Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Мордвин, Денис Валериевич

  • Мордвин, Денис Валериевич
  • кандидат технических науккандидат технических наук
  • 2010, Таганрог
  • Специальность ВАК РФ05.13.19
  • Количество страниц 183
Мордвин, Денис Валериевич. Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Таганрог. 2010. 183 с.

Оглавление диссертации кандидат технических наук Мордвин, Денис Валериевич

ВВЕДЕНИЕ.

1. АНАЛИЗ МЕТОДОВ ПОСТРОЕНИЯ И ОЦЕНКИ НАБОРОВ ПРАВИЛ МЕЖСЕТЕВЫХ ЭКРАНОВ.

1.1 Основные понятия.

1.1.1 Компьютерная сеть.

1.1.2 Адресация в сети.

1.1.3 Бесклассовая адресация в сети.

1.1.4 Межсетевые экраны.

1.1.5 Пакетная фильтрация.

1.1.6 Маршрутизация.

1.2 Обзор проблем конфигурирования правил фильтрации.

1.2.1 Основные проблемы разработки правил фильтрации.

1.2.2 Проблема противоречий в списках правил.

1.2.3 Противоречия в списке правил для одного фильтра в сети.

1.2.3.1 Затенение.

1.2.3.2 Обобщение.

1.2.3.3 Пересечение.

1.2.4 Противоречия для правил в последовательных цепочках МЭ в-сети.

1.2.5 Противоречия для правил в параллельных цепочках МЭ в сети.

1.2.6 Проблема избыточности правил.

1.2.6.1 Неиспользуемые правила.

1.2.6.2 Многословность.

1.2.3 Количественные показатели противоречий для списков правил.

1.2.4 Избыточное распределение правил.

1.3 Анализ существующих подходов к построению правил фильтрации.

1.3.1 Построение правил фильтрации вручную.

1.3.2 Автоматизированная проверка конфигурации правил фильтрации МЭ.

1.3.3 Автоматизированное построение правил фильтрации для сети.

1.4 Постановка основных задач работы.

1.5 Выводы.

2 РАЗРАБОТКА МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ

ЭКРАНОВ, АДКВАТНЫХ ЗАДАННОЙ ПОЛИТИКЕ РАЗГРАНИЧЕНИЯ ДОСТУПА „.

2.1 Общее определение метода.

2.2 Построение модели защищаемой сети.33

2.2.1 Представление основных характеристик ЛВС в модели.

2.2.2 Математическая модель сети.

2.3 Построение модели представления заданной политики разграничения доступа.

2.3.1 Правила разграничения доступа.

2.3.2 Список правил разграничения доступа.

2.3.3 Противоречия для списков правил разграничения доступа.

2.3.4 Отображение заданной политики разграничения доступа в сети.

2.3.5 Разработка структуры представления правил разграничения доступа.

2.4 Минимизация множества правил политики разграничения доступа.

2.4.1 Операция устранения неиспользуемых правил.

2.4.2 Операция вычитания правил.

2.4.3 Операция сложения правил.

2.5 Расчет эффективного распределения множества правил фильтрации для МЭ в сети

2.6 Расчет фактического разграничения достижимости.

2.7 Выводы.

3. РАЗРАБОТКА АЛГОРИТМОВ ДЛЯ МЕТОДА АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ.

3.1 Разработка алгоритма расчета достижимости между узлами.

3.2 Разработка алгоритмов построения и обработки дерева ПРД.

3.3 Разработка алгоритмов минимизации правил политики разграничения доступа.

3.3.1 Удаление неиспользуемых правил для политики разграничения доступа.

3.3.2 Удаление многословности в дереве правил разграничения доступа.

3.3.3 Разработка алгоритма вычитания набора правил разграничения доступа.

3.3.6 Разработка алгоритма сложения набора правил разграничения доступа.

3.4 Разработка алгоритма расчета возможностей распределение правил фильтрации

3.4.1 Представление возможностей распределение правил.

3.4.2 Разработка алгоритма расчета таблицы предикатов распределения правил.

3.5 Разработка алгоритма расчета эффективного распределения правил фильтрации для заданного разграничения доступа.

3.6 Выводы.

4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ, ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ.

4.1 Описание программной реализации модулей.

4.1.1 Особенности программной реализации дерева ПРД.

4.1.2 Особенности программной реализации матрицы требуемой достижимости.

4.1.3 Особенности программной реализации метода распределения правил.

4.2 Экспериментальное исследование программной реализации разработанного метода99 Основные параметры компьютера на котором были проведены эксперименты: процессор

AMD Athlon 64 Х2 Dual Core 3800+ 2.00 ГГц, установленная память (ОЗУ) 2,00 Гб.

4.2.1 Методика проведения экспериментальных исследований программной реализации разработанного метода.

4.2.2 Разработка принципов автоматического построения ЛВС.

4.2.3 Исследование работоспособности разработанного метода.

4.2.4 Исследование алгоритмов минимизации заданного набора правил.

4.2.5 Исследование алгоритма эффективного распределения правил.

4.3 Сравнение с аналогами.

4.3.1 Обзор аналогов и сравнение функциональных возможностей.

4.3.2 Экспериментальное сравнение с аналогами.

4.4 Выводы.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети»

Актуальность темы исследования

Межсетевые экраны (МЭ) - программные или программно-аппаратные средства, предназначенные для создания защищенного периметра ЛВС организации с контролируемыми точками входа и защищенного подключения корпоративной сети к сетям общего пользования. Также МЭ выполняют функции разграничения доступа к ресурсам внутри корпоративной сети и обеспечения контроля информационных потоков между различными сегментами сети.

Функции МЭ могут быть реализованы его различными компонентами, такими как пакетный фильтр, шлюз сеансового уровня, шлюз уровня приложений. Данная работа посвящена исследованию пакетных фильтров. В дальнейшем, под термином межсетевой экран будет подразумеваться именно пакетный фильтр и его особенности.

Пакетный фильтр пропускает через себя весь трафик, принимая для каждого проходящего пакета решение, пропускать его или нет на основании списка правил фильтрации. Правила фильтрации — правила МЭ, которые определяют возможность прохождения через данный МЭ сетевого трафика с заданными параметрами. Основными параметрами трафика, по которым происходит фильтрация, являются сетевые адреса источника и цели пакетов трафика, сетевые порты источника и цели, протокол передачи трафика.

Правила фильтрации межсетевых экранов в сети должны выражать политику разграничения доступа на сетевом уровне. Такая политика определяет возможность прохождения сетевого трафика между всеми узлами сети. Как было сказано, в сети данная политика выражается множеством распределенных правил фильтрации трафика. С другой стороны данная политика может быть логически представлена единым множеством правил, независимых от МЭ. В данной работе такие правила названы правилами политики разграничения доступа.

Построение правил фильтрации для МЭ в сети является важным этапом обеспечения сетевой безопасности. Такая задача возлагается на специалистов, знающих особенности защищаемой сети и используемых межсетевых экранов.

Сложность задачи построения правил фильтрации определяется следующими факторами:

- количество узлов в сети, между которыми необходимо разграничить доступ определяет необходимое количество правил;

- узлы сети, которыми оперируют правила, могут быть как отдельными узлами, так и диапазонами узлов, которые в свою очередь могут содержать другие узлы и их диапазоны. Иерархичность определения узлов с одной стороны позволяет уменьшить необходимое количество правил, но с другой стороны может привести к противоречиям между правилами;

- маршрутизация и топология сети определяют траектории достижимости между узлами сети. Траектории между узлами определяют множество МЭ, в списки которых могут быть добавлены соответствующие правила. Количество траекторий определяют сложность распределения правил между МЭ;

- сложность верификации политики разграничения в сети. Процедура проведения верификации разграничения доступа на сетевом уровне не стандартизирована, требует больших временных затрат;

- различия синтаксиса правил для МЭ разных производителей. Специалист должен рзнать особенности конфигурирования всех МЭ, используемых в сети.

Сложность построения списков правил фильтрации приводит к проблемам конфигурирования правил, которые включают в себя проблемы несогласованности и избыточности правил. Под несогласованностью правил понимаются такие противоречия правил, когда результат фильтрации трафика зависит от порядка определенного подмножества правил. Несогласованность правил может приводить к ошибкам первого и второго рода для МЭ и, таким образом, неверному разграничению доступа в сети. Под избыточностью правил понимается проблема использования большего количества правил фильтрации для выражения политики разграничения доступа там, где можно использовать их меньшее количество.

В работе "Исследование количественных показателей для ошибок конфигурирования межсетевых экранов" автором, известным специалистом по МЭ Авишай Вулом, проведено исследование множества межсетевых экранов в локальных сетях различных предприятий и установлено, что все межсетевые экраны имели ошибки конфигурирования и были уязвимы.

Результаты исследования противоречий для конфигураций МЭ специалистами Университета Северной Каролины показали, что для правил фильтрации, разработанных экспертами характерны в среднем 3% проблем несогласованности и 5% проблем избыточности. Для опытных специалистов доля несогласованности правил составляет 4% от их общего количества, избыточности - 9%. Для правил, разработанных начинающими специалистами, характерны в среднем 13% проблем несогласованности и 12% проблем избыточности. Также в работе показана зависимость производительности межсетевых экранов от количества используемых правил, которая свидетельствует о возможностях отказов в обслуживании межсетевых экранов при избыточном использовании правил.

Проблематикой конфигурирования правил фильтрации занимаются многие ученные и специалисты из разных стран:

Ehab S. Al-Shaer - ассоциированный профессор университета Северной Каролины [3-12]

Wool - профессор университета Тель-Авива [1, 13, 14]

R. Oliveira - профессор университета Карнеги Мелон [15, 16]

J. G. Alfaro - Картлонский Университет Оттавы [17-19]

Robert Marmorstein - ассоциированный профессор Лонгвудского университета [20-22]

Mohamed G. Gouda - профессор Техасского Университета [23-26]

Е. Lupu - Королевский колледж Лондона [27, 28]

Pasi Eronen - исследовательский центр Нокия, Хельсинки [29]

L. A. Lymberopoulos - PhD, Королевский колледж Лондона [30]

Tony Bourdier - докторант университета Нанси, Франция [31]

Susan Hinrichs - PhD, Университет Карнеги Мелон [32]

Maritza Johnson - PhD, Колумбийский Университет [33]

Subhash Suri - профессор Калифорнийского Университета [34]

Для решения проблем конфигурирования правил этими авторами разработаны методы автоматического анализа и построения списков правил фильтрации МЭ.

Входными параметрами методов автоматического анализа правил являются топология защищаемой сети и списки используемых правил фильтрации. Результатом работы методов являются наборы рекомендаций, на основе которых должны быть вручную внесены корректировки для существующих правил. Основным недостатком данных методов является отсутствие возможности проверки разграничения доступа, формируемого правилами. Также можно выделить следующие недостатки: необходимость разработки правил вручную; отсутствие возможности автоматического исправления ошибок для правил; частичное обнаружение ошибок согласованности правил; итеративность процесса корректировки правил, то есть после внесения каждого исправления в правила необходима их повторная проверка анализатором.

Отсутствие возможности проверки разграничения доступа,. образуемого правилами фильтрации, для существующих методов анализа правил обусловлено отсутствием информации о заданной политике разграничении доступа в сети.

Использование информации о политике разграничении доступа в сети в качестве основополагающей для правил фильтрации привело к появлению методов автоматического построения правил. Такие методы позволяют рассчитать правила фильтрации МЭ, распределить их в сети по заданной политике разграничения доступа.

В данной работе вводится понятие адекватности правил фильтрации заданной политике разграничения доступа, которое выступает основным критерием качества правил фильтрации. Под адекватностью правил фильтрации в данной работе понимается однозначное соответствие списков правил фильтрации распределенных в сети МЭ политике разграничения доступа в сети. Главным условием адекватности правил фильтрации политике является непротиворечивость самой политики. Если политика неоднозначно определяет разграничение доступа, то и рассчитанные по такой политике правила будут неоднозначны. Вторым условием адекватности правил является согласованность правил фильтрации как внутри списка одного МЭ так и между различными МЭ в сети. Таким образом, для правил фильтрации должны быть устранены ошибки несогласованности. Только при соблюдении данных условий рассчитанные правила могут быть адекватны политике. Адекватность правил должна быть верифицирована путем сравнения заданной политики разграничения доступа с фактической политикой, формируемой правилами фильтрации в сети.

Вторым критерием качества правил фильтрации выступает эффективность их распределения между множеством МЭ в сети. Под эффективностью распределения правил понимается такое распределение правил между МЭ, при котором в список правил каждого МЭ будет включено такое количество правил, при котором МЭ способен обеспечить требуемую производительность. Под производительностью МЭ понимается количество данных, обрабатываемых МЭ в секунду. Производительность МЭ зависит от используемого количества правил. При превышении некоторого порогового значения количества используемых правил, МЭ не может поддерживать требуемую производительность, что приводит к его отказам в обслуживании. Под отказами в обслуживании понимаются потери пакетов на МЭ,-либо пропуск необработанных пакетов. В первом случае будет получено снижение производительности сети в целом, во втором случае - нарушение политики разграничения доступа. Избыточность между правилами усложняет расчет их эффективного распределения и должна быть предварительно устранена.

Существующие методы автоматического построения правил не отвечают критериям адекватности правил и эффективности их распределения. Таким образом, актуальной является задача разработки методов и алгоритмов автоматического построения правил фильтрации МЭ, не имеющих данных недостатков.

Целью работы является разработка и исследование методов и алгоритмов построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа. Исходя из основной цели данной работы, определяется перечень решаемых задач:

1. Разработка модели представления сети.

2. Разработка модели представления политики разграничения доступа в сети и алгоритмов построения данной модели.

3. Разработка и исследование алгоритмов обнаружения и устранения проблем согласованности и избыточности для правил разграничения доступа.

4. Разработка модели распределения правил разграничения доступа в сети и алгоритма расчета эффективного распределения множества правил фильтрации между межсетевыми экранами в сети.

5. Разработка алгоритма проверки адекватности рассчитанных правил фильтрации заданной политике разграничения доступа в сети.

6. Разработка методики экспериментальной оценки метода построения правил фильтрации.

В рамках исследования используются методы теории вычислительных систем и сетей, теории множеств, теории графов, теории математического моделирования, генетических алгоритмов.

Объектом исследования является фильтрация трафика в локальных сетях.

Предметом исследования являются методы и алгоритмы построения правил фильтрации трафика.

Научная новизна работы заключается в следующем:

1. Разработан новый метод автоматического построения правил фильтрации для межсетевых экранов, который использует ориентированное дерево правил для представления политики разграничения доступа. Данный метод позволяет устранить проблемы несогласованности и избыточности для правил заданной политики разграничения доступа в сети. Непротиворечивое представление политики разграничения доступа в сети позволяет рассчитать адекватное и согласованное множество правил фильтрации МЭ.

2. Разработаны новые алгоритмы обнаружения и устранения проблем несогласованности и избыточности для правил разграничения доступа в сети, которые имеют логарифмический порядок сложности.

3. Разработан алгоритм расчета эффективного распределения правил фильтрации в сети, который впервые учитывает зависимость производительности МЭ от количества используемых правил и позволяет предотвратить отказы в обслуживании для МЭ.

Практическая ценность полученных автором результатов a. Разработанный метод построения правил фильтрации позволяют автоматически рассчитать множество согласованных и эффективно распределенных правил фильтрации для МЭ в сети для обеспечения заданной политики разграничения доступа на сетевом уровне. b. Разработана статическая модель сети, которая позволяет рассчитать и представить как заданное, так и фактическое разграничение доступа в сети. c. Разработаны новые алгоритмы, реализующие операции сложения и вычитания множеств правил фильтрации, которые впервые позволяют устранять такой тип избыточности правил, как 9 многословностъ. Разработанные алгоритмы могут быть использованы совместно с различными существующими методами анализа и построения правил фильтрации.

Основные положения, выносимые на защиту

1. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет обнаружить и устранить несогласованность и избыточность для правил, выражающих заданную политику разграничения доступа в сети.

2. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет рассчитать множество непротиворечивых правил фильтрации для межсетевых экранов в сети, адекватных заданной политике разграничения доступа.

3. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет предотвратить отказы в обслуживании для межсетевых экранов, распределяя правила фильтрации между ними с учетом их сетевой нагрузки и производительности.

Использование результатов. Основные результаты исследований были использованы на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении следующих научно-исследовательских и опытно-конструкторских работ: "Неман", "Центр-1 ТИ".

Достоверность полученных результатов подтверждается строгостью математических выкладок, результатами экспериментов с разработанными программными реализациями.

Апробация работы. По теме диссертации опубликовано 11 научных статей и тезисов докладов, из них в журналах, рекомендуемых ВАК - 2. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. VII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии». Томск, 2009 г.

2. XI международной научно-технической конференции «Кибернетика и высокие технологии XXI века», Воронеж, 2010 г.

3. XI международной научно-практической конференции «Информационная безопасность-2010», Таганрог, 2010 г.

4. The 3rd International Conference of Security of Information and Networks (SIN'10), Таганрог, 2010 г.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Мордвин, Денис Валериевич

4.4 Выводы

В данной главе рассмотрены основные моменты реализации программы, особенности реализации отдельных её частей. Основной упор в реализации сделан на производительность программы, использование только стандартных и проверенных библиотек и технологий.

Проведены эксперименты с разработанной программой, • позволяющие сделать положительные выводы о:

• работоспособности программы;

• приемлемой производительности программы для практического использования;

• целесообразности использования программы;

Приведен обзор и анализ аналогов данной разработки, который позволяет сделать несколько выводов:

• Существующие аналоги, позволяющие решать задачу автоматизированного построения разграничения доступа, существенно уступают в функциональности программе, основанной на разработанном методе.

• Разработанная программа не уступает в производительности аналогом при'решении

114 задачи анализа и модификации существующих правил, при этом позволяет автоматически получить согласованные и безызбыточные правила за один этап анализа правил.

ЗАКЛЮЧЕНИЕ

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные результаты:

1. Разработан новый метод автоматического построения правил фильтрации адекватных заданному разграничению доступа, в рамках которого были решены все поставленные задачи. Разработанный метод позволяет повысить безопасность и отказоустойчивость для сетей, использующих межсетевые экраны.

2. Разработана статическая модель сети и на ее основе разработаны новая модель представления политики разграничения доступа в сети и алгоритмы построения данной модели. Модель позволяет выявлять факты несоответствия фактического разграничения доступа в сети заданному политикой безопасности.

3. Разработаны новые алгоритмы обнаружения и устранения проблем согласованности и избыточности правил фильтрации, которые в отличие от известных имеют логарифмический порядок сложности.

4. Разработана модель распределения правил разграничения доступа в сети и алгоритм расчета эффективного распределения правил фильтрации, который впервые учитывает зависимость производительности межсетевых экранов от количества используемых правил и позволяют предотвратить отказы в обслуживания для них.

5. Разработан алгоритм проверки адекватности рассчитанных правил фильтрации заданной политике разграничения доступа в сети, который позволяет верифицировать результаты расчета правил.

6. На основе разработанной методики получены результаты экспериментальных оценок разработанного метода, которые подтвердили соответствие рассчитываемых правил фильтрации требованию адекватности заданной политике разграничения доступа. Результаты экспериментальной оценки показали, что в 80% случаев для расчета адекватных и эффективно распределенных правил фильтрации достаточно не более 3 минут. Сравнение экспериментальных оценок разработанного метода с аналогами показало его высокую производительность.

Список литературы диссертационного исследования кандидат технических наук Мордвин, Денис Валериевич, 2010 год

1. A. Wool. A quantitative study of firewall configuration errors. // IEEE Computer Society, Vol. 37, 2004. C. 62-67.

2. Firewall wizards security mailing list. Электронный ресурс. / Режим доступа: http://honor.icsalabs.com/mailman/listinfo/firewall-wizards свободный. — Загл. с экрана.

3. Ehab S. Al-Shaer, Hazem H. Hamed. Firewall Policy advisor for anomaly discovery and rule editing. // Integrated Network Management, 2003, C. 17-30.

4. Ehab S. Al-Shaer, Hazem H. Hamed. Design and Implementation of Firewall Policy Advisor Tools. Электронный ресурс. / Режим доступа: http://facweb.cs.depaul.edu/research/TechReports/TR04-011.pdf свободный. - Загл. с экрана.

5. Ehab Al-Shaer, Hazem Hamed, Raouf Boutaba, M. Hasan. Conflict Classification and Analysis of Distributed Firewall Policies. // IEEE Journal on Selected Areas in Communications 23(10), 2005. C. 2069-2084.

6. Ehab S. Al-Shaer, Hazem H. Hamed. Discovery of Policy Anomalies in Distributed Firewalls. // In Proc. 23rd Conf. IEEE Communications Soc. (INFOCOM, 2004), Vol. 23, №1, Chicago, USA, 2004,-C. 2605-2616.

7. Ehab S. Al-Shaer, Hazem H. Hamed. Modeling and Management of Firewall Policies. // IEEE Trans. Network and Service Management, Vol. 1, Apr 2004. C. 2-10.

8. Adel El-Atawy, Taghrid Samak, Zein Wali, Ehab Al-Shaer, Frank Lin, Christopher Pham, Sheng Li. An Automated Framework for Validating Firewall Policy Enforcement. // POLICY, 2007, -C. 151-160.

9. Tung Tran, Ehab S. Al-Shaer, Raouf Boutaba. Policy Vis Firewall Security Policy Visualization and Inspection. // LISA, 2007. C. 1-16.

10. Korosh Golnabi, Richard K. Min, Latifur Khan, Ehab Al-Shaer. Analysis of Firewall Policy Rules Using Data Mining Techniques. //NOMS, 2006. С. 305-315.

11. Ehab S. Al-Shaer, Hazem H. Hamed. Management and Translation of Filtering Security Policies. // In Proc. IEEE International Conference, Vol. 1, 2003. C. 256-260.

12. Hazem Hamed and Ehab Al-Shaer. Taxonomy of Conflicts in Network Security Policies. // In Proc. IEEE Communications Magazine, Vol. 44, No. 3, March 2006. C. 134-141.

13. Alain Mayer, Avishai Wool, Elisha Ziskind. Fang. A firewall analysis engine. // In Proceedings, IEEE Symposium on Security and Privacy, IEEE CS Press, 2000. C. 177-187.

14. Yair Bartal, Alain Mayer, Kobbi Nissim, Avishai Wool. Firmato A Novel Firewall managment tool. // ACM Transactions on Computer Systems, Vol. 22, No. 4. IEEE CS Press, 2004. -C.381-420.

15. R. Oliveira, S. Lee, H. Kim. Automatic detection of firewall misconfigurations using firewall and network routing policies. // Carnegie Mellon University, 2009.

16. Ricardo Oliveira, Sihyung Lee, Hyong S. Kim. Automatic Detection of Firewall Misconfigurations Using Firewall and Network Routing Policies. // Carnegie Mellon University, 2009.

17. J. G. Alfaro, N. Boulahia-Cuppens • F. Cuppens. Complete analysis of configuration rules to guarantee reliable network security policies. // International Journal of Information Security (IJIS), Vol 7, No 2,2008.-C. 103-122.

18. Frederic Cuppens, Nora Cuppens-Boulahia, Joaquin Garcia-Alfaro. Detection and Removal of Firewall Misconfiguration. // Proceedings of the 2005 IASTED International Conference on Communication, Network and Information Security 1, 2005. C. 154-162.

19. J. G. Alfaro, F. Cuppens, N. Cuppens-Boulahia. Management of Exceptions on Access Control Policies. IIIFIP International Federation for Information Processing, Springer Boston, 2007.

20. Robert Marmorstein, Phil Kearns. A Tool for Automated Iptables Firewall Analysis. // USENIX 2005 Annual Technical Conference, FREENIX Track, Anaheim, CA, 2005. C. 71-81.

21. Robert Marmorstein. Formal Analysis of Firewalls. // Department of Math and Computer Science, Longwood University, September 2005.

22. Robert Marmorstein, Phil Kearns. Firewall analysis with policy-based host classification. // Proceedings of the 20th Large Installation System Administration Conference (LISA '06), Washington DC, 2006.-C. 41-51.

23. Alex X. Liul and Mohamed G. Gouda. Complete redundancy detection in firewalls. // Department of Computer Sciences, The University of Texas at Austin, Austin, Texas, USA, 2005.

24. Mohamed G. Gouda, Alex X. Liu. A model of stateful firewalls and its properties. // In Proceedings of the IEEE International Conference on Dependable Systems and Networks (DSN'05), Japan, June 2005.

25. Alex X. Liu, Mohamed G. Gouda, Huibo H. Ma, Anne HH. Ngu. Firewall Queries. // OPODIS 2004, LNCS 3544, Springer-Verlag Berlin Heidelberg, 2005. C. 197-212.

26. H. B. Acharya, Mohamed G. Gouda. Linear-Time Verification of Firewalls. // ICNP 2009: Princeton, USA, 2009. C. 133-140.

27. E. Lupu, M. Sloman. Conflict Analysis for Management Policies. // Proceedings of the fifth IFIP/IEEE international symposium on Integrated network management (IM'97), San-Diego, USA, 1997.-C. 430-443.

28. Arosha К В, Antonis Kakas, Emil С Lupu, Ra Russo. Using Argumentation Logic for Firewall Policy Specification and Analysis. // 17th IFIP/IEEE International Workshop on Distributed Systems: Operations and Management, Dublin, Ireland, 2006, C. 185-196.

29. Pasi Eronen and Jukka Zitting. An Expert System for Analyzing Firewall Rules. // Proc. 6th Nordic Worksh. Secure IT Systems, Technical report IMM-TR-2001-14, Denmark, 2001. C. 100107.

30. Leonidas A. Lymberopoulos. An Adaptive Policy Based Framework for Network Management. // Journal of Network and Systems Management, Vol. 11, 2003. C. 277 - 303.

31. Tony Bourdier. Formal analysis of firewalls using tree automata techniques. // INRIA Nancy Research Center-PAREO Team 615, France, 2010.

32. Susan Hinrichs. Integrating changes to a hierarchical policy model. // In Proceedings of 9th IFIP/IEEE International Symposium on Integrated Network Management, Nice, France, 2005. C. 441-454.

33. Maritza Johnson, John Karat, Clare-Marie Karat, Keith Grueneberg. Optimizing a Policy Authoring Framework for Security and Privacy Policies. // Proceedings of the Sixth Symposium on Usable Privacy and Security, Vol. 485, Article No: 8, July 2010.

34. A. Hari, S. Suri, G. Parulkar. Detecting and Resolving Packet Filter Conflicts. // INFOCOM 2000. Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies, Vol.3, 2000.-C. 1203-1212.

35. Сервер Информационных технологий. Электронный ресурс. / Режим доступа: http://citforum.ru/nets/ip/glava3.shtml свободный. - Загл. с экрана.

36. RFC 4632 Classless Inter-domain Routing (CIDR): The Internet Address Assignment and Aggregation Plan. Электронный ресурс. / Режим доступа: http://t00ls.ietf.0rg/html//rfc4632/ -свободный. - Загл. с экрана.

37. RFC 1817 CIDR and Classful Routing. Электронный ресурс. / Режим доступа: http://www.faqs.org/rfcs/rfcl817.html/ - свободный. - Загл. с экрана.

38. Норберт Польман, Тим Кразер. Архитектура брандмауэров для сетей предприятия, — М.: «Вильяме», 2003

39. С.В. Лебедь. Межсетевое экранирование. Теория и практика защиты внешнего периметра. М.: Изд-во МГТУ им. Н.Э. Баумана. 2002. 304 с.

40. Static routing. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/Staticrouting/ свободный. - Загл. с экрана.

41. L. Yuan, J. Mai, Z. Su, H. Chen, C. Chuah, and P. Mohapatra. FIREMAN: a toolkit for firewall modeling and analysis. // In Proc. IEEE Symposium on Security and Privacy, 2006. C. 199

42. Т. Uribe, S. Cheung. Automatic analysis of firewall and network intrusion detection system configurations. // Journal of computer security, Vol. 15, 2007. C. 691-715.

43. Официальное руководство no ipset Электронный ресурс. / Режим доступа: http://ipset.netfilter.org/ свободный. — Загл. с экрана.

44. Официальное руководство по iptables (Iptables Tutorial 1.1.19) Электронный ресурс. / Режим доступа: http://www.opennet.ru/docs/RUS/iptables/ свободный. — Загл. с экрана.

45. Jyzsef Kadlecsik, Gyorgy Pasztor // Netfilter Performance Testing Электронный ресурс. / Режим доступа: http://people.netfilter.org/kadlec/nftest.pdf свободный. - Загл. с экрана.

46. Официальный сайт Nmap. Электронный ресурс. / Режим доступа: http://nmap.org/ -свободный. — Загл. с экрана.

47. Официальный сайт Nessus. Электронный ресурс. / Режим доступа: http:// nessus.org/ -свободный. — Загл. с экрана.

48. Sergio Pozo, A.J. Varela-Vaca, Rafael M. Gasca. MDA-Based Framework for Automatic Generation of Consistent Firewall ACLs with NAT. // In Proc. 9th International Conference on Computational Science and Its Applications (ICCSA), Korea, 2009. C. 130-144.

49. Firewall builder. Электронный ресурс. / Режим доступа: http://www.fwbuilder.org/ -свободный. Загл. с экрана.

50. Мордвин Д.В., Абрамов Е.С., Андреев А.В. Методы автоматизации построения правил фильтрации сетевого трафика // Материалы XI международной научно-практической конференции «Информационная безопасность». — Таганрог: Изд-во ТТИ ЮФУ, 2010. С. 4651.

51. Альфред В. Ахо, Джон Э. Хопкрофт, Джеффри Ульман. Структуры данных и алгоритмы. М.: «Вильяме», 2000.

52. А. В. Левитин. Алгоритмы: введение в разработку и анализ. М.: «Вильяме», 2006.

53. Настройка межсетевого экрана Iptables Электронный ресурс. / Режим доступа: http://posix.ru/network/iptables/ свободный. — Загл. с экрана.

54. Classless Inter-Domain Routing. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/ClasslessInter-DomainRouting свободный. - Загл. с экрана.

55. CIDR notation. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/CIDRnotation свободный. - Загл. с экрана.

56. Ф. А. Новиков. Дискретная математика для программистов: Учебное издание для вузов. 3-е изд. П.: «Питер», 2008.

57. Rutkowski L., Galkowski Т. On pattern classification and system identification by probabilistic neural networks. // Appl. Math, and Comp. Sei., 1994.

58. Д. Рутковская, М. Пилиньский, Л. Рутковский. Нейронные сети, генетические алгоритмы и нечеткие системы, М.: «Горячая линия - Телеком», Москва 2006.

59. Standard Template Library Programmer's Guide. Электронный ресурс. / Режим доступа: http://www.sgi.com/tech/stl/ свободный. - Загл. с экрана.

60. Boost С++ Libraries. Электронный ресурс. / Режим доступа: http://www.boost.org/ -свободный. — Загл. с экрана.

61. Simplified Wrapper and Interface Generator. Электронный ресурс. / Режим доступа: http://www.swig.org/ свободный. - Загл. с экрана.

62. Ttree.h File Reference. Электронный ресурс. / Режим доступа: http://gift.sourceforge.net/docs/0.11 .x/libgift/tree8h.html/ свободный. — Загл. с экрана.

63. Гамма Э., Хелм Р., Джонсон Р., Влиссидес Д. Приемы объектно-ориентированного проектирования. Паттерны проектирования. П.: «Питер», 2007.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.