Способ повышения эффективности средств выявления зараженных файлов на основе использования скрытых марковских моделей тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Эдель, Дмитрий Александрович

В работе предлагается способ повышения эффективности средств выявления угроз нарушения безопасности информационных систем, базирующийся на обнаружении вредоносных вложений в файлах неисполнимых форматов (зараженных файлов) на основе использования скрытых марковских моделей.

Актуальность

Настоящая диссертационная работа направлена на исследование возможностей повышения эффективности методов защиты информации от несанкционированного доступа.

С ростом распространенности вычислительной техники и вычислительных сетей, естественным образом растет и интерес к проблемам безопасности - как в смысле сохранения от повреждений, так и в смысле предотвращения несанкционированного доступа - обрабатываемых с их помощью данных.

На текущий момент существует значительное количество различных организаций, занимающихся разработкой средств защиты от несанкционированного доступа (НСД) и обнаружения вредоносных программ. В частности, среди российских компаний наиболее известными являются ЗАО "Лаборатория Касперского" и ООО "Доктор Веб".

Интерес к проблемам обеспечения ИБ высок и к их решению привлечены значительные ресурсы. Несмотря на это, по информации центра безопасности компании Microsoft, в 2012 году было проведено 1 595 587 670 атак через сеть Интернет с использованием 6 537 320 уникальных хостов, что почти на 40% больше, чем в 2011 году, а согласно данным "Лаборатории Касперского", за 2012 год было зарегистрировано 7 500 694 попытки проникновения в информационные системы посредством вредоносных вложений. Причем существенная доля зарегистрированных атак была проведена успешно и обнаружена не в процессе их предотвращения, а по факту наступивших последствий.

Одной из основных причин роста количества и разнообразия атак на информационные системы и распространенности вредоносного программного обеспечения (ПО), в том числе осуществляющего НСД к защищаемой информации, является то, что существующие методы защиты от внедрения вредоносных программ в информационные системы зачастую не могут предоставить полную необходимую защиту. У этой проблемы имеется два базовых аспекта. Прежде всего, наиболее распространенные методы защиты от распространения вредоносного ПО основаны на распознавании заранее известных сигнатур и потому принципиально не могут противодействовать новому вредоносному ПО в начальный период его существования, а также вредоносному ПО, модифицируемому с помощью приемов мета- или полиморфизации. То же относится и к несколько более сложным методам анализа ПО, также основанным на поиске соответствия исследуемых информационных объектов специализированным моделям: в реализации атак на информационные системы могут успешно использоваться вредоносные программы, образы которых не соответствуют используемым в средствах защиты эвристическим и статистическим моделям, а также и моделям на основе искусственных нейронных сетей. Существующие же принципиально более мощные методы анализа ПО на предмет вредоносности - такие, как методы динамического анализа - зачастую непрактичны в силу требовательности к вычислительным и временным ресурсам.

Указанные здесь факты демонстрируют наличие проблемы недостаточности защиты информационных систем от несанкционированного доступа к защищаемой информации, обеспечиваемой с использованием существующих в настоящее время алгоритмов и методов функционирования средств защиты. Это свидетельствует об актуальности задачи повышения эффективности средств защиты информации от несанкционированного доступа путем применения иных, чем наиболее распространенные в настоящее время, алгоритмов и методов функционирования средств защиты, что и составляет тематику настоящей диссертационной работы.

Областью исследования работы являются методы, модели, средства выявления и идентификации вредоносных программ и компьютерных закладок в информационных системах. А также принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности.

Объектом исследования являются вредоносные вложения в неисполнимых форматах файлов (эксплойты).

Предметом исследования являются методы обнаружения эксплойтов.

Целью работы является повышение эффективности защиты информационных систем от вредоносных программ и компьютерных закладок.

Задачи исследования. В соответствии с поставленной целью в работе производится анализ современных проблем защиты от угроз программно-математического воздействия и компьютерных закладок для выявления недостатков распространенных средств защиты и используемых в них методов и алгоритмов, а также выявления разновидностей угроз, для противодействия которым распространенные принципы работы средств защиты оказываются наименее продуктивными. По результатам проведенного исследования были сформулированы следующие задачи диссертационного исследования:

1. Разработка модели зараженных файлов неисполнимых форматов, определяющей структуру и свойства эксплойтов.

2. Разработка метода построения языковой модели загрузчика эксплойта на базе марковской цепи исполнимых инструкций, входящих в него.

3. Разработка метода обнаружения эксплойтов, основанном на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика.

4. Разработка алгоритма реализации способа обнаружения зараженных файлов с использованием скрытых марковских моделей.

5. Разработка макета программного средства обнаружения вредоносных вложений, предназначенного для экспериментального исследования эффективности предложенного способа выявления вложений.

6. Проведение экспериментального исследования.

Методы решения

В диссертационной работе предлагается способ повышения эффективности методов и способов защиты информации в информационных системах от несанкционированного доступа, базирующийся на обнаружении вредоносных вложений в файлах неисполнимых форматов на основе скрытых марковских моделей.

На основе выявленного сходства языка машинных инструкций, которыми формируются исполнимые файлы, и естественных языков, в работе использовались методы классификации текстов естественных языков в качестве классификаторов исполнимых программ. При разработке способа выявления вредоносных вложений использовались методы решения задачи оценивания и задачи обнаружения в теории скрытых марковских моделей.

Для проверки эффективности разработанного метода выявления вредоносных вложений в файлах неисполнимых форматов проводились эксперименты с программной реализацией метода и выборкой реальных данных, показавшие, что предложенные методы и подходы позволяют решить поставленные задачи.

На основе проведенных экспериментов было установлено, применение предложенного способа выявления зараженных файлов, основанного на использовании скрытых марковских моделей, достоверно повышает эффективность средств обнаружения зараженных файлов неисполнимого формата.

Границы исследования

В данной диссертационной работе исследуются только зараженные файлы неисполнимого формата (локальные эксплойты), а также методы и алгоритмы их выявления и идентификации. Не рассматриваются эксплойты, шеллкод которых генерируется в процессе обработки зараженного файла в памяти приложения-жертвы (с помощью языков сценариев VisualBasic, JavaScript, ActionSctipt, ROP-цепочек и т.д.).

Положения, выносимые на защиту

1. Использование разработанной модели эксплойта, включающей такой характеристический признак эксплойта, как наличие у него исполнимого загрузчика (короткой исполнимой последовательности команд в теле неисполнимого файла) в качестве основы для обнаружения эксплойтов, позволяет обнаруживать эксплойты, игнорируемые распространенными средствами защиты.

2. Разработанный способ выявления угроз безопасности информационных систем, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, на основе использования скрытых марковских моделей, позволяет повысить эффективность существующих систем автоматического выявления вредоносных вложений и, тем самым, увеличить качество защиты информационных систем от угроз вредоносных вложений в неисполнимых форматов файлов.

Научная новизна.

Разработана новая формальная модель вредоносных вложений в файлах неисполнимых форматов, позволяющая повысить эффективность методов их обнаружения. Впервые предложен метод обнаружения эксплойтов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика и экспериментально исследована его применимость. Разработан новый способ эффективного выявления угроз безопасности в информационных системах, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, основанный на использовании скрытых марковских моделей. Сформулирована и доказана теорема, устанавливающая связь между вероятностью схождения двух дизассемблерных последовательностей за заданное количество шагов с вероятностями различных значений разности стартовых позиций дизассемблирования.

Структура работы

Диссертация состоит из введения, четырех глав, заключения, списка литературы. Основной текст диссертации изложен на 157 страницах, включая 22 рисунка и 16 таблиц.

4.9. Выводы

В четвертой главе диссертационной работы представлены подробности подготовки и проведения экспериментального исследования эффективности разработанного способа выявления вредоносных вложений.

Описано созданное для проведения исследований программное средство "ExploitFinder", реализующее предложенный способ выявления вредоносных вложений в файлах неисполнимых форматов. Программное средство "ExploitFinder" разработано с использованием модульной архитектуры и может функционировать как в качестве самостоятельного приложения формата Windows РЕ, так и в качестве библиотеки

Windows DLL. Программное средство позволяет выполнять поставленные перед ним задаче по выявлению зараженных файлов (эксплойтов) с помощью скрытых марковских моделей. Его можно подключать к средствам обнаружения вторжений и атак с целью улучшения качества их функционирования.

Описаны порядок и результаты экспериментальных исследований. На основе результатов проведенных экспериментов с использованием реализации разработанного способа в виде ПС "ExploitFinder", было установлено, что в отличие от соотношения 6.01% / 5.31%, частот ошибок второго и первого рода у антивирусных программных средств, показанного на экспериментальной выборке, при их функционировании вместе с разработанным программным средством имеет место соотношение 0.25% / 9.53%.

Несмотря на то, что ПС дало большое количество ложных срабатываний (что является признаком необходимости дополнить обучающую выборку, а также необходимости улучшить выделение наиболее значимых команд и необходимости внести ограничения на исполнимые цепочки) в результате проведенного исследования с использованием разработанного ПС "ExploitFinder" была подтверждена корректность созданной модели эксплойтов и эффективность способа выявления вредоносных вложений в неисполнимом формате файлов на основе использования скрытых марковских моделей.

ЗАКЛЮЧЕНИЕ

В ходе диссертационного исследования достигнуты следующие результаты:

- проанализированы современные угрозы безопасности информационных систем зараженными файлами, показана актуальность выявления угрозы внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;

- проведено исследование и описание путей возникновения эксплойтов;

- проанализированы методы и программные средства выявления угроз внедрения в информационные системы вредоносных программ и программных закладок, в результате чего показана актуальность необходимости совершенствования методов их обнаружения;

- проведен обзор известных способов противодействия вредоносным вложениям; разработана модель зараженных файлов неисполнимых форматов, определяющей структуру и свойства эксплойтов; разработана формальная модель вредоносных вложений в файлах неисполнимых форматов, позволяющая повысить эффективность методов их обнаружения;

- сформулирована и доказана теорема, устанавливающая связь между вероятностью схождения двух дизассемблерных последовательностей за заданное количество шагов с вероятностями различных значений разности стартовых позиций дизассемблирования;

- предложен подход к обнаружению эксплойтов, основанный на выявлении наличия в теле файла неисполнимого формата исполнимого загрузчика;

- разработан метод построения языковой модели загрузчика эксплойта на базе марковской цепи исполнимых инструкций, входящих в него;

- разработан новый способ эффективного выявления угроз безопасности в информационных системах персональных данных, реализуемых посредством вредоносных вложений в файлах неисполнимых форматов, с помощью скрытых марковских моделей;

- разработан алгоритм реализации способа обнаружения зараженных файлов с использованием скрытых марковских моделей;

- разработан макет программных средств обнаружения вредоносных вложений, предназначенный для экспериментального исследования эффективности предложенного способа выявления зараженных файлов неисполнимого формата.

Согласно результатам проведенных экспериментов, предложенный способ, основанный на использовании скрытых марковских моделей, повышает эффективность средств выявления зараженных файлов. Это дает возможность утверждать, что цель, поставленная в диссертационной работе является достигнутой.

1. Руководящий документ. Приказ ФСТЭК РФ от 05.02.2010 №58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

2. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

3. ЗАО "Лаборатория Касперского". Интернет. режим доступа http://www.kaspersky.ru/, свободный.

4. Доктор Веб. Интернет, режим доступа http://drweb.com/ , свободный.

5. Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году. Интернет, режим доступа http://www.securelist.com/ru/analysis/208050777/Kasper skySecurityBulletin2012Razvitieugrozv2012godu,свободный.

6. Центр безопасности компании Microsoft. Интернет, режим доступа http://www.microsoft.com/ru-ru/security/default.aspx, свободный.

7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Руководящий документ ФСТЭК России, 2008г.

8. Развитие информационных угроз в первом квартале 2011 года. Интернет, режим доступа http://www.sdteam.com/tl0317 , свободный.

9. Развитие информационных угроз во втором квартале 2012 года. Интернет. режим доступа http://www.securelist.com/ru/analysis /208050763/Razvitie informatsionnykhugrozvovtoromkvartale 2012 goda, свободный.

10. MiniDuke Espionage Mal ware Hits Governments in Europe Using Adobe Exploits. Интернет, режим доступа http://threatpost.com/miniduke-espionage-malware-hits-governments-europe-using-adobe-exploits-022713/ , свободный

11. The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Bà'èkdaoh Интернет; режим доступа1 http://www.securelist.com /en/blog/208194129/TheMiniDukeMysteryPDF0dayGovernmentSpy Assembler0x29AMicroBackdoor, свободный

12. Уязвимость Adobe Acrobar Reader CVE-2013-0640. Интернет, режим доступа https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0640 , свободный.

13. DoS/DDoS, или Атака грубой силы. Интернет, режим доступа http://www.xakep.rU/magazine/xs/047/040/l.asp , свободный.

14. Сайт МИД Грузии подвергся хакерской атаке. Интернет, режим доступа http://ria.ru/defensesafety/20080809/150217340.html, свободный.

15. Common Vulnerabilities and Exposures. Интернет, режим доступа http://cve.mitre.org/, свободный.

16. National Vulnerability Database. Интернет. режим доступа http://nvd.nist.gov/, свободный.

17. MITRE corporation. Интернет, режим доступа http://mitre.org, свободный.

18. CERT. Интернет, режим доступа http://www.cert.org/, свободный.

19. Stuxnet.Интернет. режим доступа http://wikipedia.org/wiki/Stuxnet, свободный

20. Rootkit.Win32.Stuxnet Интернет, режим доступа http://www.securelist.com /ru/descriptions/15071647/Rootkit.Win32.Stuxnet.a , свободный.

21. Вопросы защиты SCADA-систем в 2013 году. Интернет, режим доступа http://www.securitylab.ru/news/435484.php, свободный.

22. Vulnerabilities in some SCADA server softwares. Интернет, режим доступа http://seclists.org/bugtraq/2011/Mar/187 , свободный.

23. Развитие информационных угроз в первом квартале 2011 года. Интернет, режим доступа http://www.consbez.ru/knowhow/info-threats-2011-ql , свободный.

24. Программно-аппаратные комплексы "Соболь" и "Росомаха". Интернет, режим доступа http://www.suritel.ru/cgi-bin/view.pl?ProdId=pr71001& cid=l 187156006 , свободный.

25. Norton Antivirus. Интернет, режим доступа http://ru.norton.com/antivirus/, свободный.

26. Avast. Интернет, режим доступа http://avast.com/ru-ru/index , свободный.

27. Snort. Интернет, режим доступа http://www.snort.org/, свободный.

28. Malware grouth statistics. Интернет, режим доступа http://www.eset.com/us/threat-center/, свободный.

29. Касперски К., Компьютерные вирусы изнутри и снаружи. Спб: BHV -Питер, 2006. - 526 е.: ил.

30. Зайцев О. Rootkits, Spyware, Обнаружение и защита. СПб: BHV -Питер, 2006.

31. Microsoft РЕ and COFF Specification. Интернет, режим доступа http://msdn.microsoft.com/library/windows/hardware/gg463125 свободный

32. Executable and Linkable Format (ELF). Интернет, режим доступа http://www.skyfree.org/linux/references/ELFFormat.pdf, свободный.

33. IA-32 Assembly Language Reference Manual.: Sun Microsystems, Inc., 2000. 161p.

34. Касперски К. Техника и философия хакерских атак. // М. :Солон-Р, 1999-272с.

35. Ленков С.В., Перегудов Д.А., Хорошко В.А. Методы и средства защиты информации, Том 1. М.: Арий, 2008г., 464с.

36. Касперски К. Записки исследователя комп вирусов. СПб.: Питер, 2006 -316с.:ил.

37. Пратт Т., Зелковиц М. Языки программирования: разработка и реализация. -СПб.: Питер, 2002. 688 е.: ил.

38. Хакер спец // Москва. № 45. - 2004 г. - 104 с.

39. WU-FTPD. Интернет, режим доступа http://wfms.org/wu-ftpd, свободный.

40. Detecting format string vulnerabilities with type qualifiers / USENIX Security Symposium archive. Proceedings of the 10th conference on USENIX Security Symposium. Volume 10.: Washington, D.C., Pages: 16.

41. Intel® 64 and IA-32 Architectures Software Developer's Manuals. Интернет, режим доступа http://www.intel.com/products/processor/manuals/index.htm , свободный

42. Draft ANSI С Standard (ANSI X3J11/88-090). May 13, 1988). Интернет, режим доступа http.V/flash-gordon.me.uk/ansi.c.txt (http://www.open-std.org/jtc 1 /sc22/wgl 4) свободный

43. Жизненный цикл уязвимости. Интернет, режим доступа http://www. agnitum.ru/news/securityinsight/october2007diagram.php, свободный.

44. What is a Zero-Day Vulnerability. Интернет, режим доступа http://www.pctools.com/security-news/zero-day-vulnerability, свободный.

45. Макнамара Д. Секреты компьютерного шпионажа: Тактика и контрмеры // М.: БИНОМ. Лаборатория знаний, 2006. 536с., ил.

46. Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution. Интернет. режима доступа http://technet.microsoft.com/en-us/security/bulletin/ms04-028 , свободный.

47. Static analysis of a CVE-2011-2462 PDF exploit. Интернет, режим доступа http/eternal-todo.com/blog/cve-2011 -2462-exploit-analysis-peepdf,свободный

48. Exploit writing tutorial part 10 : Chaining DEP with ROP the Rubik'sTM. Cube. Интернет, режим доступа https://www.corelan.be/index.php / 2010/06/16/exploit-writing-tutorial-part-10-chaining-dep-with-rop-the-rubikstm-cube/, свободный

49. Уязвимость при обработке PNG изображений в Microsoft Windows Explorer. Интернет, режим доступа http://www.securitylab.ru/vulnerability / 303601 :php , свободный

50. Adobe Reader Protected Mode. Adobe Sandbox. Интернет, режим доступа http://blogs.adobe.com/asset/2010/1O/inside-adobe-reader-protected-mode-part-l-design.html, свободный

51. Уязвимость WU-FTPD. Интернет. режим доступа http://www.inattack.ru/article/uyazvimosti-ftp-servisov/97.html, свободный.

52. М. Выявление и эксплуатация SQL-уязвимостей // Защита информации. INSIDE №2'2001,с.2-8.с

53. Грушо А.А., Применко Э.А., Тимонина Е.Е. Теоретические основы компьютерной безопасности. Учебное пособие для студентов высших учебных заведений. Гриф УМО вузов России // Academia, 2009.

54. Лукацкий А.В. Обнаружение атак // СПб.: БХВ-Петербург,2001.-624с.:ил.

55. Сетевые эксплойты — от проблемы к решению. Интернет, режим доступа http://www.agnitum.ru/news/securityinsight/issues/october2007 , свободный.

56. Anderson, James P. "Computer Security Threat Monitoring and Surveillance," Washing, PA, James P. Anderson Co., 1980.

57. Dressier, J. "United States v. Morris". Cases and Materials on Criminal Law, 2007. St. Paul, MN: Thomson/West. ISBN 978-0-314-17719-3.

58. Щербаков A.H. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. // Книжный Мир, 2009.

59. Детальное описание технологии предотвращения данных DEP. Интернет, режим доступа http://support.microsoft.com/kb/875352/EN-US/, свободный.

60. Технология NX-бит. Интернет, режим доступа http://www.intel.com/cd /business/enterprise/emea/rus/203548.htm, свободный.

61. Microsoft Buffer Security Check. Интернет, режим доступа http://msdn .microsoft.com/en-us/library/8dbf70lc%28VS.80%29.aspx, свободный.

62. GCC Smack Smashing Ptotector. Интернет. режим доступа http://wiki.osdev.org/GCCStackSmashingProtector, свободный

63. StackGhost: Hardware Facilitated Stack Protection. Интернет, режим доступа projects.cerias.purdue.edu/stackghost/stackghost.pdf, свободный.

64. Coverity Development Testing: Coverity Prevent. Интернет, режим доступа http://www.coverity.com/, свободный.

65. Lint. Интернет, режим доступа http://en.wikipedia.org/wiki/Lint(software) , свободный.

66. Klocwork.Интepнeт.peжим доступа http://www.klocwork.com, свободный.

67. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, " Syngress, 2007, ISBN 978-1-59749-099-3

68. Brian Caswell, Jay Beale, James C. Foster, Jeremy Faircloth "Snort 2.0 Intrusion Detection" // Syngress Publishing, 2003, ISBN 1931836744

69. Алгоритм работы компонента Файловый Антивирус в продуктах Лаборатории Касперского версии 2012/2011. Интернет, режим доступаhttp://support.kaspersky.ru/4069 свободныйt

70. Технологии iChecker и iSwift: общая информация и принципы работы в Kaspersky Internet Security 2011/2012. Интернет, режим доступа http://support.kaspersky.ru/3893 , свободный.

71. Snort Inline. Интернет, режим доступа http://snort-inline.sourceforge.net/ , свободный.

72. Утилита TCPDump. Интернет, режим доступа http://www.tcpdump.org/ , свободный.

73. Gregor N. Purdy Linux iptables. Pocket Reference. — O'Reilly, 2004. — C. 97. — ISBN 0-596-00569-5

74. Boyer R.S., Moore J.S. A fast string searching algorithm, 1977 // Comm. ACM 20: 762—772.

75. Wu S., and U. Manber. A Fast Algorithm for Multi-Pattern Searching // Technical Report TR-94-17, Department of Computer Science, University of Arizona. May 1993.

76. Aho, Alfred V.; Margaret J. Corasick. Efficient string matching: An aid to bibliographic search, 1975 /' Communications of the ACM 18 (6): 333-340.

77. Norton M, Roelker D. Snort 2.0 High Performance Multi-Rule Inspection Engine // Sourcefire, Inc. 2002. 8 p.

78. Kaspersky Internet Security. Интернет, режим доступа http://www.avp.ru свободный.

79. Проактивные технологии для борьбы с вирусами. Интернет, режим доступа http://citforum.ru/security/virus/proactivetech/, свободный.

80. S. Axelsson. The base-rate fallacy and its implications for the difficulty of intrusion detection. In ACM Conference on Computer and Communications Security, pages 1-7, 1999.

81. D.E. Denning. An intrusion-detection model. In Proc. IEEE Symposium on Security and Privacy, pages 118-131, 1986.

82. A. Somayaji. Automated response using system-call delays. In Proc. of USENIX Security Symposium 2000, pages 185-197, 2000

83. S. Forrest, S. A. Hofmeyr, A. Somayaji, and T. A. Longstaff. A sense of self for Unix processes. In Proc. of the 1996 IEEE Symposium on Research in Security and Privacy, pages 120-128. IEEE Computer Society Press, 1996

84. T. Lane and С. E. Brodley. Temporal sequence learning and data reduction for anomaly detection. ACM Transactions on Information and System Security, 2(3): 295-331, 1999.

85. M. Theus and M. Schonlau. Intrusion detection based on structural zeroes. Statistical Computing and Graphics Newsletter, 9(1): 12-17, 1998.

86. K. Tan. The application of neural networks to unix computer security. In Proc. of the IEEE International Conference on Neural Networks, volume 1, pages 476-481, Perth, Australia, 1995.

87. J.Ryan, M.Lin and R.Miikkulainen. Intrusion detection with neural networks. Advances in Neural Information Processing Systems, pages 254-272, 1998.

88. К. Ghosh, A. Schwartzbard, and М. Schatz. Learning program behavior profiles for intrusion detection. In Proc. 1-st USENIX Workshop on Intrusion Detection and Network Monitoring, pages 51-62, Santa Clara, California, 1999.

89. С. C. Michael and A. Ghosh. Two state-based approaches to program-based anomaly detection. ACM Transactions on Information and System Security, 5(2), 2002. http://www.acsac.org/2000/papers/96.pdf

90. Рябинин И. А. Надежность и безопасность структурно-сложных систем. СПб.: Издательство Санкт-Петербургского университета, 2007 г., 278 с.

91. IDA Pro. Интернет, режим доступа http://www.idapro.ru , свободный.

92. Отладчик OllyDbg. Интернет, режим доступа http://www.ollydbg.de , свободный.

93. Отладчик WinDBG. Интернет, режим доступа http://www.windbg.org , свободный.

94. David Brumley, James Newsome, Dawn Song,Hao Wang, Somesh Jha. Towards Automatic Generation of Vulnerability-Based Signatures // Proceedings of the 2006 IEEE Symposium on Security and Privacy. 2006. C. 2-16.

95. Mihai Christodorescu, Nicholas Kidd, Wen-Han Goh. String Analysis for x86 Binaries // ACM SIGSOFT Software Engineering Notes. 2006. T. 31. Вып. 1. С. 88-95.

96. Kernt Griffin, Scott Schneider, Xiu Hu, Tzi-cker Chiuch. Automatic Generation of String Signature for Malware Detection. Интернет. Режим доступа http://www.ecsl.cs.sunysb.edu/tr/TR236.pdf, свободный.

97. Nielson F., Nielson H. R., Hankin C. Principles of Program Analysis // Springer. 2004.

98. VMWare, Inc. Интернет, режим доступа http://www.vmware.com , свободный.

99. Утилита RegMon. Интернет, режим доступа http://technet.microsoft. com/ru-ru/sysinternals/bb896652.aspx, свободный

100. Утилита FileMon. Интернет, режим доступа http://technet.microsoft. com/ru-ru/sysinternals/bb896642.aspx, свободный.

101. Process Monitor. Интернет. режим доступа http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx, свободный.

102. Windows Sysinternals. Интернет. режим доступа http://technet.microsoft.com/en-us/sysinternals/default.aspx, свободный.

103. Тумоян Е.П., Цыганок К.В. Классификация вредоносного программного обеспечения на основе поведенческих признаков // Известия ЮФУ. Технические науки. 2012. - №4. - С. 50-59.

104. Alisa Shevchenko. The evolution of Self-Defense Technologies in Malware. July 2007. Интернет, режим доступа http://www.net-security.org/ article.php?id=1028 , свободный.

105. Cardelli, Luca; Wegner, Peter (December 1985). "On Understanding Types, Data Abstraction, and Polymorphism". ACM Computing Surveys (New York, NY, USA: ACM) 17 (4): 471-523. doi:10.1145/6041.6042. ISSN 0360-0300.

106. P.Barford, V.Yegneswaran An Inside Look at Botnets. 12/2006; DOI:l 0.1007/978-0-387-44599-1 8.

107. Daswani N., Stoppelman M.: The Google Click Quality, and Security Teams. The anatomy of clickbot.a. // Proceedings of the First Workshop on Hot Topics in Understanding Botnets, Cambridge, MA. April, 2007.

108. T. Toth and C. Kruegel, "Accurate Buffer Overflow Detection via Abstract Payload Execution," Proc. Fifth Int'l Symp. Recent Advances in Intrusion Detection (RAID), 2002.

109. T. Detristan, T. Ulenspiegel, Y. Malcom, and M.S.V. Underduk, Polymorphic Shellcode Engine Using Spectrum Analysis, 2007. Интернет, режим доступа http://www.phrack.orgshow.php?p=61&a=9 , свободный.

110. R. Chinchani and E.V.D. Berg. A Fast Static Analysis Approach to Detect Exploit Code inside Network Flows. // Proc. Eighth Int'l Symp. Recent Advances in Intrusion Detection (RAID), 2005.

111. Intel 80386. Интернет, режим доступа http://en.wikipedia.org/ wiki/Intel80386, свободный.

112. К. Wang, G. Cretu, and S.J. Stolfo, "Anomalous Payload-Based Worm Detection and Signature Generation," Proc. Eighth Int'l Symp. Recent Advances in Intrusion Detection (RAID), 2005.

113. VirusTotal. Интернет.режим доступа http://www.virustotal.com свободный.

114. Indepedent Tests of Anti-Virus Software. Интернет, режим доступа http://www.av-comparatives.org, свободный

115. Касперски К., Рокко Е. Искусство дизассемблирования. СПб.: БХВ-Петербург, 2008, - 896 с.

116. Buffer Overflow 10 Vulnerability & Exploit Example. Интернет, режим доступа http://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html , свободный.

117. Касперски К. Техника отладки программ без исходных текстов. СПб.: БХВ-Петербург, 2005. 832с.: ил.

118. Гайсарян С.С., Иванников В.П., Аветисян А.И., Анализ и трансформация программ. Интернет. режим доступа www.ict.edu.ru/ft/005642/62319el-st06.pdf, свободный.

119. Rosenblum N. Learning to Analyse Binary Computer Code // pp. 798 804, AAAI, 2008.

120. Conditional Random Field. Интернет. режим доступа http://en.wikipedia.org/wiki/Conditional randomfield, свободный.

121. Cova M., etc. Static Detection od Vulnerabilities in x86 Executables // pp.269-278, Department of Computer Science, University of California, Santa Barbara, USA, 2006.

122. N. Rosenblum, X. Zhu, В. Miller, К. Hunt Machine Learning-Assisted Binary Code Analysis // NIPS 2007 Workshop on Machine Learning in Adversarial Environments for Computer Security, Vancouver, British Columbia, Canada, December 2007.

123. Эдель Д.А. Теоретическое обоснование схождения дизассемблированных последовательностей байт. Известия вузов, Сев.-Кав. регион. Технические науки, 2012, №4 (167). С.3-6.

124. Skoudis Е., ect. Malware: Fighting Malicious Code.: Prentice Hall PTR, 2003.-672 pages.

125. Collberg C., Thomborson C., Low D. Manufacturing Cheap, Resilient and Stealthy Opaque Constructs // Proc. of 25th ACM SIGPLAN-SIGACT Symp. on Principles of Programming Languages, 1999.- P. 184-196.

126. Вентцель Е.С., Овчаров JI.A. Теория случайных процессов и ее инженерные приложения. Изд-во:КноРус, 2011. 448с.

127. Stephen Е. Levenson, Mathematical models for speech technology, John Wiley & Sons Ltd, 2005.

128. X.Huang, A.Acero, H. Hon, Spoken Language Processing : a guide to theory, algorithm, and system development Prenice Hall, Upper Saddle River, NJ, 20001,2001.

129. Эдель Д.А. Языковая модель исполнимых кодов // Докл. Том. гос.ун-та систем управления и радиоэлектроники. 2010. №1(21). - С.56-60

130. РеГО. Интернет, режим доступа http://www.peid.info/, свободный.

131. Андреев О.О. и др. Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия. -М.: МЦНМО, 2008. 607 с.

132. Балакин А.В., Эдель Д.А. Аналогия естественных языков и исполнимых кодов // Нейрокомпьютеры: разработка и применение. Интеллектуальные информационные системы. 2010. №10. - С.63-67.

133. Nurminen, J., Silen, Н., Рора, V., Helander, Е., Gabbouj, М., Chapter 5: Voice Conversion in Speech Enhancement, Modeling and Recognition -Algorithms and Applications, ISBN 979-953-307-620-0, S. Ramakrishnan, Ed., Intech 2012.

134. Рабинер Л. Скрытые марковские модели и их применение в избранных приложениях при распознавании речи: Обзор. ТИИЭР, 1989, т. 77, № 2, с. 86-120.

135. Mann Т.Р. "Numerically stable hidden markov model implementation". Интернет, режим доступа http://gradworks.umi.com/14/94/1494066.html , свободный.

136. Dynamic-link library. Интернет, режим доступа http://en.wikipedia.org /wiki/Dynamic-linklibrary, свободный.

137. César Roberto de Souza. Hidden Markov Models in C#. Интернет, режим доступа http://crsouza.blogspot.it/2010/03/hidden-markov-models-in-c.html , свободный.

138. W.Kahan Further remarks on reducing truncation errors // Communications of the ACM T. 8 (1): 40 , January 1965

139. ClamAV. Интернет, режим доступа http://www.clamav.net/, свободный.

140. ЕР и ОЕР. Интернет, режим доступа http://exelab.ru/faq/EPHOEP, свободный.

141. Windows РЕ Format. Интернет, режим доступа http://ru.wikipedia.org/ wiki/PortableExecutable , свободный.

142. Ховард М., Лебланк Д., Виега Д. Уязвимости в программном коде и борьа с ним. -М.: ДМК Пресс, 2011. 288с.: ил.

143. Fedora Linux OS. Интернет, режим доступа http://fedoraproject.org, свободный

144. Антивирус Avira. Интернет, режим доступа http://www.avira.com, свободный

145. ESET. Интернет, режим доступа http://www.esetnod32.ru , свободный

146. F-Secure. Интернет, режим доступа http://www.f-secure.com, свободный

147. Microsoft Security Essentials. Интернет, режим доступа http://windows. microsoft.com/ru-RU/windows/security-essentials-download, свободный

148. ISO/IEC 10918-1:1994, стандарт JPEG, часть 1. Интернет, режим доступа http://www.iso.org/iso/cataloguedetail.htm?csnumber=18902 , свободный