Скрытые каналы. Прячем трафик: техника сокрытия IP-трафика с помощью секретных пассивных каналов

При проектировании современных телекоммуникационных сетей всегда остро стоит задача обеспечения их информационной безопасности. При этом решения в некоторых случаях являются настолько сложными и дорогостоящими, что для эффективного управления информационными потоками выполняется разделение архитектуры сетей по специальным, так называемым, профилям защищенности, которые указывают на степень решения этой задачи и оптимизацию на защиту от некоторого заранее определенного разработчиками перечня угроз.

Развивающаяся наука и техника предъявляют совершенно новые требования к телекоммуникационным сетям. При этом, удовлетворение большинства из требований уже не может выполняться в ограничениях этих заранее определенных профилей, так как развитие единой информационной среды Интернет, а также повсеместное внедрение информационных технологий в большинство технологических процессов, уже не позволяют рассматривать информацию как пассивную сущность с четким местом ее возникновения, обработки и хранения. Появление большого числа новых форматов данных, а также на несколько порядков возросшие скорости передачи информации сильно затрудняют ее анализ и требуют качественно новых подходов даже при использовании классических методов в обеспечении безопасности. Более того, современные методы обработки и обмена информацией в телекоммуникационных сетях создают новые риски, которые ранее не рассматривались как угрозы безопасности или их реализация прежде считалась невозможной.

В настоящее время особенно актуальны обозначенные проблемы при создании распределенных сетей. Так как в результате указанные проблемы проявляются в виде угроз качественно нового уровня. Они характеризуются чрезвычайно высокой сложностью при обнаружении и борьбе с ними в виду тесной интеграции компонентов систем между собой и соответственно значительно возросшей сложностью разделения уровней секретности. В результате даже небольшое повышение уровня защиты требует серьезного совершенствования подходов к обеспечению безопасности и научном обосновании принимаемых решений.

К способам реализации угроз качественно нового уровня часто относят скрытые логические каналы передачи информации. Традиционно, вопросы их исследования и разработки методов противодействия рассматривались в основном только применительно к автономным системам в контексте обеспечения конфиденциальности, целостности и доступности локально обрабатываемой информации. И поэтому в настоящее время известные способы защиты телекоммуникационных сетей в недостаточной степени учитывают многочисленные факторы и особенности взаимного влияния различных удаленных друг от друга компонентов. При этом, получаемые решения по обеспечению безопасности, основанные на использовании классических подходов, во многом являются частными и в виду их ориентации на индивидуальные особенности конкретной телекоммуникационной сети оказываются сложно переносимыми и весьма ограниченными в применении. Это обстоятельство ставит также задачу изменения подхода и к используемым моделям, вынуждая их становиться более масштабными и формальными, но тем не менее сохраняющими высокую степень адекватности в различных аспектах их применения.

Угрозы со стороны скрытых логических каналов направленны на нарушение конфиденциальности информации.

Современные методы защиты и требования нормативных документов, основанные на разделении всего спектра угроз по уровням безопасности, позволяют решить проблемы нарушения конфиденциальности информации и угроз от скрытых логических каналов лишь в общем виде, при этом сильно ограничивая функциональные возможности защищаемой сети. Это особенно остро ставит, помимо вышеуказанных, также разработки эффективных путей развития архитектуры сетей и выработки комплексных мер противодействия реализации угроз нового уровня.

Целью работы является определение методов и создание средства защиты от утечки данных по скрытым логическим каналам и повышение эффективности борьбы с угрозой нарушения конфиденциальности информации в распределенных телекоммуникационных сетях.

Предмет исследования - скрытые логические каналы несанкционированного доступа к ресурсам информационных сетей.

Объектом исследования данной работы является распределенная телекоммуникационная сеть.

Методы исследований примененные в данной работе для решения поставленных задач и анализа результатов эксперимента относятся к описанию модели безопасности Белла - ЛаПадула, синтаксического анализа потоков данных, анализа систем на невыводимость и невмешательство, методы построения матрицы разделяемых ресурсов, дискретной математики, теории вероятностей и математической статистики, теории множеств, теории графов и формальной логики. Помимо этого, для разработки программного обеспечения использовались методы построения конечных алгоритмов.

Научная новизна работы заключается в следующем:

На основе анализа разнородной информации о скрытых логических каналах создана классификация информационных угроз в телекоммуникационных сетях;

Создана методика исследования и обнаружения скрытых логических каналов в распределенных системах, основанная на использовании новых информационных моделей невыводимости и. невмешательства;

Разработан новый метод и алгоритм защиты от утечек информации по скрытым логическим каналам, использующим линии передачи данных в качестве разделяемого ресурса.

Достоверность результатов исследований обусловлена использованием в работе широко известных и признанных моделей невыводимости и невмешательства, апробированного математического аппарата, логической обоснованностью выводов, а также результатами экспериментальных исследований.

Практическая значимость исследования выражается в том, что на основе предложенных в работе моделей и методики защиты было разработано специальное программное обеспечение для тестирования сети с целью определения уровня угрозы со стороны скрытых логических каналов, а также законченное средство защиты информации позволяющее эффективно решать проблему парирования утечки данных по скрытым логическим каналам в сетях общего доступа. Разработаны рекомендации по быстрому внедрению средства защиты и его использованию на маршрутизаторах работающих под управлением операционной системы Linux. Разработанное программное обеспечение может быть полезно в различных отраслях промышленности и бизнеса, в организациях где реализуются меры противодействия компьютерной разведки, или же к защите информации предъявляются достаточно жесткие требования, а ее обработка ведется в распределенных телекоммуникационных сетях.

Среди областей применения средства защиты можно отметить различные территориально распределенные системы сбора и обработки информации а также стремительно набирающие популярность системы облачных вычислений, а также платежные системы.

Основные положения выносимые на защиту:

Среди многих каналов для реализации информационных атак возможна организация скрытого логического канала, использующего в качестве разделяемого ресурса канал сети передачи данных с методом доступа CSMA/CD;

Среди множества используемых характеристик уровня угроз несанкционированного доступа по скрытому логическому каналу, универсальной характеристикой уровня опасности должен служить критический уровень пропускной способности;

Для парирования угроз несанкционированного доступа по скрытым логическим каналам должна использоваться псевдослучайная нормализующая последовательность трафика;

Средство парирования угроз несанкционированного доступа по скрытым логическим каналам не влияет на скорость передачи данных по каналу легального доступа.

Структура работы

Работа состоит из четырех глав, введения, заключения, списка литературы и трех приложений.

В главе 1 приведен обзор традиционных методов и технологий защиты информации проведенный на основе и включающий в себя анализ дискреционной, мандатной и ролевой модели контроля и управления доступом, а также обеспечения целостности информации. Кроме этого, был проведен анализ моделей невыводимости и невмешательства используемых для изучения скрытых логических каналов.

В главе 2 был выполнен анализ технологий применяемых при построении современных распределенных вычислительных сетей, выявлены характерные недостатки их защиты. Проведено подробное исследование скрытых логических каналов, рассмотрены различные методы поиска и противодействия скрытым логическим каналам, а также проанализирована эффективность рассмотренных методов. На этой основе была сформулирована задача повышения эффективности защиты распределенных систем.

В главе 3 были рассмотрены специальные методы анализа скрытых логических каналов и расчета их точной пропускной способности необходимой для проведения дальнейших исследований.

В главе 4 была построена и исследована на безопасность модель распределенной вычислительной системы, в которой был проведен поиск скрытых логических каналов. Кроме этого, было проведено специальное исследование найденного скрытого логического канала и определен круг и уровень угроз этой уязвимости, выполнен анализ возможности применения рекомендаций нормативных документов и на основании чего была предложена эффективная методика борьбы со скрытым логическим каналом разработанная на основе моделей невыводимости и невмешательства, а также предложена реализация средства защиты.

5 Заключение

На основании приведенного в первой главе обзора традиционных моделей безопасности и их сравнительного анализа были выявлены их особенности и недостатки приводящие к реализации скрытых логических каналов утечки информации. В результате был сделан вывод, что нарушение безопасности модели с их помощью является целесообразным только в случае применения недискреционных политик. При этом, в самих формулировках таких политик аспекты защиты от скрытых логических каналов никак не оговариваются.

Для защиты от этой угрозы были разработаны информационные модели невмешательства и невыводимости, которые могут применяться для защиты конфиденциальной информации наряду с традиционными политиками безопасности. Однако, эти модели наряду с рассмотренными методами поиска скрытых логических каналов требуют чрезвычайно сложного анализа всей системы в целом, что сильно ограничивает возможности их практического использования, и как правило, их применение ограничивается исключительно областью научных исследований.

Перед исследованиями выполненными в рамках данной работы была поставлена цель проведения анализа использования скрытых логических каналов передачи данных в распределенных вычислительных системах и повышения эффективности борьбы с ними.

Обзор методов исследования скрытых логических каналов и средств борьбы показал, что методы защиты налагают множество ограничений на работу защищаемой информационной системы, как правило, значительно ухудшают ее функциональные возможности и характеристики. Поэтому был сделан вывод, что повышение эффективности борьбы со скрытыми логическими каналами можно достигнуть путем разработки нового метода защиты лишенного недостатков свойственных общепринятым подходам к этой проблеме.

Для решения поставленной задачи с целью поиска скрытых логических каналов и формирования теоретической базы для обоснования методов борьбы с ними была составлена обобщенная субъектно - объектная модель распределенной системы, сформулирована формальная политика безопасности и выполнена проверка ее целостности для заданного множества допустимых операций.

Исследование предложенной модели было произведено при помощи метода БЯМ, в результате чего, на основе анализа построенной матрицы разделяемых ресурсов, было выявлено множество характерных для распределенных систем скрытых логических каналов и определены конкретные причины приводящие к их реализации. Кроме этого, локализация обнаруженных проблем показала, что причины появления обнаруженных скрытых логических каналов сводятся к наличию в модели единственного разделяемого ресурса представляющего собой линию связи сети общего пользования.

Результатом проведенного исследования явилось построение модели такого скрытого логического канала включающей в себя точный алгоритм передачи по нему информации.

Для определения круга угроз был выполнен анализ моделей скрытого логического канала и распределенной системы с точки зрения информационных моделей невыводимости и невмешательства. При этом, угроза выводимости была охарактеризована как незначительная, поскольку она проявлялась лишь как частный случай. В то же время, вмешательство наблюдалось достаточно отчетливо и поэтому был сделан вывод о необходимости оценки его уровня.

Чтобы определить уровень угрозы возникающей в результате вмешательства, был проведен эксперимент в процессе которого выполнялось моделирование процессов приводящих к этой уязвимости. Он проводился при помощи специально разработанного программного обеспечения позволяющего организовать полноценный скрытый логический канал. В результате была рассчитана максимальная теоретическая пропускная способность такого канала реализованного при помощи исследуемых механизмов. На основе проведенных расчетов эта угроза была классифицирована как критическая, поскольку полученное значение скорости передачи оказалось значительно выше минимально допустимой стандартами.

В качестве средств борьбы с вмешательством была рассмотрена возможность применения стандартных средств и рекомендаций перечисленных в нормативных документах. Однако, анализ их практического использования показал, что это приводит к нарушению нормальной связности между узлами распределенной системы и невозможности выполнения ей своих функций. На этой основе был сделан вывод о необходимости разработки метода защиты лишенного таких недостатков, которые ведут к нарушению функциональности.

В качестве основы для разработки метода были взяты информационные модели невыводимости и невмешательства, а именно условие их безопасности, которое может быть достигнуто за счет удаления из информационной системы лишнего, с точки зрения этих моделей, вывода. На основе анализа обобщенной модели распределенной системы было выработано "нормальное" условие безопасности, а также способы его достижения из любого внутреннего состояния информационной системы при произвольной активности пользователей. При этом, в процессе разработки этой методики удалось добиться значительных результатов в сокращении ее негативного влияния на процесс обмена информацией между отдельными узлами распределенной системы.

На основе предложенной методики была также выполнена разработка высокоэффективного средства парирования скрытых логических каналов в телекоммуникационных сетях общего доступа. Средство парирования скрытых логических каналов имеет следующие характеристики:

Защита каналов связи легального достуа со скоростью передачи данных до 10 МБит/с;

Генерация трафика псевдослучайными последовательностями до 100 МБит/с;

Формирование "нормализующей" последовательности в реальном времени на скоростях до 10 МБит/с.

Его реализация основана на том факте, что вся обработка передаваемых данных в телекоммуникационном оборудовании является буферизированной. Оценка ввода пользователя и генерация "нормализующей" последовательности, требуемой для достижения безопасного состояния, выполняется при помощи широко используемых методов обеспечения качества обслуживания С^оБ. Кроме этого, использование в его разработке свободного программного обеспечения позволяет добиться простоты его внедрения, низкой стоимости и высоких эксплуатационных показателей по защите данных от утечки.

В итоге можно заключить, что все поставленные в диссертационной работе задачи были успешно выполнены.

1. B.W. Lampson. A Note on the Confident Problem. Communications of the ACM, 1973

2. M. Schaefer, B. Gold, R. Linde, J. Scheid. Program Confinement in KVM/370, New York, 1977

3. J.C. Huskamp. Covert Communication Channels in Timesharing Systems. University of California, 1978

4. DARPA Information Processing Techniques Office. RFC 793 Transmission Control Protocol, IETF, 1981

5. R.A. Kemmerer. Shared Resource Matrix Methodology: An Approach to Identifying Storage and Timing Channels. ACM Transactions on Computer Systems, 1983

6. National Computer Security Center, Department of Defence. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1985

7. A Comment on the Basic Security Teorem of Bell and La Padula, Information Processing Letters, 1985

8. J.K. Millen. Finite-State Noisless Covert Channels. Proceedings of the Computer Security Foundations Workshop. Franconia, New Hampshire, 1989

9. C.R. Tsai, V.D. Gligor, C.S. Chandersekaran. A Formal Method for the Identification of Covert Channels in Source Code. IEEE Transactions on Software Engineering, 1990

10. V.D. Gligor. A Guide to Understanding Covert Channel Analysis of Trusted Systems, 1993

11. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Centre Communication Security Establishment, Government of Canada. Version 3.0e. January 1993

12. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee. RFC 2068 Hypertext Transfer Protocol HTTP/1.1, IETF, 1997

13. E. Rescorla. RFC 2631 Diffie-Hellman Key Agreement Method, IETF, 199914.

В связи с совершенствованием вычислительной техники и бурным ростом телекоммуникационных технологий, наблюдается повышение сложности используемого программного обеспечения. В таких условиях усложняется анализ разрабатываемых программ с точки зрения безопасности. По данным Национального института стандартов и технологий США (NIST), если количество зарегистрированных уязвимостей широко используемого программного обеспечения до 1996 года составляло десятки в год, то в 2004 году этот показатель достиг 2356, в 2005 году - 4914, и в 2006 - 6600 .

Рост числа уязвимостей программного обеспечения обуславливает актуальность не только таких превентивных мер противодействия, как использование межсетевых экранов и обманных систем, но также и внедрения систем обнаружения вторжений (СОВ), позволяющих активно противодействовать попыткам несанкционированного доступа. При этом очевидно, что со временем СОВ, целиком основанные на использовании пополняемых баз сигнатур известных вторжений, не будут способны гарантировать оперативное обнаружение вторжений, основанных на только что открытых уязвимостях.

В последнем выпуске ежегодного бюллетеня института SANS, отражающего десять наиболее важных тенденций в развитии информационной безопасности , прогнозируется дальнейший рост эксплуатации неизвестных ранее уязвимостей (0-day vulnerabilities), а также увеличение числа скомпрометированных узлов глобальной сети, позволяющих злоумышленникам осуществлять распределённые атаки и затруднять впоследствии поиск источника вторжения. В таких условиях актуальность приобретает развитие новых подходов к обнаруженшо вторжений, обеспечивающих своевременное обнаружение факта вторжения вне зависимости от наличия его точной сигнатуры.

Актуальность темы

Основной проблемой, с которой сталкиваются разработчики современных систем обнаружения вторжений (СОВ), является низкая эффективность существующих механизмов обнаружения принципиально новых видов вторжений, признаки которых не изучены и не занесены в базы данных сигнатур. Развитая в последние годы теория обнаружения аномалий, призванная решить эту проблему, не находит широкого применения из-за низкой надёжности используемых методов. Системы, построенные на основе этой теории, характеризуются недопустимо высоким уровнем ложных срабатываний.

В последнее время распространение получили более эффективные методы обнаружения вторжений, основанные на анализе последовательностей системных вызовов, поступающих к ядру операционной системы. Среди них одним из наиболее перспективных направлений является использование скрытых марковских моделей (СММ) для описания модели профиля нормального поведения того или иного процесса и обнаружения отклонений от этого профиля, свидетельствующих о возможном вторжении. Методы, основанные на использовании СММ, превосходят другие методы в эффективности обнаружения, однако требуют применения более трудоёмких алгоритмов .

Таким образом, задача исследования и совершенствования подхода к обнаружению вторжений с использованием СММ является актуальной.

Целью работы является разработка метода обнаружения вторжений на основе подхода, предполагающего использование СММ для описания профилей процессов. Разработанный метод позволяет уменьшить время обучения СММ для их более эффективного использования при решении задач обнаружения вторжений.

Исходя из основной цели данной работы, определяется перечень решаемых задач:

1) Разработать модель системы обнаружения вторжений.

2) Разработать алгоритмы формирования профилей нормального поведения процессов в виде СММ и обнаружения вторжений с их помощью.

3) Разработать параллельный алгоритм обучения для уменьшения времени обучения СММ.

4) Провести экспериментальное исследование и сравнительный аиализ последовательного и параллельного алгоритма обучения СММ.

В рамках исследования используются методы теории вероятностей и математической статистики, математического моделирования, теории алгоритмов, теории параллельных вычислений. Широко применялось компьютерное моделирование, в том числе и с использованием самостоятельно разработанного программного обеспечения.

Основные результаты, выносимые на защиту

1) Модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов, использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

2) Параллельный масштабируемый алгоритм обучения СММ для множественных последовательностей наблюдений, позволяющий проводить обучение СММ быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча.

Научная новизна работы заключается в следующем:

Разработан метод обнаружения вторжений, использующий профили нормального поведения контролируемых процессов в виде СММ. Метод позволяет локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.

Разработан масштабируемый параллельный алгоритм обучения СММ для множественных последовательностей наблюдений, реализованный с помощью технологии MPI. Реализация параллельного алгоритма демонстрирует производительность близкую к теоретическому пределу даже при работе на недорогих сетевых кластерах, развёрнутых на вычислительных сетях типа Fast Ethernet.

Практическая значимость и внедрение результатов работы

Практическая значимость результатов диссертации заключается в следующем:

Разработана модель системы обнаружения вторжений, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны.

Разработан параллельный алгоритм обучения СММ, позволяющий сократить время их обучения. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

Разработана параллельная программа быстрого обучения СММ, обеспечивающая производительность, близкую к теоретическому пределу даже при запуске на недорогих сетевых кластерах.

Основные результаты исследований использованы на кафедре «Безопасность информационных технологий» Технологического института Южного федерального университета в г. Таганроге при выполнении ряда научно-исследовательских и опытно-конструкторских работ для государственного заказчика, научных исследований, поддержанных грантом

РФФИ, а также совместным грантом Министерства образования и науки Российской Федерации и Германской службы академических обменов (DAAD).

Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.

Публикации

По теме диссертации имеется 12 публикаций, из них 11 научных статей и тезисов докладов и одно свидетельство о регистрации программы для ЭВМ. Три статьи опубликованы в журнале «Известия Таганрогского государственного радиотехнического университета (ТРТУ)» за 2003-2005 гг. из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.

Основные результаты работы докладывались и обсуждались на:

1) Международных научно-практических конференциях «Информационная безопасность», Таганрог, 2002, 2003, 2004 и; 2005 гг.

2) XXXIII региональной молодёжной конференции «Проблемы-теоретической и прикладной математики», Екатеринбург, 2002 г.

3) Конференциях профессорско-преподавательского состава Таганрогского государственного радиотехнического университета, Таганрог, 2004 и 2005 гг.

4) Семинаре стипендиатов программы «Михаил Ломоносов», Бонн (Германия), 2005 г.

5) Международной конференции «Информатика и информационные технологии» ("Computer Science and Information Technologies"), Карлсруэ (Германия), 2006 г.

Структура и объем диссертации

Диссертационная работа состоит из введения, пяти глав, заключения, списка использованных источников (113 наименований) и приложения. Общий объем работы - 158 страниц. В работе приведен графический материал в объеме 19 рисунков, содержится 28 страниц приложений.

5.4 Выводы

1) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ на сетевом кластере. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с небольшим числом узлов, при этом достигаются значения ускорения близке к теоретическому пределу.

2) При исследованиях с использованием многопроцессорного кластера наблюдается близкий к линейному рост ускорения до достижения им практического предела. Это свидетельствует о высокой эффестивности использования вычислительных ресурсов при распараллеливании.

Заключение

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:

1) Разработана модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны. Модель использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения. Исследована возможность интеграции модели в состав комплексной СОВ.

2) Проведено экспериментальное исследование зависимости показателей эффективности обнаружения вторжений от выбранного числа состояний СММ. Установлено, что процесс обучения СММ зачастую сходится к локальному минимуму целевой функции. Этот факт ещё более усложняет процесс обучения, так как возникает дополнительная необходимость поиска значения числа состояний, обеспечивающего необходимые уровни вероятностей правильного обнаружение и ложного срабатывания. Таким образом, задача сокращения времени обучения СММ становится ещё более актуальной.

3) Разработан параллельный масштабируемый алгоритм обучения СММ, позволяющий проводить обучение быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча для множественных последовательностей наблюдений, а также его программная реализация на основе технологии MPI. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.

4) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с ускорением близким к теоретически предельному.

1. National Institute of Standards and Technology. E-resource. - Available: http://nvd.nist.gov.

2. The ten most important security trends of the coming year / Edited by S. Northcutt et al. - SANS Institute, 2006. - 3 p. - Available: http://www.sans.org/resources/10securitytrends.pdf.

3. Kumar, S. Classification and detection of computer intrusions: PhD thesis. -Purdue university, 1995. - 180 p.

4. Лукацкий, А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. -624 с.

5. Милославская, Н. Г., Толстой, А. И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. - М.: Юнити-Дана, 2001. - 587 с.

6. Lundin, Е., Jonsson, Е. Survey of intrusion detection research: Technical report No. 02-04. - Goteborg: Chalmers University of Technology, 2002 - 43 p.

7. Denning, D. E. An intrusion-detection model // IEEE Transaction on software engineering. - 1987. -No. 2. - P. 222-232.

8. Hansen, S. E., Atkins, E. T. Automated system monitoring andthnotification with swatch // Proc. 7 System Administration Conference (LISA 93). - Monterey. - 1993. - P. 101-108.

9. Абрамов, E. С. Разработка и исследование методов построения систем обнаружения атак: дис. . канд. техн. наук: 05.13.19 - Таганрог, 2005. - 140 с.

10. Абрамов, Е. С. Разработка методов функционального тестирования СОА // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2004.

11. Wu, S., Manber, U. Fast text searching with errors. Technical report TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 p.

12. Lindqvist, U., Porras, P. A. Detecting computer and network misuse through the production-based expert system toolset (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, California, May 1999. - IEEE Сотр. Soc., 1999, -P. 141-161.

13. Snort - the de facto standard for intrusion detection/prevention. - 2006. - Available: http://snort.org

14. Snort™ user manual. 2.6.0. - Sourcefire, Inc., 2006. - Available: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf

15. Habra, N., Le Charlier, В., Mounji, A., Mathieu, I. ASAX: Software architecture and rule-based language for universal audit trail analysis // European Symposium on Research in Computer Security (ESORICS). - 1992. - P. 435450.

16. Porras, P. A., Neumann, P. G. Emerald: Event monitoring enabling responses to anomalous live disturbances. - Proc. 20th National Information Systems Security Conference. - Baltimore: NIST/NCSC, 1997. - P. 353-365.

17. Vigna, G., Eckmann S. Т., Kemmerer, R. A. The STAT tool suite // Proc. DISCEX 2000. - IEEE Press, 2000.

18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base intrusion detection approach // IEEE Trans. Software Engineering. - No. 3, Vol. 21.- 1995.- P. 181-199.

19. Sun, J. BSM security auditing for Solaris servers. GIAC security essentials certification practical. - 2003. - 12 p. - Available: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf

20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 p. - Available: http://citeseer.ist.psu.edu/452116.html

21. Kumar, S., Spafford, E. H. A pattern-matching model for misusefUintrusion detection. // Proc. 17 National Computer Security Conference. - 1994. - P. 11-21.

22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion- Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Vol. 14, No. 6.-P. 533-567.

23. Fink, G., Levitt, K. Property-based testing of privileged programs // Proc. 10th Annual Computer Security Applications Conference. - IEEE, 1994. - P. 154-163.

24. Ko, C., Fink, G., Levitt, K. Automated detection of vulnerabilities in privileged programs by execution monitoring // Proc. 10th Annual Computer Security Applications Conference. - IEEE Comp. Soc. Press, 1994. - P. 134144.

25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. A sense of self for Unix processes // Proc. 1996 IEEE Symposium on Security and Privacy. - IEEE Comp. Soc. Press, 1996. - P. 120-128.

26. Ghosh, A. K., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. Annual Computer Security Applications Conference (ACSAC"98), December 1998. - 1998. - P. 259-267.

27. Eslcin, E. et al. Adaptive model generation for intrusion detection. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athens, Greece, 2000. - 2000. - Available: http://citeseer.ist.psu.edu/eskinOOadaptive.html.

28. Okazaki, Y., Sato, L, Goto, S. A new intrusion detection method based on process profiling. // Proc. IEEE Symposium on Applications and the Internet (SAINT"02). - 2002. - P. 82-91.

29. Cho, S.-B. Incorporating soft computing techniques into a probabilistic intrusion detection system. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, No.2, 2002. - P. 154-160.

30. Yin, Q., Shen, L., Zhang, R., Li, X. A new intrusion detection methodfhbased on behavioral model. // Proc. 5 World Congress on Intelligent Control and Automation, June 15-19, 2004, Hangzhou, P. R. China. - 2004. - P. 4370-4374.

31. Gudkov, V., Johnson, J. E. New approach for network monitoring and intrusion detection // CoRR. - 2001. - Vol. cs.CR/0110019. - Available: http://arxiv.org/abs/cs.CR/0110019.

32. Gudkov, V., Johnson, J. E. Multidimensional network monitoring for intrusion detection // CoRR. - 2002. - Vol. cs.CR/0206020. - Available: http://arxiv.org/abs/cs.CR/0206020.

33. Barford, P., Plonka, D. Characteristics of network traffic flow anomalies // Proc. 1st ACM SIGCOMM Workshop on Internet Measurement, San Francisco, California, USA, November 1-2, 2001. - ACM, 2001. - P. 69-73.

34. Smaha, S. E. Haystack: an intrusion detection system // Proc. 4th IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.

35. Lane, T., Brodley, C. E. Sequence matching and learning in anomaly detection for computer security // Proc. AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management. - 1997. - P. 43-49.

36. Lane, T., Brodley, C. E. An application of machine learning to anomaly detection // Proc. of the 12th National Information Systems Security Conference. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - P. 366-380.

37. Lane, T. Filtering techniques for rapid user classification // Proc. AAAI-98/ICML-98 Joint Workshop on AI Approaches to Time-series Analysis. - Menlo Park, CA: AAAI Press, 1998. - P. 58-63.

38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection // Proc. 5th ACM Conference on Computer and Communications Security. - Assoc. for Computing Machinery, 1998. - P. 150158.

39. Lane, T. Hidden Markov models for human/computer interface modeling // Proc. IJCAI-99 Workshop on Learning About Users. - 1999. - P. 35-^4.

40. Debar, H., Becker, M., Siboni, D. A neural network component for an intrusion detection system // Proc. 1992 IEEE Comp. Soc. Symposium on Research in Security and Privacy. - Los Alamos, CA: IEEE Comp. Soc. Press, 1992. -P. 240-250.

41. Cannady, J. Artificial neural networks for misuse detection // Proc. 1998 National Information Systems Security Conference (NISSC"98). - 1998. - P. 443-456.

42. Сидоров, И. Д., Аникеев, М. В. Нейросетевое обнаружение аномального поведения пользователя в консольном режиме ОС Linux // Материалы VI Международной научно-практической конференции «Информационная безопасность». - Таганрог: ТРТУ, 2004. - С. 159-161.

43. Tumoian, Е., Anikeev, М. Network-based detection of passive covert Channels in TCP/IP // LCN *05: Proc. IEEE Conf. on Local Computer Networks. - Washington, DC: IEEE Comp. Soc., 2005 - P. 802-809.

44. Elman, J. L. Finding structure in time // Cognitive Science. - 1990. - Vol. 14, No. 2. - P. 179-211.

45. Fink, G., Ko, C., Archer, M., Levitt, K. Towards a property-based testing environment with applications to security-critical software // Proceedings of the 4th Irvine Software Symposium. - 1994. - P. 39-48.

46. Warrender, C., Forrest, S., Pearlmutter, B. A. Detecting intrusions using system calls: alternative data models // Proc. IEEE Symposium on Security and Privacy. - Oakland, CA: IEEE Comp. Soc., 1999. - P. 133-145.

47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Intrusion detection using sequences of system calls // Journal of Computer Security. - 1998. - Vol. 6, No. 3. -P. 151-180.

48. Cohen, W. W. Fast effective rule reduction // Machine Learning: the 12th Intl. Conference. - Morgan Kaufmann, 1995. - P. 115-123.

49. Yin, Q.-B. et al. Intrusion detection based on hidden Markov model. - Proc. 2nd Intl. Conference on Machine Learning and Cybernetics. Xi"an, November. 2003. - IEEE, 2003. - Vol. 5. - P. 3115-3118.

50. Wespi, A., Dacier, M., Debar, H. An intrusion-detection system"based" on the TEIRESIAS pattern-discovery algorithm // Proc. EICAR"99. - Aalborg, Denmark: Aalborg Universitet, 1999.- P. 1-15.

51. Rigoutsos, I., Floratos, A. Combinatorial pattern discovery in biological sequences: the TEIRESIAS algorithm // Bioinformatics. - 1998. - Vol.14, No. 1. -P. 55-67.

52. Marceau, C. Characterizing the behavior of a program using multiple-length N-grams // Proc. 2000 workshop on New security paradigms. - Ballycotton, County Cork, Ireland: ACM Press, 2000. - P. 101-110.

53. Ghosh, A., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. 1998 Annual Computer Security Applications Conference (ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - P. 259-267.

54. Ghosh, A., Schwartzbard, A., Schatz, M. Learning program behavior profiles for intrusion detection // Proc. 1st USENIX Workshop on Intrusion Detection and Network Monitoring. - 1999. -P. 51-62.

55. Yeung, D., Ding, Y. Host-based intrusion detection using dynamic and static behavioral models // Pattern Recognition. - 2002. - Vol. 36. - P. 229243.

56. Al-Subaie, M., Zulkernine, M. Efficacy of hidden Markov models overthneural networks in anomaly intrusion detection // Proc. 30 Annual International Computer Software and Applications Conference (COMPSAC). - Chicago: IEEE CS Press, 2006. - P. 325-332.

57. Heberlein, L. T. Network security monitor. Final report. - Davis, CA: UC Davis, 1993. - 53 p. - Available: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.

58. Paxson, V. Bro: a system for detecting network intruders in real-time // Computer Networks (Amsterdam, Netherlands: 1999). - 1999. - Vol. 31, No. 23-24.-P. 2435-2463.

59. Ilgun, K. USTAT: a real-time intrusion detection system for UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, CA: IEEE Comp. Soc, 1993. - P. 16-28.

60. Staniford-Chen, S. et al. GrIDS - A graph-based intrusion detection system for large networks // Proc. 19th National Information Systems Security Conference. - 1996. - P. 361-370.

61. Jou, Y. F, Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Architecture design of a scalable intrusion detection system for the emerging network infrastructure. Technical Report CDRL A005. - Releigh: North Carolina State University, 1997. - 42 p.

62. Somayaji, A., Forrest, S. Automated response using system-call delays // Proc. USENIX Security Syposium. - Denver: USENIX, 2000. - P. 185-197.

63. Рабинер, JI. Р. Скрытые марковские модели и их применение в избранных приложениях при распознавании речи: обзор // ТИИЭР. - 1989. - т. 77, №2. -С. 86-120.

64. Baum, L. Е., Sell, G. R. Growth functions for transformations and manifolds // Pacific Journal of Mathematics. - 1968. - Vol. 27, No. 2. - P. 211-227.

65. Sun, J. BSM Security Auditing for Solaris Servers. - Bethesda, Mayland: SANS, 2003. - 12 p. - Available: http://www.securitydocs.com/go/2329.

66. The Linux BSM project Е-resource. - 2001. - Available: http://linuxbsm.sourceforge.net.

67. TrustedBSD - OpenBSM Е-resource. - 2006. - Available: http://www.trustedbsd.org/openbsm.html.

68. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD. - Fort Meade, MD: National Computer Security Center, 1985. - 116 p. - Available: http://csrc.nist.gov/publications/history/dod85.pdf.

69. Computer Immune Systems - Data Sets and Software Е-resource. - Albuquerque, NM: University of New Mexico, 2004. - Available: http://www.cs.unm.edu/~immsec/data-sets.htm.

70. Baras, J. S., Rabi, M. Intrusion detection with support vector machines and generative models. Technical report TR 2002-22. - College Park: University of Maryland, 2002. - 17 p.

71. Hoang, X. D., Hu, J., Bertok, P. A multi-layer model for anomaly intrusion detection using program sequences of system calls. - Proc. ICON"2003. The 11th IEEE Conference on Networks. - IEEE, 2003. - P. 531-536.

72. Raj wade, A. Some experiments with hidden Markov models. Technical report. - University of Florida, 2005. - 18 p. - Available: http://www.cise.ufl.edu/~avr/HMM.pdf.

73. Gtinter, S., Bunlce, H. Optimizing the number of states, training iterations and Gaussians in an HMM-based handwritten word recognizer // Proc. 7th Intl. Conf. on Document Analysis and Recognition, Edinburgh, Scotland. - 2003. - Vol. 1. - P. 472-476.

74. Аникеев, M. В. Выбор достаточного числа состояний в скрытых марковских моделях для решения задач обнаружения аномалий // Известия ТРТУ. -2005. -№9. -С. 133.

75. Аникеев, М. В. Метод обнаружения аномалий на основе скрытых марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог, ТРТУ: 2005. - С. 58-60.

76. Noise reduction in speech application / Edited by G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 p.

77. Ронжин, A. JL, Карпов, А. А., Ли, И. В. Система автоматического распознавания русской речи SIRIUS // Научно-теоретический журнал «Искусственный интеллект». - 2005. - №3. - С. 590-601.

78. Eickeller, S., Mtiller, S., Rigoll, G. Recognition of JPEG compressed face images based on statistical methods // Image and Vision Computing. - 2000. - Vol. 18. -P. 279-287.

79. Elms, A. J., Procter, S., Illingworth, J. The advantage of using and HMM-based approach for faxed word recognition // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - No. 1(1). - P. 18-36.

80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. A generalized hidden Markov model for the recognition of human genes in DNA // Proc. 4th Intl. Conf. on Intelligent Systems for Molecular Biology. - 1996. - P. 134-142.

81. Henderson, J., Salzberg, S., Fasman, К. H. Finding genes in DNA with a hidden Markov model // Journal of Computational Biology. - 1997. - Vol. 4, No. 2. -P. 127-142.

82. Моттль, В. В., Мучник, И. Б. Скрытые марковские модели в структурном анализе сигналов. -М.: Физматлит, 1999. - 352 с.

83. Turin, W., van Nobelen, R. Hidden Markov modeling of flat fading channels // IEEE Journal on Selected Areas is Communications. - 1998. - Vol. 16. -P. 1809-1817.

84. Nechyba, M. C., Xu, Y. Stochastic similarity for validating human control strategy models // IEEE Trans. Robotics and Automation. - 1998. - Vol. 14, Issue 3, -P. 437-451.

85. Mangold, S., Kyriazakos, S. Applying pattern recognition techniques based on hidden Markov models for vehicular position location in cellular networks // Proc. IEEE Vehicular Technology Conference. - 1999. - Vol. 2. - P. 780-784.

86. Chari, S. N., Cheng, P. C. BlueBoX: a policy-driven host-based intrusion detection system // ACM Trans, on Information and System Security. - 2003. - Vol. 6. - P. 173-200.

87. Kang, D.-K., Fuller, D., Honavar, V. Learning classifiers for misuse detection using a bag of system calls representation // Lecture Notes in Computer Science. -2005, -Vol. 3495. -P. 511-516.

88. Valdes, A., Skinner, K. Probabilistic alert correlation // Lecture Notes in Computer Science. - 2001. - Vol. 2212. -P. 54-68.

89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Information modeling for intrusion report aggregation // Proc. of the DARPA Information Survivability Conference and Exposition (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - P. 329-342.

90. Cuppens, F., Miége, A. Alert correlation in a cooperative intrusion detection framework // IEEE Symposium on Security and Privacy. - 2002. -P. 187-200.

91. Turin, W. Unidirectional and parallel Baum-Welch algorithms // IEEE Trans. Of Speech and Audio Processing. - 1998. - Vol. 6, issue 6. - P. 516523.

92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementing hidden Markov models in a hardware architecture // Proc. Intl. Meeting of Computer Science ENC "01, Aguascalientes, México, September 15-19 2001. -Vol. II. -2001. -P. 1007-1016.

93. Anikeev, M., Makarevich, O. Parallel implementation of Baum-Welch algorithm // Proc. Workshop on Computer Science and Information Technologies (CSIT"2006), Karlsruhe, Germany, September 28-29, 2006. - Vol. 1. - Ufa: USATU, 2006. - P. 197-200.

94. Message Passing Interface Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi.

95. Argonne National Laboratory. Mathematics and computer science division. Е-resource. - 2007. - Available: http://www.mcs.anl.gov.

96. MPICH2 home page. Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi/mpich.

97. Ш.Гэри, M., Джонсон, Д. Вычислительные машины и труднорешаемые задачи. - М.: Мир, 1982. - 412 с.

98. ITU-TS Recommendation Z.120: Message-sequence chart (MSC), 04/2004. - Geneva: International Telecommunication Union, 2004. - 136 p.

99. Шпаковский, Г. И., Серикова, Н. В. Программирование для многопроцессорных систем в стандарте MPI. - Минск: БГУ, 2002. - 323 с.