Модель и алгоритмы обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Денисенко, Виталий Дмитриевич

  • Денисенко, Виталий Дмитриевич
  • кандидат технических науккандидат технических наук
  • 2010, Москва
  • Специальность ВАК РФ05.13.19
  • Количество страниц 207
Денисенко, Виталий Дмитриевич. Модель и алгоритмы обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Москва. 2010. 207 с.

Оглавление диссертации кандидат технических наук Денисенко, Виталий Дмитриевич

ПЕРЕЧЕНЬ ОСНОВНЫХ СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

1. ИССЛЕДОВАНИЕ ФУНКЦИОНИРОВАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

1.1. Характеристика локальных вычислительных сетей органов государственного и муниципального управления.

1.2. Угрозы безопасности функционирования локальных вычислительных сетей органов государственного и муниципального управления как объекта компьютерных воздействий.

1.3. Возможности технической разведки как источника воздействий на локальные вычислительные сети органов государственного и муниципального управления.

1.4. Современные технологии и средства защиты ресурсов локальных вычислительных сетей органов государственного и муниципального управления от компьютерных воздействий.

1.5. Анализ существующих систем обнаружения атак.

1.6. Показатели эффективности обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 1 разделу.

2. МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.:.

2.1. Описательная модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2. Концептуальная модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2.1. Теоретико-множественное описание функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2.2. Алгоритм функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.3. Аналитическая модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.4. Оценивание адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту.

2.4.1. Оценивание адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту ранговым методом.

2.4.2. Оценка адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту методом единичных наблюдений процессов.

Выводы по 2 разделу.

3. АЛГОРИТМЫ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК СИСТЕМАМИ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

3.1. Физические процессы обнаружение компьютерных атак, особенности их реализации в системе обнаружения атак.

3.2. Обоснование выбора способа поиска признаков компьютерных атак в словаре признаков.

3.3. Алгоритм обнаружения компьютерных атак во входном потоке пакетов по структурным признакам.

3.4. Алгоритм обнаружения компьютерных атак во входном потоке пакетов по статистическим признакам.

3.4.1. Обоснование выбора математического аппарата для исследования статистических свойств входного потока пакетов.

3.4.2. Основные характеристики процедуры последовательного обнаружения изменения интенсивности пакетов во входном потоке пакетов.

3.4.3. Обоснование выбора ошибок первого и второго рода при обнаружении изменений интенсивности входного потока пакетов.

3.5. Сравнительный аспект своевременности и достоверности обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

3.6. Исследование свойств разработанных алгоритмов обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 3 разделу.

4. НАУЧНО-ТЕХНИЧЕСКИЕ ПРЕДЛОЖЕНИЯ ПО ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ АЛГОРИТМОВ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК СИСТЕМАМИ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

4.1. Блок-схема обобщенного алгоритма обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления по структурным и статистическим признакам.

4.2. Аппаратная реализация алгоритмов обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления.

4.3. Программная реализация алгоритмов обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

4.4. Оценка разработанных решений на модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

4.5. Эффективность обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 4 разделу.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Модель и алгоритмы обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления»

Постоянное развитие потребностей практики обуславливает на основе общего прогресса науки, техники и технологий непрерывное развитие различного рода систем, в том числе информационных.

Человечество на современном этапе развития немыслимо без информации, без процессов ее обслуживания. Потребность одних людей в тех или иных сведениях формирует желание других узнать эти сведения и тем самым получить для себя какие-либо преимущества. «Глаза и уши, охочие до чужих секретов всегда найдутся» (Леонардо да Винчи). Поэтому XXI век, называемый «веком информации», следует считать и веком защиты ее от различных угроз.

Проблеме защиты информационных ресурсов посвящено значительное количество публикаций, как в России, так и за рубежом, например [1-11]. Формальное осознание этого факта не означает автоматического решения всех возникающих вопросов. Сегодня заложены основы правовых отношений в области информационной безопасности [12-16]. В частности, [12] закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности, ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Федеральный закон [16] регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Однако мировой опыт показывает, что при значительном различии в развитости юридических основ количество удачных попыток хищения информационных ресурсов неуклонно возрастает. Сложившуюся ситуацию частично характеризуют следующие данные: ежегодные потери только делового сектора Соединенных Штатов Америки (США) от несанкционированного проникновения в информационные базы данных составляет от 150 до 300 млрд. долларов; • ежегодный ущерб от хищения и мошенничества достигает 5 млрд. долларов; современные системы и средства защиты фиксируют менее 5 % фактов несанкционированного доступа к защищаемой информации [4].

На современном этапе в Российской Федерации в рамках проблемы защиты информационных ресурсов остается много нерешенных задач; проблема остается приоритетной как на международном, так и на национальном уровне.

Особенно важное значение проблема защиты информации приобретает в локальных вычислительных сетях органов государственного и муниципального управления (далее по тексту - ЛВС органов) [17, 18].

В настоящее время актуальность и важность проблемы защиты информации в ЛВС органов обусловлены следующими причинами: значительным увеличением объемов информации хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации в органах государственного и муниципального управления; сосредоточением в единых базах данных информации различной степени секретности или конфиденциальности; быстрым ростом парка персональных компьютеров, находящихся в эксплуатации в различных административно-территориальных уровнях управления и различных организациях государства; расширением круга пользователей, имеющих непосредственный доступ к данным и вычислительным ресурсам; объединением ЛВС органов в корпоративные сети с возможностью выхода в информационно-телекоммуникационные сети (ИТС); внедрением импортных аппаратных и программных средств, а также сетевых технологий, не удовлетворяющих требованиям по защите информации; нарушением принципов разработки и внедрения защищенных от несанкционированных воздействий (НСВ) информационно-расчетных систем и т. п. широким распространением общедоступных веб-узлов (Интернет - портала) органов государственного управления, на которых публикуется информация федерального значения.

Одним из важнейших направлений защиты от угроз информации в ЛВС органов, является своевременное и достоверное обнаружение попыток НСВ на ресурсы ЛВС, например, посредством компьютерных атак (КА), с помощью вирусов, программных и аппаратных закладок и т. п.

Компьютерные атаки на ЛВС органов могут осуществлять представители криминальных структур и террористических организаций, хакеры и т. п.

Компьютерные атаки на ЛВС органов приводят к возможности реализации угроз безопасности информации, в частности в аспекте ее доступности легальным пользователям.

Для защиты информации от КА в настоящее время используются системы их обнаружения, способные обеспечить предупреждение об их появлении на начальном этапе воздействия. При этом минимальный срок предупреждения должен быть меньше времени, необходимого для принятия адекватных мер, но не может быть больше, чем время, за которое проявится определенная репрезентативная выборка признаков, характеризующих К А.

В настоящее время в мире существует большое количество разновидностей КА. Наиболее часто реализуемыми являются компьютерные атаки типа «отказ в обслуживании» [1, 4, 5].

Использование данного типа КА для нанесения ущерба, в том числе функционированию ЛВС органов, обусловлено простотой их организации, малой стоимостью, отсутствием необходимости глубоких знаний компьютерных технологий и языков программирования для их реализации.

Перечисленные особенности КА типа «отказ в обслуживании» делают их достаточно широко применяемыми на практике, что объективно требует поиска путей защиты ЛВС органов.

В настоящее время по поиску путей решения данной задачи ведутся теоретические исследования, результаты которых приведены в ряде источников, в частности [19-29]. Наиболее близкими к текущим исследованиям, из вышеперечисленных, являются работы [26-29]. Однако, результаты, приведенные, например, в [27], проведены для нераспределенной КА 8УКГ-йоос1, относящейся к КА типа «отказ в обслуживании». При этом, другим К А того же типа не уделено внимания.

Предлагаемые в [29] основы адаптивной защиты информации от несанкционированного доступа (НСД) не затрагивают методы обнаружения КА.

В работе, которая близка к,текущим исследованиям в предметной области [26], рассматривается случай обнаружения КА только по сигнатуре, что не позволяет обнаруживать изменения в частости поступления пакетов как в потоке в целом, так и в парциальных потоках, его составляющих.

Над решением задачи обнаружения КА типа «отказ в обслуживании» с целью внедрения полученных результатов в современные и перспективные комплексы в настоящее время работает ряд научных, научно-производственных и других учреждений, например, ОАО «Синтерра», ОАО «РНТ», Военная академия связи им. С.М. Буденного, Московский институт новых информационных технологий ФСБ России и другие.

Среди рекомендаций по повышению эффективности систем обнаружения компьютерных атак (СОА) предлагается: методический аппарат для идентификации типа КА, а также аппарат распределения вычислительных ресурсов программно-аппаратных комплексов обнаружения компьютерных атак при организации противодействия удаленному НСД; зависимость показателя оценки эффективности функционирования локальной вычислительной сети в условиях реализации КА от параметров сети; методика определения коэффициента защищенности локальной вычислительной сети в условиях функционирования КР; основы адаптивной защиты информации от НСД в особых условиях функционирования локальных вычислительных сетей - в информационном конфликте.

Ценность данных результатов бесспорна. В них на соответствующем этапе нашли решение различные задачи, стоящие перед системой защиты ЛВС органов.

Однако, в них не исследован ряд вопросов, в частности, оценивания интенсивности приема пакетов как для потока в целом, так и для парциальных потоков его составляющих, адаптивный поиск признаков в словаре признаков COA и ряд других.

Достоверный и своевременный анализ интенсивности пакетов в ЛВС органов, их структуры, позволит повысить эффективность обнаружения КА.

Исходя из этого, объектом научных исследований является COA ЛВС органов, а предметом - обнаружение KA COA ЛВС органов.

Цель исследований: повысить эффективность обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Для достижения поставленной цели в научных исследованиях сформулирована научная задача: на основе исследования условий функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления и возможностей ведения в них компьютерной разведки разработать алгоритмы обнаружения компьютерных атак и научно-технические предложения по их практической реализации.

Для решения сформулированной задачи необходимо: классифицировать КА и средства защиты от них локальных вычислительных сетей, в частности органов государственного и муниципального управления; рассмотреть структуру и условия функционирования COA; оценить эффективность существующих COA по внешним и внутренним критериям; разработать модель обнаружения KA COA ЛВС органов; разработать алгоритмы обнаружения KA COA ЛВС органов; сформулировать научно-технические предложения по реализации алгоритмов обнаружения KA COA ЛВС органов.

Необходимость решения данных задач определяет актуальность диссертационной работы.

В качестве научного метода исследования принят системный анализ.

Для решения научной задачи использовался математический аппарат теории вероятностей, теории распознавания образов, теории случайных процессов, теории графов, методы интегральных и дифференциальных исчислений.

Структура диссертационной работы: введение, четыре раздела, заключение, список используемой литературы (105 наименований), приложения.

В первом разделе проведено исследование условий функционирования ЛВС органов: рассмотрены угрозы безопасности функционирования ЛВС органов как объектов компьютерных воздействий; проведено исследование КА как основного источника угроз безопасности функционирования ЛВС органов; рассмотрены современные технологии и средства защиты ресурсов ЛВС органов от компьютерных воздействий; проведен анализ существующих подходов к обнаружению KA COA ЛВС органов; обоснованы показатели и критерии эффективности обнаружения KA COA ЛВС органов.

Во втором разделе на основе детального исследования физических процессов функционирования ЛВС органов разработана модель функционирования COA ЛВС органов, позволяющая рассчитать среднее относительное время пребывания ЛВС органов в состояниях, обусловленных особенностями их функционирования; доказана адекватность разработанной модели реальному объекту ранговым методом и методом единичных наблюдений.

В третьем разделе разработаны алгоритмы обнаружения КА по структурным и статистическим признакам, позволяющие обеспечивать их своевременное и достоверное обнаружение COA ЛВС органов, проанализированы их свойства.

В четвертом разделе на основе разработанных алгоритмов обнаружения КА разработаны научно-технические предложения по их реализации COA ЛВС органов.

В «заключении представлены итоговые результаты диссертационного исследования в рамках поставленной научной задачи, сформулированы основные выводы и определены направления дальнейших исследований.

В приложениях представлены основные расчетные материалы и справочные данные.

Объем диссертационной работы составляет 181 страницу, включая 4 таблицы и 45 рисунков.

При решении научной задачи в работе получены следующие результаты, предлагаемые к защите:

ЬМоделй функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2. Алгоритмы обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

3. Научно-технические предложения по реализации алгоритмов обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Научная новизна полученных результатов исследования заключается в том, что впервые:

1. Разработана модель функционирования СОА ЛВС органов для наихудших условий обнаружения КА, отличающаяся от существующих тем, что: а) имеется возможность анализа и оценки времени процессов приема и обработки пакетов в условиях максимального входного трафика; б) полученные аналитические выражения позволяют рассчитать значения вероятностей состояний СОА в любой момент времени; в) имеется возможность сравнительного анализа времени пребывания СОА в различных состояниях.

2. Разработаны алгоритмы обнаружения КА по структурным и статистическим признакам СОА ЛВС органов, отличающиеся от существующих тем, что: а) осуществляется поиск признаков в словаре признаков по своевременности при заданной достоверности; б) разработан подход к анализу структуры пакета с целью определения наличия КА в нем; в) предложен подход к обнаружению КА по статистическим признакам; г) математически обоснован выбор величин ошибок первого и второго рода.

3. Разработаны научно-технические предложения по реализации алгоритмов обнаружения KA COA ЛВС органов, отличающиеся тем, что: а) разработана блок-схема обобщенного алгоритма обнаружения КА COA ЛВС органов по структурным и статистическим признакам; б) разработана аппаратно-программная реализации алгоритмов обнаружения KA COA ЛВС органов по структурным и статистическим признакам; в) предложены зависимости и расчеты показателя эффективности обнаружения KA COA ЛВС органов.

Достоверность полученных результатов обеспечивается: обоснованностью вводимых допущений и ограничений; корректным выбором математического аппарата; ясной физической трактовкой общих и частных показателей; отсутствием противоречий с результатами, полученными другими авторами.

Теоретическая ценность заключается в том, что проведенные исследования углубляют и расширяют содержание теорий обработки информации, распознавания образов в аспекте обнаружения КА.

Практическая значимость исследования заключается в возможности использования разработанных модели и алгоритмов, и полученных на их основе результатов и предложений при проектировании и эксплуатации COA ЛВС органов с учетом возможности воздействия КА типа «отказ в обслуживании».

Полученные в диссертации новые теоретические и практические результаты использованы при проведении занятий по курсам повышения квалификации «Основы защиты информации», «Противодействие компьютерному терроризму», «Программно-аппаратные средства обеспечения информационной безопасности ЛВС» Московского института новых информационных технологий (акт использования вх. № 25/75 от 27.05.2009 г.); реализованы в качестве модуля специального программного обеспечения при создании COA защищенной ЛВС ООО «Масса» (акт реализации вх. № 25/456 от 11.11.2009 г.); использованы в научных исследованиях ЗАО «Синтерра» г. Москва (акт использования результатов вх. № 25/272 от 06.09.2010 г.);

Апробации. Научная сессия МИФИ-2009 «Информационно-телекоммуникационные системы. Проблемы информационной безопасности в системе высшей школе. Экономика, инновации и управление», г. Москва, 2009 г.

VIII межведомственная научно-практическая конференция «Актуальные проблемы правового обеспечения обороны страны и безопасности государства», г. Москва, 2009 г.

Научно-практическая конференция «Вопросы обеспечения информационной безопасности в органах безопасности», г. Москва, 2009 г.

VIII Межведомственная конференция «Научно-техническое и информационное обеспечение деятельности спецслужб», г. Москва, 2010 г.

XXIX Всероссийская научно-техническая конференция «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем», г. Серпухов, 2010 г.

Публикации: Основные научные результаты исследований опубликованы в 14 работах, в том числе 7 статей, (из них 3 в издании из списка ВАК), 2 учебных пособия, 1 монография и тезисы 3 докладов.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Денисенко, Виталий Дмитриевич

Выводы по 4 разделу

1. Программная реализации алгоритмов обнаружения КА обеспечивает условия для, во-первых, создания реальных изделий (устройств); во-вторых, их применения в качестве СОА ЛВС органов; в-третьих, повышения эффективности обнаружения КА СОА ЛВС органов.

2. Предложенные алгоритмы (см. раздел 3, рис. 3.3, 3.4, 3.11, 4.1) в СОА, обеспечивают обнаружение КА в реальном масштабе времени в структурно-статистической метрике. Однако, возникает необходимость оценки предлагаемых решений. Поэтому на следующем шаге проведено сравнение существующих и предлагаемых решений.

3. Проведенные на модели функционирования ЛВС органов исследования позволяют утверждать, что использование разработанных предложений позволит снизить временные затраты на обнаружение КА.

4. Проведенные расчеты эффективности обнаружения КА СОА ЛВС органов для существующих и предлагаемых алгоритмов обнаружения КА позволяют сделать вывод о том, что внедрение разработанных алгоритмов обнаружения КА в практику (см. раздел 3, рис. 3.3, 3.4, 3.11, 4.1) в виде программных средств позволит повысить значения внутренних и внешних показателей и тем самым обеспечит условие: ЭФпрсдл > ЭФсущ.

5. Предложенная программная реализации разработанных алгоритмов обнаружения КА представляют собой научно-технические предложения, которые обеспечивают выполнение условия ЭФпредл > ЭФсущ и позволяют говорить о том, что третий научный результат достигнут.

ЗАКЛЮЧЕНИЕ

Развитие основных тенденций в мире позволяет утверждать, что наряду со снижением угрозы возникновения всеобщей ядерной войны в мире усилились или вновь появились другие угрозы в диапазоне: от локальных войн до террористических актов. Мировая цивилизация за время существования не нашла от них панацеи, но накопленный опыт позволил выработать ряд подходов, существенно снижающих (исключающих) негативные последствия от вооруженных конфликтов. Одной из реальных угроз является информационный конфликт (применительно к ЛВС органов), объектами которого становятся как информация, хранимая, обрабатываемая и передаваемая в интересах решения прикладных задач пользователей, а также ЛВС органов, т. е. все доступные для воздействия ресурсы. Для снижения последствий информационного конфликта разработаны различные подходы. Одним из таких подходов является создание и совершенствование COA, позволяющих на ранних стадиях обнаруживать негативные воздействия.

В условиях роста сложности и объемов информации, циркулирующей в ЛВС органов, COA сталкиваются с рядом проблем при достижении стоящих перед ними задач, в частности, с проблемой своевременного и достоверного обнаружения воздействий. Иными словами, рост объема и сложности информации, циркулирующей в ЛВС органов, ведет к обострению одного из глобальных противоречий между своевременностью и достоверностью обнаружения воздействий COA.

Сложившееся положение дел с COA на современном отрезке времени в контексте сформулированного противоречия отрицательно сказывается на всем процессе обнаружения воздействий: либо обеспечивается требуемая достоверность, но затрачивается время больше допустимого; либо выполняются требования по своевременности, но уровень достоверности снижается ниже допустимого.

Для настоящего времени характерно следующее противоречие: либо обеспечивается требуемая достоверность, но затрачивается время больше допустимого; либо выполняются требования по своевременности, но уровень достоверности снижается ниже допустимого.

Решением данной задачи является разработка алгоритмов обнаружения КА СОА ЛВС органов, способных своевременно с требуемой достоверностью обнаруживать их.

В работе основной акцент сделан на разработке алгоритмов обнаружения КА СОА ЛВС органов и научно-технических предложений по их практической реализации.

Существенные научные результаты работы:

1) Модель функционирования СОА ЛВС органов, включающая модели процессов приема пакетов, предварительных решений, сборки файлов и поиска признаков в словаре признаков, отличающаяся возможностью расчета значений относительного времени пребывания пакетов в элементах СОА в условиях максимального входного трафика, позволяющая адекватно отображать процессы обнаружения КА.

2) Алгоритмы обнаружения компьютерных атак СОА ЛВС органов, включающие совокупность структурно-статистических способов обнаружения признаков КА, отличающиеся адаптивностью к поиску признаков в словаре признаков; обоснованностью и оперативностью выбора ошибок первого и второго рода в статистических решениях при обнаружении КА, позволяющие повысить своевременность обнаружения КА.

3) Научно-технические предложения по реализации алгоритмов обнаружения КА СОА ЛВС органов, позволяющие на практике повысить эффективность обнаружения КА.

В совокупности научные результаты представляют собой решение сформулированной выше научной задачи, обусловленной противоречием между своевременностью и достоверностью обнаружения КА СОА ЛВС органов, посредством разработки алгоритмов обнаружения КА и научно-технических предложений по их практической реализации и позволяют достигнуть цели исследований.

Таким образом, полученная в работе совокупность научных результатов позволяет утверждать, что, во-первых, научная задача в теоретическом аспекте решена и цель исследований достигнута, во-вторых, использование на практике разработанных научно-технических предложений не только возможно, но и целесообразно; в-третьих, реальное применение полученных результатов в виде технического и программного обеспечения повысит эффективность обнаружения КА в условиях роста объема и сложности информации, поступающей в ЛВС органов.

В итоге отметим, что автор не претендует на полное и окончательное решение проблемы обнаружения К А СО А ЛВС органов. Дальнейшими направлениями исследований в данной проблемной области могут являться: 1) разработка структуры словарей признаков, позволяющей осуществлять поиск на основе использования хэш-функции; 2) разработка более детальных моделей процессов обнаружения К А СО А ЛВС органов; 3) изучение признакового пространства предметной области с целью выделения более «тонких» характеристик и параметров, через которые она проявляется; 4) разработка способов анализа и оценки информации в структурно-статистической метрике; 5) разработка способов анализа и оценки информации по семантике и т.д.

Дальнейшим развитием исследований вне рамок области обнаружения КА СОА ЛВС органов может быть разработка методов классификации (идентификации) состояний интенсивности входного трафика на основе применения математического аппарата интеллектуального анализа данных, в частности, многомерного статистического анализа; метода группового учета аргументов; анализа и прогноза на основе нейронных сетей и т.д.

Список литературы диссертационного исследования кандидат технических наук Денисенко, Виталий Дмитриевич, 2010 год

1. Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007. - 360 с.

2. Брэг Р., Родс-Оусли М., Страссберг К. Безопасность сетей. Полное руководство./ пер. с англ. М.: Издательство «ЭКОМ», 2006. - 912 с.

3. Девянин П.Н, Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. М.: Радио и связь, 2000. - 192 с.

4. Запечников C.B., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 1 Угрозы, уязвимости, атаки и подходы к защите. - М.: Горячая линия - Телеком, 2006. - 536 с.

5. Запечников C.B., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 Средства защиты в сетях. - М.: Горячая линия - Телеком, 2008. - 558 с.

6. Зима В., Молдовян А., Молдовян Н. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2003. - 368 с.

7. Липатников В.А., Стародубцев Ю.И., Защита информации. СПб.: ВУС, 2001.-348 с.

8. Лукацкий А. В. Обнаружения атак. СПб.: БХВ-Петербург, 2001. -624 с.

9. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. 3-е издание: Пер. с англ. М.: Издательский дом "Вильяме", 2003.

10. Тараскин M. М., Денисенко В. Д. Обзор результатов ряда исследований по проблеме обнаружения компьютерных атак. VIII Межведомственная конференция «Научно-техническое и информационное обеспечение спецслужб» М.: 2010

11. Шиффман Майк. Защита от хакеров. Анализ 20 сценариев взлома. : Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 304 с.

12. Закон РФ «О безопасности», № 15 ФЗ от 07.03.2005.

13. Закон РФ «О государственной тайне», № 122 ФЗ от 22.08.2004.

14. Закон РФ «О персональных данных», № 152 ФЗ от27.07.2006.

15. Доктрина информационной безопасности. От 9 сентября 2000 г. №ПР 1895

16. Закон РФ «Об информации, информационных технологиях и защите информации», № 149 ФЗ от 27.07.2006.

17. Послание Президента РФ Федеральному собранию. 2010.

18. Лось В. П., Белов Е. Б., Мещеряков Р. В., Шелупанов А. А. Основы информационной безопасности. Учебное пособие для вузов / -М.: Горячая линия Телеком, 2006. - 544 с.

19. Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах. М.: Горячая линия -Телеком, 2001.- 148 с.

20. Дорошенко И. Н. Повышение производительности систем выявлениявторжений. Диссертация - Пенза.: ПГУ, 2008.

21. Гамаюнов Д. Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов. Диссертация - М.: МГУ, 2007.

22. Жульков Е. В. Построение модульных нейронных сетей для обнаружения класса сетевых атак. Диссертация - СПб.: СПб ГПУ, 2007.

23. Сыпин А. А. Модель и методика обнаружения несанкционированных действий и атак в сетях TCP/IP. Диссертация - Тула.: ТГУ, 2006.

24. Дружинин Е. JL Разработка методов и программных средств выявления аномальных состояний компьютерной сети. — Диссертация М.: МИФИ, 2005.

25. Тарасюк М. В. Защищенные информационные технологии. Проектирование и применение. М.: Солон-Пресс, 2004. - 192 с.

26. Максимов Р. В. Защита абонентских пунктов воинских частей (учреждений) от компьютерной разведки. Диссертация. - СПб.: ВУС, 2002. -213 с.

27. Федяков Е. Г. Защита информации в локальных вычислительных сетях воинских частей и учреждений от несанкционированного воздействия. Диссертация. - СПБ.: ВУС, 2004. - 195 с.

28. Подлигалин С. Н. Защита локальных вычислительных сетей воинских частей (учреждений) от компьютерной разведки. Диссертация. -СПб.: ВАС, 2005.-с.

29. Бочков М. В. Теоретические основы адаптивной защиты информации в вычислительных сетях от несанкционированного доступа. Монография. Под редакцией С. П. Бушуева и В. Ф. Комаровича - Орел: Академия Спецсвязи России, 2004. - 224 с.

30. ГОСТ 34.003 90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения, 1990.

31. ГОСТ Р 17799 2005. Информационная технология. Практические правила управления информационной безопасностью, 2005.

32. Алгулиев Р. М. Угрозы корпоративным сетям и формализация их отношений с системами защиты. Баку: АзНИИ НТИ, 2000.

33. Гетманцев A.A., Липатников В.А., Плотников A.M., Сапаев Е.Г. Безопасность ведомственных информационно-телекоммуникационных систем. Под редакцией В.А. Липатникова. СПб.: ВАС, 1997. - 200 с.

34. Губарев В. А., Крутских П. П. Концептуальная модель конфликта в информационной борьбе // Радиотехника, 1998. № 6. - с. 29-31.

35. Шевцов В. А. Информационное противоборство как крайнее проявление конфликта в информационном пространстве // Радиотехника, 2001. № З.-с. 87-93.

36. Защита от несанкционированного доступа к информации. Термины и определения. М.: Материалы Гостехкомиссии, 1992. - 12 с.

37. Гриняев С. Н. Интеллектуальное противодействие информационному оружию. М.: СИНТЕГ, 1999. - 232 с.

38. Осипов В. Ю. Концептуальные положения программного подавления39

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.