Модель и методика обнаружения несанкционированных действий и атак в сетях ТСР/IP тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат технических наук Сыпин, Алексей Александрович

В настоящее время существует множество ИС со сложной структурой, большим числом элементов и информационных связей, чаще всего находящихся в общем информационном пространстве. Из-за подверженности ИС внутренним и внешним угрозам, несовершенству их реализации, а также высокой стоимости хранящейся и обрабатываемой в них информации возникает задача обеспечения информационной безопасности ИС. Она осложняется тем, что устранение большинства угроз ИС требует усовершенствования их отдельных элементов, что не всегда возможно ввиду их закрытости и сложности (ОС, драйверы, ПО сторонних обработчиков).

Так как не всегда возможны изменение или замена одних элементов ИС на другие в силу различных причин и ограничений, то для решения задачи обеспечения информационной безопасности ИС необходимо внесение изменений в структуру ИС. Это можно сделать путем добавления новых элементов, удаления или замены старых на более надежные и безопасные, если такое возможно, и изменения информационных связей между элементами ИС. Основной задачей таких изменений будет устранение или минимизация влияния внутренних и внешних угроз информационной безопасности ИС, вносимых всеми ее элементами.

Актуальность темы. Частично решить задачу обеспечения информационной безопасности ИС позволяют появившиеся сравнительно недавно СОА. Однако недостаточное развитие математических основ технологии обнаружения атак не позволяет разрабатывать по-настоящему эффективные модели и методы обнаружения большинства видов несанкционированных действий и атак в сети ИС. Этим объясняется актуальность исследования в этой области.

Попыткой систематизации знаний в области обнаружения сетевых атак являются работы Лукацкого А.В., обобщенные в книге «Обнаружение атак» [54], согласно которым «большинство существующих методов основано на личных предпочтениях разработчиков СОА либо па достижениях в смежных областях; под разработанные средства и механизмы пока не подведен научный базис, что не позволяет подтвердить или опровергнуть эффективность предлагаемых решений». Анализ принципов работы современных СОА подтверждает эти выводы. Мало внимания уделено проблеме обнаружения сложных атак, осуществляемых путем параллельной реализации нескольких видов атак, выявляемых с использованием методов математической статистики. Несмотря на возрастающую с каждым днем сложность политики безопасности ИС, в современных СОА практически не учитывается проблема обнаружения несанкционированных действий в сети. В связи с этим очевидна актуальность задачи разработки математической модели обнаружения несанкционированных действий и атак в сети, позволяющей учесть как известные сетевые атаки, так и политику безопасности ИС. Для использования модели в математическом программном обеспечении необходимо разработать методику обнаружения несанкционированных действий и атак в сети. Под политикой безопасности будем понимать совокупность норм и правил, регламентирующих процесс обработки информации в ИС, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а ииогда и достаточное) условие безопасности системы. Формальное выражение политики безопасности будем называть моделью политики безопасности.

Анализ существующих подходов к определению надежности ПС выявил их обобщенность и универсальность, что не всегда позволяет учесть особенности функционирования отдельных классов ПС. Так, например, методика, предложенная в ГОСТ 28195-89 [12], не учитывает особенностей СОА, требует проведения большого числа экспертных оценок на разных фазах разработки и эксплуатации ПС и базируется на сравнении с некоторым эталоном. Так как для оценки надежности СОА не всегда можно найти эталон и необходимо учитывать особенности ее функционирования, то становится актуальной задача разработки методики оценки надежности функционирования СОА. Для решения этой задачи необходимо разработать систему критериев и показателей надежности СОА, учесть относительную важность критериев и минимально допустимые уровни показателей надежности.

Объектом исследования являются программные средства обнаружения несанкционированных действий и атак в сети.

Предметом исследования являются характеристики ПС обнаружения несанкционированных действий и атак в сети и методы оценки надежности функционирования СОА.

Цель и задачи диссертации. Целью является повышение надежности обнаружения несанкционированных действий и атак в сети путем использования специальной математической модели политики безопасности и методики обнаружения, позволяющих выявлять как сетевые атаки, так и нарушения политики безопасности ИС.

Для достижения указанной цели поставлены и решены следующие задачи:

1. Анализ методов осуществления сетевых атак для выбранного стека протоколов, а также существующих технологий и методов их обнаружения с целью определения характеристик событий ИС, влияющих на надежность обнаружения сетевых атак.

2.Анализ существующих моделей политики безопасности с целыо определения характеристик событий ИС, влияющих на надежность обнаружения несанкционированных действий в сетях на основе выбранного стека протоколов.

3. Разработка модели политики безопасности обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов, совокупности норм и правил, регламентирующих процесс обработки информации в ИС.

- 104. Разработка методики обнаружения несанкционированных действий и атак в сетях на основе выбранного стека протоколов с использованием впервые предложенной математической модели политики безопасности.

5. Анализ возможности использования существующих методик оценки надежности ПС применительно к СОА.

6. Разработка системы критериев и показателей надежности СОА.

7. Разработка методики оценки надежности функционирования СОА, учитывающей относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

8. Разработка программного пакета «Система обнаружения несанкционированных действий и атак», позволяющего обнаруживать несанкционированные действия и атаки в сетях на основе выбранного стека протоколов, задавать правила обнаружения, вести журнал регистрации событий.

Методы исследования. В качестве основного инструмента теоретического исследования использовались методы функционального анализа, линейной алгебры, теории вероятностей и математической статистики, защиты информации.

Научная новизна. В диссертационной работе получены следующие новые научные результаты:

1.Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях па основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса позволяет выявлять сложные атаки и несанкционированные действия.

2.Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности.

3.Разработана система критериев и показателей надежности СОА, учитывающая особенности функционирования рассматриваемого класса ПС.

4.Разработана методика оценки надежности функционирования СОА, учитывающая относительную важность разработанных критериев и минимально допустимые уровни показателей надежности.

Общие модели политики безопасности были разработаны ранее (дискреционная модель Харрисона-Руззо-Ульмана, типизированная матрица доступа, мандатная модель Белла и Ла Падулы, ролевая модель безопаснос ти и т. д.), а впервые предложенная модель послужила их дальнейшим развитием применительно к процессу обнаружения несанкционированных действий и атак в сети.

На защиту выносятся следующие основные результаты:

- предикатная математическая модель безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС;

- методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP;

- методика оценки надежности функционирования СОА.

Достоверность полученных результатов подтверждена корректным использованием методов функционального анализа, операционного исчисления, линейной алгебры, теории вероятностей и математической статистики, защиты информации. Разработка алгоритмов и программ осуществлялась на основе объектно-ориентированного подхода к организации данных и методов их обработки.

Экспериментальное подтверждение эффективности предложенных модели и методик получено путем их применения в пакете программ для контроля безопасности сетевой среды ряда организаций.

Практическая ценность работы. Разработанные математическая модель безопасности и методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, позволяют расширить функциональные возможности задания правил обнаружения сетевых атак и нарушений политики безопасности, а их использование в СОА позволяет повысить надежность ее функционирования.

Разработанная методика оценки надежности функционирования СОА позволяет учесть относительную важность предложенных критериев и минимально допустимые уровни показателей надежности.

Программная реализация разработанных модели и методик отличается компактным программным кодом.

Реализация и внедрение результатов работы. Разработанные модель политики безопасности и методики были программно реализованы в пакете программ «Система обнаружения несанкционированных действий и атак».

Прикладные результаты данной работы внедрены автором в рамках научно-технического сотрудничества для контроля безопасности сетевой среды в ООО «Омега» (г. Тула), ООО «Леке» (г. Тула), ООО «Экосталь» (г. Тула), ООО «Мегатаб» (г. Рязань), ООО «Мегатрейд» (г. Калуга). Для каждой ИС разрабатывались группы разрешающих и запрещающих правил политики безопасности, проводились настройка и тестирование разработанного пакета в рабочем режиме. В результате удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (Attack Detection Plug-In) и Sourcefire Snort 2.6.0.2).

Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

Апробация работы. Результаты исследования докладывались и обсуждались на студенческих конференциях и семинарах ТулГУ, а также на следующих научно-технических и научно-практических конференциях: Всероссийской научно-практической конференции «Проблемы информатизации образования» в 2001 г. (г. Тула), Третьей региональной научно-практической конференции «Проблемы качества подготовки студентов в системе открытого образования» в 2002 г. (г. Калуга), Межрегиональной научно-практической конференции «Информационные ресурсы как фактор социально-экономического развития региона» в 2003 г. (г. Тула), Межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» в 2003, 2004, 2005, 2006 гг. (г. Тула), XLII Всероссийской конференции по проблемам математики, информатики, физики и химии в 2006 г. (г. Москва).

Публикации. По результатам исследований опубликовано 13 работ, в том числе 7 статей и 6 тезисов докладов.

Структура и объем диссертации. Диссертационная работа изложена на 150 страницах и состоит из введения, четырех глав, заключения и приложений на семи страницах. Библиографический список включает в себя 121 наименование. Работа содержит 18 рисунков и 58 таблиц.

4.4 Выводы

1. Разработан программный пакет «Система обнаружения несанкционированных действий и атак», который позволяет задать модель политики ИБ конкретной ИС, обнаруживать несанкционированные действия и атаки в сети, вести журнал регистрации событий, собирать экспериментальные данные, включающие характеристики событий ИС и описание их соответствия политике информационной безопасности.

2. Экспериментально проведены функциональное тестирование и сравнение возможностей выбранных прототипов СОА и разработанного пакета, которое позволило сравнить их основные возможности. Показано, что для разработанного пакета надежность обнаружения атак и несанкционированных действий в исследованных ИС превосходит эти средства, а группы правил обнаружения имеют более простую структуру и меньшую сложность.

3. Показано, что надежность обнаружения некоторых видов атак в различных ИС существенно зависит от учета в правилах особенностей ИС. Это особенно актуально для атак, выявляемых с использованием статистических методов. Для этих видов атак нет универсального для всех ИС порога срабатывания правил обнаружения, превышение которого позволяло бы выявить атаку. Разработанный пакет, благодаря возможности группировки правил и учету частотных характеристик сетевого вычислительного процесса, выгодно отличается от других СОА и позволяет обнаруживать сложные атаки и несанкционированные действия.

4. Сравнение надежности обнаружения несанкционированных действий и атак в сети с помощью созданной системы обнаружения атак и выбранных прототипов показало, что разработанная методика обнаружения имеет более высокую надежность и эффективность, а также позволяет расширить функциональные возможности задания правил обнаружения атак и нарушений политики безопасности ИС, позволяя использовать группы правил.

5. Для одноранговых сетей на базе ОС Windows 2000/ХР были получены простые группы правил обнаружения, которые позволили повысить надежность выявления несанкционированных действий и атак из сети Интернет в среднем на 25 % по сравнению с использовавшимися ранее средствами.

6. Для ИС с доменной структурой была разработана более сложная система групп правил, позволившая повысить надежность выявления несанкционированных действий от 35 % до 40 % в зависимости от сложности принятой в ИС политики информационной безопасности.

7. В результате внедрения разработанной системы обнаружения атак для осуществления контроля безопасности сетевой среды (см. акты внедрения в приложениях 2-6) удалось повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 % по сравнению с использовавшимися ранее в ИС средствами (Agnitum Outpost Firewall Pro 4.0.964.6926 (582) (Attack Detection Plug-In) и Snort 2.6.0.2).

ЗАКЛЮЧЕНИЕ

В целом по диссертационной работе можно сформулировать следующие основные выводы и результаты.

1. Показано, что технологии и методы обнаружения сетевых атак, используемые в современных СОА, слабо учитывают политику безопасности ИС и позволяют обнаруживать только общеизвестные атаки без учета возможных несанкционированных действий в сети.

2. Разработана предикатная математическая модель политики безопасности обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP, совокупности норм и правил, регламентирующих процесс обработки информации в ИС, которая, благодаря группировке правил обнаружения и учету частотных характеристик сетевого вычислительного процесса, позволяет выявлять сложные атаки и несанкционированные действия.

3. Разработана методика обнаружения несанкционированных действий и атак в сетях на основе стека протоколов TCP/IP с использованием впервые предложенной математической модели политики безопасности, позволяющая расширить функциональность и повысить надежность и быстродействие СОА.

4. Показано, что существующие методики оценки надежности функционирования ПС недостаточно учитывают особенности СОА и требуют наличия программы-эталона.

5. Разработана система критериев и показателей надежности СОА, учитывающая особенности функционирования рассматриваемого класса ПС.

6. Разработана методика оценки надежности функционирования СОА, учитывающая относительную важность введенных критериев и минимально допустимые уровни показателей надежности.

- 1337. Разработан программный пакет «Система обнаружения несанкционированных действий и атак», позволяющий обнаруживать несанкционированные действия и атаки в сетях на основе стека протоколов

TCP/IP, задавать правила политики безопасности, вести журнал регистрации событий. Это позволило повысить надежность обнаружения несанкционированных действий и атак в среднем на 31 %.

8. Разработанные модель политики безопасности и методики внедрены в пяти ИС для осуществления контроля безопасности сетевой среды. Теоретические результаты работы внедрены в учебных курсах кафедры «Электронные вычислительные машины» Тульского государственного университета по дисциплинам: «Теоретические основы компьютерной безопасности», «Программирование на языке высокого уровня».

1. Агеев А. Д. Нейрокомпьютеры и их применение. Кн. 6. Нейроматематика / Учеб. пособие для вузов / Агеев А.Д., Балухго А.Н., Бычков А.В. и др.; Общая ред. Галушкина А.И. М., 2002.

2. Бармен С. Разработка правил информационной безопасности. / Пер. с англ. М., 2002.

3. Браун Д. Интерактивный анализ компьютерных преступлений. // Браун Д., Гундерсон Л., Эванс М. / Открытые системы, 2000. - № 11, С. 40-49.

4. Вакка Дж. Секреты безопасности в Internet. Киев, 1997.

5. Васильев В.И. Применение нейронных сетей при обнаружении атак на компьютеры в сети Internet (на примере атаки SYNFLOOD). // Васильев В.И., Хафизов А.Ф. / Нейрокомпьютеры: разработка и применение, 2001.-№4-5,-С. 108-114.

6. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия, М., 1996.

7. Гайкович В. Безопасность электронных банковских систем. / Гайкович В., Першин А. М., 1993.

8. Галатенко А.В. Активный аудит. // Галатенко А. В. / Jetlnfo, -1999.-№ 8.

9. Галатенко А.В. О применении методов теории вероятностей для решения задач информационной безопасности. // Галатенко А.В. / Вопросы кибернетики, РАН, НИИСИ, М., 1999.

10. Гаценко О.Ю. Защита информации. Основы организационного управления, СПб., 2001.

11. Гольдштейн Б.С. Протоколы сети доступа. Том 2 (2-е издание). -М., 2001.

12. ГОСТ 28195-89. Методика оценки качества программных средств, -1989.- 13513. ГОСТ Р ИСО/МЭК 12119-2000. Информационная технология. Пакеты программ. Требования к качеству и тестирование. 2000.

13. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1 Введение и общая модель. -2002.

14. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2 Функциональные требования безопасности. - 2002.

15. Гриняев С.Н. Интеллектуальное противодействие информационному оружию. М., 1999.

16. Губенков А.А. Информационная безопасность, М., 2005.

17. Джей Бил Short 2.1. Обнаружение вторжений, М., 2006.

18. Евстафиди С.П. Нейросетевой подход к формированию баз знаний динамических экспертных систем защиты информации. // Евстафиди С.П., Феник Е.В. / Материалы научно практической конференции «Информационная безопасность», ТРТУ, - Таганрог, 2002. - С.119-121.

19. Ерхов Е. Сценарии атак на банковские системы в сети Internet. // Ерхов Е. / Аналитический банковский журнал, 1998, № 7.

20. Жданов А.А. Моделирование высшей нервной деятельности // Жданов А.А. / Наука и жизнь, 2000. - № 1, - С. 58-64.

21. Жданов А.А. Об одном имитационном подходе к адаптивному управлению. // Жданов А.А. / Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика» РАН, -М, 1996.-С. 171-206.

22. Жданов А.А. Формальная модель нейрона и нейросети в методологии автономного адаптивного управления. // Жданов А.А. / Сборник «Вопросы кибернетики». Научный совет по комплексной проблеме «Кибернетика», РАН. М.,1997. Выпуск 3, -с. 258-274.

23. Зайцев О.В. ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита, СПб., 2006.

24. Зегжда П.Д. Теория и практика информационной безопасности. / под ред. Зегжды П.Д. М., 1996.

25. Ильин А.А., Сыпин А.А. Автоматизированная обучающая система с поддержкой ЛВС // Материалы Всероссийской научно-практической конференции «Проблемы информатизации образования» (Тулаинформ -2001). Тула: ТулГУ, 2001. С. 89 - 91

26. Ильин А.А., Сыпин А.А. Архитектура систем интеллектуального обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2004). Тула: ТулГУ, 2004. С. 40 - 41.

27. Ильин А.А., Сыпин А.А. Системы искусственного интеллекта в задачах обнаружения и классификации объектов // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2003). Тула: ТулГУ, 2003. С. 8-9.

28. Казенное В.Н. Защита от троянских коней в Windows 9х. // Казенное В.Н. / Конфидент, 2000. - № 6.

29. Касперски К. Техника и философия хакерских атак- М. 2004.

30. Касперски К. Техника сетевых атак. Приемы противодействия. Том 1, -М„ 2001.

31. Касперски К. Фундаментальные основы хакерства. М. 2004.

32. Кеммерер Р. Обнаружение вторжений: краткая история и обзор. // Кеммерер Р., Виджна Дж. / Открытые системы, 2002. - № 07-08.

33. Конев И.Р. Информационная безопасность предприятия / Коиев И.Р., Беляев А.В. СПб., 2003.

34. Коэн Фред. 50 способов обойти систему обнаружения атак / Пер. с англ. Лукацкого А.В., http://www.infosec.ru/themes/default/publication.asp? folder=1988&matID=l 699

35. Курушин В.Д. Компьютерные преступления и информационная безопасность. / Справочник / Курушин В. Д., Минаев В.А., М., 1998.

36. Левин М. Библия хакера, М., 2006.

37. Левин М. Введение в хакинг, М., 2005.

38. Леонов А.П. Безопасность автоматизированных банковских и офисных систем. / Леонов А.П., Леонов К.А., Фролов Г.В. Минск, 1996.

39. Локхарт Э. Антихакинг в сети. Трюки, СПб., 2005.

40. Лукацкий А.В. «Аномальные решения» — новый подход в обнаружении атак, http://www.cnews.ru/reviews/free/security2004/world/

41. Лукацкий А.В. Атаки на операторов связи миф или реальность // Лукацкий А.В. / PCWeek/RE, - 2002, - № 21.

42. Лукацкий А.В. Вирусы на службе силовых ведомств // Лукацкий А.В. / PCWeek/RE, 2002, - № 4.

43. Лукацкий А.В. Мир атак многообразен // Лукацкий А.В. / Сетевой, -2001,-№ 11.

44. Лукацкий А.В. Мировой рынок систем обнаружения атак, http://www.cnews.ru/reviews/free/security/part2/

45. Лукацкий А.В. Можно ли в России создать свою систему обнаружения атак? // Лукацкий А.В. / PCWeek/RE, 2003, - № 23.

46. Лукацкий А.В. Новые грани обнаружения и отражения угроз // Лукацкий А.В. / Системы безопасности, связи и телекоммуникаций, -2000, № 36.

47. Лукацкий А.В. Обнаружение атак. 2-е изд., перераб. и доп. -СПб., 2003.

48. Лукацкий А.В. Распределенные атаки: миф или реальность? // Лукацкий А.В. / PCWeek/RE, 2000, - № 5.

49. Лукацкий А.В. Рынок систем обнаружения атак в России http://www.cnews.ru/reviews/free/security/part3/detectrus.shtml

50. Лукацкий А.В. Рынок средств обнаружения и предотвращения атак. http://www.cnews.ru/reviews/free/security2005/articles/prevention.shtml

51. Лукацкий А.В. Сетевая контрразведка как обнаружить сканирование узлов и портов. // Лукацкий А.В. / BYTE, - 2001, - № 5.

52. Лукацкий А.В. Системы обнаружения атак // Лукацкий А.В. / Сетевой, -2002, № 4.

53. Лукацкий А.В. Технологии обнаружения и предотвращения атак. http://www.cnews.ru/reviews/free/security/part8/

54. Львов В.А. Проблемы внедрения и оценки качества средств и систем защиты информации при ее компьютерной обработке. // Львов В.А., Шеин А.В. / Безопасность информационных технологий. 1994. - № 1.

55. Мак-Клар Стюарт Секреты хакеров. Безопасность сетей готовые решения / Мак-Клар Стюарт, Скембрей Джоэл, Курц Джордж, М., 2004

56. Макклуре С. Секреты хакеров: проблемы и решения сетевой зашиты. / Макклуре С., Скембрей Д., Куртц Д. М., 2001.

57. Маркоф Д. Хакеры. / Маркоф Д., Хефнер К. Киев, 1996.

58. Медведовский И.Д. Атака из Internet / Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. 2002.

59. Медведовский И.Д. Атака на Internet / Медведовский И.Д., Семьянов П.В., Леонов Д.Г. 1999.

60. Медведовский И.Д. Атака через Интернет. / Медведовский И.Д., Семьянов П.В., Платонов В.В. 1997.

61. Норткат С. Обнаружение нарушений безопасности в сетях. / Норткаг С., Новак Дж. / Пер. с англ. М., 2003.

62. Овчаров А.С. Экспертные системы в технологиях защиты информации. // Овчаров А.С., Дорошенко И.Н. /Материалы научно-технической конференции «Информационная безопасность автоматизированных систем». Воронеж, 1998. - С. 285-294.

63. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы. / Олифер В.Г. Олифер Н.А. СПб., 1999.

64. Правиков Д.И. Об одном подходе к поиску программных закладок. // Правиков Д.И., Чибисов В.Н. / Безопасность информационных технологий, 1995. - № 1.

65. Пружинин А.В. Построение системы безопасности информации корпоративной сети. // Пружинин А.В. / Материалы конференции АДЭ «Электронное ведение бизнеса в России путь к открытому глобальному рынку», - 2000.

66. Райан Джек Обнаружение атак с помощью нейросетей. / Райан Джек, Менг-Джанг Лин, Миккулайнен Ристо. / Пер. с англ. Лукацкого А.В., ЦаплеваЮ.Ю.- 1999.

67. Рамодин Д. Обзор технологий автоматического поиска ошибок. // Рамодин Д. / Компьютер-Пресс, 1996. - № 10.

68. Ранум Маркус. Обнаружение атак: реальность и мифы. / Пер. Лукацкого А. В.

69. Ребекка Бейс Введение в обнаружение атак и анализ защищенности / Пер. Лукацкого А., Цаплева В., http://bugtraq.ru/library/books/ icsa/index.html

70. Ричард Пауэр. Эксперты дискутируют о настоящем и будущем систем обнаружения атак. / Пер. Лукацкого А.В. / Computer Security Journal, vol. XIV, № 1.

71. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия РФ, 1992.

72. Руководящий документ. Защита от несанкционированного доступа. Часть I. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Гостехкомиссия России, 1999.

73. Симеон Г. Все под контролем: частная жизнь под угрозой / Пер. Мяснянкина В., http://bugtraq.ru/library/books/dbnation/index.html

74. Стерлинг Б. Охота на хакеров. Закон и беспорядок на электронном пограничье, http://bugtraq.ru/library/books/crackdownrus/index.html

75. Столингс В. Криптография и защита сетей. Принципы и практика, 2-е издание, М., 2002.

76. Сыпин А.А. Идентификация сетевых атак // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системыуправления. Вып. 1. Вычислительная техника. Тула: ТулГУ, 2005. С.151 - 155.

77. Сыпин А.А. Использование нейронных сетей для обнаружения атак // Материалы межрегиональной научно-технической конференции «Интеллектуальные и информационные системы» (Интеллект-2005). -Тула: ТулГУ, 2005. С. 53 54.

78. Сыпин А.А. Математическая модель информационных потоков клиентской вычислительной системы // XLII Всероссийская конференция по проблемам математики, информатики, физики и химии: тез. докл. секции математики и информатики. М.: Изд-во РУДН, 2006. С. 38.

79. Сыпин А.А. Методика оценки надежности систем обнаружения атак // Известия ТулГУ. Серия Вычислительная техника. Информационные технологии. Системы управления. Вып. 1. Вычислительная техника. -Тула: ТулГУ, 2006. С. 141 147.

80. Фисенко Л.И. Особенности национальной СИБ // Фисенко Л.И. / ИнформКурьер-Связь, 2007/ - №1.

81. Фисенко Л.И. Системы защиты: фокус на комплексные решения // Фисенко Л.И./ Экспресс Электроника 2005. - № 6, С. 93-96.

82. Черней Г.А. Безопасность автоматизированных информационных систем. / Черней Г.А., Охрименко С.А., Ляху Ф.С. 1996.

83. Чирилло Дж. Обнаружение хакерских атак. СПб, 2002.

84. Chuguev K.V. Multilanguage and Multicharset Web Server. // INI-T96 Proceedings. Monreal, Canada, 1996. - Pp. 208 - 225.

85. Coar K., Robinson D. The WWW Common Gateway Interface Version 1.1. IBM Corp., 1999.

86. Computer Incident Response Guidebook. Module 19. Information Systems Security (INFOSEC). Program Guidelines. Department of the NAVYNAVSO, 1996.

87. Computer Security Incident Handling, Step by Step. SANS Institute, 2000.

88. Fox K.L. A Neural Network Approach towards Intrusion Detection. // Fox K.L., Henning R.R., Reed J.H. and Simonian R.P. / In Proceedings of the 13th National Computer Security Conference, 1990. - Pp. 273-279.

89. Geva S. Progress in supervised neural networks // Geva S., Sitte J. / IEEE Trans. N.N., Vol.3., 1992. - Pp. 49-67.

90. Graham R. FAQ: Network Intrusion Detection Systems.

91. Gybenko G. Cognitive Hacking : A Battle for the Mind. // Gybenko G., Giani A., Thompson P. / Computer Security, 2002. - № 8, - Pp. 50-56.

92. Haykin S. Neural networks, a comprehensive foundation. 1994.

93. Hecht-Nielsen R. Neurocomputing. Amsterdam, 1991.

94. Hecht-Nielsen R., Counterpropagation Networks // Proceedings of the IEEE First International Conference of Neural Networks. 1987. - Pp. 19-32.

95. Hertz J. Introduction to the Theory of Neural Computation. / Hertz J., Krogh A., Palmer R.G. 1991.

96. Hofmeyr S. Intrusion Detection Using Sequences of System Calls. // Hofmeyr S., Forrest S., Somayaji A. / Journal of Computer Security, 1998. -№6-Pp. 151-180.

97. Hornik K. Multilayer feedforward networks are universal approximators // Hornik K., Stinchcombe ML, White H. / Neural Networks, 1989. -Pp. 359-366.

98. Householder A. Computer Attack Trends Challenge Internet Security. // Householder A., Houle K., Dougherty Ch. / Security & Privacy, 2002. -Pp. 5-7.

99. Howard Jh.D. A Common Language for Computer Security Incidents. / Howard Jh.D., Longstaff T.A., Sandia National Laboratories. 1998.

100. Howard Jh.D. An Analysis Of Security Incidents On The Internet. 19891995, http://www.cert.org

101. Jain A.K. Artificial Neural Networks. // Jain A.K., Mao J., Mohiuddin K.M. / A Tutorial. Computer, Vol.29, 1996. - № 3, - Pp.31-44.

102. Joyce Ch. Intrusion Detection System. Overview and Concepts. http://www.cc.gatech.edu/people/home/cjoyce/intrusion-detection.pdf

103. Khafizov A. Intrusion detection in WEB technology using neural networks. // Proceedings of the 3rd International Workshop on Computer Science and Information Technologies CSIT'2001. Ufa, Russia, 2001. - Pp. 191-194.

104. Kohonen T. Self- organizing maps. Berlin, 1995.

105. Lichodzijewski P. Host-Based Intrusion Detection Using Self-Organizing Maps. // Lichodzijewski P., Zincir-Heywood A.N., Heywood M.I. / Proceedings IEEE

106. Loris Degioanni. Development of an Architecture for Packet Capture and Network Traffic Analysis.

107. Network Based Intrusion Detection. A review of technologies, www.denmac.com

108. RFC 2236 Internet Group Management Protocol, Version 2, http://www.ietf.org/rfc/rfc2236.txt

109. RFC 768 User Datagram Protocol, http://www.ietf.org/rfc/rfc768.txt

110. RFC 791 Internet Protocol, http://www.ietf.org/rfc/rfc791.txt

111. RFC 792 Internet Control Message Protocol, http://www.ietf.org/rfc/rfc792.txt

112. RFC 793 Transmission Control Protocol, http://www.ietf.org/rfc/rfc793.txt

113. RFC 826 An Ethernet Address Resolution Protocol, http://www.ietf.org/rfc/rfc826.txt

114. Snort Users Manual. http://www.snort.org/docs/snorthtmanuals/ htmanual 261/