в работах [22,28] констатируется использование пяти характеристик для описания сетевого потока, такие как:

• IP адреса источника и пункта назначения;

• Порты источника и пункта назначения;

• Типы протокола.

Эти пяти характеристик наиболее часто используются для оценки сетевого соединения [22]. А в работе [29] используется альтернативный набор из двенадцати характеристик, однако в работе [30] предложен третий набор характеристик из двенадцати элементов.

Сбор данных на основе потоков позволяет избежать анализа всех пакетов сети. Мониторинг сетевого потока может осуществляться в любой точке сети. Но маршрутизаторы и коммутаторы, граничные узлы и центральные узлы являются наиболее использованными точками для мониторинга трафика сети, поскольку эти узлы могут получать данные об атаках, и данные о качестве сетевых соединений.

В качестве примера сбора данных на основе потоков можно упомянуть протокол NetFlow [31]. Устройства, поддерживающие протокол NetFlow, создают записи о потоках, которые объединяют пакеты, имеющие одинаковые параметры. NetFlow определяет около 280 параметров для записи сетевого потока [32]. Среди них наиболее часто применяются следующие семь параметров:

• IP адрес источника (Source IP);

• IP-адрес пункта назначения (Destination IP);

• TCP/UDP Порт источника;

• TCP/UDP Порт пункта назначения;

• Тип IP протокола;

• Интерфейс;

• Тип сетевых услуг.

В устройстве NetFlow проверяются вышеуказанные параметры для каждого пакета. Для первого уникального пакета создаётся запись в кэше NetFlow. Другие пакеты, соответствующие тем же параметрам, объединяются в эту запись, и

счетчик байтов для этого потока увеличивается. Если какой-либо из параметров не совпадает, то в кэше создается новая запись.

Собранные данные о потоках применяются в различных сферах, в том числе и в системах обнаружения вторжений - Intrusion Detection Systems (IDS) в высокоскоростных сетях [32]. Например потоковые технологии используются в программе Snort [33,34], которая представляет собой систему обнаружения вторжений, основанную на фильтрации входящего и исходящего трафика сети.

Можно классифицировать системы сбора сетевых данных с точки зрения использованных инструментов следующим образом:

• Системы сбора данных на основе программного обеспечения (Software);

• Системы сбора данных на основе аппаратного обеспечения (Hardware);

• Системы сбора данных на основе сетевых протоколов (Protocols). Системы сбора данных на основе программного обеспечения - Эти

системы сбора данных, в основном, состоят из следующих подсистем:

• Сетевая карта (Network Interface Controller- NIC);

• Драйвер;

• Стек протоколов захвата пакетов;

• Библиотека захвата пакетов, такая как LIBPCAP [35];

• Программа захвата пакетов.

Сбор данных на основе программного обеспечения отличается высокой гибкостью и низкой стоимостью, но низкой производительностью [36].

Системы сбора данных на основе сетевых протоколов - Эти системы сбора данных могут обеспечить полное представление о работе всей сети. Обычно используются следующие протоколы: SNMP[24]; NetFlow [31]; sFlow [37]. Система сбора данных на основе протокола может коллекционировать различные типы данных, но сама система не очень гибкая с точки зрения сбора данных [36].

Системы сбора данных на основе аппаратного обеспечения - Эти

системы сбора данных обычно используются в сценариях, требующих высокой производительности, таких как IDS. Но стоимость таких систем высока. В качестве примеров упоминаются следующие типы оборудования:

• Датчики;

• Мобильные устройства;

• Межсетевой экран на основе аппаратного обеспечения;

• Прокси-сервер;

• Ханейпота (Honeypot) [38].

Использованы системы сбора данных в диссертации можно относить к следующим:

• Системы Сбор данных на основе пакетов, как в разработанной системе обнаружения вторжения (более подробно будет описано в третьей главе);

• Активный метод сбор данных, как в использованной утилите для осуществления процесса сканирования портов Nmap (более подробно будет описано в третьей и второй главах). К тому же использовался активный метод сбор данных в разработанный механизм измерения метрики производительности (более подробно будет описано в четвертой главе);

• Сбор данных на основе программного обеспечения (Nmap, NetFlow).

1.2 Данные мониторинга трафика и сетевой безопасности

Авторы в работе [36] использовали терм (Security-Related Data) для описания данных, которые могут отражать состояние безопасности сети. А в работе [3] определились четыре типа данных, которые используются для задачи безопасности. Сбор этих данных играет роль в обнаружении сетевых атак. Эти данные представляют собой:

• Данные из пакетов

• Данные из потоков

• Данные о подключении

• Данные из хостов

Данные в пакетах содержат данные полезной нагрузки (payload) и данные заголовков (header).

Собранные данные из пакетов могут использоваться для обнаружения различных типов атак. В статье [39] упоминаются 33 поля заголовка пакета, которые могут использоваться в процессе обнаружения атак.

1.3 Классификация сетевых аномалий и систем обнаружения вторжений

Сетевые аномалии можно классифицировать по двум критериям [40]:

• По характеристике аномалии;

• По причине аномалии.

Исходя из характеристик сетевой аномалии, существует три категории аномалий:

• Отклонение индивидуального набора сетевых данных от обычного шаблона нормальных сетевых данных. Эти аномалии являются самыми простыми, и поэтому они находятся в центре внимания большинства исследователей [40];

• Отклонение набора сетевых данных от всей базы данных;

• Сетевые события, рассматриваемые как аномальные в зависимости от контекста, в котором они обнаружены (условные аномалии).

Исходя из причины аномалии, существуют четыре категории аномалий:

• Сетевые события, возникающие из-за неправильной конфигурации или сбоя - эти не считаются вредоносными аномалиями, а сетевыми аномалиями, которые могут возникать в сетевой системе, в основном, из-за сбоев оборудования, программных ошибок или из-за человеческих ошибок.

• Быстрый рост числа пользователей, которые пытаются получить доступ к определенной сетевой услуге, вызывая, при этом резкий скачок нагрузки на сетевом сервере.

• Аномалии измерений. Эти аномалии связаны с проблемами, возникающими в инфраструктуре системы сбора данных или с проблемами, возникающими во время сбора данных.

• Аномалии злоупотребления сетью (или сетевые атаки) - это набор вредоносных действий, направленных на нарушение, отказ, ухудшение или уничтожение информации и сетевых услуг в компьютерных сетевых системах, ставя под угрозу их целостность, конфиденциальность или доступность. Наиболее распространенными сетевыми атаками являются следующие атаки: Вирус; атаки отказа в обслуживании, известные на английском языке как (Denial of service -DoS); Распределенный отказ в обслуживании известен, на английском языке, как (Distributed Denial of service - DDoS); DDoS с усилением (Amplification DDoS); Переполнение буфера; Несанкционированное сканирование портов.

СПИСОК ЛИТЕРАТУРЫ

1. Birkinshaw C., Rouka E., Vassilakis V.G. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks // Journal of Network and Computer Applications. 2019. Vol. 136. P. 71-85.

2. Mohammadi R., Javidan R., Conti M. SLICOTS: An SDN-Based Lightweight Countermeasure for TCP SYN Flooding Attacks // IEEE Transactions on Network and Service Management. 2017. Vol. 14, № 2. P. 487-497.

3. Jing X., Yan Z., Pedrycz W. Security Data Collection and Data Analytics in the Internet: A Survey // IEEE Commun. Surv. Tutorials. 2019. Vol. 21, № 1. P. 586618.

4. Aizuddin A.A. et al. DNS amplification attack detection and mitigation via sFlow with security-centric SDN // Proceedings of the 11th International Conference on Ubiquitous Information Management and Communication. 2017. P. 1-7.

5. Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети (сетевые аномалии). Горячая линия-Телеком.

6. Котенко И.В. et al. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Информатика и автоматизация. 2012. № 20. P. 27-56.

7. Tsai P.-W. et al. Network Monitoring in Software-Defined Networking: A Review // IEEE Systems Journal. 2018. Vol. 12, № 4. P. 3958-3969.

8. Dabbagh M. et al. Software-Defined Networking Security: Pros and Cons // IEEE Communications Magazine. 2015. Vol. 53.

9. Scott-Hayward S., O'Callaghan G., Sezer S. Sdn Security: A Survey // 2013 IEEE SDN for Future Networks and Services (SDN4FNS). 2013. P. 1-7.

10. Смелянский Р.Л. Программно-конфигурируемые сети // Открытые системы. СУБД. Общество с ограниченной ответственностью" Издательство" Открытые системы", 2012. Vol. 9. P. 15-26.

11. Николаенко А.И., Михайлова Н.Ю., Бабанин И.Г. Принцип Функционирования И Реализация Протокола Openflow В Sdn Ориентированных Устройствах. Юго-Западный государственный университет, 2020. P. 42-47.

12. Коптев Д.С., Бабанин И.Г. Программно-Конфигурируемые Сети На Базе Протокола Openflow. Юго-Западный государственный университет, 2016. P. 183-193.

13. Boote J., Anatoly K. One-Way Ping (OWAMP) [Electronic resource]. URL: http://software.internet2.edu/owamp/ (accessed: 25.11.2021).

14. Shalunov S. et al. A one-way active measurement protocol (OWAMP). RFC 4656 (Proposed Standard),Tech. Rep, 2006.

15. Mayhoub S. et al. Video Streaming in Ad Hoc Networks // 2020 IEEE Applied Imagery Pattern Recognition Workshop (AIPR). IEEE, 2020. P. 1-5.

16. Almes G., Kalidindi S., Zekauskas M. A round-trip delay metric for IPPM. RFC 2681, september, 1999.

17. Almes G. et al. A one-way delay metric for IP performance metrics (IPPM). RFC 7679, January, 2016.

18. Demichelis C., Chimento P. IP packet delay variation metric for IP performance metrics (IPPM). RFC 3393, November, 2002.

19. Almes G., Kalidindi S., Zekauskas M. A one-way packet loss metric for IPPM. RFC 2680, september, 1999.

20. Liao H.-J. et al. Intrusion detection system: A comprehensive review // Journal of Network and Computer Applications. Elsevier, 2013. Vol. 36, № 1. P. 16-24.

21. Understanding authentication, authorization, and accounting // Security Fundamentals. John Wiley & Sons, Ltd, 2019. P. 33-109.

22. Zhou D. et al. A survey on network data collection // Journal of Network and Computer Applications. 2018. Vol. 116. P. 9-23.

23. Nmap: the Network Mapper - Free Security Scanner [Electronic resource]. URL: https://nmap.org/ (accessed: 06.09.2021).

24. Harrington D., Presuhn R., Wijnen B. An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks: RFC3411. RFC Editor, 2002. P. RFC3411.

25. Combs G. Wireshark - the Wireshark network analyzer [Electronic resource]. URL: https://www.wireshark.org/ (accessed: 29.09.2021).

26. Jacobson V., Leres C., McCanne S. The tcpdump manual page // Lawrence Berkeley Laboratory, Berkeley, CA. 1989. Vol. 143. P. 117.

27. Claise B., Trammell B., Aitken P. Specification of the IP flow information export (IPFIX) protocol for the exchange of flow information // RFC 7011 (Internet Standard), Internet Engineering Task Force. 2013. P. 2070-1721.

28. Chen C.-C. et al. Detecting amplification attacks with software defined networking // 2017 IEEE conference on dependable and secure computing. IEEE, 2017. P. 195201.

29. Giotis K. et al. Combining OpenFlow and sFlow for an effective and scalable anomaly detection and mitigation mechanism on SDN environments // Computer Networks. 2014. Vol. 62. P. 122-136.

30. Zhao D. et al. Botnet detection based on traffic behavior analysis and flow intervals // computers & security. 2013. Vol. 39, № 2. P. e1-6.

31. Claise B. et al. Cisco systems netflow services export version 9. RFC 3954, October, 2004.

32. Umer M.F., Sher M., Bi Y. Flow-based intrusion detection: Techniques and challenges // Computers & Security. 2017. Vol. 70. P. 238-254.

33. Roesch M. Snort: Lightweight intrusion detection for networks. // Lisa. 1999. Vol. 99, № 1. P. 229-238.

34. Snort - Network Intrusion Detection & Prevention System [Electronic resource]. URL: https://www.snort.org/ (accessed: 18.11.2021).

35. Qadeer M.A. et al. Network Traffic Analysis and Intrusion Detection Using Packet Sniffer // 2010 Second International Conference on Communication Software and Networks. Singapore: IEEE, 2010. P. 313-317.

36. Lin H. et al. A survey on network security-related data collection technologies // IEEE Access. IEEE, 2018. Vol. 6. P. 18345-18365.

37. Phaal P., Panchen S., McKee N. Rfc 3176: sflow. September, 2001.

38. Singh A.N., Joshi R.C. A honeypot system for efficient capture and analysis of network attack traffic // 2011 International Conference on Signal Processing, Communication, Computing and Networking Technologies. IEEE, 2011. P. 514 -519.

39. Mahoney M.V., Chan P.K. PHAD: Packet header anomaly detection for identifying hostile network traffic. 2001.

40. Fernandes G. et al. A comprehensive survey on network anomaly detection // Telecommun Syst. 2019. Vol. 70, № 3. P. 447-489.

41. Moustafa N., Hu J., Slay J. A holistic review of network anomaly detection systems: A comprehensive survey // Journal of Network and Computer Applications. Elsevier, 2019. Vol. 128. P. 33-55.

42. Gadge J., Patil A.A. Port scan detection // 2008 16th IEEE International Conference on Networks. New Delhi, India: IEEE, 2008. P. 1-6.

43. Hoque N. et al. Network attacks: Taxonomy, tools and systems // Journal of Network and Computer Applications. 2014. Vol. 40. P. 307-324.

44. Mazel J., Fontugne R., Fukuda K. A taxonomy of anomalies in backbone network traffic. 2014. P. 30-36.

45. Ismail S. et al. A review of amplification-based distributed denial of service attacks and their mitigation // Computers & Security. 2021. Vol. 109. P. 102380.

46. Bai K. Analysis and Prevention of Memcache UDP Reflection Amplification Attack // International Journal of Science. 2018. Vol. 5, № 3. P. 297-302.

47. Singh K., Singh A. Memcached DDoS exploits: operations, vulnerabilities, preventions and mitigations // 2018 IEEE 3rd International Conference on Computing, Communication and Security (ICCCS). IEEE, 2018. P. 171-179.

48. Kopp D., Dietzel C., Hohlfeld O. DDoS Never Dies? An IXP Perspective on DDoS Amplification Attacks // arXiv preprint arXiv:2103.04443. 2021.

49. Gondim J.J.C., de Oliveira Albuquerque R., Sandoval Orozco A.L. Mirror saturation in amplified reflection Distributed Denial of Service: A case of study using SNMP, SSDP, NTP and DNS protocols // Future Generation Computer Systems. 2020. Vol. 108. P. 68-81.

50. Rossow C. Amplification Hell: Revisiting Network Protocols for DDoS Abuse. // NDSS. 2014.

51. Ryba F.J. et al. Amplification and DRDoS attack defense-a survey and new perspectives // arXiv preprint arXiv:1505.07892. 2015.

52. Lukaseder T. et al. An sdn-based approach for defending against reflective ddos attacks // 2018 IEEE 43rd Conference on Local Computer Networks (LCN). IEEE, 2018. P. 299-302.

53. Bhuyan M.H., Bhattacharyya D.K., Kalita J.K. Surveying port scans and their detection methodologies // The Computer Journal. Oxford University Press, 2011. Vol. 54, № 10. P. 1565-1581.

54. Mell P. Understanding intrusion detection systems // IS Management Handbook. Auerbach Publications, 2003. P. 409-418.

55. Yang C.-T. et al. NetFlow monitoring and cyberattack detection using deep learning with Ceph // IEEE Access. IEEE, 2020. Vol. 8. P. 7842-7850.

56. Kerr D.R., Bruins B.L. Network flow switching and flow data export. Google Patents, 2001.

57. Li B. et al. A survey of network flow applications // Journal of Network and Computer Applications. Elsevier, 2013. Vol. 36, № 2. P. 567-581.

58. About the Open Networking Foundation | Mission, Members, Training, Partners [Electronic resource] // Open Networking Foundation. URL: https://www.opennetworking.org/mission/ (accessed: 16.05.2020).

59. Open Networking Fundation. Software-defined networking: The new norm for networks // ONF White Paper. 2012.

60. Ertaul L., Venkatachalam K. Security of software defined networks (SDN) // Proceedings of the International Conference on Wireless Networks (ICWN). The

Steering Committee of The World Congress in Computer Science, Computer ..., 2017. P. 24-30.

61. Correa Chica J.C., Imbachi J.C., Botero Vega J.F. Security in SDN: A comprehensive survey // Journal of Network and Computer Applications. 2020. Vol. 159. P. 102595.

62. Handbook of Computer Networks and Cyber Security: Principles and Paradigms / ed. Gupta B.B. et al. Cham: Springer International Publishing, 2020.

63. Queiroz W., Capretz M.A.M., Dantas M. An approach for SDN traffic monitoring based on big data techniques // Journal of Network and Computer Applications. 2019. Vol. 131. P. 28-39.

64. Navid W., Bhutta M.N.M. Detection and mitigation of Denial of Service (DoS) attacks using performance aware Software Defined Networking (SDN) // 2017 International Conference on Information and Communication Technologies (ICICT). 2017. P. 47-57.

65. Mousavi S.M., St-Hilaire M. Early detection of DDoS attacks against software defined network controllers // Journal of Network and Systems Management. Springer, 2018. Vol. 26, № 3. P. 573-591.

66. Swami R., Dave M., Ranga V. Software-defined networking-based ddos defense mechanisms // ACM Computing Surveys (CSUR). ACM New York, NY, USA, 2019. Vol. 52, № 2. P. 1-36.

67. Shang F., Fu Q. A Software-Defined Networking Security Controller Architecture // 2016 4th International Conference on Machinery, Materials and Computing Technology. Atlantis Press, 2016.

68. Detection and mitigation of DDoS attacks in SDN: A comprehensive review, research challenges and future directions - ScienceDirect [Electronic resource]. URL: https://www.sciencedirect.com/science/article/pii/S1574013720301647 (accessed: 14.05.2021).

69. Shaghaghi A. et al. Software-Defined Network (SDN) Data Plane Security: Issues, Solutions, and Future Directions // Handbook of Computer Networks and Cyber

Security / ed. Gupta B.B. et al. Cham: Springer International Publishing, 2020. P. 341-387.

70. Mahrach S., Haqiq A. DDoS Flooding Attack Mitigation in Software Defined Networks // IJACSA. 2020. Vol. 11, № 1.

71. Li C. et al. Detection and defense of DDoS attack-based on deep learning in OpenFlow-based SDN // International Journal of Communication Systems. Wiley Online Library, 2018. Vol. 31, № 5. P. e3497.

72. Banitalebi Dehkordi A., Soltanaghaei M., Boroujeni F.Z. The DDoS attacks detection through machine learning and statistical methods in SDN // J Supercomput. 2021. Vol. 77, № 3. P. 2383-2415.

73. Li Z. et al. Detecting Saturation Attacks Based on Self-Similarity of OpenFlow Traffic // IEEE Transactions on Network and Service Management. 2020. Vol. 17, № 1. P. 607-621.

74. Pratama R.F., Suwastika N.A., Nugroho M.A. Design and Implementation Adaptive Intrusion Prevention System (IPS) for Attack Prevention in Software-Defined Network (SDN) Architecture // 2018 6th International Conference on Information and Communication Technology (ICoICT). 2018. P. 299-304.

75. Zhang L. et al. A Port Hopping Based DoS Mitigation Scheme in SDN Network // 2016 12th International Conference on Computational Intelligence and Security (CIS). 2016. P. 314-317.

76. Kumar P. et al. SAFETY: Early Detection and Mitigation of TCP SYN Flood Utilizing Entropy in SDN // IEEE Transactions on Network and Service Management. 2018. Vol. 15, № 4. P. 1545-1559.

77. Rebecchi F. et al. DDoS protection with stateful software-defined networking // International Journal of Network Management. Wiley Online Library, 2019. Vol. 29, № 1. P. e2042.

78. Hong K. et al. SDN-Assisted Slow HTTP DDoS Attack Defense Method // IEEE Communications Letters. 2018. Vol. 22, № 4. P. 688-691.

79. Yurekten O., Demirci M. SDN-based cyber defense: A survey // Future Generation Computer Systems. 2021. Vol. 115. P. 126-149.

80. Khamaiseh S. et al. Detecting Saturation Attacks in SDN via Machine Learning.

2019.

81. Tuan N.N. et al. A DDoS attack mitigation scheme in ISP networks using machine learning based on SDN // Electronics. Multidisciplinary Digital Publishing Institute,

2020. Vol. 9, № 3. P. 413.

82. Sharafaldin I., Lashkari A.H., Ghorbani A.A. Toward generating a new intrusion detection dataset and intrusion traffic characterization. // ICISSp. 2018. Vol. 1. P. 108-116.

83. Ahuja N., Singal G. DDOS Attack Detection Prevention in SDN using OpenFlow Statistics // 2019 IEEE 9th International Conference on Advanced Computing (IACC). 2019. P. 147-152.

84. Nhu-Ngoc Dao et al. A feasible method to combat against DDoS attack in SDN network // 2015 International Conference on Information Networking (ICOIN). 2015. P. 309-311.

85. Nuiaa R.R., Manickam S., Alsaeedi A.H. Distributed reflection denial of service attack: A critical review. // International Journal of Electrical & Computer Engineering (2088-8708). 2021. Vol. 11, № 6.

86. Saddam/Saddam.py at master ■ OffensivePython/Saddam [Electronic resource] // GitHub. URL: https://github.com/OffensivePython/Saddam (accessed: 14.09.2021).

87. Jing X. et al. A reversible sketch-based method for detecting and mitigating amplification attacks // Journal of Network and Computer Applications. Elsevier, 2019. Vol. 142. P. 15-24.

88. Meitei I.L., Singh K.J., De T. Detection of DDoS DNS amplification attack using classification algorithm // Proceedings of the International Conference on Informatics and Analytics. 2016. P. 1-6.

89. Xing X. et al. A defense mechanism against the DNS amplification attack in SDN // 2016 IEEE International Conference on Network Infrastructure and Digital Content (IC-NIDC). Beijing, China: IEEE, 2016. P. 28-33.

90. Ozdm?er K., Mantar H.A. SDN-based Detection and Mitigation System for DNS Amplification Attacks // 2019 3rd International Symposium on Multidisciplinary Studies and Innovative Technologies (ISMSIT). IEEE, 2019. P. 1-7.

91. Bovy C.J. et al. Analysis of end-to-end delay measurements in Internet // Proc. of the Passive and Active Measurement Workshop-PAM. 2002. Vol. 2002.

92. Jan 2019 C. 14 D. 2010-L. updated: 30. Test Traffic Measurement Service (TTM) [Electronic resource] // RIPE Network Coordination Centre. URL: https://www.ripe.net/analyse/archived-projects/ttm/test-traffic-measurement-service (accessed: 24.11.2021).

93. Hanemann A. et al. Perfsonar: A service oriented architecture for multi-domain network monitoring // International conference on service-oriented computing. Springer, 2005. P. 241-254.

94. ntpd - Network Time Protocol (NTP) daemon [Electronic resource]. URL: https://www.eecis.udel.edu/~mills/ntp/html/ntpd.html (accessed: 04.12.2021).

95. Vinogradov N.I., Sagatov E.S., Sukhov A.M. Measurement of one-way delays in IP networks // Measurement Techniques. Springer, 2017. Vol. 60, № 4. P. 359-365.

96. Майхуб, С., Сагатов, Е. С. Свидетельство о государственной регистрации программы для ЭВМ «Программа для измерения односторонней сетевой задержки» № 2019663386 получен 23.10.2019. правообладатели Сагатов, Е. С., Майхуб, С. 2019.

97. Bajpai V., Eravuchira S.J., Schonwalder J. Lessons learned from using the ripe atlas platform for measurement research // ACM SIGCOMM Computer Communication Review. ACM New York, NY, USA, 2015. Vol. 45, № 3. P. 35-42.

98. Chefrour D. One-Way Delay Measurement From Traditional Networks to SDN: A Survey // ACM Comput. Surv. 2021. Vol. 54, № 7. P. 156:1-156:35.

99. Sridharan A., Tao Ye, Bhattacharyya S. Connectionless Port Scan Detection on the Backbone // 2006 IEEE International Performance Computing and Communications Conference. Phoenix, AX, USA: IEEE, 2006. P. 567-576.

100. Майхуб, С. Методы противодействия разведывательному этапу сетевого вторжения/ Сагатов Е. С., Майхуб С., Сухов А. М.// XXIII международная

научно-практическая конференция «РусКрипто'2021» Москва, 23 - 26 марта — 2021.

101. Майхуб С. Пороговые значения для системы сетевой безопасности на базе SDN/ Майхуб С., Алексеев К. П.// XXIII международная научно-практическая конференция «РусКрипто'2021» Москва, 23 - 26 марта — 2021.

102. Cabaj K. et al. SDN-based mitigation of scanning attacks for the 5G Internet of radio light system // Proceedings of the 13th International Conference on Availability, Reliability and Security. 2018. P. 1-10.

103. Zargar S.T., Joshi J., Tipper D. A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks // IEEE Communications Surveys Tutorials. 2013. Vol. 15, № 4. P. 2046-2069.

104. LOIC, Low Orbit Ion Cannon - Denial of Service Script [Electronic resource]. URL: https://github.com/NewEraCracker/LOIC (accessed: 28.05.2020).

105. Lyon G.F. Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning. Insecure.Com LLC (US), 2008.

106. Rahalkar S. Introduction to NMAP // Quick Start Guide to Penetration Testing: With NMAP, OpenVAS and Metasploit / ed. Rahalkar S. Berkeley, CA: Apress, 2019. P. 1-45.

107. Orebaugh A., Pinkard B. Nmap in the enterprise: your guide to network scanning. Elsevier, 2011.

108. Bagyalakshmi G. et al. Network Vulnerability Analysis on Brain Signal/Image Databases Using Nmap and Wireshark Tools // IEEE Access. 2018. Vol. 6. P.

57144-57151.

109. Ananin E.V., Nikishova A.V., Kozhevnikova I.S. Port scanning detection based on anomalies // 2017 Dynamics of Systems, Mechanisms and Machines (Dynamics). Omsk: IEEE, 2017. P. 1-5.

110. Acharya S., Tiwari N. Survey of DDoS attacks based on TCP/IP protocol vulnerabilities // IOSR Journal of Computer Engineering. 2016. Vol. 18, № 3. P. 6876.

111. Bhardwaj A. et al. Experimental Analysis of DDoS Attacks on OpenStack Cloud Platform // Lecture Notes in Networks and Systems. 2019. Vol. 46. P. 3-13.

112. Майхуб, С. Методы защиты от DDoS-атак с усилением по принципу отслеживания исходящего трафика [Текст] / Майхуб С., Сагатов Е.С. // Телекоммуникации. - М: Наука и технологии ООО, 2022- №6. - С. 31-39.

113. Майхуб С. Разработка программных комплексов для противодействия сканированию портов/ Сагатов Е. С., Майхуб С., Сухов А.М., Баймяшкин М. А.// сборник статей II Всероссийской научно-технической конференции. Федеральное государственное автономное учреждение "Военный инновационный технополис "ЭРА" «Состояние и перспективы развития современной науки по направлению «Информационная безопасность»». Анапа, 19-20 марта, 2020 - С. 70-79.

114. Sagatov E.S., Shkirdov D.A., Sukhov A.M. Analysis of network threats based on data from server-traps // 2019 10th IFIP International Conference on New Technologies, Mobility and Security (NTMS). IEEE, 2019. P. 1-5.

115. Purdy G.N. Linux iptables Pocket Reference: Firewalls, NAT & Accounting. O'Reilly Media, Inc., 2004.

116. McKeown N. et al. OpenFlow: enabling innovation in campus networks // SIGCOMM Comput. Commun. Rev. 2008. Vol. 38, № 2. P. 69-74.

117. Wang W. et al. Forwarding and Control Element Separation (ForCES) Protocol Specification. RFC 5810 (Proposed Standard), 2010.

118. OpenFlow Switch Specification, (ONF TS-001) Open Networking Foundation, Version 1.0.0 (wire protocol 0x01) [Electronic resource]. 2009. URL: https://opennetworking.org/wp-content/uploads/2013/04/openflow-spec-v1.0.0.pdf (accessed: 18.10.2021).

119. OpenFlow Switch Specification, (ONF TS-002) Open Networking Foundation, Version 1.1.0 (wire protocol 0x02) [Electronic resource]. 2011. URL: https://opennetworking.org/wp-content/uploads/2014/10/openflow-spec-v1.1.0.pdf (accessed: 18.10.2021).

120. OpenFlow Switch Specification, (ONF TS-003) Open Networking Foundation, Version 1.2 (wire protocol 0x03) [Electronic resource]. 2011. URL: https://opennetworking.org/wp-content/uploads/2014/10/openflow-spec-v1.2.pdf (accessed: 18.10.2021).

121. OpenFlow Switch Specification, (ONF TS-006) Open Networking Foundation, Version 1.3.0 (wire protocol 0x04) [Electronic resource]. 2012. URL: https://opennetworking.org/wp-content/uploads/2014/10/openflow-spec-v1.3.0.pdf (accessed: 18.10.2021).

122. OpenFlow Switch Specification, (ONF TS-012) Open Networking Foundation, Version 1.4.0 (wire protocol 0x05) [Electronic resource]. 2013. URL: https://opennetworking.org/wp-content/uploads/2014/10/openflow-spec-v1.4.0.pdf.

123. OpenFlow Switch Specification, (ONF TS-025) Open Networking Foundation, Version 1.5.1 (wire protocol 0x06) [Electronic resource]. 2015. URL: https://opennetworking.org/wp-content/uploads/2014/10/openflow-switch-v 1.5.1.pdf (accessed: 18.10.2021).

124. Costa L.C. et al. OpenFlow data planes performance evaluation // Performance Evaluation. 2021. Vol. 147. P. 102194.

125. Braun W., Menth M. Software-defined networking using OpenFlow: Protocols, applications and architectural design choices // Future Internet. Multidisciplinary Digital Publishing Institute, 2014. Vol. 6, № 2. P. 302-336.

126. Liu C. et al. A SDN-based active measurement method to traffic QoS sensing for smart network access // Wireless Netw. 2021. Vol. 27, № 5. P. 3677-3688.

127. Floodlight Controller - Confluence [Electronic resource]. URL: https://floodlight.atlassian.net/wiki/spaces/floodlightcontroller/overview (accessed: 11.10.2021).

128. Zodiac. (2017) Northbound Networks Pty [Electronic resource]. 2017. URL: https://movingpackets.net/assets/pdf/ZodiacFX_UserGuide_0317.pdf (accessed: 18.10.2021).

129. Wang S. et al. The smallest software defined network testbed in the world: Performance and security // NOMS 2018 - 2018 IEEE/IFIP Network Operations and Management Symposium. 2018. P. 1-2.

130. Jarschel M. et al. A Flexible OpenFlow-Controller Benchmark // 2012 European Workshop on Software Defined Networking. 2012. P. 48-53.

131. François J. et al. Network security through software defined networking: a survey // Proceedings of the Conference on Principles, Systems and Applications of IP Telecommunications. 2014. P. 1-8.

132. Linde P., Pumputis M., Rodriguez G. iptables revisited: a not so ordinary 'firewall.' 2018.

133. Gheorghe L. Designing and Implementing Linux Firewalls with QoS using netfilter, iproute2, NAT and l7-filter. Packt Publishing Ltd, 2006.

134. Fitzgerald W.M., Neville U., Foley S.N. MASON: Mobile autonomic security for network access controls // Journal of Information Security and Applications. 2013. Vol. 18, № 1. P. 14-29.

135. Cleary J. et al. Design principles for accurate passive measurement // Proceedings of PAM. 2000.

136. Майхуб С. Разработка методов и средств противодействия начальному этапу сетевого вторжения/ Сагатов Е. С., Майхуб С., Сухов А.М., Баймяшкин М. А. // Информационные технологии и нанотехнологии (ИТНТ-2020). 2020. P. 91-98.

137. Liu Y., Jin Z., Wang Y. Survey on security scheme and attacking methods of WPA/WPA2 // 2010 6th international conference on wireless communications networking and mobile computing (wicom). IEEE, 2010. P. 1-4.

138. Майхуб, С. Метод защиты сетевой инфраструктуры с использованием SDN-технологий [Текст] / Сагатов Е.С., Майхуб С., Баймяшкин М. А. // Телекоммуникации. Общество с ограниченной ответственностью" Наука и технологии", 2021. № 2. P. 27-34.

139. Mayhoub, S. Proactive Detection for Countermeasures on Port Scanning based Attacks/ Sagatov E. S., Mayhoub S., Sukhov A. M., Esposito F., Calyam P. // 2021

17th International Conference on Network and Service Management (CNSM). IEEE, 2021. P. 402-406.

140. De Vito L., Rapuano S., Tomaciello L. One-Way Delay Measurement: State of the Art // IEEE Trans. Instrum. Meas. 2008. Vol. 57, № 12. P. 2742-2750.

141. Chrony. A versatile implementation of the Network Time Protocol (NTP) [Electronic resource]. URL: https://chrony.tuxfamily.org/ (accessed: 04.12.2021).

142. Li Z. et al. A Hardware Time Stamping Method for PTP Messages Based on Linux system // TELKOMNIKA Indonesian Journal of Electrical Engineering. 2013. Vol. 11.

143. Linux Foundation. Timestamping [Electronic resource]. URL: https://www.kernel.org/doc/Documentation/networking/timestamping.txt (accessed: 30.11.2021).

144. SO_TIMESTAMPING в картинках. Прием пакета [Electronic resource] // Хабр. URL: https://habr.com/ru/company/metrotek/blog/304644/ (accessed: 30.11.2021).

145. Майхуб, С. Система сбора данных об односторонней сетевой задержке [Текст] / Майхуб С., Сагатов Е.С., Ловцов К.Н., Черныш Д.П.// Телекоммуникации. - М: Наука и технологии ООО, 2019. - №10. - С. 35-41. Общество с ограниченной ответственностью" Наука и технологии".

146. Vinogradov N.I., Sagatov E.S., Sukhov A.M. Device for measuring one-way network delay with microsecond accuracy // 2015 23rd Telecommunications Forum Telfor (TELFOR). IEEE, 2015. P. 133-136.

147. Майхуб, С. Системы синхронизации времени для измерения качества интернет соединений/ Сухов А.М., Майхуб С., Сагатов Е. С., Черныш Д.П.// Сборник трудов Международного семинара «Навигация и управление движением» (NMC 2020) (Самара-Россия), 28 сентября - 02 октября, 2020 - С. 119-121.

ПРИЛОЖЕНИЕ А СВИДЕТЕЛЬСТВО О ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ ПРОГРАММЫ

ПРИЛОЖЕНИЕ Б АКТЫ О ВНЕДРЕНИИ РЕЗУЛЬТАТОВ ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ В УЧЕБНЫЙ ПРОЦЕСС