Saluran rahsia ialah salah satu kaedah dalam keselamatan maklumat yang boleh digunakan dengan kedua-dua tanda tambah (untuk memastikan kerahsiaan dan kerahsiaan) dan tanda tolak (untuk mengatur kebocoran data). Mari kita pertimbangkan komponen kedua - pengesanan penghantaran data tersembunyi, atau penghantaran data melalui saluran tersembunyi, yang merupakan salah satu masalah keselamatan maklumat yang paling sukar untuk diselesaikan dalam amalan. Untuk tidak menambah saiz artikel, saya akan dengan sengaja mengabaikan mekanisme penyembunyian data seperti penyulitan dan steganografi.
Alexey Lukatsky
Perunding Keselamatan Cisco
Apakah pemindahan data tersembunyi?
Pemindahan data tersembunyi melalui rangkaian bukanlah satu-satunya aplikasi kaedah ini. Istilah "saluran rahsia" pertama kali muncul pada tahun 1973 dan digunakan untuk sistem pengkomputeran yang tidak mempunyai sambungan rangkaian tradisional. Sebagai contoh, nilai genap untuk tempoh proses boleh bermakna satu, dan nilai ganjil boleh bermakna sifar. Oleh itu, dengan memanipulasi tempoh proses, kita boleh membentuk urutan 0 dan 1, yang boleh kita gunakan untuk menerangkan apa-apa (ini adalah saluran masa yang dipanggil). Satu lagi contoh proses tersembunyi dalam sistem pengkomputeran– proses memulakan tugas tertentu dan menyelesaikannya pada masa tertentu, yang boleh ditafsirkan sebagai satu unit; dan sifar jika tugasan tidak disiapkan dalam masa yang ditetapkan.
Bagaimanakah penghantaran rahsia boleh dilaksanakan?
Jika kita bercakap tentang penghantaran data rangkaian tersembunyi, maka salah satu kaedah yang paling popular dan agak mudah untuk dilaksanakan ialah enkapsulasi, yang terdiri daripada memasukkan maklumat dilindungi yang mesti dihantar secara luaran, atau arahan yang mesti diterima secara luaran, dalam protokol yang dibenarkan.
Dalam kes ini, pilihan enkapsulasi yang sama sekali berbeza boleh digunakan:
Pada tahun 1987, idea penghantaran rangkaian rahsia telah dicadangkan, dan sejak saat itu, penyelidikan serius bermula ke dalam kaedah ini untuk memastikan kerahsiaan atau kebocoran data (bergantung pada sisi pagar yang anda lihat). Khususnya, pada tahun 1989 ia mula-mula dicadangkan untuk memanipulasi bit bingkai Ethernet yang tidak digunakan dan beberapa protokol saluran lain. Jelas sekali, saluran rahsia dalam rangkaian tempatan tidak begitu menarik untuk dikaji, berbeza dengan menyembunyikan data dalam rangkaian global. Terobosan (oleh sekurang-kurangnya, awam) boleh dianggap 1996, apabila kajian diterbitkan yang menunjukkan pemindahan sebenar dan menerima data melalui saluran TCP/IP tersembunyi; atau sebaliknya, dalam medan individu pengepalanya.
- Di peringkat HTTP, yang telah lama menjadi standard de facto untuk membina protokol aplikasi lain berdasarkannya. Sebagai contoh, rangkaian tanpa nama JAP menggunakan HTTP untuk memindahkan data, juga menggunakan rangkaian Tor yang sukar dikawal. Dalam HTTP, adalah mungkin untuk menggunakan arahan GET dan POST untuk memindahkan data, dan jika HTTP digunakan untuk memindahkan penstriman video dan audio, maka keupayaan penyerang untuk memindahkan sejumlah besar data menjadi hampir tidak terhad.
- Pada peringkat DNS, apabila maklumat disembunyikan di dalam pertanyaan DNS dan respons kepada mereka. Orang ramai mula bercakap tentang kaedah ini pada awal 2000-an, apabila alat DeNiSe untuk menyalurkan protokol TCP ke DNS muncul. Kemudian terdapat kajian oleh Dan Kaminsky yang menunjukkan kemungkinan merangkum SSH melalui DNS dan dibentangkan pada persidangan Defcon pada tahun 2005. Dan kemudian topik ini mula mendapat populariti - dns2tcp, DNScapy, DNScat, Heyoka, iodin, squeeza, dll muncul.
- Pada peringkat ICMP, apabila data dikapsulkan dalam protokol ICMP yang biasanya selamat. Program Loki, pertama kali disebut pada tahun 1996 dalam majalah Phrack, beroperasi pada prinsip ini. Ia diikuti oleh Loki2 yang lebih maju. Terdapat juga alat yang dipanggil icm-pchat yang membolehkan anda berkomunikasi dengan mesej yang disulitkan melalui ICMP.
- Pada peringkat TCP/UDP/IP, apabila medan pengepala paket individu digunakan untuk menyembunyikan kebocoran atau menerima arahan dari luar. Bergantung pada protokol yang digunakan, saiz data yang dihantar akan berbeza dari 2 hingga 12 dan 38 bait, masing-masing, dalam protokol IP, UDP dan TCP. Alat yang sangat menarik yang menggunakan pengubahsuaian pengepala TCP dipanggil Nushu. Keanehannya ialah ia sendiri tidak mencipta sebarang lalu lintas, tetapi hanya mengubah suai yang telah dihantar dari nod oleh beberapa aplikasi atau proses. Dalam erti kata lain, trafik yang diubah suai dihantar ke tempat yang sepatutnya, dan penyerang hanya memintas melalui rangkaian, mengumpul data yang bocor dengan cara ini.
- Dalam rangkaian wayarles, apabila data bertopeng dalam trafik yang dihantar yang diedarkan melalui penyiaran. Dengan cara ini, dalam kes ini tidak mudah untuk mengesan pihak penerima yang boleh bekerja mod pasif– hanya untuk menerima data. Alat HICCUPS dibina berdasarkan prinsip ini.
Bagaimanakah penghantaran tersembunyi boleh dikesan?
Melihat pelbagai kaedah yang digunakan oleh saluran rahsia dan protokol di mana ia ditemui, anda memahami mengapa begitu banyak yang ditawarkan kaedah yang berbeza pengesanan penghantaran tersembunyi. Yang utama ialah kawalan anomali, yang terdiri daripada pemeriksaan parameter berikut(senarai tidak lengkap):
- Saiz permintaan dan respons. Sebagai contoh, diketahui bahawa purata panjang permintaan DNS adalah tidak lebih daripada 40–60 bait. Oleh itu, pertambahan bilangan pertanyaan DNS dengan peningkatan panjang paket mungkin menunjukkan operasi saluran rahsia. Amalan serupa boleh dicadangkan untuk protokol lain - ICMP, SIP, dsb.
- Jumlah permintaan. Biasanya, volum trafik untuk jenis protokol tertentu adalah, jika bukan nilai tetap, maka jarang berubah dalam beberapa pecahan peratus. Oleh itu, peningkatan mendadak dalam trafik protokol perkhidmatan atau bilangan permintaan DNS atau saiznya mungkin menunjukkan anomali dan keperluan untuk menyiasat. Selain itu, profil trafik dalam kes ini boleh dinilai untuk kedua-dua nod penghantar dan nod penerima.
- Bilangan atau geografi hits juga boleh berfungsi sebagai ciri saluran tersembunyi. Contohnya, jika anda mempunyai pelayan DNS dalaman, panggilan berterusan ke nod DNS luaran juga mungkin menunjukkan anomali.
- Jenis lain Analisis statistik juga berguna untuk mengesan saluran rahsia. Sebagai contoh, anda boleh menganalisis tahap entropi dalam nama hos untuk DNS. Jika maklumat tersembunyi dihantar dalam pertanyaan DNS, pengedaran aksara yang digunakan akan berbeza daripada yang tradisional.
Alat yang membolehkan anda menjejaki anomali sedemikian masuk trafik rangkaian, ialah sistem kelas NBAD (Pengesanan Anomali berasaskan Rangkaian) yang sama ada sudah mengandungi sejumlah besar peraturan terbina dalam, atau boleh dikonfigurasikan secara bebas selepas mod latihan.
Selain analisis anomali, saluran rahsia juga boleh dikesan dengan mengkaji kandungan dalam protokol tertentu. Ini boleh dilakukan menggunakan kedua-dua penyelesaian kelas Generasi Seterusnya tradisional, yang boleh memantau penyimpangan trafik protokol aplikasi daripada RFC, dan menggunakan sistem pengesanan pencerobohan. Sebagai contoh, ini adalah tandatangan untuk mengesan saluran NSTX tersembunyi dalam protokol DNS untuk penyelesaian sumber terbuka Snort:
makluman udp $EXTERNAL_NET sebarang - > $HOME_NET 53 (msg:"Terowong DNS NSTX Berpotensi"; kandungan:"|01 00|"; mengimbangi:2; dalam:4; kandungan:"cT"; mengimbangi:12; kedalaman:3 ; kandungan:"|00 10 00 01|"; dalam:255; classtype:bad-unknown; sid:1000 2;)
Ringkasan
Kekurangan kesejagatan, mungkin, merupakan halangan utama kepada kedua-dua penggunaan aktif saluran rahsia dan memeranginya.
Saluran rahsia dalam trafik rangkaian adalah kaedah yang sangat khusus yang tidak universal dan mempunyai batasan dan skopnya sendiri. Setiap saluran rahsia mempunyai ciri tersendiri, seperti lebar jalur, bunyi bising, mod penghantaran (dua hala atau sehala), yang mesti diambil kira - semasa menggunakannya dan semasa memeranginya. Namun, "Perang dan Keamanan" oleh L.N. Tolstoy tidak boleh dihantar dengan cepat melalui saluran sedemikian, dan beberapa kaedah penghantaran rahsia mempunyai tahap hingar yang sangat tinggi, yang menghalangnya daripada digunakan secara berkesan dalam rangkaian global, di mana faktor luaran boleh mempengaruhi kejayaan penghantaran rahsia.
Kekurangan kesejagatan, mungkin, merupakan halangan utama kepada kedua-dua penggunaan aktif saluran rahsia dan memeranginya. Sebilangan besar sekatan pada pemindahan data rahsia menjadikannya domain hanya ancaman sasaran yang dibangunkan untuk tugas tertentu dan pelanggan tertentu. Kekurangan kesejagatan yang sama ini membawa kepada idea bahawa tiada peluru perak dalam bentuk satu produk sekarang sama ada, dan perlu menggunakan rangkaian keseluruhan alat dan teknologi untuk mengesan dan meneutralkan penghantaran data tersembunyi.
pengenalan
Saluran tersembunyi- Ini saluran komunikasi, menghantar maklumat menggunakan kaedah yang pada asalnya tidak bertujuan untuk tujuan ini.
Saluran rahsia mendapat namanya daripada fakta bahawa ia tersembunyi daripada sistem kawalan capaian sistem pengendalian yang selamat, kerana ia tidak menggunakan mekanisme penghantaran yang sah seperti baca dan tulis, dan oleh itu tidak dapat dikesan atau dikawal oleh mekanisme keselamatan perkakasan. yang membentuk asas sistem pengendalian selamat. Dalam sistem sebenar, saluran rahsia hampir mustahil untuk dikesan, dan selalunya boleh dikesan dengan memantau prestasi sistem; Di samping itu, kelemahan saluran rahsia ialah nisbah isyarat-ke-bunyi yang rendah dan kadar pemindahan data yang rendah (mengikut susunan beberapa bit sesaat). Ia juga boleh dialih keluar secara manual daripada sistem yang dilindungi dengan tahap kebolehpercayaan yang tinggi menggunakan strategi analisis saluran rahsia yang telah ditetapkan.
Saluran rahsia sering dikelirukan dengan eksploitasi saluran yang sah, yang menyerang sistem pseudo-secure, kepercayaan rendah menggunakan skim seperti steganografi atau lebih kurang litar kompleks, direka untuk menyembunyikan objek terlarang di dalam objek dengan maklumat undang-undang. Eksploitasi saluran yang sah sedemikian menggunakan skim penyembunyian data bukanlah saluran rahsia dan boleh dihalang oleh sistem dipercayai yang sangat selamat.
Saluran rahsia boleh menembusi sistem pengendalian yang selamat dan memerlukan langkah khas untuk mengawalnya. Satu-satunya kaedah yang terbukti untuk memantau saluran rahsia adalah apa yang dipanggil analisis saluran rahsia. Pada masa yang sama, sistem pengendalian selamat boleh dengan mudah menghalang penyalahgunaan (atau menyalahi undang-undang) penggunaan saluran undang-undang. Analisis objek tersembunyi bagi saluran undang-undang sering disalahtafsirkan sebagai satu-satunya langkah yang berjaya terhadap penggunaan saluran undang-undang secara haram. Oleh kerana dalam amalan ini bermakna keperluan untuk menganalisis sejumlah besar perisian, pada tahun 1972 telah ditunjukkan bahawa langkah sedemikian tidak berkesan. Tanpa mengetahui perkara ini, ramai yang percaya bahawa analisis sedemikian boleh membantu menguruskan risiko yang berkaitan dengan saluran undang-undang.
1.1. piawaian TCSEC
TCSEC ialah satu set piawaian yang ditetapkan oleh Jabatan Pertahanan AS.
Definisi Lampson saluran rahsia telah diutarakan semula dalam TCSEC untuk merujuk kepada cara memindahkan maklumat daripada lapisan yang lebih selamat kepada lapisan yang kurang selamat. Dalam persekitaran pengkomputeran terbahagi, sukar untuk mengasingkan sepenuhnya satu proses daripada kesan yang mungkin ada pada proses lain ke atas persekitaran operasi. Saluran rahsia dicipta melalui proses penghantaran, yang memodulasi beberapa keadaan (seperti ruang kosong, ketersediaan beberapa perkhidmatan, tamat masa permulaan, dll.), yang boleh dikesan oleh proses penerimaan.
Kriteria mentakrifkan dua jenis saluran rahsia:
- Saluran ingatan tersembunyi - proses berinteraksi kerana fakta bahawa seseorang boleh secara langsung atau tidak langsung menulis maklumat ke kawasan ingatan tertentu, dan yang kedua boleh membacanya. Biasanya ia dimaksudkan bahawa proses dengan pada tahap yang berbeza keselamatan mempunyai akses kepada beberapa sumber (contohnya, beberapa sektor cakera).
- Saluran masa rahsia - satu proses menghantar maklumat kepada yang lain dengan memodulasi penggunaan sumber sistemnya sendiri (seperti masa CPU) sedemikian rupa sehingga operasi ini mempengaruhi masa tindak balas sebenar yang diperhatikan oleh proses kedua.
Kriteria, juga dikenali sebagai Buku Jingga, memerlukan analisis saluran terpendam memori diklasifikasikan sebagai keperluan untuk sistem kelas B2 dan analisis saluran terpendam masa sebagai keperluan untuk sistem kelas B3.
2. Hapuskan saluran tersembunyi
Kemungkinan saluran rahsia tidak dapat dihapuskan sepenuhnya, tetapi ia boleh dikurangkan dengan ketara melalui reka bentuk dan analisis sistem yang teliti.
Pengesanan saluran rahsia boleh menjadi lebih sukar dengan menggunakan ciri medium penghantaran untuk saluran yang sah, yang tidak pernah dipantau atau disahkan oleh pengguna. Sebagai contoh, program boleh membuka dan menutup fail dengan cara tertentu yang disegerakkan yang boleh difahami oleh proses lain sebagai urutan bit, dengan itu membentuk saluran terselindung. Memandangkan tidak mungkin pengguna yang sah akan cuba mencari corak dalam membuka dan menutup fail, saluran rahsia jenis ini boleh tidak dapat dikesan untuk jangka masa yang lama.
Kes yang sama ialah teknologi "port knocking". Biasanya, apabila menghantar maklumat, masa permintaan tidak penting dan tidak dipantau, tetapi apabila menggunakan ketukan port, ia menjadi penting.
3. Menyembunyikan data dalam model OSI
Handel dan Sanford cuba meluaskan perspektif dan memberi tumpuan kepada saluran rahsia dalam model protokol rangkaian umum. Mereka mengambil model rangkaian OSI sebagai asas untuk alasan mereka dan kemudian mencirikan unsur-unsur sistem yang boleh digunakan untuk menyembunyikan data. Pendekatan yang diguna pakai mempunyai kelebihan berbanding pendekatan Handel dan Sanford kerana pendekatan kedua ini menganggap piawaian yang bertentangan dengan beberapa persekitaran rangkaian dan seni bina yang digunakan. Juga, tiada skim trengkas yang boleh dipercayai telah dibangunkan.
Walau bagaimanapun, dipasang prinsip umum untuk menyembunyikan data pada setiap tujuh lapisan model OSI. Selain mencadangkan penggunaan medan pengepala protokol terpelihara (yang mudah dikesan), Handel dan Sanford juga mencadangkan keupayaan penyaluran masa berkenaan operasi CSMA/CD pada lapisan fizikal.
Kerja mereka menentukan nilai saluran rahsia mengikut parameter berikut:
- Kebolehkesanan: Hanya penerima yang ditujukan penghantaran boleh membuat pengukuran saluran rahsia.
- Tidak dapat dibezakan: Saluran rahsia mestilah tidak dapat dikenal pasti.
- Lebar Jalur: Bilangan bit data tersembunyi bagi setiap penggunaan saluran.
Analisis saluran rahsia juga telah dibentangkan, tetapi ia tidak mempertimbangkan masalah seperti: interaksi menggunakan kaedah yang disebutkan antara nod rangkaian, anggaran kapasiti saluran dan kesan penyembunyian data pada rangkaian. Di samping itu, kebolehgunaan kaedah tidak boleh dibenarkan sepenuhnya dalam amalan, kerana model OSI tidak wujud sedemikian dalam sistem operasi.
4. Menyembunyikan data dalam persekitaran LAN
Girling adalah orang pertama yang menganalisis saluran rahsia dalam persekitaran rangkaian tempatan. Kerjanya tertumpu kepada tempatan jaringan komputer(LAN), di mana tiga saluran rahsia yang jelas dikenal pasti - dua dalam ingatan dan satu dalam masa. Ia menunjukkan contoh sebenar lebar jalur yang mungkin untuk saluran rahsia mudah di LAS. Untuk persekitaran LAS khas, penulis memperkenalkan konsep pemintas yang memantau tindakan pemancar tertentu pada LAN. Pihak yang melakukan penghantaran rahsia ialah penghantar dan pemintas. Maklumat tersembunyi, menurut Girling, boleh dihantar melalui mana-mana cara berikut:
- Memantau alamat yang diakses oleh pemancar. Jika bilangan alamat yang boleh diakses ialah 16, maka terdapat kemungkinan penghantaran rahsia dengan saiz mesej rahsia 4 bit. Pengarang mengklasifikasikan ciri ini sebagai saluran memori rahsia, kerana ia bergantung pada kandungan yang dihantar.
- Satu lagi saluran rahsia yang jelas bergantung pada saiz bingkai yang dihantar oleh pemancar. Jika ada 256 pelbagai saiz bingkai, maka jumlah maklumat rahsia yang diperoleh apabila menyahsulit satu saiz bingkai akan menjadi 8 bit. Saluran ini juga diklasifikasikan oleh pengarang sebagai saluran memori tersembunyi.
- Kaedah ketiga, temporal, bergantung pada perbezaan antara masa penghantaran. Sebagai contoh, perbezaan ganjil bermaksud "0", dan perbezaan genap bermakna "1". Masa yang diperlukan untuk memindahkan blok data dikira sebagai fungsi kelajuan pengkomputeran perisian, kelajuan rangkaian, saiz blok rangkaian dan kos masa protokol. Dengan mengandaikan bahawa blok dengan saiz yang berbeza dihantar ke LAN, purata penggunaan masa program dikira dan lebar jalur saluran rahsia juga dianggarkan.
5. Menyembunyikan data dalam pakej protokol TCP/IP
Pendekatan yang lebih khusus telah diambil oleh Rowland. Memberi tumpuan kepada IP dan pengepala TCP Suite protokol TCP/IP, output Rowland kaedah yang betul pengekodan dan penyahkodan menggunakan medan pengenalan IP dan medan nombor jujukan permulaan TCP dan nombor jujukan pengakuan. Kaedah ini dilaksanakan dalam aplikasi ringkas yang ditulis untuk sistem Linux yang menjalankan versi 2.0 kernel. Rowland hanya membuktikan idea tentang kewujudan saluran rahsia dalam TCP/IP, serta penggunaannya. Sehubungan itu, karya beliau boleh dinilai sebagai satu kejayaan praktikal dalam bidang ini. Kaedah pengekodan dan penyahkodan yang diguna pakainya lebih pragmatik berbanding karya yang dicadangkan sebelum ini. Kaedah ini dianalisis dengan mengambil kira mekanisme keselamatan seperti penukaran alamat rangkaian tembok api.
Walau bagaimanapun, kaedah penghantaran rahsia ini tidak dapat dikesan adalah dipersoalkan. Sebagai contoh, dalam kes apabila operasi dilakukan pada medan nombor jujukan pengepala TCP, skema diguna pakai di mana abjad dihantar secara rahsia setiap kali, tetapi bagaimanapun dikodkan dengan nombor jujukan yang sama. Selain itu, penggunaan medan nombor jujukan, serta medan pengesahan, tidak boleh dijalankan dengan merujuk kepada pengekodan ASCII abjad Inggeris, seperti yang dicadangkan, kerana kedua-dua medan mengambil kira penerimaan bait data yang berkaitan dengan rangkaian tertentu peket.
A. S. SANNIKOV
Institut Fizik Kejuruteraan Moscow (universiti negeri)
SALURAN TERSEMBUNYI PENGHANTARAN MAKLUMAT
Analisis protokol rangkaian utama dan algoritma tandatangan digital telah dijalankan, berdasarkan hasil kaedah untuk mengatur saluran rahsia untuk penghantaran maklumat telah dicadangkan, klasifikasi saluran rahsia telah disusun dan alat untuk pemindahan data rahsia telah dibangunkan.
Satu kajian telah dijalankan di MEPhI di Jabatan Sistem dan Teknologi Komputer pelbagai jenis saluran tersembunyi penghantaran maklumat. Saluran tersembunyi ialah saluran yang membolehkan anda mengatur proses penghantaran maklumat yang memintas dasar keselamatan. Contoh penggunaan saluran tersembunyi ialah mendapatkan maklumat sulit. Bergantung pada keadaan, saluran rahsia sehala pun boleh digunakan untuk mendapatkan dokumen sulit syarikat.
Pada masa ini, mekanisme yang paling popular untuk mencipta saluran rahsia dalam protokol rangkaian, seperti: IP, TCP, ICMP, HTTP, DNS. Prinsip utama mengatur saluran rahsia tersebut adalah untuk menggantikan nilai dalam pengepala protokol dengan anda sendiri, tanpa melanggar ketepatan pengepala dan mengekalkan kebolehpercayaannya.
Saluran rahsia boleh diatur bukan sahaja dalam protokol rangkaian. Contoh yang menarik mungkin kemungkinan menganjurkan saluran rahsia dalam algoritma tandatangan digital.
Klasifikasi saluran rahsia berikut boleh dicadangkan:
Jenis saluran rahsia
o Dari ingatan
§ Berdasarkan nilai.
o Mengikut masa
§ Berasaskan nilai
§ Berdasarkan perubahan nilai
· Lebar jalur
· Fokus
o Sehala
o Dwiarah
· Tingkah laku
o Aktif
o Pasif
o Tidak langsung
Kesukaran pengesanan (kemungkinan)
· Kebolehpercayaan
Semasa penyelidikan, ia juga dibangunkan alat perisian untuk penghantaran maklumat tersembunyi. Kemungkinan penghantaran tersembunyi masuk dalam kes ini adalah berdasarkan penggunaan medan pengepala protokol TCP/IP. Data yang dihantar dikodkan dalam medan ID pengepala IP dan SEQ (nombor urutan) pengepala TCP, dengan itu mengatur saluran rahsia. Oleh kerana medan ini diperlukan untuk protokol berfungsi, ia tidak boleh dibuang semasa paket melaluinya pelbagai cara perlindungan.
DALAM alat ini kemungkinan mengatur kawalan tersembunyi telah dilaksanakan komputer jauh dengan OS Linux dipasang.
Kelebihan utama saluran rahsia ialah kesukaran yang luar biasa untuk membezakannya daripada aliran data yang sah (biasa, tidak mengandungi maklumat tersembunyi).
Salah satu kawasan di mana saluran rahsia digunakan ialah pengintipan industri. Arah lain, memandangkan kemungkinan luas untuk penggunaan saluran rahsia oleh penyerang, ialah organisasi langkah dan pembangunan cara untuk melindungi daripada kebocoran maklumat sulit melalui saluran rahsia.
Pada masa ini, alatan telah pun dibangunkan yang membenarkan penganjuran saluran penghantaran suara tersembunyi dalam protokol VoIP. Oleh itu, ia menjadi mungkin untuk menghantar jumlah maklumat yang besar, tidak dapat dikesan oleh hampir semua cara pengesanan.
Bibliografi
pengenalan.
1 Analisis kaedah pengesanan pencerobohan sedia ada.
1.1 Konsep asas.
1.2 Struktur tipikal IDS.
1.3 Metodologi pengesanan pencerobohan.
1.4 Pengesanan penyalahgunaan.
1.4.1 Padanan rentetan.
1.4.2 Penggunaan sistem pakar.
1.4.3 Analisis peralihan antara negeri.
1.4.4 Kaedah perlombongan data.
1.5 Pengesanan anomali.
1.5.1 Kaedah statistik.
1.5.2 Meramal tingkah laku.
1.5.3 Kaedah perlombongan data.
1.5.4 Kaedah rangkaian saraf.
1.5.5 Mengesan anomali dalam urutan panggilan sistem.
1.6 Pengelasan IDS.
1.7 Matlamat dan objektif kajian.
1.8 Kesimpulan.
2 Pembangunan model sistem pengesanan pencerobohan berasaskan HMM.
2.1 Maklumat daripada teori HMM.
2.1.1 Definisi asas.
2.1.2. Menetapkan tugas standard yang berkaitan dengan SMM.
2.1.3 Menyelesaikan masalah anggaran.
2.1.4 Menyelesaikan masalah pengecaman.
2.1.5 Menyelesaikan masalah pembelajaran.
2.1.6 Aplikasi penskalaan dalam algoritma HMM.
2.1.7 Menyelesaikan masalah pembelajaran untuk pelbagai urutan pemerhatian.
2.2 Prinsip operasi model COA.
2.2.1 Skim umum COA.
2.2.2 Peringkat operasi sistem.
2.2.3 Memilih subsistem audit untuk digunakan.
2.2.4 Pembentukan profil tingkah laku biasa proses.
2.2.5 Algoritma untuk mengesan anomali dalam operasi proses.
2.3 Kajian tentang kemungkinan operasi COA yang dibangunkan sebagai sebahagian daripada IDS yang komprehensif.
2.4 Kesimpulan.
3 Kajian eksperimen model sistem pengesanan pencerobohan
3.1 Penerangan tentang pangkalan data ujian.
3.1.1 Rasional untuk memilih pangkalan data ujian.
3.1.2 Memproses data 1рг.
3.1.3 Data proses yang dinamakan.
3.1.4 data proses xlock.
3.1.5 Data proses log masuk.
3.1.6 ps memproses data.
3.1.7 data proses inetd
3.1.8 Data proses Stide.
3.2 Ilustrasi operasi algoritma pengesanan anomali menggunakan data daripada proses yang dinamakan sebagai contoh:.
3.3 Kajian kebergantungan kecekapan pengesanan pencerobohan pada bilangan negeri HMM yang dipilih.
3.3.1 Pernyataan masalah kajian.
3.3.2 proses lpr.
3.4 Perbincangan keputusan eksperimen.
3.5 Kesimpulan.
4 Pembangunan algoritma pembelajaran selari untuk SMM.
4.1 Penyelesaian yang diketahui untuk mempercepatkan latihan SMM.
4.2 Justifikasi kemungkinan mengatur pengkomputeran selari dengan berkesan dalam algoritma pembelajaran SMM.
4.2.1 Analisis algoritma pembelajaran HMM untuk urutan tunggal pemerhatian.
4.2.2 Analisis algoritma pembelajaran untuk pelbagai urutan pemerhatian.
4.3 Pembangunan algoritma pembelajaran HMM selari.
4.4. Penilaian teori kecekapan algoritma selari.
4.5 Ciri-ciri pelaksanaan perisian algoritma pembelajaran SMM selari.
4.5.1 Pemilihan cara pelaksanaan.
4.5.2 Penerangan tentang pelaksanaan perisian.
4.5.3 Pengesahan eksperimen bagi korespondensi kefungsian pelaksanaan selari dan berjujukan algoritma pembelajaran HMM.
4.6 Kesimpulan.
5 Kajian eksperimen keberkesanan algoritma pembelajaran HMM selari.
5.1 Keadaan eksperimen.
5.2 Kajian kecekapan algoritma pembelajaran HMM selari pada kelompok rangkaian.
5.3 Kajian kecekapan algoritma pembelajaran SMM selari pada kluster berbilang pemproses.
5.4 Kesimpulan.
Pengenalan disertasi (sebahagian daripada abstrak) mengenai topik "Pembangunan alat algoritma dan perisian yang meningkatkan kecekapan pengesanan pencerobohan berdasarkan penggunaan model Markov tersembunyi"
Disebabkan oleh peningkatan teknologi pengkomputeran dan pertumbuhan pesat teknologi telekomunikasi, terdapat peningkatan dalam kerumitan perisian yang digunakan. Dalam keadaan sedemikian, analisis program yang dibangunkan dari sudut keselamatan menjadi lebih sukar. Menurut Institut Piawaian dan Teknologi Kebangsaan AS (NIST), manakala bilangan kelemahan yang dilaporkan dalam perisian yang digunakan secara meluas adalah berpuluh-puluh setahun sebelum 1996, pada tahun 2004 angka ini mencapai 2356, pada tahun 2005 - 4914, dan pada tahun 2006 - 6600.
Jumlah kelemahan perisian yang semakin meningkat menjadikan bukan sahaja isu sedemikian relevan. langkah pencegahan tindakan balas, seperti penggunaan tembok api dan sistem penipuan, tetapi juga pelaksanaan sistem pengesanan pencerobohan (IDS), yang secara aktif boleh menentang percubaan pada akses tanpa kebenaran. Pada masa yang sama, adalah jelas bahawa dari semasa ke semasa, IDS, berdasarkan sepenuhnya pada penggunaan pangkalan data yang dikemas kini bagi tandatangan pencerobohan yang diketahui, tidak akan dapat menjamin pengesanan segera pencerobohan berdasarkan kelemahan yang baru ditemui.
Isu terbaharu surat berita tahunan Institut SANS, yang mencerminkan sepuluh trend terpenting dalam pembangunan keselamatan maklumat, meramalkan peningkatan selanjutnya dalam eksploitasi kelemahan yang tidak diketahui sebelum ini (kelemahan 0 hari), serta peningkatan dalam bilangan nod terjejas rangkaian global, membenarkan penyerang melakukan serangan yang diedarkan dan seterusnya menyukarkan untuk mencari punca pencerobohan. Dalam keadaan sedemikian, pembangunan pendekatan baharu untuk pengesanan pencerobohan, memastikan pengesanan pencerobohan tepat pada masanya, tanpa mengira kehadiran tandatangan tepatnya, menjadi relevan.
Perkaitan topik
Masalah utama yang dihadapi oleh pembangun sistem moden pengesanan pencerobohan (ID) ialah kecekapan rendah mekanisme sedia ada untuk mengesan jenis pencerobohan yang pada asasnya baru, tanda-tandanya belum dikaji dan tidak dimasukkan ke dalam pangkalan data tandatangan. Dibangunkan dalam tahun lepas Teori pengesanan anomali yang direka untuk menyelesaikan masalah ini tidak digunakan secara meluas kerana kebolehpercayaan kaedah yang digunakan yang rendah. Sistem yang dibina berdasarkan teori ini dicirikan oleh tidak boleh diterima tahap tinggi positif palsu.
Baru-baru ini, lebih meluas kaedah yang berkesan pengesanan pencerobohan berdasarkan analisis urutan panggilan sistem yang datang ke kernel sistem pengendalian. Antaranya, salah satu arahan yang paling menjanjikan ialah penggunaan model Markov tersembunyi (HMM) untuk menerangkan model profil tingkah laku biasa sesuatu proses dan mengesan penyimpangan daripada profil ini, menunjukkan kemungkinan pencerobohan. Kaedah berdasarkan penggunaan HMM adalah lebih baik daripada kaedah lain dalam kecekapan pengesanan, tetapi memerlukan penggunaan algoritma yang lebih intensif buruh.
Oleh itu, tugas untuk menyelidik dan menambah baik pendekatan pengesanan pencerobohan menggunakan HMM adalah relevan.
Matlamat kerja adalah untuk membangunkan kaedah pengesanan pencerobohan berdasarkan pendekatan yang melibatkan penggunaan HMM untuk menerangkan profil proses. Kaedah yang dibangunkan memungkinkan untuk mengurangkan masa latihan HMM untuk kegunaan mereka yang lebih berkesan dalam menyelesaikan masalah pengesanan pencerobohan.
Berdasarkan matlamat utama kerja ini, senarai tugas yang perlu diselesaikan ditentukan:
1) Membangunkan model sistem pengesanan pencerobohan.
2) Membangunkan algoritma untuk menjana profil kelakuan biasa proses dalam bentuk HMM dan mengesan pencerobohan dengan bantuan mereka.
3) Membangunkan algoritma pembelajaran selari untuk mengurangkan masa latihan SMM.
4) Menjalankan kajian eksperimen dan analisis perbandingan algoritma pembelajaran SMM berurutan dan selari.
Penyelidikan menggunakan kaedah teori kebarangkalian dan statistik matematik, pemodelan matematik, teori algoritma, dan teori pengkomputeran selari. Pemodelan komputer digunakan secara meluas, termasuk menggunakan perisian yang dibangunkan secara bebas.
Keputusan utama diserahkan untuk pertahanan
1) Model IDS, berdasarkan pengesanan anomali dalam urutan panggilan sistem yang datang daripada proses terkawal, menggunakan profil kelakuan biasa proses terkawal dalam bentuk HMM. Model ini berdasarkan kaedah yang membenarkan penyetempatan anomali yang disebabkan oleh pencerobohan dengan ketepatan panggilan sistem, berdasarkan kebarangkalian bersyarat kejadiannya.
2) Algoritma pembelajaran HMM yang selari dan berskala untuk berbilang jujukan pemerhatian yang membolehkan latihan HMM menjadi lebih pantas daripada algoritma Baum-Welch berjujukan yang digunakan secara meluas pada masa ini.
Kebaharuan saintifik karya adalah seperti berikut:
Kaedah pengesanan pencerobohan telah dibangunkan yang menggunakan profil tingkah laku biasa proses terkawal dalam bentuk HMM. Kaedah ini membolehkan anda menyetempatkan anomali yang disebabkan oleh pencerobohan, tepat pada panggilan sistem, berdasarkan kebarangkalian bersyarat kejadiannya.
Algoritma pembelajaran HMM selari berskala untuk pelbagai jujukan pemerhatian telah dibangunkan, dilaksanakan menggunakan teknologi MPI. Pelaksanaan algoritma selari menunjukkan prestasi hampir dengan had teori walaupun semasa bekerja pada kelompok rangkaian murah yang digunakan pada rangkaian komputer jenis Fast Ethernet.
Kepentingan praktikal dan pelaksanaan hasil kerja
Kepentingan praktikal hasil disertasi adalah seperti berikut:
Model sistem pengesanan pencerobohan telah dibangunkan, berdasarkan pengesanan anomali dalam urutan panggilan sistem yang datang daripada proses terkawal. Prinsip yang tertanam dalam sistem memungkinkan untuk mengesan pencerobohan yang tanda-tandanya (tandatangan) tidak diketahui secara priori.
Algoritma selari untuk latihan SMM telah dibangunkan, yang membolehkan mengurangkan masa latihan mereka. Algoritma boleh digunakan dalam aplikasi HMM lain, contohnya, dalam pengecaman pertuturan, pengecaman teks optik dan genetik.
Program selari dibangunkan cepat belajar SMM yang memberikan prestasi hampir kepada had teori walaupun berjalan pada kluster rangkaian kos rendah.
Hasil penyelidikan utama telah digunakan di Jabatan Keselamatan Teknologi Maklumat Institut Teknologi Universiti Persekutuan Selatan di Taganrog apabila melaksanakan beberapa kerja penyelidikan dan pembangunan untuk pelanggan kerajaan, kajian saintifik, disokong oleh geran
RFBR, serta geran bersama daripada Kementerian Pendidikan dan Sains Persekutuan Rusia dan Perkhidmatan Pertukaran Akademik Jerman (DAAD).
Kebolehpercayaan keputusan yang diperolehi disahkan oleh kesempurnaan dan ketepatan justifikasi teori dan hasil eksperimen yang dijalankan menggunakan program yang dibangunkan dalam disertasi.
Penerbitan
Terdapat 12 penerbitan mengenai topik disertasi, termasuk 11 artikel saintifik dan abstrak dan satu sijil pendaftaran program komputer. Tiga artikel telah diterbitkan dalam jurnal "Izvestia of the Taganrog State Radio Engineering University (TRTU)" untuk 2003-2005. daripada senarai yang disyorkan oleh Suruhanjaya Pengesahan Tinggi Persekutuan Rusia untuk menerbitkan hasil disertasi.
Hasil utama kerja telah dilaporkan dan dibincangkan di:
1) Persidangan saintifik dan praktikal antarabangsa " Keselamatan maklumat", Taganrog, 2002, 2003, 2004 dan; 2005
2) Persidangan belia serantau XXXIII “Masalah teori dan matematik gunaan", Ekaterinburg, 2002
3) Persidangan kakitangan pengajar Universiti Kejuruteraan Radio Negeri Taganrog, Taganrog, 2004 dan 2005.
4) Seminar felo program Mikhail Lomonosov, Bonn (Jerman), 2005.
5) Persidangan antarabangsa"Sains Komputer dan Teknologi Maklumat", Karlsruhe (Jerman), 2006.
Struktur dan skop disertasi
Disertasi terdiri daripada pengenalan, lima bab, kesimpulan, senarai sumber yang digunakan (113 tajuk) dan lampiran. Jumlah keseluruhan kerja ialah 158 muka surat. Karya tersebut mengandungi bahan grafik sebanyak 19 lukisan dan mengandungi 28 muka surat lampiran.
Kesimpulan disertasi mengenai topik "Kaedah dan sistem keselamatan maklumat, keselamatan maklumat", Anikeev, Maxim Vladimirovich
5.4 Kesimpulan
1) Kajian eksperimen keberkesanan algoritma pembelajaran HMM selari pada kelompok rangkaian telah dijalankan. Data penyelidikan menunjukkan kemungkinan melaksanakan algoritma pada kluster rangkaian yang murah dengan sebilangan kecil nod, sambil mencapai nilai kelajuan yang hampir dengan had teori.
2) Dalam kajian menggunakan kluster berbilang pemproses, peningkatan hampir kepada linear dalam pecutan diperhatikan sehingga ia mencapai had praktikal. Ini menunjukkan kecekapan tinggi menggunakan sumber pengkomputeran semasa penyejajaran.
Kesimpulan
Selaras dengan matlamat yang ditetapkan, hasil daripada penyelidikan dan pembangunan yang dijalankan, hasil saintifik utama berikut diperolehi:
1) Model IDS telah dibangunkan, berdasarkan pengesanan anomali dalam urutan panggilan sistem yang datang daripada proses terkawal. Prinsip yang tertanam dalam sistem memungkinkan untuk mengesan pencerobohan yang tanda-tandanya (tandatangan) tidak diketahui secara priori. Model ini menggunakan profil tingkah laku biasa proses terkawal dalam bentuk HMM. Model ini berdasarkan kaedah yang membolehkan anda menyetempatkan anomali yang disebabkan oleh pencerobohan, tepat pada panggilan sistem, berdasarkan kebarangkalian bersyarat kejadiannya. Kemungkinan untuk menyepadukan model ke dalam IDS yang kompleks telah diterokai.
2) Kajian eksperimen telah dijalankan ke atas pergantungan penunjuk kecekapan pengesanan pencerobohan pada bilangan negeri HMM yang dipilih. Telah ditetapkan bahawa proses pembelajaran HMM sering menumpu kepada minimum tempatan fungsi objektif. Fakta ini merumitkan lagi proses pembelajaran, kerana terdapat keperluan tambahan untuk mencari nilai bagi bilangan keadaan yang menyediakan tahap kebarangkalian yang diperlukan untuk pengesanan yang betul dan positif palsu. Justeru, tugas mengurangkan masa latihan SMM menjadi lebih mendesak.
3) Algoritma pembelajaran HMM berskala selari telah dibangunkan, yang membolehkan latihan lebih cepat daripada algoritma Baum-Welch berjujukan yang digunakan secara meluas pada masa ini untuk berbilang jujukan pemerhatian, serta pelaksanaan perisiannya berdasarkan teknologi MPI. Algoritma boleh digunakan dalam aplikasi HMM lain, contohnya, dalam pengecaman pertuturan, pengecaman teks optik dan genetik.
4) Kajian eksperimen keberkesanan algoritma pembelajaran HMM selari telah dijalankan. Data penyelidikan menunjukkan kemungkinan melaksanakan algoritma pada gugusan rangkaian yang murah dengan pecutan menghampiri had teori.
Senarai rujukan untuk penyelidikan disertasi Calon Sains Teknikal Anikeev, Maxim Vladimirovich, 2008
1. Institut Piawaian dan Teknologi Negara. E-sumber. -Terdapat: http://nvd.nist.gov.
2. Sepuluh trend keselamatan paling penting pada tahun akan datang / Disunting oleh S. Northcutt et al. - Institut SANS, 2006. - 3 p. - Tersedia: http://www.sans.org/resources/10securitytrends.pdf.
3. Kumar, S. Pengelasan dan pengesanan pencerobohan komputer: Tesis PhD. -Universiti Purdue, 1995. - 180 p.
4. Lukatsky, A. V. Pengesanan serangan. - St. Petersburg: BHV-Petersburg, 2001. -624 p.
5. Miloslavskaya, N. G., Tolstoy, A. I. Intranet: pengesanan pencerobohan: Buku teks. manual untuk universiti. - M.: Unity-Dana, 2001. - 587 p.
6. Lundin, E., Jonsson, E. Tinjauan penyelidikan pengesanan pencerobohan: Laporan teknikal No. 02-04. - Goteborg: Universiti Teknologi Chalmers, 2002 - 43 p.
7. Denning, D. E. Model pengesanan pencerobohan // Transaksi IEEE pada kejuruteraan perisian. - 1987. -Tidak. 2. - P. 222-232.
8. Hansen, S. E., Atkins, E. T. Pemantauan dan pemberitahuan sistem automatik dengan swatch // Proc. 7 Persidangan Pentadbiran Sistem (LISA 93). - Monterey. - 1993. - P. 101-108.
9. Abramov, E. S. Pembangunan dan penyelidikan kaedah untuk membina sistem pengesanan serangan: dis. . Ph.D. teknologi Sains: 05.13.19 - Taganrog, 2005. - 140 p.
10. Abramov, E. S. Pembangunan kaedah untuk ujian fungsional SOA // Koleksi kertas saintifik persidangan saintifik XI All-Russian "Masalah keselamatan maklumat dalam sistem sekolah tinggi". - M.: MEPhI, 2004.
11. Wu, S., Manber, U. Pencarian teks pantas dengan ralat. Laporan teknikal TR 91-11. -Tucson: Univ. daripada Arizona, 1991. - 18 p.
12. Lindqvist, U., Porras, P. A. Mengesan penyalahgunaan komputer dan rangkaian melalui set alat sistem pakar berasaskan pengeluaran (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, California, Mei 1999. - IEEE Contr. Soc., 1999, -P. 141-161.
13. Dengusan - secara de facto standard untuk pengesanan/pencegahan pencerobohan. - 2006. - Tersedia: http://snort.org
14. Manual pengguna Snort™. 2.6.0. - Sourcefire, Inc., 2006. - Tersedia: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf
15. Habra, N., Le Charlier, V., Mounji, A., Mathieu, I. ASAX: Seni bina perisian dan bahasa berasaskan peraturan untuk analisis jejak audit universal // Simposium Eropah mengenai Penyelidikan dalam Keselamatan Komputer (ESORICS). - 1992. - P. 435450.
16. Porras, P. A., Neumann, P. G. Emerald: Pemantauan acara yang membolehkan tindak balas kepada gangguan langsung yang tidak normal. -Proc. Persidangan Keselamatan Sistem Maklumat Kebangsaan Ke-20. - Baltimore: NIST/NCSC, 1997. - P. 353-365.
17. Vigna, G., Eckmann S. T., Kemmerer, R. A. Suite alat STAT // Proc. DISCEX 2000. - IEEE Press, 2000.
18. Ilgun, K., Kemmerer, R. A., Porras, P. A. Analisis peralihan negeri: pendekatan pengesanan pencerobohan asas peraturan // IEEE Trans. Kejuruteraan perisian. - Tidak. 3, Jld. 21.- 1995.- P. 181-199.
19. Sun, J. Pengauditan keselamatan BSM untuk pelayan Solaris. GIAC keperluan keselamatan praktikal pensijilan. - 2003. - 12 hlm. - Tersedia: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf
20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: Bahasa serangan untuk pengesanan pencerobohan berasaskan negeri. - 2000. -24 hlm. - Tersedia: http://citeseer.ist.psu.edu/452116.html
21. Kumar, S., Spafford, E. H. Model padanan corak untuk pengesanan pencerobohan penyalahgunaan. //Proc. 17 Persidangan Keselamatan Komputer Kebangsaan. - 1994. - Hlm. 11-21.
22. Lee, W., Stolfo, S. J., Mok, K. W. Pengesanan Pencerobohan Adaptif: A Perlombongan Data Pendekatan // Kajian Kepintaran Buatan. - 2000. - Jld. 14, No. 6.-P. 533-567.
23. Fink, G., Levitt, K. Ujian berasaskan harta bagi program istimewa // Proc. Persidangan Aplikasi Keselamatan Komputer Tahunan Ke-10. - IEEE, 1994. - P. 154-163.
24. Ko, C., Fink, G., Levitt, K. Pengesanan automatik kelemahan dalam program istimewa melalui pemantauan pelaksanaan // Proc. Persidangan Aplikasi Keselamatan Komputer Tahunan Ke-10. - Komp IEEE Soc. Akhbar, 1994. - P. 134144.
25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. Rasa kendiri untuk proses Unix // Proc. Simposium IEEE 1996 mengenai Keselamatan dan Privasi. - Komp IEEE Soc. Akhbar, 1996. - H. 120-128.
26. Ghosh, A. K., Wanken, J., Charron, F. Mengesan pencerobohan anomali dan tidak diketahui terhadap program // Proc. Persidangan Aplikasi Keselamatan Komputer Tahunan (ACSAC"98), Disember 1998. - 1998. - P. 259-267.
27. Eslcin, E. et al. Penjanaan model penyesuaian untuk pengesanan pencerobohan. I I Proc. Bengkel ACMCCS mengenai Pengesanan dan Pencegahan Pencerobohan, Athens, Greece, 2000. - 2000. - Tersedia: http://citeseer.ist.psu.edu/eskinOOadaptive.html.
28. Okazaki, Y., Sato, L, Goto, S. Kaedah pengesanan pencerobohan baharu berdasarkan pemprofilan proses. //Proc. IEEE Symposium on Applications and the Internet (SAINT"02) - 2002. - P. 82-91.
29. Cho, S.-B. Menggabungkan teknik pengkomputeran lembut ke dalam sistem pengesanan pencerobohan kebarangkalian. // Transaksi IEEE pada Sistem, Manusia dan Sibernetik, Bahagian C. - Vol. 32, No.2, 2002. - P. 154-160.
30. Yin, Q., Shen, L., Zhang, R., Li, X. Kaedah pengesanan pencerobohan baharu berdasarkan model tingkah laku. //Proc. 5 Kongres Dunia mengenai Kawalan Pintar dan Automasi, 15-19 Jun 2004, Hangzhou, P. R. China. - 2004. - P. 4370-4374.
31. Gudkov, V., Johnson, J. E. Pendekatan baharu untuk pemantauan rangkaian dan pengesanan pencerobohan // CoRR. - 2001. - Jld. cs.CR/0110019. - Tersedia: http://arxiv.org/abs/cs.CR/0110019.
32. Gudkov, V., Johnson, J. E. Pemantauan rangkaian berbilang dimensi untuk pengesanan pencerobohan // CoRR. - 2002. - Jld. cs.CR/0206020. - Tersedia: http://arxiv.org/abs/cs.CR/0206020.
33. Barford, P., Plonka, D. Ciri-ciri anomali aliran trafik rangkaian // Proc. Bengkel Pertama ACM SIGCOMM mengenai Pengukuran Internet, San Francisco, California, Amerika Syarikat, 1-2 November 2001. - ACM, 2001. - P. 69-73.
34. Smaha, S. E. Haystack: sistem pengesanan pencerobohan // Proc. Persidangan Aplikasi Keselamatan Komputer Aeroangkasa IEEE Ke-4. - Orlando, FL: IEEE, 1988. -P. 37-44.
35. Lane, T., Brodley, C. E. Pemadanan jujukan dan pembelajaran dalam pengesanan anomali untuk keselamatan komputer // Proc. Bengkel AAAI-97 mengenai Pendekatan AI untuk Pengesanan Penipuan dan Pengurusan Risiko. - 1997. - Hlm. 43-49.
36. Lane, T., Brodley, C. E. Aplikasi pembelajaran mesin untuk pengesanan anomali // Proc. Persidangan Keselamatan Sistem Maklumat Kebangsaan Ke-12. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - P. 366-380.
37. Lane, T. Teknik penapisan untuk pengelasan pengguna pantas // Proc. Bengkel Bersama AAAI-98/ICML-98 mengenai Pendekatan AI untuk Analisis Siri Masa. - Menlo Park, CA: AAI Press, 1998. - P. 58-63.
38. Lane, T., Brodley, C. E. Pembelajaran Urutan Temporal dan Pengurangan Data untuk Pengesanan Anomali // Proc. Persidangan ACM ke-5 mengenai Keselamatan Komputer dan Komunikasi. - Prof. untuk Jentera Pengkomputeran, 1998. - P. 150158.
39. Lane, T. Model Markov Tersembunyi untuk pemodelan antara muka manusia/komputer // Proc. Bengkel IJCAI-99 tentang Pembelajaran Mengenai Pengguna. - 1999. - Hlm. 35-^4.
40. Debar, H., Becker, M., Siboni, D. Komponen rangkaian saraf untuk sistem pengesanan pencerobohan // Proc. 1992 IEEE Comp. Soc. Simposium Penyelidikan dalam Keselamatan dan Privasi. - Los Alamos, CA: IEEE Comp. Soc. Akhbar, 1992. -P. 240-250.
41. Cannady, J. Rangkaian saraf tiruan untuk pengesanan salah guna // Proc. Persidangan Keselamatan Sistem Maklumat Kebangsaan 1998 (NISSC"98) - 1998. - P. 443-456.
42. Sidorov, I. D., Anikeev, M. V. Pengesanan rangkaian saraf tingkah laku pengguna anomali dalam mod konsol OS Linux // Bahan VI Antarabangsa persidangan saintifik-praktikal"Keselamatan maklumat". - Taganrog: TRTU, 2004. - ms 159-161.
43. Tumoian, E., Anikeev, M. Pengesanan berasaskan rangkaian bagi Saluran rahsia pasif dalam TCP/IP // LCN *05: Proc. Konf. IEEE pada Rangkaian Komputer Setempat. - Washington, DC: IEEE Comp. Soc., 2005 - P. 802-809.
44. Elman, J. L. Mencari struktur dalam masa // Sains Kognitif. - 1990. - Jld. 14, No. 2. - P. 179-211.
45. Fink, G., Ko, C., Archer, M., Levitt, K. Ke arah persekitaran ujian berasaskan harta dengan aplikasi kepada perisian kritikal keselamatan // Prosiding Simposium Perisian Irvine Ke-4. - 1994. - Hlm. 39-48.
46. Warrender, C., Forrest, S., Pearlmutter, B. A. Mengesan pencerobohan menggunakan panggilan sistem: model data alternatif // Proc. Simposium IEEE mengenai Keselamatan dan Privasi. - Oakland, CA: IEEE Comp. Soc., 1999. - P. 133-145.
47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Pengesanan pencerobohan menggunakan urutan panggilan sistem // Jurnal Keselamatan Komputer. - 1998. - Jld. 6, No. 3. -P. 151-180.
48. Cohen, W. W. Pengurangan peraturan berkesan pantas // Pembelajaran Mesin: Antarabangsa ke-12. Persidangan. - Morgan Kaufmann, 1995. - P. 115-123.
49. Yin, Q.-B. et al. Pengesanan pencerobohan berdasarkan model Markov tersembunyi. -Proc. 2nd Intl. Persidangan mengenai Pembelajaran Mesin dan Sibernetik. Xi"an, November. 2003. - IEEE, 2003. - Jld. 5. - P. 3115-3118.
50. Wespi, A., Dacier, M., Debar, H. Sistem pengesanan pencerobohan "berasaskan" pada algoritma penemuan corak TEIRESIAS // Proc. EICAR"99. - Aalborg, Denmark: Aalborg Universitet, 1999.- P. 1-15.
51. Rigoutsos, I., Floratos, A. Penemuan corak kombinatorial dalam jujukan biologi: algoritma TEIRESIAS // Bioinformatik. - 1998. - Jld.14, No. 1. -P. 55-67.
52. Marceau, C. Mencirikan tingkah laku program menggunakan N-gram berbilang panjang // Proc. 2000 bengkel tentang paradigma keselamatan Baharu. - Ballycotton, County Cork, Ireland: ACM Press, 2000. - P. 101-110.
53. Ghosh, A., Wanken, J., Charron, F. Mengesan pencerobohan anomali dan tidak diketahui terhadap program // Proc. Persidangan Aplikasi Keselamatan Komputer Tahunan 1998 (ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - P. 259-267.
54. Ghosh, A., Schwartzbard, A., Schatz, M. Profil tingkah laku program pembelajaran untuk pengesanan pencerobohan // Proc. Bengkel USENIX Pertama tentang Pengesanan Pencerobohan dan Pemantauan Rangkaian. - 1999. -P. 51-62.
55. Yeung, D., Ding, Y. Pengesanan pencerobohan berasaskan hos menggunakan model tingkah laku dinamik dan statik // Pengecaman Corak. - 2002. - Jld. 36. - P. 229243.
56. Al-Subaie, M., Zulkernine, M. Keberkesanan model Markov tersembunyi bagi rangkaian saraf terguling dalam pengesanan pencerobohan anomali // Proc. 30 Persidangan Perisian dan Aplikasi Komputer Antarabangsa Tahunan (COMPSAC). - Chicago: IEEE CS Press, 2006. - P. 325-332.
57. Heberlein, L. T. Pemantau keselamatan rangkaian. Laporan akhir. - Davis, CA: UC Davis, 1993. - 53 p. - Tersedia: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.
58. Paxson, V. Bro: sistem untuk mengesan penceroboh rangkaian dalam masa nyata // Rangkaian Komputer (Amsterdam, Belanda: 1999). - 1999. - Jld. 31, No. 23-24.-P. 2435-2463.
59. Ilgun, K. USTAT: sistem pengesanan pencerobohan masa nyata untuk UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, CA: IEEE Comp. Soc, 1993. - P. 16-28.
60. Staniford-Chen, S. et al. GrIDS - Sistem pengesanan pencerobohan berasaskan graf untuk rangkaian besar // Proc. Persidangan Keselamatan Sistem Maklumat Kebangsaan Ke-19. - 1996. - P. 361-370.
61. Jou, Y. F., Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Reka bentuk seni bina sistem pengesanan pencerobohan berskala untuk infrastruktur rangkaian yang muncul. Laporan Teknikal CDRL A005. - Releigh: North Carolina State University, 1997. - 42 p.
62. Somayaji, A., Forrest, S. Respons automatik menggunakan kelewatan panggilan sistem // Proc. Siposium Keselamatan USENIX. - Denver: USENIX, 2000. - P. 185-197.
63. Rabiner, JI. R. Model Markov Tersembunyi dan aplikasinya dalam aplikasi terpilih dalam pengecaman pertuturan: ulasan // TIIER. - 1989. - jilid 77, no. 2. -DENGAN. 86-120.
64. Baum, L. E., Sell, G. R. Fungsi pertumbuhan untuk transformasi dan manifold // Pacific Journal of Mathematics. - 1968. - Jld. 27, No. 2. - P. 211-227.
65. Sun, J. Pengauditan Keselamatan BSM untuk Pelayan Solaris. - Bethesda, Mayland: SANS, 2003. - 12 p. - Tersedia: http://www.securitydocs.com/go/2329.
66. E-sumber projek BSM Linux. - 2001. - Tersedia: http://linuxbsm.sourceforge.net.
67. TrustedBSD - E-sumber OpenBSM. - 2006. - Tersedia: http://www.trustedbsd.org/openbsm.html.
68. Kriteria Penilaian Sistem Komputer Dipercayai, DoD 5200.28-STD. - Fort Meade, MD: Pusat Keselamatan Komputer Negara, 1985. - 116 p. - Tersedia: http://csrc.nist.gov/publications/history/dod85.pdf.
69. Sistem Kekebalan Komputer - Set Data dan Perisian E-sumber. - Albuquerque, NM: Universiti New Mexico, 2004. - Tersedia: http://www.cs.unm.edu/~immsec/data-sets.htm.
70. Baras, J. S., Rabi, M. Pengesanan pencerobohan dengan mesin vektor sokongan dan model generatif. Laporan teknikal TR 2002-22. - Taman Kolej: Universiti Maryland, 2002. - 17 p.
71. Hoang, X. D., Hu, J., Bertok, P. Model berbilang lapisan untuk pengesanan pencerobohan anomali menggunakan urutan program panggilan sistem. -Proc. ICON"2003. Persidangan IEEE ke-11 mengenai Rangkaian. - IEEE, 2003. - P. 531-536.
72. Raj wade, A. Beberapa eksperimen dengan model Markov tersembunyi. Laporan teknikal. - Universiti Florida, 2005. - 18 p. - Tersedia: http://www.cise.ufl.edu/~avr/HMM.pdf.
73. Gtinter, S., Bunlce, H. Mengoptimumkan bilangan keadaan, lelaran latihan dan Gaussians dalam pengecam perkataan tulisan tangan berasaskan HMM // Proc. Int. ke-7 Conf. mengenai Analisis dan Pengiktirafan Dokumen, Edinburgh, Scotland. - 2003. - Jld. 1. - P. 472-476.
74. Anikeev, M. V. Pemilihan bilangan keadaan yang mencukupi dalam model Markov tersembunyi untuk menyelesaikan masalah pengesanan anomali // Izvestia TSU. -2005. -No. 9. -DENGAN. 133.
75. Anikeev, M. V. Kaedah pengesanan anomali berdasarkan model Markov tersembunyi dengan pencarian bilangan keadaan optimum // Prosiding Persidangan Saintifik dan Praktikal Antarabangsa VII "Keselamatan Maklumat". - Taganrog, TRTU: 2005. - ms 58-60.
76. Pengurangan hingar dalam aplikasi pertuturan / Disunting oleh G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 p.
77. Ronzhin, A. JL, Karpov, A. A., Lee, I. V. Sistem SIRIUS untuk pengiktirafan automatik ucapan Rusia // Jurnal saintifik dan teori "Kecerdasan Buatan". - 2005. - No. 3. - P. 590-601.
78. Eickeller, S., Mtiller, S., Rigoll, G. Pengecaman imej muka termampat JPEG berdasarkan kaedah statistik // Pengkomputeran Imej dan Penglihatan. - 2000. - Jld. 18. -P. 279-287.
79. Elms, A. J., Procter, S., Illingworth, J. Kelebihan menggunakan dan pendekatan berasaskan HMM untuk pengecaman perkataan faks // Jurnal Antarabangsa mengenai Analisis dan Pengiktirafan Dokumen (IJDAR). - 1998. - No. 1(1). - Hlm. 18-36.
80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. Model Markov tersembunyi umum untuk pengiktirafan gen manusia dalam DNA // Proc. Int. ke-4 Conf. mengenai Sistem Pintar untuk Biologi Molekul. - 1996. - P. 134-142.
81. Henderson, J., Salzberg, S., Fasman, K. H. Mencari gen dalam DNA dengan model Markov tersembunyi // Journal of Computational Biology. - 1997. - Jld. 4, No. 2. -P. 127-142.
82. Mottl, V.V., Muchnik, I.B. Model Markov Tersembunyi dalam analisis struktur isyarat. -M.: Fizmatlit, 1999. - 352 hlm.
83. Turin, W., van Nobelen, R. Pemodelan Markov Tersembunyi bagi saluran pudar rata // Jurnal IEEE mengenai Kawasan Terpilih ialah Komunikasi. - 1998. - Jld. 16. -P. 1809-1817.
84. Nechyba, M. C., Xu, Y. Persamaan stokastik untuk mengesahkan model strategi kawalan manusia // IEEE Trans. Robotik dan Automasi. - 1998. - Jld. 14, Isu 3, -P. 437-451.
85. Mangold, S., Kyriazakos, S. Menggunakan teknik pengecaman corak berdasarkan model Markov tersembunyi untuk lokasi kedudukan kenderaan dalam rangkaian selular // Proc. Persidangan Teknologi Kenderaan IEEE. - 1999. - Jld. 2. - P. 780-784.
86. Chari, S. N., Cheng, P. C. BlueBoX: sistem pengesanan pencerobohan berasaskan hos yang dipacu dasar // ACM Trans, mengenai Keselamatan Maklumat dan Sistem. - 2003. - Jld. 6. - P. 173-200.
87. Kang, D.-K., Fuller, D., Honavar, V. Mempelajari pengelas untuk pengesanan penyalahgunaan menggunakan beg perwakilan panggilan sistem // Nota Kuliah dalam Sains Komputer. -2005, -Jil. 3495. -P. 511-516.
88. Valdes, A., Skinner, K. Korelasi amaran kebarangkalian // Nota Kuliah dalam Sains Komputer. - 2001. - Jld. 2212. -P. 54-68.
89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Pemodelan maklumat untuk pengagregatan laporan pencerobohan // Proc. Persidangan dan Eksposisi Kemandirian Maklumat DARPA (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - P. 329-342.
90. Cuppens, F., Miége, A. Amaran korelasi dalam rangka kerja pengesanan pencerobohan koperasi // Simposium IEEE mengenai Keselamatan dan Privasi. - 2002. -P. 187-200.
91. Turin, W. Algoritma Baum-Welch satu arah dan selari // IEEE Trans. Pertuturan dan Pemprosesan Audio. - 1998. - Jld. 6, keluaran 6. - P. 516523.
92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Melaksanakan model Markov tersembunyi dalam seni bina perkakasan // Proc. Antarabangsa. Mesyuarat Sains Komputer ENC "01, Aguascalientes, Mexico, 15-19 September 2001. -Jilid II. -2001. -P. 1007-1016.
93. Anikeev, M., Makarevich, O. Pelaksanaan selari algoritma Baum-Welch // Proc. Bengkel Sains Komputer dan Teknologi Maklumat (CSIT"2006), Karlsruhe, Jerman, 28-29 September 2006. - Jilid 1. - Ufa: USATU, 2006. - P. 197-200.
94. E-sumber Antara Muka Mesej Mesej. - 2007. - Tersedia: http://www-unix.mcs.anl.gov/mpi.
95. Makmal Kebangsaan Argonne. Bahagian matematik dan sains komputer. E-sumber. - 2007. - Tersedia: http://www.mcs.anl.gov.
96. Halaman utama MPICH2. E-sumber. - 2007. - Tersedia: http://www-unix.mcs.anl.gov/mpi/mpich.
97. S. Gary, M., Johnson, D. Mesin pengkomputeran dan masalah yang sukar. - M.: Mir, 1982. - 412 hlm.
98. Syor ITU-TS Z.120: Carta jujukan mesej (MSC), 04/2004. - Geneva: Kesatuan Telekomunikasi Antarabangsa, 2004. - 136 hlm.
99. Shpakovsky, G. I., Serikova, N. V. Pengaturcaraan untuk sistem berbilang pemproses dalam standard MPI. - Minsk: BSU, 2002. - 323 p.
Sila ambil perhatian bahawa teks saintifik yang dibentangkan di atas disiarkan untuk tujuan maklumat sahaja dan diperoleh melalui pengecaman teks disertasi asal (OCR). Oleh itu, ia mungkin mengandungi ralat yang berkaitan dengan algoritma pengecaman yang tidak sempurna. DALAM fail PDF Tidak terdapat sebarang kesilapan dalam disertasi dan abstrak yang kami sampaikan.
