Комбінований метод та засоби виявлення вторгнень на основі еволюційних механізмів штучного імунітету
Розробка математичного та програмного забезпечення для виявлення аномалій і вторгнень у комп’ютерні системи та мережі. Особливості застосування алгоритмів штучного імунітету для виявлення модифікованих вторгнень на прикладі систем GASSATA, LYSIS та CDIS.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | автореферат |
Язык | украинский |
Дата добавления | 26.08.2014 |
Размер файла | 46,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ
“КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”
АВТОРЕФЕРАТ
дисертації на здобуття наукового ступеня кандидата технічних наук
КОМБІНОВАНИЙ МЕТОД ТА ЗАСОБИ ВИЯВЛЕННЯ ВТОРГНЕНЬ НА ОСНОВІ ЕВОЛЮЦІЙНИХ МЕХАНІЗМІВ ШТУЧНОГО ІМУНІТЕТУ
Спеціальність 01.05.03 - Математичне та програмне забезпечення обчислювальних машин і систем
Ху Чженбін (Китайська Народна Республіка)
Київ - 2006
Дисертація є рукописом.
Робота виконана в Національному технічному університеті України “Київський політехнічний інститут”, на кафедрі обчислювальної техніки
Науковий керівник: доктор технічних наук, професор Широчин Валерій Павлович, Національний технічний університет України “КПІ”, професор кафедри обчислювальної техніки
Офіційні опоненти: доктор технічних наук, Нестеренко Борис Борисович, Інститут математики Національної академії наук України, заступник директора
кандидат технічних наук, Алішов Надір Ісмаіл-огли, Інститут кібернетики ім. В.М. Глушкова Національної академії наук України, провідний науковий співробітник
Провідна установа: Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова Національної академії наук України, відділ спеціалізованих засобів моделювання
Захист відбудеться “__27__” __березня_____2006 р. у 16.30 на засіданні спеціалізованої Ради Д 26.002.02 при Національному технічному університеті України “КПІ” за адресою: Київ, пр. Перемоги, 37, корп. 18, ауд. 306.
Відзиви на автореферат у двох екземплярах, завірені печаткою установи, просимо надсилати за адресою: 03056, Київ, пр. Перемоги, 37, вченому секретареві НТУУ КПІ.
З дисертацією можна ознайомиться в бібліотеці Національного технічного університету України “Київський політехнічний інститут”.
Автореферат розісланий “21” лютого 2006 р.
Вчений секретар спеціалізованої ради, кандидат технічних наук, доцент М.М. Орлова
АНОТАЦІЯ
Ху Чженбін. “Комбінований метод та засоби виявлення вторгнень на основі еволюційних механізмів штучного імунітету” - Рукопис.
Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 01.05.03 - математичне і програмне забезпечення обчислювальних машин і систем. Національний технічний університет України “Київський політехнічний інститут”, Київ, 2006 р.
Дисертаційна робота присвячена актуальній темі розробці математичного та програмного забезпечення для виявлення аномалій і вторгнень у комп'ютерні системи та мережі, таких, що змінюють свій характер. Досліджено особливості і результати застосування генетичного алгоритму і алгоритмів штучного імунітету (ШІ) для вирішення задачі виявлення модифікованих вторгнень у комп'ютерні системи і мережі на прикладі сучасних систем GASSATA, LYSIS та CDIS.
Показано недоліки існуючих підходів та перспективи гібридизації методів і засобів виявлення вторгнень та аномалій на основі використання машин станів і еволюційних процедур ефективної селекції детекторів вторгнень у концепції ШІ. Виконано наукове обґрунтування та розробку кількох локальних машин станів (ЛМС). які ілюструють поводження log-серверу та мережених шлюзів, що спостерігається в шарі протоколу IP з деякими спрощеннями.
Досліджені алгоритмічні основи виявлення відповідності або невідповідності символьних рядків, що є описами детекторів і агентів вторгнення. Запропоновано аналітичний метод настроювання засобів генерації детекторів для виявлення “нерідного поводження” з використанням алгоритмів негативної селекції, активізації дете5кторів на основі спорідненого зв'язування, застосування генетичного оператору для породження та мутації найбільш активних детекторів.
Представлено результати розробки в середовищі UML архітектури і окремих програмних компонентів системи виявлення вторгнень на основі принципів ШІ. Запропоновано комбінований метод завдання нормальних шаблонів поводження на основі ЛМС і перспективного методу генерації і добору детекторів вторгнень на основі еволюційних механізмів штучного імунітету, що дозволяє скороти обсяги накопиченої інформації щодо детекторів вторгнень і реалізувати механізм виявлення нових модифікованих атак.
Ключові слова: програмні системи захисту, виявлення вторгнень, штучний імунітет, генетичний алгоритм, локальна машина станів, детектори вторгнень, виявлення аномалій, відповідність r-споріднення, пептидне представлення.
АННОТАЦИЯ
Ху Чженбин. “Комбинированный метод и средства обнаружения вторжений на основе эволюционных механизмов искусственного иммунитета” - Рукопись.
Диссертация на соискание ученой степени кандидата технических наук по специальности 01.05.03 - математическое и программное обеспечение вычислительных машин и систем. Национальный технический университет Украины “Киевский политехнический институт”, Киев, 2006 г.
Диссертационная работа посвящена актуальной теме: разработке математического и программного обеспечения компьютерных систем для обнаружения аномалий и вторжений, которые меняют свой характер. Исследованы особенности и результаты применения эволюционных механизмов и алгоритмов искусственного иммунитета (ИИ) для решения задач обнаружения вторжения в компьютерные системы и сети, на примерах современных систем GASSATA, LYSIS и CDIS.
Показаны недостатки существующих подходов и перспективы гибридизации методов и средств обнаружения вторжений и аномалий, например, на основе машины состояний, и эволюционных процедур эффективной селекции детекторов вторжения в концепции ИИ. Выполнено научное обоснование и разработка нескольких локальных машин состояний (ЛМС), которые имитируют поведение log-сервера и шлюзов компьютерной сети, наблюдаемое в слое протокола IP с некоторыми упрощениями.
Исследованы алгоритмические основы выявления соответствия или несоответствия символьных строк, которые являются описаниями детекторов и агентов вторжения. Предложен аналитический метод настройки средств генерации детекторов “неродного поведения” на основе алгоритма отрицательной селекции.
В результате проведенных исследований предложен и обоснован комбинированный метод обнаружения, который предусматривает несколько стадий обработки данных и генерации специальных детекторов, способных обнаружить, как уже известные, так и новые модифицированные вторжения (аномалии).
На стадии контроля (мониторинга) путем использования машины состояний определяются состояния, а также события изменения состояний и их вероятности, связанные с профилями нормальной работы пользователей и их программ. На стадии верификации алгоритм отрицательной селекции используется для предотвращения ошибок связывания с “родным” и ложных тревог путем отбора генерируемых “незрелых” детекторов на “родных” данных, включенных машиной состояний в самоопределение шаблона нормального поведения. На стадии идентификации (анализа) новые детекторы используются для обнаружению “чужого” поведения - вторжения, в том числе, не предвиденного заранее. Эффективные “зрелые” детекторы, отличающиеся высокой частотой обнаружения, порождают детекторы памяти и остаются в библиотеке (генотеке) ИИ для возможной эмиссии детекторов в моменты кризисов. На стадии отражения вторжения в условиях превышения порога совместной активации детекторов с помощью внешнего сигнала “ко-стимуляции” (co-stimulation) выполняется эмиссия детекторов на основе клонирования детекторов из генотеки и их соматической гипер-мутации, что позволяет создать множество незрелых детекторов с существенно измененными характеристиками. На стадии формирования памяти иммунитета выполняется уничтожение - селекция образов детекторов в генотеке, уровень активации которых со временем падает до минимального уровня, что обеспечивает эволюцию генотеки, сохраняющей минимальное число образов-генотипов эффективных детекторов и образов-агентов вторжений.
Представлены результаты разработки в среде UML архитектуры и отдельных программных компонентов системы на основе комбинированного метода обнаружения вторжений, позволяющего сократить объемы накопленной информации, относительно детекторов вторжений, и реализовать механизм выявления новых модифицированных атак.
Ключевые слова: программные системы защиты, обнаружение вторжений, искусственный иммунитет, генетический алгоритм, локальная машина состояний, детекторы вторжения, обнаружение аномалий, соответствие r-родства, пептидное представление.
програмний математичний комп'ютерний імунітет
ANNOTATION
Hu Zhengbing. “The Combined Method and Means of Intrusion Detection on the Basis Evolutionary Mechanisms of Artificial Immunity”. - Manuscript.
The dissertation on competition of scientific degree of candidate of technical science. On specialty 01.05.03 - “Mathematical and Software of Computers and Systems”. National Technical University of Ukraine “Kiev Polytechnic Institute”, Kiev, 2006.
The dissertation work is dedicated to the vital topic: development of mathematical and software of computer systems for anomaly intrusion detection. We have researched the special features and results of evolutionary mechanisms and algorithms of artificial immunity (AI) and applied to the solution of problems of intrusion detection in the computer systems and networks based on the contemporary systems GASSATA, LYSIS and CDIS.
In the dissertation we have represented the results of research architecture and separate program components of the combined intrusion system on the basis of the principle of AI. We have proposed the combined method for the task of “normal user behavior” and programs on the basis LMS and promising method for generation and selection of the intrusion detectors with the use of negative selection and clone selection and mutated detectors, which can reduce the volumes of accumulated information, relative to the intrusion detectors, and can realize to detect new modified attacks.
Key words: Program protective systems, intrusion detection, artificial immunity, genetic algorithm, local machine states, intrusion detectors, anomaly detection, r-contiguous match, peptide presentation.
ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
Актуальність теми. Сучасні програмні засоби забезпечення безпеки, що реалізують методи сигнатурного аналізу для виявлення вторгнень, або методи статистичного аналізу для виявлення аномалій не можуть забезпечити гарантованого або навіть прийнятного захисту кібернетичного простору комп'ютерних систем і мереж від наростаючої загрози все нових і різноманітних атак з боку швидко прогресуючих спеціалістів та аматорів, у тому числі терористів.
Увага дослідників і розробників спеціалізованого програмного забезпечення для захисту комп'ютерних систем і мереж все частіше звертається до евристичних методів, нейромережевих технологій і до інших еволюційних механізмів, що довели свою ефективність у біологічних системах, забезпечуючи їхнє виживання в самих складних умовах зовнішнього середовища, що швидко змінюється. До них відносяться генетичні алгоритми і відповідні еволюційні механізми: селекції, схрещування і мутації, еволюційні обчислення, еволюційне моделювання і механізми штучного імунітету (ШІ). Значна кількість початкових розробок у цих областях показали серйозні науково-технічні проблеми, що існують у розвитку і реалізації еволюційних підходів в задачах виявлення вторгнень в комп'ютерні системи та мережі.
Дослідження відомих методів та алгоритмів виявлення вторгнень, у тому числі, алгоритму негативної селекції в концепції штучного імунітету, показали необхідність рішення і подолання ряду складних і актуальних науково-технічних проблем, зв'язаних з: безперервним збільшенням обсягів пам'яті для збереження інформації про вторгнення, складністю створення або вибору необхідних детекторів для виявлення, значними складностями і витратами часу на обчислення, що є перешкодою для виявлення вторгнень у реальному часі, високим рівнем позитивних помилок і низьким рівнем виявлення.
Дисертаційна робота присвячена актуальній темі: підвищення ефективності прикладного математичного і програмного забезпечення для виявлення аномалій та вторгнень, що мають місце в комп'ютерних системах та мережах і швидко змінюють свій характер. Запропонована комбінація відомого методу завдання нормальних шаблонів поведінки користувачів та їх програм на основі машини станів і перспективного методу генерації і відбору детекторів вторгнень на основі еволюційних механізмів штучного імунітету: негативної селекції детекторів і їх розповсюдження з використанням генетичного оператору. Комбінований метод дозволяє скоротити обсяги інформації, що зберігається, і стає можливим виявити нові модифіковані вторгнення в комп'ютерні системи і мережі.
Зв'язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконувалася в 2001-2005 роках відповідно до планів науково-дослідних робіт кафедри обчислювальної техніки НТУУ “КПІ” і в розвиток досліджень, виконаних у лабораторії “Проблем безпеки комп'ютерних систем” кафедри з НДР № 0194UO38973 “Концепція і концептуальні підходи, нормативно-правова база захисту інформації в комп'ютерних системах”, а також НДР за планом Фонду фундаментальних досліджень України № 12.3/81 “Інформаційне забезпечення комп'ютерних засобів контролю і діагностики великих енергооб'єктів на основі систем штучного інтелекту майбутніх поколінь”, номер держреєстрації № 0194UO38690.
Мета та завдання дослідження. Метою роботи є скорочення обсягів даних щодо вторгнення і підвищення ефективності засобів виявлення вторгнень у комп'ютерні системи та мережі на основі комбінованого методу з використанням машин станів і генерації детекторів для виявлення вторгнень на основі розширеного складу еволюційних механізмів штучного імунітету.
Основні задачі дослідження, відповідно до поставленої мети роботи, полягають у наступному.
Порівняльний аналіз методів і засобів виявлення аномалій поводження і розподілених атак, класифікація мережних і машинно-орієнтованих систем виявлення вторгнень (СВВ) з метою визначення перспективного підходу до організації спільного керування безпекою розподілених комп'ютерних систем.
Аналіз застосування і дослідження генетичного алгоритму й еволюційних механізмів штучного імунітету для задач прогнозування поводження користувачів та їх програм з метою виявлення вторгнень у комп'ютерні системи і мережі з наступним обґрунтуванням перспективного комбінованого методу виявлення вторгнень на основі використання еволюційних механізмів і відповідних алгоритмів у концепції ШІ.
Дослідження і розробка моделей “штатного” поводження і виявлення аномалій на основі машин станів для формального представлення “рідного” поводження в комбінованій моделі виявлення вторгнень з метою створення ряду локальних машин станів поводження робочих станцій і шлюзів мережі, наприклад, у рамках TCP/IP протоколів.
Дослідження і розробка форм представлення і методів виявлення відповідності власних і невласних профілів: рядків-детекторів і рядків-агентів у концепції ШІ, з метою визначення їхньої ефективності для використання в задачах виявлення розподілених вторгнень.
Розробка концептуальної моделі й архітектури дворівневої системи виявлення розподілених вторгнень і її окремих програмних компонентів на основі розширеного складу механізмів ШІ, що реалізують перспективний комбінований метод і засоби спільного керування безпекою розподіленої комп'ютерної системи.
Досліджуваний у роботі комбінований метод виявлення вторгнень передбачає кілька стадій обробки даних і генерації спеціальних детекторів, здатних знайти, як вже відомі, так і нові вторгнення (аномалії). На стадії контролю (моніторингу) шляхом використання машини станів визначаються події зміни станів і відповідні імовірності, зв'язані з профілями нормальної роботи користувачів та їх програм, а потім ці дані використовуються алгоритмом негативної селекції для вилучення детекторів, що зв'язуються з профілями “свого”. На наступних стадіях ідентифікації та відсічі вторгнення активізуються детектори, які зв'язуються з профілями “чужого”. На їх основі формуються детектори пам'яті і створюються нові модифіковані детектори, які можуть виявити різні модифікації дій “чужого” - аномалії чи вторгнення, у тому числі, не передбачені заздалегідь. Мінімальний набір найбільш активних детекторів пам'яті, що підтвердили свою корисність, залишаються в бібліотеці (генотеці) детекторів для наступного масового розповсюдження (клонування) та мутації у випадку нових атак.
Показано, що реалізація цих механізмів ШІ і запропонованого методу забезпечить три важливі риси та характеристики сучасних великих програмних систем - розподіленість, адаптивність і простоту реалізації, а відповідно і надійність.
Об'єкт дослідження: організація цільового програмного забезпечення захисту інформації в комп'ютерних системах і мережах від модифікованих атак з боку зловмисників.
Предмет дослідження: методи і програмні засоби забезпечення захисту комп'ютерних систем і мереж від вторгнень на основі реалізації еволюційних підходів і відповідних механізмів.
Вірогідність отриманих результатів визначається коректністю використання аналітичних обґрунтувань і висновків, підтверджується даними комп'ютерного моделювання і їхнім високим збігом з теоретичними оцінками.
Методи дослідження. Теоретичні положення дисертації обґрунтовані на основі теорії множин, математичної логіки, теорії цифрових автоматів, теорії імовірностей і математичної статистики, теорії еволюційного моделювання і штучного імунітету, а також методів статистичної обробки експериментальних даних за результатами математичного й імітаційного моделювання.
Наукова новизна одержаних результатів полягає в розробці і науковому обґрунтуванні наступних положень:
- сформульовано і досліджено новий комбінований метод виявлення вторгнень у комп'ютерні системи і мережі, що використовує механізми аналізу нормального поводження на основі машини станів і добір нових детекторів вторгнень на основі негативної селекції і селекції детекторів пам'яті, що дозволяє скоротити обсяги інформації, що накопичується, і підвищити ефективність еволюційних механізмів добору;
- обґрунтовано спосіб представлення локальних машин станів для аналізу історій (трас) подій на основі розширення поняття недетермінованого кінцевого автомата, що відрізняється своєю здатністю виконувати переходи на основі подій і аргументів подій, і запам'ятовувати ці аргументи в перемінні станів;
запропоновано аналітичний метод настроювання засобів генерації детекторів вторгнень і визначення відповідних оцінок кількості детекторів для одержання достатнього рівня виявлення невласних шаблонів на малих і великих обсягах даних щодо вторгнення;
розроблено концептуальну модель і архітектуру системи виявлення вторгнень на основі ефективної реалізації локальних машин станів і еволюційних механізмів штучного імунітету, що дозволяють скоротити обсяги бібліотеки ефективних детекторів пам'яті і реалізувати механізм їх еволюції.
Практичне значення одержаних результатів полягає в розвитку й обґрунтуванні методики проведення досліджень в області використання еволюційних механізмів, і зокрема, штучного імунітету, для рішення практичних задач. Розроблено програми для дослідження окремих базових компонентів системи виявлення розподілених вторгнень на основі принципів штучного імунітету, що використані для розробки програмних засобів захисту і проведення навчальних занять за курсом “Захист інформації в комп'ютерних системах” на кафедрі обчислювальної техніки Національного технічного університету України “Київський політехнічний інститут”.
Результати роботи представлені також у підготовці відповідних практичних занять і курсів лекцій для студентів Уханьского державного технічного університету (м. Ухань, провінції Хубей, Китайська Народна Республіка).
Робота одержала Гранд підтримки № 2004-172 Спеціального Фонду підготовки молодих вчених за кордоном Міністерства освіти Китайської Народної Республіки, загальна кількість стипендіатів якого в усім світі не перевищує 300 чоловік.
Цінність результатів роботи для науки і практики визначається новизною досліджень в області використання еволюційних підходів і алгоритмів штучного імунітету для створення сучасного спеціалізованого програмного забезпечення, що не гарантує отримання оптимальних рішень, але може дати раціональне квазіоптимальне рішення багатьох теоретичних і практичних задач, у тому числі в питаннях безпеки розподіленої обробки інформації в комп'ютерних системах і мережах.
Концепція обліку невизначеностей зовнішнього середовища на основі еволюційних процедур добору найбільше функціонально пристосованих рішень і сімейств рішень (клонів), у тому числі для захисту складної комп'ютерної системи, є перспективним напрямком наукових досліджень, що обіцяють значні успіхи у вирішенні багатьох проблем та задач в областях, де найбільш важливими є такі властивості прикладного програмного забезпечення як: автономність, динамічність і розподіленість.
Особистий внесок здобувача. Основні результати роботи отримані автором самостійно. Авторові належать:
Нова розгорнута класифікація систем виявлення вторгнень, на основі якої виділене перспективний напрямок створення інтегрованих СВВ, що реалізують спільне керування безпекою в розподілених комп'ютерних системах.
Комбінований метод виявлення вторгнень, що використовує механізми аналізу нормального поводження на основі локальних машин станів і добір нових детекторів вторгнень на основі негативної селекції та селекції детекторів пам'яті, що дозволяє скоротити обсяги інформації, що накопичується, і підвищити ефективність еволюційних механізмів добору;
Аналітичний метод настроювання засобів генерації детекторів і визначення відповідної оцінки кількості детекторів для одержання достатнього рівня виявлення невласних шаблонів на малих і великих обсягах даних.
Апробація результатів дисертації. Матеріали і результати дисертації доповідалися й обговорювалися на 7-ми міжнародних наукових і науково-практичних конференціях і семінарах: 3-ій, 4-ій і 5-ій міжнародних науково-практичних конференціях СИЭТ “Сучасні інформаційні й електронні технології”, Одеса, ОДПУ, 2003 р., 2004р. і 2005 м; III-ій і IV-ій міжнародних науково-практичних конференціях "Проблеми впровадження інформаційних технологій в економіці і бізнесі", Ірпінь, Академія ДПСУ, 2003 р. і 2004 р.; 2-nd and 3-th International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. (IDAACS'2003), Ukraine, Lviv, 2003., (IDAACS'2005), Bulgaria, Sofia, 2005.
Публікації результатів і матеріалів роботи. За матеріалами роботи видано 17 публікацій, у тому числі 5 статей у провідних спеціальних журналах і вісниках, затверджених ВАК України. Серед них дві публікації підготовлені і представлені особисто без співавторів.
Структура й обсяг дисертації. Робота містить вступ і п'ять розділів, загальним обсягом 162 сторінок машинописного тексту, 51 малюнок і 9 таблиць. Список джерел, що цитуються, містить 82 найменування.
ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтована актуальність теми дисертаційної роботи, сформульовані мета і задачі дослідження, наведені основні положення, що виносяться на захист.
У першому розділі виконано порівняльний аналіз існуючих методів і засобів виявлення вторгнень і аномалій поводження. Запропоновано нову розгорнуту класифікацію систем виявлення вторгнень (СВВ) і виділене перспективний напрямок створення розподілених СВВ, що реалізують спільний підхід на основі розподілу обов'язків окремого центрального сервера і передачі їх спільним СВВ на основі хост- комп'ютерів. Відмінність цього підходу від ієрархічного в тім, що немає ніякої підпорядкованості серед розподілених місцевих СВВ. Відзначено, що принцип спільного керування безпекою - CSM (Co-operative security managers) є основним при розробці мультиагентних розподілених СВВ.
В таблиці 1 представлено загальну класифікацію існуючих Network & Host - орієнтованих систем виявлення вторгнення (IDS - Intrusion Detection Systems) відповідно до структурної організації механізмів збору інформації і засобів обробки даних.
Показано, що найбільш ефективний підхід до виявлення атак полягає в інтеграції засобів мережного (network-based) і системного (host-based) рівнів. Така інтеграція, наприклад, передбачена для мережної СВВ NetProwler і host-орієнтованої СВВ Intruder Alert (ITA) на базі протоколу SNMP. У той час, як NetProwler здійснює контроль мережних інформаційних взаємодій і виявлення мережних атак, Intruder Alert стежить за подіями, що відбуваються на контрольованих робочих станціях “зсередини”. Інтеграція цих продуктів дає можливість здійснювати централізований контроль усіх подій, що відбуваються в мережі, зв'язаних з безпекою, як на рівні мережних взаємодій, так і на рівні окремих хостів.
Кожна СВВ відповідальна за контроль, тільки невеликого кола локальних хост-комп'ютерів, але багато СВВ працює одночасно і співпрацює один з одним. Крім того, кожна з них може робити послідовний висновок і дати загальне глобальне рішення. Тому, помилки або відмови в діяльності будь-якої СВВ не призводять до глобальної відмови навіть при скоординованих нападах. Як буде показано нижче, саме цими властивостями і володіють системи виявлення на основі механізмів штучного імунітету.
В другому розділі представлений аналіз застосування еволюційних механізмів в реалізації об'єктно-орієнтованої моделі вторгнення, зокрема, генетичного алгоритму (ГА) та механізмів штучного імунітету.
ГА працює з символьними чи бітовими рядками - шимами (shemas) або хромосомами H, які відображають структуру-властивості об'єкта, явища чи процесу, і на яких задана цільова функція відбору, зокрема, пропорційно - імовірностна, щодо якої відбираються m - найбільш пристосованих рядків-шим для подальшого схрещування і мутації. У процесі генерації нових шим виявляється тенденція до збільшення числа корисних, у сенсі цільової функції, прикладів рядків-шим або хромосом, що дозволяє в коротший час, ніж повний перебір, знайти раціональне “квазіоптимальне” рішення поставленої задачі аналізу.
Таблиця 1.
Засоби обробки даних |
|||||
Механізми збору інформації |
Non real-time (82%) |
Централізовані (75%) |
Розподілені (25%) |
||
Network-based (34%) |
ACME, BlackICE Sentry, Bro, CERN NSM, CIDDS, CaptIO, CyberCop Monitor, CyberTrace, Defense Worx, LANguard, LANguard SELM, Manhunt, NID, NSM, NetProwler, NetRanger, Network Security Agent, OpenSnort Sensor, SecureNet Pro, Shadow, Snort, T-sight, eTrust ID |
AAFID, AFJ, Centrax, DIDS, Dragon, EMERALD, GrIDS, Hummer, LISYS, NFR, NetSTAT, RealSecure |
|||
Host-based (48%) |
ADS, AID, ALVA, ASAX, CMDS, CompWatch, CyberCop Monitor, Haystack, Hyperview, IDA, IDES, IDIOT, Intruder Alert, Kane Security Monitor, MIDAS, NADIR, NIDES, NSTAT, POLYCENTER, PRCis, Psionic HostSentry, Psionic Logcheck / LogSentry, UNICORN, USTAT, Wisdom & Sense, alert.sh for FW-1, auditGUARD, eTrust Audit |
AAFID, CARDS, CSM, Centrax, DIDS, DPEM, Dragon, EMERALD, GrIDS, HP IDS/9000, Hummer, JiNao, RealSecure |
|||
Real-time (18%) |
Host-based external (10%) |
AppShield, Entercept, Janus, Psionic PortSentry, Tripwire |
AAFID, HP IDS/9000, StormWatch |
||
Host-based internal (8%) |
CylantSecure, LIDS, OpenWall Kernel patch for Linux, pH |
FormatGuard |
Особлива увага приділена ефективності генетичних алгоритмів, тобто в якому ступені еволюція підвищує функціональну пристосованість наступних поколінь рішень на основі гіпотези про те, що цільова пристосованість визначаються Хеммінговою мірою близькості, тобто мається оптимальна шима Hm (структура-властивості), а пристосованість інших зменшується по експоненті з ростом відстані по Хеммінгу між оптимальною хромосомою Hm і розглянутими H. Якщо час відбору досить малий, вважаємо, що основний час формування нових більш пристосованих рішень (рядків-шим), тобто еволюції, лімітується мутаціями.
Розглянуто ряд робіт, що використовують еволюційні обчислення (ЕО) для СВВ. Відома розробка французьких дослідників (Супелека Л. та інших) аналітичного компонента прогнозування на основі генетичного алгоритму як альтернативи підсистеми аналізу даних аудита безпеки комп'ютерної системи. Хост орієнтована підсистема GAsSATA (Genetic Algorithm (GA) as an Alternative Tool for Security Audit Trails Analysis (SATA)) використовує систематизовані дані, сформовані у вигляді матриці векторів небезпечних подій (ВНП) для виявлення можливої атаки або її підготовки.
Представлено результати роботи генетичного алгоритму по генерації нових поколінь векторів небезпечних подій, по яких визначається кількість кроків еволюції, протягом яких на даному прикладі або класифікується помилка користувача (Б), або підтверджується розвиток атаки (А) з початковою імовірністю Pа = 0,5 і Pв = 0,5.
Таке виявлення реалізується на основі появи в фіксованих об'ємах популяцій усе більшої кількості шим-векторів, які можуть бути віднесені до визначеного класу: А (атака-чужий) або Б (помилка-свій).
Виконано аналіз застосування еволюційних механізмів штучного імунітету в системах виявлення вторгнень. Проаналізовано розробки американських дослідників (Хофмейера, Форреста, Вільямса та інших), що використовують концепцію ШІ для створення систем виявлення вторгнень. Найбільш відома СВВ LYSIS (Lightweight Intrusion Detection System) використовує різні механізми імунної системи такі як: поріг активації детекторів, негативна селекція, детектори пам'яті та інші, для того, щоб контролювати динамічне “рідне” і “нерідне” поводження користувачів і їхніх програм. LYSIS працює в розподіленому оточенні і протестована для виявлення семи типів вторгнень у локальній мережі в процесі контролю роботи 50 комп'ютерів.
Розвиток ідей виявлення вторгнень на основі ШІ впроваджено в розробку нової мережної СВВ CDIS (Computer Defense Immune System). Ця система також використовує алгоритм негативної селекції з деякими новими ідеями, такими як: тривалість життя, ко-стимуляція та інші. Для ряду поколінь детекторів, CDIS навмання вибирає протокол мережі і аналізує від двох до семи характеристик цього відібраного протоколу.
Для розробки цільового програмного забезпечення СВВ визначені деякі об'єктно-орієнтовані моделі та базові алгоритми, що зв'язані з еволюційними механізмами штучного імунітету. В якості базових засобів уніфікованого та формалізованого опису компонентів програмної системи вибрані нотації UML (Unified Modeling Language), які передбачають наступне об'єктне проектування та занурення UML структур в середовище об'єктно-орієнтованої мови програмування C++.
Загальна структура процесу виявлення вторгнення і розвитку кліток-детекторів (В, Т и М кліток) у концепції штучного імунітету представлена у вигляді UML - діаграми класів, де використана нестандартна літерація на основі кирилиці.
- КласАнтіТілоКліткаВ - моделюючий пряму чи непряму (за допомогою периферійних Т-клеток) активацію детекторів виявлення вторгнень. Цей клас є базовим для класів КласАнтіТілоКліткаТ, відтворюючий допоміжну функцію активації детекторів, та КласТілоПам'ятіКліткаМ, який моделює збереження образу вторгнення (антигену) і породження відповідних М-кліток пам'яті імунітету на основі клонування, які в наступному швидко протидіють антигену.
- КласАнтігенПатоген - відтворюючий вторгнення “чужого” в комп'ютерну систему чи мережу, який є базовим для класів КласВторгненняДіїЧужого та КласПомилкиДійСвого, які моделюють формування тестових послідовностей для наступного аналізу.
- КласНегативнаСелекція - моделюючий відбір детекторів та їх знищення у випадку зв'язування з тестами, які сформовані об'єктами-екземплярами класів КласШтатнаПоведінкаСвого та КласПомилкиДійСвого.
Назви класів наведені у кирилиці для змістовного сприйняття відношень узагальнення-спеціалізації, включення, асоціації та інших, передбачених в нотаціях UML стандартом COMET, через які відтворюється модель процесу виявлення вторгнення і розвитку кліток-детекторів (В, Т и М кліток) у концепції штучного імунітету. В розробці програмних макетів назви класів транслітеризовані у латинську абетку.
Деякі еволюційні механізми, що забезпечують зміцнення і розвиток штучного імунітету, розглянуті в роботі більш докладно, особливо стосовно до задач виявлення вторгнень у комп'ютерні системи та мережі.
Еволюційні механізми й алгоритми штучного імунітету, як і генетичні алгоритми, віднесені до механізмів штучного інтелекту. Штучний імунітет є когнітивною системою, що має властивості пізнання: 1) збереження пам'яті про зустрінуті структури-вторгнення, 2) розподілене у просторі впізнання багатьох структур-вторгнень, 3) визначення розходження між структурами-поведінки “свого” і “чужого”, 4) асоціативною пам'яттю, яка дозволяє виявляти шкідливі структури-вторгнення, що не зустрічалися раніше.
Виходячи з аналізу вимог, до сучасних великих програмних систем, виділені три основних мети, при створенні ефективної мережної СВВ. Вона повинна бути розподіленою, самонастроювальною і легко обчислімою. Штучний імунітет по своїх еволюційних механізмах і особливо виражених властивостях є адаптивним і розподіленим, а також не є обчислювально складним.
З огляду на те, що системи виявлення на основі штучного імунітету мають низький рівень виявлення і відносно коротку історію в порівнянні з іншими методами, запропоновано використовувати механізми ШІ на визначених етапах, сполучаючи їх з відомими підходами і методами виявлення атак і аномалій.
У третьому розділі виконане обґрунтування можливостей і ефективності використання відомого формалізму - машини станів та її програмних реалізацій для комбінованої системи виявлення вторгнень на принципах штучного імунітету. Запропоновано розширення поняття недетермінованого кінцевого автомата (НКА) як розширеного недетермінованого кінцевого автомата (РНКА), що відрізняється своєю здатністю виконувати переходи на основі історій (трас) подій і аргументів подій, і запам'ятовувати ці аргументи в перемінні станів.
Визначення 1. Розширеним недетермінованим кінцевим автоматом (РНКА) називається сімка: (K, S(q0), Z, V, Env, Av, ? ) де: К - граничний набір станів; S - множина початкових станів (q0 - початковий стан); Z - набір кінцевих станів; V - граничний набір перемінних, які визначають стани; Env (оточення, навколишнє середовище) набір усіх можливих середовищ, кожне з яких представляється різними комбінаціями значень перемінних величин у V; Аv - вхідний алфавіт, складається з назв подій і їхніх аргументів; а ? : K x Av x Env -> 2 (K x Env) є функцією переходу.
K, S (q0) і кінцеві стани Z - ідентичні їх відповідним (еквівалентним) величинам у класичному деревовидному НКА.
Однак у відмінності від НКА, Аv - алфавіт РНКА використовується для завдання не тільки подій, але також і їхніх аргументів. НКА не має і . Відношення переходу відрізняється від завдання переходу відображенням М для НКА, тим, що стан РНКА даний його поточним станом контролю q ? K, а значення перемінних для станів задані поточним оточенням E? Env. З цієї причини, набір станів K у визначеннях CНКА заміняється на K x Env.
Поворотне (рефлексивне) і перехідне замикання від визначені в такий спосіб:
(1)
(2)
Тут - історія подій, яка за допомогою РНКА може бути віднесена до нормальної або аномальної .
Твердження 1. У процесі аналізу поводження РНКА приймає “нормальну” історію подій H = ( ), якщо, і тільки якщо, існує q ? K і оточення E, таке що .
Розроблено алгоритм РНКАsim, що імітує прийняття історії подій РНКА і повертає набір станів, у яких знаходився РНКА після прийняття. Стани РНКА представлені послідовністю з n-членів , де - позначає спеціальний контрольний стан РНКА, а позначає оточення в тому стані. Набір поточних станів РНКА поданий набором currStat.
Для імітації атак і дослідження історій log-подій, що виходять з хостів, запропоновано використовувати локальну машину станів (ЛМС) користувачів і їхніх програм у вигляді РНКА. Локальна машина станів, що реалізується на цьому кроці.
Виконано розробку локальної IP-машини станів, що ілюструє поводження шлюзу, що спостерігається в шарі протоколу IP з деякими спрощеннями. Представлена також розробка локальної ТСР-машини на 16 станів для протоколу ТСР/SGMP. Показано, що використання ЛМС дозволяє відтворити і дослідити поводження хостів і відповідних програм з урахуванням реальних даних, що збираються у звітах засобів аудиту.
У четвертому розділі досліджені методи виявлення відповідності або невідповідності спеціальних рядків - описів детекторів і агентів, у тому числі в процесі генерації і негативної селекції детекторів для виявлення нерідного - агентів аномалій і вторгнень. Відзначено, що рідне (штатний профіль поводження) і нерідне в концепції ШІ визначається на основі виявлення приблизної відповідності або невідповідності багатоланкових символьних рядків-описів - пептидів, використовуючи їх спеціальне бітове представлення з багатьма полями, які відповідають окремим ланкам мережних (білкових) з'єднань.
Визначення 2. Пептидами (генними структурами) у концепції ШІ називаються рядки довжини l, що складаються із символів алфавіту кардинальності m. Кожен такий рядок є агентом a. Набір всіх агентів формує множину U = {a1, a2, …an} що включає дві розчленованих підмножини; тобто, набір рідного, Us, і набір нерідного, UN, так, U = Us UN і Us UN = .
При кардинальності m=2 - пептиди це бітові рядки. Приклад зв'язування агентів (а) та (b) за правилом відповідності Хеммінга при r=9.
Правило відповідності Хеммінга засновано на дистанції Хеммінга між двома рядками. Якщо два рядки a і b мають однакові біти принаймні в r позиціях, то вони відповідають один одному, як це показано на Рис. 4.
Проведено дослідження, як вибір r і l впливає на імовірність виявлення відповідності між випадково обраними рядками бітів довжини l. Залежність імовірності виявлення за правилом відповідності Хеммінга при обмеженні r і різній довжині рядків агентів, і.
Виявлення відповідності агентів за правилом r-споріднення з рядками довжини l=16, що складаються із символів алфавіту з кардинальністю m=2, і порогом відповідності r = 5.
Згідно з правилом r-споріднення, два рядки відповідають, якщо вони a і b мають однакові біти принаймні в позиціях r-споріднення, причому співпадаючі біти не перериваються. Імовірність виявлення відповідності двох рядків довжиною l символів кардинальности m і порогом відповідності r для цього випадку визначено як:
(3)
Нижче наведено дані про успішні результати виявлення підрядків-агентів довжини r=0,…,l у послідовностях x довжиною l=1,…,12 і кардинальністю m=2 відповідно до функції 2i RЅ (r,l).
Показано залежність імовірності виявлення за правилом відповідності r-споріднення між двома випадково обраними рядками, що складаються із символів алфавіту з кардинальністю m=2, з варіюванням довжиною рядка l=25, 50, 100, і порогами відповідності r=0,…100...
Отримані значення Pm використовувалися для визначення необхідної кількості детекторів , і загальної кількості спроб для генерації цієї кількості детекторів , якщо помилка виявлення Pf, фіксована.
(4),
(5)
Для аналізу і при фіксованому використовувалася множина власних профілів нормального поводження, визначених за допомогою машини станів. Запропоновано аналітичний метод настроювання засобів генерації детекторів нерідного на основі алгоритму негативної селекції і виконані дослідження, що визначають необхідну кількість детекторів для одержання достатнього рівня виявлення невласних шаблонів на малих і великих обсягах даних.
У п'ятому розділі роботи представлені результати розробки концептуальної моделі у вигляді UML діаграм класів та UML діаграм кооперації об'єктів, архітектури макету і окремих програмних компонентів комбінованої системи виявлення вторгнень на основі принципів ШІ, що використовує інтеграцію network-based і host-based підходів для виявлення послідовностей небезпечних подій. Основна мета ШІ - у створенні і розподілі на різних рівнях достатньої кількості спеціальних детекторів виявлення відомих і нових модифікованих вторгнень.
Для генерації “незрілих” детекторів та оцінки імовірностей випадкових подій у життєвому циклі детекторів використані декілька генераторів псевдо випадкових чисел, у тому числі стандартний ANSI-Crand, які дозволили провести необхідні імітаційні випробування, включаючи “відмирання”. Досліджено особливості поведінки централізованого і розподіленого ядра ШІ, що реалізує алгоритм негативної селекції на детекторах після клонування та мутації.
Графік залежності імовірності виявлення вторгнень, представлених відповідними тест-векторами вторгнень 1, 2, 3, 4, 5, від кількості наївних детекторів, відібраних на основі алгоритму негативної селекції і селекції детекторів пам'яті при порозі відповідності r=3.
Імовірність виявлення невласних шаблонів (вторгнень) наївними детекторами виявилася порядку 16%, тобто необхідно 6-7 детекторів на одне вторгнення. Середня частота помилок виявлення (прийняття свого за вторгнення) склала 2,28%, тобто можна прийняти =0,03. Отримані дані збігаються з прогнозом відповідно (4) та (5).
Приведено архітектуру макетного зразка системи виявлення вторгнень та еволюції детекторів вторгнень на основі реалізації механізмів ШІ.
Дослідження показали, що кількість наївних детекторів становить лише 40% в порівнянні з кількістю незрілих детекторів, а кількість найбільш активних зрілих детекторів в генотеці залишається лише 15% - 16% від відібраних на основі негативної селекції. Тобто має місце значне скорочення обсягів даних щодо вторгнень. Але за рахунок використання генетичного оператору: клонування та мутації механізми штучного імунітету дозволяють контролювати ситуацію з можливістю виявлення також дещо змінених (модифікованих) шаблонів небезпечних подій.
У результаті проведених досліджень розроблено і обґрунтовано комбінований метод виявлення, що передбачає кілька стадій обробки даних і генерації спеціальних детекторів, здатних знайти, як уже відомі, так і нові модифіковані вторгнення (аномалії).
Виконано об'єктно-орієнтоване проектування в середовищі UML дворівневої розподіленої програмної системи виявлення вторгнень на базі еволюційних механізмів ШІ. Приведено опис програмного макету інтегрованої СВВ на основі принципів ШІ і деяких засобів інтерфейсу адміністратора. Приділено особливу увагу швидкої реалізації алгоритму відповідності r-споріднення і настроюванню параметрів механізмів ШІ для підвищення ефективності систем виявлення.
У додатку приводяться тексти С++ програм окремих компонентів комбінованої СВВ на принципах ШІ, короткі зведення про властивості і механізми біологічного імунітету людини, а також документи, що підтверджують актуальність проведених досліджень.
ОСНОВНІ ВИСНОВКИ І РЕЗУЛЬТАТИ РОБОТИ
У роботі виконане наукове обґрунтування розробки спеціального математичного та програмного забезпечення на основі механізмів штучного імунітету (ШІ) для систем виявлення вторгнень в комп'ютерні системи та мережі. Комбінований метод виявлення, що запропонований, полягає в створенні і розподілі на різних рівнях комп'ютерних систем і мереж достатньої кількості спеціальних детекторів відомих і нових вторгнень, для генерації і відбору яких використовуються локальні машини станів та спеціальні механізми й алгоритми, властиві штучному імунітетові, і, зокрема, негативної селекції, відбору та мутації образів детекторів з генотеки.
Наукове обґрунтування і дослідження комбінованого методу виявлення вторгнень на основі аналізу машин станів і тестування образів аномалій і вторгнень на множинах штучних імунних детекторів, дозволила одержати наступні результати.
Основні наукові і практичні результати роботи полягають у наступному.
На основі аналізу існуючих методів і засобів виявлення розподілених атак і аномалій поводження програм на хостах і в мережі запропонована нова розгорнута класифікація систем виявлення вторгнень, на основі якої виділене перспективний напрямок створення інтегрованих СВВ, що реалізують спільне керування безпекою в розподілених комп'ютерних системах.
Запропоновано і досліджено новий комбінований метод виявлення вторгнень у комп'ютерні системи і мережі, що використовує механізми аналізу нормального поводження на основі локальних машин станів і відбір нових детекторів вторгнень на основі негативної селекції, що дозволяє скоротити обсяги інформації, що накопичується, і підвищити ефективність еволюційних механізмів добору;
Запропоновано й обґрунтовано спосіб представлення локальних машин станів для аналізу історій (трас) подій на основі розширення поняття недетермінованого кінцевого автомата, що відрізняється своєю здатністю виконувати переходи на основі подій і аргументів подій, і запам'ятовувати ці аргументи в перемінні станів;
Отримана й обґрунтована уточнена оцінка імовірності виявлення за правилом відповідності r-споріднення, як імовірності того, що буде виявлена підстрока довжини r у l незалежних послідовних іспитах з урахуванням апріорного значення p - імовірності успіху на одному кроці, котра дає можливість виявляти різних агентів (аномалії і вторгнення) на основі подібного зв'язування в концепції ШІ;
Запропоновано і досліджено аналітичний метод настроювання засобів генерації детекторів “нерідного” і визначені відповідні оцінки, що дають прогнозну оцінку кількості детекторів для одержання достатнього рівня виявлення невласних шаблонів на малих і великих обсягах даних;
Розроблено в середовищі UML об'єктно-орієнтовану концепцію і архітектуру програмної системи виявлення вторгнень на основі ефективної реалізації локальних машин станів і еволюційних механізмів штучного імунітету, що дозволяють скоротити обсяги бібліотеки образів ефективних детекторів - батьків клонів і за рахунок клонування і мутації реалізувати розподілений механізм виявлення нових модифікованих атак.
Розвинута й обґрунтована методика проведення досліджень в області використання еволюційних механізмів, і зокрема, штучного імунітету, для вирішення практичних задач. Розроблено комплекс C++програм макету для дослідження окремих базових компонентів системи виявлення комбінованих вторгнень на основі принципів штучного імунітету.
ОСНОВНІ РЕЗУЛЬТАТИ РОБОТИ ПРЕДСТАВЛЕНІ В НАСТУПНИХ ПУБЛІКАЦІЯХ АВТОРА
1. Ху Чженбін. Модель виявлення гібридного вторгнення, що заснована на принципі штучної імунної системи // Наукові Вісті Національного технічного університету України “КПІ”. - 2005. - № 3. - с. 46-51.
2. Широчин В.П., Мухин В.Е., Ху Чженбин. Машина состояний в задачах аутентификации пользователей в компьютерных сетях // Управляющие системы и машины. - 2003. -№ 5. - с. 59-65. - Автору належить розробка локальної машини станів..
3. Ху Чженбин, Ма Пин. Методы интеллектуальной обработки данных для выявления сигнатур в сетевых системах обнаружения вторжений // Управляющие системы и машины. - 2005. - № 1. - с. 83-91. - Автор запропонував класифікацію методів.
4. Shyrochin V.P., Mukhin V.E., Hu Zhengbing. Users Behavior Model in Tasks of Computer Systems Security Analysis // Computing. International Scientific Journal, Ukraine, Ternopil, - 2003. -№ 2. - pp:151-156. - Автору належать результати дослідження моделі.
5. Ху Чженбин. Система обнаружения вторжений на основе механизма искусственной иммунной системы//Управляющие системы и машины.-2005.-№ 4.-с.78-83.
6. Широчин В.П., Мухин В.Е., Ху Чженбин. Методы и средства анализа безопасности корпоративных сетей // Труды 4-ой международной научно-практической конференции “Современные информационные и электронные технологии”, Одесса, 19-23 мая 2003. - с.64. - Автор виконав аналіз стану проблеми аналізу безпеки.
7. Широчин В.П., Ху Чженбин. Два подхода к обнаружению попыток НСД в компьютерных системах // Труды 5-ой международной научно-практической конференции “Современные информационные и электронные технологии”, Одесса, 19-23 мая 2004. - с.81.- Автором обґрунтовано підхід та архітектуру програмних засобів.
8. Широчин В.П., Ху Чженбин, Гундарцев Д.Г. Обнаружение аномалий на основе неконтролируемой кластеризации // Труды 6-ой международной научно-практической конференции “Современные информационные и электронные технологии”, Одесса, 23-27 мая 2005. - с.116. - Автору належать результати дослідження алгоритму.
9. Широчин В.П., Ху Чженбин. Средства сопровождения адаптивных комплексных систем защиты информации. // Сб. трудов IV международной научно-практической конференции "Проблемы внедрения информационных технологий в экономике и бизнесе", Ирпень, 15-17 мая 2003., - с. 661 - 664. - Автор запропонував архітектуру програмних засобів для керування безпекою
10. Широчин В.П., Мухін В.Е., Ху Чженбин. Механизмы и средства мониторинга безопасности информационных систем. // Сб. трудов IV международной научно-практической конференции "Проблемы внедрения информационных технологий в экономике и бизнесе", Ирпень, 13-14 мая 2004., - с. 519 - 522. Автор виконав аналіз стану проблеми керування безпекою.
11. Shyrochin V.P., Mukhin V.E., Hu Zhengbing. Users Behavior Model in Tasks of Computer Systems Security Analysis. Proceedings IEEE Second International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. (IDAACS'2003), Lviv, Ukraine, pp:463-466. - Автор виконав розробку локальної машини станів для виявлення аномалій поведінки користувачів.
12. Shyrochin V.P., Hu Zhengbing. Data Mining Approaches for Signatures Search In Network Intrusion Detection. Proceedings IEEE Second International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. (IDAACS'2005), Sofia, Bulgaria, September 5-7,2005., pp:363-367. - Автору належить обґрунтування комбінованого методу виявлення вторгнень
13. Hu Zhengbing, Su Jun. An introduction to Intrusion Detection Technology. / m. Computer and Information Technology, № 1, 2005., pp:103-105. - Автор запропонував аналітичний огляд технологій виявлення вторгнень.
14. Hu Zhengbing, Su Jun. Study of Intrusion Detection System based on Artificial Neural Network for Microsoft Platform. / m. Network Security Technology and Application, № 5, 2005., pp:63-65. Автору розглянув питання виявлення вторгнень в ОС MS Windows.
15. Hu Zhengbing, Su Jun. Study of Intrusion Detecton System based Artificial Immune System in Network Security. / m. DA ZHONG KE JI, № 7, 2005., pp:61-63. - Автору належить обґрунтування комбінованого методу виявлення вторгнень.
16. Hu Zhengbing, Su Jun. An overview of Intrusion Prevention Technique. / m. Computer Information Security, № 9, 2005., pp:68-71. - Автору належить огляд програмно-технічних засобів підвищення інформаційної безпеки.
...Подобные документы
Структура сучасних систем виявлення вторгнень (СВВ), аналіз її методів і моделей. Характеристика основних напрямків розпізнавання порушень безпеки захищених систем в сучасних СВВ. Перелік недоліків існуючих СВВ та обґрунтування напрямків їх вдосконалення.
реферат [467,9 K], добавлен 12.03.2010Схема виявлення атак на основі сигнатур. Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Фізичне проектування бази даних підсистеми.
дипломная работа [2,2 M], добавлен 19.07.2014Сучасні тенденції у галузі розподілених систем виявлення комп’ютерних атак. Обґрунтування вибору програмного середовища та мови програмування для розробки підсистеми. Розробка узгодженого інтерфейсу взаємодії користувача з підсистемою, візуалізації даних.
дипломная работа [2,4 M], добавлен 16.07.2014Сутність, типи, архітектура, управління, швидкість реакції та інформаційні джерела СВВ. Особливості документування існуючих загроз для мережі і систем. Контроль якості розробки та адміністрування безпеки. Спільне розташування та поділ Host і Target.
реферат [28,0 K], добавлен 12.03.2010Способи здійснення атак на відмову та пароль. Захист інформації від несанкціонованого доступу та від її витоку в комп'ютерних системах. Використання міжмережевих екранів, системи виявлення вторгнень, засобів аналізу захищеності в комунікаційних системах.
презентация [300,2 K], добавлен 14.08.2013Огляд і архітектура обчислювальних мереж, переваги їх використання та обґрунтування вибору. Пошук несправностей в мережах на базі операційної системи Windows, виявлення причин. Особливості методів захисту від несанкціонованого доступу в мережі TCP/IP.
курсовая работа [2,8 M], добавлен 28.01.2011Аналіз сучасного програмного забезпечення комп'ютерних інформаційних мережевих систем. Загальна економіко-правова характеристика Бершадського відділення Вінницької філії ЗАТ КБ "ПриватБанк", захист інформації та дотримання безпеки в комп’ютерній мережі.
курсовая работа [64,6 K], добавлен 14.05.2011Класифікація програмного забезпечення, системне та прикладне забезпечення, інструментальні системи. Програмна складова комп'ютерної системи, опис алгоритмів розв'язання певної задачі. Класифікація операційних систем, основні групи прикладних програм.
презентация [945,0 K], добавлен 01.04.2013Основні етапи програмування системної утиліти виявлення прихованих процесів для багатозадачних операційних систем сімейства Microsoft Windows. Розробка інтерфейсу та головного меню програмного засобу. Вибір форми діалогу між програмою та користувачем.
курсовая работа [2,0 M], добавлен 23.01.2012Поняття штучного інтелекту, його порівняння з природним. Коротка характеристика особливостей використання штучного інтелекту в медицині, військовій справі та комп'ютерних іграх. Проблема взаємодії носіїв універсального штучного інтелекту та суспільства.
контрольная работа [29,6 K], добавлен 07.01.2014Вибір методів та засобів створення інформаційної системи для обліку і перегляду продукції на складі. Розробка моделі даних для реляційної бази даних, прикладного програмного забезпечення. Тестування програмного додатку, виявлення можливих проблем.
курсовая работа [1,1 M], добавлен 22.09.2015Основні функціональні можливості програми для забезпечення комп'ютерної системи дистанційного управління приладами. Функція пульта дистанційного керування мартфонів. Реалізація пультів дистанційного управління на основі апаратно-програмного комплексу.
дипломная работа [1,7 M], добавлен 09.07.2015Аналіз системи збору первинної інформації та розробка структури керуючої ЕОМ АСУ ТП. Розробка апаратного забезпечення інформаційних каналів, структури програмного забезпечення. Алгоритми системного програмного забезпечення. Опис програмних модулів.
дипломная работа [1,9 M], добавлен 19.08.2012Економічна інформація, її види та властивості. Апаратне і програмне забезпечення ПК. Програмне забезпечення стаціонарних комп’ютерів. Комп’ютерні мережі, загальна характеристика глобальної мережі Інтернет. Напрямки використання комп’ютерної техніки.
контрольная работа [28,0 K], добавлен 06.10.2011Комп’ютерні віруси та шкідливе програмне забезпечення: історія виникнення та класифікація. Засоби профілактики від ураження шкідливими програмами. Принципи стискання та засоби архівації даних, запис на оптичні диски, форматування та копіювання дисків.
конспект урока [18,8 K], добавлен 03.01.2010Розробка структурної схеми мережі, вибір конфігурації серверу і робочих станцій, комутаторів і маршрутизатора. Організація системи телеспостереження. Розміщення мережного обладнання в приміщеннях. Методи та засоби забезпечення безпеки інформації.
дипломная работа [3,7 M], добавлен 13.04.2012Способи виявлення й видалення невідомого вірусу. Спроби протидії комп’ютерним вірусам. Способи захисту комп’ютера від зараження вірусами та зберігання інформації на дисках. Класифікація комп'ютерних вірусів та основні типи антивірусних програм.
реферат [17,1 K], добавлен 16.06.2010Розробка системи підтримки прийняття рішень для проектування комп’ютерної мережі. Матричний алгоритм пошуку найменших шляхів. Програма роботи алгоритму в MS Excel. Розробка програми навчання нейронної мережі на основі таблиць маршрутизації в пакеті Excel.
курсовая работа [2,8 M], добавлен 12.12.2013Класифікація об'єктно-орієнтованих мов програмування. Розробка алгоритмічного та програмного забезпечення комп'ютерної системи управління процесом випалювання будівельних матеріалів. Тестування програмного забезпечення, оцінка його ефективності.
курсовая работа [1,6 M], добавлен 25.04.2015Незалежно компільований програмний модуль. Програми: "Облік програмного забезпечення" та "Інвентаризація програмного забезпечення на комп'ютерах мережі". Вимоги до функціональних характеристик основної частини системи. Вимоги до програмної документації.
курсовая работа [660,9 K], добавлен 14.12.2010