Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов

Тип работы:
Диссертация
Предмет:
Методы и системы защиты информации, информационная безопасность
Страниц:
177


Узнать стоимость

Детальная информация о работе

Выдержка из работы

В настоящее время резко возросло число факторов, негативно влияющих на безопасность информационных процессов. Это приводит к тому, что полностью препятствовать действиям злоумышленников в информационных системах (ИС) невозможно. Поэтому для обеспечения необходимого уровня безопасности наиболее актуальны направления исследований, связанные с разработкой систем обнаружения вторжений.

В современной информационной безопасности исследователи понятие системы обнаружения вторжений (СОВ) употребляют в широком смысле, имея в виду, что:

Система обнаружения вторжений& raquo- (intrusion detection system) — это система, собирающая информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующая эту информацию для выявления признаков как попыток атак («attack»), так и нарушения защиты (вторжений «intrusion») [1,2].

Где под атакой понимается:

Атака& raquo- (attack) — последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уяз-вимостей информационной системы[1,2].

В области систем обнаружения вторжении также существует разграничение между понятиями вторжение «intrusion» и атака «attack», где под вторжением понимается факт успешной атаки, т. е. атаки, которая частично или полностью реализовалась в защищаемой системе.

Решению общих проблем обнаружения вторжений посвящены работы В. И. Городецкого [3−6,9], И. В. Котенко [3−12] и др., а также ряда зарубежных авторов, в том числе Д. Денниг [14−18], Д. Андерсона [40], С. Кумара [41,42] и др. Одно из перспективных направлений в обнаружении вторжений, повышающее безопасность ИС, — выявление аномалий функционирования ИС на основе анализа процессов операционных систем (ОС). Его назначение — поиск неизвестных атак и вторжений в защищаемую ИС. Под аномалией понимается отклонение текущего состояния ИС от допустимого. Допустимые состояния определяются на этапе обучения. Работа таких систем основывается на двух предположениях о причине аномалий: на этапе обучения — это неучтенные особенности защищаемой ИС, на этапе обнаружения — наличие вторжений. Результаты исследований данного направления опубликованы в работах Р. Секара [55,56], С. Фореста [57−60], Д. Вагнера [69−70] и др.

Одной из основных проблем в создании систем обнаружения вторжений, основанных на обнаружении аномалий, является отсутствие методики количественного оценивания опасности выявляемых аномалий. Результат оценивания должен характеризовать причину изменений: являются ли они следствием вторжения или неучтенной особенности ИС. Утверждать, что выявленная аномалия опасна, можно только в том случае, если причина этой аномалии является попыткой нарушения безопасности защищаемой ИС.

Разработанные к настоящему времени методики основываются на субъективной экспертной оценке, которая не вполне адекватна для изменяющейся среды ИС. Суть этих методик заключается в определении порога допустимых изменений, его превышение — наличие воздействий злоумышленника. Очевидно, завышение порога на этапе обнаружения приводит к пропуску атак, а занижение — к ложному срабатыванию. Наибольший практический интерес в плане оценивания опасности аномалий представляют методики, позволяющие получать количественные показатели.

В этой связи необходимо отметить, что разработка методики количественного оценивания опасности аномалий тесно связана с целым рядом теоретических и практических задач, удовлетворительное решение которых до настоящего времени не получено. Одна из них — разработка формализованной модели процессов ИС, позволяющей решить проблему количественного оценивания аномалий. Наличие таких моделей позволит применить для решения проблемы оценивания математические модели, доказавшие свою эффективность в смежных областях.

Применение методики оценивания опасности аномалий на этапе обучения является одним из путей контроля данных, используемых для обучения нормальному поведению ИС. С ее помощью представляется возможным отбросить ту часть обучающей выборки, которая может являться следствием попытки злоумышленников повлиять на ход обучения системы обнаружения в своих целях.

Следовательно, актуальным для совершенствования обнаружения вторжений является разработка формализованной модели и методики на ее основе для решения проблемы количественного оценивания опасности аномалий. Это в дальнейшем позволит разработать принципиально новую систему обнаружения вторжений.

Также следует отметить, что современные практические работы в области обнаружения аномалий ИС на основе анализа процессов ОС используют реализации на пользовательском уровне, а не системном, что вызывает высокие перегрузки в защищаемой системе и делает невозможным их рабочее применение.

Целью диссертационной работы является разработка методики обнаружения и оценивания аномалий ИС на основе анализа процессов ОС, позволяющей получить количественные показатели опасности выявляемых отклонений и обеспечивающей уменьшение нагрузок на защищаемую ИС и количества ситуаций, требующих привлечения эксперта.

В соответствии с поставленной целью основными задачами исследования являются:

1. Анализ современных систем обнаружения вторжений, методов обнаружения и оценивания аномалий ИС.

2. Обоснование и разработка формализованной модели процессов ОС, создаваемых для выполнения программы ИС в ОС, применимой для решения задач обнаружения и оценивания аномалий ИС.

3. Разработка методики обнаружения и количественного оценивания опасности аномалий в соответствии с введенной формализованной моделью.

4. Разработка рекомендаций по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Для решения поставленных задач использовались методы теории распознавания образов, теории множеств и модели теории дискретных систем. Исследования эффективности разработанных алгоритмов и методик выполнено на ЭВМ при помощи имитационного моделирования процессов ИС, атак и вторжений.

Научная новизна диссертационной работы состоит в следующем:

1. Обоснована формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС, основанная на применении конечного автомата, отличительной чертой которой является использование аргументов системных вызовов.

2. В соответствии с выбранной моделью разработана методика обнаружения и количественного оценивания аномалий ИС, обладающая следующими особенностями:

• задача обнаружения аномалий решена при помощи метода комплекси-рования аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС, — аномалию аргументов системных вызовов-

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Введен показатель степени опасности области признакового пространства состояний процесса ОС, используемый при вычислении количественной меры опасности аномалий.

4. Предложены рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Разработана система обнаружения вторжений в ИС на базе ОС Linux в виде программного комплекса, позволяющая выявлять новые, ранее не регистрируемые виды воздействий. Практическая ценность работы состоит в том, что ее результаты позволяют:

• для существующих систем обнаружения вторжений, работающих по принципу обнаружения аномалий, уменьшить количество ложных срабатываний-

• разработать новую систему обнаружения, в состав которой входит подсистема обнаружения и количественного оценивания опасности аномалий процессов ОС.

Практическая ценность и новизна работы подтверждаются двумя актами внедрения: от ОАО & quot-Радиоавионика"- (результаты использованы при выполнении гособоронзаказа ОКР & laquo-Стрелец»-), от кафедры & laquo-Информатика и Информационная Безопасность& raquo- ПГУПС (результаты применены в учебном процессе кафедры). Кроме этого, результаты работы использовались в трех НИР, выполненных кафедрой & laquo-Информатика и Информационная Безопасность& raquo- ПГУПС: & laquo-Разработка требований и мероприятий по обеспечению информационной безопасности АСУ ОТ& raquo-, & laquo-Разработка проектных решений по комплексу защиты информации АСУ ОТ& raquo-, & laquo-Разработка и внедрение комплекса защиты АСУ ОТ& raquo-.

Основные теоретические и практические результаты диссертационной работы доложены и обсуждены: на Санкт-Петербургской международной конференции & laquo-Региональная информатика& raquo- (Институт информатики и автоматизации РАН, 2002, 2004 гг.) — на Международной практической конференции & laquo-Информационные технологии на железнодорожном транспорте& raquo- (2003) — на Межведомственной научно-практической конференции & laquo-Телекоммуникационные технологии на железнодорожном транспорте& raquo- (2003) — на Межрегиональной конференции & laquo-Информационная безопасность регионов России& raquo- (Институт информатики и автоматизации РАН, 2005 г).

Основные научные положения, выносимые на защиту:

1. Формализованная модель процессов ОС, создаваемых для выполнения программы ИС в ОС.

2. Методика обнаружения и количественного оценивания опасности аномалий в ИС. fy 3. Рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на выявлении аномалий.

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

4.5. Выводы

1. Разработаны рекомендации по созданию систем обнаружения и оценивания аномалий, использующих предложенную методику и раскрывающие следующие основные вопросы: назначение системы, структуру системы, взаимодействие подсистем, адаптацию под различные аппаратно-программные платформы ОС.

2. Создана программная система обнаружения и оценивания аномалий выполнения процессов в ОС Linux с версией ядра 2.4. 22.

3. Полученная система приспособлена для использования во взаимодействии с различными приложениями и системами, работающими в среде модифицированного ядра версии 2.4. 22 в ОС Linux.

4. Выполнен модуль (датчик) для ядра версии 2.4. 22 ОС Linux, особенностью которого является возможность регистрации значений аргументов, запрашиваемых процессами СВ.

5. Введены протоколы обмена данными между модулем ядра и программной системой обнаружения, оценивания аномалий.

6. Выполнено оценивание разработанной программной системы в сравнении с известными методами, полученные результаты позволяют обосновано говорить об уменьшении количества ситуация, требующих привлечения эксперта в полтора-два раза.

7. Выполненное оценивание перегрузок контролируемых процессов, вызываемых разработанной системой, демонстрирует, что данный показатель не превышает 20 процентов от исходного времени.

8. Система может быть применена для контроля информационной безопасности ИС, базой для функционирования которых является ОС Linux с версией ядра 2.4. 22.

ЗАКЛЮЧЕНИЕ

В диссертационной работе представлен новый подход к проблеме количественного оценивания опасности аномалий процессов ОС, создаваемых ОС для выполнения программы ИС, основанный на выделении в признаковом пространстве модели процесса областей с различной степенью опасности. Этот подход позволил разработать методику обнаружения и количественного оценивания опасности аномалий, позволяющий уменьшить количество ситуаций в системе обнаружения аномалий, требующих привлечения эксперта. Кроме этого, системы, использующие данную методику способны выявлять новый вид аномалии — аномалию во взаимодействии с объектами ИС и выполнять количественное оценивание степени опасности. Количественный показатель опасности выявляемых аномалий позволяет эксперту принимать более обоснованные решения о наличии опасных воздействий в защищаемой ИС.

В результате диссертационных исследований получены следующие основные результаты:

1. Обоснована и разработана формализованная модель процессов ОС, применимая для решения задач обнаружения и оценивания аномалий в ИС, учитывающая множество аргументов СВ.

2. В соответствии с введенной моделью разработана методика обнаружения и количественного оценивания опасности аномалий:

• задача обнаружения аномалий решена при помощи метода комплексиро-вания аналогов, что позволило выявить новый вид аномалии, характеризующий взаимодействие с объектами ИС — аномалию аргументов СВ-

• задача оценивания аномалий была решена при помощи метода иерархического кластер-анализа, что позволило выделить в признаковом пространстве состояний процесса ОС области с различной степенью опасности.

3. Разработаны рекомендации по применению разработанной методики в системах обнаружения вторжений, основанных на обнаружении аномалий ИС.

4. Создана система обнаружения вторжений в ИС на основе анализа СВ процессов ОС Linux 2.4. 22, реализующая основные разработанные научные положения в виде программного комплекса.

5. Разработан модуль (датчик) для ядра версии 2.4. 22 ОС Linux, особенностью которого является возможность регистрации значений аргументов СВ.

6. Введены протоколы обмена данными между модулем ядра и программной системой обнаружения и оценивания аномалий.

ПоказатьСвернуть

Содержание

ГЛАВА 1. АНАЛИЗ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ. ПОСТАНОВКА ЗАДАЧ ИССЛЕДОВАНИЯ.

1.1. Структуры систем обнаружения вторжений.

1.1.1. Классическая структура.

1.1.2. Структура современных систем.

1.1.3. Результаты анализа.

1.2. Анализ методов обнаружения и оценивания аномалий, основанных на использовании параметров измерений подсистем ИС.

1.2.1. Использование параметров измерений ИС.

1.2.2. Оценивание общего состояния аномалии в ИС.

1.2.3. Описательная статистика.

1.2.4. Нейронные сети.

1.2.5. Генерация шаблонов.

1.2.6. Метод, основанный на применении марковской модели.

1.2.7. Результаты анализа.

1.3. Анализ методов обнаружения и оценивания аномалий ИС, использующих данные о процессах ОС.

1.3.1. Методы N-gram, V-gram.

1.3.2. Применение конечного автомата.

1.3.3. Использование недетерминированного конечного и магазинного автоматов.

1.3.4. Метод виртуального пути (VtPath).

1.3.5. Результаты анализа.

1.4. Постановка задач исследования.

ГЛАВА 2. ФОРМАЛИЗОВАННАЯ МОДЕЛЬ ПРОЦЕССОВ ОПЕРАЦИОННОЙ СИСТЕМЫ. ВЫБОР МЕТОДОВ РЕШЕНИЯ.

2.1. Общий подход к решению задач обнаружения и оценивания.

2.2. Определение признакового пространства процессов ОС.

2.2.1. Общая характеристика процесса ОС.

2.2.2. Реализация процесса ОС.

2.2.3. Выбор составляющих элементов процессов ОС.

2.2.4. Определение перечня признаков состояний, характеризующих выполнение процесса ОС.

2.2.5. Определение реализации процесса ОС на основе введенного пространства признаков.

2.2.6. Геометрическая интерпретация основных задач.

2.3. Исследование процессов ОС, создаваемых для выполнения программ ИС в ОС, во введенном признаковом пространстве.

2.3.1. Инструментарий исследования.

2.3.2. Процессы О С программы Sendmail.

2.3.3. Процессы О С программы Smbd.

2.3.4. Процессы О С программы Nfsd.

2.3.5. Процессы О С программы Portmap.

2.3.6. Процессы О С программы Inetd.

2.3.7. Процессы О С программы Routed.

2.3.8. Процессы О С программы Telnetd.

2.3.9. Процессы О С программы Ftpd.

2.3. 10. Обоснование применимости признакового пространства для решения основных задач.

2.4. Разработка модели процессов ОС, создаваемых для выполнения программы ИС в ОС.

2.4.1. Алгоритм процесса ОС.

2.4.2. Взаимодействие процесса ОС с объектами ИС

2.4.3. Выводы.

2.5. Выбор методов для обнаружения и оценивания аномалий в ИС.

2.5.1. Постановка задач обнаружения и оценивания аномалий с позиции теории распознавания образов.

2.5.2. Особенности распознавания аномальной деятельности.

2.5.3. Выбор методов теории распознавания образов.

2.6. Выводы.

ГЛАВА 3. МЕТОДИКА ОБНАРУЖЕНИЯ И ОЦЕНИВАНИЯ АНОМАЛИЙ В ИНФОРМАЦИОННЫХ СИСТЕМАХ.

3.1. Общее описание методики.

3.2. Обнаружение аномалий.

3.2.1. Прогнозирование значений аргументов СВ на основе метода комплексирования аналогов.

3.2.2. Оптимизация модели нормального поведения на основе метода скользящего контроля.

3.2.3. Обнаружение аномалий во взаимодействии с объектами ИС.

3.2.4. Экспериментальное обнаружение аномалий в ИС, построенных на базе ОС Linux.

3.3 Оценивание аномалий.

3.3.1. Подход к количественному оцениванию аномалий процессов ОС.

3.3.2. Выявления опасных областей признакового пространства.

3.3.3. Описание алгоритма кластеризации.

3.3.4. Экспериментальное построение кластеров оценивания в ОС Linux.

3.3.5. Экспериментальное оценивание опасности аномалий в ИС, построенных на базе ОС Linux.

3.3.6. Экспериментальное моделирование нормального поведения процессов

ОС, создаваемых для выполнения программ ИС в ОС Linux.

3.4. Достоверность методики.

3.5. Выводы.

ГЛАВА 4. РЕКОМЕНДАЦИИ ПО ПРИМЕНЕНИЮ РАЗРАБОТАННОЙ МЕТОДИКИ В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ.

4.1. Рекомендации по применению разработанной методики.

4.1.1. Назначение системы обнаружения и оценивания аномалий.

4.1.2. Структура системы обнаружения и оценивания аномалий.

4.1.3. Основные требования к подсистемам и обрабатываемым данным.

4.1.4. Адаптация системы к аппаратным и программным платформам.

4.1.5. Использование подсистем системы в составе многоагентных систем обнаружения вторжений.

4.1.6. Методика оценивания системы.

4.2. Реализация системы обнаружения и оценивания аномалий в ИС на базе ОС Linux 2.4. 22.

4.2.1. Подсистема обнаружения аномалий процесса.

4.2.2. Подсистема оценивания аномалий процесса.

4.2.3. Особенности обработки СВ ехес (), fork (), сигналов ядра ОС.

4.3. Реализация модуля ядра ОС Linux 2.4. 22.

4.3.1. Перехват системных вызовов.

4.3.2. Обмен данными между модулем ядра и системой.

4.3.3. Вычисление адресов точек запроса.

4.4. Оценивание разработанной программной системы.

4.4.1. Производительность.

4.4.2. Определение количества выявленных аномалий, требующих привлечения эксперта.

4.4.3. Требования к размеру физической памяти для хранения модели нормального выполнения процесса ОС.

4.5. Выводы.

Список литературы

1. Котенко И. В., Карсаев О. В., Самойлов В. В. Онтология предметной области обучения обнаружению вторжений в компьютерные сети // Международная конференция по мягким вычислениям и измерениям. SMC'2001. Сборник докладов. Том 1. СПб.: СПбГЭТУ, 2002. с. 255−258.

2. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner. State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000.

3. Городецкий В. И., Котенко И. В., Карсаев О. В., Хабаров А. В. Много-агентные технологии комплексной защиты информации в телекоммуникационных системах. // ISINAS 2000. Труды. — СПб., 2000.

4. Городецкий В. И., Котенко И. В., Карсаев О. В., Хабалов А. В. Программный инструментарий для создания многоагентных систем. // Lecture Notes in Artificial Intelligence. Springer, Verlag, 2002. Vol. 2296. pp. 121−130.

5. Городецкий В. И., Котенко И. В. Многоагентные системы для обеспечения безопасности компьютерных сетей. // IEEE ICAIS-02. IEEE International Conference «Artificial Intelligence Systems». Proceedings. IEEE Computer Society. 2002. pp. 297−302.

6. Городецкий В. И., Котенко И. В. Формальная модель сложных распределенных атак на компьютерные сети. // Межрегиональная конференция & quot-Информационная безопасность регионов России& quot-. Материалы конференции. Том 2. СПб., 2002. -с. 92−97.

7. Городецкий В. И., Котенко И. В. Командная работа агентов в антагонистической среде. // Международная конференция по мягким вычислениям и измерениям. SMC'2002. Сборник докладов. Том 1. СПб.: СПбГЭТУ, 2002. -с. 259−262.

8. Котенко И. В., Маньков Е. В. Моделирование атак на информационно-телекоммуникационные системы. // Восьмая Международная Конференция по информационным сетям, системам и технологиям. ICINSAT-2002. Труды. СПб.: СПбГУТ им. Бонч-Бруевича, 2002. с. 190−198.

9. Котенко И. В. Таксономии атак на компьютерные системы. // Труды СПИИРАН, т.З. СПб. :СПИИРАН, 2002.

10. Котенко И. В. Восстановление формальных грамматик, задающих сценарии компьютерных атак, по прецедентам. // Международный научно-теоретический журнал & quot-Искусственный интеллект& quot-. № 3, 2002.

11. D. Denning. A Lattice Model of Secure Information Flow. // Comm. of the ACM, Vol. 19, No. 5, May 1976.

12. D. Denning. An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222−232.

13. Dorothy E. Denning. Concerning hackers who break into computer systems. // Presented at the 13th National Computer Security Conference, Washington, D.C., October 1 -4,1990. http: //www. cpsr. org/cpsr/privacy/crime/denning. html.

14. D. Denning. A new paradigm for trusted systems. // New Security Paradigms Workshop, 1992.

15. D. Denning. Protection and Defense of Intrusion. // Presented at Conf. on National Security in the Information Age, US Air Force Academy, Feb. 1996.

16. S. E. Smaha. Haystack: An intrusion detection system. // In Proceedings of the IEEE Forth Aerospace computer security applications conference, Orlando, FL, USA, December 1998. IEEE.: IEEE Computer society Press, Los Alamitos, CA, USA.

17. H. S. Vaccaro and G. E. Liepins. Detection of anomalous computer session activity. // In Proceedings of the 1989 IEEE Symposium on Security and Privacy, Oakland, California, May 1−3, 1989.: IEEE Computer Society Press, pp. 280−289

18. Judith Hochberg, Kathleen Jackson, Cathy Stallings, J. F. McClary, David DuBois, and Josehpine Ford. NADIR: An automated system for detecting network intrusion and misuse. // Computers & Security, 12(3), 1993. pp. 235−248.

19. Mark Crosbie, Bryn Dole, Todd Ellis, Ivan Krsul, and Eugene Spafford. IDIOT Users Guide. // The COAST Project, Dept. of Computer Science, Purdue University, West Lafayette, IN, USA, September 4 1996. Technical Report TR-96−050.

20. R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a network Level Intrusion Detection systems. // Technical report, Department of computer since, University of New Mexico, August 1990.

21. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.

22. Allen J., Christie A., Fithen W., McHugh J, Pickel J., Stoner E. State of the practice of Intrusion Detection Technologies. // In: Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute, 2000.

23. Eugene Charniak. Bayesian Networks without tears. // AI Magazine, 1991. -pp. 56−63.

24. Peter Cheeseman, Robin Hanson, John Stutz. Bayesian Classification with Correlation and inheritance. // In 12'th International Joint conference on Artificial Intelligence, 1991.

25. Peter Cheeseman, James Kelly, Mattew Self, John Stutz, Will Taylor, Don Freeman. Autoclass: A Bayesian Classification System. // In Proceedings of fifth international conference on machine learning. 1988. pp. 54−56.

26. C.A. Терехов. Байесовы сети. // Научная сессия МИФИ 2003, V Все-росийская научно-техническая конференция & laquo-нейроинформатика-2003»-: лекции по нейроинформатике. Часть 1. — М. :МИФИ, 2003. — с. 188.

27. К. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.

28. P. A. Porras, P.G. Neumann. EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance. // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.

29. K. Hgun, R.A. Kemmerer, P.A. Porras. State Transition Analysis: A Rule-Based Intrusion Detection System. // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.

30. K. Ilgun. USTAT: A Real time Intrusion Detection System for UNIX. // Proceeding of the IEEE Symposium on Research in Security and Privacy.

31. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy. pp. 296−304.

32. T.D. Garvey, T.F. Lunt, Model based Intrusion Detection. // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.

33. J.P. Anderson, Computer Security Threat Monitoring and Surveillance. // James P. Anderson Co., Fort Washington, PA, April. 1980.

34. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection. // Technical Report CSD-TR-94−013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 June 1994.

35. Sandeep Kumar. Classification and Detection of Computer Intrusions. // PhD thesis, Purdue University, West Lafayette. Indiana. August 1995.

36. David S. Bauer and Michael E. Koblentz. NIDX An expert system for real — time network intrusion detection. // In Proceeding of the Computer networking symposium. IEEE, New York, April 1988. — pp. 98−106

37. Vern Paxon. Bro: A system for detection network intruders in real time. // Proceeding of the 7-th USENIX Security Symposium, San Antonio, TX, USA, January 1998.

38. Nong Ye. A Markov Chain Model of Temporal Behavior for Anomaly Detection. // Proceedings of 2000 IEEE Workshop on Information Assurance and Security. United State Militaiy Academy, West Point, NY, 6−7 June, 2000.

39. W. L Winstone. Operation Research: Application and Algorithmas. // Belmont, С A: Duxbury Press, 1994.

40. Т. M. Mitchell. Machine Learning. // Boston, MA: McGraw-Hill, 1997.

41. Sekar R., Bendre M., Dhurjati D., Bollineni P. A fast automaton-based method for detecting anomalous program behaviors. // In: Proceedings of the IEEE Symposium on Security and Privacy.: IEEE Computer Society, 2001.

42. Forrest S., Hofmeyr S.A., Somayaji A., Longstaff T.A.: A Sense of Self for Unix Processes. // In: Proceedings of the 1996 IEEE Symposium on Security and Privacy, 1996.

43. S. Forest, S. A. Hofmeyr, A. Somayaji. Intrusion Detection using Sequences of System Call. // Journal of Computer Security, Vol. 6 (1998). — pp. 51−180.

44. S. Forest, S. A. Hofmeyr, A. Somayaji. Computer Immunology. // Communication of the ACM, vol. 40, No. 10, October 1997. pp. 88−86.

45. S. Forrest, C. Warrender, B. Pearlmutter. Detection Intrusion using system calls- Alternative Data models. // 1999 IEEE Symposium on Security and Privacy, may 9−12, 1999.

46. А. К. Ghosh and A. Schwartzbard. A Study in using neural networks for anomaly and misuse detection. // USENIX Security Symposium, 1999.

47. W. Lee and S. Stolfo. «Data mining approach for intrusion detection». // 7th USENIX Security Symposium, San Antonino, TX, 1998.

48. E. Eskin, W. Lee, J. Stolfo. «Modeling system calls for intrusion detection with dynamic window size». // USENIX Security Symposium, 1999.

49. W. Lee and S. Stolfo, and P. Chan. «Learning Paterns from Unix Process Execution traces for intrusion detection». // AAAI Workshop: AI Approaches to fraud detection and risk management, 1997.

50. L. Pitt and M. Warmuth. The minimum consistency DFA problem cannon be approximates within any polynomial. // ACM STOC, 1989.

51. M. Kearns and L. Valiant. Cryptographic Limitations on Learning Boolean formulae and finite automata. // ACM STOC, 1989.

52. A. Kosoresow and S. Hofmeyr, Intrusion detection via system call traces. // IEEE Software '97.

53. Feng H.H., Kolesnikov O.M., Fogla P., Lee W., Gong W. Anomaly Detection Using Call Stack Information. // In: Proceedings of the 2003 IEEE Symposium on Security and Privacy, Berkeley, С A, 2003.

54. D. Wagner and D. Dean, «Intrusion Detection via Static Analysis». // IEEE Symposium on Security and Privacy, Oakland, CA, 2001.

55. D. Wagner «Static analysis and computer security: new techniques for software assurance». // phD Thesis, University of California at Berkley, 2000.

56. J. T Giffin, S. Jha and B.P. Miller. «Detection Manipulated remote call streams». // 11th USENIX Security Symposium, 2002.

57. CERT Advisory. // www. cert. org. Доступно с анонимного ftp ftp: //cert. sei. emu. edu.

58. Слюсаренко И. М. Анализ систем обнаружения вторжений. // Материалы VIII Санкт-Петербургской международной конференции & laquo-Региональная информатика 2002″. / СПб. СПИРАН, 2002. — с. 131.

59. Слюсаренко И. М. Архитектура систем обнаружения вторжений. // Железнодорожный транспорт: проблемы и решения: межвузовский сборник трудов молодых ученых, аспирантов и докторантов, выпуск 6. / СПб. ПГУПС, 2003. -с. 108−110.

60. Корниенко А. А., Слюсаренко И. М. Анализ практических, теоретических работ в области систем обнаружения. // The First International Conference on Scientific and Practical Issue. / СПб. ПГУПС, 2003. pp 18−20.

61. Слюсаренко И. М. Модели сетевых атак в информационные системы. // Железнодорожный транспорт: проблемы и пути решения: международный сборник трудов молодых ученых, аспирантов и докторантов, выпуск 7. / СПб. ПГУПС, 2004. с. 88−90.

62. Корниенко А. А., Слюсаренко И. М. Системы обнаружения вторжений: современное состояние и направления совершенствования. //. Проблемы информационной безопасности. Компьютерные системы, СПб., 2004, № 1. -е. 21−34.

63. Медведовский И. Д., Семьянов П. В., Платонов В. В. Атака через INTERNET. Под научной редакцией проф. Зегжды П. Д. СПб.: & laquo-Мир и семья-95& raquo-, 1997.

64. Корниенко А. А., Слюсаренко И. М. Подход к синтезу системы обнаружения вторжений в сложные распределенные системы. // Материалы IX Санкт-Петербургской международной конференции & laquo-Региональная информатика 2004″. / СПб. СПИРАН, 2004. -е. 133−134.

65. B.H. Вапник, А. Я. Червоненкис. Теория распознавания образов. Статистические проблемы обучения. // М.: Наука, 1974.

66. Поспелов Д. А. Искусственный интеллект основа новой информационной технологии: Сер. Академические чтения. // М.: Наука, 1988.

67. Поспелов Д. А., Ириков В. А. Системно-программное планирование. //М.: Советское радио, 1975.

68. Поспелов Д. А. Моделирование рассуждений. // М.: Радио и связь, 1989.

69. Поспелов Д. А. Моделирование человеческих рассуждений в интеллектуальных системах: Лекции Всесоюзной школы по основным проблемам искусственного интеллекта и интеллектуальным системам. Ч. 1. // Тверь: Центр программных систем, 1990.

70. Поспелов Д. А. Ситуационное управление: теория и практика. // М. Наука, 1986.

71. Ту Дж., Гонсалес Р. Принципы распознавания образов: Пер. с англ. &mdash- М.: Мир, 1978.

72. Такеда Э. Вопросы анализа и процедуры принятия решений: Пер. с англ. -М.: Мир, 1976.

73. Беллман Р., Заде Л. Вопросы анализа и процедуры принятия решений: Пер. с англ.- М.: Мир, 1976.

74. Р. Р. Сокал. Кластер-анализ и классификация: предпосылки и основные направления. Классификация и кластер. //М.: Мир, 1980.

75. М. С. Косолапов. Классификация методов пространственного представления структур данных. // Социологические исследования. 1976. № 2.- с. 98−109.

76. М. М. Бон гард. Проблема узнавания. // М.: Физматиз, 1967.

77. Рабочая книга по прогнозированию. Под ред. И. В. Бестужева // Лада. М.: Мысль, 1983.

78. Брайн В. Керниган, Денис М. Ричи. Язык программирования Си. // Пер. с англ., 3-е изд., испр. СПб.: & laquo-Невский диалект& raquo-, 2001.

79. Ю. М. Снапелев, В. А. Старосельский. Моделирование и управление в сложных системах. // М., Сов. Радио, 1974.

80. Бьерн Страуструп. Язык программирования & laquo-С++»-. Специальное издание. Пер. с англ. -М.: ООО «Бином-Пресс», 2005.

81. Бьерн Страуструп. Справочное руководство по & laquo-С++»-. http: //www. lib. ru/CPPHB/cppref. txt.

82. Г. Буч. Объектно-ориентированный анализ и проектирование с примерами приложений на & laquo-С++»-, 2-е изд. / Пер. с англ. М.: & laquo-Издательство Бином& raquo-, СПб.: & laquo-Невский диалект& raquo-, 1999.

83. W. Brener, R. Zarnekow, H. Wittig. Intelligent Software agents. // Foundations and applications. Springer-Verlag, 1998.

84. Helmer G., Wong J., Honovar V., Miller L. Intelligent Agents for intrusion detection. // In Proceeding of the 1998 IEEE Information Technology Conference, Environment for the Future, Syracuse, NY, IEEE 1998.

85. ЮЗ. Робачевский A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2000. 104. 3олотов С. Протоколы Internet. СПб.: БХВ Петербург, 1998.

86. Sendmail. http: //www. sendmail. org. 106. Smbd. http: //samba. org.

87. Netkit. http: //ftp. uk. linux. org/pub/linux/networking/netkit.

88. Nfsd. http: //sourceforge. net/projects/nfs/.

89. SunShield Basic Security Module Guide (Solaris 8). Iuniverse. Com, February 1,2000.

90. Графическая библиотека QT. http: //www. trolltech. org.

91. Sybase Power Designer, http: //www. sybase. com.

92. СУБД PostgresSQL. http: //www. postgressql. ru.

93. Strace. http: //sourceforge. net/projects/strace.

94. Vijo Cherian. Tour of the Linux Kernel Source. http: //www. geocities. com/vijoc/tolks/tolks. html.

95. David A. Rusling. The Linux Kernel. http: //www. tldp. org/LDP/tlk/tlk. html.

96. Tigran Aivazian and Christoph Hellwig. Linux 2.4 Kernel Internals. http: //www. moses. uklinux. net/patches/lki. html.

97. Michael K. Johnson and others. «The Linux Kernel Hackers' Guide». http: //www. tldp. org/LDP/khg/HyperNews/get/khg. html.

98. Ivan T. Bowman, Saheem Siddiqi, and Meyer C. Tanuan. «Conceptual Architecture of the Linux Kernel». http: //plg. uwaterloo. ca/~itbowman/papers/CS746G-a2. html.

99. Ivan T. Bowman, Richard C. Holt and Neil V. Brewster. «Linux as a Case Study: Its Extracted Software Architecture». http: //plg. uwaterloo. ca/~itbowman/papers/linuxcase. html.

100. Richard Gooch. «Overview of the Virtual File System». http: //www. atnf. csiro. au/~rgooch/linux/vfs. txt.

101. Alessandro Rubini. Dynamic Kernels: Modularized Device Drivers. http: //www2. linuxjournal. com/lj-issues/issue23/1219. html.

102. Alessandro Rubini. «Dynamic Kernels: Discovery». http: //www2. linuxjournal. com/lj-issues/issue24/1220. html.

103. Ori Pomerantz. Linux Kernel Module Programming Guide. http: //www. tldp. org/LDP/lkmpg/mpg. html.

104. Complete Linux Loadable Kernel Modules. The definitive guide for hackers, virus coders and system administrators, http: //packetstorm. securify. com/groups/thc/LKMHACKING. html.

105. Michael K. Johnson. Writing Linux Device Drivers. http: //people. redhat. com/johnsonm/devices. html.

106. R. Baruch and C. Schroeter. «Writing Character Device Driver for Linux». ftpIlp. fu-berlin. de/pub/linux/LINUX-LAB/whitepapers/drivers. ps. gz.

107. The Kernel Hacking HOWTO. http: //www. lisoleg. net/doc/Kernel-Hacking-HOWTO/kernel-hacking-HOWTO.

Заполнить форму текущей работой