Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ тема диссертации и автореферата по ВАК РФ 05.13.06, кандидат технических наук Монахов, Юрий Михайлович

Совершенствование интегративных процессов в АСУ, связанных с информационным взаимодействием АСУП и АСУТП порождает проблему обеспечения функциональной устойчивости интегрированной системы. Одной из составляющих такого процесса является обнаружение аномалий в работе ее информационной инфраструктуры - корпоративных информационно-вычислительных систем (КРИВС), как отклонений от нормального поведения АСУ. Наиболее значимыми аномалиями здесь являются нештатные ситуации в функционировании и перегрузки в каналах передачи данных. Это обусловлено многими факторами, но наиболее существенными считаются преднамеренные несанкционированные информационные воздействия

Наиболее существенным типом таких воздействий являются сетевые DoS-атаки и вредоносные программы (ВП). Именно они (даже с современной системой защиты) способны блокировать функционирование КРИВС, и соответственно АСУ. Способы реализации DoS-атак весьма разнообразны и постоянно расширяются. «Эпидемия» способна не только блокировать КРИВС, но и физически уничтожить ресурсы. До сих пор остаются актуальными и сложно решаемыми проблемы раннего обнаружения DoS-атак и прогнозирования катастрофических ситуаций в КРИВС, связанных с вирусными программами (в случае их оперативного необнаружения и невозможности уничтожения).

Частично проблема решается системами обнаружения и противодействия несанкционированным информационным вторжениям (атакам), как составной части комплексной системы защиты информации АСУ. Но все известные решения в лучшем случае лишь фиксируют факт свершившейся атаки, «узнаются» (и отражаются) воздействия только известных вирусов, червей и «троянцев». Практически нет механизмов предсказания появления атаки и динамики ее распространения по компонентам КРИВС.

Адекватная модель распространения ВП будет способствовать лучшему пониманию процессов тотального поражения КРИВС, позволит предсказать зарождение катастрофической ситуации, а, значит, выработать необходимое противодействие.

Известные модели распространения ВП не учитывают ряд факторов, имеющих место в КРИВС, например, сильную зависимость от маршрутной таблицы, изменяемость скорости поражения в связи с выходом из сгроя ро-утеров или динамическое противодействие системных средств и пользователей. Весьма малочисленные попытки построения таких моделей для Интернет, содержащей сотни тысяч вычислительных машин, не применимы по многим причинам для КРИВС и не нашли экспериментального подтверждения.

Формальные методы обнаружения и предсказания DoS-атак практически отсутствуют для широкого использования в реальных системах. В настоящее время среди специалистов сложилось четкое убеждение в том, что анализ информационного сетевого потока является наиболее эффективным методом обнаружения аномального поведения распределенной вычислительной системы по причине его большой информативности и потенциальной возможности реагирования в реальном масштабе времени. Поэтому наиболее перспективные исследования в настоящий момент направлены на разработку способов и процедур обнаружения атак, основой которых является изучение влияния вредоносного воздействия на характеристики сетевого трафика.

Результаты ряда исследований .показали, что в отдельных случаях трафик является по своей природе самоподобным (self-similar), или фрактальным. При таком трафике системные характеристики не подчиняется формулам анализа очередей, а имеют место большие задержки и снижение пропускной способности. Такое поведение трафика чувствительно к малейшим возмущениям, несмотря на то, что описывается простыми и детерминистическими уравнениями. Рассмотрение TCP-трафика с позиций теории хаоса дает возможность учитывать корреляции потоков и предоставляет ту же сложную картину сети, которая наблюдается и в реальности.

В настоящее время достоверно неизвестно, что в точности вызывает хаотическое поведение TCP-трафика, соответственно неизвестно как данная модель может быть применима в общем случае.

Объект исследования - распределенная информационно - вычислительная среда интегрированной АСУ промышленного предприятия.

Цель работы - повышение защищенности информационного обеспечения распределённой информационно-вычислительной среды интегрированной АСУ путём разработки, исследования и практической реализации новых моделей и алгоритмов обнаружения и предсказания ее аномального функционирования в условиях несанкционированных информационных воздействий.

Для достижения поставленной цели в работе решены следующие задачи:

1. Проанализированы факторы, вызывающие аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий, выявлены современные подходы к автоматизации их обнаружения.

2. Разработаны модели распространения вредоносных программ в распределенной информационно-вычислительной среде интегрированных АСУ.

3. Разработана методика раннего обнаружения DDoS-атаки в распределенной информационно - вычислительной среде интегрированных АСУ.

4. Разработаны инструментальные средства автоматизации процессов исследования предложенных моделей и алгоритмов.

5. Проведён анализ эффективности предложенных механизмов в системах защиты информации корпоративных АСУ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КРИВС предприятий, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории графов, теории нелинейных динамических систем. При проектировании программных систем применен объектно-ориентированный подход.

Научные результаты, выносимые на защиту:

- модели распространения вредоносных программ, учитывающие системные характеристики КРИВС и параметры ВП, позволяющие прогнозировать тотальную эпидемию в системе;

- модель DDoS-атаки, позволяющая воспроизводить несанкционированные информационные воздействия в распределенной вычислительной среде;

- методика предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС;

- структурная модель автоматизированной системы раннего обнаружения информационных атак в КРИВС с иерархической конфигурацией взаимодействия мониторов входящего и исходящего трафика.

Научная новизна работы:

1. Разработано семейство аналитических и программных моделей распространения вредоносных программ, учитывающих системные характеристики КРИВС и параметры ВП, позволяющие оперативно прогнозировать тотальную эпидемию в АСУ.

2. Предложена методика раннего обнаружения аномального поведения КРИВС, вызванного начавшейся DDoS-атакой, включающая:

- математическую модель DDoS-атаки на КРИВС;

- алгоритм предсказания DDoS-атаки на основе FARrMA-модели агрегированного трафика КРИВС;

- программное обеспечение, позволяющее автоматизировать процессы вычисления характеристик вредоносного сетевого потока.

3. Синтезированы модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Практическая ценность работы заключается в следующем:

1. Разработан лабораторный макет КРИВС, включающий аппаратные и программные средства и позволяющий выполнять лабораторные эксперименты с распространением вредоносных программ.

2. Разработано программное обеспечение, позволяющее

- выполнять симуляцию моделей распространения вредоносных программ в распределенной вычислительной среде;

- моделировать в КРИВС сетевой трафик в условиях DDoS-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

3. Разработана структура автоматизированной системы раннего обнаружения информационных атак в КРИВС.

Реализация результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом:

- г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»;

- х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»;

- №ДУ 55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований и их практической проработки были внедрены в АСУ ОАО «Завод «Электроприбор»» г.Владимир, АСУ Hi 111 «Инпро-ком» г.Балакирево, СПД Администрации Владимирской области, в учебном процессе во Владимирском государственном университете.

Апробация работы. Основные положения диссертационной работы докладывались на:

-1 и II Международной научно-практической конференции «Современные информационные технологии в образовательном процессе и научных исследованиях» (Шуя, 2004, 2007);

- Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005);

- XIX, XX и XXI Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008), экспонировались на межрегиональных выставках «Информационные технологии» и «Электронная губерния» (Владимир, 2005, 2006, 2007).

Публикации. Основные положения диссертационной работы отражены в 15 публикациях, включая в рекомендуемых ВАК изданиях.

Структура диссертационной работы:

В главе 1 рассматриваются проблемы информационного взаимодействия АСУП и АСУТП в интегрированной системе, анализируются методы и средства обеспечения защиты информационного обеспечения, выявляются наиболее существенные факторы, вызывающие аномальное функционирование распределенной информационно - вычислительной среды интегрированных корпоративных АСУ, анализируются современные подходы к автоматизации их обнаружения и возможного противодействия. Уточняется задача исследования.

В главе 2 разрабатываются математические модели распространения ВП в КРИВС, исследуется влияние топологии распределенной информационно-вычислительной системы на распространение атакующих процессов, приводятся результаты симуляции и экспериментального исследования моделей

В главе 3 разрабатываются модели и процедуры анализа ТСР-трафика на основе теории нелинейных динамических систем (теории «хаоса»), предлагается методика раннего обнаружения информационной атаки, исследуется адекватность предложенных моделей.

В главе 4 разрабатываются механизмы и структурная модель типовой автоматизированной системы обнаружения ВП в КРИВС. На их основе предлагается ряд конструктивных мероприятий по повышению уровня обеспечения информационной безопасности КРИВС. Анализируются особенности практического внедрения средств раннего обнаружения аномального поведения КРИВС, зависящего от вредоносных информационных воздействий.

В заключении приводятся основные результаты диссертационной работы.

В приложении приведены акты внедрения разработок автора.

Основные выводы и результаты диссертационной работы:

1. На основе анализа факторов, вызывающих аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий выявлено, что эпидемии вредоносных программ и DDoS-атаки являются наиболее существенным фактором. Накопленный методологический и технический потенциал обнаружения, идентификации и противодействия данным угрозам явно неадекватен возможностям современных злоумышленников.

2. Предложено семейство аналитических моделей распространения ВП в КРИВС, отличающихся тем, что они учитывают как характеристики СЗИ и топологию КРИВС, так и параметры ВП. Модели позволяют прогнозировать время тотальной эпидемии (катастрофы) в системе. Разработано программное обеспечение, позволяющее выполнить симуляцию моделей и лабораторные эксперименты в вычислительной среде. Программная симуляция и натурные эксперименты эпидемий подтвердили адекватность предложенных аналитических моделей распространения ВП для КРИВС, атакуемой ВП.

3. Теоретическое и экспериментальное исследование подтвердило гипотезу о том, что в условиях DDoS-атак агрегированный сетевой трафик КРИВС становится персистентным и самоподобным, позволило разработать механизм раннего обнаружения аномального поведения КРИВС, вызванного начавшейся DDoS-атакой. Для достижения этого разработаны: математическая модель DDoS-атаки на КРИВС; алгоритм предсказания DDoS-атаки на основе FARIMA-модели агрегированного трафика КРИВС; программное обеспечение, позволяющее моделировать в КРИВС сетевой трафик в условиях DDoS-атак, вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

4. Разработаны модели и механизмы функционирования автоматизированной системы обнаружения вредоносного программного обеспечения в КРИВС, включающие:

- математическую модель принятия решений по обнаружению информационных атак в КРИВС, отличительной особенностью которой является возможность быстрой реакции и адаптации под конкретные условия применения, а также относительно малое число ложных срабатываний;

- структурную модель автоматизированной системы раннего обнаружения информационных атак в КРИВС, особенностью которой является иерархическая структура мониторов входящего и исходящего трафика, что позволяет повысить информативность анализируемых данных и оперативность принятия решений в СЗИ КРИВС.

5. Примеры эффективного апробирования механизмов и средств раннего обнаружения аномального поведения реальных КРИВС дают возможность констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и программных средств.

ЗАКЛЮЧЕНИЕ

1. Алексеев В.В. Влияние фактора насыщения на динамику системы хищник-жертва // Биофизика. 1973. - Т. 18. - Вып.5. - С.922-926.

2. Алешин Л.И. Защита информации и информационная безопасность: Курс лекций. М.: МГУК, 1999.- 176 с.

3. Анализатор Sniffer Pro LAN фирмы Sniffer Technologies // http://www.securitylab.ru/software/233623.php

4. Андреев Ю.В., Балабин A.M., Дмитриев А.А и др. Использование динамического хаоса в коммуникационных системах и компьютерных сетях // Препринт ИРЭ РАН. Москва. 2000. № 2 (626). 76 с.

5. Андреев Ю.В., Балабин A.M., Дмитриев А.А и др. Стратегии использования динамического хаоса в коммуникационных системах и компьютерных сетях. Разделение хаотического кодера и кодера канала // Зарубежная радиоэлектроника. 2000. № 1 Г. С. 4-26.

6. Арнольд В.И. Теория катастроф. Современные проблемы математики. Фундаментальные направления. М: ВИНИТИ, 1986. - Т.5. - С.219-277.

7. Артемов Д.В. Влияние компьютерных вторжений на функционирование вычислительных сетей М: Приор, 2001.

8. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого СПб.: СПбГУ ИТМО, 2004. - 161 с.

9. Бобров А. Системы обнаружения вторжений // www.icmm.ru/~masich/win/lecture.html. .

10. Бобров А.В., Масич Г.Ф. Подходы к реализации сетевой системы обнаружения вторжений на основе выявления аномального поведения // http://www.icmm.ru/PH/68789I5C.doc.

11. Брэгг Р., Родс-Оусли М., Страссберг К. Безопасность сетей. Полное руководство. М.: Эком, 2006. - 912 с.

12. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512 с.

13. Воголенок В. Исследование параметров телекоммуникационных сетей с учетом эффекта самоподобия. Рига: ООО «Латтелеком».

14. Вольтерра В. Математическая теория борьбы за существование.-М: Наука, 1976.-286 с.

15. Гайфуллин Б.Н., Обухов И.А. Автоматизированные системы управления предприятиями стандарта ERP/MRPII // М.: Богородский печатник. 2000. 237 с.

16. Гамаюнов Д. Ю., Качалин А. И. Обнаружение атак на основе анализа переходов состояний распределенной системы. // Искусственный интеллект, 2004, № 2. С.49-53.

17. Гамаюнов Д.Ю. Современные некоммерческие системы обнаружения атак// "Программные системы и инструменты": Тематический сборник факультета ВМиК МГУ им. Ломоносова N3, Под ред. Л.Н.Королева М.: Издательский отдел факультета ВМиК МГУ, 2002.

18. Гаскаров Д.В., Истомин Е.П., Кутузов О.И. Сетевые модели распределенных автоматизированных систем.- СПб.: Энергоатомиздат, 1998. -353 с.

19. Гошко С.В. Энциклопедия по защите от вирусов. М.: СОЛОН-Р, 2005. - 352 с.

20. Методы и модели информационного менеджмента: учеб. пособие / Д.В.Александров, А.В.Костров, Р.И.Макаров, Е.Р.Хорошева; под. ред. А.В.Кострова. -М: Финансы и статистика, 2007. 336 с.

21. Гукенхеймер Дж., Холмс Ф. Нелинейные колебания, динамические системы и бифуркации векторных полей. М. Иж.: ИКИ. 2002. - 560 с.

22. Гусева А.И. Технология межсетевых взаимодействий,- М.: Бином, 1997.-238 с.

23. Деменков Н.П. SCADA-системы как инструмент проектирования АСУТП // Приложение к журналу "Информационные технологии", 2002, № 11.

24. Дмитриев А. С., Панас А. И., Старков С. О. Динамический хаос как парадигма современных систем связи // Зарубежная радиоэлектроника. 1997. № 10.-С. 4-26.

25. Дмитриев А. С., Старков С. О. Передача сообщений с использованием хаоса и классическая теория информации // Зарубежная радиоэлектроника. 1998. №11. С. 4-32.

26. Дружинин E.JL, Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств // http ://www .netl ab. mephi.ru.

27. Ильницкий C.B. Работа сетевого сервера при самоподобной (self-similar) нагрузке // http://www.teletraffic.ru/public/pdf/IlnickisMMl2004.pdf.

28. Касперски К. Жизненный цикл червей // http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=l 1697

29. Касперски К. Компьютерные вирусы: изнутри и снаружи. Спб: "Питер", 2005. - 528 с.

30. Каток А.Б., Хасселблат Б. Введение в современную теорию динамических систем. М.: Факториал, 1999. - 768 с.

31. Качалин А.И., Моделирование процесса распространения сетевых червей для оптимизации защиты корпоративной сети // Искусственный интеллект, 2006 No 2. С. 84-88.

32. Кеммерер Р., Виджна Д. Обнаружение вторжений краткая история и обзор // http://kiev-security.org.ua.

33. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. М.: COJTOH-P, 2001. - 464 с.

34. Компьютерные сети. Принципы, технологии, протоколы/ В.Г.Олифер, Н.А. Олифер.- СПб.: Питер, 1999.- 672 с.

35. Костров А. В. Основы информационного менеджмента: учеб. пособие для вузов. - М.: Финансы и статистика, 2003. - 336 с

36. Котенко И. В., Степашкин М. В., Богданов В. С. Архитектуры и модели компонентов активного анализа защищенности на основе имитации действий злоумышленников // Проблемы информационной безопасности. Компьютерные системы. № 4. СПб., 2005.

37. Кроновер Р. М. Фракталы и хаос в динамических системах. Основы теории. Москва: Постмаркет, 2000. 352 с.

38. Кудряшов И.С. Регистрация событий в системах обнаружения компьютерных атак // Материалы VII Международной научно-практической конференции «Информационная безопасность». Таганрог: изд-во ТРТУ, 2005.

39. Кульгин М. Технологии корпоративных сетей. Энциклопедия.-СПб.:Питер, 1999. 704 с.

40. Лукацкий А, Обнаружение атак. СПб.: БХВ-Петербург, 2001.624 с.

41. Мельников В.В. Безопасность информации в автоматизированных системах. М.:Финансы и статистика, 2003. - 368 с.

42. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. М.:ЮНИТИ-ДАНА, 2001. 587 с.

43. Монахов Ю.М. Атака на информационную систему предприятия // Формирование социально-ориентированной экономики: вопросы теории ипрактики. Межвуз. сб. науч. трудов. / филиал ВЗФЭИ в г. Владимире. -Владимир, 2007.-С. 105-109.

44. Монахов Ю.М. Использование FARIMA модели для описания и предсказания поведения сети передачи данных в условия атак типа «отказ в обслуживании» // Горный информационно-аналитический бюллетень, №10, 2008. - С.133-137.

45. Монахов Ю.М. Математическая модель системы мониторинга вредоносного программного обеспечения // Методы и технологии автоматизации обучения, компьютерной графики и информационной безопасности. -Владимир, Владим. гос. ун-т. 2007. С.63-65.

46. Монахов Ю.М. Модель с противодействием: progressive sidr // Информационные системы и технологии в образовании и экономике / Сб.трудов научно-практической конф. Москва Покров, МГПУ им. С.А.Шолохова, 2007. - С.80-81.

47. Монахов Ю.М. Об одной модели распространения вредоносной программы // Информационные технологии в образовательном процессе и управлении : Межвузовский сб.статей. Шуя: Издательство «Весть».- 2007. — С.14-15.

48. Монахов Ю.М. Уязвимости протокола транспортного уровня TCP // Алгоритмы, методы и системы обработки данных. Сборник научных статей. М.: Горячая линия-Телеком, 2006. - С. 203-210.

49. Мун Ф. Хаотические колебания: Вводный курс для научных работников и инженеров. М.: Мир, 1990. - 320 с.

50. Норткатт С., Новак Д., Маклахлен Д. Обнаружение вторжений в сетях. Настольная книга специалиста по системному анализу. М.: ЛОРИ, 2003.- 384 с.

51. Параметры конфигурации TCP/IP и NBT для Windows ХР // http://support.microsoft.com/kb/314053/ru.

52. Пелешенко B.C. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации // Материалы 9-й региональной научно-технической конференции «Вузовская наука Северо-Кавказскому региону»,2005.

53. Петр Мертенс Интегрированная обработка информации. Операции-онные системы в промышленности / Пер. с нем. М.А.Костровой. М: Фин-нансы и статистива, 2001. - 424 с.

54. Полянский Д.А., Монахов Ю.М. Оценка безопасности информационно-вычислительной сети на основе формальных моделей // XIX Международная научная конференция «Математические методы в технике и технологиях» Воронеж, 2006. Том 10, С. 196-198.

55. Прангишвили И. В. Основы построения АСУ сложными технологическими процессами. М: Энергоатомиздат, 1994. - 305 с.

56. Решения компании "СИТРОНИКС Информационные Технологии" для банковского сектора// http://ru.sitronics.com/upload/iblock/a2d/bank.pdf

57. Ризниченко Г.Ю. Лекции по математическим моделям в биологии. Часть 1. Ижевск, НИЦ «Регулярная и хаотическая динамика», 2002. 232 с.

58. Семенов Ю.А. Обзор некоторых видов атак и средств защиты // http://book.itep.ru/6/intrusion.htm.

59. Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология. М.: Майор, 2006. - 512 с.

60. Соснин О.М. Основы автоматизации технологических процессов и производств. — М.: Академия, 2007. 239 с.

61. Статистические системы обнаружения вторжений // http://stra.teg.ru/lenta/security/2081.

62. Стивене У. Р. Протоколы TCP/IP. Практическое руководство. СПб.: БХВ-Петербург, 2003. 671 с.

63. Столлингс В. Основы защиты сетей. Приложения и стандарты. -М.: Издательский дом "Вильяме", 2002. 432 с.

64. Странные аттракторы. Серия "Математика: новое в зарубежной науке", №22. М.: Мир, 1981.

65. Тихонов А.Н., Васильева А.Б., Свешников А .Г. Дифференциальные уравнения. М.: Наука, 1980. 231 с.

66. Томпсон Дж. М. Т. Неустойчивости и катастрофы в науке и технике. М.: Мир, 1985. - 254 с.

67. Треногин Н.Г., Соколов Д.Е. Фрактальные свойства сетевого трафика в клиент-серверной информационной системе. Новосибирск: Вестник НИИСУВПТ.

68. Трубецков Д.И. Введение в синергетику. Хаос и структуры. М.: УРСС, 2004. 240 с.

69. Чипига А. Ф., Пелешенко В. С. Математическая модель процессов связи узлов в сети при обнаружении и предотвращении несанкционированного доступа к информации //http://science.ncstu.ru/articles/ns/002/elen/29.pdf/filedownload

70. Чипига А.Ф., Пелешенко B.C. Формализация процедур обнаружения и предотвращения сетевых атак // http://www.contrterror.tsure.ru/site/magazine8/05-17-Chipiga.htm

71. Чубин И. ARP-spoofing // http://xgu.ru/wiki/ARP-spoofmg

72. Эрроусмит Д., Плейс К. Обыкновенные дифференциальные уравнения. Качественная теория с приложениями. М.: Мир, 1986. 244 с.

73. Aksakaya H.R., Arditi R., Ginzburg L.R. Ratio-dependent predation: an abstraction that works, Ecology. 1995. - 76. - P.995-1004.

74. Amoroso, Edward, G., Intrusion Detection, 1st ed., Intrusion.Net Books, Sparta, New Jersey, USA, 1999.

75. Anderson D., Frivold Т., Valdes A. Next-generation intrusion detection expert system (nides) a summary // Technical Report SRI-CSL-95-07. SRI International, May 1995// http://citeseer.ist.psu.edu/anderson94next.html.

76. Andersson H., Britton Т., Stochastic Epidemic Models and Their Statistical Analysis, Lecture Notes in Statistics, Springer-Verlag, 2000. 151 p.

77. Arditi R., Ginzburg L.R. Coupling in predator-prey dynamics: ratio-dependence, J. Theor. Biol. 1989. - 139. - pp. 311-326.

78. Asavathiratham C., Influence Model: A tractable Representation of Networked Markov Chains, http://tanzeem.www.media.mit.

79. Bace R., Mell P. Special Publication on Intrusion Detection Systems. Tech. Report SP 800-31, National Institute of Standards and Technology, Gai-thersburg, Md., Nov. 2001

80. Barford P. A Signal Analysis of Network Traffic Anomalies. Pioc. ACM SIGCOMM Internet Measurement Workshop, ACM Press, 2002, pp. 71-82.

81. Berinato S. The future of security // http://www.computerworld.com /securitytopics/security/story/0,10801,88646,00.html.

82. Berk V. H., Gray R.S., Bakos G. Using sensor networks and data fusion for early detection of active worms. // Proceedings of the SPIE AeroSense. -SPIE-The International Society for Optical Engineering, 2003. Volume 5071, pp. 92-104.

83. Blazek R.B. A Novel Approach to Detection of «Denial-of-Service» Attacks via Adaptive Sequential and Batch-Sequential Change-Point Detection

84. Methods. Proc. IEEE Workshop Information Assurance and Security, IEEE CS Press, 2001, pp. 220-226.

85. Bolker В. M., Earn D. J. D., Rohani P., Grenfell B.T. A simple model for complex dynamical, transitions in epidemics. Science, 5453(287). Cambridge: Science International, 2000, pp. 667-670.

86. Bozdogan. «Model selection and Akaike's Information Criterion (AIC): The general theory and its analytical extensions».

87. Brooks R.R. Disruptive Security Technologies with Mobile Code and Peer-to-Peer Networks. CRC Press, 2005.

88. Carl G., Kesidis G., Brooks R. R., Rai S. Denial-of-Service Attack-Detection Techniques. IEEE Internet Computing, vol. 10, no. 1, 2006, pp. 82-89.

89. CERT Advisory CA-2001-23 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL // http://www.cert.org/advisories/CA-2001-23.html.

90. Chartier R. Application Architecture: An N-Tier Approach Part 1 // http://www. 15seeonds.eom/issue/011023 .htm.

91. Chebrolu A., Thomas J. Feature Deduction and Ensemble Design of Intrusion Detection Systems. Computers & Security, 2005, 24:4, pp. 295-307,

92. Chen Z., Gao L., Kwiat K. Modeling the Spread of Active Worms // IEEE INFOCOM 2003 // http://www.ieee-infocom.org/2003/papers/4603.PDF.

93. Chi S.D., Park J. S., Jung K.C., Lee J.S. Network security modeling and cyber attack simulation methodology // Lecture Notes in Computer Science. Springer-Verlag, 2001. Vol. 2119.

94. Chung M., Mukherjee В., Olsson R. A., Puketza N. Simulating Concurrent Intrusions for Testing Intrusion Detection Systems // Proceedings of the 18th NISSC. 1995.

95. Cohen F. Computer Viruses: theory and experiments // DOD/NBS 7th Conference on Computer Security (1984).

96. Cohen F. Simulating Cyber Attacks, Defenses, and Consequences. IEEE Symposium on Security and Privacy, Berkeley, CA. 1999.

97. Cohen F. Computational aspects of computer viruses, Computers & Security, 1989, vol. 8, no. 4, pp. 325—344.

98. ComputerWorld.com TruSecure announces early-warning system // http://www.cornputerworld.eom/securitytopics/security/story/0,10801,89424,00.h tml.

99. Crosbie M., Spafford G. Active defense of a computer system using autonomous agents, Technical Report 95-008, COAST Group, Department of Computer Sciences, Pur due University, West Lafayette, IN 47907-1398, February 1995.

100. Crovella M., Bestavros A. Self-Similarity in World Wide Web Traffic: Evidence and Possible Causes, in IEEE/ACM Transactions on Networking, 1997, 5(6): pp. 835-846.

101. Denning D. An Intrusion-Detection Model. IEEE Transactions on Software Engineering, 1987, Vol. SE-13, No. 2.

102. Depren O., Topallar M., Anarim E., Kemal M. An Intelligent Intrusion Detection System (IDS) for Anomaly and Misuse Detection in Computer Networks, Expert Systems with Applications, 29:713-722, 2005.

103. Deszo Z, Barabasi A.L. Halting viruses in scale free networks, (cond-mat/0107420) //http://www.arxiv.org/PS cache/cond-mat/pdf/0107/0107420.pdf.

104. Devaney R.L. An Introduction to Chaotic Dynamical Systems. Second Edition». Addison-Wesley Publishing Company, 1989.

105. Spinellis D. Reliable Identification of Bounded-length Viruses is NP-complete» IEEE Transactions on Information Theory, 2003. 49, pp. 280-284.

106. Dodson M.M. Quantum evolution and the fold catastrophe. Evolutionary Theory, 1975.- 107 p.

107. Dorogovtsev S., Mendes J. Evolution of networks. Advances in Physics, 51:2002. pp. 1079-1187.

108. Duff T. Experience with viruses on UNIX systems, Computing Systems, 1989, vol. 2, no. 2, pp. 155-171. •

109. Ebel H., Mielsch L.I., Bornholdt S. Scale free topology of email networks. // cond-mat/0201476 // www.arxiv.org.119. eEye Digital Security, .ida "Code Red" Worm, 2001 // http://www.eeye.com/html/Research/Advisories/AL20010717.html

110. Fei X. Modeling and Predicting Long-range Dependent Traffic with FARIMA Processes. Dept. of Information EngineeringThe Chinese University of Hong Kong, http://www.ensc.sfu.ca/~ljilja/cnl/papers/mflrd.ps.

111. Feinstein L. Statistical Approaches to DDoS Attack Detection and Response. Proc. DARPA Information Survivability Conf. and Exposition, vol. 1. 2003, IEEE CS Press, pp. 303-314.

112. Vattay G. Self-similarity in bottleneck buffers. Proceedings of Globe-com 2001, December 2001.

113. Frauenthal J.C. Mathematical Models in Epidemiology. New York: Springer-Verlag, 1980. - 335 p.

114. Fugate M., Gatikker J.R. Anomaly Detection Enhanced Classification in Computer Intrusion Detection. Applications of Support Vector Machines, Int. Conf. Pattern Recognition and Machine Learning, 2002, pp. 186-197.

115. Garetto, M., Gong, W., Towsley, D. Modeling Malware Spreading Dynamics IEEE INFOCOM 2003 // http://www.ieee-infocom.org/2003/papers/4601 .PDF.

116. Gaudin. S. 2003 'Worst Year Ever' for Viruses, Worms // http://www.esecurityplanet.com/trends/article.php/3292461.

117. Gennaro C.R., Herzberg A., Naor D. Proactive Security: Long-term Protection Against Break-ins // CryptoBytes Vol.13, N. 1, Spring 1997. pp. 12-22.

118. Ghosh A.K., Wanken J., Charron F. Detecting Anomalous and Unknown Intrusions Against Programs. Proc. Annual Computer Security Application Conference (ACSAC'98), IEEE CS Press, Los Alamitos, Calif., 1998

119. Glomb P. Traffic prediction with adaptive filters. Institute of Theoretical and Applied Informatics.

120. Guo L., Crovella M., Matta I. TCP congestion control and heavy tails. Tech. Rep. BUCS-TR-2000-017, Computer Science Dep., Boston University, 2000.

121. Haining W., Zhang D.,. Shin G. Change-Point Monitoring for Detection of DoS Attacks. Department of Electrical Engineering and Computer Science, the University of Michigan.

122. Handley M., Rescorla E. RFC 4732 Internet Denial-of-Service Considerations». 2006.

123. Hatton L. Repetitive failure, feedback and the lost art of diagnosis // Journal of Systems and Software, 47(2). Amsterdam: Elsevier Science Publishing, 1999. - pp.183-188.

124. Heberlein, L. Т., Dias, G.V., Levitt, K. N., Mukherjee, В., Wood, J. and Wolber, D. A network security monitor. // Proc. of IEEE Symposium on Research in Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 1990-pp. 296-304.

125. Hethcote, H. W. The Mathematics of Infectious Diseases // SIAM Review Vol. 42, No. 4. Philadelphia, PA, USA: Soc. For Industrial And Applied Mathematics, 2000. - pp. 599-653.

126. Hofmeyr S.'A., Forrest S., Somayaji A. Intrusion detection using sequences of system calls. // Journal of Computer Security, 6(3). Amsterdam: IOS Press, 1998.-pp. 151-180.

127. Howard J. D. An Analysis of Security Incidents on the Internet. Pittsburgh, Pennsylvania, 15213 USA, 1997.

128. Iglun K., Kemmerer R. A., Porras P. A. State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Transactions on Software Engineering, V.21, No. 3. 1995.

129. Jacobson V. Congestion Avoidance and Control. Proceedings of SIG-COMM'88, August 1988, pp. 314-329.

130. Hl.Jost C., Arino O., Arditi R: About deterministic extinction in ratio-dependent predator-prey models. Bull. Math. Biol. 1999. - 61. - P. 19-32.

131. Jung J., Paxson V., Berger A. W. , Balakrishnan H. Fast portscan detection using sequential hypothesis testing // Proceedings of the IEEE Symposium on Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 2004. - pp. 211-225.

132. Jung J., Schechter S. E., Berger, A. W. Fast detection of scanning worm infections // Proceedings of the 7th International Symposium on Recent Advances in Intrusion Detection (RAID), September 2004 // http://nms.lcs.mit.edu/papers/scanworm.pdf.

133. Kaspersky Security Bulletin, январь июнь 2007. Развитие вредоносных программ в первом полугодии 2007 года: http://www.kaspersky.ru/readingroom?chapter=207367581

134. Kephart J. О., White S. R. Directed-Graph Epidemiological Models of Computer Viruses. Proceedings of the 1991 IEEE Computer Society Symposiumon Research in Security and Privacy; Oakland, California, May 20-22, 1991. pp. 343-359.

135. Kephart J.O., White S.R. Measuring and modeling computer virus prevalence. // Proceedings of IEEE Symposium on Security and Privacy. Los Alamitos, CA, USA: IEEE Computer Society, 1993. - pp. 2-15.

136. Kephart J.O., Chess D. M., White S.R. Computers and epidemiology // IEEE Spectrum, 30(5). Los Alamitos, CA, USA: IEEE Computer Society, 1993.-pp. 20-26.

137. Kocarev L., Vattay G. Complex Dynamics in Communication Networks. Springer, 2005. 361 p.

138. Kolotov А. Мониторинг сети с помощью tcpdump // http ://www.linuxshare.ru/docs/net/tcpdup^p .htm I.

139. Kotenko I. V., Stepashkin M. V. Analyzing Vulnerabilities and Measuring Security Level at Design and Exploitation Stages of Computer Network Life Cycle // Lecture Notes in Computer Science. Springer-Verlag, 2005. Vol. 3685.

140. Kumar S. Classification and detection of computer intrusions, Ph.D. Thesis, Purdue University, West Lafayette, IN 47907, 1995.

141. Kumar S., Spafford E. (1995) A Software Architecture to Support Misuse Intrusion Detection. Department of Computer Sciences, Purdue University; CSD-TR-95-009.

142. Leckie C., Kotagiri R. A probabilistic approach to detecting network scans. // Proceedings of the 8th IEEE Network Operations and Management Symposium (NOMS 2002), Florence, Italy. Los Alamitos, CA, USA: IEEE Computer Society, 2002. - pp. 359-372

143. Leveille J. Epidemic Spreading in Technological Networks http://www.hpl.hp.com/techreports/2002/HPL-2002-287.pdf.

144. Liebowitz J. Information Technology Management; A Knowledge Repository. Boca Raton (Florida): CRC Press LLC, 1999 (USA) 201 p.

145. Lindqvist U., Porras P.A. Detecting Computer and Network Misuse with the Production-Based Expert System Toolset, IEEE Symp. Security and Privacy, IEEE CS Press, Los Alamitos, Calif., 1999

146. Lotka A.J. Elements of physical biology. Baltimore: Williams and Wil-kins, 1925.

147. Lundy D. He's confident system can stop any virus // Chicago Sun Times, January 22, 2004 // http://www.suntimes.com/output/tech/cst-fin-lundy22w.html

148. Mao Z., Govindan R., Varghese G., Katz R. Route Flap Dampening Exacerbates Internet Routing Convergence». Proceedings of ACM SIGCOMM, 2002.

149. May R.M. Bifurcations and dinamic complexity in ecological systems. Annals, New York Academy of Sciences, 1979, p. 517

150. Mcllroy D.M. Virology 101, Computing Systems, 1989, vol. 2, no. 2, pp. 173-184.

151. McNab C. Network Security Assessment. O'Reilly Media Jnc, 2004.

152. Mogul J.C. IP Network Performance. Internet System Handbook. Addison-Wesley, Reading, Mass. pp. 575-675.

153. Moore D., Paxson V., Savage S., Shannon C., Staniford S., Weaver N. Inside the Slammer Worm // IEEE Security and Privacy, 1(4). Los Alamitos, CA, USA: IEEE Computer Society, 2003. - pp. 33-39.

154. Moore D., Shannon C., Voelker G. M., Savage S. Internet Quarantine: Requirements for Containing Self-Propagating Code // Proc. of IEEE INFO-COM'2003. Los Alamitos, С A, USA: IEEE Computer Society, 2003. vol.3. -pp. 1901-1910.

155. Moore D., Voelker G.M., Savage S. Inferring Internet Denial-of-Service Activity». Proc. Usenix Security Symp., Usenix Assoc., 2001.

156. Mounji A. Languages and Tools for Rule-Based Distributed Intrusion Detection, PhD Thesis, Computer Science Institute, University of Namur, Belgium, Sept 1997.

157. Myers G. G. The Art of Software Testing. London: J. Wiley and Sons, 2004.-256 p.

158. Nicolis G., Prigogine I. Self-Organization in Non-Equilibrium Systems. From Dissapative Structures to Order through Fluctuations.- New YorkA Wiley, 1977.

159. NVD: National Vulnerability Database // http://nvd.nist.gov/.

160. OSVDB: The Open Source Vulnerability Database // http://www.osvdb.org/.

161. Pang R., Yegneswaran V., Barford P., Paxson V., Peterson L. Characteristics of Internet background radiation. // Proceedings of the Internet Measurement Conference (IMC), October 2004 // http://www.icir.org/vern/papers/radiation-imc04.pdf.

162. Pastor-Satorras R., Vasques A., Vespignan A. Dynamical and correlation properties of the internet // Physical Review Letters, 87(25). Washington DC: American Physical Society, 2001. - pp. 257-270.

163. Pastor-Satorras R., Vespignani A. Epidemic spreading in scale-free networks // Physical Review Letters, 86(14). Washington DC: American Physical Society, 2001. - pp. 3200-3203.

164. Pastor-Satorras R., Vespignani A. Epidemics and Immunization in Scale-Free Networks. Berlin: Wiley-VCH, 2002. - 140 p.

165. Paxson V. Bro: A System for Detecting Network Intruders in RealTime, Proc. Seventh Usenix Security Symp., Usenix Assoc., Berkeley, Calif., 19-98

166. Paxson V. Fast, Approximate Synthesis of Fractional Gaussian Noise for Generating Self-Similar Network Traffic. Computer Communications Review, V. 27 N. 5, October 1997, pp. 5-18.

167. Paxson V., Floyd S. Wide-Area Traffic: The Failure of Poisson Modeling. IEEE/ACM Transactions on Networking, Vol. 3 No. 3, pp. 226-244, June 1995.

168. Paxson V., Growth trends in wide-area TCP connections, IEEE Network, 1994. 8(4), pp. 8-17.

169. Paxson V., Stamford S., Weaver N. How to Own the Internet in Your Spare Time, Proceedings of the 11th USENIX Security Symposium (Security '02).

170. Pepyne D.L., Gong W.B., Ho Y.C., Modeling and Simulation for Network Vulnerability Assessment, 40th U.S. Army Operation Research Symposium (AORS XL), Fort Lee, VA, October 2001.

171. Tu P. Dynamical Systems. An Introduction with Applications in Economics and Biology. Springer-Verlag, Berlin Heidelberg, 1994.

172. Singh P.K., Lakhotia A. Analysis and detection of computer viruses and worms: An annotated bibliography, ACM SIGPLAN Notices, 2002, vol. 37. pp. 29-35.

173. Ranum M. J. A Taxonomy of Internet Attacks // http://www.clark.net/pub/mjr/pubs/attclc/index.shtml. 1997.

174. Raymond J.F. Traffic analysis: Protocols, attacks, design issues and open problems // Proc. Workshop on Design Issues in Anonymity and Unobserva-bility NY, 2000, pp. 7-26.

175. Riedi R.H., Willinger W. Self-similar Network Traffic and Performance Evaluation. Wiley, 2000, chapter 20, pp 507-530.

176. Roesch M. Snort Users Manual, Snort Release: 1.8.1, 2001, http:// www. snort. org/

177. Senthilkumar C. G. Worms: How to stop them? // http://wwwcsif.cs.ucdavis.edu/~cheetanc/worms/proposal.ps.

178. Spafford E. An Analysis of the Internet Worm, Proc. European Software Engineering Conference, pp. 446-468, Sep. 1989. Lecture Notes in Computer Science #387, Springer-Verlag.

179. Spafford E. A computer virus primer, in Computers Under Attack: Intruders, Worms, and Viruses, Peter J. Denning, Ed., chapter 20, Addison-Wesley, 1990.-pp. 316-355.

180. Spafford E., Zamboni D. Intrusion detection using autonomous agents, Computer Networks, 34(4): 2000. pp. 547-570.

181. Staniford S., Hoagland J. A., McAlerney J.M. Practical automated detection of stealthy portscans. // Journal of Computer Security, vol.11(1-2). Amsterdam: IOS Press, 2002. - pp. 105 - 136.

182. Steger J., Vaderna P., Vattay G. On the Propagation of Congestion Waves in the Internet. Department of Physics of Complex Systems, Eotvos University, Budapest, February 2, 2008.

183. Sykdar В., Kalyanaraman S., Vastola K.S. An Integrated Model for the Latency and Steady-State Throughput of TCP Connections. Performance Evaluation, v.46, no.2-3, pp. 139-154, September, 2001.

184. Symantec Early Warning Solutions. Symantec Corp. // http://enterprisesecurity. Symantec. com/SecurityServices/content.cfm?ArticleID= 1522

185. The Workshop on Rapid Malcode (WORM), October 27, 2003, The Wyndham City Center Washington DC, .USA // http://pisa.ucsd.edu/worm03/.

186. Thompson J.M.T. An evolution game for a prey predator ecology. -Bull. Inst. Math. And Its Appl., 1979, 162 p.

187. Thompson J.M.T. Experiments in catastrophe. Nature, 1975, 392 p.

188. Turing Alan M., On computable numbers, with an application to the Entscheidungs Problem, Proceedings of the London Mathematical Society, vol. 2, no. 42, pp. 230—265, 1936, Corrections in 2(43):544-546.

189. Valdes A. and Skinner K. Adaptive, model-based monitoring for cyber attack detection. // Recent Advances in Intrusion Detection (RAID 2000). -Berlin: Springer-Verlag, 2000. pp. 80-92.

190. Vandoorselaere Y., Oudot L. Prelude, an Hybrid Open Source Intrusion Detection System // http://www.prelude-ids.org/, 2002.

191. Vattay G., Fekete A., Steger J., Marodi M. Modeling Competition, Fairness and Chaos in Computer Networks. Communication Networks Laboratory.

192. Veres B.M. The chaotic nature of TCP congestion control // IEEE IN-FOCOM'2000, March 2000.

193. Veres B.M., Kenesi Z., Molnar S., Vattay G. On the propagation of long-range dependence in the Internet». ACM SIGCOMM 2000, Stockholm, Sweden, August 2000.

194. Wang C., Knight J. C., Elder M. C. On Computer Viral Infection and the effect of Immunization, in Proc. 16th ACSAC, 11-15 December, New Orleans, Louisiana, 2000.

195. Weaver N., Staniford S., Paxson V. Very fast containment of scanning worms // Proceedings of 13th USENIX Security Symposium, 2004 // http://www.icsi.berkeley.edu/~nweaver/ containment/containment.pdf

196. Williamson M. M. Biologically Inspired Approaches to Computer Security HPL-2002-131. http://www.hpl.hp.com/techreports/2002/HPL-2002-131 .pdf.

197. Williamson M. W. An epidemiological model of virus spread and cleanup» HPL-2003-39 // http://www.hpl.hp.com/techreports/2003/HPL-2003-39.pdf.

198. Williamson M. M. Throttling Viruses: Restricting Propagation to Defeat Malicious Mobile Code // Proc. of Annual Computer Security Application Conference (ACSAC'02). Los Alamitos, CA, USA: IEEE Computer Society, 2002.-pp.61-73

199. Willinger W., Taqqu M., Sherman R., Wilson D. Self-Similarity Through High-Variability: Statistical Analysis of Ethernet LAN Traffic at the Source Level. IEEE/ACM Transactions on Networking, Vol. 5, No. 1, pp. 71-86, February 1997

200. Wonderware System Platform // http ://us .wonder ware, com/ products/sy splatform.

201. Yaroshkin F. SnortNet- A Ditributed Intrusion Detection System, IVT-1/95, Kyrgyz Russian Slavic University, Bishkek, Kyrgystan, June 2000.

202. Yegneswaran V., Barford P. Internet intrusions: global characteristics and prevalence // Proceedings of the 2003 ACM SIGMETRICS, volume 31, 1 of Performance Evaluation Review.-New York:ACM Press,2003 pp. 138-147.

203. Yuill J., Wu F., Settle J., Gong F. Intrusion-detection for incidentres-ponse, using a military battlefield-intelligence process // Computer Networks, No.34. 2000.

204. Zou С. C., Gong W., Towsley D. Worm propagation modeling and analysis under dynamic quarantine defense // Proceedings of ACM CCS Workshop on Rapid Malcode (WORM'03). Washington, DC: ACM, 2003. - pp. 5160.

205. Zou С. C., Towsley D., Gong W. Email worm modeling and defense. In Proceedings of 13th International Conference on Computer Communications and Networks (ICCCN'04). Los Alamitos, CA, USA: IEEE Computer Society, 2004.-pp. 409-414.

206. Zou С. C., Towsley D., Gong W. On the performance of Internet worm scanning strategies // Performance Evaluation, 63 (7). Amsterdam: Elsevier Science Publishing, 2006. - pp. 700-723.

207. Zou С. C., Towsley D., Gong W., Cai S. Routing worm: A fast, selective attack worm based on IP address information // Workshop On Principles of Advanced and Distributed Simulation. Los Alamitos, CA, USA: IEEE Computer Society, 2005. - pp. 199-206.

208. Zou C.C., Gao L., Gong W., Towsley D. Monitoring and Early Warning for Internet Worms // CCS'03, October 27-30 2003, Washington, DC, USA // http://tennis.ecs.umass.edu/~czou/research/monitoringEarlyWarning.pdf