Исследование и разработка комплексной методики обнаружения сетевых вторжений
Диссертация
Компьютерные сети на протяжении всей своей истории развития содержали потенциальную опасность нарушения конфиденциальности обрабатываемой или передаваемой информации. В последнее время, когда большинство государственных и коммерческих организаций имеют собственные сети, а также выход в глобальную сеть, вероятность несанкционированного доступа к закрытым для посторонних лиц сведениям значительно… Читать ещё >
Содержание
- Список сокращений
- ГЛАВА 1. Анализ методов и алгоритмов обнаружения сетевых атак
- 1. 1. Анализ сетевых атак
- 1. 2. Основные методические подходы и системы обнаружения сетевых вторжений
- 1. 3. Постановка научной задачи и частные задачи исследования
- 1. 4. Выводы по главе
- ГЛАВА 2. Разработка комплексной методики обнаружения сетевых вторжений
- 2. 1. Структура и составные части комплексной методики
- 2. 2. Выбор показателя оценки обнаружения сетевых вторжений
- 2. 3. Методика сегментации термов прикладного протокола
- 2. 3. 1. Анализ методов сегментации
- 2. 3. 2. Выбор и обоснование методики сегментации
- 2. 3. 3. Разработка алгоритма сегментации
- 2. 4. Методика восстановления стохастической грамматики прикладного протокола
- 2. 4. 1. Анализ методов восстановления грамматики
- 2. 4. 2. Выбор и обоснование методики восстановления грамматики
- 2. 4. 3. Разработка алгоритма восстановления грамматики
- 2. 5. Выбор методов обнаружения аномалий протоколов
- 2. 5. 1. Анализ методов поиска исключений
- 2. 5. 2. Выбор и применение метода поиска исключения
- 2. 5. 3. Оценка аномальности работы пользователя или программы
- 2. 6. Выводы по главе
- ГЛАВА 3. Эксперементальное обоснование научных результатов исследования
- 3. 1. Технология проведения эксперементов
- 3. 2. Исследование условий обнаружения аномальности протокола
- 3. 3. Программная реализация комплексной методики обнаружения сетевых вторжений
- 3. 3. 1. Архитектура и функциональность экспериментальной системы обнаружения атак
- 3. 4. Верификация результатов исследования
- 3. 5. Разработка рекомендаций использования комплексной методики обнаружения сетевых вторжений
- 3. 6. Выводы по главе
Список литературы
- Агеев M., Кураленок И. Официальные метрики ромип '2004 // Труды второго российского семинара по оценке методов информационного поиска. — 2004. — С. 142−150. http://romip.narod.ru/romip2004/.
- Атака из Internet / И. Д. Медведовский, П. В. Семьянов, Д. Г. Леонов, А. В. Лукацкий. М.: СОЛОН-Р, 2002. — 368 с.
- Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите информации.— Экспресс-Электроника № 2.— 2004. http: //www.uran.donetsk.ua/masters/2004/fvti/zlatokrilets/library/ sourcel .htm.
- Говов И. Ю., Шевченко А. С. Персональные и корпоративные межсетевые экраны // Сборник «Обеспечение безопастности информации в корпоративных сетях», Под редакцией Филиппова. — 2002. — С. 19−22.
- Гонсалес Д. Т. Р. Принципы распознавания образов.— М.: Изд-во «Мир», 1978.
- Друэ/синин Е. Л. Разработка методов и программных средств выявления аномальных состояний компьютерной сети: Ph.D. thesis / Московский Инженерно-физический Институт. — 2005.
- Ирэюевский А. А., Шевченко А. С. Корпоративная антивирусная защита // Сборник &bdquo-Обеспечение безопастности информации в корпоративных сетях11, Под редакцией Филиппова. — 2002. — С. 8−14.
- Касперски К. Техника сетевых атак. — Москва: СОЛОН-Р, 2001.
- Лукацкий А. В. Атаками весь мир полнится // Компьютер-Пресс.— 2001. № 10.
- И. Лукацкий А. В. Обнаружение атак 2-е издание.— Санкт-Петербург: БХВ-Петербург, 2003. 608 с.
- Самоучитель по программированию систем безопасности. http://xsector.ru/2006/09/01/print:page, l, programmirovaniesistemzashhity.html.
- Сердюк В. А. Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак: Ph.D. thesis / Российский Государственный Технологический Университет им. К. Э. Циолковского. — 2004.
- Слюсареико И. М. Методика обнаружения и оценивания аномалий информационных систем на основе анализа системных вызовов: Ph.D. thesis / Петербургский государственный университет путей сообщения. 2006.
- Фу К. Структурные методы в распознавании образов. — Издательство «Мир», 1977.
- Хафизов А. Ф. Нейросетевая система обнаружения атак на WWW-сервер: Ph.D. thesis / Уфимский государственный авиационный технический университет. — 2004.
- Шевченко А. С. Системная служба для анализа процессов, выполняемых windows nt/2000 // Журнал &bdquo-Информационные технологии".— 2003.-№ 8.-С. 52−56.
- Шевченко А. С. Исследование методов интеллектуального анализа данных в задачах обнаружения сетевых атак // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ. Тезисы докладов. — 2005. — С. 201.
- Шевченко А. С. Исследование применения структурных методов распознавания в задачах обнаружения сетевых вторжений // XIII Международная студенческая школа-семинар «Новые информационные технологии». — 2005. — С. 264.
- Шевченко А. С. Методы обнаружения сетевых вторжений // Информационные, сетевые и телекоммуникационные технологии: сборник научных трудов, под ред. проф. д.т.н. Жданова B.C., МГИЭМ. — 2005. — С. 114−117.
- Шевченко А. С. Методы обнаружения аномалий в системах обнаружения сетевых вторжений // Научно-техническая конференция студентов, аспирантов и молодых специалистов МИЭМ. Тезисы докладов. — 2006. С. 138.
- Adam: Detecting intrusions by data mining / D. Barbara, J. Couto, S. Ja-jodia et al. // IEEE Workshop on Information Assurance and Security. — 2001.
- Ando R. K., Lee L. Mostly-unsupervised statistical segmentation of Japanese kanji sequences // Journal of Natural Language Engineering. — 2003. citeseer.ist.psu.edu/ando03mostlyunsupervised.html.
- Angiulli F.- Pizzuti C. Outlier mining in large high-dimensional data sets // IEEE Transactions on Knowledge and Data Engineering. — 2005. — Vol. 17, no. 2.-Pp. 203−215.
- Huang X., Peng F., Schuurmans D. et al. Applying machine learning to text segmentation for information retrieval. — 2002. cite-seer.ist.psu.edu/huang02applying.html.
- Arning A., Agrawal R., Raghavan P. A linear method for deviation detection in large databases // Knowledge Discovery and Data Mining. — 1996. — Pp. 164−169. citeseer.ist.psu.edu/arning961inear.html.
- Aroonmanakun W. Collocation and thai word segmentation. — 2002. cite-seer.comp.nus.edu.sg/aroonmanakun02collocation.html.
- Barford P., Plonka D. Characteristics of network traffic flow anomalies.— In Proceedings of the ACM SIGCOMM Internet Measurement Workshop. —2001. citeseer.ist.psu.edu/barford01characteristics.html.
- Kruegel C., Mutz D., Robertson W., Valeur F. Bayesian event classification for intrusion detection. — In 19th Annual Computer Security Applications Conference, Las Vegas, Nevada.— 2003. cite-seer.ist.psu.edu/kruegel03bayesian.html.
- BenGal I. Outlier detection. — Kluwer Academic Publishers, 2005.
- Bolzoni D., Etalle S. Approaches in anomaly-based intrusion detection systems. — 1st Benelux Workshop on Information and System Security.— 2006. November 8−9.
- Brent M. An efficient, probabilistically sound algorithm for segmentation and word discovery. — Machine Learning, 34:71−106. — 1996. http://www.cs.fit.edu/ pkc/ml/related/brent-mlj99.pdf.
- Brent M., Cartwright T. Distributional regularity and phono-tactic constraints are useful for segmentation.— 1996. cite-seer.ist.psu.edu/brent96distributional.html.
- Burgess M. Probabilistic anomaly detection in distributed computer // CiteSeer. IST Scientific Literature Digital Library, cite-seer.ist.psu.edu/696 673.html.
- Tang J., Chen Z., Fu A., Cheung D. Capabilities of outlier detection schemes in large datasets, framework and methodologies. — Knowledge and Information Systems. — 2006.
- Cert/cc statistics 1988−2006: Tech. rep.: Software Engineering Institute, 2006. http://www.cert.org/stats/certstats.html#vulnerabilities.
- Chan P. K., Mahoney M. V., Arshad M. H. A machine learning approach to anomaly detection: Tech. Rep. CS-2003−06. Melbourne, FL 32 901: Department of Computer Sciences, Florida Institute of Technology, 2003. — March.
- Chen Z., Fu A. W.-C., Tang J. On complementarity of cluster and outlier detection schemes. // DaWaK.— 2003.— Pp. 234 243. http://springerlink.metapress.com/openurl. asp? genre=article&-issn=0302−9743&volume=2737&spage=234.
- Christiansen M., Allen J. Coping with variation in speech segmentation // Language Acquisition: Knowledge Representation and Processing. — 1997. Pp. 327−332.
- Christiansen M., Allen J., Seidenberg M. Learning to segment speech using multiple cues: A connectionist model. — 1998. cite-seer.ist.psu.edu/christiansen981earning.html.
- A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection.— San Francisco, 2003.— May. Proceedings of Third SIAM Conference on Data Mining, http: / / www.cs.umn.edu/research/minds/papers/siam2003.pdf.
- A compression-based algorithm for Chinese word segmentation / W. J. Teahan, Y. Wen, R. J. McNab, I. H. Witten // Computational Linguistics.— 200.— Vol. 26, no. 3.— Pp. 375−393. cite-seer. ist. psu. edu/article / teahanOOcompressionbased .html.
- Das K. Protocol anomaly detection for network-based intrusion detection // SANS. — 2001. http://www.sans.org/rr/whitepapers/detection/349.php.
- Deligne S., Bimbot F. Language modeling by variable length sequences: Theoretical formulation and evaluation of multigrams // Proc. ICASSP '95.- Detroit, MI: 1995.- Pp. 169−172. citeseer. ist. psu .edu/deligne951anguage.html.
- Emran S. M., Ye N. Robustness of Canberra metric in computer intrusion detection. — Workshop on Information Assurance and Security United States Military Academy, West Point. — 2001.
- Ge X., Pratt W., Smyth P. Discovering Chinese words from unsegmented text (poster abstract) // Research and Development in Information Retrieval.— 1999.— Pp. 271−272. citeseer.ist.psu.edu/ge99discovering.html.
- Eskin E., Arnold A., Prerau M. et al. A geometric framework for unsupervised anomaly detection: Detecting intrusions in unlabeled data.— In Data Mining for Security Applications.— 2002. cite-seer.ist.psu.edu/eskin02geometric.html.
- Hoagland J. — Silican Defense. — 2000. http://www.silicondefense.com /software/ spice.
- Hua Y. Unsupervised word induction using mdl criterion, cite-seer .ist .psu.edu/380 240.html.
- Cretu G. F., Parekh J. J., Wang K., Stolfo S. J. Intrusion and anomaly detection model exchange for mobile ad-hoc networks. http://wwwl.cs.columbia.edu/ids/publications/.
- Intrusion detection faq. — Web page.— 2006. http: / / www.sans.org/resources/idfaq/.
- Intrusion detection methodologies demystified. — 2003. http://www.seclib.com/seclib/ids.general/IDMethodologiesDemystified.pdf.
- Javits H. S., Valdes A. The nides statistical component: Description and justification: Tech. rep.: SRI International, Computer Science Laboratory, 1993.
- Jin W., Tung А. К. H., Han J. Mining top-n local outliers in large databases // Knowledge Discovery and Data Mining. — 2001. — Pp. 293−298. cite-seer.ist.psu.edu/440 808.html.
- Kazienko P., Dorosz P. Intrusion detection systems (ids) part 2 classification- methods- techniques // WindowSecurity.com.— 2004. http: //www.windowsecurity.com/articles/IDS-Part2-Classification-metliods-techniques.html.
- Kit C. Unsupervised Lexical Learning as Inductive Inference: Ph.D. thesis / University of Sheffield, UK. — 2000. kit00unsupervised.pdf.
- Kit C., Wilks Y. Unsupervised learning of word boundary with description length gain. — 1999. citesecr.ist.psu.edu/kit99unsuperviscd.html.
- Knorr E. M., Ng R. T. Algorithms for mining distance-based outliers in large datasets // Proc. 24th Int. Conf. Very Large Data Bases, VLDB.— 1998. —24−27 .— Pp. 392−403. citeseer.ist.psu.edu/knorr98algorithm.html.
- Kruegel C., Vigna G. Anomaly detection of web-based attacks. — In Proceedings of 10th ACM Conference on Computer and Communications Security (CCS'03).— 2003. — October, cite-seer. ist. psu.edu / article/kruegel03anomaly. html.
- Kruegel C., Vigna G., Robertson W. A multi-model approach to the detection of web-based attacks // Comput. Networks. — 2005. — Vol. 48, no. 5. — Pp. 717−738.
- Kruengkrai C., Sornlertlamvanich V., Isahara H. A conditional random field framework for thai morphological analysis. — Proceedings of the Fifth International Conference on Language Resources and Evaluation. — 2006.
- Krugel C., Toth Т., Kirda E. Service specific anomaly detection for network intrusion detection // ACM Symposium on Applied Computing. — 2002.
- Lazarevic A. Personal page. — Web page, http://www-users.cs.umn.cdu/ aleks/.
- Lazarevic A., Kumar V. Feature bagging for outlier detection. — SIGKDD. — 2005.
- Lee W. A Data Mining Framework for Constructing Features and Models for Intrusion Detection Systems: PhD dissertation / Columbia University. — 1999.
- Lee W., Stolfo S. J. A framework for constructing features and models for intrusion detection systems // Information and System Security. — 2000. — Vol. 3, no. 4.— Pp. 227−261. citeseer.ist.psu.edu/article/leeOOframework.html.
- Li W. Mutual information functions versus correlation functions. — 1990. citeseer.ist.psu.edu/li90mutual.html.
- Li Z., Das A., Zhou J. Model generalization and its implications on intrusion detection // ACNS. 2005. — Pp. 222−237.
- Liao Y., Vemuri V. R. Using text categorization techniques for intrusion detection //11th USENIX Security Symposium. — San Francisco, С A: 2002. — August 5−9. — Pp. 51−59. citeseer.ist.psu.edu/liao02using.html.
- Locasto M. et al. Towards collaborative security and P2P intrusion detection. citeseer.ist.psu.edu/locasto05towards.html.
- LOF: identifying density-based local outliers / M. M. Breunig, H.-P. Kriegel, R. T. Ng, J. Sander // Proc. ACM SIGMOD 2000 Int. Conf. On Management of Data. — 2000. — Pp. 93−104. citcsccr.ist.psu.edu/breunig001of.html.
- Lozano E., Acuna E. Parallel algorithms for distance-based and density-based outliers // ICDM '05: Proceedings of the Fifth IEEE International Conference on Data Mining. — IEEE Computer Society, 2005.
- Lu Q. Term segmentation for Chinese clir. — 2004. — December, http: / / www.nvc.vt.edu/ceege/qifeng/lukelufiles/CCLIR.pdf.
- Ma P. — Log Analysis-Based Intrusion Detection via Unsupervised Learning. — Master's thesis, School of Informatics University of Edinburgh, 2003. citeseer. ist .psu.edu / ma031og. html.
- Mahoney M. Network traffic anomaly detection based on packet bytes. —2003. citeseer.ist.psu.edu/mahoncy03network.html.
- Mahoney M., Chan P. Phad: Packet header anomaly detection for identifying hostile network traffic. — Technical report, Florida Tech. — 2001. — April. citeseer.ist.psu.edu/mahoney01phad.html.
- Mahoney M., Chan P. Learning nonstationary models of normal network traffic for detecting novel attacks. — Edmonton, Alberta: Proc. SIGKDD. — 2002. citeseer.ist.psu.edu/mahoney021earning.html.
- Mahoney M. V. A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic: Ph.D. thesis / College of Engineering at Florida Institute of Technology.— 2003. http://www2.cs.fit.edu/ pkc/theses/mahoney03.pdf.
- Mahoney M. V., Chan P. K. An analysis of the 1999 darpa/lincoln laboratory evaluation data for network anomaly detection.— 1999. cite-seer.ist.psu.edu/mahoney03analysis.html.
- Maxion R. A., Roberts R. R. Proper use of roc curves in intrusion/anomaly detection: Tech. rep.: School of Computing Science, Newcastle University, 2004. http://www.cs.ncl.ac.uk/research/pubs/trs/papers/871.pdf.
- MEKNAVIN S., CHAROENPORNSAWAT P, KIJSIRIKUL B. Feature-based thai word segmentation. — 1997. cite-seer. ist. psu.edu/meknavin97feat ur ebased. ht ml.
- The MINDS Minnesota Intrusion Detection system / L. Ertoz, E. Eilert-son, A. Lazarevic et al. // Next Generation Data Mining. — MIT Press, 2004. http://www.cs.umn.edu/research/minds/papers/mindschapter.pdf.
- Nagao M., Mort S. A new method of n-gram statistics for large number of n and automatic extraction of words and phrases from large text data of japanese. citeseer.ist.psu.edu/nagao94new.html.
- Northcutt S., Novak J. Network Intrusion Detection. 3rd edition. — 2002. — 512 pp.
- A novel anomaly detection scheme based on principal component classifier / M.-L. Shyu, S.-C. Chen, K. Sarinnapakorn, L.-W. Chang // IEEE Foundations and New Directions of Data Mining Workshop. — 2003.
- OPTICS-OF: Identifying local outliers / M. M. Breunig, H.-P. Kriegel, R. T. Ng, J. Sander // Principles of Data Mining and Knowledge Discovery. — 1999. — Pp. 262−270. citeseer.ist.psu.edu/242 188.html.
- Hawkins S., He H., Williams G., Baxter R. Outlier detection using replicator neural networks. — 2002. citeseer.ist.psu.edu/hawkins02outlier.html.
- Peng F. Automatic Multi-Lingual Information Extraction: Ph.D. thesis / Computer Science Department The University of Waterloo, citeseer.ist.psu.edu/peng01automatic.html.
- Peng F. The Sparse Data Problem in Statistical Language Modeling and Unsupervised Word Segmentation: Ph.D. thesis / Computer Science Department The University of Waterloo. — 2001. — October, proposal3.pdf.
- Peng F., Schuurmans D. A hierarchical em approach to word segmentation // CiteSeer. IST Scientific Literature Digital Library.— 2001. cite-seer.ist.psu.edu/article/pengOlhierarchical.html.
- Porras P., Neumann P. Emerald: Event monitoring enabled responses to anomalous live disturbances. — National Information Systems Security Conference. — 1997.
- Portnoy L., Eskin E., Stolfo S. Intrusion detection with unlabeled data using clustering. — In ACM Workshop on Data Mining Applied to Security. — 2001. citeseer.ist.psu.edu/portnoy01intrusion.html.
- Potipiti Т., Sornlertlamvanich V., Charoenporn T. Automatic corpus-based thai word extraction // CiteSeer. IST Scientific Literature Digital Library. —2000. citeseer.ifi.unizh.ch/potipitiOOautomatic.html.
- Provost F., Fawcett T. Robust classification for imprecise environments // CiteSeer. IST Scientific Literature Digital Library.— 1999. eite-seer.ifi.unizh.ch/provost01robust.html.
- Qin M., Hwang K. Anomaly intrusion detection by internet datamining of traffic episodes: Tech. rep.— Los Angeles, CA 90 089: Internet and Grid Computing Laboratory University of Southern California, 2003.
- Rennie J. D. M. — 2004. — February, http://people.csail.mit.edu/jrennie/writing.
- Tang J., Chen Z., Fu A., Cheung D. A robust outlier detection scheme in large data sets. — PAKDD. — 2002. citeseer.ist.psu.edu/tang01robust.html.
- Application of Machine Learning Algorithms to KDD Intrusion Detection Dataset within Misuse Detection Context.— Las Vegas, 2003. http://www.cs.unc.edu/ jeffay/courses/nidsS05/ai/mlmta03.pdf.
- Sarkar A., Zeman D. Automatic extraction of subcategorization frames for czecll. — 2000. citeseer.ist.psu.edu/sarkarOOautomatic.html.
- The science of intrusion detection system, attack identification, 1992−2003. — 2003. www.cisco.com/warp/public/ сс/pd/sqsw/sqidsz / prodlit/idssa wp.pdf.
- Smirnov V. V. Firewall for windows. — 2000−2005. http://www.ntkernel.com.
- Sommer R. Viable Network Intrusion Detection in High-Performance Environments: Ph.D. thesis / Technical Universary Munchen. — 2005.
- Sornlertlamvanich V., Potipiti Т., Charoenporn T. Automatic corpus-based thai word extraction with the c4.5 learning algorithm. — 2000. citeseer.ist.psu.edu/sornlertlamvanich00automatic.html.
- Sornlertlamvanich V., Tanaka H. The automatic extraction of open compounds from text corpora.— 1996. cite-seer.ist.psu.edu/article/sornlertlamvanich96automatic.html.
- Sun M., Shen D., Tsou B. Chinese word segmentation without using lexicon and hand-crafted training data. In Proc. of COLING-ACL '98. — 1998.citeseer.ist.psu.edu/sun98chinese.html.
- Tandon G., Chan P., Mitra D. Data cleaning and enriched representations for anomaly detection in system calls.— In Machine Learning and Data Mining for Computer Security: Methods and Applicatioins. — 2006.
- Taylor C., Alves-Foss J. An empirical analysis of nate: Network analysis of anomalous traffic events. — 10th New Security Paradigms Workshop (NSPW).— 2002. citeseer.ist.psu.edu /taylor02empirical.html.
- Theuns V., Ray H. Intrusion detection techniques and approaches. — Computer Communications, № 25. — 2002.
- Zurich, CH: ACM Press, New York, US, 1996.- Pp. 298−306. citeseer.ist.psu.edu/lewis96training.html.
- Church K., Gale W., Hanks P., Hindle. Using statistics in lexical analysis. — Bell Laboratories and Oxford University Press. — 1991.
- Valeur F., Mutz D., Vigna G. A learning-based approach to the detection ofsql attacks. http://www.auto.tuwien.ac.at/Workshops/dimva05/materials/vigna.pdf.
- Vigna G., Kemmerer R. A. Netstat: A network-based intrusion detection approach // ACSAC. — 1998. — P. 25. citeseer.ist.psu.edu/vigna98netstat.html.
- Wang K., Stolfo S. J. Anomalous payload-based network intrusion detection // RAID.— 2004. — September. http://wwwl.cs.columbia.edu/ids/publications/RAID4.PDF.
- Wikipedia. http://en.wikipedia.org/wiki.
- Williams G., Baxter R. et al. A comparative study of rnn for outlier detection in data mining. — 2002. citeseer.ist.psu.edu/williains02comparative.html.
- Yamamoto M., Church K. Using suffix arrays to compute term frequency and document frequency for all substrings in a corpus // Proceeding of Sixth Workshop on Very.— 1998. http://www.milab.is.tsukuba.ac.jp/ mya-ma/publications/pdf/wvlc98yc.pdf.
- Yang Y. An evaluation of statistical approaches to text categorization // Information Retrieval— 1999.— Vol. 1, no. ½.— Pp. 69−90. cite-seer.ist.psu.edu/article/yang99evaluation.html.
- Yoo I. Defence Mechanisms against Vulnerabilities in Network Protocols and Risk Assessment of Data Packets: Ph.D. thesis / Department of Computer Science University of Fribourg. — Switzerland.
- Zhang L. Network intrusion detection systems. — Presentation. — 2005. http://www.cs.utsa.edu/ danlo/teaching/cs7123/Fall2005/LikeZhangNIDS.ppt.