Системный анализ трафика для выявления аномальных состояний сети тема диссертации и автореферата по ВАК РФ 05.13.01, кандидат технических наук Гальцев, Алексей Анатольевич

Введение

Актуальность

Задача анализа трафика магистральных Интернет-каналов с каждым годом становится все более востребованной. На данный момент всемирная сеть Интернет используется не только для обмена информацией, но и для предоставления различных услуг, в том числе государственных. Тем самым остро встает вопрос об обеспечении отказоустойчивой, бесперебойной работы серверов организаций, предоставляющих такие услуги.

Анализ трафика магистральных Интернет-каналов является сложной задачей, зависящей от множества параметров, которая с трудом поддается декомпозиции и моделированию. Одной из причин этого является постоянное усложнение структуры глобальной сети, которая характеризуется взаимодействием большого количества устройств самых разных типов, которые не имеют единого центра управления.

Несанкционированные вторжения в сетевую инфраструктуру являются сегодня одной из основных угроз для современной сети Интернет. Трудность выявления несанкционированных вторжений и относительная простота их реализации выводит данный вид неправомерных действий на одно из первых мест по степени опасности. Несвоевременное обнаружение препятствует оперативному реагированию на проводимое вторжение, вследствие чего у нарушителя увеличиваются шансы успешного осуществления атаки.

В настоящей работе основное внимание сосредоточено на вопросе разработки модели трафика для выявления аномальных состояний сети и противодействия сетевым вторжениям. Наиболее актуальной задачей является поиск методов защиты от БВоЭ-атак, поскольку до сих пор не разработано средств, позволяющих полностью защитить удаленные ресурсы от данного вида деструктивного вмешательства в работу компьютерной сети и ее отдельных узлов. ОЭоБ-атаки являются простыми в реализации, что делает их наиболее распространенным видом сетевых вторжений. В течение 2011 года были

зафиксированы масштабные атаки на такие крупные ресурсы, как блог-платформа LiveJournal, платежная система PayPal, сайт радиостанции «Эхо Москвы» и другие организации, в результате которых сервисы на долгое время оказались неработоспособными. Эти события говорят о необходимости разработки новых методов своевременного обнаружения и предотвращения несанкционированных вторжений.

Вопросы моделирования трафика магистральных Интернет-каналов, а также обнаружения аномальных сетевых состояний в разное время исследовали С. Barakat, С. Fraleigh, М. Fullmer, A.A. Долгин, E.JI. Дружинин и др.

В связи с этим актуальной представляется разработка моделей трафика, методов и алгоритмов, позволяющих в течение короткого времени обнаруживать аномальные состояния сети и принять меры по их устранению.

Результаты исследования соответствуют пунктам 4 - «Разработка методов и алгоритмов решения задач системного анализа, оптимизации, управления, принятия решений и обработки информации», 5 - «Разработка специального математического и программного обеспечения систем анализа, оптимизации, управления, принятия решений и обработки информации» паспорта научной специальности 05.13.01 - Системный анализ, управление и обработка информации (технические системы и связь).

Объект исследования - трафик магистральных Интернет-каналов.

Цель и задачи исследований.

Целью работы является разработка модели, методов, позволяющих провести системный анализ Интернет-трафика для выявления аномальных состояний сети и предотвращения несанкционированных вторжений.

В соответствии с поставленной целью в рамках диссертационной работы решаются следующие задачи исследования.

1. Провести обзор существующих моделей трафика и методов по выявлению аномальных состояний сети.

2. Провести исследование системных связей трафика на уровне агрегированных состояний сети (потоков) и разработать модель трафика.

3. Разработать метод обнаружения аномальных состояний сети путем обработки информации о потоках по критериям предложенной модели трафика.

4. Разработать методику отбора внешних 1Р-адресов, с которых может происходить несанкционированное вторжение.

5. Разработать комплекс программно-аппаратных средств, блокирующий несанкционированный доступ к защищаемой сети.

Разработать комплекс программно-аппаратных средств, блокирующий несанкционированный доступ к защищаемой сети.

Научная новизна работы.

В диссертации получены следующие новые научные результаты.

1. Предложена модель Интернет-трафика на уровне потоков, которая впервые предлагает описывать текущее состояние сети двумя переменными: загрузкой сети и числом активных потоков, - в отличие от других моделей, использующих только один параметр (загрузка сети).

2. Получено уравнение для рабочей области на плоскости сетевых состояний, последовательный выход за пределы которой двух или более состояний свидетельствует об аномальном функционировании сети.

3. Экспериментально доказано, что разработанная модель трафика позволяет регистрировать аномальные состояния сети в течение нескольких минут после начала внешнего воздействия.

4. Разработана новая методика определения 1Р-адресов, с которых производится несанкционированное вторжение, которая заключается в многократном росте активных потоков, генерируемых 1Р-адресом.

Основные положения диссертации, выносимые на защиту.

1. Модель трафика на уровне потоков, содержащая сетевые переменные, измеряемые на маршрутизаторах.

2. Метод обнаружения аномальных состояний сети.

3. Методика обнаружения 1Р-адресов, с которых ведется несанкционированное вторжение двух типов: ОЭоЗ и сканирование портов.

4. Алгоритмы поиска и блокирования источников несанкционированного вторжения.

Практическая ценность работы.

Результаты, полученные в ходе выполнения настоящей диссертационной работы, могут быть использованы в системах анализа трафика магистральных сетевых каналов, обнаружения сетевых аномалий, системах обнаружения вторжений (СОВ), а также в системах предотвращения вторжений (СПВ), используемых для защиты сетевых ресурсов от сетевых вторжений.

Реализация результатов работы.

Результаты диссертационной работы внедрены и используются для обнаружения сетевых аномалий и защиты от сетевых вторжений компьютерной сети Самарского государственного аэрокосмического университета им. С.П. Королева и Губернского портала Самара.ру.

Основные результаты получены в рамках следующих проектов.

1. «Разработка сетевых информационных технологий параллельной и распределенной обработки данных, электронного обучения и интернет-телевещания», выполняемый в рамках Федеральной целевой программа «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы» (ГК П2234 от 11 ноября 2009 г.).

2. «Разработка и реализация в учебном процессе и научных исследованиях инновационных информационных технологий и подготовка методических материалов по использованию суперкомпьютерной и инфокоммуникационной грид-среды СГАУ» (ГК ОК 07/11).

Апробация работы.

Основные результаты, связанные с разработкой методов и алгоритмов обнаружения и предотвращения аномальных состояний сети, а также программно-

аппаратного комплекса обнаружения и предотвращения сетевых атака типа DDoS и сканирование портов докладывались на следующих конференциях: XVI конференции представителей региональных научно-образовательных сетей «RELARN-2009» (2-7 июня 2009, Москва - Санкт-Петербург, Теплоход «Александр Суворов»); XVI Всероссийская научно-методическая конференция «Телематика 2009» (22 - 25 июня 2009, Санкт-Петербург); Всероссийская молодежная научная конференция с международным участием «Королёвские чтения» (6-8 октября 2009, Самара); The 11th International Conference on Next Generation Wired/Wireless Networking «NEW2AN 2011» (23 - 25 August 2011, St. Petersburg).

Публикации. По теме диссертации опубликованы 8 печатных работ, в том числе 3 - в изданиях, рекомендованных ВАК Минобрнауки России.

Структура и объем работы.

Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложения. Общий объем работы составляет 116 страниц, 26 рисунков, 5 таблиц. Библиографический список насчитывает 102 наименования.

Во введении обоснована актуальность работы, сформулированы ее цель и задачи. Проведен обзор известных методов решения задач обнаружения и предотвращения сетевых атак. Приводятся перечень научных результатов и положения, выносимые на защиту.

В первой главе проводится анализ современного состояния решения проблемы выявления аномальных состояний компьютерных сетей. Описаны особенности существующих решений и результаты проводимых исследований, приводится классификация наиболее распространенных сетевых аномалий. Рассмотрены общие подходы к решению проблем выявления аномальных состояний сети и в частности, сетевых атак.

Во второй главе рассматриваются вопросы построения моделей трафика на основе двух концепций: описания трафика в виде пакетов и потоков. Развивается потоковая модель трафика, основанная на представлении состояния сети как

сочетания двух параметров: загрузка канала и число активных потоков в нем. Показывается, что данная модель может быть использована для обнаружения аномальных состояний сети.

Третья глава посвящена проектированию и проведению экспериментов по подтверждению модели трафика, а также ее применимости для задач обнаружения аномальных состояний сети.

В четвертой главе описывается разработанный программно-аппаратный комплекс по обнаружению и предотвращению сетевых вторжений двух типов: сканирование портов и ОБоЗ-атаки. Приведены результаты экспериментальных исследований, проведенных на одном из серверов сегмента сети СГАУ. В заключении обсуждаются результаты и делаются выводы.

4.5. Выводы по четвертой главе

1. Разработан комплекс программно-аппаратных средств, который реализуют защищенное информационное пространство для размещения Интернет-ресурсов. Данный комплекс основан на разработанной методики выявления сетевых вторжений.

2. Разработанный комплекс программно-аппаратных средств установлен и запущен в эксплуатацию в одном из сегментов сети СГАУ.

3. Проведены успешные испытания разработанного программно-аппаратного комплекса в процессе работы веб-хостинга в сети СГАУ.

4. Рассчитаны показатели веб-хостинга, позволяющие определить требования к нему, предъявляемые с точки зрения устойчивости к наиболее распространенным типам DDoS-атак.

Заключение

В результате проведенных исследований решен ряд важных задач, составляющих проблему выявления аномальных состояний в работе компьютерной сети на основе анализа сетевого трафика.

В ходе исследований, проведенных в настоящей работе, получены следующие результаты.

1. Предложена модель Интернет-трафика на уровне потоков, которая описывает текущее состояние сети двумя переменными: загрузкой сети и числом активных потоков в ней;

2. Получено уравнение для рабочего интервала, описывающего рабочий участок сети и аномальные состояния сети в случае, если два последовательных измерения выходят за пределы указанного интервала.

3. Проведена экспериментальная проверка модели на различных научно-образовательных сетях, которая подтвердила зависимость формы рабочей области от переменных модели (загрузки канала и числа активных потоков).

4. Проведена экспериментальная проверка модели на возможность обнаружения различных аномальных состояний, и в частности, сетевых атак двух типов: сканирование портов и ОБо8-атаки. Данная проверка подтвердила работоспособность предложенной модели.

5. Разработан метод определения 1Р-адресов, осуществляющих сетевые атаки двух типов: сканирование портов и БОоБ-атаки, - который заключается в многократном росте активных потоков, генерируемых 1Р-адресом.

6. Разработана методика определения уровня отсечения подозрительных 1Р-адресов по числу активных потоков.

7. Разработан комплекс программно-аппаратных средств, который реализует защищенное информационное пространство для размещения Интернет-ресурсов.

8. Разработанный комплекс программно-аппаратных средств установлен и запущен в эксплуатацию в одном из сегментов сети СГАУ.

9. Проведены успешные испытания разработанного программно-аппаратного комплекса в процессе работы веб-хостинга в сети СГАУ.

Полученные результаты имеют большую теоретическую и практическую значимость в связи с высокой актуальностью данной проблемы.

Автор имеет серию публикаций, в которых отражены отдельные как теоретические, так и практические составляющие всей диссертационной работы.

Список литературы

1. *Гальцев. A.A. Технология администрирования учетных записей пользователей в компьютерной сети ТФ СГАУ [Текст] / Гальцев A.A., Сагатов Е.С., Султанов Т.Г. // Городская научная студенческая конференция "Молодежь. Наука. Общество." - сборник тезисов, Часть II, 2009. - С.77.

2. *Гальцев, A.A. Сравнительные характеристики научно-образовательных сетей [Текст] / Гальцев A.A. // Труды XIII Всеросийской научно-методической конференции Телематика 2009, СПб, 2009. - С. 302-305.

3. *Гальцев, A.A. Сравнительные характеристики научно-образовательных сетей [Текст] / Гальцев A.A. // Конференция представителей региональных научно-образовательных сетей RELARN-2009, сборник тезисов докладов, Москва - СПб, 2009. - С. 45-49.

4. *Гальцев, A.A. Обнаружение DDoS-атак на основе потоковых моделей трафика [Текст] / A.A. Гальцев // Всероссийская молодёжная научная конференция с международным участием "X Королёвские чтения", сборник тезисов, Самара, 2009. - С. 283-284.

5. *Гальцев, A.A. Обнаружение сетевых атак на потоковом уровне [Текст] / A.A. Гальцев, А. М. Сухов // Телекоммуникации - М., №12, 2011. - С. 21-26.

6. Гнеденко, Б.В. Курс теории вероятностей [Текст] / Б.В. Гнеденко // М.: -Эдиториал УРСС, 2001. - 320 с.

7. Долгин, А. А. Разработка сканера уязвимостей компьютерных систем на основе защищенных версий ОС Windows [Текст] / А. А. Долгин, П. Б. Хореев // Труды международной научно-технической конференции «Информационные средства и технологии», том 2, М., 2005. - С. 76-78.

8. Официальный сайт ОС Cisco IOS и NX-OS, [Электронный ресурс]. - Режим доступа

http://www.cisco.com/en/US/products/sw/iosswrel/products_ios_cisco_ios_softwa re_category_home.html, свободный, дата доступа: январь 2012.

9. Официальный сайт сетевого протокола Cisco NetFlow [Электронный ресурс]. - Режим доступа - http://www.cisco.com/go/netflow/ , свободный, дата доступа: январь 2012.

10. *Сухов, A.M. Функция распределения задержки пакетов в глобальной сети для задач теории управления [Текст] / A.A. Гальцев, A.M. Сухов, Н.Ю. Кузнецова, А.К. Первицкий // Телекоммуникации - М., №12, 2010. - С. 10-16.

11. Сухов, A.M. Моделирование нагрузки на участке высокоскоростной сети [Текст] / А.М Сухов // Телелекоммуникации - М., №2, 2006. - С. 23-29.

12. Aydin, М. A hybrid intrusion detection system for computer netwrok security [Text] / M. Ali Aydin, A. Halim Zaim, K. Gokhan Ceylan // Computer & Electrical Engineering, Vol. 35, Issue 3, May 2009. - P. 517-526.

13. Altman, E. A stochastic model for TCP/IP with stationary random losses [Text] / E. Altman, K. Avratchenkov, C. Barakat, // ACM SIGCOMM Computer Communication Review. - ACM, 2000. - V. 30. - №. 4. - P. 231-242.

14. Amoroso, E. Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response [Text] / Edward Amoroso // No.: ISBN 0-9666700-7-8.- 1999.-P. 218.

15. Anderson, J. Computer Security Threat Monitoring and Surveillance [Text] / J. Anderson // Technical report, James P. Anderson Company, Fort Washington, Pennsylvania, 1980.-Vol. 17.

16. Barakat, C. A flow-based model for Interner backbone traffics [Text] / C. Barakat, P. Thiran, G. Iannaconec, C. Diot, P. Owezarski //Proceedings of the 2nd ACM SIGCOMM Workshop on Internet measurment. - ACM, 2002. - P. 35-47.

17. Barbara, D. ADAM: Detecting Intrusions by Data Mining [Text] / Daniel Barbara, Julia Couto, Sushil Jajodia, Leonard Popyack, Ningning Wu // Proceedings of the IEEE Workshop on Information Assurance and Security, West Point, NY, June 2001.

18. Barlow, J. TFN2K - An Analysis [Electronic resource] / Jason Barlow, Woody Thrower // site -

http://www2.axent.com/swat/News/TFN2k_Analysis.htm,

date January 2012.

19. Ben Fredj S. Statistical Bandwidth Sharing: A Study of Congestion at Flow Level [Text] / S. Ben Fredj, T. Bonald , A. Proutiere, G. Regnie, J. Roberts //ACM SIGCOMM Computer Communication Review. - 2001. - Vol. 31. - №. 4. - P. 111 -122.

20. Bremaud, P. Power spectra of general shot noises and Hawkes point processes with a random excitation [Text] / P. Bremaud, L. Massoulie //Advances in Applied Probability. - 2002. - T. 34. - №. 1. - C. 205-222.

21. Brownlee, N. Traffic flow measurement: architecture [Text] / N. Brownlee, C. Mills, G. Ruth // RFC 2722, October 1999.

22. Bu, T. Fixed Point Approximation for TCP behavior in an AQM Network [Text] / T. Bu, D. Towsley // ACM SIGMETRICS Performance Evaluation Review. - ACM,

2001.-Vol. 29. - №. 1.-P. 216-225.

23. Cardwell, N. Modeling TCP Latency [Text] / N. Cardwell, S. Savage, T. Anderson // INFOCOM 2000. Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies. Proceedings. IEEE. - IEEE, 2000. - Vol. 3. - P. 17421751.

24. Calyam, P. Performance Measurement and Analysis of H.323 Traffic [Text] / P. Calyam, M. Sridharan, W. Mandrawa, P. Schopis // Passive and Active Network Measurement. - 2004. - P. 137-146.

25. Chabchoub, Y. A study of flow statistics of IP traffic with application to sampling [Text] / Y. Chabchoub, C. Fricker, F. Guillemin, P. Robert // Proceedings of the Managing Traffic Performance in Converged Networks 20th International Teletraffic Congress, ITC20 2007. - 2007. - C. 17-21.

26. Chan, P.K. A Machine Learning Approach to Anomaly Detection [Text] / P.K. Chan, M.V. Mahoney, M.H. Arshad // Department of Computer Sciences, Florida Institute of Technology, Melbourne. - 2003.

27. Chang, R.K.C. Defending against flooding-based Distributed Denial of Service attacks: a tutorial [Text] / R.K.C. Chang // Communications Magazine, IEEE. -

2002. - Vol. 40. - №. 10. - P. 42-51.

28. Claise, B. NetFlow Services Export Version 9 [Text] / B. Claise // RFC 3954, 2004.

29. Crovella, M. Self-Similarity in World Wide Web Traffic: Evidence and Possible Causes [Text] / M. Crovella, A. Bestavros // Networking, IEEE/ACM Transactions on. - 1997. - Vol. 5. - №. 6. - P. 835-846.

30. Daley, D. An introduction to the theory of point processes [Text] / D. Daley, D. Vere-Jones // Springer, 2007. -Vol. 2.

31. Deal, R. Cisco Router Firewall Security: DoS Protection [Electronic resource] / Richard A Deal // Cisco Press, Oct. 2004. - site http://www.informit.com/articles/printerfriendly.aspx?p=345618,

date: January 2012.

32. Denning, D. An Intrusion Detection Model [Text] / D. Denning // Proceedings of the Seventh IEEE Symposium on Security and Privacy, 1986. - P. 119-131.

33. Dietrich, S. Analyzing distributed denial of service tools: The shaft case [Text] / S. Dietrich, N. Long, D. Dittrich // In Proceedings of USENIX LISA'2000, New Orleans, LA, 2000.

34. Douligeris, C. DDoS Attacks and Defense Mechanisms: Classification and State-of-theart [Text] / C. Douligeris, A. Mitrokotsa // Comp. Networks. - 2004. - Vol. 44,-P. 643-660.

35. Dowell, C. The ComputerWatch Data Reduction Tool [Text] / C. Dowell, Paul Ramstedt // Proceedings of the 13th National Computer Security Conference. -University of California, 1990. - P. 99-108.

36. Dumas, V. A Markovian analysis of AIMD algorithms [Text] / V. Dumas, F. Guillemin, P. Robert // Advances in Applied Probability. - 2002. - Vol. 34. - №. 1. -P. 85-111.

37. Farid, D.M. Learning intrusion detection based on adaptive Bayesian algorithm [Text] / D.M. Farid, M.Z. Rahman // Computer and Information Technology, 2008. ICCIT 2008. 11th International Conference on. - IEEE, 2008. - P. 652-656.

38. Feldmann, A. Characteristics of TCP connection arrivals [Text] / A. Feldmann // Self-similar network traffic and performance evaluation. - 2000. - P. 367-399.

39. Ferguson, P. RFC-2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing [Electronic resource] / P. Ferguson, D. Senie // 2000. -site -

http://www.faqs.org/rfcs/rfc2827.html, date: January 2012.

40. Fraleigh, C. Packet-level traffic measurements from the Sprint IP backbone [Text] / C. Fraleigh, S. Moon, C. Diot, B. Lyles, F. Tobagi // Network, IEEE. - 2003. -Vol. 17.-№. 6.-P. 6-16.

41. Fullmer, M. The OSU Flow-tools Package and Cisco Netflow logs [Text] / M. Fullmer, S. Roming // In Proceedings of the 2000 USENIX LISA Conference, New Orleans, LA. - 2000.

42. Fung, C. Trust management and admission control for host-based collaborative intrusion detection [Text] / C. Fung, J. Zhang, I. Aib, R. Boutaba // Journal of Network and Systems Management. - 2011. - Vol. 19. - №. 2. - P. 257-277.

43. *Galtsev, A.A. Network attack detection at flow level [Text] / A.A. Galtsev, A.M. Sukhov // Proceedings of the 11th International Conference on Next Generation Wired/Wireless Networking NEW2AN/ruSMART 2011, Lecture Notes in Computer Science, Vol. 6869, Springer-Verlag, Berlin, 2011. - P. 326-334.

44. Greenhalgh, A. Flow Processing and The Rise of Commodity Network Hardware [Text] / A. Greenhalgh, F. Huici, M. Hoerdt, P. Papadimitriou, M. Handley, L. Mathy // ACM SIGCOMM Computer Communication Review. - 2009. - Vol. 39. -№. 2.-P. 20-26.

45.Gu, G. BotMiner: Clustering analysis of network traffic for protocol- and structure-independent botnet detection [Text] / G. Gu, R. Perdisci, junjie Zhang, W. Lee // In Proceedings of the 17th USENIX Security Symposium (Security'08), San Jose, CA. - 2008. - P. 139-154.

46. Haag, P. Watch your Flows with NfSen and NfDump [Text] / P. Haag, // 50th RIPE Meeting, 2005.

47. Heberlein, L. A Network Security Monitor [Text] / L Heberlein, D. Todd, V. Giha, K. Levitt, B. Mukherjee, J. Wood, D. Wolber // Symposium on Research in Security and Privacy, Oakland, CA, 1990. - P. 296-304.

48. Houle, K.J. Trends in denial of service attack technology [Text] / K.J. Houle, G.M. Weaver // CERT Coordination Center. - 2001. - T. 839.

49. Hussain, A. A Framework for Classifying Denial-of-Service Attacks [Text] / A. Hussain, J. Heidemann, C. Paradopoulos // Proceedings of the 2003 conference on Applications, technologies, architectures, and protocols for computer communications. - ACM, 2003. - P. 99-110.

50. Jackson, K. A Phased Approach to Network Intrusion Detection [Text] / Kathleen Jackson, David H. DuBois, Cathy A. Stallings // Los Alamos National Lab., NM (USA), 1991. - №. LA-UR-91-334; CONF-9105126-1.

51. Jiang, Y. Measurement based admission control for a flow-aware network [Text] / Y. Jiang, P. Emstad, A. Nevin, V. Nicola, M. Fidler // in: Proc. of 1st EuroNGI Conference on Next Generation Internet Networks Traffic Engineering, Rome, Italy, April 2005.-P. 318-325.

52. Yang, W. Network Traffic Emulation for IDS Evaluation [Text] / W. Yang, J. Gong, W. Ding, X. Wu // Network and Parallel Computing Workshops, 2007. NPC Workshops. IFIP International Conference on. - IEEE, 2007. - P. 608-612.

53. Kandula, S. The Nature of Data Center Traffic: Measurements & Analysis [Text] / S. Kandula, S. Sengupta, A. Greenberg, P. Patel, R. Chaiken // Proceedings of the 9th ACM SIGCOMM conference on Internet measurement conference. - ACM, 2009.-P. 202-208.

54. Karasaridis, A. Wide-scale botnet detection and characterization [Text] / A. Karasaridis, B. Rexroad, D. Hoeflin // Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets. - 2007. - C. 7-7.

55. Kherani, A.A. Performance Analysis of TCP with Nonpersistent Sessions [Text] / A.A. Kherani, A. Kumar // Workshop on Modeling of Flow and Congestion Control. -2000.-P. 4-6.

56. Kleinrock, L. Queueing Systems: Theory [Text] / L. Kleinrock // Wiley, NY. -Vol. I. - 1975.

57. Kleinrock, L. Queueing Systems: Computer Applications [Text] / L. Kleinrock // Wiley, NY.-Vol. II.-1976.

58. Kohlenberg, T. Snort IDS and IPS Toolkit [Text] / Toby Kohlenberg, Raven Alder, Everett F. Carter, James C. Foster, Raffael Jonkman Marty, Mike Poor // Syngress. - 2007.

59. Krugel C. Network Alertness: Towards an Adaptive, Collaborating Intrusion Detection System [Text] / C. Krugel // Dissertation, Vienna, Austria. - 2002.

60. Kumar, S. Classification and Detection of Computer Intrusions / S. Kumar // Dissertation, Dept. of Computer Science, Purdue University, 1995.

61. Labovitz, C. Internet Traffic and Content Consolidation [Text] / C. Labovitz, S. Iekel-Johnson, D. McPherson, J. Oberheide, F.Jahanian // Proceedings of the seventy seventh Internet Engineering Task Force meeting. - 2010.

62. Lee, W. Data mining approaches for intrusion detection [Text] / W. Lee, S. J. Stolfo // Defense Technical Information Center, 2000.

63. Leland, W. On the self-similar nature of Ethernet traffic [Text] / W. Leland, M. Taqq, W. Willinger, D. Wilson // ACM SIGCOMM Computer Communication Review.-ACM, 1993.-Vol. 23.-№. 4.-P. 183-193.

64. Lyon, G.F. Lyon G. F. Nmap Network Scanning: The Official Nmap Project Guide To Network Discovery And Security Scanning Author: Gordon Fyodor L. - 2009. [Text] / G. F. Lyon // Nmap Project, 2009.

65. Lunt, T. Detecting Intruders in Computer Systems [Text] / T. Lunt // 1993 Conference on Auditing and Computer Technology, SRI International. - 1993.

66. Lunt, T. IDES: An Intelligent System for Detecting Intruders [Text] / T. Lunt // Proceedings of the Symposium: Computer Security, Threat and Countermeasures. -1990.-P. 30-45.

67. McGIone, J. An Attack-Resilient Sampling Mechanism for Integrated IP Flow Monitors [Text] / J. McGIone, A. Marshall, R. Woods // 29th IEEE International Conference on Distributed Computing Systems Workshops . - 2009. - P. 233-238.

68. Mahoney, M.V. Learning nonstationary models of normal network traffic for detecting novel attacks [Text] / Matthew V. Mahoney, Philip K. Chan // Proceedings of the eighth ACM SIGKDD international conference on Knowledge discovery and data mining. - 2002. - P. 376-385.

69. Mao, Z.M. Analyzing Large DDoS Attacks Using Multiple Data Sources [Text] / Z. M. Mao, V. Sekar, O. Spatscheck, J. van der Merwe, R. Vasudevan // Proceedings of the 2006 SIGCOMM workshop on Large-scale attack defense. - ACM, 2006. -P. 161-168.

70. Marmorstein, R. A tool for automated iptables firewall analysis [Text] / R. Marmorstein, K. Phil // Proceedings of the annual conference on USENIX Annual Technical Conference. - USENIX Association, 2005. - P. 44-44.

71. Menasce, D. Capacity planning for Web performance: Metrics, models, and methods [Text] / D. Menasce, V. Almeida // Prentice Hall, 2002. - P. 133.

72. Mirkovic, J. A taxonomy of DDoS attack and DDoS defense mechanisms [Text] / J. Mirkovic, P. Reiher // ACM SIGCOMM Computer Communication Review. -2004. - Vol. 34. - №. 2. - P. 39-53.

73. Mishra, A. Intrusion detection in wireless ad-hoc networks [Text] / A. Mishra, K. Nadkarni, A. Patcha // Wireless Communications, IEEE. - 2004. - Vol. 11. -№. l.-P. 48-60.

74. Nguyen, H.A. Network traffic anomalies detection and identification with flow monitoring [Text] / H.A. Nguyen, T. Tam Van Nguyen, D.I. Kim, D. Choi // Wireless and Optical Communications Networks, 2008. WOCN'08. 5th IFIP International Conference on. - IEEE, 2008. - P. 1-5.

75. Padhye, J. Modeling TCP Throughput: a Simple Model and its Empirical Validation [Text] / J. Padhye, V. Firoiu, D. Towsley, J. Kurose // ACM SIGCOMM Computer Communication Review. - ACM, 1998. - Vol. 28. - №. 4. - P. 303-314.

76. Paulauskas, N. Computer System Attack Classification[Text] / N. Paulauskas, E. Garsva // Electronics and Electrical Engineering. - 2006. - Vol. 2. - №. 66. - P. 8487.

77. Paxson, V. An Analysis of Using Reflectors for Distributed Denial-of-service Attacks [Text] / V. Paxson // ACM SIGCOMM Computer Communication Review. - 2001. - Vol. 31. - №. 3. - P. 38-47.

78. Paxson, V. Bro: A System for Detecting Network Intruders in Real-Time [Text] / Vern Paxson // Computer networks. - 1999. - Vol. 31. - №. 23. - P. 2435-2463.

79. Paxson, V. Measurements and Analysis of End-to-End Internet traffic [Text] / V. Paxon // Dissertation, University of California Berkeley, 1997.

80. Paxson, V. Wide-Area Traffic: The Failure of Poisson Modeling [Text] / V. Paxson, S. Floyd // IEEE/ACM Transactions on Networking (ToN). - 1995. - Vol. 3. - №. 3.-P. 226-244.

81. Phaal, P. sFlow Version 5 [Electronic resource] / Peter Phaal, Marc Lavine // 2010. - site - http://sFlow.org, date: January 2012.

82. Postel, J. RFC 793 - Transmission Control Protocol [Electronic resource] / Jon Postel // 1981. - site - http://www.ietf.org/rfc/rfc793.txt, date: January 2012.

83. Ramadas, M. Detecting anomalous network traffic with self-organizing maps [Text] / M. Ramadas, S. Ostermann, B. Tjaden // Recent Advances in Intrusion Detection. - Springer Berlin/Heidelberg, 2003. - P. 36-54.

84. Reichle, D. Analysis and detection of DDoS attacks in the internet backbone using netflow logs [Text] / D. Reichle // Dissertation DA-2005.06, TIK, ETH Zurich, 2005.

85. Roesch, M. Snort - Lightweight Intrusion Detection for Networks [Text] / M. Roesch // Proceedings of the 13th USENIX conference on System administration. -1999.-P. 229-238.

86. Sebring, M. Expert Systems in Intrusion Detection: A Case Study [Text] / M. Sebring, R. Whitehurst // Proceedings of the 11th National Computer Security Conference. - 1988. - Vol. 32.

87. Snapp, S.R. DIDS (Distributed Intrusion Detection System) - Motivation, Architecture, and An Early Prototype [Text] / S.R. Snapp, J. Brentano, G.V. Dias, T.L.Goan, L.Heberlein, Che-Lin Ho, Karl N.Levitt, Biswanath Mukherjee, Stephen E. Smaha, Tim Grance, Daniel M. Teal, Doug Mansur // Proceedings of the The 14th National Computer Security Conference, October 1991. - P. 167-176.

88. Smaha, S. Haystack: An Intrusion Detection System [Text] / S. Smaha // The Fourth Aerospace Computer Security Applications Conference. - IEEE, 1988. - P. 37-44.

89. Sommer, R. Outside the Closed World: On Using Machine Learning For Network Intrusion Detection [Text] / R. Sommer, V. Paxson // Security and Privacy (SP), 2010 IEEE Symposium on. - IEEE, 2010.-P. 305-316.

90. Sperotto, A. Anomaly characterization in flow-based traffic time series [Text] / A. Sperotto, R. Sadre, A. Pras // Proceedings of the 8th IEEE International Workshop on IP Operations and Management, IPOM 2008, Samos, Greece. - 2008. - P. 1520.

91. Staniford, S. Practical automated detection of Stealthy Portscans [Text] / S. Stamford, J.A. Hogland, J.M. McAlerney // Journal of Computer Security. - 2002. -Vol. 10.-№. 1/2.-P. 105-136.

92. *Sukhov, A.M. Active flows in diagnostic of troubleshooting on backbone links [Text] / A.A. Galtsev, A.M.Sukhov, D.I. Sidelnikov, A.P. Platonov, M.V. Strizhov // Journal of High Speed Networks . - 2011. - Vol. 18. - №. 1. - P. 69-81.

93. Teng, H.S. Adaptive Real-time Anomaly Detection Using Inductively Generated Sequential Patterns [Text] / H.S. Teng, K. Chen, S. Lu// Research in Security and Privacy: Proceedings of the IEEE Computer Society Symposium on. - IEEE, 1990. - P. 278-284.

94. Thottan, M. Anomaly detection in IP Networks [Text] / M. Thottan, C. Ji // Signal Processing, IEEE Transactions on. - 2003. - Vol. 51. - №. 8. - P. 2191-2204.

95. Vaccaro, H.S. Detection of Anomalous Computer Session Activity [Text] / H.S. Vaccaro, G.E. Liepins // Security and Privacy: Proceedings of the IEEE Symposium on. - IEEE, 1989. - P. 280-289.

96. Vigna, G. Testing Network based Intrusion Detection Signatures Using Mutant Exploits [Text] / G. Vigna, W. Robertson, D. Balzarotti // Conference on Computer and Communications Security: Proceedings of the 11 th ACM conference on Computer and communications security. - 2004. - Vol. 25. - №. 29. - P. 21-30.

97. Quittek, J. Requirements for IP Flow Information Export (IPFIX) [Text] / J. Quittek and others // RFC 3917. - 2004.

98. Wang, Y. Distributed intrusion detection system based on data fusion method [Text] / Y. Wang, H. Yang, X. Wang, R. Zhang // Intelligent Control and Automation,

2004. WCICA 2004. Fifth World Congress on. - IEEE, 2004. - Vol. 5. - P. 43314334.

99. Williams, H. E. Web Database Applications with PHP and MySQL [Text] / H. E. Williams, D. Lane // O'Reilly Media, 2nd edition. - 2004.

100. Willinger, W. Self-similarity through high-variability: Statistical analysis of Ethernet LAN traffic at the source level [Text] / W. Willinger, M. Taqqu, R. Sherman, D. Wilson // Networking, IEEE/ACM Transactions on. - 1997. - Vol. 5. - №. 1. - P. 71-86.

101. Winkeler, J.R. A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks [Text] / J.R. Winkeler// Proceedings of the 13th National Computer Security Conference. - 1990. - P. 115-124.

102. Ye, X. Countering ddos and xdos attacks against web services [Text] / X. Ye // Embedded and Ubiquitous Computing, 2008. EUC'08. IEEE/IFIP International Conference on. - IEEE, 2008. - Vol. 1. - P. 346-352.