Skryté datové kanály. Skrýváme provoz: technika pro skrytí IP provozu pomocí tajných pasivních kanálů

Při návrhu moderních telekomunikačních sítí je vždy naléhavý úkol zajistit jejich informační bezpečnost. Přitom řešení jsou v některých případech tak složitá a drahá, že pro efektivní řízení informační toky síťová architektura je rozdělena do speciálních, tzv. bezpečnostních profilů, které udávají stupeň řešení tohoto problému a optimalizace pro ochranu před seznamem hrozeb předem určeným vývojáři.

Rozvoj vědy a techniky klade zcela nové požadavky na telekomunikační sítě. Splnění většiny požadavků přitom již nelze v rámci omezení těchto předem stanovených profilů naplnit, neboť rozvoj jednotného internetového informačního prostředí, stejně jako plošné zavádění informačních technologií do většiny technologických procesů, ne. již umožňují považovat informace za pasivní entitu s jasným místem jejich výskytu, zpracování a uložení. Vznik velkého množství nových datových formátů a také zrychlení přenosu informací o několik řádů značně komplikuje její analýzu a vyžaduje kvalitativně nové přístupy i při použití klasických bezpečnostních metod. Moderní způsoby zpracování a výměny informací v telekomunikačních sítích navíc vytvářejí nová rizika, která dříve nebyla považována za bezpečnostní hrozby nebo jejich implementace byla dříve považována za nemožnou.

V současnosti jsou aktuální zejména identifikované problémy při vytváření distribuovaných sítí. V důsledku toho se tyto problémy projevují v podobě hrozeb kvalitativně nové úrovně. Vyznačují se extrémně vysokou složitostí při odhalování a boji proti nim v důsledku úzké integrace systémových komponentů mezi sebou a v důsledku toho výrazně zvýšené složitosti oddělení úrovní utajení. V důsledku toho i malé zvýšení úrovně ochrany vyžaduje vážné zlepšení přístupů k zajištění bezpečnosti a vědeckého zdůvodnění rozhodnutí.

Skryté logické kanály pro přenos informací jsou často označovány jako metody implementace hrozeb kvalitativně nové úrovně. Tradičně byly otázky jejich výzkumu a vývoje protiopatření řešeny především ve vztahu k autonomním systémům v kontextu zajištění důvěrnosti, integrity a dostupnosti lokálně zpracovávaných informací. A proto v současnosti známé způsoby ochrany telekomunikačních sítí dostatečně nezohledňují četné faktory a znaky vzájemného ovlivňování různých od sebe vzdálených komponent. Výsledná bezpečnostní řešení založená na využití klasických přístupů jsou přitom z velké části privátní a s ohledem na jejich zaměření na individuální vlastnosti konkrétní telekomunikační sítě se ukazují jako obtížně přenosná a aplikačně velmi omezená. Tato okolnost také klade za úkol změnit přístup k používaným modelům, donutit je, aby byly ambicióznější a formálnější, ale přesto si zachovaly vysokou míru přiměřenosti v různých aspektech jejich aplikace.

Hrozby ze skrytých logických kanálů jsou zaměřeny na porušení důvěrnosti informací.

Moderní metody ochranné a regulační požadavky, založené na rozdělení celého spektra hrozeb podle úrovní zabezpečení, umožňují řešit problémy narušení důvěrnosti informací a hrozeb ze skrytých logických kanálů pouze obecně, přičemž výrazně omezují funkčnost chráněné sítě. To je zvláště akutní, kromě výše uvedeného, ​​také vývoj efektivních způsobů rozvoje architektury sítí a vývoj komplexních opatření proti implementaci hrozeb nové úrovně.

Cílem práce je stanovení metod a vytvoření prostředků ochrany před únikem dat skrytými logickými kanály a zvýšení efektivity boje proti hrozbě narušení důvěrnosti informací v distribuovaných telekomunikačních sítích.

Předmětem studia jsou skryté logické kanály neoprávněného přístupu ke zdrojům informačních sítí.

Předmětem studia této práce je distribuovaná telekomunikační síť.

Výzkumné metody použité v této práci k řešení úloh a analýze výsledků experimentu se týkají popisu bezpečnostního modelu Bell-LaPadula, analýzy datových toků, analýzy systémů pro neinferenci a bez zásahů, metod pro konstrukci matice sdílených zdrojů, diskrétní matematiky, teorie pravděpodobnosti a matematické statistiky, teorie množin, teorie grafů a formální logiky. Kromě toho byly pro vývoj softwaru použity metody pro konstrukci konečných algoritmů.

Vědecká novinka práce je následující:

Na základě analýzy heterogenních informací o skrytých logických kanálech byla vytvořena klasifikace informačních hrozeb v telekomunikačních sítích;

Byla vytvořena technika pro výzkum a detekci skrytých logických kanálů v distribuovaných systémech, založená na použití nových informačních modelů neredukovatelnosti a. nevměšování;

Navrženo nová metoda a algoritmus pro ochranu proti únikům informací přes skryté logické kanály pomocí datových linek jako sdíleného zdroje.

Spolehlivost výsledků výzkumu je dána použitím v práci široce známých a uznávaných modelů neredukovatelnosti a bezzásahovosti, osvědčeným matematickým aparátem, logickou platností závěrů a také výsledky experimentálních studií.

Praktický význam studie je vyjádřen tím, že na základě modelů a metod ochrany navržených v práci byla vytvořena speciální software pro testování sítě za účelem zjištění úrovně ohrožení skrytými logickými kanály a také kompletní nástroj ochrany informací, který vám umožní efektivně vyřešit problém s únikem dat přes skryté logické kanály ve veřejných sítích. Byla vyvinuta doporučení pro rychlou implementaci ochranného nástroje a jeho použití na běžících routerech operační systém linux. Vyvinutý software může být užitečný v různých průmyslových odvětvích a podnicích, v organizacích, kde se zavádějí protiopatření počítačové inteligence, respektive jsou kladeny přísné požadavky na ochranu informací a jejich zpracování probíhá v distribuovaných telekomunikačních sítích.

Mezi oblasti použití ochranného nástroje lze zaznamenat různé geograficky distribuované systémy pro sběr a zpracování informací, stejně jako systémy cloud computingu, které si rychle získávají na popularitě, stejně jako platební systémy.

Hlavní ustanovení předložená k obhajobě:

Mezi mnoha kanály pro implementaci informačních útoků je možné organizovat skrytý logický kanál pomocí kanálu datové sítě s přístupovou metodou CSMA/CD jako sdíleným zdrojem;

Mezi mnoha používanými charakteristikami úrovně hrozeb neoprávněného přístupu přes skrytý logický kanál by měla kritická úroveň propustnosti sloužit jako univerzální charakteristika úrovně nebezpečí;

K odvrácení hrozeb neoprávněného přístupu přes skryté logické kanály by měla být použita pseudonáhodná normalizační sekvence provozu;

Nástroj pro odvrácení hrozeb neoprávněného přístupu přes skryté logické kanály neovlivňuje rychlost přenosu dat přes legální přístupový kanál.

Struktura práce

Práce se skládá ze čtyř kapitol, úvodu, závěru, bibliografie a tří příloh.

Kapitola 1 poskytuje přehled tradičních metod a technologií informační bezpečnosti, založený na analýze diskrečního, mandátového a vzorového modelu řízení a řízení přístupu a včetně těchto modelů, jakož i zajištění integrity informací. Kromě toho byla provedena analýza modelů neinferibility a neintervence používaných ke studiu skrytých logických kanálů.

V kapitole 2 byla provedena analýza technologií používaných při výstavbě moderních distribuovaných výpočetních sítí a byly identifikovány charakteristické nedostatky jejich ochrany. Byla provedena podrobná studie skrytých logických kanálů, různé metody hledání a potlačování skrytých logických kanálů a také analýza účinnosti uvažovaných metod. Na tomto základě byl formulován úkol zvýšit účinnost ochrany distribuovaných systémů.

V kapitole 3 byly zvažovány speciální metody pro analýzu skrytých logických kanálů a výpočet jejich přesné šířky pásma potřebné pro další výzkum.

V kapitole 4 byl sestaven a prozkoumán model distribuovaného výpočetního systému z hlediska bezpečnosti, ve kterém bylo provedeno hledání skrytých logických kanálů. Kromě toho byla provedena speciální studie nalezeného skrytého logického kanálu a stanoven rozsah a míra ohrožení této zranitelnosti, byla provedena analýza možností uplatnění doporučení regulačních dokumentů a na základě čehož byla stanovena účinná byla navržena technika pro boj se skrytým logickým kanálem vyvinutým na základě modelů neodvozování a nezasahování, stejně jako je navržena implementace prostředků ochrany.

5 Závěr

Na základě přehledu tradičních bezpečnostních modelů v první kapitole a jejich komparativní analýzy byly identifikovány jejich vlastnosti a nedostatky vedoucí k implementaci skrytých logických kanálů úniku informací. V důsledku toho se dospělo k závěru, že narušení bezpečnosti modelu s jejich pomocí je vhodné pouze v případě, že jsou aplikovány nediskreční politiky. Přitom v samotném znění těchto zásad nejsou aspekty ochrany před skrytými logickými kanály nijak specifikovány.

Na ochranu před touto hrozbou, informační modely laissez-faire a non-inference, které lze použít k ochraně citlivých informací spolu s tradičními bezpečnostními politikami. Tyto modely však spolu s uvažovanými metodami hledání skrytých logických kanálů vyžadují extrémně komplexní analýzu celého systému jako celku, což značně omezuje možnosti jejich praktického využití a zpravidla je jejich aplikace omezená. výhradně do oblasti vědeckého výzkumu.

Před výzkumem prováděným v rámci této práce bylo cílem analyzovat využití skrytých logických kanálů přenosu dat v distribuovaných výpočetní systémy a zlepšit účinnost boje proti nim.

Revize metod výzkumu skrytých logických kanálů a prostředků boje ukázala, že ochranné metody kladou mnohá omezení na provoz chráněného informačního systému, zpravidla výrazně zhoršují jeho funkčnost a vlastnosti. Proto se dospělo k závěru, že zvýšení efektivity boje proti skrytým logickým kanálům lze dosáhnout vyvinutím nové metody ochrany bez nedostatků, které jsou vlastní obecně uznávaným přístupům k tomuto problému.

Pro vyřešení problému za účelem hledání skrytých logických kanálů a vytvoření teoretického základu pro zdůvodnění metod jejich řešení byl sestaven zobecněný subjekt-objektový model distribuovaného systému, byla formulována formální bezpečnostní politika a byla prověřena její integrita. pro daný soubor přípustných operací.

Studium navrženého modelu bylo provedeno metodou BNM, v jejímž důsledku byla na základě analýzy zkonstruované matice sdílených zdrojů identifikována sada skrytých logických kanálů charakteristických pro distribuované systémy a konkrétní důvody vedoucí k jejich implementace byla identifikována. Kromě toho lokalizace zjištěných problémů ukázala, že důvody pro výskyt detekovaných skrytých logických kanálů jsou redukovány na přítomnost jediného sdíleného zdroje, kterým je veřejná síťová komunikační linka, v modelu.

Výsledkem studie byla konstrukce modelu takového skrytého logického kanálu, který obsahuje přesný algoritmus pro přenos informací přes něj.

Pro určení rozsahu hrozeb byla provedena analýza modelů skrytého logického kanálu a distribuovaného systému z pohledu informačních modelů neinferibility a bezzásahovosti. Hrozba líhnivosti byla přitom charakterizována jako nevýznamná, neboť se projevovala pouze jako zvláštní případ. Zásah byl přitom zcela zřetelně pozorován, a proto se dospělo k závěru, že je nutné posoudit jeho míru.

Pro určení úrovně ohrožení vyplývající z rušení byl proveden experiment, během kterého bylo provedeno modelování procesů vedoucích k této zranitelnosti. Bylo to provedeno pomocí speciálně navrženého softwaru, který vám umožňuje organizovat plnohodnotný skrytý logický kanál. V důsledku toho byla vypočtena maximální teoretická šířka pásma takového kanálu implementovaného pomocí studovaných mechanismů. Na základě výpočtů byla tato hrozba klasifikována jako kritická, protože přijatá hodnota přenosové rychlosti se ukázala být výrazně vyšší než minimum povolené standardy.

Jako prostředek boje proti rušení možnost použití standardní prostředky a doporučení uvedená v regulačních dokumentech. Analýza jejich praktického využití však ukázala, že to vede k narušení běžné konektivity mezi uzly distribuovaného systému a nemožnosti vykonávat jeho funkce. Na tomto základě byl učiněn závěr, že je nutné vyvinout způsob ochrany, který nebude mít takové nedostatky, které vedou k narušení funkčnosti.

Jako základ pro vývoj metody byly vzaty informační modely neinference a bezzásahovosti, a to podmínka jejich bezpečnosti, které lze dosáhnout odstraněním z informačního systému nepotřebného, ​​z hlediska tyto modely, závěr. Na základě analýzy zobecněného modelu distribuovaného systému byla vyvinuta "normální" bezpečnostní podmínka a způsoby, jak ji dosáhnout z libovolného vnitřního stavu informačního systému s libovolnou aktivitou uživatele. Zároveň bylo v procesu vývoje této techniky dosaženo významných výsledků ve snížení jejího negativního dopadu na proces výměny informací mezi jednotlivými uzly distribuovaného systému.

Na základě navržené metodiky byl rovněž vyvinut vysoce účinný prostředek k odvrácení skrytých logických kanálů ve veřejných telekomunikačních sítích. Nástroj pro odvrácení skrytého logického kanálu má následující vlastnosti:

Ochrana legálních přístupových komunikačních kanálů s rychlostí přenosu dat až 10 Mbps;

Generování provozu pseudonáhodnými sekvencemi až do 100 Mbit/s;

Vytvoření "normalizační" sekvence v reálném čase rychlostí až 10 Mbps.

Jeho implementace je založena na tom, že veškeré zpracování přenášených dat v telekomunikačních zařízeních je vyrovnávací paměti. Vyhodnocení uživatelského vstupu a generování „normalizační“ sekvence potřebné k dosažení bezpečného stavu se provádí pomocí široce používaných technik QoS QoS. Použití svobodného softwaru při jeho vývoji navíc umožňuje dosáhnout snadné implementace, nízké ceny a vysokého výkonu při ochraně dat před únikem.

Ve výsledku můžeme konstatovat, že všechny úkoly stanovené v dizertační práci byly úspěšně splněny.

1.B.W. lampson. Poznámka k důvěrnému problému. Komunikace ACM, 1973

2. M. Schaefer, B. Gold, R. Linde, J. Scheid. Program Confinement v KVM/370, New York, 1977

3.J.C. Huskamp. Skryté komunikační kanály v systémech sdílení času. Kalifornská univerzita, 1978

4. DARPA Information Processing Techniques Office. RFC 793 Transmission Control Protocol, IETF, 1981

5.R.A. Kemmerer. Metodologie matice sdílených zdrojů: Přístup k identifikaci kanálů úložiště a časování. ACM Transactions on Computer Systems, 1983

6 Národní počítač Bezpečnostní centrum, Oddělení obrany. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1985

7. Komentář k základní bezpečnostní větě Bella a La Paduly, Information Processing Letters, 1985

8.J.K. Millen. Konečné stavové bezhlučné skryté kanály. Sborník z workshopu Computer Security Foundations. Franky, New Hampshire, 1989

9.C.R. Tsai, V.D. Gligor, C.S. Chandersekaran. Formální metoda pro identifikaci skrytých kanálů ve zdrojovém kódu. IEEE Transactions on Software Engineering, 1990

10.V.D. Gligor. Průvodce porozuměním analýzy skrytých kanálů důvěryhodných systémů, 1993

11. Kanadská kritéria hodnocení důvěryhodných počítačových produktů. Kanadské centrum zabezpečení systému Komunikační bezpečnostní zařízení, vláda Kanady. Verze 3.0e. ledna 1993

12. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, T. Berners-Lee. RFC 2068 Hypertext Transfer Protocol HTTP/1.1, IETF, 1997

13. E. Rescorla. RFC 2631 Diffie-Hellman Key Agreement Method, IETF, 199914.

V souvislosti se zdokonalováním výpočetní techniky a rychlým růstem telekomunikačních technologií dochází ke zvyšování komplexnosti používaného softwaru. V takových podmínkách se analýza vyvíjených programů z hlediska bezpečnosti stává složitější. Podle amerického Národního institutu pro standardy a technologie (NIST), pokud byl počet hlášených zranitelností v široce používaném softwaru před rokem 1996 desítky ročně, pak v roce 2004 toto číslo dosáhlo 2356, v roce 2005 - 4914 a v roce 2006 - 6600.

Nárůst počtu softwarových zranitelností určuje relevanci nejen takových preventivních protiopatření, jako je používání firewallů a podvodných systémů, ale také zavádění systémů detekce narušení (IDS), které umožňují aktivně čelit pokusům o neoprávněný přístup. Zároveň je zřejmé, že IDS založené výhradně na využívání aktualizovaných databází signatur známých průniků časem nebude schopno zaručit operativní detekci průniků na základě nově objevených zranitelností.

Poslední vydání výročního bulletinu SANS Institute, reflektující deset nejdůležitějších trendů ve vývoji informační bezpečnosti, předpovídá další nárůst využívání dosud neznámých zranitelností (0-day vulnerabilities), stejně jako nárůst počtu tzv. kompromitované globální síťové uzly, což útočníkům umožňuje provádět distribuované útoky a následně ztěžovat nalezení zdroje narušení. Za takových podmínek nabývá na významu vývoj nových přístupů k detekci narušení, které zajistí včasnou detekci skutečnosti narušení bez ohledu na přítomnost jeho přesné signatury.

Relevance tématu

Hlavním problémem, kterému vývojáři čelí moderní systémy detekce narušení (ISD) je nízká účinnost existujících mechanismů pro detekci zásadně nových typů narušení, jejichž vlastnosti nebyly studovány a nejsou zahrnuty do databází signatur. Teorie detekce anomálií vyvinutá v posledních letech, určená k řešení tohoto problému, není široce používána kvůli nízké spolehlivosti používaných metod. Systémy postavené na základě této teorie se vyznačují nepřijatelně vysokou mírou falešných poplachů.

V poslední době se rozšířily efektivnější metody detekce narušení založené na analýze sekvencí systémových volání přicházejících do jádra operačního systému. Jedním z nejslibnějších směrů je použití skrytých Markovových modelů (HMM) k popisu modelu profilu normálního chování procesu a zjišťování odchylek od tohoto profilu, indikujících možnou invazi. Metody založené na použití HMM jsou lepší než jiné metody z hlediska účinnosti detekce, ale vyžadují použití časově náročnějších algoritmů.

Úkol prozkoumat a zlepšit přístup k detekci narušení pomocí SMM je tedy relevantní.

Cílem práce je vyvinout metodu detekce narušení založenou na přístupu, který zahrnuje použití HMM k popisu procesních profilů. Vyvinutá metoda umožňuje zkrátit dobu školení HMM pro jejich efektivnější využití při řešení problémů detekce narušení.

Na základě hlavního cíle této práce je stanoven seznam úkolů k řešení:

1) Vytvořte model systému detekce narušení.

2) Vyvinout algoritmy pro generování profilů normálního chování procesů ve formě HMM a pro detekci narušení s jejich pomocí.

3) Vyvinout algoritmus paralelního učení pro snížení doby učení HMM.

4) Proveďte experimentální studii a srovnávací analýzu sekvenčního a paralelního algoritmu učení HMM.

Studium využívá metody teorie pravděpodobnosti a matematické statistiky, matematického modelování, teorie algoritmů, teorie paralelních výpočtů. Počítačové modelování bylo široce používáno, včetně použití nezávisle vyvinutého softwaru.

Hlavní výsledky odevzdané k obhajobě

1) Model IDS, založený na detekci anomálií v sekvencích systémových volání pocházejících z řízených procesů, využívá profily normálního chování řízených procesů ve formě HMM. Model je založen na metodě, která umožňuje lokalizovat anomálii způsobenou průnikem s přesností až systémové volání na základě podmíněné pravděpodobnosti jeho výskytu.

2) Paralelně škálovatelný algoritmus HMM učení pro více sekvencí pozorování, který umožňuje HMM učení být rychlejší než v současnosti široce používaný sekvenční Baum-Welch algoritmus.

Vědecká novinka práce je následující:

Byla vyvinuta metoda detekce narušení, která využívá profily normálního chování řízených procesů ve formě HMM. Metoda umožňuje lokalizovat anomálii způsobenou průnikem až po systémové volání na základě podmíněné pravděpodobnosti jejího výskytu.

Byl vyvinut škálovatelný paralelní algoritmus učení HMM pro více sekvencí pozorování, implementovaný pomocí technologie MPI. Implementace paralelního algoritmu demonstruje výkon blízko teoretickému limitu i při práci na nízkonákladových síťových klastrech nasazených na počítačových sítích, jako je Fast Ethernet.

Praktický význam a realizace výsledků práce

Praktický význam výsledků disertační práce je následující:

Byl vyvinut model systému detekce narušení založeného na detekci anomálií v sekvencích systémových volání přicházejících z řízených procesů. Principy zabudované v systému umožňují detekovat průniky, jejichž znaky (podpisy) nejsou a priori známy.

Byl vyvinut algoritmus paralelního učení pro HMM, který umožňuje zkrátit dobu jejich školení. Použití algoritmu je možné v jiných aplikacích SMM, například v rozpoznávání řeči, optickém rozpoznávání textu a genetice.

Byl vyvinut paralelní rychlý tréninkový program HMM, který poskytuje výkon blízký teoretickému limitu i při provozu na levných síťových clusterech.

Hlavní výsledky výzkumu byly využity na katedře bezpečnosti informačních technologií Technologického institutu Jižní federální univerzity v Taganrogu při provádění řady výzkumných a vývojových prací pro státního zákazníka, vědecký výzkum podpořený grantem

RFBR, stejně jako společný grant Ministerstva školství a vědy Ruské federace a Německé akademické výměnné služby (DAAD).

Spolehlivost získaných výsledků je potvrzena úplností a správností teoretických zdůvodnění a výsledky experimentů provedených pomocí programů vyvinutých v dizertační práci.

Publikace

K tématu disertační práce je vydáno 12 publikací, z toho 11 vědeckých článků a abstraktů zpráv a jeden certifikát o registraci počítačového programu. V časopise „News of the Taganrog State Radio Engineering University (TRTU)“ byly v letech 2003-2005 publikovány tři články. ze seznamu doporučeného Vyšší atestační komisí Ruské federace pro zveřejnění výsledků disertačních prací.

Hlavní výsledky práce byly hlášeny a diskutovány na adrese:

1) Mezinárodní vědecké a praktické konference "Informační bezpečnost", Taganrog, 2002, 2003, 2004 a; 2005

2) XXXIII. regionální konference mládeže "Problémy teoretické a aplikované matematiky", Jekatěrinburg, 2002

3) Konference fakulty Taganrog State Radio Engineering University, Taganrog, 2004 a 2005.

4) Seminář stipendistů programu "Michail Lomonosov", Bonn (Německo), 2005

5) Mezinárodní konference "Počítačová věda a informační technologie", Karlsruhe (Německo), 2006

Struktura a rozsah disertační práce

Disertační práce se skládá z úvodu, pěti kapitol, závěru, seznamu literatury (113 titulů) a přílohy. Celkový objem práce - 158 stran. Příspěvek obsahuje grafický materiál v počtu 19 obrázků, obsahuje 28 stran přihlášek.

5.4 Závěry

1) Byla provedena experimentální studie účinnosti algoritmu paralelního učení HMM na síťovém clusteru. Data z výzkumu demonstrují možnost implementace algoritmu na levných síťových klastrech s malým počtem uzlů při dosažení hodnot zrychlení blízkých teoretickému limitu.

2) Ve studiích využívajících multiprocesorový cluster je pozorováno zvýšení zrychlení blízké lineárnímu, dokud nedosáhne praktického limitu. To svědčí o vysoké efektivitě využití výpočetních zdrojů při paralelizaci.

Závěr

V souladu se stanovenými cíli byly v důsledku výzkumu a vývoje získány tyto hlavní vědecké výsledky:

1) Byl vyvinut IDS model založený na detekci anomálií v sekvencích systémových volání pocházejících z řízených procesů. Principy zabudované v systému umožňují detekovat průniky, jejichž znaky (podpisy) nejsou a priori známy. Model využívá profily normálního chování řízených procesů ve formě HMM. Model je založen na metodě, která umožňuje lokalizovat anomálii způsobenou průnikem až po systémové volání na základě podmíněné pravděpodobnosti jejího výskytu. Byla studována možnost integrace modelu do kompozice komplexního SOW.

2) Byla provedena experimentální studie závislosti výkonových ukazatelů detekce narušení na zvoleném počtu stavů HMM. Bylo zjištěno, že proces učení HMM často konverguje k místnímu minimu Objektivní funkce. Tato skutečnost dále komplikuje proces učení, protože existuje další potřeba hledat hodnotu počtu stavů, která poskytuje potřebné úrovně pravděpodobností správné detekce a falešných poplachů. Úkol zkrácení doby tréninku HMM se tak stává ještě aktuálnější.

3) Byl vyvinut paralelně škálovatelný algoritmus učení HMM, který umožňuje rychlejší učení než v současnosti široce používaný sekvenční Baum-Welchův algoritmus pro více sekvencí pozorování, stejně jako jeho softwarová implementace založená na technologii MPI. Použití algoritmu je možné v jiných aplikacích SMM, například v rozpoznávání řeči, optickém rozpoznávání textu a genetice.

4) Byla provedena experimentální studie účinnosti algoritmu paralelního učení HMM. Data z výzkumu demonstrují možnost implementace algoritmu na levných síťových klastrech se zrychlením blízkým teoretické hranici.

1. Národní institut pro standardy a technologie. e-zdroj. - Dostupné: http://nvd.nist.gov.

2. Deset nejdůležitějších bezpečnostních trendů nadcházejícího roku / Edited by S. Northcutt et al. - Institut SANS, 2006. - 3 s. - Dostupné: http://www.sans.org/resources/10securitytrends.pdf.

3. Kumar, S. Klasifikace a detekce počítačových narušení: disertační práce. - Purdue university, 1995. - 180 s.

4. Lukatsky, A. V. Detekce útoků. - Petrohrad: BHV-Petersburg, 2001. -624 s.

5. Miloslavskaja, N. G., Tolstoj, A. I. Intranety: detekce narušení: Proc. příspěvek na vysoké školy. - M.: Unity-Dana, 2001. - 587 s.

6. Lundin, E., Jonsson, E. Přehled výzkumu detekce narušení: Technická zpráva č. 02-04. - Goteborg: Chalmers University of Technology, 2002 - 43 s.

7. Denning, D. E. Model detekce narušení // Transakce IEEE v softwarovém inženýrství. - 1987. -Ne. 2. - S. 222-232.

8. Hansen, S. E., Atkins, E. T. Automated system monitoring and thnotification with swatch, Proc. 7 Konference správy systému (LISA 93). - Monterey. - 1993. - S. 101-108.

9. Abramov, E. S. Vývoj a výzkum metod pro konstrukci systémů detekce útoků: dis. . cand. tech. Vědy: 13.05.19 - Taganrog, 2005. - 140 s.

10. Abramov, E. S. Vývoj metod pro funkční testování SOA // Sborník vědeckých prací XI Všeruské vědecké konference "Problémy informační bezpečnosti v systému vysokoškolského vzdělávání." - M.: MEPhI, 2004.

11. Wu, S., Manber, U. Rychlé vyhledávání v textu s chybami. Technická zpráva TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 s.

12. Lindqvist, U., Porras, P. A. Detectioning computer and network misuse through the production-based expert system toolset (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, Kalifornie, květen 1999. - IEEE Col. Soc., 1999, -P. 141-161.

13. Snort – de facto standard pro detekci/prevenci narušení. - 2006. - Dostupné: http://snort.org

14. Uživatelská příručka Snort™. 2.6.0. - Sourcefire, Inc., 2006. - Dostupné: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf

15. Habra, N., Le Charlier, B., Mounji, A., Mathieu, I. ASAX: Softwarová architektura a jazyk založený na pravidlech pro analýzu univerzální auditní stopy // Evropské symposium o výzkumu v počítačové bezpečnosti (ESORICS). - 1992. - S. 435450.

16. Porras, P. A., Neumann, P. G. Emerald: Monitoring událostí umožňující reakce na anomální živé poruchy. - Proc. 20. Národní konference o bezpečnosti informačních systémů. - Baltimore: NIST/NCSC, 1997. - S. 353-365.

17. Vigna, G., Eckmann S. T., Kemmerer, R. A. The STAT tool suite, Proc. DISCEX 2000. - IEEE Press, 2000.

18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base Intrusion detection approach, IEEE Trans. Softwarové inženýrství. - Ne. 3, sv. 21.- 1995.- S. 181-199.

19. Sun, J. Bezpečnostní audit BSM pro servery Solaris. Praktická certifikace bezpečnostních náležitostí GIAC. - 2003. - 12 s. - Dostupné: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf

20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 s. - Dostupné: http://citeseer.ist.psu.edu/452116.html

21. Kumar, S., Spafford, E. H. Model porovnávání vzorů pro detekci nesprávného použití. //Proc. 17. národní konference o počítačové bezpečnosti. - 1994. - S. 11-21.

22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion-Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Sv. 14, č. 6.-P. 533-567.

23. Fink, G., Levitt, K. Vlastnostně založené testování privilegovaných programů, Proc. 10. výroční konference počítačových bezpečnostních aplikací. - IEEE, 1994. - S. 154-163.

24. Ko, C., Fink, G., Levitt, K. Automatizovaná detekce zranitelností v privilegovaných programech monitorováním provádění, Proc. 10. výroční konference počítačových bezpečnostních aplikací. - IEEE Comp. soc. Tisk, 1994. - S. 134144.

25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. A sense of self for Unix process, Proc. 1996 IEEE Symposium o bezpečnosti a soukromí. - IEEE Comp. soc. Press, 1996. - S. 120-128.

26. Ghosh, A. K., Wanken, J., Charron, F. Detecting anomalous and unknown intrusion against programs, Proc. Výroční konference počítačových bezpečnostních aplikací (ACSAC "98), prosinec 1998. - 1998. - S. 259-267.

27 Eslcin, E. a kol. Generování adaptivního modelu pro detekci narušení. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athens, Greece, 2000. - 2000. - Dostupné: http://citeseer.ist.psu.edu/eskinOOadaptive.html.

28. Okazaki, Y., Sato, L, Goto, S. Nová metoda detekce narušení založená na profilování procesů. //Proc. IEEE Symposium on Applications and the Internet (SAINT "02). - 2002. - S. 82-91.

29 Cho, S.-B. Začlenění technik soft computingu do pravděpodobnostního systému detekce narušení. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, č. 2, 2002. - S. 154-160.

30. Yin, Q., Shen, L., Zhang, R., Li, X. Nová metoda detekce narušení založená na behaviorálním modelu. //Proc. 5 World Congress on Intelligent Control and Automation, 15.-19. června 2004, Hangzhou, P. R. Čína. - 2004. - S. 4370-4374.

31. Gudkov, V., Johnson, J. E. Nový přístup k monitorování sítě a detekci narušení // CoRR. - 2001. - Sv. cs.CR/0110019. - Dostupné: http://arxiv.org/abs/cs.CR/0110019.

32. Gudkov, V., Johnson, J. E. Multidimenzionální monitorování sítě pro detekci narušení, CoRR. - 2002. - Sv. cs.CR/0206020. - Dostupné: http://arxiv.org/abs/cs.CR/0206020.

33. Barford, P., Plonka, D. Charakteristika anomálií síťového provozu, Proc. 1st ACM SIGCOMM Workshop on Internet Measurement, San Francisco, Kalifornie, USA, 1.-2. listopadu 2001. - ACM, 2001. - S. 69-73.

34. Smaha, S. E. Haystack: systém detekce narušení, Proc. 4. konference IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.

35. Lane, T., Brodley, C. E. Sequence matching and learning in anomaly detection for computer security, Proc. Workshop AAAI-97 o přístupech umělé inteligence k odhalování podvodů a řízení rizik. - 1997. - S. 43-49.

36. Lane, T., Brodley, C. E. Aplikace strojového učení na detekci anomálií, Proc. 12. Národní konference o bezpečnosti informačních systémů. - Sv. 1. - Gaithersburg, MD: NIST, 1997. - S. 366-380.

37. Lane, T. Filtrační techniky pro rychlou klasifikaci uživatelů, Proc. Společný seminář AAAI-98/ICML-98 o přístupech umělé inteligence k analýze časových řad. - Menlo Park, CA: AAAI Press, 1998. - S. 58-63.

38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection, Proc. 5. konference ACM o počítačové a komunikační bezpečnosti. - doc. for Computing Machinery, 1998. - S. 150158.

39. Lane, T. Hidden Markov modely pro modelování rozhraní člověk/počítač, Proc. IJCAI-99 Workshop o učení o uživatelích. - 1999. - S. 35-^4.

40. Debar, H., Becker, M., Siboni, D. Komponenta neuronové sítě pro systém detekce narušení, Proc. 1992 IEEE Comp. soc. Symposium o výzkumu v oblasti bezpečnosti a soukromí. - Los Alamos, CA: IEEE Comp. soc. Press, 1992. -P. 240-250.

41. Cannady, J. Umělé neuronové sítě pro detekci zneužití, Proc. 1998 Národní konference o bezpečnosti informačních systémů (NISSC "98). - 1998. - S. 443-456.

42. Sidorov, I. D., Anikeev, M. V. Neuronová síť detekce anomálního uživatelského chování v režimu konzole OS Linux // Sborník příspěvků z VI mezinárodní vědecké a praktické konference „Informační bezpečnost“. - Taganrog: TRTU, 2004. - S. 159-161.

43. Tumoian, E., Anikeev, M. Síťová detekce pasivních skrytých kanálů v TCP/IP // LCN *05: Proc. IEEE Conf. o lokálních počítačových sítích. - Washington, DC: IEEE Comp. Soc., 2005 - S. 802-809.

44. Elman, J. L. Hledání struktury v čase // Kognitivní věda. - 1990. - Sv. 14, č. 2. - S. 179-211.

45. Fink, G., Ko, C., Archer, M., Levitt, K. K testovacímu prostředí založenému na vlastnostech s aplikacemi pro software kritický z hlediska bezpečnosti // Proceedings of the 4th Irvine Software Symposium. - 1994. - S. 39-48.

46. ​​​​Warrender, C., Forrest, S., Pearlmutter, B. A. Detekce narušení pomocí systémových volání: alternativní datové modely, Proc. IEEE Symposium o bezpečnosti a soukromí. - Oakland, CA: IEEE Comp. Soc., 1999. - S. 133-145.

47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Detekce narušení pomocí sekvencí systémových volání // Journal of Computer Security. - 1998. - Sv. 6, č. 3.-P. 151-180.

48. Cohen, W. W. Rychlá efektivní redukce pravidel // Machine Learning: the 12th Intl. konference. - Morgan Kaufmann, 1995. - S. 115-123.

49. Yin, Q.-B. a kol. Detekce narušení založená na skrytém Markovově modelu. - Proc. 2nd Intl. Konference o strojovém učení a kybernetice. Xi'an, listopad. 2003. - IEEE, 2003. - svazek 5. - str. 3115-3118.

50. Wespi, A., Dacier, M., Debar, H. Systém detekce narušení "založený" na algoritmu zjišťování vzorů TEIRESIAS, Proc. EICAR"99. - Aalborg, Dánsko: Aalborg Universitet, 1999.- S. 1-15.

51. Rigoutsos, I., Floratos, A. Objev kombinatorických vzorů v biologických sekvencích: algoritmus TEIRESIAS // Bioinformatika. - 1998. - Vol.14, No. 1.-P. 55-67.

52. Marceau, C. Charakterizace chování programu pomocí vícedélkových N-gramů, Proc. 2000 workshop na téma Nová bezpečnostní paradigmata. - Ballycotton, County Cork, Irsko: ACM Press, 2000. - S. 101-110.

53. Ghosh, A., Wanken, J., Charron, F. Detekce anomálních a neznámých průniků proti programům, Proc. 1998 Výroční konference počítačových bezpečnostních aplikací (ACSAC "98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - S. 259-267.

54. Ghosh, A., Schwartzbard, A., Schatz, M. Profily chování výukového programu pro detekci narušení, Proc. 1. workshop USENIX o detekci narušení a monitorování sítě. - 1999. -P. 51-62.

55. Yeung, D., Ding, Y. Detekce narušení hostitele pomocí dynamických a statických behaviorálních modelů // Rozpoznávání vzorů. - 2002. - Sv. 36. - S. 229243.

56. Al-Subaie, M., Zulkernine, M. Účinnost skrytých Markovových modelů nadneurálních sítí při detekci narušení anomálií, Proc. 30. výroční mezinárodní konference o počítačovém softwaru a aplikacích (COMPSAC). - Chicago: IEEE CS Press, 2006. - S. 325-332.

57. Heberlein, L. T. Monitor zabezpečení sítě. konečná zpráva. - Davis, CA: UC Davis, 1993. - 53 s. - Dostupné: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.

58. Paxson, V. Bro: systém pro detekci síťových narušitelů v reálném čase // Počítačové sítě (Amsterdam, Nizozemsko: 1999). - 1999. - Sv. 31, č. 23-24.-str. 2435-2463.

59. Ilgun, K. USTAT: systém detekce narušení v reálném čase pro UNIX, Proc. 1993 IEEE Symposium o výzkumu v oblasti bezpečnosti a soukromí. - Oakland, CA: IEEE Comp. Soc, 1993. - S. 16-28.

60. Staniford-Chen, S. a kol. GrIDS - Grafický systém detekce narušení pro velké sítě // Proc. 19. Národní konference o bezpečnosti informačních systémů. - 1996. - S. 361-370.

61. Jou, Y. F, Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Architektura návrhu škálovatelného systému detekce narušení pro vznikající síťovou infrastrukturu. Technická zpráva CDRL A005. - Releigh: North Carolina State University, 1997. - 42 s.

62. Somayaji, A., Forrest, S. Automated response using system-call delays, Proc. USENIX Security Syposium. - Denver: USENIX, 2000. - S. 185-197.

63. Rabiner, JI. R. Skryté Markovovy modely a jejich aplikace ve vybraných aplikacích v rozpoznávání řeči: Recenze // TIIER. - 1989. - v. 77, č. 2. -S. 86-120.

64. Baum, L. E., Sell, G. R. Growth functions for transformations and manifolds, Pacific Journal of Mathematics. - 1968. - Sv. 27, č. 2. - S. 211-227.

65. Sun, J. Bezpečnostní audit BSM pro servery Solaris. - Bethesda, Mayland: SANS, 2003. - 12 s. - Dostupné: http://www.securitydocs.com/go/2329.

66. E-resource projektu Linux BSM. - 2001. - Dostupné: http://linuxbsm.sourceforge.net.

67. TrustedBSD - OpenBSM E-zdroj. - 2006. - Dostupné: http://www.trustedbsd.org/openbsm.html.

68. Kritéria hodnocení důvěryhodného počítačového systému, DoD 5200.28-STD. - Fort Meade, MD: Národní centrum počítačové bezpečnosti, 1985. - 116 s. - Dostupné: http://csrc.nist.gov/publications/history/dod85.pdf.

69. Počítačové imunitní systémy – datové sady a softwarový elektronický zdroj. - Albuquerque, NM: University of New Mexico, 2004. - Dostupné: http://www.cs.unm.edu/~immsec/data-sets.htm.

70. Baras, J. S., Rabi, M. Detekce narušení s podporou vektorových strojů a generativních modelů. Technická zpráva TR 2002-22. - College Park: University of Maryland, 2002. - 17 s.

71. Hoang, X. D., Hu, J., Bertok, P. Vícevrstvý model pro detekci narušení anomálií pomocí programových sekvencí systémových volání. - Proc. ICON "2003. 11. konference IEEE o sítích. - IEEE, 2003. - S. 531-536.

72. Raj wade, A. Některé experimenty se skrytými Markovovými modely. technická zpráva. - University of Florida, 2005. - 18 s. - Dostupné: http://www.cise.ufl.edu/~avr/HMM.pdf.

73. Gtinter, S., Bunlce, H. Optimalizace počtu stavů, trénovacích iterací a Gaussiánů v rozpoznávači ručně psaných slov na bázi HMM, Proc. 7th Intl. Conf. o analýze a uznávání dokumentů, Edinburgh, Skotsko. - 2003. - Sv. 1. - S. 472-476.

74. Anikeev, M. V. Volba dostatečného počtu stavů ve skrytých Markovových modelech pro řešení problémů detekce anomálií // Izvestiya TRTU. -2005. -#9. -S. 133.

75. Anikeev, M. V. Metoda detekce anomálií založená na skrytých Markovových modelech s hledáním optimálního počtu států // Sborník příspěvků ze VII. mezinárodní vědecké a praktické konference „Informační bezpečnost“. - Taganrog, TRTU: 2005. - S. 58-60.

76. Noise reduction in speech application / Edited by G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 s.

77. Ronzhin, A. JL, Karpov, A. A., Li, I. V. Automatický ruský systém rozpoznávání řeči SIRIUS // Vědecký a teoretický časopis "Artificial Intelligence". - 2005. - č. 3. - S. 590-601.

78. Eickeller, S., Mtiller, S., Rigoll, G. Rozpoznávání JPEG komprimovaných obrázků obličeje na základě statistických metod // Image and Vision Computing. - 2000. - Sv. 18.-str. 279-287.

79. Elms, A. J., Procter, S., Illingworth, J. Výhoda použití a přístupu založeného na HMM pro rozpoznávání faxovaných slov // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - Ne. 1(1). - S. 18-36.

80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. Zobecněný skrytý Markovův model pro rozpoznávání lidských genů v DNA, Proc. 4th Intl. Conf. o inteligentních systémech pro molekulární biologii. - 1996. - S. 134-142.

81. Henderson, J., Salzberg, S., Fasman, K. H. Hledání genů v DNA se skrytým Markovovým modelem // Journal of Computational Biology. - 1997. - Sv. 4, č. 2.-P. 127-142.

82. Mottl, V. V., Muchnik, I. B. Skryté Markovovy modely ve strukturální analýze signálů. -M.: Fizmatlit, 1999. - 352 s.

83. Turin, W., van Nobelen, R. Hidden Markov modeling of flat fading channels // IEEE Journal on Selected Areas is Communications. - 1998. - Sv. 16.-str. 1809-1817.

84. Nechyba, M. C., Xu, Y. Stochastic podobnost pro validaci lidských kontrolních strategických modelů, IEEE Trans. Robotika a automatizace. - 1998. - Sv. 14, vydání 3, -P. 437-451.

85. Mangold, S., Kyriazakos, S. Aplikace technik rozpoznávání vzorů založených na skrytých Markovových modelech pro lokalizaci polohy vozidel v celulárních sítích, Proc. Konference o automobilové technologii IEEE. - 1999. - Sv. 2. - S. 780-784.

86. Chari, S. N., Cheng, P. C. BlueBoX: hostitelský systém detekce narušení založený na zásadách // ACM Trans, o zabezpečení informací a systému. - 2003. - Sv. 6. - S. 173-200.

87. Kang, D.-K., Fuller, D., Honavar, V. Učení klasifikátorů pro detekci zneužití pomocí pytle reprezentace systémových volání // Lecture Notes in Computer Science. -2005, sv. 3495.-P. 511-516.

88. Valdes, A., Skinner, K. Probabilistic alert correlation // Lecture Notes in Computer Science. - 2001. - Sv. 2212.-P. 54-68.

89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Informační modelování pro agregaci zpráv o narušení, Proc. konference DARPA Information Survivability Conference and Exposition (DISCEX II). Anaheim: IEEE Comp. Soc., 2001. - S. 329-342.

90. Cuppens, F., Miége, A. Korelace výstrah v kooperativním rámci detekce narušení // Symposium IEEE o bezpečnosti a soukromí. - 2002. -P. 187-200.

91. Turin, W. Jednosměrné a paralelní Baum-Welchovy algoritmy, IEEE Trans. Zpracování řeči a zvuku. - 1998. - Sv. 6, vydání 6. - S. 516523.

92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementace skrytých Markovových modelů v hardwarové architektuře, Proc. Intl. Setkání informatiky ENC "01, Aguascalientes, Mexiko, 15.-19. září 2001. - Vol. II. -2001. - S. 1007-1016.

93. Anikeev, M., Makarevich, O. Paralelní implementace Baum-Welchova algoritmu // Proc. Workshop on Computer Science and Information Technologies (CSIT "2006), Karlsruhe, Německo, 28.-29. září 2006. - Vol. 1. - Ufa: USATU, 2006. - S. 197-200.

94. E-zdroj rozhraní pro předávání zpráv. - 2007. - Dostupné: http://www-unix.mcs.anl.gov/mpi.

95 Argonne National Laboratory. Oddělení matematiky a informatiky. E-zdroj. - 2007. - Dostupné: http://www.mcs.anl.gov.

96. Domovská stránka MPICH2. E-zdroj. - 2007. - Dostupné: http://www-unix.mcs.anl.gov/mpi/mpich.

97. Sh. Gary, M., Johnson, D. Počítačové stroje a těžko řešitelné problémy. - M.: Mir, 1982. - 412 s.

98. Doporučení ITU-TS Z.120: Tabulka sekvencí zpráv (MSC), 04/2004. - Geneva: International Telecommunication Union, 2004. - 136 s.

99. Shpakovsky, G. I., Serikova, N. V. Programování pro víceprocesorové systémy ve standardu MPI. - Minsk: BGU, 2002. - 323 s.