На правах рукописи
БАБЕНКО ГЕРМАН ВАЛЕРЬЕВИЧ
ИДЕНТИФИКАЦИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗДЕЙСТВИЙ В ПРОЦЕССЕ СЕТЕВОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ
Специальность 05.13.01 - Системный анализ, управление и обработка информации (промышленность, информатика)
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата технических наук
Астрахань - 2012
Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования Астраханский государственный технический университет.
Научный консультант: кандидат технических наук, доцент Белов Сергей Валерьевич.
Официальные оппоненты: заведующий кафедрой Связь, ФГБОУ ВПО Астраханский государственный технический университет, доктор технических наук, профессор, Дмитриев Вадим Николаевич, заведующий кафедрой общей физики, ФГБОУ ВПО Астраханский государственный университет, доктор технических наук, доцент, Лихтер Анатолий Михайлович.
Ведущая организация: ФГБОУ ВПО Юго-западный государственный университет.
Защита состоится 25 октября 2012 г. в 12 часов 00 минут на заседании диссертационного совета Д 307.001.06 при Астраханском государственном техническом университете по адресу: 414025, г. Астрахань, ул. Татищева, 16, главный корпус, ауд. 305.
Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просим направлять по адресу: 414025, г. Астрахань, ул. Татищева, 16, АГТУ, секретарю диссертационного совета Д 307.001.06.
С диссертацией можно ознакомиться в библиотеке Астраханского государственного технического университета.
Автореферат разослан л22 сентября 2012 г.
Ученый секретарь диссертационного совета А.А. Ханова
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность исследования. Современные тенденции построения компьютерных сетей предполагают наличие сложных разнородных систем передачи данных, сетей сбора технологической информации, телефонных и видео систем, всеобще использующих Ethernet технологии, главными особенностями структурной реализации которых, является территориальная распределённость, разнородность применяемого оборудования и интеграция их в сети более высокого уровня. В условиях роста применения сетевых приложений, пропорционально увеличивается и объем информации передаваемой по каналам связи, в то же время, стремительный рост масштабности и разнообразия топологий сетей приводит к усложнению их корректного функционирования. Следовательно, для обеспечения необходимого уровня надежности таких сложных систем должны быть предусмотрены аппаратные и программные средства выявления и локализации отказов, средства реконфигурации сети и анализа процессов передачи информации по каналам связи.
Проблемой анализа корректного функционирования сетей занимались и продолжаются заниматься. Однако сферы исследований разделены либо вопросами телекоммуникации: Гамаюнов Д.Ю., Тишина Н.А., Гугель Ю.В., Наумов Д.А., Lazarevich A., J. Stolfo., либо исследованиями в области сетевых атак и безопасности: Васильев В.И., Зегжда П.Д., Остапенко А.Г., Расторгуев С.П., Шевченко А.С., Дружинин Е.Л., Mahoney M. V., McClean D.
В то же время по оценкам специалистов, в ближайшее время ожидается появление множества принципиально новых типов воздействий на системы сетевой передачи информации, в связи, с чем произойдёт перераспределение ИТприоритетов. Уже ясна бесперспективность применения только систем обнаружения вредоносного программного обеспечения, основанных исключительно на сигнатурном анализе без сочетания с другими решениями контроля и анализа.
Однако даже в этом случае, на современном этапе, наибольшую опасность при сетевой передаче информации влекут за собой реализации недекларированных воздействий, характеризующихся, как впервые реализованные методики и техники скрытого воздействия на объект, с целью нарушения основных свойств информации и корректного функционирования систем. Обладая неоспоримым преимуществом уникальности перед классическими системами контроля сетевых процессов обработки и передачи информации, заключающимся в отсутствии ключевой информации, характеризующей объект противодействия, недекларированные воздействия вызывают наибольшее беспокойство ИТэкспертов при обеспечении надежного функционирования сетевых ресурсов, а обнаружение предпосылок к их реализации и разработка методов их идентификации является наиболее актуальной проблемой.
Объект исследования - процессы сетевого взаимодействия, характеристики потоков сетевого трафика и среды его генерации в инфраструктуре сети.
Предмет исследования - методы анализа сетевого трафика и среды генерации на основе ключевых поведенческих характеристик и определения в них отклонений.
Целью работы является увеличение уровня надежности и корректного функционирования сетевых компонентов при реализации взаимодействия между ними на основе оценок комплексного анализа сетевого трафика.
В соответствии с поставленной целью в диссертационной работе необходимо решить следующие задачи:
1. провести классификацию факторов, влияющих на уменьшение уровня надежности функционирования систем при сетевом взаимодействии;
2. разработать процедуры и алгоритм контроля целостности среды генерации сетевой инфраструктуры;
3. определить и разработать методы и алгоритмы анализа сетевого трафика Ethernet-TCP/IP, позволяющие в совокупности уменьшить доли ошибок 1-ого и 2-ого рода, при определении отклонений;
4. разработать систему анализа сетевой инфраструктуры и выявления недекларированных воздействий, оценить эффективность системы.
Методы исследования. Для решения сформулированных задач и достижения поставленной цели использовались методы математического моделирования, построения алгоритмов, методы статистического, сигнатурного, нейросетевого анализа, методы экспертного оценивания.
Достоверность и обоснованность подтверждена результатами компьютерных экспериментов в имитационной среде и внедрением работы в филиале ОАО Центр Судоремонта Звездочка - Астраханский СРЗ (г. Астрахань), а также в службе безопасности и информационной защиты Астраханской области.
Научная новизна диссертационного исследования состоит в:
1. усовершенствовании метода статистического анализа трафика в области контроля надежности сетевых ресурсов, на основе построения шаблона штатного функционирования и определения отклонений, который позволяет анализировать как частотную, так и объемную характеристики потока передаваемой информации;
2. разработке процедуры контроля неизменности компонентов в среде генерации трафика с использованием аппарата WMI и экспертной классификации важности, позволяющей вести динамический мониторинг свойств сетевых объектов;
3. разработке алгоритма интеграции оценок анализа контролируемых объектов в единую характеристику состояния сетевой инфраструктуры, позволяющего идентифицировать недекларированные воздействия в процессе обработки передаваемой сетевой информации;
4. построении общей технологической и структурной схемы системы анализа и управления сетевой инфраструктурой, позволяющей уменьшить вероятность получения ошибочных результатов.
Практическая значимость работы заключается в следующем:
- реализована автоматизированная система по выявлению предпосылок к реализации недекларированных воздействий (свидетельство о регистрации программы для ЭВМ Автоматизированная система анализа сетевой инфраструктуры АС2-И ExpLANer №2011612924 от 05.05.2011 г.).
- представлены технические предложения по развертыванию системы в существующей сетевой инфраструктуре с организацией вычислительного облака за счет компонентов сети.
- результаты диссертационной работы используются в практической деятельности службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС Звездочка.
Апробация работы. Основные результаты диссертации доложены и обсуждены на международных научно-практических конференциях:
Перспективы развития информационных технологий, (г. Новосибирск, 2011), Актуальные задачи математического моделирования и информационных технологий, (г. Сочи, 2011), Молодежь и наука XXI века, (г. Ульяновск, 2010), ежегодных научно-технических конференциях профессорскопреподавательского состава Астраханского государственного технического университета в период с 2009 по 2012 гг.
Публикации. По теме диссертации опубликовано 11 печатных работ: статей в журналах из списка, рекомендованного ВАК РФ. 5 публикаций в форме докладов и статей конференций. Получено свидетельство о регистрации программы для ЭВМ. Без соавторов опубликовано 5 работ.
Структура и объём диссертации. Диссертационная работа состоит из введения, 4 глав, заключения, библиографического списка, 3 приложений. Основная часть диссертации изложена на 154 страницах машинописного текста, содержит 48 рисунков, 25 таблиц. Библиографический список литературы включает 116 наименований.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении на основе краткого анализа современного состояния в области обработки сетевого трафика и надежности функционирования объектов сети обоснована актуальность выбранной темы, раскрыты научная новизна и практическая ценность полученных результатов, сформулированы цели и задачи диссертационной работы.
В первой главе работы рассматриваются основные методы и средства обработки сетевой информации с целью увеличения уровня надежности элементов сетевой инфраструктуры. Определено, что классические системы анализа, имея преимущество в точности определения видов воздействия, не способны обнаружить факторы, не описанные в сигнатуре. На основе современных исследований и разработок выявлено, что наиболее перспективным направлением является применение проактивных технологии. В то же время выявление недекларированных воздействий в режиме реального времени является наиболее актуальной задачей, и определение минимально необходимых принципов построения системы анализа, позволит более качественно решить эту проблему.
Выявлено, что независимо от типа системы анализа и свойств среды в качестве объекта анализа выступает сетевой трафик. На основе исследований других авторов определено, что трафик обладает характеристиками самоподобия, в его потоке возможны всплески активности. Рассмотрены основные методики, используемые при анализе трафика: контекстный поиск, метод анализа состояний системы, экспертные методы, статистические методы, методы контроля целостности систем, нейросетевые методы, методы контроля реализации стандартов сетевого взаимодействия. Также рассмотрены методы поведенческого анализа, применение которых теоретически может способствовать предотвращению любого типа негативного воздействия. Анализ результатов исследований показал, что наиболее трудоемкой задачей при реализации данных методов, является достижение высокой точности при определении штатного функционирования систем, а подход к реализации систем обнаружения недекларированных воздействий, который бы свел к минимуму количество ложных срабатываний и обеспечил должный уровень надежности, является наиболее значимым.
В итоге проведен совокупный анализ потенциальных воздействий на сетевую инфраструктуру на основе методики структуризации функций и целей, с представлением стандартно-структурированной компьютерной вычислительной сети. На основе декомпозиции процесса сетевой передачи информации определены объекты анализа: среда генерации трафика; характеристики потоков сетевого трафика.
Во второй главе разработаны и описаны алгоритмы и методы получения итоговых оценок. Усовершенствован метод статистического анализа трафика в области контроля надежности сетевых ресурсов, адаптирован метод нейросетевого анализа на основе карт самоорганизации Кохонена, к структуре сетевого трафика, разработана методика выявления доминирующего признака недекларированного воздействия на основе сигнатурного анализа, сформирована функция по определению важности и контролю неизменности компонентов в среде генерации трафика.
Первой решаемой задачей являлся контроль неизменности характеристик среды генерации. Для решения задачи определения лценности характеристик среды применены методы экспертного анализа - экспертный опрос. Важность определяется путем нестрогой ранжировки: чем ниже ранг, тем выше важность.
Собранная информация разделяется на уровни, характеризующие объекты: уровень 1 - Классы уязвимых звеньев сети, уровень 2 - Вид обеспечения, уровень 3 - Характеристики программно-аппаратной среды. После проведения анализа полученных экспертных оценок на статистическую значимость, формируется множество E. В качестве критерия значимости использовался коэффициент конкордации оценок для каждого из уровней.
В результате для каждой ЭВМ в сети применяется следующий алгоритм (рис. 1):
Рис. 1. Алгоритм контроля среды генерации Сущности, применяемые в процессе анализа, образуют модель, кото рая может быть описана как кортеж :{O,Q,V,,T, E, R}, где: O - классы объектов анализа, Q - корректные характеристики объекта O, хранящиеся в базе данных - шаблоне, V - текущая конфигурация (входящая информация). - функции сопоставления (qi,vi), для характеристик каждой ЭВМ, Е - экспертные оценки, R - результирующие значения.
Процесс анализа состоит из последовательно выполняемых операций:
1. Сравнение элементов и - строковые/числовые значеqi Q vi V ния. Если, то qi vi (qi,vi) 0 - отсутствие нарушений в среде.
2. Получение для каждой i - ой ЭВМ сети вектора i {0,1}.
3. Определение значения степени важности нарушений:
rk (e) iein iein1 ... (iei iej )2 iei, где: ei - коэффициент важности ei E, rk - результат, элемент множества rk R, n - значение уровня объекта.
4. Получение векторов результирующего значения для отдельно взятой ЭВМ из структуры сети: Ri max(1(min(rk )/ max(rk ))).
Далее в работе рассмотрены методы анализа сетевого трафика.
Спроецировав на модель OSI стек протоколов TCP/IP, были определены основные характеристики трафика и использован метод сигнатурного анализа, основанный на свойствах поведенческих характеристик потока сетевого трафика, с последующим определением доминирующего признака.
Процесс определения имеет следующий вид (рис. 2):
Рис. 2. Сигнатурный анализ Сигнатура, применяемая в данной работе, имеет следующий вид (табл. 1):
Таблица Сигнатура Заголовок Тело Порт Условия Отправи- Получа- Порт по- Характеристика отправи- Тип срабатыватель тель лучателя доминирующетеля Pct_tp ния сигнатуScr_Adr Dst_Adr Dst_ Prt го признака Scr_Prt ры Согласно разработанной сигнатуре, в работе применен метод контекстного поиска. При ее построении применялся метод выявления нарушений в штатном функционировании сетевых протоколов при взаимодействии узлов сети:
1. Получение потока трафика P, где P H1, H2,, Hn Hi, характеристика потока, n-количество наборов характеристик сигнатуры S.
2. Выделение четко определяемых параметров характеристики - hi, j Hi 3. Реализация процесса сопоставления потока трафика и сигнатуры Fi (hi, j,s S) {x1,x2,...xn}, xi X {0,1}.
j Для определения источника появления нетипичного функционирования сети выделена закономерность в идентифицированных свойствах сигнатуры.
Если обозначить за - доминирующий признак сигнатуры, тогда, Pi Pi S1 S2 Sn, при этом, если Pi {0}, то Pi S1 S2 Sn.
Для решения задачи интеграции нейросетевого метода анализа, были применены самоорганизующиеся карты Кохонена (SOM). Одним из основных аспектов, повлиявших на выбор именно этой технологи нейросетевого анализа, явилось то, что при формировании нейронной сети используется метод обучения без учителя, то есть результат зависит только от структуры входных данных, в данном случае от свойств сетевого трафика (рис. 3):
Рис. 3. Нейросетевой анализ Для анализа данных с использованием карт самоорганизации и формирования входных векторов, из структурированной информации извлекаются характеристики, образующие следующие признаки: [Адрес отправителя, Адрес получателя, Порт отправителя, Порт получателя, Флаги, Данные, Служебная информация].
Для модификации весовых коэффициентов нейронов - узлов сети используется функция wj(t 1) wj(t) (t)hj,i(x)(t)[x wj(t)], где - (t) параметр скорости обучения, который должен находиться в пределах от 0,1 до 0,01.
Для решения задачи визуализации результатов SOM применен линейный градиент стандарта RGB. С привязкой к среде разработки были получены цветовые сочетания и их комбинации, при этом цвета ячейки определяются на основе значения компоненты mas[i, j] - вес нейрона. В итоге могут быть получены следующие наборы карт (табл. 2):
Таблица Наборы карт по трем признакам Визуальные карты Расшифровка Характеристика признаков сетевого адаптера в период с 18.00 до 8.00 - равномерное распределение (ЭВМ не входит в состав домена).
Вектора, расстояние между которыми внутри группы меньше, чем расстояние до соседних групп образуют кластер признака группы. Имея на картах признаков общую характеристику всех анализируемых объектов, в совокупности с текстовыми сообщениями системы, визуально определить отличающиеся блоки, по отношению к соседним, практически не требует временных затрат.
При реализации статистического метода анализа были определены взаимодействующие логические сущности: Tr=: адреса источника/приемника - S/D, тип и порт пакета - Tp, длина пакета - L, время фиксации пакета - Tm. При анализе применяются 1) объемный, 2) частотный режимы (характеристика потока).
1) На этапе процесса анализа трафика из события Tr извлекается объект X=Tr
1.1. Сопоставляются значения и в момент времени, где анаXi Yi ti Yi логичный набор событий из множества, составляющего шаблон штатного Xi функционирования сети (ШШФС). Нижний порог определяется как, а Xi k Yi верхний как Xi Yi / k, k=0,8.
1.2. Определяются краевые значения допустимых интервалов. Для этого n определим выборочное среднее из элементов множества Average(X ) i X.
n iДопустимый диапазон определяется следующим неравенством:
. Аналогичные операции применяются к 3/ 2* Average(X) Xi average(X)/ множеству Y, и определяют границы полуинтервалов на основе среднего значения выборки.
2) Из события Tr извлекается объект Tr Tp P{p1, p2,...,pn,} X -, где pi n количество зафиксированных пакетов - типа. При этом Y pi X - общее pi iколичество пакетов.
2.1. Определяется частота фиксации определенного типа пакетов:
(X ) X /Y. При этом отклонение выборки для событий текущего потока pi pi определяется как: M (X ) (M (X ))2.
pi pi 2.2. При использовании ШШФС необходимо анализировать характеристики потока с данными заложенными в шаблон. В этом случае отклонение n определяется по функции pi (X Ypi )2. Имея ШШФС, ожидаемым n iзначением является характеристика потока сети в момент времени соответствующий характеристике X из шаблона.
pi Таким образом, в работе были получены наборы оценок среды генерации, а так же оценки статистического, сигнатурного и нейросетевого анализа сетевого трафика, где результат анализа каждого метода (КР) определяется, как произведение промежуточного результата (ПР) анализа, производимого сепаратно и коэффициента достоверности (КД): КР=max(КДПР). Далее три набора оценок в мультипликативном преобразовании определяют совокупный результат. Одновременно с полученной оценкой анализа трафика, используется характеристика состояния среды генерации трафика. Имея набор двух оценок, итоговая оценка определяется набором пересекающихся вероятностных интервалов.
Общий алгоритм получения итоговой оценки выглядит следующим образом (рис. 4):
Рис. 4. Алгоритм получения итоговых значений Третья глава посвящена вопросам разработки автоматизированной системы, рассмотрена ее концептуальная схема в качестве модульного ядра.
Определены основные принципы построения и предложены общая технологическая и структурная схемы автоматизированной системы, позволяющие использовать объекты сети в качестве вычислительных элементов системы.
На начальном этапе система непрерывно производит сбор необходимой информации на определенном временном отрезке либо до управляющей команды администратора. Структурированная информация в соответствии со своим классом попадает в соответствующие хранилища данных для хранения и последующего анализа (рис. 5):
Рис. 5. Схема обработки информации На последующих этапах обработки производится извлечение необходимых показателей из баз данных. Если отклонения не обнаружены, система перезаписывает конфигурационную информацию, при условии, что существует необходимость модернизации шаблона. С применением данной системы, процедура выявления инцидентов воздействия может быть представлена в виде циклического процесса, реализуемого автоматизированной системой и действий администратора по работе с ней. При идентификации воздействий система в зависимости от режима позволяет блокировать объект, изменять характеристики среды или деактивировать элемент сетевой структуры.
При создании проекта системы была выбрана схема, реализующая принципы модульности, развития, связности и децентрализации. Основным связующим блоком является главная консоль управления - ядро системы, являющееся центральной частью, обеспечивающей координированный доступ к ресурсам сети и ее компонентам. Структурно система состоит из сетевых агентов с децентрализованной архитектурой. Центральный узел сети собирает и сопоставляет информацию, поступающую от подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, снижающие надежность сетевой передачи. Вышеописанная схема представляет собой модель вычислительного облака, перспективность которого описана в первой главе работы (рис. 6).
Рис. 6. Модульная структура системы Для оценки результатов применения автоматизированной системы и реализованных в ней методов, была спроектирована следующая сетевая среда: виртуальная локальная сеть, состоящая из двух клиентов и сервера, соединенных с сетями общего доступа.
Оценка заключалась в определении относительного количества срабатываний системы на негативные воздействия: изменении характеристик сетевого оборудования, комплексного воздействия, отключения сетевых служб сервера, подмены сетевых объектов и т.п. (табл. 3).
Таблица Результаты достоверности методов анализа Уровень Количество испытаний Успешно завершены Эффективность, % Физический 75 62 Канальный 75 65 Сетевой 100 83 Транспортный 125 96 Прикладной 85 26 Для данной сетевой инфраструктуры были сформированы шаблоны функционирования, образы среды генерации трафика. Основным требованием при выполнении анализа эффективности программной системы являлось обеспечение лидеальной среды, в которой по умолчанию отсутствовали предпосылки к реализации недекларированного воздействия. В ходе испытаний получены следующие результаты: для сигнатурного метода КД равен 0,93-лвысокая оценка, для статистических методов 0,82 (средняя оценка), для нейросетевого 0,78 (средняя оценка). Проведя анализ сработок методов идентификации воздействий, как отдельно, так и в комплексе, были получены следующие характеристики эффективности системы (рис. 7).
Рис. 7. Характеристика применяемых методов анализа трафика На основе проведенного исследования, можно сделать вывод о том, что система АС2-И успешно выявляет воздействия, связанные с общим функционированием как сети в целом, так и отдельных ее компонентов.
Относительная частота детектирования составляет 68%. При отсутствии в тестировании специфических реализации программно-математического воздействия относительная частота детектирования составляет 76%. Доля ошибок первого рода составляет 17%, второго рода 25%.
В четвертой главе описаны этапы внедрения системы в процессы обработки информации, проанализированы результаты внедрения в существующие сетевые структуры с целью повышения надежности их функционирования. На этапе внедрения АС2-И применялась в качестве подсистемы мониторинга сетевых процессов и реагирования на предпосылки к реализации недекларированных воздействий, в развернутой КИС инженерного проектирования САПР CATIA, системе электронного документооборота, а также распределенной локальной сети предприятия, объединяющей производственные мощности.
В технологическом процессе обработки сетевой информации объекта были выделены этапы, и связи между ними, наиболее активно применяющие сетевую инфраструктуру: 1) Развертывание консоли администратора АС2-И и коллектора в главном управлении за сетевым шлюзом. 2) Установка сетевых сенсоров на ЭВМ сети. 3) Установка сенсора коммутационного оборудования.
4) Развертывание АС2-И на группе терминальных станций, подключенных к внутренней сети предприятия.
На основе данных, полученных в тестовой среде, можно сделать вывод о возникновении порядка 30 идентификаций недекларированного воздействия в день, большую часть из которых составляют нарушения доступа к сетевой информации, теневое копирование информации, доступ в сеть общего пользования с использованием нестандартных протоколов (табл. 4). В результате были получены следующие результаты для объекта (акт о внедрении от 10.10.2011 г.).
Таблица Результаты эффективности внедрения системы Тип воздействия Кол-во детектир. АС-2 И Классич. с-ма Эф., % Сканирование 43 36 Сетевой поиск 56 20 Теневое копирование 76 17 Использование подозрительных портов 89 67 Регистрация некорректных пакетов 23 12 При определении технических характеристик процесса обработки технологической информации до применения АС2-И ExpLANer в 100%, после внедрения были получены следующие результаты (табл. 5):
Таблица Результаты анализа функционирования сети Техническая характеристика Значение, % Средняя скорость передачи данных Среднестатистическая задержка на сети 1Средний уровень доступности оборудования абонентов Средний % потери пакетов данных Средний уровень надежности передачи 1Средний уровень загрузки вычислительной способности АС 1Уменьшение уровня некоторых характеристик объясняется дополнительными вычислительными затратами на накопление статистических данных и передачу их на сервер, что можно избежать применяя аппаратные комплексы сетевого мониторинга, сканирующих сеть и обобщающих хранилища данных, с которыми АС2-И интегрируется для проведения анализа.
Проведя анализ полученной информации можно сделать вывод о пригодности применения разработанной системы, как в существующих структурах, так и для предварительного анализа контролируемых узлов проектируемых систем.
В заключении сформулированы выводы по результатам исследования.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ 1. Разработан алгоритм контроля целостности среды генерации сетевого трафика. Определено множество альтернатив, и получены множества допустимых экспертных оценок важности компонентов среды. Реализована функция вычисления коэффициента важности объекта сетевой инфраструктуры.
2. Реализована методика определения доминирующего признака недекларированного воздействия на основе сигнатурного метода, с применением стандартов RFC и динамических характеристик, полученных эмпирически.
3. Сформирована структура входных векторов на основе ключевых характеристик потока сетевого трафика, использовавшаяся при реализации алгоритма построения карт самоорганизации. С применением линейного градиента был разработан способ визуализации полученных карт и выделения аномальных областей.
4. Усовершенствована методика предельного порогового контроля объемной характеристики трафика и методика определения и контроля допустимого отклонения частотной характеристики.
5. Предложена обобщенная схема, в которой реализован интегральный подход определения результата анализа. В результате снижены доли ошибок 1ого и 2-ого рода на 17 и 25 % в отдельно взятом методе соответственно.
6. Разработана система анализа и контроля потоков информации сетевого взаимодействия и среды их генерации. Система является инструментом, позволяющим администратору управлять процессом выявления предпосылок к реализации недекларированных воздействий в функционировании компьютерной сети. Применение разработанной системы позволяет выявлять 68% потенциальных недекларированных воздействий, тем самым повышает надежность сетевых систем.
7. Практические результаты диссертационной работы применяются в деятельности службы безопасности и информационной защиты Астраханской области, Астраханского СРЗ ЦС Звездочка.
8. Дальнейшее развитие исследований по данным направлениям может включать совершенствование методов построения признаков поведенческих сигнатур, интеграцию дополнительных методов анализа сетевого трафика, развитие автоматизированной системы в области управления источниками негативного воздействия.
ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ Статьи в журналах, периодических изданиях, включенных в перечень ВАК РФ 1. Бабенко, Г.В. Анализ современных угроз безопасности информации, возникающих при сетевом взаимодействии / Г.В. Бабенко // Вестник Астраханского государственного технического университета. Серия Управление, вычислительная техника и информатика. - 2010. - №2. - С. 149-152.
2. Бабенко, Г.В. Экспертные методы как инструмент определения важности программно-аппаратных компонент сетевой инфраструктуры при обеспечении информационной безопасности / Г.В. Бабенко, С.В. Белов // Вестник Астраханского государственного технического университета. Серия Управление, вычислительная техника и информатика. - 2011. - №1. - С.
142-149.
3. Бабенко, Г.В. Анализ трафика TCP/IP на основе методики допустимого порога как инструмент определения инцидентов информационной безопасности / Г.В. Бабенко, С.В. Белов // Технологии техносферной безопасности:
интернет-журнал. - 2011.- №5 (39). - 10 с. - - 0421000050.
4. Бабенко, Г.В. Анализ поведенческих характеристик трафика Ethernet-TCP/IP на основе сигнатурного метода / Г.В. Бабенко, С.В. Белов // Информационная безопасность регионов. - 2011. - №2 (9).Ц С. 7-12.
5. Бабенко, Г.В. Применение карт самоорганизации Кохонена для выявления отклонений в потоке трафика TCP/IP / Г.В. Бабенко // Безопасность информационных технологий. - 2011. - №4.Ц С. 60-66.
6. Бабенко, Г.В. Увеличение уровня надежности и качества производства c применением в технологическом процессе автоматизированной системы АС2-И ExpLANer / Г.В. Бабенко, С.В. Белов // Вестник Астраханского государственного технического университета. Серия Управление, вычислительная техника и информатика. - 2012. - №1. - С. 17-25.
Статьи в межвузовских научных сборниках, сборниках трудов международных, всероссийских научных конференциях 7. Бабенко, Г.В. Систематизация методов анализа информации сетевых взаимодействий. / Г.В. Бабенко // Наука: поиск. - 2010. - С. 29-32.
8. Бабенко, Г.В. Прототип системы выявления и анализа нетипичных состояний в функционировании сетевой инфраструктуры / Г.В. Бабенко // Материалы международной научно-практической конференции Молодёжь и наука XXI века. - Ульяновск. - 2010. - С. 319-325.
9. Бабенко, Г.В. Повышение уровня безопасности информации путем выявления и анализа нетипичных состояний в функционировании сетевой инфраструктуры / Г.В. Бабенко, В.А. Григорьева // Материалы международной научно-практической конференции Современная наука. - Ставрополь. - 2010. - С. 85-89.
10. Бабенко, Г.В. Анализ ключевых характеристик сетевого трафика. / Г.В. Бабенко // Материалы международной научно-практической конференции Перспективы развития информационных технологий. - Новосибирск. - 2011. - С. 183-187.
11. Бабенко, Г.В. Выявление сетевых отклонений статистическими методами анализа. Материалы международной научно-практической конференции Актуальные задачи математического моделирования и информационных технологий / Г.В. Бабенко, С.В. Белов // Европейский исследователь. - 2011. - №5-1. - С. 566-569.
Свидетельство об официальной регистрации программы для ЭВМ 12. Автоматизированная система анализа сетевой инфраструктуры АС2-И ExpLANer: Св. об офиц. рег. прогр. для ЭВМ №2011612924. / Бабенко Г.В.
Зарег. 05.05.2011 г.
Авторефераты по всем темам >> Авторефераты по техническим специальностям