Разработка и исследование метода весовых функций для решения задач интеллектуального анализа данных при выявлении аномальной сетевой активности тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Карайчев, Глеб Викторович

Актуальность темы исследования

В последнее десятилетие обработка и эффективное использование информации стало невозможным, без использования современных вычислительных технологий. В то же время произошло и резкое увеличение числа преступ1 лений, связанных с атаками на информационные компьютерные системы, попыток фальсификации, кражи, искажения критически важных цифровых данных. По этой причине все больше компаний внедряют серьезные меры по обеспечению своей информационной безопасности, но применяемые меры не спасают, по приблизительным оценкам, каждую десятую компанию. Многие исследователи констатируют, что в настоящее время не существует универсальной системы или подхода, позволяющей выявлять все виды неизвестных вторжений. Усугубляет ситуацию непостоянное появление новых видов атак, в связи с чем дальнейшее совершенствование сигнатурных методов выявления злоупотреблений стало невозможным без дополнения их методами интеллектуального анализа данных (НАД). При этом, говорить о полной безопасности сетевых систем все равно не приходится; можно говорить лишь о заданном уровне вероятности, что очередная атака не будет успешной. Большая* актуальность состоит в повышении данной вероятности в условиях того, что задача распознавания сетевых злоупотреблений до сих пор не решена. Это следует из того, что общая задача проверки функциональной эквивалентности программ относится к числу алгоритмически неразрешимых проблем. Следовательно, требуется повышать инструментарий для обнаружения аномалий, дополняя современные системы обнаружения вторжений (СОВ) новыми методами выявления сетевых атак.

Разработкой СОВ занимается много компаний, однако большинство предлагаемых ими решений являются коммерческой тайной и их воссоздание или модифицирование, зачастую, практически невозможно. По этой причине большую теоретическую и практическую ценность имеет разработка и програлшная реализация эффективных методов обнаружения новых видов атак на основе методов ИАД, успешно конкурирующих с «закрытыми» аналогами, но при этом имеющих открытый программный код и подробно описанный алгоритм функционирования.

Современные методы, анализирующие статистическое состояние системы и воспроизводящие ее нормальный профиль функционирования, имеют дело с I данными, накопленными за продолжительный период времени, и обновляются в реальном времени по мере поступления новых событий. Однако они работают не с самими характеристиками событий, а с их обобщенными выборочными значениями, такими как средняя величина, среднеквадратичное отклонение и др:, т.е. параметрами накапливающего типа. Таким образом; в процессе прямого вычисления сетевых характеристик и хранении их в памяти за продолжительные интервалы времени, нагрузка на компьютерную систему, занимающуюся ИАД, сильно возрастает, что приводит к «пропусканию»- некоторых событий, которые могут являться ключевыми, и,общем замедлении реакции СОВ. Необнаруженные или не вовремя обнаруженные события являются причиной серьезных информационных и финансовых потерь. Повышение нагрузки на системные ресурсы становится еще больше, когда, имея сетевые данные за определенный интервал времени, возникает необходимость рассчитать некоторые характеристики за иной период на основе этих данных. Например, для выявления циклических колебаний нагрузки на сеть, связанных с чередованием рабочих, выходных дней, времени суток и т.п. потребуется'наряду с анализом недельных и дневных графиков»учитывать и часовые, минутные графики. Другими словами, потребуется, использовать специальное окно, «вырезающее» интересующий нас произвольный интервал времени из набора собранных данных. В подобных ситуациях в обязательном порядке придется хранить в памяти и все, анализируемые по заданному интервалу времени, сетевые события. В' связи с этим трудно переоценить актуальность создания математического алгоритма, позволяющего компактно представлять большие объемы сетевых характеристик, поступающих и обрабатываемых в реальном масштабе времени, и за счет этого снизить нагрузку на вычислительные ресурсы (оперативную память, кэш-память, дисковые накопители) и повысить реактивность СОВ.

Цель работы

Целью диссертационного исследования является разработка и развитие методов эффективного представления сетевых характеристик при выявлении аномальной сетевой активности, используя интеллектуальный анализ данных.

Научная задача

Научная задача состоит в: создании нового математического аппарата весовых функций; обеспечивающего снижение потребления памяти.

Задачи исследования

Поставленные цели обуславливают; необходимость решения следующих задач: '

1. Провести анализ предметной; области, изучить существующие подходы к обеспечению информационной безопасности в: сети, выявить перспективные направления методов интеллектуального анализа данных.

2. Разработать новый математический аппарат для- вычисления, специальных видов весовых функций; позволяющих компактно представлять сетевые данные в реальном масштабе времени, определить исходные положения метода, провести оценку его погрешности.

3. Разработать на* основе аппарата предложенных весовых функций новые и усовершенствовать существующие методы интеллектуального анализа данных с обучением «без учителя», выявляющие аномальную сетевую активность.

4. Разработать программную реализацию всех предложенных методов и алгоритмов:

5. Провести теоретическую и практическую оценку эффективности всех предложенных в диссертационном исследовании методов на основе весовых функций, используя разработанные программные решения.

Объект исследования

Объектом исследования являются методы интеллектуального анализа данных, выявляющие аномальную сетевую активность.

Предмет исследования

В качестве предмета исследования выступают механизмы повышения эффективности существующих методов интеллектуального анализа данных, решающих задачи выявления аномальной сетевой активности.

Методологическая основа исследования

При решении поставленных в работе задач, были использованы методы математического анализа, дифференциального исчисления, аналитической геометрии, теории вероятности, математической статистики и кластерного анализа.

Информационная база исследования

При работе над диссертационным исследованием были использованы современные научные публикации по изучаемой проблематике. В качестве статистического источника данных были использованы базы КХ)Б СиР'1999 и N51.-КХШ'2009. Также был проведен собственный эксперимент по сбору, классификации и анализу сетевых событий в ЛВС одного из факультетов ЮФУ.

Научная новизна работы

Научная новизна диссертации определяется следующими положениями:

1. Разработан новый метод весовых функций на основе рекуррентных соотношений, избавляющий от необходимости хранения всех сетевых характеристик, позволяя держать в памяти и использовать лишь ограниченный набор параметров, при этом показатели метода не зависит от объема анализируемой информации.

2. Разработана новая сеточная модель кластерного анализа сетевых данных на основе адаптивных сеток и преобразования Кархунена-Лоэва, реализованная на основе предложенных весовых функций.

3. Разработан новый метод выявления аномальной сетевой активности на основе критериев согласия, использующий предложенный метод весовых функций, который позволяет строить нормальный профиль функциони рования сети только на основе распределения пакетов по 1Р адресам. N

Основные положения, выносимые на защиту

На защиту выносятся следующие основные научные положения:

1. Разработанный метод весовых функций позволяет в реальном масштабе времени компактно представлять последовательность наблюдаемых сетевых характеристик в виде ограниченного набора специальных коэффициентов.

2. Разработанный метод весовых функций позволяет варьировать точность и ресурсоемкость своей работы в зависимости от типа выбранной весовой функции и числа используемых специальных коэффициентов.

3. Разработанная сеточная модель кластерного анализа данных на основе адаптивных сеток и преобразования Кархунена-Лоэва, используя метод весовых функций при выявлении аномалий, в отличие от, аналогов, дает высокое число правильно выявленных сетевых атак уже при малой величине числа ложных тревог.

4. Разработанный метод выявления аномальной активности на основе критериев согласия, используя метод весовых функций, позволяет только по информации о распределении 1Р адресов выявлять сетевые аномалии с заданным уровнем значимости.

5. Экспериментальные оценки, подтверждающие эффективность разработанных и программно реализованных алгоритмов и методов.

Практическая ценность работы

Практическая полезность диссертации состоит в следующих аспектах:

1. Разработанный метод весовых функций может быть использован в широком спектре программно-аппаратных систем обнаружения вторжений, в которых ведется сбор и анализ большого объема статистических характеристик в реальном масштабе времени. При этом средняя погрешность при использовании предлагаемого математического аппарата не превышает 1%-3% в зависимости от типа весовой функций и размера ограниченного набора коэффициентов.

2. Разработанные методы выявления^ аномальной сетевой активности и их программная реализация могут быть использованы при усовершенствовании существующих систем'на1 основе интеллектуального'анализа данных. При этом метод адаптивных сеток обеспечивает 64.5% правильно выявленных аномалий уже при 1% ложных срабатываний системы, что превосходит показатели других методов.

3. Предлагаемые алгоритмы универсальны и могут быть с успехом использованы в различных областях науки и техники, в том? числе при интеллектуальном анализе финансовой, статистической информации, анализе текстов, при оценке подлинности-художественных произведений-и т.п.

Достоверность и обоснованность научных положений и результатов

Достоверность сделанных выводов и обоснованность научных положений подтверждается систематизацией значительного числа актуальных публикаций по исследуемой проблематике, обеспечивается повторяемостью результатов на больших объемах экспериментальных данных, обладающих репрезентативностью современных видов сетевых аномалий, что не противоречит строгим математическим выкладкам, сделанным в работе, и подтверждается апробацией всех научных результатов на всероссийских и международных конференциях.

Реализация и внедрение результатов

Положения,диссертации использовались в учебном процессе Южного федерального университета при чтении курсов «Защита информации в компьютерных сетях» и «Информационная безопасность и защита информации». Результаты диссертации приняты к внедрению в Федеральном государственном унитарном предприятии «Всероссийский научно-исследовательский институт "ГРАДИЕНТ"» (г. Ростов-на-Дону), Научно-производственном предприятии «"ТЕСТ" радиотехника специальные технологии» (г. Ростов-на-Дону), ООО «АРК Коммерсаль» (г. Москва). Также работа стала лауреатом ЮФУ и была использованы при подготовке конкурсной документации на грант в рамках ФЦП «Научные и научно-педагогические кадры инновационной России». Имеются соответствующие акты о внедрении.

Апробация работы

Результаты диссертационной работы были представлены и обсуждались на научно-технической конференции «Информационные системы и технологии 2007» (ИАТЭ, Обнинск, 2007); IX, XI международных научно-технических конференциях «Информационная безопасность» (ТРТУ, Таганрог, 2007, 2010); I Всероссийской молодежной конференции по проблемам информационной безопасности «ПЕРСПЕКТИВА-2009» (ТРТУ, Таганрог, 2009) на которой конкурсной комиссией доклад был признан лучшим и отмечен дипломом I степени.

Личный вклад автора

Все научные результаты получены автором лично.

Публикации

По теме диссертации опубликовано 11 научных работ, из них 3 статьи в журналах, рекомендованных ВАК.

Структура и объем диссертации

Диссертация состоит из введения, четырех глав, заключения и списка литературы из 147 наименований.

4.5. Выводы по четвертой главе

Целью данной главы стала экспериментальная оценка эффективности всех предложенных в диссертации методов и алгоритмов. Для этого использовалось несколько эталонных наборов тестовых данных и разработанные в ходе исследования программы, реализующие все вышеизложенные алгоритмы. Набором данных выступали размеченные сетевые пакеты KDD CUP '99, набор размеченных сетевых пакетов NSL-KDD, журналы tcpdump, полученные в ходе собственного эксперимента в ЛВС ЮФУ.

Практические результаты дают основания утверждать, что использование весовых функций, предложенных во второй главе, позволяет существенно экономить вычислительные ресурсы системы за счет компактного представления сетевых данных, приводя к малым накладным расходам, выражающимся в 2-5% погрешности приближения. При этом увеличении экономии оперативной памяти ведет к некоторому увеличению нагрузки на процессор. На основании практических оценок также даны рекомендации по определению минимального интервала усреднения на котором актуально осуществлять вычисление весовых функций.

В главе было также показано, что метод адаптивных сеток, предложенный в третьей главе, по эффективности сравним с ведущими методами аномального анализа, давая высокий процент выявления сетевых атак уже при низком уровне ложных срабатываний, а применение к нему весовых функций позволяет экономить память в сотни раз при этом практически не снижая результативность обнаружения сетевых атак.

В данной главе был также предложен новый метод построения статистических характеристик потока 1Р пакетов — метода распределения по 1Р адресам, вычисляющий локальное и глобальное распределения сетевых данных по адресам источника и назначения. Гибкость в использовании различных критериев согласия, проверяющих гипотезу о том, что сделанные выборки соответствуют одной и той же базовой функции распределения, характеризующей нормальное состояние функционирования сети, позволяет адаптировать данный метод к выявлению различных техник сетевых атак. К данному методу был применен аппарат рекуррентных весовых функций, благодаря наличию у метода распределения по. 1Р адресам параметров накапливающего типа. В результате уровень распознавания атак существенно не изменился, а памяти для хранения сетевых характеристик было использовано в 1 500 раз меньше. г

ЗАКЛЮЧЕНИЕ

В работе решена актуальная научная задача совершенствования методов интеллектуального анализа данных, позволяющих повысить эффективность выявления аномальной сетевой-активности, и создания математического аппарата весовых функций, обеспечивающих снижение нагрузки на вычислительную систему за счет компактного представления анализируемой информации.

При проведении исследовательской работы по теме данной диссертации были получены следующие результаты:

Проведен анализ существующих методов« интеллектуального анализа данных, выявлены- наиболее перспективные направления его развития. Обнаружены повышенные требования современных GOB" к системным ресурсам и поставлена задача повышения эффективности их функционирования."

Разработан новы математический аппарат весовых функций, позволяющий создать основу для повышения- эффективности, существующих методов выявления аномальной сетевой активности. В> качестве примера рассмотрен случай вычисления среднеарифметического значения^ анализируемой,5 выборочной функции. Особенно, актуально применение весовых функций оказывается при вычислениях в реальном времени, оно позволяет снизить нагрузку на ресурсы вычислительного оборудования-и уменьшить вероятность сбоя или пропуска событий, благодаря компактному представлении сетевых данных. Предлагаемый подход также избавляет от необходимости хранить всю историю наблюдений, экономя, тем самым, память, благодаря использованию всего несколько весовых коэффициентов. При этом, чем-большее количество коэффициентов используется, тем, с одной стороны, выше точность метода, а с другой, больше вычислительная нагрузка; таким образом, в зависимости от решаемой задачи, предоставляется возможность варьировать соотношение скорости и точности, что повышает универсальность подхода.

Разработана сеточная модель кластерного анализа сетевых данных на основе адаптивных сеток. Адаптация проводится, используя функцию распреде ления событий в клетках. Преимуществами предлагаемой модели является минимум свободных параметров, высокая производительность, однопроходность, V возможность использования метода весовых функций, что повышает его универсальность. В данном подходе также предлагается использование преобразования Кархунена-Лоэва, позволяющего снизить размерность пространства характеристик с одновременным выделением наиболее значимой информации.

Разработана новая техника выявления» аномальной сетевой-активности — метод распределения событий по IP адресам. Его особенностью является выявление сетевых атак на основе построения базового профиля «без учителя», используя различные критерии согласия. Для построения нормального профиля функционирования системы используется минимум информации — данные о распределении IP адресов.

Экспериментально исследована эффективность схемы на основе метода адаптивных сеток. Были продемонстрированы' результаты, превосходящие эффективность многих существующих алгоритмов выявления аномальной сетевой активности, таких как Canberra, ^-ближайших средних и др. при оценке синтетической методикой тестирования! на наборе данных KDD CUP'1999 и NSL-KDD'2009. Метод адаптивных сеток является» обучаемым «без учителя» и использует для построения базового профиля системы «сырой» набор данных, что исключает трудную задачу очистки данных от. атак.

Разработаны программные реализации всех предложенных методов и алгоритмов, которые позволяют оценить эффективность выявления сетевых атак как на синтетических, так и на реальных данных, а также имеют функцию ведения журнала сетевых аномалий.

Проведены теоретические и экспериментальные исследования применения весовых функций к различным методам выявления сетевых, выявлен положительный практический эффект от их использования. Так, на примере разработанных методов адаптивных сеток и распределения по IP адресам показано, что применение весовых функций позволяет экономить вычислительные ресурсы системы при малой потере эффективности обнаружения аномалий.

1. Anderson J. Computer security threat monitoring and surveillance / James P. Anderson Co. USA, Washington PA: 1980.

2. Cohen F. Computer Viruses — Theory and experiments 11 Computers & Security. 1984. № 6. P. 22-35

3. Denning D., Neumann P. Requirements and model for ides a real-time intrusion detection system / Technical report ; computer science lab. SRI International: 1985.

4. Denning D. An intrusion detection model // In Proceedings of the Seventh IEEE Symposium on Security and Privacy. 1986. April. P. 118-131.

5. Lunt Т., Jagannathan R., Lee R., Llstgarten S., Neumann P., Javitz H., Valdes A. The IDES: the enhanced prototype a real-time intrusion-detection expert system / SRI-CSL-88-12 ; SRI Project 4185-010. SRI International: 1988. October.

6. Stephen S. Haystack: An intrusion detection system / The Fourth Aerospace Computer Security Applications Conference, Orlando, FL. 1988. December.

7. Vaccaro H., Liepins G. Detection of Anomalous Computer Session Activity / The 1989 IEEE Symposium on Security and Privacy. 1989. May.

8. Henry Т., Kaihu C., Stephen L. Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns / 1990 IEEE Symposium on Security and Privacy. 1990.

9. Lunt Т., Tamaru A., Gilham F., Javitz H., Valdes A., Neumann P. A real-timeчintrusion-detection expert system / SRI-CSL-90-05 Technical report. SRI Inxternational: 1990. June.

10. Javitz H., Valdes A. The SRI IDES Statistical Anomaly Detector / IEEE Symposium on Security and Privacy. 1991.

11. Javitz H., Vadles A. The NIDES statistical component: description and justification / Technical report. SRI International: 1993.

12. Anderson D., Lunt Т., Javitz H., Tamaru A., Valdes A. Detecting unusual program behavior using the statistical component of the next-generation intrusion detection expert system (NIDES) / Technical Report; SRI-CSL-95-06. SRI International: 1995.

13. Anderson D., Frivold 71, Valdes A. Next-generation Intrusion Detection Expert System (NIDES): a summary / SRI-GSL-95-07; USA, Menlo Park, CA. SRI International: 1995. May.

14. Lane Т., Brodley C. Sequence matching and learning in anomaly detection for computer security // In Proceedings of the АААГ Workshop on AI Approaches to Fraud Detection and Risk Management. AAAI Press: 1997. P. 43-49.

15. Paxson V., Floyd S. Wide-area traffic: the failure of poisson modeling / IEEE ACM Transactions on Networking. 1995. Vol. 3. June.

16. Paxon V. Bro: a system for detecting network intruders in real-time // In Proceedings of the 7th USENIX Security Symposium, San Antonio, TX. 1998.

17. Брюхомицкий Ю.А. Учебное пособие «Нейросетевые модели для систем информационной безопасности» / Таганрог: ГОУ ВПО ТРТУ, 2005. 160 с.

18. Абрамов Е.С., Бабенко J1.K., Макаревич О.Б., Пескова О.Ю. Разработка архитектуры СОА' на основе нейронной сети // Материалы VI Международной научно-практической конференции «Информационная безопасность». Таганрог: ТРТУ, 2004.

19. Lippmann R. An Introduction to computing with neural nets / IEEE ASSP Magazine. 1987. April. P. 4-22.

20. Debar H., Becker M., Siboni D. A neural network component for an intrusion detection system. // In Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy; USA, Oakland, CA: 1992. May. P. 240-250.

21. Ghosh A., Schwartzbard A. A study in using neural networks for anomaly and misuse detection / In Proceedings of the 8th USENIX Security Symposium; USA, Washington D.C.: 1999. August. P. 23-36.

22. DARPA Intrusion Detection Data Set / MIT Lincoln Laboratory: 1998. URL: http://wwwЛl.mit.edu/mission/communications/ist/coфoгa/ideval/data/1998dat a.html (Дата обращения: 08.06.2007).

23. Fayyad U., Piatetsky-Shapiro G., Smyth P. Knowledge discovery and data mining: towards a unifying framework // In Proceedings of 2nd'International Conference on Knowledge Discover and Data Mining; USA, Portland: 1996. P. 82-88.

24. Knorr E., Ng R. Extraction of spatial proximity patterns by concept generalization // In Proceedings of 2nd Int. Conf Knowledge Discovery and Data Mining (KDD-96); USA, Portland: 1996. August. P. 347-350.

25. Ester M., Kriegel H.-P, Sander J,, XuX. A density-based algorithm for discovering clusters in large spatial databases with noise I I In Proceedings of KDD-96.1996. P. 226-231.

26. Lee IV., Stolfo S. Data mining approaches for intrusion detection // In Proceedings of the 7th USENIX Security Symposium (SECURITY '98). 1998.

27. Laskov P., Schrafer C., Kotenko /. Intrusion detection in unlabeled data with quarter-sphere support vector machines // In Proceedings of DIMVA. 2004. P. 71-82.

28. Knowledge Discovery in Databases Cup 1999 / MIT Lincoln Laboratory: 2007. URL: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (Дата обращения: 08.06.2007).

29. Zanero S., Savaresi S. Unsupervised learning techniques for an intrusion detection system // In Proceedings of the ACM Symposium on Applied Computing. ACM SAC: 2004.

30. Savaresi S., Boley D. On the performance of bisecting K-means and PDDP // In Proceedings of the 1st SIAM conference on Data Mining. 2001. P. 1-14.

31. DARPA Intrusion Detection Data Set / MIT Lincoln Laboratory: 1999. URL: http://www.il.mit.edu/mission/communications/ist/coфora/ideval/data/1999dat a.html (Дата обращения: 15.09.2008).

32. Escamilla Т. Intrusion detection: network security beyond the firewall / John Wiley & Sons, USA, New York: 1998.

33. Ghosh A., Schwartzbard A., Schatz M. Learning program behavior profiles for intrusion detection // In Proceedings of the 1st USENIX Workshop on Intrusion Detection and Network Monitoring. USA, Santa Clara: 1999. P. 51-62.

34. Lane Т., Brodley C. Temporal sequence learning and data reduction for anomaly detection / ACM Trans Inf. Systems Security. 1999. № 2 (3). P. 295-331.

35. Eskin E. Anomaly Detection Over Noisy Data Using Learned Probability Distributions. In Proceedings of the International Conference on Machine Learning, 2000.

36. Lee W, Stolfo S., MokK. Data mining in work flow environments: experiences in intrusion detection // In Proceeding of the 1999 conference on knowledge discovery and data mining (KDD-99). 1999.

37. Portnoy L., Eskin E., Stolfo S. Intrusion Detection with unlabeled data using clustering // In Proceedings of ACM CSS Workshop on Data Mining Applied to Security (DMSA-2001). USA, Philadelphia, PA: 2001.

38. Forrest S., Hofmeyr S., Somayaji A. Computer immunology // Communications of the ACM. 1997. № 40(10). P. 88-96.

39. Ko C., Fink G., Levitt K. Execution monitoring of security critical programs in distributed systems: a specification-based approach // In proceedings of the 1997 IEEE Symposium on Security and Privacy. 1997. P. 134-144.

40. Ryan T. Statistical Methods for Quality Improvement / John Wiley & Sons: New York, 2000.

41. Hotelling H. Multivariate quality control / Techniques of Statistical Analysis. Eisenhart C., Hastay M., Wallis W.; McGraw-Hill: New York, 1947.

42. Woodall W., Ncube M. Multivariate CUSUM qualitycontrol procedures / Tech-nometrics. 1985. № 27. P. 185-192.

43. Lowry C., Woodall W., Champ C., Rigdon S. Multivariate exponentially weighted moving average control chart / Technometrics. 1992. № 34. P. 46-53.

44. David B., Lindenbaum M. Learning distributions by their density levels: a paradigm for learning without a teacher / Ji Comput. System.Sci. 1997. № 55. P. 171-182.

45. Warrender C. Forrest S., Pearlmutter B. Detecting intrusions using system calls: alternative data models // IEEE Computer Society. 1999. P. 133-145.

46. Cristianini N., Shawe-Taylor J. An Introduction to Support Vector Machines / Cambridge University Press: UK, Cambridge, 2000."

47. Ng R., Han J. Efficient and effective clustering methods for spatial data mining // In proceedings of the 20th International Conference on Very Large Data

48. Bases, Chile, Santiago. Morgan Kaufmann Publishers: USA, San Francisco, 1994. P. 144-155.

49. McCallum A., Nigam K., Ungar L. Efficient clustering of high-dimensional data sets with application to reference matching // In Knowledge Discovery and Data Mining. 2000. P. 169-178.

50. ArningA., Agrawal R., Raghavan P. A linear method for deviation detection in large databases // In proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, Portland. AAAI Press: 1996. P. 164-169:

51. Knorr E., Ng R. Algorithms for mining distance-based outliers in large datasets

52. In proceedings of the 24th International Conference on Very Large Datai

53. Bases. USA, New York: 1998. P. 392-403.

54. Ruts /., Rousseeuw P. Computing depth contours of bivariate point clouds // Journal of computational statistics and data analysis. 1996. № 23. P. 153-168.

55. Breunig M., Kriegel H.~PNg R., Sander J. LOF: identifying density-based local outliers I I In proceedings of the ACM SIGMOD 2000'Conference on Management of Data. USA, Dallas: 2000. P. 93-104

56. Zhang T., Ramakrishnan R., Linvy M. BIRCH: an efficient data clustering method for very large databases // In proceedings of the ACM SIGMOD Conference on Management of Data. ACM Press: USA, New York, 1996. P. 103-114.

57. Wang W., Yang J., Müntz R. Sting: a statistical information grid approach to spatial data mining // In Proceedings of the 23rd International Conference on Very Large Data Bases. USA, New York: 1997. P. 186-195.

58. Li Y., Fang B., Guo L., Chen Y. Network anomaly detection based on TCM-KNN algorithm // In Proceedings of the 2nd ACM symposium on Information, computer and communications security. Singapore: 2007. March 20-22. P. 13-19.

59. Nagesh K, Goil S., Choudhary A. A scalable parallel subspace clustering algorithm for massive data sets // In Proceedings of the International Conference on Parallel Processing. 2000. P. 477-484.

60. Leung K., Leckie C. Unsupervised anomaly detection in network intrusion detection using clusters // In Proceedings of the 28 Australasian Computer Science Conference (ACSC2005). Australia, Newcastle: 2005. February 1-3. P. 333-342.

61. Ye N. Chen Q. An anomaly detection technique based on a chi-square statistic for detecting intrusions into information* systems // Quality and Reliability Engineering Journal. 2001. Vol. 17. P. 105-112.

62. Vinay A., Xiaoyong W., Douglas S. Detection of Denial-of-QoS attacks based on x2 statistic and EWMA control charts / NC State University. Raleigh: 2002. February.

63. Feinstein D., Schnackenberg R., Balupari D., KinRed O. Statistical approaches to ddos attack detection and response / In Proceedings of the DARPA Information Survivability Conference and Expostion (DISCEX'03). 2003. April.

64. Yamanishi K., Takeuchi J., Williams G. On-line unsupervised outlier detection using finite mixtures with discounting learning algorithms // Data Mining and Knowledge Discovery. 2004. № 8. P. 275-300.

65. Kwitt R., Hofmann U. Robust methods for unsupervised PCA-based anomalydetection / IEEE-IST Workshop on Monitoring; Attack Detection and Mitigattion. Germany, Tuebingen: 2006. September 28-29.

66. Ramah K., Ayari H., Kamoun F. Traffic anomaly detection and characterization in the tunisian national university network // In Proceedings of the Networking 2006. Portugal, Cobimbra: 2006. May. P. 136-147.

67. Marius K., Brefeld U., Diissel P., Gehl C., Laskov P. Automatic feature selection for anomaly detection // In Proceedings of the AI Security. 2008. P. 71-76.

68. Ankerst M., Breunig M., Kriegel H.-P., Sander J. Optics: ordering points to identify the clustering structure // In Proceedings*of the SIGMOD. 1999: Rec. 28 (2). P. 49-60.

69. Han J., Pei J., Yin Y. Mining frequent patterns without candidate generation // In Proceedings of the 2000 ACM SIGMOD International Conference on Management of Data. ACM Press: USA, New York, 2000. P. 1-12.

70. Qu G., Hariri S., Mazin Y. A new dependency and correlation analysis for features / IEEE Transactions on Knowledge and Data Engineering; Special Issue on Intelligent Data Preparation. 2005. September.

71. Bykova M., Ostermann S., Tjaden B. Detecting network intrusions via a statistical analysis of network packet characteristics // In Proceedings of the 33rd Southeastern Symposium on System Theory (SSST 2001). IEEE: USA, Athens, 2001. March. P. 309-3141

72. Qu G., Hariri S., Jangiti S., Hussain S., Oh S., Fayssal S., YousifM. Abnormaltity metrics to detect and protect against network attacks / In the Proceedings of IEEE-ACS International Conference on Pervasive Services (ICPS 2004). Beirut, Lebanon: 2004.

73. Steinwart I., Hush D., Scovel C. A classification framework for anomaly detection // Machine Learning Research Journal. 2005. Vol. 6. P. 211-232.

74. Shirazi H.A intrusion detection system using information theory, K-NN and KMC algorithms // Australian Journal of Basic and Applied Sciences. 2009. № 3(3). P. 2581-2597.

75. Lazarevic A., Ertoz L., Kumar V., Ozgur A., Srivastava J. A comparative study of anomaly detection schemes in network intrusion detection / In Proceedings of the Third SIAM International Conference on Data Mining, 2003. May 1-3.

76. Ramaswamy S., Rastogi R., Shim K. Efficient algorithms for mining outliers from large data sets // In proceedings of the ACM SIGMOD 2000 Conference on Management of Data. USA, Dallas: 2000.

77. Mahalanobis P. On tests and meassures of groups divergence // International Journal of the Asiatic Society of Benagal. 1930. № 26. P. 541.

78. Laskov P., Diissel P., Schäfer C., Rieck K Learning intrusion detection: supervised or unsupervised? // ICIAP. Italy, Cagliari: 2005. P. 50-57.

79. Fogla P., Sharif M, Perdisci R., Kolesnikov O., Lee W. Polymorphic blending attacks // In proceedings of the 15th USENIX Security Symposium Security '06. 2006. P. 241-256.

80. Fogla P., Lee W. Evading network anomaly detection systems: formal reasoning and practical techniques // In Proceedings of the 13th ACM Conference on Computer and Communications Security (CCS). USA, Alexandria: 2006. October 30-November 3. P. 59-68.

81. Panda S., Mahapatra S. PCA fused NN approach for drill wear prediction in drilling mild steel specimen // In Proceedings of the ICCSIT. 2009. P. 85-89.

82. Blumberg D., Ohel E., Rotman S. Anomaly detection in noisy multi and hyper spectral images of urban environments // In Proceedings of the ISPRS 3rd URBAN Symposium. USA, Tempe: 2005. March. P. 390-399.

83. Borghys D., Truyena E. Anomaly detection in hyperspectral images of complex scenes // In Proceedings of the 29th Earsel Symposium. Chania: 2009. June.

84. Higgins J., Harris A. VAST: a program to locate and analyze volcanic thermal anomalies automatically from remotely sensed data // Computers & Geos-ciences Journal. 1997. Vol. 23 (6). P. 627-645.

85. Sarnovsky M., Butka P. Grid-based support for different text mining tasks // In Proceedings of the Acta Polytechnica Hungarica. 2009. Vol. 6 (4). P. 5-27.

86. Guthrie D., Guthrie L., Allison В., Wilks Y. Unsupervised anomaly detection. // In Proceedings of the 20th international joint Conference on Artifical intelligence. 2007. January. P. 1624-1628.

87. D. Gollmann. Computer Security. Wiley: 2009. 2nd edition. 352 p.

88. Тер-Крикоров А., Шабунин M. Курс математического анализа. M.: Физ-матлит, 2001. 671 с.

89. Loiseaua P., Vicat-Blanc P., Goncalves P. A long-range dependent model for network traffic with flow-scale correlations // Stochastic Models. 2011. Vol. 27(2). P.1 333-361.

90. Крылов В., Самохвалова С. Теория телетрафика и ее приложения. СПб.: БХВ-Петербург, 2005.

91. Frost V., Melamed B. Traffic Modeling for Telecommunications Networks // IEEE Communications Magazine. 1994. № 32(3). P. 70-80.

92. Leland W., Taqqu M., Willinger W., Wilson D. On the self-similar nature of ethernet traffic// In Proceedings of the ACM SIGCOMM. 1993. P. 183-193.

93. Karagiannis Т., Molle M., Falautsos M., Broido A. A nonstationary poisson view of internet traffic // In Proceedings of the IEEE INFOCOM. China: Hong Kong, 2004. P. 1558-1569.

94. Cao J., Cleveland W., Lin D., Su D. The effect of statistical multiplexing on the long-range dependence of internet packet traffic: theory and empirical study / Bell Labs Technical Report. USA: 2001.

95. Вентцель E. Теория вероятностей. M.: Высшая школа. 2001. 575 с.

96. Понтрягин Л. Обыкновенные дифференциальные уравнения. М.: Наука, 1974. 331 с.

97. Василего И. Ряды. Учебное пособие. Оренбург: ГОУ ОГУ, 2004. 114 с.

98. Ильин В., Позняк Э. Основы математического анализа. М.: Физматлит. Ч. 1 2005, 648 е.; Ч. 2 - 2002, 464 с.

99. Толстое Г. Ряды Фурье. М.: Физматлит, 1960. 392 с.

100. Бари N. Тригонометрические ряды. М.: Физматгиз, 1961. 936 с.

101. Айвазян С., Бухштабер В., Енюков И., Мешалкин Л. Прикладная статистика. Классификация и снижение размерности. М.: Финансы и статистика, 1989. 607 с.

102. Pearson К. On lines and planes of closest fit to systems of points in space // Philosophical Magazine. 1901. № 2 (6). P. 559-572.

103. Jolliffe I. Principal Component Analysis. Springer: 2002. 2nd edition. 487 p.

104. Wang W., Battiti R. Identifying intrusions in computer networks with principal component analysis // In Proceedings of the First International Conference on Availability, Reliability and Security (ARES'06). 2006. April. P. 270-279.

105. Lippmann R, Cunningham R., Fried D., Kendall K, Webster S., Zissman M. Results of the DARPA 1998 offline intrusion detection evaluation // In Proceedings of the RAID 1999. MIT Lincoln Lab.: 1999. P. 1-29.

106. Lippmann R., Fried D., Graf I., Haines J., Kendall K., Mc-Clung D., Weber D., Webster S., Wyschogrod D., Cunningham R., Zissman M. The 1999 DARPA off-line intrusion detection evaluation // Computer Networks. 2000. № 34(4). P. 579-595.

107. Kristopher K. A database of computer attacks for the evaluation of intrusion detection systems / K. Kristopher. Masters Thesis. MIT Lincoln Lab:: 1999.

108. Engen V., Vincent J., Phalp K. Exploring discrepancies in findings obtained with the KDD Cup '99 data set // International Journal of Intelligent Data Analysis. 2011. № 15. P. 251-276.

109. Mahoney M., Chan P. An analysis of the 1999 DARPA: Lincoln laboratory evaluation data for network anomaly detection // In Proceedings of the 6th International Symposium on Recent Advances in Intrusion Detection (RAID'03). 2003. Vol. 2820. P. 220-237.

110. Sabhnani M., Serpen G. Why machine learning algorithms fail in misuse detection on kdd intrusion detection data set // Intelligent Data Analysis. 2004. Vol. 8. P. 403-415.

111. Bouzida Y., Cuppens F. Detecting known and novel network intrusions 11 In Proceedings of the International Information Security Conference (IP/SEC'06). 2006. P. 258-270.

112. Brugger T. An assessment of the DARPA IDS evaluation dataset using Snort / Technical Report CSE-2007-1. USA, University of California: 2007.

113. Tavallaee M., Bagheri E., Lu W., Ghorbani A. A detailed analysis of the KDD CUP'99 data set // In Proceedings pf the 2nd IEEE Symposium on Computational Intelligence for Security and Defense Applications (CISDA'09). 2009. July. P. 53-58.

114. Gu G., Fogla P., Dagon D., Lee W., Skoric B. Measuring intrusion detectioncapability: an information-theoretic approach (ASIACCS'06). Taiwan, Taipei: 2006. March 21-24.

115. Green D., Swets J. Signal detection theory and' psychophysics. USA, New York: John Wiley and Sons Inc., 1966. <

116. Spackman K. A. signal detection theory: valuable tools for evaluating inductive learning // In Proceedings of the Sixth International Workshop on- Machine Learning. USA, San Mateo: Morgan Kaufmann, 1989. P. 160-163.

117. Леман Э. Проверка статистических гипотез. М.: Наука, 1979. 408 с.

118. Ван дер Варден. Математическая статистика. М.: Иностр. лит., 1960. 435 с.

119. Смирнов Н., Дунин-Барковский И. Курс теории вероятностей и математической статистики для технических приложений. М.: Наука, 1969. 512 с.

120. Кобзарь А. Прикладная математическая статистика. М.: Физматлит, 2006. 816 стр.

121. Levin I. KDD-99 classifier learning contest: LLSoft's results overview // ACM SIGKDD Explorations. 2000. January. P. 67-75.

122. Pfahringer B. Winning the KDD99 classification cup: bagged boosting // ACM SIGKDD Explorations. 2000. January. P. 65-66.

123. Miheev V., Vopilov A., Shabalin I. The MP13 approach to the KDD'99 classifier Learning Contest. ACM SIGKDD Explorations// ACM SIGKDD Explorations. 2000. January. P. 76-77.

124. NSL-KDD data set for network-based intrusion-detection systems. 2009. URL: http://nsl.cs.unb.ca/NSL-KDD/ (Дата обращения: 01.04.2010).

125. Карайчев Г. Использование распределения пакетов по IP-адресам для определения аномального поведения потока пакетов в сети. // Тезисы докладов научно-технической конференции «Информационные системы и технологии 2007». Обнинск: ОБИАЭ, 2007. С. 60-61.

126. Карайчев Г. Нестеренко В. Применение весовых функций для определения локальных статистических характеристик потока пакетов в сети. // Известия высших учебных заведений. Северо-Кавказский регион. Естественные науки. Ростов н/Д: 2008. № 1. С. 10-14.

127. Карайчев Г. Выявление сетевых вторжений методом кластеризации данных с использованием адаптивных сеток // Труды,аспирантов и соискателей ЮФУ, Том XIV. Ростов н/Д: НПО ПИ ЮФУ, 2009. С. 29-33.

128. Карайчев Г. Выявление аномальной активности методом адаптивных сеток // Материалы I Всероссийской молодежной конференции по проблемам информационной безопасности «ПЕРСПЕКТИВА-2009». Таганрог: ТТИ ЮФУ, 2009. С. 116-122.

129. Карайчев Т. Выявление аномальной активности методом адаптивных сеток // Известия ЮФУ. Технические науки. Тематический выпуск. «Информационная безопасность». Таганрог: ТТИ ЮФУ, 2009. №11 (100). С. 84-92.

130. Карайчев Г. Нестеренко В. Выявление аномальной активности в сети методами статистического анализа заголовков IP-пакетов. // Известия высших учебных заведений. Северо-Кавказский регион: Естественные науки. 2010. №4. С. 13-17.

131. Карайчев Г. Сравнение метода кластеризации данных с методом распределения пакетов по IP-адресам. // Труды аспирантов и соискателей ЮФУ, Том XV. Ростов н/Д: ИПО ПИ ЮФУ, 2010. С. 35-38.