Распознавание вредоносного программного обеспечения на основе скрытых марковских моделей тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Козачок, Александр Васильевич

Актуальность темы. Внедрение информационных технологий во все сферы производства, автоматизация документооборота, расширение спектра услуг, повышение надежности передачи информации по каналам связи обусловили интенсивное развитие корпоративных информационно-вычислительных сетей. Корпоративные сети относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации.

Важным аспектом функционирования корпоративной информационно-вычислительной сети является обеспечение информационной безопасности данных хранимых, обрабатываемых и передаваемых по сети. Основными угрозами информационной безопасности при этом являются следующие [1]: аппаратные и программные сбои, заражение электронно-вычислительных машин (ЭВМ) вредоносными программами, сетевые атаки, халатность сотрудников и кража информации.

Для противодействия угрозам информационной безопасности в составе современных операционных систем присутствует подсистема безопасности, состав которой во многом определяется сервисами безопасности [2]. Базовой операционной системой для персональных компьютеров корпоративных сетей является операционная система семейства Windows, по статистике на более 92 % ЭВМ устанавливаются системы семейства Windows. При этом одной из наиболее опасных угроз является угроза заражения ЭВМ вредоносными программами [1].

Анализ качества антивирусных средств, сертифицированных в Российской Федерации, показал, что известные штаммы вредоносных программ практически со стопроцентной вероятностью распознаются данными средствами [3]. Однако вероятность распознавания новых и модифицированных штаммов составляет около 0,616 [4].

Анализ работ исследователей, занимающихся разработкой антивирусных средств, как отечественных (Е. Касперский [4], М. Бочков [5], Е. Кореновский [6]), так и иностранных (Ф. Коэн [7], А. Клементи [8], Г. Тезауро [9], В. Хофман [10], С. Вайт [11]), позволил сделать вывод о том, что существующие в настоящее время механизмы распознавания вредоносных программ не удовлетворяют современным требованиям.

Таким образом, возникает противоречие между тенденцией к увеличению ежемесячно выпускаемых вирусов с модифицированными штаммами [12] и качеством их распознавания существующими средствами противодействия вредоносным программам [4].

Следовательно, задача разработки новых механизмов распознавания вредоносных программ, несомненно, является актуальной, и ее решение позволит повысить качество функционирования антивирусных средств и эффективность работы подсистемы безопасности операционной системы Windows по защите от угрозы заражения вредоносными программами в целом [13, с. 44].

Объект исследования: подсистема антивирусной защиты операционных систем семейства Windows.

Предмет исследования: модели, методы и алгоритмы распознавания вредоносных программ в исполняемых файлах операционных систем семейства Windows.

Цель исследования: снижение риска заражения вредоносными программами за счет повышения эффективности процесса распознавания вредоносного программного обеспечения на основе применения скрытых марковских моделей и методов кластерного анализа исполняемых файлов.

Научная задача исследования: на основе скрытых марковских моделей и методов кластерного анализа данных разработать модель и методику распознавания вредоносного программного обеспечения в условиях отсутствия априорных данных об их сигнатуре, позволяющие существенно снизить риск заражения вредоносными программами операционных систем семейства Windows.

Частные научные задачи исследования-.

1) проанализировать существующие механизмы распознавания программ с потенциально опасными последствиями;

2) разработать функциональную и аналитическую модели системы распознавания вредоносного программного обеспечения на основе применения аппарата скрытых марковских моделей и алгоритмов иерархической кластеризации;

3) разработать методику распознавания вредоносных программ на основе скрытых марковских моделей и реализовать ее в виде комплекса алгоритмов;

4) оценить эффективность системы распознавания вредоносных программ, построенной на основе разработанной методики;

5) обосновать выбор параметров системы распознавания, сформировать предложения по практической реализации комплекса алгоритмов распознавания вредоносного программного обеспечения, основанного на применении аппарата скрытых марковских моделей и методов иерархического кластерного анализа.

Решение научной задачи основывается на использовании теории машинного обучения, методах кластерного анализа, теории вероятностей и математической статистики, теории алгоритмов, методах математического моделирования.

Основные положения, выносимые на защиту:

1. Аналитическая модель процесса распознавания вредоносного программного обеспечения, основанная на применении аппарата скрытых марковских моделей и методов иерархического кластерного анализа, учитывающая механизмы порождения машинного кода разных классов.

2. Методика распознавания вредоносного программного обеспечения, отличающаяся от аналогов применением аппарата скрытых марковских моделей, реализованная в виде комплекса алгоритмов.

3. Научно-технические предложения по практической реализации комплекса алгоритмов распознавания вредоносного программного обеспечения, основанного на применении аппарата скрытых марковских моделей и методов иерархического кластерного анализа, включающие: рекомендации по программной реализации, выбору параметров системы распознавания, а также варианты применения разработанного комплекса алгоритмов.

Структурно диссертационная работа состоит из введения, трех глав, заключения, библиографического списка, включающего 128 источников, 8 приложений. Текст диссертации изложен на 151 странице, включая 33 рисунка и 15 таблиц.

Выводы

1. Разработана методика распознавания вредоносных программ, реализованная в виде комплекса алгоритмов распознавания вредоносного программного обеспечения на основе скрытых марковских моделей. Отличительные особенности разработанной методики:

- реализован подход к кластеризации скрытых марковских моделей на основе применения гибкой стратегии иерархической кластеризации;

- использован критерий Кржановского и Лая для обоснования выбора числа кластеров машинного кода;

- разработана процедура выделения цепочек машинных команд, основанная на использовании процедуры эмуляции исполнения кода (интеллектуальный дизассемблер) или динамической инструментации кода -выделение трасс машинных команд в процессе исполнения программы в среде "безопасного" исполнения.

2. Разработан алгоритм обучения системы распознавания вредоносных программ на основе скрытых марковских моделей, позволяющий восстановить модели кластеров различных классов машинного кода.

3. Разработан алгоритм распознавания вредоносных программ на основе скрытых марковских моделей, позволяющий производить классификацию машинного кода в условиях отсутствия априорных сведений об их сигнатуре и основанный на учете скрытых марковских моделей машинного кода различных классов (незараженных файлов, вредоносных программ).

4. Подробно описаны основные процедуры, позволяющие реализовать комплекс алгоритмов программно, осуществлена проверка основных свойств алгоритмов.

5. Произведены группы экспериментов и обоснованы параметры системы распознавания вредоносных программ на основе скрытых марковских моделей (таблица 3.8).

Результаты оценки рисков для угрозы заражения вредоносными программами

Параметр Значение

Число состояний скрытой марковской модели (ТУ) 1

Длина анализируемой цепочки машинных команд (7) 90

Число кластеров класса вредоносных программ (Ку1Г) 38

Число кластеров класса незараженных файлов (КС1г) 38

Минимальный объем обучающей выборки для каждого из классов машинного кода (Ь) 800

6. Разработаны научно-технические предложения по практическому применению разработанной программы для ЭВМ "СЛ^егАУ" для защиты корпоративных информационно-вычислительных сетей от угрозы заражения вредоносными программами при построении системы распределенной антивирусной защиты (с установкой только на сервер антивирусной защиты), а также как дополнительное средство первичного анализа исполняемых файлов.

7. Проведен расчет оценок частных показателей эффективности распознавания вредоносных программ на основе скрытых марковских моделей на контрольных выборках: вероятность ошибки первого и второго рода при распознавании. Были экспериментально определены значения оценок вероятностей ошибок первого рода, />ошл = 0,018, и второго рода, Л>ш.2=0,01, при параметрах системы распознавания, указанных выше (пункт 5).

8. Произведена оценка остаточного риска для корпоративной сети при использовании разработанного решения для угрозы заражения вредоносными программами, показавшая снижение риска на 34%, по отношению к первоначальному значению риска полученному в результате первичной оценки рисков. В результате применения разработанной системы распознавания вредоносных программ произошло снижение степени вероятности реализации угрозы заражения вредоносными программами с уровня Средний до уровня Низкий, что подтверждает эффективность применения данной системы, а также за счет применения шлюзов для сегментов (антивирусных серверов), произошло снижение степени вероятности реализации уязвимости - отсутствие фильтрации между сегментами сети, с уровня Высокий до уровня Низкий.

ЗАКЛЮЧЕНИЕ

В результате решения задачи по разработке модели и методики распознавания вредоносного программного обеспечения на основе скрытых марковских моделей и методов иерархического кластерного анализа получены следующие результаты:

1) для защиты корпоративных информационно-вычислительных сетей от угрозы заражения ЭВМ вредоносными программами предложен подход, предполагающий использование добавочного механизма - системы распознавания вредоносных программ на основе скрытых марковских моделей, устанавливаемого на выделенную машину в сети - антивирусный сервер;

2) разработана аналитическая модель системы распознавания вредоносного программного обеспечения, основанная на применении аппарата скрытых марковских моделей и методов иерархического кластерного анализа, которая позволяет производить классификацию машинного кода различных классов программ. При этом разработанная модель системы распознавания вредоносных программ на основе скрытых марковских моделей отличается от аналогичных моделей эвристического анализа машинного кода наличием дополнительной процедуры -кластеризации исполняемых файлов на основе анализа последовательностей машинных команд, выделенных из файлов обучающей выборки, на этапе обучения системы распознавания вредоносных программ, а также блоком принятия решения о зараженности анализируемого файла на основе применения аппарата скрытых марковских моделей;

Введение данных механизмов позволяет распознавать вредоносные программы в условиях отсутствия априорных сведений об их сигнатуре.

3) разработана методика распознавания вредоносных программ, реализованная в виде комплекса алгоритмов распознавания вредоносных программ, основанного на применении аппарата скрытых марковских моделей и методов иерархического кластерного анализа. В котором для решения задачи выделения последовательностей машинных команд применяется система эмуляции выполнения машинного кода в безопасной среде и система динамической инструментации кода, а для классификации выделенных цепочек машинных команд применен аппарат скрытых марковских моделей;

Практическая ценность разработанной методики заключается в возможности ее применения для решения задач, касающихся защиты операционной системы Windows от угрозы заражения вредоносными программами.

4) разработана программа: "Кластерный анализатор исполняемых файлов на наличие файловых вирусов ClusterAV", на которую получено свидетельство об официальной регистрации в ФИПС № 2010611715;

5) проведена экспериментальная оценка эффективности разработанного решения для распознавания вредоносных программ, а также оценка рисков для корпоративной сети при использовании разработанного решения для защиты от угрозы заражения вредоносными программами.

Направлением дальнейших исследований автор считает расширение возможностей подсистемы предварительной обработки, для обеспечения возможности анализа упакованных исполняемых файлов, а также разработку комплексной системы антивирусной защиты с использованием нескольких механизмов распознавания вредоносного кода.

1. Доля А. Внутренние ИТ-угрозы в госсекторе 2011 электронный ресурс./ Обзоры и обозрения. М., 2011. Режим доступа: http://www.cnews.ru/reviews/free/gov201 l/articles/innerdanger. shtml.

2. Информационная безопасность открытых систем. Учебник для вузов. В 2 x томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С. В. Запечников, Н. Г. Милославская, А. И. Толстой, Д. В. Ушаков. М.: Горячая линия - Телеком, 2006. - 536 с.

3. Касперский Е. В. Компьютерные вирусы: что это такое и как с ними бороться. M.: CK Пресс, 1998. - 288 с.

4. Ильин С. Сравнение эффективности проактивной антивирусной защиты электронный ресурс. / Главная / Аналитика. М., 2011. Режим доступа: http://www.anti-malware.ru/index.phtml?part=analysis.

5. Бочков М. В. Теоретические основы адаптивной защиты информации в вычислительных сетях от несанкционированного доступа. Монография / Под ред. С. Н. Бушуева и В. Ф. Комаровича. Орел: Академия Спецсвязи России, 2004.

6. Бочков М. В., Кореновский Е. Н. Метод идентификации форматов данных и обнаружения деструктивного кода на основе статистических методов распознавания образов. Деп. в ЦВНИ МО РФ, 21.01.04 № В5578. -М.: 2004 серия Б, вып. №66.

7. Касперский Е. Теоретические сведения о компьютерных вирусах электронный ресурс. / Курс: Вирусы и средства борьбы с ними. М., 2010. Режим доступа: http://www.intuit.ru/department/security/viruskasper/2/.

8. Clementi Andreas. Anti-Virus Comparative No. 14. Proactive / retrospective test (on-demand detection of virus/malware) электронный ресурс. AV comparatives, May 2012. Режим доступа: http://www.av-comparatives.org.

9. Tesauro G., Kephart O., Sorkin G. B. Neural Networks for computer virus recognition. IEEE Expert, vol. 11, no 4, Aug. 2006.

10. Hoffman В. Patent WO 01/69356 A2. Histogram-Based Virus Détection. Symantec Corporation, September 2007.

11. White Steve. Open Problems in Computer Virus Research электронный ресурс. / Home / Conférence / VB2008 / Munich, 2008. Режим доступа: http://www.virusbtn.com/pdf/conferenceslides/2008/ StiveWhiteVB2008.pdf.

12. Kaspersky Security Bulletin 2011. Развитие вредоносных программ электронный ресурс. Москва, 2011. Режим доступа: http://www.securelist.com/ru/analysis/208050741/KasperskySecurityBulletin0 snovnayastatistikaza201 lgod.

13. ФСТЭК России. Руководящий документ. Антивирусные средства. Показатели защищенности и требования по защите от вирусов. М.: 1998. -9 с.

14. Биячуев Т. А. Безопасность корпоративных сетей: Учебное пособие. СПб.: Санкт- Петербургский государственный университет информационных технологий, механики и оптики, 2004. 163 с.

15. Статистика использования операционных систем в корпоративных сетях электронный ресурс. М., 2012. Режим доступа: http://www.netmarketshare.com/operating-system-marketshare.aspx? qprid=8&qpcustomd=0.

16. Михайлов А. В. Компьютерные вирусы и борьба с ними: Учеб. пособие. М.: Диалог-МИФИ, 2012.-104 с.

17. Девянин П. Н., Михальский О. О., Правиков Д. И., Щербаков А. Ю. Теоретические основы компьютерной безопасности, учебное пособие для вузов. М.: Радио и связи, 2000. - 192 с.

18. Козачок А. И., Биркун Н. И. Основы информационной безопасности. Курс лекций. Орел: Академия Спецсвязи России, 2010. -291 с.

19. Преображенский Е. Внутренние ИТ-угрозы в России 2011 электронный ресурс. / Обзоры и обозрения. М., 2011. Режим доступа: http://www.infowatch.ru/threats?chapter=147151396&id=178488464.

20. Антивирусная защита компьютерной сети электронный ресурс. М., 2011. Режим доступа: http://it-sektor.ru/antivirusnaya-zaschita-seti.html.

21. Губенков А. А., Байбурин В. Б. Информационная безопасность. -М.: ЗАО Новый издательский дом, 2005. 128 с.

22. Щербаков А. Разрушающие программные воздействия. М.: Изда-тельство "Эдэль", 1993. - 64 с.

23. Michael Sikorski Practical Malware Analysis. No starch press, 2012. -p. 802.

24. ГОСТ P 51188-98. Испытания программных средств на наличие компьютерных вирусов.

25. Зайцев О. В. ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита. СПб.: БХВ-Петербург, 2006. -304 с.

26. Sheehan С. Pump my РЕ: parsing malicious and malformed executables электронный ресурс. / Home / Conference / VB2008. Vienna, 2008. Режим доступа: http://www.virusbtn.com/pdf/conferenceslides/ 2008/CaseySheehan.pdf.

27. Рейман JT. Д. О стратегии развития информационного общества в Российской Федерации электронный ресурс. / Новости. М., 2010. Режим доступа: http://www.minsvyaz.ru.

28. Касперский, Е. Сетевые черви, электронный ресурс. / Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Сетевые черви. М., 2010. Режим доступа: http://www.viruslist.com/ru/viruses/ encyclopedia?chapter= 156769326.

29. Типы детектируемых объектов электронный ресурс. 2012. Режим доступа: http://www.securelist.com/ru/threats/detect?chapter=l 12.

30. Хорев П. Б. Методы и средства защиты информации в компьютерных системах: Учеб. пособие для студ. высш. учеб. заведений / Павел Борисович Хорев. М.: Издательский центр "Академия", 2005. - 256 с.

31. Белоусов С. А., Гуц А. К., Планков М. С. Троянские кони. Принципы работы и методы защиты: Учебное пособие Омск: Издательство "Наследие. Диалог-Сибирь", 2003. - 84 с.

32. Касперский Е. Троянские программы электронный ресурс. / Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Троянские программы. М., 2012. Режим доступа: http://www.viruslist.com/ru/viruses/encyclopedia?chapter=l 56771566.

33. Kaspersky Security Bulletin 2012. Развитие вредоносных программ электронный ресурс. Москва, 2011. Режим доступа: http://www.kaspersky.com/de/downloads/pdf/kasperskysecuritybulletin2012 de.pdf.

34. Уголовный кодекс Российской Федерации. Официальный текст по состоянию на 1 февраля 1997 г. М.: Издательская группа ИНФРА М-НОРСА, 1997.

35. Geier Е., Geier J. Simple Computer Security: Disinfect Your PC. -Indianapo-lis.: Wiley Publishing, 2007. 332 p.

36. Alex Fedoruk Комплексная защита от вирусов. M.: Интернет-издание, 2011. - 100 с.

37. Корт С. С., Кузнецов А. О., Штепа А. Б., Добрица И. В., Захаров С. В. Средство антивирусного мониторинга ЛВС // Методы и технические средства обеспечения безопасности информации: Тезисы докладов. -СПб.: Издательство СПбГТУ, 2001. С. 54.

38. Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети анализ технологий и синтез решений / Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. -М.: ДМК Пресс, 2004. - 616 с.

39. Касперский Е. Вирусы и средства борьбы с ними. Теоретические сведения о компьютерных вирусах электронный ресурс. / Главная / Интернет образование. - М., 2008. Режим доступа: http://www.intuit.rU/department/security/viruskasper/2/.

40. Эббинхауз Г.-Д., Якобе К., Ман Ф.-К. Машины Тьюринга и рекурсивные функции. М.:Мир, 1972. - 264 с.

41. Анализ рынка антивирусной защиты в России 2010-2012 электронный ресурс.- М., 2012. Режим доступа: http://www.anti-malware.ru/russianantivirusmarket20102012.

42. Козачок А. В., Мацкевич А. Г. Модификация структурного метода распознавания вирусов // Информация и безопасность. Воронеж: Издательство "Воронежский государственный технический университет", 2010. Выпуск 1, том 13. С. 33-36 (Журнал рекомендован ВАК).

43. Ильин С., Стогов И. Анализ рынка антивирусной защиты России 2010-2011 электронный ресурс. / Главная / Аналитика. М., 2011. Режим доступа: http://www.anti-malware.ru/index.phtml?part=analysis.

44. Гульев И., Создаем вирус и антивирус. М.: ДМК, 1999. - 304 с.

45. Aycock J. Computer Viruses and Malware. Calgary: Springer, 2006. -p. 227.

46. Кирьянов К.Г. Сигнатурный анализ: Метод, пособие. Нижний Новгород: ННГУ им. Н. И. Лобачевского, 1999. - 29 с.

47. Касперски К. Компьютерные вирусы изнутри и снаружи. Спб.: Питер, 2007. - 527 с.

48. Методы сокрытия вирусного кода электронный ресурс.- М., 2007. Режим доступа: http://www.xaker.name/forvb/showthread.php?t=5363.

49. Троян в упаковке электронный ресурс.- М., 2011. Режим доступа: http://www.inattack.ru/article/troyan-v-upakovke/317.html#.UBFEmXFyJA.

50. Шевченко А. Технологии обнаружения вредоносного кода. Эволюция электронный ресурс.- М., 2009. Режим доступа: http://www.securelist.com/ru/analysis/204007574/Tekhnologiiobnaruzheniyavre donosnogokodaEvolyutsiya.

51. Доля А. Антивирусные "движки" электронный ресурс. / Главная / Статьи Software / Приложения и утилиты. М., 2009. Режим доступа: http://www.fcenter.ru/foфпnt.shtml?online/articles/software/utilities/12214.

52. Szor P. The art of computer virus research and defense. Addison Wesley Pro-fessional, 2005. 744 p.

53. Гудилин О. Проактивность как средство борьбы с вирусами, электронный ресурс. / Главная / Аналитика. М., 2006. Режим доступа: http://www.viruslist.com/ru/analysis.

54. Никишин А. Проактивная защита как она есть электронный ресурс. / Главная / Аналитика. М., 2010. Режим доступа: http://www.viruslist.com/ru/analysis.

55. Gryaznov D. Scanners of The Year 2000: Heuristics. Proceeding of the Fifth International Virus Bulletin Conference, 1999, pp. 225-234.

56. Расстояние Кульбака — Лейблера электронный ресурс.- М., 2010. Режим доступа: Ьир://т.штеПЬ.сот/\у11и/Расстояние Кульбака-Лейблера.

57. Фу К. Структурные методы в распознавании образов. М.: Издательство "Мир", 1977. - 320.

58. Kyle Johnson Introduction to Transformational Grammar электронный ресурс. 2007. Режим доступа: http://people.umass.edu/kbj/ homepage/Content/60 llectures.pdf.

59. Hoglund G., Butler J. Rootkits: Subverting the Windows Kernel. -Addison Wesley Professional, 2006. 352 p.

60. Liang Xie A Behavior-based Malware Detection System электронный ресурс. 2012. Режим доступа: http://www.cse.sc.edu/~wyxu/ 719Spring 10/papers/pBMDS.pdf.

61. ГОСТ PB 5187-2002. Информационная технология. Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. М., 2002. -60 с.

62. Петухов Г. Б. Основы теории эффективности целенаправленных процессов. Часть 1. Методология, методы, модели. Министерство обороны СССР, 1989.-660 с.

63. Гостехкомиссия России. Проект руководящего документа. Антивирусные средства. Показатели защищенности и требования по защите от вирусов. М.: 1998. - 9 с.

64. TRA-1 Harmonized Threat and Risk Assessment Methodology электронный ресурс. 2007. Режим доступа: www.cse-cst.gc.ca/documents/publications/tra-emr/tra-emr-l-e.pdf.

65. The Risk IT Practitioner Guide электронный ресурс. 2009. Режим доступа: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables /Pages/The-Risk-IT-Practitioner-Guide.aspx.

66. ГОСТ Р ИСО/МЭК 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. М.: Госстандарт России, 2007.

67. Стратегии управления рисками, связанными с вредоносными программами электронный ресурс.- М., 2007. Режим доступа: http://technet.microsoft.com/ru-ru/library/cc875818.aspx

68. NIST800-30 «Руководство по менеджменту риска для систем информационных технологий» Американский Национальный Институт Стандартов и Технологий 2002.

69. Корпоративные сети как объект защиты электронный ресурс. -2012. Режим доступа: http://inf-bez.ru/?p=567.

70. Ludwig М. A. The Little Black Book of Computer Viruses. Arizona, 1996.- 183 p.

71. Бойцев О. Антология сокрытия вирусного кода электронный ресурс. / Главная. Минск, 2012. Режим доступа: http://www.nestor.minsk.by/kg/ index.html

72. Собейкис В. Г. Азбука хакера 3. Компьютерная вирусология / Варфоломей Собейкис. М.: Майор, 2009. - 512 с.

73. Lu Bryan. A deeper look at malware the whole story электронный ресурс. / Home / Conference / VB2007. - Vienna, 2007. Режим доступа: http://www.virusbtn.com/pdfi'conferenceslides/2007/BryanLuVB2007.pdf.

74. Касперский К. Техника отладки программ без исходных текстов. СПб.: БХВ-Петербург, 2009. - 832 с.

75. SecureList: описания детектируемых объектов электронный ресурс. М., 2012. Режим доступа: http://www.securelist.com/ru/descriptions.

76. Голова Д. Уязвимости эмуляторов кода электронный ресурс. / Главная / Статьи. М., 2011. Режим доступа: www.uinc.ru/articles/48/.

77. Ethem Alpaydm Introduction to Machine Learning. The MIT Press,2010.-p. 579.

78. Lise Getoor Introduction to Statistical Relational Learning. MIT Press, 2007. - p. 602.

79. Henk C. Tijms A First Course in Stochastic Models. Wiley, 2003. -p. 482.

80. D. Michie, D. J. Spiegelhalter, С. С. Taylor Machine Learning, Neural and Statistical Classification. Wiley, 1994. - p. 298.

81. RootKit принципы и механизмы работы электронный ресурс.-М., 2011. Режим доступа: http://www.z-oleg.com/secur/articles/rootkit.php.

82. Стелс-вирусы и их классификация электронный ресурс.- М.,2011. Режим доступа: http://www.recoverymaster.ru/virus/stels-virusy-i-ix-klassifikaciya.html.

83. Упаковка исполняемых файлов электронный ресурс.- М., 2010. Режим доступа: http://ru.wikipedia.org/wiki/Упaкoвкaиcпoлняeмыxфaйлoв.

84. Черноруцкий И. Г. Методы принятия решений. СПб.: БХВ-Петербург, 2005. - 416 с.

85. Рабинер JI. Р. Скрытые Марковские модели и их применение в избранных приложениях при распознавании речи: Обзор. // ТИЭР М: Наука, 1989. - Выпуск 2. - Том 77. - С. 86-102.

86. Обфускация и защита программных продуктов электронный ресурс.- М., 2004. Режим доступа: http://citforum.ru/security/articles/obfiis/.

87. Энциклопедия антиотладочных приемов электронный ресурс.-М., 2009. Режим доступа: http://www.xakep.ru/magazine/xa/130/068/Lasp.

88. Robert J. Elliott Hidden Markov Models. Estimation and Control. -Springer, 1995.-p. 373.

89. Poznyak A. S. Self-Learning Control of Finite Markov chains. -Marcel Dekker, New York, 2000. p. 315.

90. Dario Garcia-Garcia A New Distance Measure for Model-Based Sequence Clustering. IEEE Tansactions on Pattern Analysis and Machine Learning Intelligence, vol. 31, No. 7, July 2009.

91. Manuele Bicego Similarity-Based Clustering of Sequences using Hidden Markov Models. IEEE Tansactions on Pattern Analysis and Machine Learning Intelligence, vol. 30, No. 6, June 2009.

92. Yimin Xiong Model-Based Clustering of Sequential Data Using ARMA Mixtures. IEEE Tansactions on Pattern Analysis and Machine Learning Intelligence, vol. 43, No. 9, September 2010.

93. Козачок А. В. Система распознавания вредоносных программ на основе скрытых марковских моделей // Информационные технологии моделирования и управления. Воронеж: "Научная книга", 2012. -Выпуск 3 (75), С. 217-225.

94. Бойцев О. Антология сокрытия вирусного кода электронный ресурс. / Главная. Минск, 2006. Режим доступа: http://www.nestor.minsk.by/kg/ index.html.

95. Microsoft Corporation. Microsoft Portable Executable and Com-mon Object File Format Specification. Rev. 6.0, 1999. 77 p.

96. Кельберт M. Я., Сухов IO. M. Вероятность и статистика в примерах и задачах том II: Марковские цепи как отправная точка теориислучайных процессов и их приложения. М: Издательство МЦНМО, 2009. -571 с.

97. HMM-BASED PATTERN DETECTION электронный ресурс., 2009. Режим доступа: http://classes.soe.ucsc.edu/ee264/Winter02 shahramreport.doc.

98. William Turin Unidirectional and Parallel Baum-Welch Algorithms. -IEEE Transactions on Speech and Audio Processing, Vol. 6, No. 6, November 1998.

99. Don H. Jonson, Sinan Sinanovic Symmetrizing the Kullback-Leibler distance. IEEE Trans, on Comm. Tech., 2007.

100. Жамбю M. Иерархический кластерный анализ и соответствия. -М.: Финансы и статистика, 1988, с. 342.

101. Жамбю М. Иерархический кластер-анализ и соответствия. М: Финансы и статистика, 1988. - 342 с.

102. Энслейн К., Рэлстон Э. Статистические метода для ЭВМ. М.: Наука, 1986, с. 464.

103. W. Т. Krzanowski, Y. Т. Lai A Criterion for Determining the Number of Groups in a Data Set Using Sum-of-Squares Clustering. Biometrics, Vol. 44, No. 1 (Mar. 1988), pp. 23-34.

104. Walter Zucchini Hidden Markov Models for Time SeriesAn Introduction Using R. CRC Press, 2009. - p. 280.

105. Olivier Cappe Inference in Hidden Markov Models. Springer, 2005. -p. 652.

106. Wai-Ki Ching Michael K. Ng Markov Chains: Models, Algorithms and Applications. Springer, 2006. - p. 211.

107. Ingmar Visser Confidence intervals for hidden Markov model parameters. British Journal of Mathematical and Statistical Psychology, 2000, No. 53, p. 317.a

108. Angela A. R. Sa, Adriano O. Andrade Estimation of Hidden Markov Models Parameters using Differential Evolution электронный ресурс., 2009.

109. Режим доступа: http: //www.aisb.org.uk/convention/aisb08/ proc/proceedings/ 11 %20Swarm%20Intelligence/09.pdf.

110. Айвазян С.А., Бухштабер В.М., Енюков И.С., Мешалкин Л.Д. Прикладная статистика: Классификация и снижение размерности. М.: Финансы и статистика, 1989. - 607с.

111. Яцкив И. Методы определения количества кластеров при классификации без обучения. Transport and Telecommunication, Vol.4, N 1, 2003.

112. Воронцов К. В. Лекции по алгоритмам кластеризации и многомерного шкалирования электронный ресурс.- М., 2007. Режим доступа: www.ccas.ru/voron/download/Clustering.pdf.

113. Бочков М. В., Тараканов О. В. Проектирование автоматизированных систем обработки информации и управления: Курс лекций. Орел: Академия ФАПСИ, 2002. - 282 с.

114. Амосов А. А., Дубинский Ю. А., Копченова Н. В. Вычислительные методы для инженеров: Учеб. пособие. М.: Высш. шк., 1994.-544 с.

115. Козачок В. И., Мацкевич А. Г. Алгоритм автоматического декодирования упакованных исполняемых файлов в исходные тексты языка Ассемблера // Территория науки, 2006. № 1(1). - С. 69-75.

116. Методы моделирования электронный ресурс.- М., 2010. Режим доступа: http://www.rae.ru/monographs/52-2030.

117. Калинина В. Н. Математическая статистика: Учеб. для студ. сред, спец. учеб. заведений / В. Н. Калинина, В. Ф. Панкин. 4-е изд., испр. - М.: Дрофа, 2002. - 336 с.

118. Антология сокрытия вирусного кода электронный ресурс.- М., 2011. Режим доступа: http://stfw.ru/page.php?id=l 1489.

119. Загрузчик РЕ-файлов электронный ресурс.- М., 2005. Режим доступа: http://www.rsdn.ru/article/baseserv/peloader.xml.

120. Advantages of Flat Memory Model электронный ресурс.- M., 2007. Режим доступа: http://www.c-jump.com/CIS77/ASM/Memory /M770230x86protectedflatadvantages.htm.

121. Коньков К. А., Карпов В. Е. Организация памяти компьютера электронный ресурс.- М., 2011. Режим доступа: http://www.intuit.rU/department/os/osintro/8/3.html.

122. Управление памятью электронный ресурс.- М., 2009. Режим доступа: http://citforum.ru/operatingsystems/sos/glava7.shtml.