Обнаружение вторжений в распределенных информационных системах на основе методов скрытого мониторинга и анализа больших данных тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Штеренберг Станислав Игоревич

Введение

Актуальность проблемы. Построение РИС, устойчивых к компьютерным атакам, сопряжено со значительными затратами времени и ресурсов [1-7]. Обеспечение работоспособности РИС и функционирующих в ней дополнительных систем зависит часто от способности РИС противостоять целенаправленным воздействиям, нарушающим её работу. Для РИС основной проблемой является низкая эффективность обнаружения неизвестных атак и защиты от внутреннего нарушителя. Современные РИС [7-9] характеризуются сверхвысокими объемами интенсивно поступающего разнородного сетевого трафика, в связи с чем актуально рассмотрение СОВ, направленных на обработку Больших данных. Математические аспекты построения СОВ и мониторинга РИС для определения внутреннего нарушителя на сегодняшний день разработаны недостаточно [1-11], а механизмы скрытого мониторинга и работы Больших данных существуют по-отдельности. Поэтому построение РСОВ с использованием методов скрытого мониторинга и анализа Больших данных является актуальным.

Степень разработанности темы

Вопросам разработки методов обнаружения вторжений, анализа атак и выбора защитных мер посвящено большое количество научных работ. Задачи управления и обеспечения безопасности РИС на основе РСОВ с защищенными процессами обработки и хранения больших объемов информации исследовались в работах Зегжды П.Д., Буйневича М.В., Липатникова В.А., Сахарова Д.В., Котенко И.В., Андронова А.В., Дойниковой Е.В., Десницкого В.А., Коржика В.И., Яковлева В.А., Красова А.В., Лазарева В.Г., Пийль Е.И., Кангина В.В., Шелухина О.И., Лавровой Д.С., Нурдинова Р.А., Моисеева А.Н., Бухарина В.В., а также зарубежных исследователей: К. Нейгеля, Э. Таненбаума, К. Щипёрского, Н.В. Лихачева (Крис Касперски), М. Клеппмана, Ф. Чезарини, Л. Авраамова, Дж. Паттерсона.

Для оценки защищенности и эффективности РСОВ предлагается большое количество различных показателей и методик их вычисления. Не существует единого подхода к выбору, определению и вычислению показателей

защищенности, учитывающих различные данные на разных этапах функционирования систем защиты информации. Современные СОВ направлены в большей степени на выявление внешнего нарушителя, они не скрывают своего существования от внутреннего нарушителя и потому уязвимы для его вмешательства в процессе мониторинга. Не известно подхода к обобщенному анализу уязвимостей к атакам как внутренних, так и внешних нарушителей в РИС с Большими данными, что определяет необходимость разработки новых моделей, методов и методик на основе применения РСОВ с привлечением анализа Больших данных и скрытого мониторинга.

Объект исследования: свойства распределенных информационных сетей.

Предмет исследования: средства выявления, идентификации и классификации вторжений в РИС.

Цель диссертационной работы - разработка методического обеспечения систем обнаружения вторжений в распределенных информационных сетях, направленного на уменьшение времени выявления вторжений с использованием методов скрытого мониторинга и анализа Больших данных.

Для достижения цели необходимо решить следующие задачи:

Специфицировать требования к современным СОВ для раннего обнаружения вторжений в РИС.

Разработать модель обработки данных в распределенных информационных сетях с использованием Больших данных.

Разработать методику сбора данных системой обнаружения вторжений в РИС.

Разработать методику обнаружения вторжений на основе анализа временных рядов.

Разработать метод скрытого мониторинга действий пользователей.

Разработать структурную схему РСОВ и провести экспериментальную апробацию предложенных решений.

Методы исследований. При решении поставленных задач использовались методы теории управления; методы построения систем защиты информации; теория графов; теория вероятности и математическая статистика; методы анализа

временных рядов; методы прогнозной аналитики и обработки Больших данных; методы построения высоконагруженных защищенных приложений.

Основные положения, выносимые на защиту:

Модель обработки данных в распределенных информационных сетях с использованием Больших данных.

Методика сбора данных системой обнаружения вторжений в распределенной информационной сети.

Методика обнаружения вторжений на основе анализа временных рядов.

Метод скрытого мониторинга действий пользователя на основе встроенного автоматизированного агента.

Структурная схема распределенной системы обнаружения вторжений.

Научная новизна:

Предложена модель обработки данных, формализующая принципы агрегации и параллельной обработки потоков Больших данных для РСОВ.

Разработана методика сбора данных, которая основана на использовании входных данных о РИС и ее уязвимостях, зависимостях сервисов и позволяет отследить события возникших векторов атак.

Предложена методика обнаружения вторжений, позволяющая сократить время обработки данных и которая отличается возможностью генерации комплекса мер на основе полученных данных и его последующего расширения путем применения иерархического набора показателей на основе анализа временных рядов.

Разработан метод использования агентов, позволяющий исключить влияние внутреннего нарушителя в РИС за счет скрытого мониторинга. Агент не затрагивает внутренние процессы защищаемой РИС.

Спроектирована структурная схема РСОВ на основе модели обработки данных, метода скрытого мониторинга, методики сбора данных и определения вторжений, объединяющая их свойства в единую РСОВ.

Теоретическая значимость работы

Результаты работы могут быть использованы напрямую при обеспечении защиты от внутреннего нарушителя, анализе и своевременном обнаружении вторжений в РИС. Новый метод скрытого мониторинга позволяет получить статистику попыток нарушений информационной безопасности со стороны внутреннего нарушителя и эффективно обнаруживает деструктивные воздействия на РИС. Методика сбора данных позволяет вести подробный учет поступивших данных на узле-сборщике параллельно с отправкой данных на центральный узел. Методика определения вторжений позволяет снизить уровень возможных потерь в результате компьютерных атак за счет постоянного отслеживания и пересчета показателей пользователей.

Практическая значимость работы

Разработана модель обработки данных, в которой объединяются подходы потоковой и пакетной обработки для обнаружения вторжений в едином комплексе. Спроектированная структурная схема РСОВ позволяет разработать измерительные системы для РСОВ при решении задач безопасности с использованием Больших данных.

Достоверность основных положений диссертационной работы

подтверждается аналитическими исследованиями, результатами моделирования, а также внедрением в научно-инновационной деятельности АО «ВНИИРА», ООО «Оборонинформ», в рабочем процессе Управления Роскомнадзора по СЗФО.

Апробация работы. Основные положения работы докладывались на международной научно-технической и научно-методической конференции «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (СПбГУТ, 2013-2018гг.), на всероссийской научно-технической конференции «Теоретические и прикладные проблемы развития и совершенствования автоматизированных систем управления военного назначения» (ВКА им. А.Ф. Можайского, 2015г.), на научно-практической конференции «Информационная безопасность. Невский диалог» (2016г.), на всероссийской научно-практической конференции «Актуальные проблемы защиты и безопасности» (ВАС им. С.М. Буденного, 2017г.). Результаты представлены в победных работах на конкурсах грантов для

студентов, аспирантов вузов, отраслевых и академических институтов, расположенных на территории Санкт-Петербурга.

Публикации. Результаты диссертации отражены в 42 научных работах, в т.ч. 18 статьях в журналах, рекомендованных ВАК, 1 статье в издании, индексируемом в базе Scopus, 2 свидетельствах о регистрации программ для ЭВМ.

Внедрение. Результаты работы использованы в учебных дисциплинах «Технологии программной защиты в интернете», «Компьютерные вирусы» (СПбГУТ), «Программирование» (ВКА им. А.Ф. Можайского), «Методы программирования» и «Программно-аппаратные системы защиты информации» (СПбГУПТД). Результаты использованы в прикладных научных исследованиях и экспериментальных разработках, проводимых в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 гг.» (Соглашение .№14.578.21.0231, идентификатор RFMEFI57817X0231). Результаты использованы в научно-исследовательских работах и разработках СЗИ изделия «ПРЛ-27С» (Приложение Б).

Личный вклад автора. Основные научные результаты получены автором самостоятельно в рамках, проведённых им теоретических и экспериментальных исследований. Автором разработан комплекс программных средств, позволяющий применить предложенные модель, метод и методики на практике (Приложение А). Подготовка основных публикаций проводилась с соавторами, при этом вклад автора был основным.

Структура и объём работы. Диссертация состоит из введения, 4 разделов, заключения, списка используемой литературы и приложений. Основное содержание изложено на 177 стр., включая 72 рис., 34 табл., 42 формул. Список литературы содержит 138 наименований.

1 Анализ современных методов и систем обнаружения вторжений в

распределенных информационных сетях 1.1 Обзор современных тенденций в обнаружении вторжений

Помимо исследования существующих практических решений [5,12-14], направленных на обнаружение угроз безопасности и защиты от них, необходимо рассмотреть и исследовать различные научные методы, которые позволяют выявить аномалии в системах Больших данных. Методы [12,14-17] должны быть направлены на выявление аномалий в данных, причем данные не обязательно должны представлять собой сетевой трафик, поскольку ключевое значение имеет именно принцип выявления отклонений.

1. Поведенческими методами, в соответствии с источником [18], называются методы, которые основаны на использовании информации о нормальном поведении системы и ее сравнении с параметрами наблюдаемого поведения. В ряде работ [5,19-24] предлагается именно мультифрактальная оценка трафика для выявления аномалий. Например, в публикациях [18-20] авторы привели обзор существующих мультифрактальных подходов к обнаружению аномалий в сети. В ходе работы были рассмотрены: метод максимумов модулей вейвлет-преобразования; подход, основанный на распределении «тяжелых хвостов», алгоритм дискретного стационарного вейвлет-преобразования; вычисление показателя Херста с помощью дробного преобразования Фурье и т.д [25]. Выбор того или иного метода определяется спецификой исследуемой сети, в случае магистральных сетей необходимо использовать максимально быстрый менее ресурсоемкий подход к обнаружению аномалий.

2. Метод построения деревьев решений является одним из наиболее распространенных методов, решающих задачи прогнозирования и классификации [26]. Дерево можно представить с помощью элементов трех категорий: ребра -значения атрибута, узла - сами атрибуты, листья - метки со значениями решений для классификации данных. В работе [27] предлагается метод для обнаружения

DDoS атак и определения их шаблонов, основанный на процедуре дерева принятия решений.

3. В публикации [25] исследователи предложили систему обнаружения вторжений, в которой скомбинированы сигнатурный и наивный байесовский подходы. В результате проведенных исследований было выявлено, что такое сочетание методов обладает большей точностью обнаружения, меньшим временем работы и меньшим число ложных уведомлений по сравнению с комбинированием сигнатурного анализа с методами J48graft или Байесовской сети.

4. Еще одно удачное комбинирование был предложено в работе [28]. В ней авторы представляют фреймворк, основанный на сети радикальных базисных функций и наивном байесовском классификаторе. Результат работы разработанной системы, тем не менее, не совпал с ожиданиями, так как наблюдались ложные уведомления об атаке.

5. Сигнатурные методы используются во многих системах обнаружения вторжений. В качестве примера можно привести известные Snort или Suricata. Суть данных методов состоит в задании профиля атак, описанных в виде цепочки символов из некоторого алфавита. Важным для сигнатурного метода обнаружения атак является скорость алгоритма поиска подстроки. В работе [29] исследователи предложили новый, более быстрый алгоритм поиска подстроки и использующую его систему обнаружения вторжений.

6. В работе [30] авторы предложили систему обнаружения вторжений, использующую аппарат сетей Петри. В разработанную СОВ входят две основные функции: обнаружение и обновление. В первой из них происходит моделирование поведения, атакующего с помощью сети Петри, а затем данная модель уже используется для детектирования атак.

7. ИНС представляют собой интенсивно развивающуюся область в анализе данных и обнаружении аномалий. ИНС является набором обрабатывающих элементов, которые называются нейронами, связанных синапсами. Задачей нейрона является преобразование входящих значений в желаемые исходящие. Главным преимуществом такого подхода является возможность обучения с целью

создания адаптивных систем обнаружения аномалий. Авторами из университета ИТМО была предложена система обнаружения аномалий в «Умном доме», включающая в себя аппарат искусственных нейронных сетей [31]. Эксперименты показали, что использование нейронных сетей гораздо производительнее, чем использование базовых алгоритмов машинного обучения. Другими авторами из ИТМО был представлен метод идентификации и классификации сетевых аномалий с помощью искусственной нейронной сети. В публикации [32] предлагается использовать многослойный персептрон с обучением алгоритмом обратного распространения. В ходе проведенных экспериментов над данными, собранными по протоколу NetFlow, была показана состоятельность данного подхода. Недостатки нейронных сетей состоят, во-первых, в отсутствии строгой теории по выбору структуры ИНС, а во-вторых, в невозможности трактовки аппарата сетей.

8. Аппарат нечеткой логики также может быть применим к обнаружению аномалий в системе Интернет Вещей. В публикациях [33,34] предлагается метод детектирования аномалий сетевого трафика с помощью методов нечеткой логики. Данный метод может быть применён как к стационарному трафику с Пуассоновским распределением, так и к самоподобной структуре данных. В схему обнаружения включены алгоритмы модифицированной стохастической аппроксимации и «скользящего окна». Результаты проведенного исследования показали применимость данных методов для обнаружения аномалий трафика Интернета Вещей. К недостаткам метода нечеткой логики относится субъективность задания правил, а также вида и функции принадлежности. С учетом внушительного размера магистральных сетей, данный метод будет несостоятельным.

9. Также следует упомянуть систему обнаружения вторжений на основе протокола PIDS представляет собой систему обнаружения вторжений, которая обычно устанавливается на веб-сервере и используется для мониторинга и анализа протокола, используемого вычислительной системой. PIDS может отслеживать динамическое поведение и состояние протокола. Состоит из системы или агента,

которые обычно будут располагаться в передней части сервера, отслеживать и анализировать связь между подключенным устройством и защищаемой системой.

Если сводить разработку современных РСОВ к форме распределённых вычислений (пример GRID-сети с мультиагентной системой) [35], в которой «виртуальный суперкомпьютер» представлен в виде кластеров, соединённых с помощью сети, слабосвязанных гетерогенных компьютеров, работающих вместе для выполнения огромного количества заданий для увеличения времени на обработку вторжений, то следует выявить следующие проблемы:

1. Недостатки реализованного подхода обусловлены тем, что базовый протокол LDAP ориентирован на работу с медленно меняющейся и слабо структурированной информацией.

2. Нуждается в совершенствовании и модель распределенного хранения и обработки данных.

3. Не решен полностью вопрос наполнения информационных баз.

К примеру, на основе агентного подхода можно построить следующую структуру GRID-сети (рис. 1.1). Описанное в работе использование технологии GRID позволит РСОВ использовать параметры ПК для поиска решений сбора данных [36]. При намерении совершить атаку, злоумышленник сможет подать команду, например, winlog - вирус, рекомендуется уничтожить или переместить в карантин, вероятно часть участников системы успеют выполнить рекомендации, до того, как РСОВ сможет предотвратить сбой.

Исследования и разработки в сообществе GRID имеют разработку протоколов и сервисов, направленных и на проблемы, которые возникают при попытке создания масштабируемых ИС [35,36].

Одним из преимуществ использования данного решения от Cisco является простота управления политиками безопасности. Обнаружение атак осуществляется с помощью сигнатурного метода, основанного на анализе состояний системы. Сигнатуры формируются в виде последовательности переходов системы из одного состояния в другое в результате наступления определенных событий [138]. Удобство данного подхода заключается в возможности самостоятельного задания,

изменения существующих правил и создания новых. Для определения угрозы по специальной формуле вычисляется уровень риска. Помимо этого, выполняется постоянное обновление сигнатур, что обеспечивает защиту от известных новейших угроз. Несмотря на все преимущества данного продукта, сигнатурный метод может быть непригоден при обнаружении атак нового типа, вероятность появления которых высока в магистральных сетях. Ввиду большого объема разнородного трафика, поддержание и обновление базы сигнатур, а также постоянное сравнение с потоками данных может значительно снизить производительность системы обнаружения вторжений.

В свою очередь для ограничения определенного трафика на хосты, подсети или интерфейсы традиционно используются межсетевые экраны, например, Cisco ASA. Однако, в случае наличия атаки, вредоносные пакеты в любом случае буду доставлены адресату. С целью обнаружения и предотвращения атак компания Cisco разработала устройства IDS/IPD, а также специализированные модули для межсетевых экранов. Система предотвращения вторжений Cisco IPS представляет собой решение для анализа трафика, которое позволяется эффективно бороться с широким спектром сетевых атак. Данная система может быть использована для защиты системы следующим образом, в соответствии с рис. 1.2.

Рисунок 1.2 - Варианты использования Cisco IPS

Дополнительно в исследовании рассматривается технология honeypot. Из положительных примеров, технология позволит собирать и анализировать более точные данные о сетевой атаке для повышения эффективности обнаружения атаки на более ранних этапах, а также позволит замедлить сетевую атаку, отвлекая злоумышленника на изучение подложной системы.

Применение подобных технологий для обнаружения сетевых атак в настоящее время практикуется достаточно активно, например, в качестве дополнительного функционала СОВ, помогая уменьшить количество ложных срабатываний. Например, компания Amazon, обладающая крупнейшей в мире БД, использует honeypots базы данных для того, чтобы злоумышленники достигали реальных приманок. Также honeypots применяются и в исследовательских целях: обнаруживают новые векторы сетевых атак, вирусы, черви, руткиты, против которых оказалась бессильна СОВ. Помимо построения профиля нарушителя и обнаружения новых типов угроз, honeypots также могут быть использованы для определения 6 новых уязвимостей ОС, сред и ПО, которые в настоящее время не определены.

1.2 Качественная оценка современных систем обнаружения вторжений

В данном пункте представлены основные Мировые научные разработки в области систем обнаружения атак, выявлены их преимущества и недостатки, касательные разработов СОВ для РИС.

В работе [37] предлагается система обнаружения вторжений, основанная на использовании двухслойной нейронной сети с обратной связью. Преимуществом такого подхода является его распределенность, способность к обучению и адаптации. Получаемая в ходе анализа информация подвергается предварительной обработке путем отображения символьных данных (тип протокола, сервисы, флаги) в числовое значение из отрезка (-1,1). После обнаружения атаки ее тип и характеристики рассматриваются более подробно.

Несмотря на ряд введений, направленных на увеличение скорости обучения и снижения накладных расходов, такой подход значительно зависит от выбора функции активации, а также недостаточно эффективен при обнаружении атак типа R2L (remote-to-user, внедрение) и U2R (user-to-root, повышение привилегий).

В работе [38] предлагается метод обнаружения сетевых атак с использованием моделирования потока трафика и протокола Cisco NetFlow. Предлагаемый подход может применяться в системах обнаружения вторжений, а также при необходимости блокировки IP-адресов атакующих. Эффективность данного метода показана лишь в случае обнаружения DDoS-атак и сканирования портов. Доля обнаруживаемых вторжений, использующих более сложные и неизвестные техники, достаточно мала, поэтому подобные решения не могут применяться в магистральных сетях.

В публикации [39] предлагается система, использующая сигнатурный подход к обнаружению сетевых атак. В процессе работы происходит отслеживание сетевых пакетов и их последовательное сравнение с базой данных известных шаблонов и атрибутов атак. Кроме того, существует возможность работы в фоновом режиме контроля сети. К основным недостаткам предложенного подхода можно отнести: сложность в распознавании неизвестных атак, а также

необходимость в постоянном обновлении базы данных сигнатур. Подобные недостатки позволяют сделать вывод о невозможности применения такого решения в сложных, высокоскоростных магистральных сетях.

В работе [40] предлагается система обнаружения вторжений, направленная на выявление сканирования портов и разведывательных действий. В основе данной системы лежит механизм анализа временных событий, происходящих в процессе атаки, для распознавания используется нейронная сеть с временной задержкой TDNN. Предлагаемая система состоит из пяти модулей: модуль захвата пакетов, препроцессор, модуль распознавания с помощью шаблонов, модуль классификации и модуль оповещения. Продемонстрированные результаты говорят о высокой эффективности такого подхода, однако для анализа трафика магистральных сетей может быть довольно трудоемким.

В работе [41] предлагается система обнаружения вторжений, включающая в себя модуль захвата пакетов, модуль анализа данных, базу данных шаблонов, интерфейс управления и отчетности. Отличительной особенностью предлагаемого подхода является его масштабируемость и переносимость. Данная система эффективна лишь при обнаружении известных атак, в то время как процент успешного детектирования новых атак, остается достаточно малым.

В работе [42] авторы предложили прототип системы обнаружения вторжений, функционирующий в соответствии с гибридной схемой для возможности обработки «больших данных». Предлагаемый авторами подход сосредоточен на сопоставлении разнородных данных сетевого трафика, получаемых от различных источников, и на использовании сигнатурного подхода и генетических алгоритмов для повышения точности обнаружения атак. Данная система обнаружения вторжений подойдет для анализа безопасности разнородной сетевой инфраструктуры. Авторы признают, что на данный момент предлагаемая ими модель функционирования системы обнаружения вторжений достаточно сложна, и необходимо доработать систему в части сокращения размерности данных, собранных от разнородных источников. Кроме того, данная система обнаружения вторжений не ориентирована на обнаружение неизвестных атак, о чем

свидетельствует сигнатурный подход, лежащий в основе системы. Также авторы не предоставляют сведений о скорости обработки сетевого трафика, что является ключевым вопросом в случае обнаружения и предотвращения атак в магистральных сетях Интернет, для которых характерно интенсивное поступление сверхвысоких объемов трафика.

В работе [43] авторы предлагают прототип системы обнаружения вторжений, в основе которой лежит предложенный ими подход к обнаружению аномалий в данных сетевого трафика на основе обнаружения выбросов (outlier detection). Система реализует машинное обучение как на образцах нормального сетевого трафика, так и на образцах аномального трафика, и отслеживает наличие так называемых «выбросов» - аномальных значений в трафике, обнаруживая их на основе оценки расстояний. В случае моделирования атак для получения образцов аномального трафика, в дальнейшем потребуется осуществить разметку трафика, что является трудоемкой задачей, следовательно, скорость обнаружения атак будет недостаточно высокой для того, чтобы своевременно предотвратить атаку на ранней стадии.

Авторы источника [44] предлагают систему обнаружения атак, функционирующую с использованием генетического алгоритма, обеспечивающего повышение точности обнаружения различных типов сетевых атак. В связи с ростом числа и типов сетевых атак, сложно оценить эффективность данной системы обнаружения атак применительно к современной сетевой инфраструктуре.

Список литературы

1. Зегжда Д.П. Проблема анализа безопасности программного обеспечения / Зегжда Д.П., Шмаков Э.М.// Безопасность информационных технологий. 1995. № 2

2. Зегжда П.Д. Современные направления технологии обеспечения безопасности информационных систем / Зегжда П.Д.// Информатизация образования и науки. 2009. № 1. С. 55-61.

3. Анисимов В.Г. Риск-ориентированный подход к организации контроля в подсистемах обеспечения безопасности информационных систем / Анисимов В.Г., Зегжда П.Д., Супрун А.Ф., Анисимов Е.Г., Бажин Д.А.// Проблемы информационной безопасности. Компьютерные системы. 2016. № 3. С. 61-67.

4. Vasiliev Y.S. Modern problems of cybersecurity / Vasiliev Y.S., Zegzhda P.D., Kuvshinov V.I.// Nonlinear Phenomena in Complex Systems. 2014. Т. 17. № 3. С. 210-214.

5. Лукацкий А.В. Обнаружение атак / Лукацкий А.В. - СПб., БХВ-Петербург. Для широкого круга специалистов, 2003

6. Котенко И.В. Перспективные направления исследований в области компьютерной безопасности / Котенко И.В., Юсупов Р.М.// Защита информации. Инсайд. 2006. № 2 (8). С. 46-57.

7. Медведовский И.Д. Атака на Internet. / Медведовский И.Д. - М.: ДМК 1999 - 336 с.:

ил.

8. Михеев М.О. Администрирование VMware vSphere / Михеев М.О. - М.: ДМК Пресс, 2012. - 504 с.: ил.

9. Зегжда Д.П. Основы безопасности информационных систем. / Зегжда Д.П.- М.: Горячая линия - Телеком, 2000 г. — 452 с.: ил.

10. Петренко С.А. Политики информационной безопасности / Петренко С.А., Курбатов В.А. - М.: Компания АйТи, 2010. - 400 с.: ил.

11. Шелухин О.И. Обнаружение аномальных вторжений в компьютерные сети статистическими методами / Шелухин О.И., Филинова А. С., Васина А. В. //T-Comm-Телекоммуникации и Транспорт. - 2015. - Т. 9. - №. 10.

12. James Manyika. Big data: The next frontier for innovation, competition, and productivity (англ.) (PDF). / James Manyika. - McKinsey Global Institute, June, 2011. McKinsey, p.156

13. Клементьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста / Клементьев К.Е. - М.: ДМК Пресс, 2013. -656 с.: ил.

14. Kwok Y.-K. Efficient Algorithms for Scheduling and Mapping of Parallel Programs onto Parallel Architectures: Ph. D. thesis / Yu-Kwong Kwok; The Hong Kong University of Science and Technology. — 1994

15. Сэнди Риза. Spark для профессионалов: современные паттерны обработки больших данных / Сэнди Риза, Ури Лезерсон, Шон Оуэн, Джон, Уиллс. - СПб.: Питер, 2017. - 272 с.: ил.

16. Semistructured Data [Электронный ресурс]. - Режим доступа: http://www.cis.upenn.edu/~db/abstracts/semistructured.html (дата обращения 29.05.2015).

17. Лаврова Д.С. Обнаружение инцидентов безопасности в Интернете Вещей / А.И. Печенкин, Д.С. Лаврова // Проблемы информационной безопасности. Компьютерные системы. - СПб.: Изд-во Политехн. Ун-та. - 2015. - №2. - С. 69-79

18. Debar H. Towards a taxonomy of intrusion-detection systems. Computer Networks. / Debar H., Dacier M., Wespi A. -1999. vol. 31. Issue 8. pp. 805-822.

19. J.P. Anderson, "Computer Security Threat Monitoring and Surveillance." / J.P. Anderson Co, - Fort Washington, PA, April 1980

20. Андрианов В.И. Инновационное управление рисками информационной безопасности: учебное пособие / В. И. Андрианов, А. В. Красов, В. А. Липатников; Федеральное агентство связи, Федеральное гос. образовательное бюджетное учреждение высш. проф. образования "Санкт-Петербургский гос. ун-т телекоммуникаций им. проф. М. А. Бонч-Бруевича". Санкт-Петербург, 2012.

21. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия: учеб. пособие / Лапонина О.Р. - под ред. В.А. Сухомлина. - 2-е изд., испр. - М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2012. - 513 с.: ил., табл.

22. Саенко И.Б. "Модели и методы разграничения доступа к ресурсам единого информационно-коммуникационного пространства разнородных автоматизированных систем, основанные на технологии искусственного интеллекта". / Саенко И.Б. - Грант Российского Фонда Фундаментальных Исследований № 14-07-00697-а, 2014-2016.

23. Лаврова Д.С. Методологическое и математическое обеспечение для SIEM-систем в интернете вещей: дис. Канд. тех. Наук: 05.13.19 / Лаврова Д.С. - 2016

24. Алан Моррисон. Большие Данные: как извлечь из них информацию (рус.). / Алан Моррисон. - Технологический прогноз. Ежеквартальный журнал, российское издание, 2010 выпуск 3.

25. Басараб М.А. Обнаружение аномалий в информационных процессах на основе мультифрактального анализа / Басараб М.А., Строганов И.С. - Вопросы кибербезопасности. - 2014. - №. 4 (7).

26. Дойникова Е.В. Оценка защищенности и выбор защитных мер в компьютерных сетях на основе графов атак и зависимостей сервисов: дис. Канд. тех. Наук: 05.13.19 / Дойникова Е.В. - Санкт-Петербург, 2017

27. Nurohman H. Traffic anomaly-based detection: Anomaly detection by self-similar analysis / Nurohman H. et al. // Control, Electronics, Renewable Energy and Communications (ICCEREC), 2015 International Conference on. - IEEE, 2015. - С. 1-6.

28. A. Kanev «Anomaly detection in wireless sensor network of the "smart home" system»/. Kanev et al. - 20th Conference of Open Innovations Association (FRUCT), St. Petersburg, 2017, pp. 118-124

29. Бельков Д. В. Вейвлет-анализ сетевого трафика / Д. В. Бельков, Е. Н. Едемская // Науковi пращ Донецького нацюнального техтчного утверситету. Сер. : 1нформатика, шбернетика та обчислювальна техтка. - 2012. - Вип. 16. - С. 21-27

30. Wasm.Защита программ при помощи сетей Петри и взлом [Электронный ресурс]/Режим доступа: https://web.archive.org/web/20120929081626/

31. Козырев В.М. Разработка методов повышения скорости обработки сигналов для процесса обучения вейвлет-нейронных сетей / Козырев В.М., Новак А.В.// Актуальные проблемы инфотелекоммуникаций в науке и образовании Международная научно -техническая и научно-методическая конференция: сборник научных статей в 2 томах. Под ред. С.В. Бачевского, сост. А.Г. Владыко, Е.А. Аникевич, Л.М. Минаков. 2015. С. 1308-1312.

32. Николенко С. Глубокое обучение. Погружение в мир нейронных сетей / Николенко С., Кадурин А., Архангельская Е. - СПб.: Питер, 2018. - 480 с.: ил.

33. Лаврова Д.С. Подход к разработке SIEM-системы для Интернета Вещей / Д.С. Лаврова // Проблемы информационной безопасности. Компьютерные системы. - СПб.: Изд-во Политехн. Ун-та. - 2016. - №2. - С. 50-60.

34. Лаврова Д.С. Обнаружение инцидентов безопасности в Интернете Вещей / А.И. Печенкин, Д.С. Лаврова // Проблемы информационной безопасности. Компьютерные системы. - СПб.: Изд-во Политехн. Ун-та. - 2015. - №2. - С. 69-79.

35. Моисеев А.Н. Математическая модель GRID-системы с адаптируемым выделением вычислительных ресурсов / А. Н. Моисеев, С. П. Моисеева // Новые информационные технологии в исследовании сложных структур: материалы IX Российской конф. с междунар. участием (Катунь, 5-8 июня 2012). - Томск: Изд-во НТЛ, 2012. - C. 95

36. В.А. Ильин, Крюков А.П., Демичев А.П., Шамардин Л.В., Боос Е.Г. НИР на тему: «Исследование и разработка технологического задела по запуску в грид-инфраструктуру заданий, подготовленных для различных сред исполнения» // МГУ им. М.В. Ломоносова, НИИ ядерной физики им. Д.В. Скобельцына, 2007 г.

37. Haddadi F. Intrusion detection and attack classification using feedforward neural network / Haddadi F. et al.//Computer and Network Technology (ICCNT), 2010 Second International Conference on. - IEEE, 2010. - С. 262-266

38. Galtsev A. A. Network Attack Detection at Flow Level / Galtsev A. A., Sukhov A. M.//NEW2AN. - 2011. - С. 326-334.

39. Gandhi M. Detecting and preventing attacks using network intrusion detection systems / Gandhi M., Srivatsa S. K.//International Journal of Computer Science and Security. - 2008. - Т. 2. - №. 1. - С. 49-58.

40. Al-Jarrah O. Network Intrusion Detection System using attack behavior classification / Al-Jarrah O., Arafat A. //Information and Communication Systems (ICICS), 2014 5th International Conference on. - IEEE, 2014. - С. 1-6.

41. Prabhu G.N. Network Intrusion Detection System / Prabhu G. N. et al.//International Journal of Engineering Research and Applications. - 2014. - С. 69-72.

42. Akbar S. A Hybrid Scheme based on Big Data Analytics using Intrusion Detection System. / Akbar S., Srinivasa Rao T., Ali Hussain M.//Indian Journal of Science and Technology, Vol 9(33), DOI: 10.17485/ijst/2016/v9i33/97037, September 2016.

43. Jabez J. Intrusion Detection System (IDS): Anomaly Detection / Jabez J., Muthukumar B.//Using Outlier Detection Approach. Procedia Computer Science, Vol. 48, P. 338-346, 2015.

44. Mohammad Sazzadul Hoque. An Implementation of Intrusion Detection System using Genetic Algorithm / Mohammad Sazzadul Hoque, Md. Abdul Mukit & Md. Abu Naser Bikas // International Journal of Network Security and Its Applications (IJNSA), Vol.4, No.2, March, pp. 109-120, 2012.

45. Shelke, M. P. K. Intrusion Detection System for Cloud Computing. / Shelke, M. P. K., M. S. Sontakke, and A. Gawande // International Journal of Scientific & Technology Research Volume 1, Issue 4, May 2012.

46. Reghunath K. Real Time Intrusion Detection System for Big Data. International Journal of Peer to Peer Networks (IJP2P) Vol.8, No.1, February 2017.

47. Abinesh Kamal K. U. Intrusion detection system using Big Data framework. ARPN Journal of Engineering and Applied Sciences / Abinesh Kamal K. U., Sathyadevan S. - June2017, Vol. 12, No. 12.

48. Kaur Jangla G. Development of an Intrusion Detection System based on Big Data for Detecting Unknown Attacks. International Journal of Advanced Research in Computer and Communication Engineering / Kaur Jangla G., Amne Deepa.A. - December 2015 Vol. 4, Issue 12.

49. Mario Golling. Privacy-aware intrusion detection in high-speed backbone networksdesign and prototypical implementation of a multi-layered nids. / Mario Golling, Robert Koch, and Gabi Dreo Rodosek - 19th International Symposium on Research in Attacks, Intrusions and Defenses, 2016.

50. Tao X. A Novel Intrusion Detection System Based on Data Mining. / Tao X., Wei Z., XuHong L., Xia W., Wenwen P.// Proceedings of the 2015 4th International Conference on Computer, Mechatronics, Control and Electronic Engineering. P. 1306-1309.

51. Шелухин О. И. Обнаружение аномальных выбросов телекоммуникационного трафика методами дискретного вейвлет-анализа / Шелухин О. И., Гармашев А. В.//Электромагнитные волны и электронные системы. - 2012. - Т. 17. - №. 2. - С. 15-26.

52. Официальный сайт проекта [Электронный ресурс] - Режим доступа: http://www.ossec.net/

53. OSSIM — разворачиваем комплексную open source систему управления безопасностью [Электронный ресурс] - Режим доступа: https://habr.com/post/255433/

54. ELK+R как хранилище логов [Электронный ресурс] - Режим доступа: https://habr.com/post/260869/

55. Вихров Н.М. Анализ информационных рисков / Вихров Н.М., Нырков А.П., Каторин Ю.Ф., Шнуренко А.А., Башмаков А.В., Соколов С.С., Нурдинов Р.А. // Морской вестник. 2015. № 3 (55). С. 81-85.

56. Нурдинов Р.А. Оценка рисков безопасности информационной системы на основе модели деструктивных состояний и переходов / Нурдинов Р.А.// Материалы конференции ИБРР-2015. СПОИСУ. СПб, 2015. С. 372-373.

57. Джон Эриксон. Хакинг: Искусство эксплоита. 2-ое изд./ Джон Эриксон. - СПб: Питер, 2018. - 496 с.: ил.

58. Руководящий документ ФСТЭК от 30 марта 1992 г. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защитенформации. Утверждено решением председателя Государственной технической комиссии при Президенте РФ.

59. Гостехкомиссия России. Сборник руководящих документов по защите информации от несанкционированного доступа. СИП РИА. - Москва, 1998.

60. Авраамов Люсиен. Центры обработки данных на основе политик и ACI: структура, концепции и методилогия. / Авраамов Люсиен, Портолани Маурицио. - Пер. с. Англ. - М.; ООО «И.Д. Вильямс», 2016. - 384 с.: ил. - Парал. тит. Англ.

61. Паттерсон Дж. Глубокое обучение с точки зрения практика / Паттерсон Дж., Гибсон А. - пер с анг. А.А. Слинкина. - М.: ДМК Пресс, 2018. - 418 с.: ил

62. Джон Гудсон. Практическое руководство по доступу к данным: Пер. с англ. / Джон Гудсон, Роб Стюард. - Спб.: БХВ-Петербург, 2013. - 304 с.: ил

63. EMC2 от хранения данных к управлению информацией. 2-е изд. / СПб.: Питер, 2016. - 544 с.: ил

64. Karlsson, C. Optimizing Process-to-Core Mappings for Application Level Multidimensional MPI Communications / C. Karlsson, T. Davies, Z. Chen // Cluster Computing (CLUSTER), 2012 IEEE International Conf. Proceedings (Beijing, China, September, 24-28, 2012). — Beijing, 2012. — P. 486-494.

65. Ageev S. Abnormal Traffic Detection in networks of the Internet of things based on fuzzy logical inference / Ageev S. et al. //Soft Computing and Measurements (SCM), 2015 XVIII International Conference on. - IEEE, 2015. - С. 5-8.

66. Мак-Клар, Стюарт, Скембрей Джоэл, Курц Джордж. Секреты хакеров. Безопасность сетей готовые решения, 3-е издание.: Пер. с англ. - М.: Издательский дом «Вильямс», 2002. - 736 с.: ил

67. Ксёнз Е.С., Липатников В.А., Максимов Р.В., Стародубцев Ю.И., Федяков Е.Г., Хлыбов Д.Л. Устройство поиска информации // Патент RUS 2219577 24.04.2002

68. Андрианов В.И., Бухарин В.В., Кирьянов А.В., Сахаров Д.В., Стародубцев Ю.И., Санин И.Ю., Липатников В.А. Способ защиты информационно-вычислительных сетей от компьютерных атак // Патент РФ № 2011147613/08, 23.11.2011.

69. Балясов А.Е., Бухарин В.В., Голуб Б.В., Кирьянов А.В., Сахаров Д.В., Стародубцев Ю.И. Способ защиты канала связи вычислительной сети // Патент РФ № 2012123121/08, 04.06.2012.

70. Бухарин В.В. Метод управления информационной безопасностью организации на основе процессного подхода / Бухарин В.В., Липатников В.А., Сахаров Д.В.// Информационные системы и технологии. 2013. № 3 (77). С. 102-109.

71. Костарев С.В. Модель процесса передачи результатов аудита и контроля в автоматизированной системе менеджмента предприятия интегрированной структуры / Костарев С.В., Липатников В.А., Сахаров Д.В.// Проблемы информационной безопасности. Компьютерные системы. 2015. № 2. С. 120-125.

72. Буйневич М.В. Систематизация компьютерных атак на телекоммуникационные сети в контексте модели нарушителя / Буйневич М.В.// Вестник Санкт-Петербургского университета МВД России. 2005. № 3. С. 306

73. Дубровин, Н. Д. Реализация прототипа на базе hadoop для анализа больших данных / Н. Д. Дубровин, И. А. Ушаков, И. В. Котенко // Информационная безопасность регионов России (ИБРР-2015) Материалы конференции. — 2015. — С. 69-70.

74. Ушаков, И. А. Анализ методик применения концепции больших данных для мониторинга безопасности компьютерных сетей/ И. А. Ушаков, И. В. Котенко, К. Ю. Крылов // Информационная безопасность регионов России (ИБРР-2015) Материалы конференции. — 2015. — С. 75-76.

75. Дешевых, Е.А. Интеграция SIEM-систем с системами корреляции событий безопасности, основанных на технологии больших данных / Е. А. Дешевых, И. А. Ушаков, А. А. Чечулин // Информационные технологии в управлении (ИТУ-2016) Материалы 9-й конференции по проблемам управления. Председатель президиума мультиконференции В. Г. Пешехонов. — 2016. — С. 684-687.

76. Ивченко Г.И., Каштанов В.А., Коваленко И.Н. Теория массового обслуживания. — Учебное пособие для вузов. — М.: Высшая школа, 1982. — 256 с.

77. Шелухин О. И. Сравнительный анализ алгоритмов обнаружения аномалий трафика методами дискретного вейвлет-анализа / Шелухин О. И., Филинова А. С. //Т-Сотт-Телекоммуникации и Транспорт. - 2014. - Т. 8. - №. 9.

78. Шелухин О.И. Анализ информативных признаков в задачах обнаружения аномалий трафика статистическими методами / Шелухин О.И., Судариков Р.А. // Т-Сотт-Телекоммуникации и Транспорт. - 2014. - Т. 8. - №. 3

79. Дойникова Е.В., Котенко И.В. Компонент динамического выбора контрмер на основе анализа инцидентов безопасности для предотвращения развития атаки в компьютерной сети. // Свидетельство № 2016663492. Зарегистрировано в Реестре программ для ЭВМ 08.12.2016.

80. Дойникова Е.В. Компонент оценки эффективности системы оценки защищенности в компьютерных сетях. // Свидетельство № 2016663928. Зарегистрировано в Реестре программ для ЭВМ 19.12.2016

81. Андронов А.В. Формальная модель процессов работы и метод адаптации нейросетевых средств мониторинга безопасности: дис. канд. тех. Наук: 05.13.19 / Андронов Алексей Викторович - Санкт-Петербург, 2012. - 22 с

82. Рябко Б.Я. Основы современной криптографии и стеганографии. — 2-е изд. / Рябко Б.Я., Фионов А.Н. — М.: Горячая линия — Телеком, 2013. — 232 с,ил.

83. Грибунин В.Г. Цифровая стеганография. / Грибунин В.Г., Оков И.Н., Туринцев И.В.— М.: Солон-Пресс, 2002. — 272 с.

84. Коржик В.И. Цифровая стеганография и цифровые водяные знаки. / Коржик В.И., Небаева К.А., Герлинг Е.Ю., Догиль П.С., И.А. Федянин П.С. - СПб.: СПбГУТ. 2016 - 226 стр.

85. Финк Л.М. Помехоустойчивое кодирование дискретных сообщений в каналах со случайной структурой. / Финк Л.М., Коржик В.И. — М.: Связь, 1975

86. Korzhik V. On the eistance of perfect stegosystems / Korzhik V.// Lecture Notes in Computer Science. 2005. Т. 3710. С. 30.

87. Коржик В.И. Сравнение подходов к защите информации, основанных на использовании кодового зашумления и «усиления секретности» / Коржик В.И., Яковлев В.А.// Информатика и вычислительная техника. 1994. № 2. С. 59.

88. Коржик, В.И. Построение идеально стойкой лингвистической стегосистемы с редактируемым текстом / В.И. Коржик, А.А. Залетов // СанктПетербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича. Научно-техническая конференция профессорскопреподавательского состава, научных сотрудников и аспирантов, 60-я. 21-25 января 2008 года: материалы. - СПб.: СПбГУТ. - 2008. - С. 168.

89. Буйневич М.В. Метод алгоритмизации машинного кода телекоммуникационных устройств / Буйневич М.В., Израилов К.Е.// Телекоммуникации. 2012. № 12. С. 2-6.

90. Buinevich M.V. Method and utility for recovering code algorithms of telecommunication devices for vulnerability search / Buinevich M.V., Izrailov K.E.// В сборнике: 16th International Conference on Advanced Communication Technology (ICACT) 2014. С. 172-176.

91. Буйневич М.В. Автоматизированное средство алгоритмизации машинного кода телекоммуникационных устройств / Буйневич М.В., Израилов К.Е.// Телекоммуникации. 2013. № 6. С. 2-9.

92. Лазарев В. Г., Пийль Е. И. Синтез управляющих автоматов. — 3-е изд., переработанное. и дополненное. Москва, издательство Энергоатомиздат, 1989.

93. Кангин В. В., Козлов В. Н. Аппаратные и программные средства систем управления. Москва, издательство Бином. Лаборатория знаний, 2010.

94. Кристиан Нейгел. C# 5.0 и платформа .NET 4.5 для профессионалов = Professional C# 5.0 and .NET 4.5. / Кристиан Нейгел и др. — М.: «Диалектика», 2013. — 1440 с. — ISBN 978-5-8459-1850-5.

95. Касперски, К. Искусство дизассемблирования / К. Касперски, Е. Рокко. - СПб.: БЧВ-Петербург, 2008. - 896 с.: ил.

96. Ахо А. Компиляторы. Принципы, технологии, инструменты. / Ахо А., Сети Р., Ульман Д.— М. и др.: Вильямс, 2001. — 1184 c.

97. Федотов И.Е. Параллельное программирование. Модели и приемы. / Федотов И.Е. - М.: СОЛОН-Пресс, 2017. - 390 с.

98. Уэс Маккинли. Python и анализ данных / Пер. с англ. Слинкин А.А. - М.: ДМК Пресс, 2015. - 482 с.: ил.

99. Таненбауем Э. Распределенные системы. Принципы и парадигмы / М. ван Стеен. -СПб.: Питер, 2003. - 877 с

100. Callegari C. Entropy-based network anomaly detection / Callegari C., Giordano S., Pagano M.//Computing, Networking and Communications (ICNC), 2017 International Conference on. - IEEE, 2017. - С. 334-340.

101. Красов А.В. Метод управления трафиком в гибридной программно-определяемой сети / Красов А.В., Левин М.В., Цветков А.Ю.// Информационные технологии и телекоммуникации. 2016. Т. 4. № 2. С. 53-63.

102. Таненбаум Э. Современные операционные системы. 4-е изд. / Таненбаум Э., Бос Х. - СПб.: Питер, 2015. - 1120 с.: ил.

103. Груздев Д.А. Мониторинг информационно-телекоммуникационных сетей / Груздев Д.А., Закалкин П.В., Кузнецов С.И., Тесля С.П.// Труды учебных заведений связи. 2016. Т. 2. № 4. С. 46-50.

104. Александров В.А. Мониторинг функционирования узлов связи специального назначения / Александров В.А., Лубянников А.А., Проценко М.С., Стахеев И.Г.// Актуальные проблемы инфотелекоммуникаций в науке и образовании. Сборник научных статей: в 3-х томах. 2016. С. 87-90

105. Электронный ресурс [Методы нейтрализации защиты] / Режим доступа: https://studfiles.net/preview/313021/page:7/

106. Электронный ресурс [Stegdetect] / Режим доступа: http://www.outguess.org/detection.php

107. Сивачев А.В. Эффективность стеганоанализа на основе методов машинного обучения / Сивачев А.В., Прохожев Н.Н., Михайличенко О.В., Башмаков Д.А.// Вопросы кибербезопасности №2(20) - 2017, с 53-60

108. Kotenko I. Common framework for attack modeling and security evaluation in siem systems / Kotenko I., Chechulin A. // В сборнике: Proceedings - 2012 IEEE Int. Conf. on Green

Computing and Communications, GreenCom 2012, Conf. on Internet of Things, iThings 2012 and Conf. on Cyber, Physical and Social Computing, CPSCom 2012 2012. С. 94-101.

109. Котенко И.В. Обманные системы для защиты информационных ресурсов в компьютерных сетях / Котенко И.В., Степашкин М.В.// Труды СПИИРАН. 2004. Т. 1. № 2. С. 211-230.

110. Котенко И.В. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах / Котенко И.В., Саенко И.Б.// Труды СПИИРАН. 2013. № 1 (24). С. 21-40.

111. Котенко И.В. Аналитические модели распространения сетевых червей / И.В. Котенко, В.В. Воронцов // Труды СПИИРАН. Вып. 4. - СПб.: Наука, 2007.

112. Andrey Fedorchenko. The ontological approach application for construction of the hybrid security repository / Andrey Fedorchenko, Igor Kotenko, Elena Doynikova, Andrey Chechulin.// XX International Conference on Soft Computing and Measurements (SCM'2017). IEEE Xplore, 2017. P.525-528. (WoS and Scopus). (на английском).

113. Федорченко А.В. Применение онтологического подхода для построения гибридного хранилища информации безопасности / Федорченко А.В., Котенко И.В., Дойникова Е.В., Чечулин А.А.// XX Международная конференция по мягким вычислениям и измерениям (SCM'2017), 24 - 26 мая 2017 г. Санкт-Петербург. Сборник докладов, том 2. Издательство СПбГЭТУ «ЛЭТИ», 2017. С.55-58.

114. Десницкий В.А. Формирование экспертных знаний для разработки защищенных систем со встроенными устройствами / В.А. Десницкий, И.В. Котенко // Проблемы информационной безопасности. Компьютерные системы. - 2015. - № 4. - С. 35-41

115. Десницкий В.А. "Разработка и исследование моделей и методик проектирования и верификации комбинированных механизмов защиты информационно-телекоммуникационных систем со встроенными устройствами на основе экспертных знаний". / Десницкий В.А. Грант Российского Фонда Фундаментальных Исследований (РФФИ) № 14-07-00417-а, 2014-2016.

116. Романов Г.Г., Виткова Л.А, Андрианов В.И., Штеренберг С.И. Интерфейс экспертной системы Rex. / Свидетельство об официальной регистрации программы для ЭВМ. No. 2015661877, 2015.

117. Штеренберг С.И., Андрианов В.И., Липатников В.А., Костарев С.В. RPA (rationable progressimo aggredi) (лат.). / Свидетельство о государственной регистрации программы для ЭВМ № 2015611539 от 30.01.2015.

118. Штеренбег С.И. Методы использования пустых секций исполнимого файла для стеговложения саморазвивающегося кода в распределенной системе однозначного отождествления /Штеренбег С.И., Виткова Л.А., Андрианов В.И// Системы управления и информационные технологии. - 2015. Т. 59. № 1.1. С. 189-194.

119. Shterenberg S.I. Analysis of using equivalent instruc-tions at the hidden embedding of information into the executable files / Shterenberg S.I., Krasov A.V., Ushakov I.A.//Journal of Theoretical and Applied Information Technology. 2015.Т.80. № 1.С.28-34.

120. Штеренберг С.И. Распределенная система обнаружения вторжений с защитой от внутреннего нарушителя / Штеренберг С.И., Полтавцева М.А.// Проблемы информационной безопасности. Компьютерные системы. 2018. № 2. С. 59-68.

121. Штеренберг С.И. Методы построения цифровой стеганографии в исполнимых файлах на основе и принципах построения самомодифицирующегося кода / Штеренберг С.И.// Известия высших учебных заведений. Технология легкой промышленности. 2016. Т. 31. № 1. С. 28-36.

122. Штеренберг С.И. Метод вложения информации в исполнимые файлы и его структурный анализ по величине скрываемой информации / Штеренберг С.И.// Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2016. № 1. С. 37-42.

123. Штеренберг С.И. Методика применения в адаптивной системе локальных вычислительных сетей стеговложения в исполнимые файлы на основе самомодифицирующегося кода /Штеренберг С.И.// Системы управления и информационные технологии. 2016. Т. 63. № 1. С. 51-54.

124. Штеренберг С.И. Методика построения поисковой системы для примитивной программы адаптивного действия / Штеренберг С.И.// Наукоемкие технологии в космических исследованиях Земли. 2015. Т. 7. № 4. С. 52-57.

125. Красов А.В. Модель обработки потоками трафика в программно-определяемой сети с изменяющейся нагрузкой / Красов А.В., Левин М.В., Штеренберг С.И., Исаченков

П.А.// Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 4. С. 7074.

126. Штеренберг С.И. Варианты вложения информации в исполнимый файл формата .INTEL HEX при помощи языка Ассемблера / Штеренберг С.И., Виткова Л.А.// Инновации и инвестиции. 2015. № 7. С. 154-156.

127. Штеренберг С.И. Методика применения самомодифицирующегося кода для скрытой передачи данных в экспертной системе / Штеренберг С.И., Кафланов Р.И., Дружин А.С., Марченко С.С.// Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 1. С. 71-75.

128. Штеренберг С.И. Анализ работы алгоритмов защиты информации на основе самомодифицирующегося кода с применением стеговложения / Штеренберг С.И.// Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 2. С. 86-90.

129. Сахаров Д.В. Инфраструктура связи на крайнем севере как база для формирования единой инфосреды / Сахаров Д.В., Мельников С.Е., Штеренберг С.И.// Электросвязь. 2016. № 5. С. 18-20.

130. Сахаров Д.В. Разработка модели обеспечения отказоустойчивости сети передачи данных / Сахаров Д.В., Штеренберг С.И., Левин М.В., Колесникова Ю.А.// Известия высших учебных заведений. Технология легкой промышленности. 2016. Т.4. С.14-20.

131. Штеренберг С.И. Методика применения языка Ассемблер для стеговложения информации в исполняемые файлы / Штеренберг С.И.// T-Comm: Телекоммуникации и транспорт. 2016. Т. 10. № 6. С. 42-47.

132. Шариков П.И. Методика создания и вложения цифрового водяного знака в исполняемые Javaфайлы на основе замен опкодов / Шариков П.И., Красов А.В., Штеренберг С.И.// T-Comm: Телекоммуникации и транспорт.2017.Т.11. №3. С. 66-70.

133. Штеренберг С.И. Метод дизассемблирования вирусов, использующих руткит-технологию, для анализа статистики его внедрения в технологию адаптивной защиты / Штеренберг С.И., Раськевич А.А., Чекалов А.А.// Перспективы науки. 2015. № 6 (69). С. 114119.

134. Штеренберг С.И. Вероятностные методы построения элементов самообучения адаптивных информационных систем / Штеренберг С.И., Штеренберг И.Г.// Вестник Санкт-

Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2016. № 1. С. 53-56.

135. Красов А.В. Методология управления потоками трафика в программно-определяемой адаптивной сети / Красов А.В., Левин М.В., Штеренберг С.И., Исаченков П.А.// Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2016. № 4. С. 3-8.

136. Штеренберг С.И. Общее представление проекта адаптивной интеллектуальной системы А_ЯРА / Штеренберг С.И. // Наукоемкие технологии в космических исследованиях Земли. 2015. Т. 7. № 5. С. 50-57.

137. Гамаюнов Д.Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов: дис. Канд. тех. Наук: 05.13.11 / Гамаюнов Денис Юрьевич - Санкт-Петербург, 2007

138. Будько М.Б. Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа: дис. Канд. тех. Наук: 05.13.19 / Будько Марина Борисовна - Санкт-Петербург, 2009

Приложение А. Свидетельства о регистрации программы ЭВМ

Приложение Б. Акты внедрения и реализации

ао •komuepm мо -алмаз акт1м-

и

На №

• 1ИИИМ>

ís С9 íL/i ч> Ос усс /сес

УТВЕ РЖД А Ю

Заместитель Генерального директора по научной работе - генеральный конструктор ^---нвддмдат технических наук

hU*-

В М. Король _2018 г.

\

АКТ

V

ЬИ Т™™* Р*ош *пщшпш кафефы пшенных

систем связи СПЬ I УТ им проф. МА. Б««ч-Ьр>саича С И Штеренбсрга на тему «Обнаружение вторжений а распределенных информационных системах» оГове методов

а,",ИибОЛЫШ,Х "Р"—ной на соискание >4ио7ст""ш,

канлилата технических наук по специальности 05.13.19 .Методы и системы «щиты

информации, информационная бс»опасность«

25.09.2018

Комиссия в составе начальник НТЦ «Намгацня и посадка», ктн Ерпюв га И4> шо-исс.кдовательското отдела атн с„ш....... с а

______л - ^ИНИПЫН t. А. начальник uavuiin.

имели. ПРЛ-27С, агшыю ииутао.исс.тсдом.чилаио «»гора Зархи а и оапш, « ияучиыД сотрулин. и.^о-кслслом.си.,.,,. ССТОР1 и, JtZ!

1ШГРен0сРга на тему «Обнаружение вторжений в распределенных инфопм-шиоимы« системах на основе методов скрытото мониторинга и ^ЗГТнныхГ

прелста^аемой „а соисканнс у^ой степени к™,а технических 0113.19 «Методы и системы защиты ииформапии. ннформаиионная б<попаснскТь исполмомяы в опытном и серийных образцах пскадочнГГ^ио^ато^Р^г' разработанною АО «ВНИИРА». радиолокатора 11РЛ-27С,

В радиолокагоре ПРЛ-27С РШПИ.462725.001 внедрены следующие основные

результаты диссертационной работы С И. Штеренбсрга " основные

испол^Гбол^ГныГ^ ' -Ф-Р—ых сетях с

miñtJSSTut* М СИСТГМОЙ °бНаР>—" « ■ распределенной

3. Методика обнаружен,,, вторжений на основе анализа временных радов

4. Метод скрытою мониторинга действий пользователя на основе встроенного автоматизированного агента. ж встроенного

5. Структурная схема распределенной системы обнаружения вторжений.

Комиссия отмечает практическую значимость результатов.

новизну полученных в работе