Скрытые каналы (covert channels) – это один из методов в информационной безопасности, который может применяться как со знаком плюс (для обеспечения анонимности и конфиденциальности), так и со знаком минус (для организации утечек данных). Рассмотрим именно вторую составляющую – обнаружение скрытой передачи данных, или передачи данных по скрытым каналам, что является одной из самых труднорешаемых на практике задач информационной безопасности. Чтобы не увеличивать размер статьи, я сознательно обойду вниманием такие механизмы скрытия данных, как шифрование и стеганография.
Алексей Лукацкий
Консультант по безопасности Cisco
Что такое скрытая передача данных?
Скрытая передача данных по сети – это не единственное применение данного метода. Впервые термин "скрытый канал" появился в 1973 г. и применялся для вычислительных систем, не имеющих традиционного сетевого подключения. Например, четное значение длительности процесса может означать единицу, а нечетное – ноль. Таким образом, манипулируя длительностью процесса, мы можем формировать последовательность из 0 и 1, которыми можем описать все, что угодно (это так называемый временной канал). Другой пример скрытого процесса в вычислительных системах – запуск процессом той или иной задачи и ее завершение в определенное время, которое может трактоваться как единица; и ноль, если задача не завершена в указанное время.
Как может быть реализована скрытая передача?
Если говорить о скрытой сетевой передаче данных, то одним из самых популярных и относительно простых в реализации методов является инкапсуляция, которая заключается во включении защищаемой информации, которая должна быть передана наружу, или команды, которая должна быть принята снаружи, в разрешенный протокол.
При этом могут быть использованы совершенно различные варианты инкапсуляции:
В 1987 г. была предложена идея скрытой передачи по сети, и с этого момента начались серьезные исследования данного метода обеспечения конфиденциальности или утечек данных (зависит от того, с какой стороны баррикад смотреть). В частности, в 1989 г. впервые было предложено манипулировать неиспользуемыми битами фреймов Ethernet и ряда других канальных протоколов. Очевидно, что скрытые каналы в локальной сети не так интересны для изучения, в отличие от скрытия данных в глобальных сетях. Прорывом (по крайней мере, публичным) можно считать 1996 г., когда было опубликовано исследование, в котором демонстрировалась реальная передача и прием данных по скрытому в TCP/IP-каналу; а точнее, в отдельных полях его заголовка.
- На уровне HTTP, который уже давно стал стандартом де-факто для построения на его базе других прикладных протоколов. Например, анонимная сеть JAP использует HTTP для передачи данных, задействуя еще и сложноконтролируемую сеть Tor. В HTTP возможно использовать команды GET и POST для передачи данных, а если HTTP применяется для передачи потокового видео и аудио, то возможности злоумышленников по передаче больших объемов данных становятся практически безграничными.
- На уровне DNS, когда информация скрывается внутри DNS-запросов и ответов на них. Впервые про этот метод начали говорить в начале 2000-х гг., когда появился инструмент DeNiSe для туннелирования протокола TCP в DNS. Позже было исследование Дэна Камински, показывающее возможность инкапсуляции SSH через DNS и представленное на конференции Defcon в 2005 г. А затем эта тема стала набирать популярность – появились dns2tcp, DNScapy, DNScat, Heyoka, iodine, squeeza и т.п.
- На уровне ICMP, когда данные инкапсулируются внутрь обычно разрешенного средствами защиты протокола ICMP. По такому принципу в свое время действовала программа Loki, впервые упомянутая в 1996 г. в журнале Phrack. За ней последовала более продвинутая Loki2. Также есть такой инструмент, как icm-pchat, который позволяет общаться зашифрованными сообщениями через ICMP.
- На уровне TCP/UDP/IP, когда для скрытия утечки или получения команд извне применяются отдельные поля заголовка пакета. В зависимости от используемого протокола размер передаваемых данных будет варьироваться от 2 до 12 и 38 байт соответственно в IP-, UDP-и TCP-протоколах. Очень интересный инструмент, использующий модификацию TCP-заголовка, называется Nushu. Его особенность в том, что он сам не создает никакого трафика, а только модифицирует тот, который уже отправляется с узла каким-либо приложением или процессом. Иными словами, измененный трафик направляется, куда должен, а злоумышленник просто перехватывает его по сети, собирая утекшие таким образом данные.
- В беспроводных сетях, когда данные маскируются в передаваемом трафике, распространяемом широковещательно. Кстати, в этом случае непросто обнаружить принимающую сторону, которая может работать в пассивном режиме – только для приема данных. По такому принципу построен инструмент HICCUPS.
Как может быть обнаружена скрытая передача?
Видя такое многообразие методов, которые используются скрытыми каналами, и протоколов, в которых они находятся, понимаешь, почему предлагается столь много разных методов обнаружения скрытой передачи. Основным из них является контроль аномалий, который заключается в проверке следующих параметров (неполный список):
- Размер запроса и ответа. Например, известно, что средняя длина DNS-запроса составляет не более 40–60 байт. Поэтому увеличение числа запросов DNS с увеличенными длинами пакетов может означать работу скрытого канала. Аналогичная практика может быть предложена и для других протоколов – ICMP, SIP и т.п.
- Объем запросов. Обычно объем трафика по определенным типам протоколов является если величиной и не фиксированной, то редко меняющейся в пределах нескольких долей процента. Поэтому внезапное возрастание трафика служебных протоколов или числа DNS-запросов или их размера может говорить об аномалии и необходимости разобраться. При этом профиль трафика в этом случае может оцениваться и для узла отправителя, и для узла получателя.
- Число или география обращений также может служить характеристикой скрытых каналов. Например, при наличии внутреннего DNS-сервера постоянное обращение к внешнему DNS-узлу также может служить признаком аномалии.
- Другие виды статистического анализа также полезны для обнаружения скрытых каналов. Например, можно анализировать уровень энтропии в именах узлов для DNS. Если в DNS-запросах будет передаваться скрытая информация, то распределение используемых символов будет отличаться от традиционного.
Инструментом, который позволяет отслеживать такие аномалии в сетевом трафике, являются системы класса NBAD (Network-based Anomaly Detection), которые либо уже содержат большое количество встроенных правил, либо могут быть настроены самостоятельно после проведенного режима обучения.
Помимо анализа аномалий скрытые каналы могут быть обнаружены и с помощью изучения содержимого в тех или иных протоколах. Это может быть сделано как с помощью традиционных решений класса Next Generation, которые могут отслеживать отклонения трафика прикладных протоколов от RFC, так и с помощью систем обнаружения вторжений. Например, вот так выглядит сигнатура для обнаружения скрытого канала NSTX в протоколе DNS для open source-решения Snort:
alert udp $EXTERNAL_NET any - > $HOME_NET 53 (msg:"Potential NSTX DNS Tunneling"; content:"|01 00|"; offset:2; within:4; content:"cT"; offset:12; depth:3; content:"|00 10 00 01|"; within:255; classtype:bad-unknown; sid:1000 2;)
Резюме
Неуниверсальность – вот, пожалуй, основное препятствие и для активного использования скрытых каналов, и для борьбы с ними.
Скрытые каналы в сетевом трафике – это очень специфический метод, который не является универсальным и имеет свои ограничения и область применения. Каждый скрытый канал имеет свои характеристики, например пропускную способность, шум, режим передачи (двусторонний или односторонний), которые надо учитывать – как при их использовании, так и при борьбе с ними. Все-таки "Войну и мир" Л.Н. Толстого через такие каналы оперативно не передать, а у некоторых способов скрытой передачи очень высок уровень шума, что мешает им быть эффективно примененными в глобальных сетях, в которых внешние факторы могут сильно влиять на успешность скрытой передачи.
Неуниверсальность – вот, пожалуй, основное препятствие и для активного использования скрытых каналов, и для борьбы с ними. Большое количество ограничений для скрытой передачи данных делает ее уделом только целенаправленных угроз, разрабатываемых под конкретную задачу и конкретного заказчика. Эта же неуниверсальность приводит к мысли, что и серебряной пули в виде одного продукта сейчас тоже нет, и необходимо использовать целый комплекс средств и технологий для обнаружения и нейтрализации скрытой передачи данных.
Введение
Скрытый канал - это коммуникационный канал, пересылающий информацию методом, который изначально был для этого не предназначен.
Скрытый канал носит своё название в силу того факта, что он спрятан от систем разграничения доступа даже безопасных операционных систем, так как он не использует законные механизмы передачи, такие как чтение и запись, и потому не может быть обнаружен или проконтролирован аппаратными механизмами обеспечения безопасности, которые лежат в основе защищённых операционных систем. В реальных системах скрытый канал практически невозможно установить, и также его часто можно обнаружить с помощью наблюдения за быстродействием системы; кроме того, недостатками скрытых каналов являются низкое отношение сигнал/шум и низкие скорости передачи данных (порядка нескольких бит в секунду). Их также можно удалить с защищённых систем вручную с высокой степенью надёжности, если воспользоваться признанными стратегиями анализа скрытых каналов.
Скрытые каналы часто путают с использованием законных каналов, при котором происходит атака на псевдо-защищённые системы с низкой степенью доверенности, используя такие схемы как стеганография или даже менее сложные схемы, предназначенные для того, чтобы спрятать запрещённые объекты внутри объектов с легальной информацией. Подобные использования законных каналов с применением схем скрытия данных не являются скрытыми каналами и могут быть предотвращены доверенными системами с высокой степенью защищённости.
Скрытые каналы могут проходить сквозь защищённые операционные системы, и необходимы особые меры для их контроля. Единственным проверенным методом контроля скрытых каналов является так называемый анализ скрытых каналов. В то же время, защищённые операционные системы могут с лёгкостью предотвратить неверные (или незаконные) использования легальных каналов. Часто анализ легальных каналов на предмет скрытых объектов неверно представляют как единственную успешную меру против незаконного использования легальных каналов. Поскольку на практике это означает необходимость анализировать большое количество программного обеспечения, ещё в 1972 было показано что подобные меры неэффективны . Не зная этого, многие верят в то, что подобный анализ может помочь справиться с рисками, связанными с легальными каналами.
1.1. Стандарт TCSEC
TCSEC - это набор стандартов, установленных Министерством обороны США.
Лэмпсоновское определение скрытого канала было перефразировано в TCSEC так, чтобы имелись в виду способы передачи информации от более защищённого уровня к менее защищённому. В среде разделённых вычислений сложно полностью отделить один процесс от эффектов, которые другой процесс мог оказать на операционную среду. Скрытый канал создаётся процессом-отправителем, который модулирует некоторое состояние (такое как свободное пространство, доступность некоторого сервиса, времени ожидания запуска и т. д.), которое может быть обнаружено процессом-получателем.
В Критериях определяют два вида скрытых каналов:
- Скрытый канал памяти - процессы взаимодействуют благодаря тому, что один может прямо или косвенно записывать информацию в некоторую область памяти, а второй считывать. Обычно имеется в виду, что у процессов с разными уровнями безопасности имеется доступ к некоторому ресурсу (например, некоторые секторы диска).
- Скрытый канал времени - один процесс посылает информацию другому, модулируя своё собственное использование системных ресурсов (например, процессорное время) таким образом, что эта операция воздействует на реальное время отклика, наблюдаемое вторым процессом.
Критерии, также известные как Оранжевая книга, требуют, чтобы анализ скрытых каналов памяти был классифицирован как требование для системы класса B2, а анализ скрытых каналов времени как требование для класса B3.
2. Устранение скрытых каналов
Возможность наличия скрытых каналов не может быть устранена полностью, но её можно существенно уменьшить аккуратным проектированием системы и её анализом.
Обнаружение скрытого канала может быть сделано более трудным при использовании характеристик среды передачи для легальных каналов, которые никогда не контролируются и не проверяются пользователями. Например, программа может открывать и закрывать файл особым, синхронизированным, образом, который может быть понят другим процессом как битовая последовательность, формируя таким образом скрытый канал. Так как маловероятно, что легальные пользователи будут пытаться найти схему в открытии и закрытии файлов, подобный тип скрытого канала может оставаться незамеченным в течение длительного времени.
Похожим случаем является технология «port knocking». Обычно при передаче информации распределение запросов во времени не важно, и за ним не наблюдают, но при использовании «port knocking» оно становится существенным.
3. Скрытие данных в модели OSI
Хэнделом и Сэнфордом была предпринята попытка расширить перспективу и сфокусироваться на скрытых каналах в общей модели сетевых протоколов. В качестве основы своих рассуждений они берут сетевую модель OSI и затем характеризуют элементы системы, которые возможно использовать для скрытия данных. У принятого подхода есть преимущества над подходом Хэндела и Сэнфорда, так как в последнем рассматриваются стандарты, противоположные некоторым используемым сетевым средам и архитектурам. Также не разработано надёжной схемы стенографирования.
Тем не менее, установлены общие принципы для скрытия данных на каждом из семи уровней модели OSI. Помимо того, что Хэндел и Сэнфорд предложили использовать зарезервированные поля заголовков протоколов (что легко обнаружимо), они также предположили возможность каналов по времени, касающуюся операции над CSMA/CD на физическом уровне.
Их работа определяет ценность скрытого канала по следующим параметрам:
- Обнаружимость: Только у получателя, для которого предназначена передача, должна быть возможность производить измерения скрытого канала.
- Неотличимость: Скрытый канал должен быть неидентифицируем.
- Полоса пропускания: Количество битов скрытых данных за каждое использование канала.
Также был представлен анализ скрытых каналов, но он не рассматривает такие проблемы, как-то: взаимодействие с помощью упомянутых методов между сетевыми узлами, оценка ёмкости канала, эффект, который скрытие данных оказывает на сеть. Кроме того, применимость методов не может быть полностью оправдана на практике, так как модель OSI не существует как таковая в действующих системах.
4. Скрытие данных в среде ЛВС
Первым, кто проанализировал скрытые каналы в среде локальных сетей, был Гирлинг. Его работа фокусируется на локальных вычислительных сетях (ЛВС), в которых определяются три очевидных скрытых канала - два по памяти и один по времени. Это показывает реальные примеры возможных полос пропускания для простых скрытых каналов в ЛАС. Для особой среды ЛАС, автор ввёл понятие перехватчика, который наблюдает за действиями определённого передатчика в ЛВС. Стороны, осуществляющие скрытую передачу, - это передатчик и перехватчик. Скрытая информация, согласно Гирлингу, может быть передана любым из следующих способов:
- Наблюдение за адресами, к которым обращается передатчик. Если количество адресов, к которым он может обращаться, равно 16, то существует возможность секретной передачи с размером секретного сообщения 4 бита. Автор отнёс эту возможность к скрытым каналам памяти, так как она зависит от посылаемого содержимого.
- Другой очевидный скрытый канал полагается на размер кадра, посланного передатчиком. Если существует 256 различных размеров кадра, то количество секретной информации, полученной при расшифровке одного размера кадра, будет 8 бит. Этот канал также был отнесён автором к скрытым каналам памяти.
- Третий, временной, способ полагается на разность между временами передачи. К примеру, нечётная разность будет означать «0», а чётная - «1». Время, необходимое для передачи блок данных, рассчитывается как функция от программной вычислительной скорости, скорости сети, размеров сетевого блока и затрат времени протокола. В предположении, что в ЛВС передаются блоки различных размеров, вычисляются средние программные затраты времени и также оценивается полоса пропускания скрытых каналов.
5. Скрытие данных в пакете протоколов TCP/IP
Более конкретный подход был предпринят Роулэндом. Сосредотачиваясь на IP и TCP заголовках пакета протоколов TCP/IP, Роулэнд выводит правильные методы кодирования и декодирования с использованием поля идентификации IP и TCP-поля начального номера последовательности и номера последовательности подтверждения. Эти методы реализованы в простом приложении, написанном для Linux-систем, работающих на ядре версии 2.0. Роулэнд просто доказывает саму идею существования скрытых каналов в TCP/IP, а также их использования. Соотственно, его работу можно оценивать как практический прорыв в этой сфере. Принятые им методы кодирования и декодирования более прагматичны по сравнению с ранее предложенными работами. Эти методы проанализированы с учётом механизмов безопасности, таких как преобразование сетевых адресов брандмауэром.
Тем не менее, необнаружимость этих методов скрытой передачи стоит под вопросом. Например, в случае когда производятся операции над полем номера последовательности TCP-заголовка, принята схема, в которой алфавит каждый раз скрытно передаётся, но тем не менее кодируется одним и тем же номером последовательности. Более того, использование поля номера последовательности, так же, как и поля подтверждения, нельзя осуществлять с привязкой к ASCII-кодировке английского алфавита, как это предложено, так как оба поля учитывают получение байтов данных, относящихся с определённым сетевым пакетам.
А. С. САННИКОВ
Московский инженерно-физический институт (государственный университет)
СКРЫТЫЕ КАНАЛЫ ПЕРЕДАЧИ ИНФОРМАЦИИ
Проведен анализ основных сетевых протоколов и алгоритм цифровой подписи, по результатам которого были предложены методы организации скрытых каналов передачи информации, составлена классификация скрытых каналов и разработан инструмент скрытой передачи данных.
В МИФИ на кафедре «Компьютерные системы и технологии» было проведено исследование различных типов скрытых каналов передачи информации. Скрытый канал – это канал, позволяющий организовать процесс передачи информации в обход политики безопасности. Пример применения скрытых каналов – получение конфиденциальной информации. В зависимости от ситуации, даже однонаправленный скрытый канал может быть использован для получения конфиденциальных документов компании.
В настоящее время наиболее популярными являются механизмы создания скрытых каналов в сетевых протоколах, таких как: IP, TCP, ICMP, HTTP, DNS . Основным принципом организации подобных скрытых каналов является подмена значений в заголовке протокола на собственные, при этом не нарушая корректность заголовка и соблюдая его правдоподобность.
Скрытые каналы могут быть организованы не только в сетевых протоколах. Интересным примером может служить возможность организации скрытых каналов в алгоритме цифровой подписи .
Можно предложить следующую классификацию скрытых каналов:
· Тип скрытого канала
o По памяти
§ На основе значений.
o По времени
§ На основе значений
§ На основе изменения значений
· Пропускная способность
· Направленность
o Однонаправленный
o Двунаправленный
· Поведение
o Активный
o Пассивный
o Косвенный
· Сложность обнаружения (правдоподобие)
· Надежность
В процессе исследования также был разработан программный инструмент для скрытой передачи информации. Возможность скрытой передачи в данном случае основана на использовании полей заголовков протокола TCP/IP. Передаваемые данные кодируются в полях ID IP-заголовка и SEQ (порядковый номер) TCP-заголовка, тем самым организуя скрытый канал. Поскольку эти поля являются обязательными для работы протокола, они не могут отбрасываться при прохождении пакета через различные средства защиты.
В данном инструменте реализована возможность организации скрытого управления удаленным компьютером с установленной ОС “Linux”.
Основным плюсом скрытых каналов является невероятная сложность отличия их от легальных (обычных, не содержащих скрытой информации) потоков данных.
Одной из областей применения скрытых каналов является промышленный шпионаж. Другим направлением, учитывая широкие возможности использования скрытых каналов злоумышленниками, является организация мер и разработка средств, позволяющих защититься от утечки конфиденциальной информации по скрытым каналам.
В настоящее время уже разработаны средства, позволяющие организовывать скрытый канал передачи голоса внутри протокола VoIP. Таким образом, становится возможным передавать большие объемы информации, незаметно проходя практически любые средства обнаружения.
Список литературы
Введение.
1 Анализ существующих методов обнаружения вторжений.
1.1 Основные понятия.
1.2 Типовая структура СОВ.
1.3 Методологии обнаружения вторжений.
1.4 Обнаружение злоупотреблений.
1.4.1 Сопоставление строк.
1.4.2 Использование экспертных систем.
1.4.3 Анализ переходов между состояниями.
1.4.4 Методы добычи данных.
1.5 Обнаружение аномалий.
1.5.1 Статистические методы.
1.5.2 Предсказание поведения.
1.5.3 Методы добычи данных.
1.5.4 Нейросетевые методы.
1.5.5 Обнаружение аномалий в последовательностях системных вызовов.
1.6 Классификация СОВ.
1.7 Цели и задачи исследования.
1.8 Выводы.
2 Разработка модели системы обнаружения вторжений на основе СММ.
2.1 Сведения из теории СММ.
2.1.1 Основные определения.
2.1.2. Постановка типовых задач, связанных с СММ.
2.1.3 Решение задачи оценивания.
2.1.4 Решение задачи распознавания.
2.1.5 Решение задачи обучения.
2.1.6 Применение масштабирования в алгоритмах СММ.
2.1.7 Решение задачи обучения для множественных последовательностей наблюдений.
2.2 Принцип функционирования модели COA.
2.2.1 Общая схема COA.
2.2.2 Этапы функционирования системы.
2.2.3 Выбор используемой подсистемы аудита.
2.2.4 Формирование профиля нормального поведения процесса.
2.2.5 Алгоритм обнаружения аномалий в работе процесса.
2.3 Исследование возможности работы разработанной COA в составе комплексной СОВ.
2.4 Выводы.
3 Экспериментальное исследование модели системы обнаружения вторжений
3.1 Описание тестовой базы данных.
3.1.1 Обоснование выбора тестовой базы данных.
3.1.2 Данные процесса 1рг.
3.1.3 Данные процесса named.
3.1.4 Данные процесса xlock.
3.1.5 Данные процесса login.
3.1.6 Данные процесса ps.
3.1.7 Данные процесса inetd
3.1.8 Данные процесса stide.
3.2 Иллюстрация работы алгоритма обнаружения аномалий на примере данных процесса named.:.
3.3 Исследование зависимости эффективности обнаружения вторжений от выбранного числа состояний СММ.
3.3.1 Постановка задачи исследования.
3.3.2 Процесс lpr.
3.4 Обсуждение результатов экспериментов.
3.5 Выводы.
4 Разработка параллельного алгоритма обучения СММ.
4.1 Известные решения по ускорению обучения СММ.
4.2 Обоснование возможности эффективной организации параллельных вычислений в алгоритме обучения СММ.
4.2.1 Анализ алгоритма обучения СММ для однократных последовательностей наблюдений.
4.2.2 Анализ алгоритма обучения для многократных последовательностей наблюдений.
4.3 Разработка параллельного алгоритма обучения СММ.
4.4. Теоретическая оценка эффективности параллельного алгоритма.
4.5 Особенности программной реализация параллельного алгоритма обучения СММ.
4.5.1 Выбор средств реализации.
4.5.2 Описание программной реализации.
4.5.3 Экспериментальное подтверждение функционального соответствия параллельной и последовательной реализаций алгоритма обучения СММ.
4.6 Выводы.
5 Экспериментальное исследование эффективности параллельного алгоритма обучения СММ.
5.1 Условия проведения экспериментов.
5.2 Исследование эффективности работы параллельного алгоритма обучения СММ на сетевом кластере.
5.3 Исследование эффективности работы параллельного алгоритма обучения СММ на многопроцессорном кластере.
5.4 Выводы.
Введение диссертации (часть автореферата) на тему "Разработка алгоритмических и программных средств, повышающих эффективность обнаружения вторжений на основе использования скрытых марковских моделей"
В связи с совершенствованием вычислительной техники и бурным ростом телекоммуникационных технологий, наблюдается повышение сложности используемого программного обеспечения. В таких условиях усложняется анализ разрабатываемых программ с точки зрения безопасности. По данным Национального института стандартов и технологий США (NIST), если количество зарегистрированных уязвимостей широко используемого программного обеспечения до 1996 года составляло десятки в год, то в 2004 году этот показатель достиг 2356, в 2005 году - 4914, и в 2006 - 6600 .
Рост числа уязвимостей программного обеспечения обуславливает актуальность не только таких превентивных мер противодействия, как использование межсетевых экранов и обманных систем, но также и внедрения систем обнаружения вторжений (СОВ), позволяющих активно противодействовать попыткам несанкционированного доступа. При этом очевидно, что со временем СОВ, целиком основанные на использовании пополняемых баз сигнатур известных вторжений, не будут способны гарантировать оперативное обнаружение вторжений, основанных на только что открытых уязвимостях.
В последнем выпуске ежегодного бюллетеня института SANS, отражающего десять наиболее важных тенденций в развитии информационной безопасности , прогнозируется дальнейший рост эксплуатации неизвестных ранее уязвимостей (0-day vulnerabilities), а также увеличение числа скомпрометированных узлов глобальной сети, позволяющих злоумышленникам осуществлять распределённые атаки и затруднять впоследствии поиск источника вторжения. В таких условиях актуальность приобретает развитие новых подходов к обнаруженшо вторжений, обеспечивающих своевременное обнаружение факта вторжения вне зависимости от наличия его точной сигнатуры.
Актуальность темы
Основной проблемой, с которой сталкиваются разработчики современных систем обнаружения вторжений (СОВ), является низкая эффективность существующих механизмов обнаружения принципиально новых видов вторжений, признаки которых не изучены и не занесены в базы данных сигнатур. Развитая в последние годы теория обнаружения аномалий, призванная решить эту проблему, не находит широкого применения из-за низкой надёжности используемых методов. Системы, построенные на основе этой теории, характеризуются недопустимо высоким уровнем ложных срабатываний.
В последнее время распространение получили более эффективные методы обнаружения вторжений, основанные на анализе последовательностей системных вызовов, поступающих к ядру операционной системы. Среди них одним из наиболее перспективных направлений является использование скрытых марковских моделей (СММ) для описания модели профиля нормального поведения того или иного процесса и обнаружения отклонений от этого профиля, свидетельствующих о возможном вторжении. Методы, основанные на использовании СММ, превосходят другие методы в эффективности обнаружения, однако требуют применения более трудоёмких алгоритмов .
Таким образом, задача исследования и совершенствования подхода к обнаружению вторжений с использованием СММ является актуальной.
Целью работы является разработка метода обнаружения вторжений на основе подхода, предполагающего использование СММ для описания профилей процессов. Разработанный метод позволяет уменьшить время обучения СММ для их более эффективного использования при решении задач обнаружения вторжений.
Исходя из основной цели данной работы, определяется перечень решаемых задач:
1) Разработать модель системы обнаружения вторжений.
2) Разработать алгоритмы формирования профилей нормального поведения процессов в виде СММ и обнаружения вторжений с их помощью.
3) Разработать параллельный алгоритм обучения для уменьшения времени обучения СММ.
4) Провести экспериментальное исследование и сравнительный аиализ последовательного и параллельного алгоритма обучения СММ.
В рамках исследования используются методы теории вероятностей и математической статистики, математического моделирования, теории алгоритмов, теории параллельных вычислений. Широко применялось компьютерное моделирование, в том числе и с использованием самостоятельно разработанного программного обеспечения.
Основные результаты, выносимые на защиту
1) Модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов, использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.
2) Параллельный масштабируемый алгоритм обучения СММ для множественных последовательностей наблюдений, позволяющий проводить обучение СММ быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча.
Научная новизна работы заключается в следующем:
Разработан метод обнаружения вторжений, использующий профили нормального поведения контролируемых процессов в виде СММ. Метод позволяет локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения.
Разработан масштабируемый параллельный алгоритм обучения СММ для множественных последовательностей наблюдений, реализованный с помощью технологии MPI. Реализация параллельного алгоритма демонстрирует производительность близкую к теоретическому пределу даже при работе на недорогих сетевых кластерах, развёрнутых на вычислительных сетях типа Fast Ethernet.
Практическая значимость и внедрение результатов работы
Практическая значимость результатов диссертации заключается в следующем:
Разработана модель системы обнаружения вторжений, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны.
Разработан параллельный алгоритм обучения СММ, позволяющий сократить время их обучения. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.
Разработана параллельная программа быстрого обучения СММ, обеспечивающая производительность, близкую к теоретическому пределу даже при запуске на недорогих сетевых кластерах.
Основные результаты исследований использованы на кафедре «Безопасность информационных технологий» Технологического института Южного федерального университета в г. Таганроге при выполнении ряда научно-исследовательских и опытно-конструкторских работ для государственного заказчика, научных исследований, поддержанных грантом
РФФИ, а также совместным грантом Министерства образования и науки Российской Федерации и Германской службы академических обменов (DAAD).
Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.
Публикации
По теме диссертации имеется 12 публикаций, из них 11 научных статей и тезисов докладов и одно свидетельство о регистрации программы для ЭВМ. Три статьи опубликованы в журнале «Известия Таганрогского государственного радиотехнического университета (ТРТУ)» за 2003-2005 гг. из перечня, рекомендованного ВАК РФ для публикации результатов диссертационных работ.
Основные результаты работы докладывались и обсуждались на:
1) Международных научно-практических конференциях «Информационная безопасность», Таганрог, 2002, 2003, 2004 и; 2005 гг.
2) XXXIII региональной молодёжной конференции «Проблемы-теоретической и прикладной математики», Екатеринбург, 2002 г.
3) Конференциях профессорско-преподавательского состава Таганрогского государственного радиотехнического университета, Таганрог, 2004 и 2005 гг.
4) Семинаре стипендиатов программы «Михаил Ломоносов», Бонн (Германия), 2005 г.
5) Международной конференции «Информатика и информационные технологии» ("Computer Science and Information Technologies"), Карлсруэ (Германия), 2006 г.
Структура и объем диссертации
Диссертационная работа состоит из введения, пяти глав, заключения, списка использованных источников (113 наименований) и приложения. Общий объем работы - 158 страниц. В работе приведен графический материал в объеме 19 рисунков, содержится 28 страниц приложений.
Заключение диссертации по теме "Методы и системы защиты информации, информационная безопасность", Аникеев, Максим Владимирович
5.4 Выводы
1) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ на сетевом кластере. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с небольшим числом узлов, при этом достигаются значения ускорения близке к теоретическому пределу.
2) При исследованиях с использованием многопроцессорного кластера наблюдается близкий к линейному рост ускорения до достижения им практического предела. Это свидетельствует о высокой эффестивности использования вычислительных ресурсов при распараллеливании.
Заключение
В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные научные результаты:
1) Разработана модель СОВ, основанная на обнаружении аномалий в последовательностях системных вызовов, идущих от контролируемых процессов. Принципы, заложенные в систему, позволяют обнаруживать вторжения, признаки (сигнатуры) которых априорно не известны. Модель использует профили нормального поведения контролируемых процессов в виде СММ. В основе модели лежит метод, позволяющий локализовать аномалию, вызванную вторжением, с точностью до системного вызова, основываясь на условной вероятности его возникновения. Исследована возможность интеграции модели в состав комплексной СОВ.
2) Проведено экспериментальное исследование зависимости показателей эффективности обнаружения вторжений от выбранного числа состояний СММ. Установлено, что процесс обучения СММ зачастую сходится к локальному минимуму целевой функции. Этот факт ещё более усложняет процесс обучения, так как возникает дополнительная необходимость поиска значения числа состояний, обеспечивающего необходимые уровни вероятностей правильного обнаружение и ложного срабатывания. Таким образом, задача сокращения времени обучения СММ становится ещё более актуальной.
3) Разработан параллельный масштабируемый алгоритм обучения СММ, позволяющий проводить обучение быстрее, чем широко используемый в настоящее время последовательный алгоритм Баума-Уэлча для множественных последовательностей наблюдений, а также его программная реализация на основе технологии MPI. Использование алгоритма возможно в других приложениях СММ, например, в распознавании речи, оптическом распознавании текста, генетике.
4) Проведено экспериментальное исследование эффективности параллельного алгоритма обучения СММ. Данные исследований демонстрируют возможность реализации алгоритма на недорогих сетевых кластерах с ускорением близким к теоретически предельному.
Список литературы диссертационного исследования кандидат технических наук Аникеев, Максим Владимирович, 2008 год
1. National Institute of Standards and Technology. E-resource. - Available: http://nvd.nist.gov.
2. The ten most important security trends of the coming year / Edited by S. Northcutt et al. - SANS Institute, 2006. - 3 p. - Available: http://www.sans.org/resources/10securitytrends.pdf.
3. Kumar, S. Classification and detection of computer intrusions: PhD thesis. -Purdue university, 1995. - 180 p.
4. Лукацкий, А. В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. -624 с.
5. Милославская, Н. Г., Толстой, А. И. Интрасети: обнаружение вторжений: Учеб. пособие для вузов. - М.: Юнити-Дана, 2001. - 587 с.
6. Lundin, Е., Jonsson, Е. Survey of intrusion detection research: Technical report No. 02-04. - Goteborg: Chalmers University of Technology, 2002 - 43 p.
7. Denning, D. E. An intrusion-detection model // IEEE Transaction on software engineering. - 1987. -No. 2. - P. 222-232.
8. Hansen, S. E., Atkins, E. T. Automated system monitoring andthnotification with swatch // Proc. 7 System Administration Conference (LISA 93). - Monterey. - 1993. - P. 101-108.
9. Абрамов, E. С. Разработка и исследование методов построения систем обнаружения атак: дис. . канд. техн. наук: 05.13.19 - Таганрог, 2005. - 140 с.
10. Абрамов, Е. С. Разработка методов функционального тестирования СОА // Сборник научных трудов XI всероссийской научной конференции «Проблемы информационной безопасности в системе высшей школы». - М.: МИФИ, 2004.
11. Wu, S., Manber, U. Fast text searching with errors. Technical report TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 p.
12. Lindqvist, U., Porras, P. A. Detecting computer and network misuse through the production-based expert system toolset (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, California, May 1999. - IEEE Сотр. Soc., 1999, -P. 141-161.
13. Snort - the de facto standard for intrusion detection/prevention. - 2006. - Available: http://snort.org
14. Snort™ user manual. 2.6.0. - Sourcefire, Inc., 2006. - Available: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf
15. Habra, N., Le Charlier, В., Mounji, A., Mathieu, I. ASAX: Software architecture and rule-based language for universal audit trail analysis // European Symposium on Research in Computer Security (ESORICS). - 1992. - P. 435450.
16. Porras, P. A., Neumann, P. G. Emerald: Event monitoring enabling responses to anomalous live disturbances. - Proc. 20th National Information Systems Security Conference. - Baltimore: NIST/NCSC, 1997. - P. 353-365.
17. Vigna, G., Eckmann S. Т., Kemmerer, R. A. The STAT tool suite // Proc. DISCEX 2000. - IEEE Press, 2000.
18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base intrusion detection approach // IEEE Trans. Software Engineering. - No. 3, Vol. 21.- 1995.- P. 181-199.
19. Sun, J. BSM security auditing for Solaris servers. GIAC security essentials certification practical. - 2003. - 12 p. - Available: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf
20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 p. - Available: http://citeseer.ist.psu.edu/452116.html
21. Kumar, S., Spafford, E. H. A pattern-matching model for misusefUintrusion detection. // Proc. 17 National Computer Security Conference. - 1994. - P. 11-21.
22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion- Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Vol. 14, No. 6.-P. 533-567.
23. Fink, G., Levitt, K. Property-based testing of privileged programs // Proc. 10th Annual Computer Security Applications Conference. - IEEE, 1994. - P. 154-163.
24. Ko, C., Fink, G., Levitt, K. Automated detection of vulnerabilities in privileged programs by execution monitoring // Proc. 10th Annual Computer Security Applications Conference. - IEEE Comp. Soc. Press, 1994. - P. 134144.
25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. A sense of self for Unix processes // Proc. 1996 IEEE Symposium on Security and Privacy. - IEEE Comp. Soc. Press, 1996. - P. 120-128.
26. Ghosh, A. K., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. Annual Computer Security Applications Conference (ACSAC"98), December 1998. - 1998. - P. 259-267.
27. Eslcin, E. et al. Adaptive model generation for intrusion detection. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athens, Greece, 2000. - 2000. - Available: http://citeseer.ist.psu.edu/eskinOOadaptive.html.
28. Okazaki, Y., Sato, L, Goto, S. A new intrusion detection method based on process profiling. // Proc. IEEE Symposium on Applications and the Internet (SAINT"02). - 2002. - P. 82-91.
29. Cho, S.-B. Incorporating soft computing techniques into a probabilistic intrusion detection system. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, No.2, 2002. - P. 154-160.
30. Yin, Q., Shen, L., Zhang, R., Li, X. A new intrusion detection methodfhbased on behavioral model. // Proc. 5 World Congress on Intelligent Control and Automation, June 15-19, 2004, Hangzhou, P. R. China. - 2004. - P. 4370-4374.
31. Gudkov, V., Johnson, J. E. New approach for network monitoring and intrusion detection // CoRR. - 2001. - Vol. cs.CR/0110019. - Available: http://arxiv.org/abs/cs.CR/0110019.
32. Gudkov, V., Johnson, J. E. Multidimensional network monitoring for intrusion detection // CoRR. - 2002. - Vol. cs.CR/0206020. - Available: http://arxiv.org/abs/cs.CR/0206020.
33. Barford, P., Plonka, D. Characteristics of network traffic flow anomalies // Proc. 1st ACM SIGCOMM Workshop on Internet Measurement, San Francisco, California, USA, November 1-2, 2001. - ACM, 2001. - P. 69-73.
34. Smaha, S. E. Haystack: an intrusion detection system // Proc. 4th IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.
35. Lane, T., Brodley, C. E. Sequence matching and learning in anomaly detection for computer security // Proc. AAAI-97 Workshop on AI Approaches to Fraud Detection and Risk Management. - 1997. - P. 43-49.
36. Lane, T., Brodley, C. E. An application of machine learning to anomaly detection // Proc. of the 12th National Information Systems Security Conference. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - P. 366-380.
37. Lane, T. Filtering techniques for rapid user classification // Proc. AAAI-98/ICML-98 Joint Workshop on AI Approaches to Time-series Analysis. - Menlo Park, CA: AAAI Press, 1998. - P. 58-63.
38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection // Proc. 5th ACM Conference on Computer and Communications Security. - Assoc. for Computing Machinery, 1998. - P. 150158.
39. Lane, T. Hidden Markov models for human/computer interface modeling // Proc. IJCAI-99 Workshop on Learning About Users. - 1999. - P. 35-^4.
40. Debar, H., Becker, M., Siboni, D. A neural network component for an intrusion detection system // Proc. 1992 IEEE Comp. Soc. Symposium on Research in Security and Privacy. - Los Alamos, CA: IEEE Comp. Soc. Press, 1992. -P. 240-250.
41. Cannady, J. Artificial neural networks for misuse detection // Proc. 1998 National Information Systems Security Conference (NISSC"98). - 1998. - P. 443-456.
42. Сидоров, И. Д., Аникеев, М. В. Нейросетевое обнаружение аномального поведения пользователя в консольном режиме ОС Linux // Материалы VI Международной научно-практической конференции «Информационная безопасность». - Таганрог: ТРТУ, 2004. - С. 159-161.
43. Tumoian, Е., Anikeev, М. Network-based detection of passive covert Channels in TCP/IP // LCN *05: Proc. IEEE Conf. on Local Computer Networks. - Washington, DC: IEEE Comp. Soc., 2005 - P. 802-809.
44. Elman, J. L. Finding structure in time // Cognitive Science. - 1990. - Vol. 14, No. 2. - P. 179-211.
45. Fink, G., Ko, C., Archer, M., Levitt, K. Towards a property-based testing environment with applications to security-critical software // Proceedings of the 4th Irvine Software Symposium. - 1994. - P. 39-48.
46. Warrender, C., Forrest, S., Pearlmutter, B. A. Detecting intrusions using system calls: alternative data models // Proc. IEEE Symposium on Security and Privacy. - Oakland, CA: IEEE Comp. Soc., 1999. - P. 133-145.
47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Intrusion detection using sequences of system calls // Journal of Computer Security. - 1998. - Vol. 6, No. 3. -P. 151-180.
48. Cohen, W. W. Fast effective rule reduction // Machine Learning: the 12th Intl. Conference. - Morgan Kaufmann, 1995. - P. 115-123.
49. Yin, Q.-B. et al. Intrusion detection based on hidden Markov model. - Proc. 2nd Intl. Conference on Machine Learning and Cybernetics. Xi"an, November. 2003. - IEEE, 2003. - Vol. 5. - P. 3115-3118.
50. Wespi, A., Dacier, M., Debar, H. An intrusion-detection system"based" on the TEIRESIAS pattern-discovery algorithm // Proc. EICAR"99. - Aalborg, Denmark: Aalborg Universitet, 1999.- P. 1-15.
51. Rigoutsos, I., Floratos, A. Combinatorial pattern discovery in biological sequences: the TEIRESIAS algorithm // Bioinformatics. - 1998. - Vol.14, No. 1. -P. 55-67.
52. Marceau, C. Characterizing the behavior of a program using multiple-length N-grams // Proc. 2000 workshop on New security paradigms. - Ballycotton, County Cork, Ireland: ACM Press, 2000. - P. 101-110.
53. Ghosh, A., Wanken, J., Charron, F. Detecting anomalous and unknown intrusions against programs // Proc. 1998 Annual Computer Security Applications Conference (ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - P. 259-267.
54. Ghosh, A., Schwartzbard, A., Schatz, M. Learning program behavior profiles for intrusion detection // Proc. 1st USENIX Workshop on Intrusion Detection and Network Monitoring. - 1999. -P. 51-62.
55. Yeung, D., Ding, Y. Host-based intrusion detection using dynamic and static behavioral models // Pattern Recognition. - 2002. - Vol. 36. - P. 229243.
56. Al-Subaie, M., Zulkernine, M. Efficacy of hidden Markov models overthneural networks in anomaly intrusion detection // Proc. 30 Annual International Computer Software and Applications Conference (COMPSAC). - Chicago: IEEE CS Press, 2006. - P. 325-332.
57. Heberlein, L. T. Network security monitor. Final report. - Davis, CA: UC Davis, 1993. - 53 p. - Available: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.
58. Paxson, V. Bro: a system for detecting network intruders in real-time // Computer Networks (Amsterdam, Netherlands: 1999). - 1999. - Vol. 31, No. 23-24.-P. 2435-2463.
59. Ilgun, K. USTAT: a real-time intrusion detection system for UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, CA: IEEE Comp. Soc, 1993. - P. 16-28.
60. Staniford-Chen, S. et al. GrIDS - A graph-based intrusion detection system for large networks // Proc. 19th National Information Systems Security Conference. - 1996. - P. 361-370.
61. Jou, Y. F, Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Architecture design of a scalable intrusion detection system for the emerging network infrastructure. Technical Report CDRL A005. - Releigh: North Carolina State University, 1997. - 42 p.
62. Somayaji, A., Forrest, S. Automated response using system-call delays // Proc. USENIX Security Syposium. - Denver: USENIX, 2000. - P. 185-197.
63. Рабинер, JI. Р. Скрытые марковские модели и их применение в избранных приложениях при распознавании речи: обзор // ТИИЭР. - 1989. - т. 77, №2. -С. 86-120.
64. Baum, L. Е., Sell, G. R. Growth functions for transformations and manifolds // Pacific Journal of Mathematics. - 1968. - Vol. 27, No. 2. - P. 211-227.
65. Sun, J. BSM Security Auditing for Solaris Servers. - Bethesda, Mayland: SANS, 2003. - 12 p. - Available: http://www.securitydocs.com/go/2329.
66. The Linux BSM project Е-resource. - 2001. - Available: http://linuxbsm.sourceforge.net.
67. TrustedBSD - OpenBSM Е-resource. - 2006. - Available: http://www.trustedbsd.org/openbsm.html.
68. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD. - Fort Meade, MD: National Computer Security Center, 1985. - 116 p. - Available: http://csrc.nist.gov/publications/history/dod85.pdf.
69. Computer Immune Systems - Data Sets and Software Е-resource. - Albuquerque, NM: University of New Mexico, 2004. - Available: http://www.cs.unm.edu/~immsec/data-sets.htm.
70. Baras, J. S., Rabi, M. Intrusion detection with support vector machines and generative models. Technical report TR 2002-22. - College Park: University of Maryland, 2002. - 17 p.
71. Hoang, X. D., Hu, J., Bertok, P. A multi-layer model for anomaly intrusion detection using program sequences of system calls. - Proc. ICON"2003. The 11th IEEE Conference on Networks. - IEEE, 2003. - P. 531-536.
72. Raj wade, A. Some experiments with hidden Markov models. Technical report. - University of Florida, 2005. - 18 p. - Available: http://www.cise.ufl.edu/~avr/HMM.pdf.
73. Gtinter, S., Bunlce, H. Optimizing the number of states, training iterations and Gaussians in an HMM-based handwritten word recognizer // Proc. 7th Intl. Conf. on Document Analysis and Recognition, Edinburgh, Scotland. - 2003. - Vol. 1. - P. 472-476.
74. Аникеев, M. В. Выбор достаточного числа состояний в скрытых марковских моделях для решения задач обнаружения аномалий // Известия ТРТУ. -2005. -№9. -С. 133.
75. Аникеев, М. В. Метод обнаружения аномалий на основе скрытых марковских моделей с поиском оптимального числа состояний // Материалы VII Международной научно-практической конференции «Информационная безопасность». - Таганрог, ТРТУ: 2005. - С. 58-60.
76. Noise reduction in speech application / Edited by G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 p.
77. Ронжин, A. JL, Карпов, А. А., Ли, И. В. Система автоматического распознавания русской речи SIRIUS // Научно-теоретический журнал «Искусственный интеллект». - 2005. - №3. - С. 590-601.
78. Eickeller, S., Mtiller, S., Rigoll, G. Recognition of JPEG compressed face images based on statistical methods // Image and Vision Computing. - 2000. - Vol. 18. -P. 279-287.
79. Elms, A. J., Procter, S., Illingworth, J. The advantage of using and HMM-based approach for faxed word recognition // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - No. 1(1). - P. 18-36.
80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. A generalized hidden Markov model for the recognition of human genes in DNA // Proc. 4th Intl. Conf. on Intelligent Systems for Molecular Biology. - 1996. - P. 134-142.
81. Henderson, J., Salzberg, S., Fasman, К. H. Finding genes in DNA with a hidden Markov model // Journal of Computational Biology. - 1997. - Vol. 4, No. 2. -P. 127-142.
82. Моттль, В. В., Мучник, И. Б. Скрытые марковские модели в структурном анализе сигналов. -М.: Физматлит, 1999. - 352 с.
83. Turin, W., van Nobelen, R. Hidden Markov modeling of flat fading channels // IEEE Journal on Selected Areas is Communications. - 1998. - Vol. 16. -P. 1809-1817.
84. Nechyba, M. C., Xu, Y. Stochastic similarity for validating human control strategy models // IEEE Trans. Robotics and Automation. - 1998. - Vol. 14, Issue 3, -P. 437-451.
85. Mangold, S., Kyriazakos, S. Applying pattern recognition techniques based on hidden Markov models for vehicular position location in cellular networks // Proc. IEEE Vehicular Technology Conference. - 1999. - Vol. 2. - P. 780-784.
86. Chari, S. N., Cheng, P. C. BlueBoX: a policy-driven host-based intrusion detection system // ACM Trans, on Information and System Security. - 2003. - Vol. 6. - P. 173-200.
87. Kang, D.-K., Fuller, D., Honavar, V. Learning classifiers for misuse detection using a bag of system calls representation // Lecture Notes in Computer Science. -2005, -Vol. 3495. -P. 511-516.
88. Valdes, A., Skinner, K. Probabilistic alert correlation // Lecture Notes in Computer Science. - 2001. - Vol. 2212. -P. 54-68.
89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Information modeling for intrusion report aggregation // Proc. of the DARPA Information Survivability Conference and Exposition (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - P. 329-342.
90. Cuppens, F., Miége, A. Alert correlation in a cooperative intrusion detection framework // IEEE Symposium on Security and Privacy. - 2002. -P. 187-200.
91. Turin, W. Unidirectional and parallel Baum-Welch algorithms // IEEE Trans. Of Speech and Audio Processing. - 1998. - Vol. 6, issue 6. - P. 516523.
92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementing hidden Markov models in a hardware architecture // Proc. Intl. Meeting of Computer Science ENC "01, Aguascalientes, México, September 15-19 2001. -Vol. II. -2001. -P. 1007-1016.
93. Anikeev, M., Makarevich, O. Parallel implementation of Baum-Welch algorithm // Proc. Workshop on Computer Science and Information Technologies (CSIT"2006), Karlsruhe, Germany, September 28-29, 2006. - Vol. 1. - Ufa: USATU, 2006. - P. 197-200.
94. Message Passing Interface Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi.
95. Argonne National Laboratory. Mathematics and computer science division. Е-resource. - 2007. - Available: http://www.mcs.anl.gov.
96. MPICH2 home page. Е-resource. - 2007. - Available: http://www-unix.mcs.anl.gov/mpi/mpich.
97. Ш.Гэри, M., Джонсон, Д. Вычислительные машины и труднорешаемые задачи. - М.: Мир, 1982. - 412 с.
98. ITU-TS Recommendation Z.120: Message-sequence chart (MSC), 04/2004. - Geneva: International Telecommunication Union, 2004. - 136 p.
99. Шпаковский, Г. И., Серикова, Н. В. Программирование для многопроцессорных систем в стандарте MPI. - Минск: БГУ, 2002. - 323 с.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.
