Аналіз системи виявлення вторгнень та комп’ютерних атак

Размещено на http://www.allbest.ru

АНАЛІЗ СИСТЕМИ ВИЯВЛЕННЯ ВТОРГНЕНЬ ТА КОМП'ЮТЕРНИХ АТАК

Радченко М.М., Іванов О.І.,

Прохорський С.І., Мужеський К.К.

НЦЗІ ВІТІ ДУТ

У статті проведений аналіз проектування системи виявлення атак, розглянуто основні принципи створення засобів виявлення і протидії комп'ютерним атакам, приведено опис застосовуваних при виявленні та запобіганні мережевих атак методи і моделі, надано характеристики моделям виявлення вторгнень.

комп'ютерний атака вторгнення мережевий

В статье проведен анализ проэктирования системы выявления атак, рассмотрены основные принципы создания средств выявления и противодействия компьютерным атакам, приведено описание применяемых при выявлении и противодействии сестевым атакам методов и моделей, даны характеристики моделям выявления вторжений.

The analysis of the proektirovanie system of exposure of attacks is conducted in the article, basic principles of creation of facilities of exposure and counteraction to the computer attacks are considered, description over is brought applied at an exposure and counteraction to the network attacks of methods and models, descriptions are given to the models of exposure of encroachments.

Актуальність. Як відомо, навіть найнадійніші системи захисту не здатні захистити від атак комп'ютерні системи державних та відомчих установ. Одна з причин - у тому, що в більшості систем безпеки застосовують стандартні механізми захисту: ідентифікацію та аутентифікацію, механізми обмеження доступу до інформації згідно з правами суб'єкта і криптографічні механізми. Це традиційний підхід із своїми недоліками, як-то: незахищеність від власних користувачів - зловмисників, розмитість поділу суб'єктів системи на „своїх” і „чужих” через глобалізацію інформаційних ресурсів, порівняна легкість підбору паролів внаслідок використання їхнього змістового різновиду, зниження продуктивності і ускладнення інформаційних комунікацій внаслідок обмеження доступу до ресурсів організації. Важливо, щоб такі системи могли протистояти атакам, навіть якщо зловмисник уже був аутентифікований та авторизований і з формальної точки зору додержання прав доступу мав необхідні повноваження на свої дії.

Ці функції і виконують системи виявлення вторгнень (intrusion detection systems, IDS). Оскільки передбачити всі сценарії розгортання подій в системі з активним „чужим” суб'єктом неможливо, слід або якомога детальніше описати можливі „зловмисні” сценарії або ж, навпаки, -“нормальні” і постулювати, що всяка активність, яка не підпадає під прийняте розуміння „нормальності”, є небезпечною.

Мета -- визначення проблемних питань при проведенні заходів з проектування системи виявлення вторгнень, тестування розробленого програмного засобу, виявлення та усунення його недоліків, зведення методик виявлення мережевих атак до єдиного критерію, наприклад, таким як повнота охоплення всіх аналізованих параметрів, необхідних для точного і найбільш ймовірного виявлення атаки з мінімально хибним спрацьовуванням.

Проведений аналіз свідчить, що що IDS поділяються на системи, що реагують на відомі атаки - системи виявлення зловживань (misuse detection systems, MDS) і системи виявлення аномалій (anomaly detection systems, ADS), які реєструють відхилення еволюції системи від нормального перебігу.

Моделі виявлення і запобігання мережевих атак діляться на два типу:

1. Хостова (host-based) модель виявлення мережевих атак передбачає аналіз даних, одержуваних і переданих в мережу, і аналіз різних журналів реєстрації, наявних на конкретному вузлі (хості) шляхом застосування відповідних методик і алгоритмів;

2. Мережева (network-based) модель виявлення мережевих атак передбачає аналіз мережевого трафіку безпосередньо в мережі, тобто аналізуються дані, взяті з технічних каналів зв'язку, з використанням середовища передачі даних і каналоутворюючого обладнання обчислювальної мережі, шляхом застосування відповідних методик і алгоритмів мережевого аналізу даних.

Засобами технології виявлення мережевих атак є програмні та апаратні системи виявлення атак, які функціонують переважно в TCP / IP мережах і базуються на сигнатурних та статистичних методиках виявлення на основі хостових і мережевих моделей.

Виявлення атак вимагає виконання однієї з двох умов: або розуміння очікуваного поведінки контрольованого об'єкта системи, або знання всіх можливих атак і їх модифікацій. У першому випадку використовується технологія виявлення аномальної поведінки (anomaly detection), а в другому - технологія виявлення зловмисної поведінки або зловживань (misuse detection).

Серед відомих методів виділяються наступні:

- Статистичний метод.

- Приховані марківські моделі.

- Нечітка логіка.

- Експертні системи.

- Використання прогнозованих шаблонів.

- Генетичні алгоритми.

- Штучні нейронні мережі.

- Аналіз переходів зі стану в стан.

- Data mining-методи.

Застосовувані при виявленні та запобіганні мережевих атак методи і моделі зводяться до мережевого і хостового аналізу сигнатурних і статистичних даних мережевого трафіку з подальшим виведенням засобів виявлення атак про здійснення атаки. До таких висновків відносяться повідомлення на консоль або в журнали засобів виявлення атак про час виявлення і проведення, назві та типу атаки. Результатами роботи засобів виявлення атак є дані про номери пакетів, що містяться в сеансі атаки.

Сигнатурний аналіз і контроль профілів при виявленні комп'ютерних атак включає в себе аналіз заданих заздалегідь послідовностей, як самих аналізованих даних, так і послідовностей дій. Сучасні методики виявлення мережевих атак досить різнорідні і не зведені до єдиного критерію, за яким можливо оцінювати ефективність їх застосування. Таким критерієм може служити повнота охоплення всіх аналізованих параметрів, необхідних для точного і найбільш ймовірного виявлення атаки з мінімально хибним спрацьовуванням.

Недоліками розглянутих моделей є: для моделей, які використовують статистичні методики, - велика кількість помилкових тривог і помилок другого роду, для моделей, що використовують сигнатурні методики, - неможливість самостійного виявлення нових атак і постійна необхідність оновлення бази сигнатур.

При виявленні та запобіганні мережевих атак вже використовуються методики, що мають можливість саме запобігання мережевих атак (МА) і включають в себе тільки лише такі дії, як блокування прийому / передачі тих мережевих пакетів, які ідентифікуються як пакети, містяться в атаці.

Методики виявлення і запобігання зводяться до застосування технологій виявлення мережевих атак, які включають в себе програмні та апаратні системи виявлення атак, функціонуючі переважно в TCP / IP мережах і базуються на сигнатурних та статистичних методиках виявлення атак, на основі хостових і мережевих моделей, результатом яких є виявлення атак з метою автоматизації забезпечення захисту ЛОМ.

У таких методиках спільною рисою з формальної точки зору є те, що існує кілька підходів подання повідомлень про виявлені атаки.

При виявленні МА в основному застосовуються методики, узагальнення приватних рішень які будуються з використанням різноманітних методів і технологій. Найбільш відповідні області застосування методики:

- Класичні методи експертних систем.

- Нейронні мережі.

- Нечітка логіка.

- Візуалізація.

- Статистика.

- k-найближчий сусід (метод з теорії розпізнавання).

- Метод аналізу ієрархій.

Для того, щоб система прийняття рішень могла узагальнювати дані, отримані від різних підсистем системи виявлення вторгнень, необхідно стандартизувати формат повідомлень про атаки, що посилаються цими аналізаторами. Підсистема системи виявлення вторгнень повинна передавати в СПР вектор виду:

,

де А - системний ідентифікатор виявника атаки, С - ідентифікатор виявленої атаки, G - вид атаки, Т - системний час атаки, М - ідентифікатор методу, яким виявлена атака, Р - вірогідність проведення атаки, Р_н - нижня межа ймовірності атаки, Р_в - верхня межа ймовірності атаки.

Подальша обробка проводиться роздільно для кожного з видів атак. Тимчасова вісь t розбивається на інтервали аналізу Дt. Довжина інтервалу Дt визначається виходячи з типу атаки і швидкості її виявлення підсистемами СВВ. У кожному інтервалі проводиться аналіз повідомлень з метою оцінки узагальненої ймовірності атаки. У ряді робіт, виконаних у суміжних областях, показано, що вироблення оптимального методу об'єднання статистичних гіпотез про виявлення різнорідних об'єктів в практичній ситуації неможлива. Для систем виявлення атак це пояснюється відсутністю даних про апріорні ймовірності атак різних видів, різною природою проаналізованих ознак, неможливістю оцінки спільних рис розподілу значень цих ознак, рознесенням в часі моментів повідомлень про атаки.

Збільшення ймовірності виявлення атаки веде до зростання ймовірності „помилкової тривоги”. Для того щоб ймовірність „помилкової тривоги” залишалася в допустимих межах, пропонується використовувати мажоритарний критерій для прийняття рішень. Якщо в системі присутні кілька виявників атак, які виявлятимуть заданий вид атаки, то рішення про наявність атаки приймається в випадку, якщо вона виявлена більш ніж половиною СВА.

Розвитком мажоритарного підходу є вимоги трудомісткої експертної роботи та застосування при обчисленні ймовірності атаки апріорної інформації про властивості підсистем, які реалізуються на основі обчислення зваженої суми значень P_i, де в якості ваги застосовується ступінь довіри до того чи іншого виявника (підсистемі СВВ) при розгляді даної конкретної атаки. Тоді ймовірність виявлення атаки (Класу або групи атак) k може бути представлена виразом:

де m - число аналізаторів, що використовуються в СВВ, P_kj - ймовірність атаки k, передана j-м аналізатором на інтервалі Дt_i,, W_kj - ступінь довіри результатам роботи аналізатора j при виявленні атаки k, причому . Якщо повідомлень про атаки в інтервалі аналізу Дt_i не зафіксовано, .

Відповідно застосування ймовірнісної оцінки виявлення атак, залежить від числа аналізаторів, ймовірності атаки і ступеня довіри аналізаторам при виявленні атаки.

Сучасні засоби захисту можна розділити за характеристиками, що представлені на рисунку 1:

Рис.1. Характеристики систем виявлення вторгнень

Основними принципами створення засобів виявлення і протидії комп'ютерним атакам є наступні:

1. Принцип прозорості. Система виявлення та протидії комп'ютерним атакам (КА) повинна функціонувати у фоновому режимі непомітно для користувачів, не знижуючи оперативності виконання технологічних циклів управління, при цьому забезпечуючи виконання своїх цільових функцій.

2. Принцип оптимальності. Розробка системи виявлення та протидії КА повинна проводитися з урахуванням того, що кожен з методів виявлення (протидії) КА дозволяє досить ефективно і достовірно виявляти (нейтралізувати) тільки певні види КА. Тому при створенні системи виявлення та протидії КА повинно бути знайдено оптимальне співвідношення між методами виявлення і протидії КА і способами їх застосування в складі системи.

3. Принцип адекватності. Розробляються для реалізації в системі виявлення та протидії КА проектні рішення повинні бути диференційовані залежно від частоти, ймовірності та очікуваного збитку від успішної реалізації кожного виду КА.

4. Принцип повноти. Даний принцип полягає у використанні для виявлення КА інформації про стан і значення основних параметрів всіх програмних і технічних елементів пунктів управління АС.

5. Принцип адаптивності. Система виявлення та протидії КА повинна створюватися з урахуванням того, що з розвитком АС здійснюватиметься поступова зміна складу і характеристик програмних і технічних засобів АС, що, у свою чергу, призведе до розширення переліку загроз безпеки. Тому при створенні системи виявлення та протидії КА в її складі повинні бути передбачені механізми адаптації системи до мінливих умов функціонування.

Огляд засобів мережевого захисту

Розміщення всередині однієї ЛОМ здійснюється наступним чином. СВА розміщують таким чином, щоб вона могла спостерігати за всіма підконтрольними їй сегментами мережі. Як правило, безпосереднє спостереження здійснюють кілька розташованих в ній сенсорів.

Сенсорами можуть бути як мережевими інтерфейсами, так і групами мережевих інтерфейсів під управлінням операційної системи (наприклад, кластер NIDS). У самому простому випадку IDS встановлюють на вхід сегменту, яких захищають таким чином, щоб весь трафік сегмента проходив через систему.

У цього варіанту є свої плюси і мінуси. До перших можна віднести:

- відсутність трафіку, що не проходить через IDS, що знижує ймовірність непоміченого попадання зловмисного трафіку в сегмент;

- можливість установки системи активного реагування на атаку (наприклад, комбінація Snort + Guardian дозволяє змінювати правила ipchains /iptables відповідно з подіями IDS).

У числі недоліків назвемо:

- поява додаткової ланки, вихід якої з ладу може позначитися на працездатності мережі в цілому;

- складність масштабування IDS внаслідок непростої установки додаткових сенсорів (на цей час необхідний фізичний розрив з'єднання);

- залежність продуктивності мережі при взаємодії з зовнішніми сегментами від продуктивності IDS,

- мережевий інтерфейс, на якому виконується спостереження, може бути керуючим.

Всередині мережеві засоби мережевого захисту використовують як мережеву, так і хостову моделі виявлення мережевих атак. Даний факт дозволяє використовувати всі переваги таких моделей, а саме методики та алгоритми, що враховують характеристики мережевих атак, такі як події, зареєстровані в журналах:

- конкретної операційної системи;

- журналах додатків, що використовуються на хості;

- міжмережевих екранів.

У цих засобах аналіз мережевого трафіку здійснюється безпосередньо в мережі, тобто аналізуються дані, взяті з технічних каналів зв'язку, з використанням середовища передачі даних і каналоутворюючого обладнання обчислювальної мережі, шляхом застосування відповідних методик і алгоритмів мережевого аналізу даних.

До таких засобів відносяться більшість відомих і перерахованих на сьогоднішній день програмних продуктів.

Засоби мережевого захисту між ЛОМ пропускають через себе весь мережевий трафік, що проходить між сегментами розподіленої обчислювальної мережі. При використанні таких засобів вузли ЛОМ не задіяні у виявленні атак і у разі виявлення мережевої деструктивної дії атаки, спрямовану на вузли ЛОМ, блокується на початковому етапі реалізації мережевої атаки.

До таких засобів, наприклад, відносяться - мережеве рішення компанії Ranch Networks і Російська СВА Intrusion Prevention - Proventia G і Proventia М.

До відмінних властивостей таких засобів можна віднести:

- захист від dos-атак;

- ідентифікація та авторизація користувачів;

- зміна стратегії захисту мережі залежно від її стану (policy driven security-on-demand);

- захист мережі за індивідуальними адресами;

- захист як вхідних, так і вихідних інформаційних потоків для кожної зони;

- підтримка мережевої безпеки бездротової передачі даних (wifi) і передачі голосу через інтернет (voip);

- зручне підключення до систем виявлення несанкціонованого доступу, а також програм вірусів і „черв'яків” (ids).

Огляд параметрів і характеристик захищеної ІС

Під захищеною ІС розуміється система, в якій використовуються персональні комп'ютери (ПК), технічні канали зв'язку, які передбачають середовище передачі даних і каналоутворюючого обладнання локальної обчислювальної мережі (ЛОМ).

У таку ІС входять:

- Програмне забезпечення, що використовується при роботі користувачів і виконанні основних функцій по роботі з базами даних, клієнтськими додатками та інше.

- Технічні засоби - вузли ЛОМ, комунікаційне і каналоутворююче обладнання та лінії зв'язку між ними, сукупність яких утворює фізичну топологію мережі.

- Програмні засоби, що забезпечують функціонування, а також фізичну та логічну взаємодію всіх технічних засобів, що входять в ІС, такі як системне ПЗ, спеціалізоване мережеве ПЗ.

Огляд параметрів і характеристик захищеної ІС

Основною проблемою і обов'язковою умовою у створенні захищеної ІС є формалізація методу опису предметної області та оперування моделями, які адекватно описують архітектуру і функціонування об'єкта, що проектується. Для опису платформи безпеки (ПБ) розподілених ІС використовують формалізм семантичних мереж фреймів:

В основі мережевих моделей лежить конструкція виду:

,

де I - множина інформаційних одиниць, C_i, C₂, ..., C_n - множина типів зв'язків між елементами; Г - відображення, що задає зв'язок з прийнятого набору між інформаційними одиницями.

З точки зору захищеності ІС розглядають графову модель системи захисту з повним перекриттям.

У цій моделі розглядається взаємодія „області загроз”, „область, що захищається” (ресурсів АС) і „системи захисту” (механізмів безпеки АС).

Таким чином, маємо три множини:

Т = {t_i} - множина загроз безпеки, О = {o_j} - множина об'єктів (Ресурсів) захищеної системи, М = {m_k} - множина механізмів безпеки.

Елементи цих множин знаходяться між собою у певних відношеннях, власне і описують систему захисту.

Для опису системи захисту зазвичай використовується графова модель. Множина відношень загроза-об'єкт утворює дводольний граф {<Т, О>}. Мета захисту полягає в тому, щоб перекрити всі можливі ребра в графі. Це досягається введенням третього набору М. У результаті виходить тридольний граф {<Т, М, О>}. Розвиток цієї моделі припускає введення ще двох елементів:

V - набір вразливих місць, які визначаються підмножиною декартового добутка Т*О: vr = <t_i, о_j>. Таким чином, під вразливістю системи захисту будемо розуміти можливість здійснення загрози t відносно об'єкта о (на практиці під вразливістю системи захисту зазвичай розуміється не сама можливість здійснення загрози безпеки, а ті властивості системи, які сприяють успішному здійсненню загрози, або можуть бути використані зловмисником для здійснення загрози);

В - набір перешкод, що визначається декартовим добутком V*M: b_i = <t_i,O_j,m_k>, які представляють собою шляхи здійснення загроз безпеці, перекриті засобами захисту.

Відповідно при побудові систем захисту, що використовують виявлення мережевих атак, необхідно використовувати існуючі мережеві та хостові моделі, що включають сигнатурні та статистичні методи для повного перекриття підсистемами захисту М вдалого здійснення мережевих атак.

Загалом ІС повинна надавати такі види послуг:

- встановлення зв'язку - реалізується засобами каналоутворюючого обладнання за допомогою каналів зв'язку;

- передача даних - ЛОМ оснащена апаратурою та каналами передачі даних для забезпечення заданих швидкостей і надійності обробки даних.

Параметри захищається ІС повністю підходять під описані нижче:

Залежно від виду засобів, методів і алгоритмів керування, можна виділити ІС з централізованим і розподіленим управлінням. При цьому можуть виконуватися як жорсткі, так і гнучкі алгоритми управління ІС, що враховують численні фактори. Об'єднання мереж здійснюється або через загальний вузол, або шляхом створення спеціальних каналів, з'єднують вузли однієї системи з вузлами іншої. Якщо мережа може бути з'єднана з іншими, то вона називається відкритою, якщо ні, то - закритою.

За функціонально-цільовим і прикладним призначенням ІС можна розділити на дві групи: загального користування та спеціального призначення.

ІС загального користування призначені для різних сфер застосування незалежно від конкретного змісту даних, що обробляються в ІС. Засоби, структура і функціональні можливості виявляються однаковими для багатьох випадків застосування і забезпечують широкий діапазон послуг.

ІС спеціального призначення призначені для вирішення завдань в певній предметній або відомчої області.

Якісні характеристики ІС поділяються за такими показниками:

- загальне число зв'язків;

- тимчасові характеристики якості ІС;

- середній час обслуговування;

- надійність обслуговування;

- достовірність передачі;

- можливість доступу.

Характеристики засобів, що забезпечують обробку даних в ІС, включають:

- технічні засоби (сервера, робочі станції, комунікаційне обладнання, міжмережеві екрани) і лінії зв'язку між ними, сукупність яких утворює фізичну топологію АС (ЛОМ) та точки взаємодії (Стики) з іншими АС;

- програмні засоби, що забезпечують функціонування, а також фізична і логічна взаємодія (канали керування і передачі даних) всіх технічних засобів, що входять до АС (системне ПЗ, спеціалізоване мережеве ПЗ);

- прикладне та сервісне програмне забезпечення, що розробляється окремо від загальносистемного ПЗ і виконує покладені на нього функції в рамках реалізації тієї чи іншої інформаційної технології (СУБД, офісні додатки, редактори, компілятори, WEB-сервера і пр.).

Мається на увазі, що компоненти ЛОМ розосереджені в просторі і зв'язок між ними фізично здійснюється за допомогою мережевих з'єднань, а програмно - за допомогою механізму повідомлень, заснованого на стеку протоколів TCP / IP. При цьому всі керуючі повідомлення і дані, пересилаються між об'єктами ЛОМ, передаються по мережевим з'єднанням у вигляді пакетів обміну.

Характеристики захищається ІС включають в себе :

- категорії оброблюваної в ІС інформації, вищий гриф секретності;

- загальну структурну схему і склад ІС, в яку входять: перелік і склад устаткування, технічних і програмних засобів, користувачів, даних та їх зв'язків, особливості конфігурацій і архітектури;

- тип ІС (одне або багатокористувацька система, відкрита мережа, одно- або багаторівнева система);

- обсяги основних інформаційних масивів і потоків;

- швидкість обміну інформацією і продуктивність системи при рішенні функціональних завдань;

- тривалість процедури відновлення працездатності після збоїв, наявність засобів підвищення надійності та живучості;

- технічні характеристики каналів зв'язку (пропускна здатність, типи кабельних ліній, види зв'язку з віддаленими сегментами ІС і користувачами);

- територіальне розташування компонентів ІС, їх фізичні параметри;

- наявність особливих умов експлуатації.

Класифікація атак на інформаційну систему

Серед існуючих різних класифікацій мережевих атак найбільш повними є:

1) за характером впливу;

2) за метою впливу;

3) за умовою початку здійснення впливу;

4) за наявності зворотного зв'язку із об'єктом атаки;

5) по розташуванню атакуючого до об'єкта атаки;

6) за кількістю атакуючих;

7) за рівнем еталонної моделі iso / osi, на якому здійснюється вплив;

8) з причини появи помилки захисту, яка використовується;

9) по об'єкту атаки;

10) за способом впливу на об'єкт атаки;

11) по засобам атаки, що використовується;

12) стан об'єкта атаки;

13) за силою впливу на область ураження.

Також атаки поділяються на категорії за методами і засобам їх проведення:

- віддалене проникнення (remote penetration);

- локальне проникнення (local penetration);

- віддалена відмова в обслуговуванні (remote denial of service);

- локальна відмова в обслуговуванні (local denial of service);

- мережеві сканери (network scanners);

- сканери вразливостей (vulnerability scanners);

- зломщики паролів (password crackers);

- аналізатори протоколів (sniffers).

Основні проблемні питання:

1.Складність об'єднання усіх принципів створення систем виявлення і протидії атакам до однієї системи.

2. Зростання переліку загроз із розвитком технічної та програмної складової АС.

3. Можливість виявлення лише деяких відомих видів атак.

4. Відсутність нормативної законодавчої бази щодо відповідальності за реалізацію комп'ютерних атак та вторгнень.

Література

1. Н. Н. Куссуль, А. М. Соколов. Адаптивное обнаружение аномалий в поведении пользователей компьютерных систем с помощью марковских цепей изменяющегося порядка // Кибернетика и вычислительная техника.

2. J. Allen et al. State of the practice of intrusion detection technologies. TR CMU/SEI-99-TR-028, Carnegie Mellon University, Software Engineering Institute, Pittsburgh, Jan. 2000.

3. D. Wagner and R. Dean. Intrusion detection via static analysis. In Proc. of the 2001 IEEE Symposium on Security and Privacy, pages 156-169, Los Alamitos, CA, May 14-16 2001.

4. Фленов М. Е. РНР глазами хакера. - СПб.: БХВ-Петербург, 2005. - 304 с :

5. Denning, D. 1986. An intrusion-detection model. In Proceeding of 1986 IEEE computer society symposium on research in security and privacy held in Oakland, California, April 7 - 9, 1986, by IEEE Computer Society, 118 - 31. Los Alamitos, CA: IEEE Computer Society Press.

6. Дэвид Г. Метод парных сравнений / Дэвид Г. - М.: Статистика, 1978. - 218 с.

7. Тоценко В.Г. Методы и системы поддержки принятия решений. Алгоритмический аспект / Тоценко В.Г. - К.: Наукова думка, 2002. - 381 с.

8. НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. - Введ. 28.04.1999. - К.: ДСТСЗИ СБ Украины, 1999.

9. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу. - Введ. 28.04.1999. - К.: ДСТСЗИ СБ Украины, 1999.

10. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі. - Введ. 04.12.2000. - К.: ДСТСЗИ СБ Украины, 2000.

11. Нелешенко B.C. Обзор методик обнаружения сетевых атак. // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике», часть II, 2006.

12. А.Ф. Чипига, B.C. Пелешенко. Обзор моделей систем обнаружения атак в ЛВС и выявление их недостатков // Материалы второй международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике»,часть II, Ставрополь, 2006.

13. А.Ф. Чипига, B.C. Пелешенко. «Формализация процедур обнаружения и предотвращения сетевых атак» // журнал «Известия ТРТУ». Таганрог: Изд-во ТРТУ, 2006.

Размещено на Allbest.ru

...