Hvordan opdager man skjult datatransmission på netværket? Skjulte datatransmissionskanaler.
I øjeblikket indeholder alle kilder, der dækker informationssikkerhedsspørgsmål, oplysninger afsløret af Mr. Snowden om skjulte kanaler til indhentning af information og anordninger til hemmelig adgang til information (modtagelse, fjernelse), der bevidst er indført i forskellige tekniske midler i NSA.
Hvad er løsningen på dette problem i vores land? Ved at analysere den moderne indenlandske lovgivningsramme kan vi fremhæve følgende dokumenter, der regulerer spørgsmålene om at identificere og bekæmpe skjulte kanaler:
GOST R 53113.1-2008 “Informationsteknologi. Informationsteknologi beskyttelse og automatiserede systemer fra informationssikkerhedstrusler implementeret ved hjælp af skjulte kanaler. Del 1. Almindelige bestemmelser";
GOST R 53113.2-2009 “Informationsteknologi. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 2. Anbefalinger til organisering af beskyttelsen af information, informationsteknologier og automatiserede systemer mod angreb ved hjælp af hemmelige kanaler."
I overensstemmelse med GOST'er er udtrykket "skjult kanal" defineret som en kommunikationskanal, der ikke er tilsigtet af udvikleren af et informationsteknologisystem og automatiserede systemer, som kan bruges til at overtræde sikkerhedspolitikker.
Følgende overtrædelser af sikkerhedspolitikken kan implementeres ved hjælp af hemmelige kanaler:
- Trussel om malware og datainjektion.
- Trussel om, at den ubudne gæst udsteder kommandoer til agenten om at udføre sine funktioner .
- Trussel om lækage af kryptografiske nøgler, adgangskoder (uautoriseret adgang til dem) eller individuelle informationsobjekter.
Oprettelse af en skjult kanal og en indtrængendes indflydelse på beskyttede informationsressourcer i overensstemmelse med ovenstående model udføres i følgende rækkefølge:
- 1. I normal driftstilstand udføres arbejdet med beskyttede informationsressourcer i overensstemmelse med den fastlagte procedure, forsøgspersoner med autoriseret adgang hertil udfører behandling iht. fastsatte regler adgangsbegrænsninger. Inspektøren viser, at der ikke er tale om brud på sikkerhedspolitikken.
- 2. Midlerne til behandling af beskyttede informationsressourcer indeholder en på forhånd indført agent fra en sikkerhedsovertræder, som ikke viser sin aktivitet og på ingen måde opdager sin tilstedeværelse i denne IT (AS).
- 3. På det tidspunkt, der kræves af den ubudne gæst, får agenten en kommando fra den ubudne sikkerhed om at aktivere og udføre dens funktionelle belastning. Kommandoen kan udsendes både via standard IT-kommunikationskanaler (AC), hvis en sådan forbindelse er mulig (for eksempel via internettet), eller eksternt (for eksempel ved hjælp af radiokanaler), hvis den ubudne gæsters agent har en sådan mulighed.
- 4. Sikkerhedsovertræderens indlejrede agent implementerer sin funktionelle belastning, mens kanalen for informationsinteraktion mellem krænkeren og den indlejrede agent kan skjules for inspektøren.
- 5. Efter at have opnået den tildelte opgave, fuldføres agentens arbejde selvstændigt eller på kommando af den ubudne gæst.
Hvordan arbejder man med at identificere skjulte kanaler?
Fra et "teori"-synspunkt omfatter processen med at identificere en skjult kanal følgende trin:
1. Vurdering af arkitekturen af det undersøgte system og de tilgængelige kommunikationskanaler i det (både eksisterende og potentielle kanaler tages i betragtning). Vurdering af arkitekturen af et system involverer at identificere alle de kommunikationskanaler (informationsinteraktion), der er tilgængelige i det, og analysere samspillet mellem dets komponenter til deres potentielle brug til at organisere en skjult kanal. Som et resultat af en sådan analyse bør systemkomponenter identificeres, hvor hemmelige kanaler potentielt kan anvendes.
2. Identifikation af mulige måder at udveksle skjult information mellem den ubudne gæst og hans påståede agent i systemet Dette arbejde udføres på grundlag af det generelle skema for den skjulte kanal-driftsmodel. For hver af de beskyttede aktiver er det nødvendigt at identificere, hvilke subjekter der har adgang til dem og samtidig er isolerede fra det ydre miljø, men har mulighed for at interagere med individuelle emner fra det ydre miljø (det skal tages tages i betragtning, at denne form for interaktion kontrolleres af ejeren af aktiverne og kan observeres af en potentiel overtræder).
3. Vurdering af faren ved identificerede skjulte kanaler for organisationens beskyttede aktiver. Efter at have identificeret skjulte kanaler, er det nødvendigt at vurdere, hvor gennemførlige de er, og hvor farlige de er for organisationens beskyttede aktiver. For vurderingen er de mest kritiske indikatorer: aktivernes volumen, den estimerede kapacitet af den skjulte kanal og det tidsinterval, hvor aktiverne bevarer værdien. Alle parametre er kvantificerbare og kan bruges i passende analytiske rapporter. Baseret på denne vurdering anses kanaler, der ikke udgør en reel trussel mod aktiver, som ikke-farlige.
4. Beslutning om det tilrådeligt at imødegå hver af de identificerede skjulte kanaler (minimering af risikoniveauet).
Det foreslås at anvende følgende beskyttelsesforanstaltninger:
- reduktion/begrænsning af informati(vedrørende hemmelige kanaler);
- arkitektoniske løsninger til opbygning af et system;
- overvågning af effektiviteten af systembeskyttelse.
Afslutningsvis vil jeg vende mig til metoder til at identificere skjulte kanaler. Ifølge GOST foreslås to metoder:
- statistisk metode;
- signaturmetode.
Metoden til at identificere hemmelige kanaler baseret på signaturanalyse ligner den metode, der bruges af antivirussoftware til at søge efter malware. Givet et sæt kendte implementeringer af skjulte kanaler, genereres en signatur for hver af dem. Datastrømmen søges efter sådanne signaturer. På baggrund af resultaterne af dette arbejde drages der en konklusion om fraværet eller tilstedeværelsen af skjulte kanaler i systemet og muligheden for dets implementering.
For at opsummere kan vi således sige, at vi får en ny runde af informationskonfrontation "intruder - security administrator", som introducerer i vores liv både nye teknologier og angrebsmetoder såvel som nye midler og metoder til beskyttelse.
Jeg vil gerne afslutte artiklen med disse tanker:
Hvad hvis vi ser på de materialer, Snowden har afsløret fra denne vinkel? I På det sidste dukkede op hele linjen automatiserede systemer, hvor sikring af fortrolighed slet ikke er en prioritet, for eksempel automatiserede produktions- og teknologiske processtyringssystemer. Krænkelse af tilgængeligheden og ydeevnen af et sådant system kan føre til endnu mere alvorlige konsekvenser for staten eller end en lækage af fortrolige eller klassificerede oplysninger. Hvad der også er skærpende er, at langt størstedelen af elementbasen til sådanne systemer er produceret og leveret fra udlandet, og det er teknisk umuligt at udføre en hel række af tiltag for at søge efter mulige skjulte kanaler og indlejrede enheder for hele listen af importerede elementer. Og som det blev kendt, kan udenlandsk fremstillet teknisk udstyr være fuld af ubehagelige "overraskelser".
Vi kan ikke ignorere den udbredte udvikling af internettet og dets brug som en transport til at forbinde forskellige virksomheds- og industrielle netværk, hvilket automatisk giver en ekstern angriber mulighed for at få kontroladgang til en indlejret indlejret enhed eller modul.
Der er noget at tænke over og arbejde videre med. Spørgsmålet om at identificere skjulte kanaler i automatiserede systemer i organisationer er ved at blive et presserende spørgsmål, uanset organisationens niveau og dens form for ejerskab. En hemmelighed er en hemmelighed, fordi den er kendt af en begrænset kreds af mennesker. Derudover kan du tilføje tilstedeværelsen (modtagelsen) af negative følelser, når nogen skadeligt skader din informationsinfrastruktur, hvis sikkerhed du var sikker på. Og et forkælet humør er ikke det værste, hvis forretningsprocessen i organisationen kan lide.
Forsøg på at skjule selve det faktum at overføre information har en lang historie. Metoder til at skjule selve det faktum at overføre information kaldes steganografi. Historisk set blev "usynlig" blæk, prikfotoindlæg osv. brugt til steganografi. Denne retning har fået et andet liv i vores tid på grund af den udbredte brug af datanetværk.
Udtrykket "skjult kanal" dukkede op. Konceptet med en skjult kanal blev først introduceret af Lampson i 1973. En kanal kaldes skjult, hvis den ikke er designet eller beregnet til at overføre information i et elektronisk databehandlingssystem. Udtrykket skjulte kanaler refererer således mere til intra-computer telekommunikation.
I øjeblikket er der mange værktøjer og værktøjer til implementering af steganografisk informationsskjul. I denne henseende det akutte problem med at detektere transmissionen af skjulte oplysninger i kommunikationskanaler og især opdage læk af fortrolige data.
I ethvert sæt informationer, hvad enten det er et eksekverbart program, et grafisk billede eller en netværksprotokol, er der måder at overføre yderligere "skjulte" data på. Denne mulighed findes på næsten alle niveauer af OSI-modellen. Tunnelingsværktøjer, der bruger serviceheadere for TCP/UDP-netværkslagsprotokollerne, er almindeligt kendte.
Hovedfeltet for brug af hemmelige kanaler er lokale netværk med internetadgang.
Den hemmelige kanal har fået sit navn fra det faktum, at den er skjult for adgangskontrolsystemerne i selv sikre operativsystemer, da den ikke bruger legitime transmissionsmekanismer såsom læse og skrive, og derfor ikke kan detekteres eller kontrolleres af hardwaresikkerhedsmekanismer. som danner grundlag for sikre operativsystemer.
Traditionelt er hemmelige kanaler karakteriseret som hukommelseskanaler eller tidskanaler.
Skjult kanal fra hukommelsen- processer interagerer på grund af, at man direkte eller indirekte kan skrive information til et bestemt hukommelsesområde, og den anden kan læse den. Dette betyder typisk, at processer med forskellige sikkerhedsniveauer har adgang til en eller anden ressource (f.eks. nogle disksektorer).
Skjult kanal aftid- en proces sender information til en anden og modulerer sin egen brug af systemressourcer (f.eks. CPU-tid) på en sådan måde, at denne operation påvirker den faktiske responstid observeret af den anden proces.
Den enkleste skjulte hukommelseskanal er evnen til at vise på lavt niveau navnene på mapper og filer, der er oprettet på højt niveau. I I dette tilfælde information kan overføres i filnavne, som vælges i overensstemmelse med en på forhånd aftalt kode, i filattributter, hvori information kan kodes, filstørrelser, filændringsdatoer mv. Og endelig bærer eksistensen af en fil med et givet navn en smule information fra øverste niveau til bunden.
Et andet eksempel på en hukommelseskanal er indkodning af information i de lagrede indstillinger for alle offentlige ressourcer for emner på det høje og lave niveau. Indstillinger foretaget på det høje niveau kan observeres på det lave niveau og kan derfor indeholde information udtrykt i en på forhånd aftalt kode.
Hemmelige tidskanaler begyndte for alvor at blive overvejet i 1976, da en af skaberne af Multics sikre operativsystem, Millen, demonstrerede for sine kolleger en hemmelig tidskanal implementeret på isolerede høj- og lav-maskiner. Begge maskiner var tilsluttet nogle fælles ressourcer Der var ingen ROM, andre kanaler eller forbindelser mellem dem. Der var trojanske heste i høj- og lav-undersystemerne. På det høje niveau modulerede den trojanske hest, når han trykkede på bogstaver på tastaturet, ROM-bibliotekets travle tidsintervaller med en speciel kode. Den travle tid på biblioteket på det øverste niveau blev scannet af forespørgsler til biblioteket med en "trojansk hest" på det nederste niveau. Den resulterende skjulte tidskanal gjorde det muligt at udskrive i realtid information modtaget gennem den skjulte kanal fra tastaturet til High Level-undersystemet.
En skjult kanal til overførsel af information over internettet opbygges ved at indskrive en besked i stedet for den sidste bit af et digitaliseret billede, som transmitteres som en juridisk besked. Da den sidste bit har ringe effekt på billedets kvalitet, er transmissionen af information skjult for den person, der udfører aflytningen, og tillader kun transmission af lovlige billeder. En velkendt metode til at bekæmpe denne steganografimetode er at ændre billedformatet, for eksempel ved hjælp af komprimering. Denne metode ødelægger en skjult kanal af den angivne type.
Et eksempel på en skjult kanal i et lignende problem er den skjulte kanal i TCP/IP-protokollen. ISN-feltet i TCP-protokollen bruges til at organisere kommunikationen mellem klienten og fjernserveren. Størrelsen af dette felt er 32 bit. Brug af dette felt, for eksempel i n pakker, er det muligt at foretage skjult transmission.
En af måderne at organisere en skjult kanal på er at omarrangere netværkspakker på en bestemt måde. I dette tilfælde transmitteres en sekvens af bit baseret på forudbestemte karakteristika.
En anden måde at organisere en skjult kanal på er at bruge elektroniske algoritmer digital signatur. S.V. Belim og A.M. Fedoseev i 2007 gennemførte en undersøgelse og beviste muligheden for at skabe hemmelige kanaler inden for rammerne af den elektroniske digitale signaturalgoritme GOST R 34.10-2001.
Særligt værd at fremhæve er to eksempler på tidskanaler, der bruger muligheden for at ændre belægningsvarigheden i driften af den centrale processor. I det første eksempel ændrer afsenderen af information CPU-optagetid under hvert fragment af tid, der er allokeret til dets arbejde. For at sende 0 og 1 for eksempel, koder den ene tidslængde 1, og den anden længde koder 0. I et andet tilfælde bruger afsenderen tidsintervaller mellem adgange til processoren.
Det er meget vanskeligt at opsnappe information transmitteret gennem hemmelige kanaler. Det ser ud til, at der her kun opstår teknologiske vanskeligheder relateret til registrering og analyse af hurtigt opståede processer i computersystemer. Samtidig er det bevist, at det er muligt for en producent at lave bogmærker i hardwaresystemer, der kan kommunikere med hinanden "usynligt" for de fleste sikkerhedsværktøjer.
I tilfælde af brug af steganografimetoder synes løsningen på problemet med at identificere skjulte beskeder at være mere optimistisk. Et eksempel på vellykket detektion af steganografiske indsættelser er brugen af en skjult kanal i ISN-feltet TCP protokol, nævnt ovenfor.
Den mest effektive måde at bekæmpe skjulte kanaler på er at ødelægge dem. For eksempel i ovenstående eksempler på skjulte kanaler for frigivelse af information, når du bruger RS-232-grænsefladen, indlejring mellem høj- og lavniveauet af en enhed, der oversætter bytes og randomiserer signalforsinkelsen på det øverste niveau, synligt på det nederste niveau, giver dig mulighed for fuldstændigt at ødelægge enhver deterministisk skjult kanal i tide og i betydelig grad ødelægge den skjulte statistiske kanal. Lignende metoder er med succes brugt til at beskytte mod hemmelige kanaler under hemmelig transmission af information gennem åbne systemer.
Moderne specialiserede metoder til at detektere steganografisk informationsskjul er baseret på detektering af afvigelser af de statistiske karakteristika af den observerede information (filtyper, meddelelser) fra dens forventede model. En generel ulempe ved statistiske metoder til steganalyse er, at opbygning af en nøjagtig matematisk model af en beholder - en mulig bærer af skjult information - er et ekstremt komplekst og i øjeblikket uløst problem. Derudover er den største begrænsning ved eksisterende metoder, at de alle opdager skjult information efter kendsgerningen.
I Rusland blev udviklingen af en videnskabelig metode til at organisere kampen mod hemmelige kanaler i informationsnetværk annonceret i slutningen af 2006. Russiske videnskabsmænd har udviklet en matematisk model til at konstruere hemmelige kanaler, vurdere deres kapacitet og metoder til at bekæmpe dem.
I 2008 Den Russiske Føderation GOST R 53113.1 "Informationsteknologi" blev vedtaget. Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler. Del 1. Almindelige bestemmelser."
I 2009 blev GOST R 53113.2 "Beskyttelse af informationsteknologier og automatiserede systemer mod informationssikkerhedstrusler implementeret ved hjælp af hemmelige kanaler" vedtaget. Del 2. Anbefalinger til organisering af beskyttelsen af information, informationsteknologier og automatiserede systemer mod angreb ved hjælp af hemmelige kanaler."
480 rub. | 150 UAH | $7,5 ", MOUSEOFF, FGCOLOR, "#FFFFCC",BGCOLOR, "#393939");" onMouseOut="return nd();"> Afhandling - 480 RUR, levering 10 minutter, døgnet rundt, syv dage om ugen og helligdage
Kogos Konstantin Grigorievich. En metode til at modvirke informationslækage gennem hemmelige kanaler baseret på ændring af længden af transmitterede pakker: afhandling... Kandidat for tekniske videnskaber: 05.13.19 / Kogos Konstantin Grigorievich;[Forsvarssted: Federal State Autonomous Educational Institution of Higher Professional Education " National Research Nuclear University" MEPhI "]. - Moskva, 2015. - 116 s.
Introduktion
1 Undersøgelse af måder at opbygge og modvirke informationslækage gennem hemmelige kanaler i pakkedatanetværk 11
1.1 Metoder til at identificere skjulte kanaler 11
1.2 Hemmelige kanaler i pakkedatanetværk 19
1.3 Modvirkning af informationslækage gennem skjulte kanaler
1.3.1 Identifikation af skjulte kanaler 24
1.3.2 Hemmelig kanalanalyse 30
1.3.3 Båndbreddebegrænsning og skjult kanalundertrykkelse 33
1.3.4 Detektering af skjulte kanaler 37
1.3.5 Modvirkning af informationslækage gennem hemmelige netværkskanaler 39
1.4 Konklusioner 41
2 Metode til at analysere og vurdere hemmelige kanalers kapacitet ved indførelse af metoder til kapacitetsbegrænsning 43
2.1 Estimering af den maksimale gennemstrømning af en skjult kanal til strømtrafikkryptering 43
2.2 Estimering af den maksimale gennemstrømning af en skjult kanal med blokkryptering af trafik 47
2.3 Metode til at analysere og vurdere hemmelige kanalers kapacitet i forhold til modvirkning 51
2.4 Konklusioner 57
3 En metode til at begrænse kapaciteten af skjulte kanaler ved at øge længden af transmitterede pakker 58
3.1 En metode til at modvirke informationslækage ved tilfældigt at øge længden af transmitterede pakker 58
3.2 Estimering af kapaciteten af en skjult kanal i forhold til modvirkning 59
3.3 Konstruktion af en skjult kanal, hvor længderne af transmitterede pakker antager ensartet fordelte værdier 62
3.4 Estimering af kapaciteten af en skjult kanal, hvor længderne af transmitterede pakker antager ensartet fordelte værdier 67
3.5 Estimering af kapaciteten af en skjult kanal med et givet fejlniveau, hvor længderne af transmitterede pakker antager ensartet fordelte værdier 68
3.6 Konklusioner 70
4 Metode til at begrænse kapaciteten af hemmelige kanaler ved at generere fiktiv trafik 71
4.1 Metode til at modvirke informationslækage ved at generere fiktiv trafik 71
4.2 Estimering af kapaciteten af en skjult kanal til deterministisk generering af fiktiv trafik 73
4.3 Vurdering af kapaciteten af den skjulte kanal kl tilfældig generation fiktiv trafik 79
4.4 Konklusioner 86
5 Anvendelse af udviklede metoder til at begrænse kapaciteten af skjulte kanaler 87
5.3 Implementering af resultaterne af afhandlingsarbejde 95
5.4 Konklusioner 97
Konklusion 98
Liste over forkortelser og symboler 100
Referencer 101
Introduktion til arbejdet
Arbejdets relevans. På det nuværende stadium af udviklingen af informationsteknologi og masseintroduktion af computerteknologi i forskellige områder og sfæren for menneskelig aktivitet, er relevansen af informationssikkerhedsproblemer konstant stigende, på kvaliteten af løsninger, som den vellykkede funktion af offentlige og kommercielle organisationer i høj grad afhænger af.
På nuværende tidspunkt og i en overskuelig fremtid vil tendensen med udbredt brug af pakkedatanetværk fortsætte, hvilket igen gør truslen om en ubuden gæsts hemmelige brug af funktionerne i IP-protokollen til hemmelig transmission af begrænset adgangsinformation meget væsentlig. via kommunikationskanaler, der går ud over grænserne for de informatiseringsobjekter, som det behandles på.
Behovet for at skabe og konstant forbedre metoder til at modvirke informationslækage gennem såkaldte skjulte kanaler skyldes også, at sådanne kanaler kan opbygges ved hjælp af traditionelle metoder til netværksbeskyttelse, bestående af firewalling, trafiktunneling osv. Forskning viser, at dette truslen fortsætter, selv når der overføres information i krypteret form. I henhold til den indenlandske standard GOST R 53113.2-2009 kan information relateret til pakkestørrelser og tidsintervaller mellem deres udseende bruges til at organisere en skjult kanal under forhold med tunneling og trafikkryptering. Spørgsmålene om analyse af hemmelige kanaler behandles af sådanne indenlandske og udenlandske videnskabsmænd som Anikeev M.V., Grusho A.A., Matveev S.V., Timonina E.E., Zander S., Kabuk S., Kemmerer R.A., Lampson B.W., Millen J.C. og andre.
Afhandlingsarbejdets betydning bekræftes af Listen over prioriterede problemer videnskabelig undersøgelse inden for sikring af informationssikkerhed i Den Russiske Føderation (klausuler 45, 48, 74), tilstedeværelsen i GOST R ISO/IEC 15408-2-2013 standarden af en klasse af funktionelle krav vedrørende begrænsning og undertrykkelse af hemmelige kanaler , samt tilgangen til at bekæmpe lækage reguleret af GOST R 53113 information gennem skjulte kanaler.
Den trussel, der overvejes, forbundet med lækage af information gennem skjulte kanaler, tillægges særlig relevans af de velkendte forskningsresultater, hvorefter en modstander, der kender kontrolordningen i sikkerhedssystemet, kan skabe en skjult kanal, der er usynlig for den kontrollerende. enhed, både til styring af en software- og hardwareagent i et computersystem og til kommunikation mellem software- og hardwareagenter i et åbent miljø.
En metode til at sikre, at der ikke er nogen skjulte netværkskanaler i systemet,
er at bygge og vedligeholde lukket, pålidelig software og hardware
gns. Introduktionen af en indtrængende agent i sådanne systemer burde være umulig på noget tidspunkt
deres livscyklus. Samtidig på grund af den udbredte brug af importeret udstyr
og software, er denne metode ofte praktisk talt umulig at implementere, da agenten
den ubudne gæst kan injiceres i både ende og mellemliggende knudepunkter langs stien
følge trafik. At overføre data over kommunikationskanaler i krypteret form løser ikke
problemet med informationslækage gennem visse klasser af hemmelige netværkskanaler. På samme tid,
undersøgelse af selv kendt kode for at opdage softwarebogmærker
repræsenterer en arbejdskrævende videnskabelig og teknisk opgave og bliver praktisk
umuligt, når der ofte foretages ændringer i softwaren. Dermed,
implementering af den overvejede tilgang til at forhindre lækage af information vedr
netværk skjulte kanaler, er en ikke-triviel opgave og ikke i alle systemer kan være
bringes til praktisk gennemførelse. En anden måde at udelukke betingelser
Funktionen af skjulte netværkskanaler består i at normalisere parametrene for pakkedatatransmission, det vil sige at sende pakker med fast længde med faste overskrifter med regelmæssige intervaller, hvilket fører til et betydeligt fald i effektiviteten af at bruge kommunikationskanalernes båndbredde og en stigning i omkostningerne ved deres brug.
Af ovenstående grunde, i overensstemmelse med GOST R 53113.1-2008, anbefales det i tilfælde, hvor regulerende myndigheder eller ejeren af oplysninger tillader muligheden for lækage af visse mængder data, at bruge metoder til at begrænse kapaciteten af skjulte kanaler. Sådanne metoder er anvendelige, hvis kapaciteten af den skjulte kanal kan begrænses til en værdi, der er mindre end den fastsatte tilladte værdi. Muligheden for at bruge disse metoder bekræftes af data fra IBM, hvorefter det er tilladt at drive hemmelige kanaler med en kapacitet på op til 0,1 bit/s, men i nogle tilfælde kan der være potentielle hemmelige kanaler med en kapacitet på op til 0,1 bit/s. 100 bit/s. Anvendelsen af de overvejede metoder i praksis, i modsætning til metoder til at undertrykke hemmelige kanaler, gør det muligt at sikre høj effektiv gennemstrømning af kommunikationskanalen og fleksibelt styre drifts- og omkostningskarakteristika for telekommunikationssystemer. Denne tilgang gør det muligt pålideligt at begrænse kapaciteten af en bred klasse af hemmelige kanaler, uanset hvordan de er organiseret. For at konstruere sådanne metoder er det nødvendigt at indhente og studere estimater af kapaciteten af hemmelige kanaler, der opererer i fravær og brug af modforanstaltninger.
Derudover er vurdering af hemmelige kanalers kapacitet og vurdering af faren ved deres hemmelige funktion et af stadierne i at bestemme graden af fare for en hemmelig kanal i overensstemmelse med GOST R 53113.1-2008.
I dette arbejde undersøges hemmelige kanaler baseret på ændring af længden af transmitterede pakker, da sådanne kanaler på den ene side kan bygges under forhold med trafikkryptering, på den anden side kan deres gennemløb være væsentligt højere end tidsgennemstrømningen af kanaler. På trods af, at der er kendte måder at implementere de analyserede metoder til at imødegå informationslækage gennem skjulte kanaler ved at øge længden af pakker og generere fiktiv trafik, er der ingen anbefalinger til valg af værdier af parametrene for disse metoder og estimater af den resterende kapacitet af skjulte kanaler under modvirkningsforhold er også ukendte. Derfor er dette arbejde, der er helliget udvikling og forskning af metoder til at modvirke informationslækage gennem skjulte kanaler baseret på ændring af længden af transmitterede pakker, relevant og af både videnskabelig og praktisk interesse.
Formålet med afhandlingsarbejdet er at øge informationssystemernes sikkerhed ved at udvikle en metode til at begrænse kapaciteten af skjulte kanaler baseret på skiftende pakkelængder.
I overensstemmelse med det erklærede mål løses følgende opgaver i afhandlingsarbejdet:
analyse af eksisterende metoder til at konstruere hemmelige kanaler i pakkedatanetværk og måder at imødegå dem på;
udvikling af en metode til at analysere og vurdere hemmelige kanalers kapacitet ved anvendelse af modforanstaltninger;
udvikling og evaluering af kvantitative karakteristika ved metoder til at modvirke informationslækage gennem skjulte kanaler baseret på ændring af pakkelængder ved tilfældigt at øge pakkelængder, deterministisk og tilfældig generering af fiktiv trafik.
Vigtigste forskningsmetoder Metoderne anvendt i arbejdet er metoder inden for informationsteori, sandsynlighedsteori, differential- og integralregning.
Videnskabelig nyhed afhandlingsarbejdet er som følger.
1. Der er blevet foreslået en metode til at analysere og vurdere hemmelige kanalers kapacitet ved hjælp af informationsteoretiske metoder under betingelser med deres begrænsninger, hvilket gør det muligt i
I modsætning til eksisterende tilgange, undersøg afhængigheden af de skjulte kanalers karakteristika af parametrene for modforanstaltningsmetoden.
Der er udviklet metoder til at modvirke informationslækage gennem skjulte kanaler baseret på ændring af længden af transmitterede pakker ved tilfældigt at øge dem, deterministisk og tilfældig generering af fiktiv trafik, som adskiller sig fra de kendte ved, at de er anvendelige i tilfælde, hvor tilstedeværelsen af en skjult kanal med en acceptabel værdi i informationssystemet er tilladt båndbredde.
For første gang blev estimater af hemmelige kanalers kapacitet baseret på ændringer i længden af transmitterede pakker opnået i fravær af modvirkning og i forhold til at forhindre informationslækage.
Teoretisk betydning til stede:
metoder til at modvirke informationslækage gennem skjulte kanaler baseret på ændring af pakkelængder ved tilfældigt at øge længden af pakker, der skal sendes, deterministisk og tilfældig generering af fiktiv trafik;
metode til at analysere og vurdere hemmelige kanalers kapacitet ved anvendelse af metoder til at begrænse kapaciteten;
formler til beregning af parameterværdierne for de foreslåede modforanstaltninger, hvor gennemløbet af den skjulte kanal ikke overstiger en given værdi.
Praktisk betydning til stede:
metoder til at begrænse kapaciteten af skjulte kanaler baseret på ændring af pakkelængder ved tilfældigt at øge længden af pakker, der skal sendes, deterministisk og tilfældig generering af fiktiv trafik;
estimering af den maksimale gennemstrømning af en skjult kanal baseret på ændringer i længden af transmitterede pakker, i fravær af modvirkning i betingelserne for strøm- og bloktrafikkryptering;
metode til at analysere og vurdere kapaciteten af en skjult kanal i forbindelse med indførelse af modforanstaltninger;
softwareværktøjer til at beregne parameterværdierne for de foreslåede modforanstaltninger, hvilket gør det muligt at reducere den resterende kapacitet af den skjulte kanal til en given værdi.
Implementering resultater forskning. Resultaternes praktiske betydning
afhandlingen bekræftes af tre gennemførelsesakter. Metoderne udviklet af forfatteren til at modvirke informationslækage gennem skjulte kanaler blev introduceret i Gollard CJSC's aktiviteter for at modernisere Sito-softwarepakken, designet til
undertrykkelse af funktionen af skjulte logiske kanaler. Resultaterne af afhandlingsarbejdet blev også introduceret i forsknings- og udviklingsarbejdet udført af Information Protection LLC. De teoretiske resultater af afhandlingen er implementeret i pædagogisk proces Institut for Kryptologi og Diskret Matematik af National Research Nuclear University MEPhI som en del af uddannelseskurset Kryptografiske protokoller og standarder.
Udgivelser og test af arbejde. Resultaterne af afhandlingsarbejdet præsenteres i 15 publicerede og tilsvarende værker, herunder fem videnskabelige artikler i publikationer optaget på Listen over førende peer-reviewed videnskabelige tidsskrifter, fire videnskabelige artikler i tidsskrifter indekseret af det internationale videnskabelige citationssystem Scopus, en af dem i tidsskriftet indekseret af det internationale videnskabelige citationssystem Web of Science er der også to certifikater for statsregistrering af computerprogrammer. Resultaterne af arbejdet blev præsenteret på konferencer og seminarer på forskellige niveauer, herunder:
23. og 24. videnskabelige og tekniske konferencer "Metoder og tekniske midler til at sikre informationssikkerhed" (St. Petersborg, 2014, 2015);
XXII All-russisk videnskabelig og praktisk konference "Problemer med informationssikkerhed i det videregående uddannelsessystem" (Moskva, 2015);
videnskabeligt og praktisk seminar ved Center for Særlige Udviklinger i Forsvarsministeriet i Den Russiske Føderation (Moskva, 2015);
14. all-russisk konference "Siberian Scientific School-Seminar med international deltagelse" Computer sikkerhed og kryptografi” SIBECRYPT’15 (Novosibirsk, 2015);
Den internationale konference om åben og Big Data OBD 2015 (Rom, Italien, 2015);
Den 5. internationale konference om IT-konvergens og -sikkerhed ICITCS 2015 (Kuala Lumpur, Malaysia, 2015);
The 2nd Workshop on Emerging Aspects in Information Security EAIS’15 (Lodz, Polen, 2015);
Den 8. internationale konference om sikkerhed for information og netværk SIN 2015 (Sochi, 2015).
Vigtigste bestemmelser indgivet til forsvar:
vurdering af den maksimale gennemstrømning af skjulte kanaler baseret på ændringer i pakkelængder for strøm- og bloktrafikkryptering;
metode til at analysere og vurdere hemmelige kanalers kapacitet ved indførelse af metoder til kapacitetsbegrænsning;
metoder til at modvirke informationslækage gennem skjulte kanaler baseret på ændring af pakkelængder ved tilfældigt at øge længderne af transmitterede pakker, deterministisk og tilfældig generering af fiktiv trafik;
udtryk til beregning af parameterværdierne for de foreslåede metoder til imødegåelse af informationslækage gennem skjulte kanaler og anbefalinger til deres valg.
Arbejdets struktur og omfang. Afhandlingen består af en introduktion, fem afsnit, en konklusion, en bibliografi med 148 titler og to bilag. Specialet er præsenteret på 114 sider med 27 figurer og 12 tabeller uden bilag.
Modvirker informationslækage gennem skjulte kanaler
Indirekte Covert Memory Channel Design Data kan også skjules i udfyldning af en ramme eller pakke med irrelevant information, hvis længden af rammen eller pakken skal være mindst en vis værdi. For eksempel er en sådan skjult dataoverførsel mulig ved brug af Ethernet-protokollen, hvor rammer skal polstres til en minimumslængde på 60 bytes. Hvis protokollens brugsbetingelser ikke giver specifikke værdier for udfyldningsbytes, kan alle data bruges. Tilsvarende kan skjult transmission af information organiseres for IPv4-, IPv6- og TCP-protokollerne.
Ændring af modtageradresser i sekventielt transmitterede pakker for at bygge en skjult kanal blev foreslået af forfatterne. Summen af alle bits af den transmitterede pakke foreslås brugt til forfatterens skjulte transmission af information. Information kan formidles ved at ændre rækkefølgen, hvori N pakker transmitteres gennem X TCP-protokolstrømme. Hvis vi forestiller os, at pakker er bolde og flows er urner, så er den præsenterede skjulte kanal direkte relateret til problemet med at placere N bolde i X urner. Afsenderens bevidste fjernelse af nogle pakker, der skal sendes, bruges til at bygge en skjult kanal med lav båndbredde i .
Skjulte statistiske kanaler analyseres i detaljer af forfatterne. Et eksempel på en skjult statistisk kanal ville være transmissionen af en usandsynlig pakke inden for et tidsinterval forudbestemt af angriberen.
Skjult information kan transmitteres ved at ændre pakketransmissionshastigheden. Kapaciteten af en sådan skjult kanal er lig med log2r bits i løbet af en
tidsinterval, hvor r er antallet af forskellige pakketransmissionshastigheder. En binær skjult kanal baseret på pakketransmissionshastighed er blevet undersøgt af forfatterne.
For første gang blev det foreslået at bruge længderne af interpakkeintervaller til at organisere hemmelige kanaler i. Forfatterne foreslog JitterBug-teknologien til at konstruere binære skjulte kanaler baseret på ændring af længderne af inter-pakke-intervaller. En anden ordning for hemmelig informationstransmission ved hjælp af interpakkeintervallængder blev undersøgt i. Forfatterne gav anbefalinger til valg af værdier for kodningsparametre, hvor gennemstrømningen af den skjulte kanal får den største værdi. Der foreslås en skjult kanal baseret på ændring af længderne af inter-pakke intervaller, hvis sandsynlighed for detektion er omtrent lig med 9%, sandsynligheden for en type II fejl ikke overstiger 0,5%.
Forfatterne foreslog at omarrangere rækkefølgen af pakker, der skulle sendes på afsenderens side, for at bygge en skjult kanal. Da der er n! måder at omarrangere n pakker på, så er gennemstrømningen af en sådan kanal lig med (log2 n!) / n bit pr. pakke.
I den skjulte kanal beskrevet af forfatteren sender afsenderen et stort antal anmodninger til serveren om at transmittere et "1" eller gør intet for at transmittere et "0". Efter hvert tidsinterval sender modtageren anmodninger til serveren og måler tidspunktet for svarsignalet for at gendanne den transmitterede information.
Forfatterne udviklede en skjult kanal baseret på det faktum, at processortemperaturen er direkte proportional med antallet af behandlede pakker pr. tidsenhed, og systemurets afvigelser afhænger af processortemperaturen. Under hvert tidsrum sender den skjulte afsender enten pakker til den mellemliggende knude eller er inaktiv. Den skjulte modtager estimerer afvigelsen af systemuret for den mellemliggende knude ved at analysere tidsstempelværdierne i de pakker, der modtages fra den, for eksempel ved at bruge tidsstempelfelterne i overskrifterne på de modtagne TCP-protokolpakker. En række værker har foreslået ordninger til indlejring af karakteristisk information i længderne af interpakkeintervaller for at spore trafik, der passerer gennem proxyservere og anonyme netværk.
For første gang blev det foreslået af forfatterne at ændre længden af rammer på linkniveau til skjult transmission af information: afsenderen og modtageren kender reglen, ifølge hvilken hver byte af en skjult meddelelse svarer til en bestemt rammelængde. Der kræves således 256 forskellige framelængder for at beskrive alle mulige byteværdier af den transmitterede besked. Sådanne skjulte kanaler kræver særlig opmærksomhed, da det yderligere er vist, at deres gennemløb kan overstige 1 % og 0,1 % af kommunikationskanalkapaciteten ved brug af hhv. IPv4- og IPv6-netværkslagsprotokollerne.
Forfatterne foreslog en skjult kanal, hvor afsender og modtager deler en periodisk opdateret matrix, hvis elementer er unikke, uordnede pakkelængder. Afsenderen bruger bits af den hemmeligt transmitterede besked til at bestemme rækken af matrixen og vælger tilfældigt længden af pakken fra denne række, modtageren finder længden af den modtagne pakke i matrixen og gendanner bits af den transmitterede besked vha. rækkenummeret.
Den foreslåede ordning er blevet forbedret af forfatterne: før den hemmelige transmission af information påbegyndes, danner afsenderen og modtageren et dynamisk opdateret bibliotek over pakkelængder, der registrerer længderne af trafikpakker, der er karakteristiske for fraværet af en hemmelig kanal. For i det skjulte at transmittere en meddelelse sender afsenderen en pakke, hvis længde er valgt fra et bibliotek ved hjælp af en algoritme, som afsenderen og modtageren kender. Længde næste pakke lig med summen af længden af den foregående pakke og antallet svarende til bits af den hemmeligt transmitterede meddelelse. I denne ordning forbedret ved betydeligt at reducere den kapacitive og tidsmæssige kompleksitet af afkodning, da modtageren ikke gemmer hele biblioteket. Forfatterne foreslog at dele længden og informationsindholdet af pakker for at bygge en skjult kanal med høj gennemstrømning.
De præsenterede ordninger for hemmelig informationstransmission ved brug af ændringer i pakkelængder er på den ene side svære at opdage, på den anden side kan de have en ret høj gennemstrømning i forhold til hemmelige kanaler i tid. Dette skyldes det faktum, at skjulte kanaler i tid er kanaler med støj, da pakkerejsetiden er en tilfældig variabel, og også fordi sandsynligheden for pakketab ikke er nul.
Estimering af den maksimale gennemstrømning af en skjult kanal til bloktrafikkryptering
Trafikkryptering er en traditionel måde at beskytte begrænset information transmitteret over et netværk på, dog kan hemmelige kanaler baseret på skiftende pakkelængder, studeret i dette arbejde, bygges under trafikkryptering. Som regel, på grund af den store mængde af krypterede data, samt behovet for at understøtte høje krypterings- og dekrypteringshastigheder, bruges symmetriske krypteringsalgoritmer til at sikre fortroligheden af transmitterede data. Ud fra princippet om informationsbehandling skelnes der mellem stream- og bloksymmetriske krypteringsalgoritmer. Dette underafsnit er viet til at estimere den maksimale gennemstrømning af skjulte kanaler baseret på ændringer i længden af transmitterede pakker, når streamtrafik er krypteret. Brugen af strømkrypteringsmetoder til at beskytte trafik blev for eksempel undersøgt af forfatterne.
Når du bruger strømkrypteringsalgoritmer, ændres meddelelsens længde ikke, så en skjult kanal konstrueret som følger blev valgt til forskning. Lad pakkelængderne tage værdier på det indstillede Nt +L \Nj h, fast, LGN. Så har den skjulte kanal den største kapacitet, hvor afsenderen sender en pakke med længden 1fix+Кг є „-і U(0), for at sende symbolet "/", neN er parameteren for den skjulte kanal, Nx er mængden af naturlige tal fra 1 til x. For at estimere kapaciteten af den skjulte kanal v, her og nedenfor, vælges en metode baseret på vurdering af den gensidige information af stokastiske variable X, 7, som beskriver henholdsvis input- og outputkarakteristika for den skjulte kanal: H(Y\X) ) = - Y, P"U) E A"" (/Wlo82A«(/b) betinget entropi tilfældig variabel 7 i forhold til den stokastiske variabel X, er pex(i) sandsynligheden for at sende tegnet "/", Peа(i) er sandsynligheden for genkendelse af modtageren af tegnet "/", pbа(i\I) er betinget sandsynlighed for genkendelse af modtageren af tegnet "/" ved afsendelse af tegnet " /".
Med et lige så sandsynligt valg af symboler transmitteret over en skjult kanal, er entropien af den stokastiske variabel 7 bestemt af værdien af den skjulte kanal parameter n og er lig med
Når værdien af n stiger, stiger naturligvis både den gennemsnitlige længde af transmitterede pakker og antallet af bits, der bæres af transmissionen af en pakke over en skjult kanal. Den gennemsnitlige tid t for pakketransmission bestemmes af udtrykket: hvad opnås, når den gennemsnitlige længde af transmitterede pakker er lig med. Kapaciteten v af den skjulte kanal bestemmes således af følgende
For at finde værdien af den skjulte kanalparameter n som funktion af modforanstaltningsmetoden parameter a, hvor udtrykket har den største værdi, foreslås det at gå fra den diskrete variabel n til den kontinuerte variabel n, defineret på halv- interval ll, + oo). Funktionen af variablen n er defineret og kontinuerlig på givet sæt, som giver dig mulighed for at finde ekstremum ved at differentiere denne funktion. Afledt af funktion v; ved variabel n bestemmes som følger
Bemærk, at den skjulte kanalparameter n tager heltalsværdier, så den aktuelle værdi af den skjulte kanalparameter n0 skal vælges som følger:
Som regel bestemmer lfix summen af længderne af netværkets headere og linkniveauer i den åbne systeminteraktionsmodel. Så for eksempel, når du bruger IPv4 som en netværkslagsprotokol, tager summen af længderne af netværket og linklagets headere en værdi på mindst 34 bytes, hvis linklagets teknologi er Ethernet. Den samme værdi ved brug af IPv6-protokollen er 54 bytes. Så, som det kan ses af tabel 8, når streaming-trafik er krypteret ved hjælp af IPv4-protokollen, er gennemløbet af den skjulte kanal maksimalt ved n = 138 og når ca. 0,021/?, når der bruges IPv6-protokollen, gennemstrømningen af den skjulte kanal. kanal er maksimum ved n = 201 og når ca. 0,014/ ?, Hvor /? - kommunikationskanalkapacitet. Tabel 8 - Båndbredde af hemmelige kanaler med strømtrafikkryptering
Disse resultater bekræfter relevansen af forskning i metoder til at modvirke informationslækage gennem skjulte kanaler, da de viser, at der med en kommunikationskanalkapacitet på 1 Gbit/s kan bygges en skjult kanal med en kapacitet på mere end 10 Mbit/s.
Med blokdatakryptering simpel tekst er opdelt i blokke af samme størrelse, bestemt af krypteringsalgoritmen, som krypteres uafhængigt ved hjælp af chiffersubstitution. Dekryptering foregår på samme måde. Således, hvis 1Ш er længden af blokken, så skal klarteksten før kryptering begynder have en længde, der er et multiplum af 1Ш. Metoder til udfyldning af klartekst til den ønskede længde beskrives f.eks. i. Da den nye indenlandske standard for krypteringsalgoritmen er en symmetrisk blokchiffer med blokstørrelser på 64 og 128 bit, er de opnåede resultater nedenfor også anvendelige i tilfælde af kryptering af en kommunikationskanal ved hjælp af den specificerede algoritme. Hvis almindelig tekst har længden /0, så efter kryptering længden af chifferteksten
Da med denne metode til at konstruere en skjult kanal, at øge længden af pakker til værdier, der er multipla af 1N, ikke fører til fejl, så fører H(Y\X) = 0. Det er klart, når værdien af n stiger, både den gennemsnitlige længde af transmitterede pakker og antallet af bits stigning, som bæres af transmissionen af en pakke over en skjult kanal. Så er den gennemsnitlige tid t for pakketransmission bestemt af udtrykket:
Konstruktion af en skjult kanal, hvor længderne af transmitterede pakker antager ensartet fordelte værdier
Ifølge ræsonnementet ovenfor får udtrykket / (&) den største værdi, når parameteren b vælges lig med én. Med dette valg af værdien af den skjulte kanal parameter b, er den skjulte kanal konstrueret som følger: for at transmittere symbolet "/", sender afsenderen en pakke med længden 1fiKs+K /є-L U(0), n er skjult kanal parameter. I
I dette tilfælde fører indførelsen af modvirkning til fejl, og sandsynligheden for korrekt genkendelse af det transmitterede symbol af modtageren er lig. a + \ Med dette valg af værdien af den skjulte kanalparameter b antager de betingede sandsynligheder for genkendelse af modtageren af det transmitterede symbol følgende værdier:
Den skjulte kanalparameter n tager heltalsværdier, så den aktuelle værdi af den skjulte kanalparameter n0 skal vælges som følger:
I dette underafsnit estimeres den resterende gennemstrømning af en skjult kanal baseret på skiftende pakkelængder, med en tilfældig stigning i længderne af de pakker, der skal sendes. En nødvendig betingelse for at konstruere den undersøgte skjulte kanal er en ensartet fordeling over sættet af længder af transmitterede pakker. Den bedste ordning til konstruktion af en skjult kanal, hvad angår værdien af restkapaciteten, blev valgt. Fejlniveauet ved transmission af data over den konstruerede skjulte kanal er dog lig med
Hvis der er et acceptabelt fejlniveau, skal parametrene for den skjulte kanal vælges anderledes, hvilket vil føre til et fald i dens gennemstrømning. I det næste underafsnit studeres den resterende kapacitet af den skjulte kanal i nærvær af et acceptabelt fejlniveau ved transmission af data over den skjulte kanal og ensartet fordeling over et sæt af længder af transmitterede pakker.
Estimering af kapaciteten af en skjult kanal med et givet fejlniveau, hvor længderne af transmitterede pakker antager ensartet fordelte værdier
Det foregående underafsnit giver et estimat af den maksimale kapacitet af den skjulte kanal, ved hvilken længderne af transmitterede pakker er ensartet fordelt over et bestemt sæt, hvilket opnås, når den skjulte kanalparameter b er lig med én. Med denne metode til at konstruere en skjult kanal er sandsynligheden for korrekt genkendelse af det transmitterede symbol imidlertid kun. Fejlraten kan være en vigtig parameter, da brugen af hemmelige kanaler ofte fører til lækage af kritisk information såsom kryptografiske nøgler, adgangskoder og så videre. Lad værdien p angives - det tilladte fejlniveau ved transmission af data over en skjult kanal. Derefter skal værdien af den skjulte kanalparameter b vælges lig med
I dette underafsnit har vi således undersøgt en skjult kanal, under hvilken længderne af transmitterede pakker antager ensartet fordelte værdier, og fejlniveauet ikke overstiger en specificeret værdi. Det bedste kodningsskema, hvad angår værdien af den skjulte kanals resterende kapacitet, blev valgt under hensyntagen til kravene. Den resterende kapacitet af den skjulte kanal under modvirkningsforhold estimeres.
Dette afsnit udvikler en metode til at modvirke informationslækage gennem skjulte kanaler i pakkedatanetværk ved tilfældigt at øge længden af hver pakke. Med det kendte skema til implementering af denne modforanstaltningsmetode forblev et uløst problem med at estimere den resterende kapacitet af den skjulte kanal, når modforanstaltninger blev indført. Forøgelse af pakkerlængden fører ikke til desynkronisering af afsender og modtager, dog skal hemmelige kanaler, der er modstandsdygtige over for denne modforanstaltningsmetode, bygges på en speciel måde, som foreslås i arbejdet.
Et estimat er givet af den maksimale gennemstrømning af en skjult kanal baseret på ændringer i pakkelængder med en tilfældig stigning i længden af pakker, der skal sendes. Der lægges særlig vægt på kapaciteten af skjulte kanaler, hvor længderne af transmitterede pakker antager ensartet fordelte værdier, og niveauet af fejl under datatransmission. De opnåede resultater gør det muligt at anvende den foreslåede modforanstaltningsmetode ved tilfældigt at øge længden af pakker, der skal sendes, givet den acceptable kapacitet af den skjulte kanal, hvilket minimerer den yderligere belastning på kommunikationskanalen. 4 Metode til at begrænse kapaciteten af skjulte kanaler ved at generere fiktiv trafik
Dette afsnit er viet til udvikling og forskning af en metode til at modvirke informationslækage gennem skjulte kanaler ved at generere fiktiv trafik. Der foreslås to metoder til at generere fiktiv trafik: deterministisk og tilfældig. For begge tilfælde opnås udtryk for at estimere restkapaciteten af en binær skjult kanal under synkronisering ved at sende pakker af en speciel type.
Med deterministisk generering af fiktiv trafik, efter transmission af k pakker med informationsindhold, sendes en fiktiv pakke af tilfældig længde, k er en parameter for modvirkningsmetoden, der er ansvarlig for frekvensen af afsendelse af fiktive pakker. Kommunikationskanalens effektive kapacitet ved indførelse af denne modforanstaltningsmetode er lig med
Estimering af kapaciteten af en skjult kanal med tilfældig generering af fiktiv trafik
På grund af kompleksiteten af de analytiske afhængigheder, der forbinder værdierne af parametrene for den skjulte kanal og modforanstaltningersmetoden, er det kun i nogle tilfælde muligt at opnå formler til at estimere værdien af parameteren for modforanstaltningersmetoden; i andre tilfælde , er det nødvendigt at anvende beregnede data, visualiseringsmetoder eller andre tilgange, afhængigt af den modforanstaltningsmetode, der undersøges, og typen af skjulte kanaler.
Dette afsnit giver anbefalinger om valg af parameterværdier for udviklede metoder til at lække begrænset adgangsinformation gennem hemmelige kanaler baseret på ændringer i længden af transmitterede pakker. På grund af det faktum, at det i nogle tilfælde er nødvendigt at bestemme værdierne af parametrene for de udviklede modforanstaltningersmetoder for at begrænse kapaciteten af en skjult kanal ved hjælp af en beregningsmetode ved hjælp af komplekse analytiske afhængigheder, er softwareværktøjer blevet implementeret til at beregne nødvendige parameterværdier for de foreslåede modforanstaltningersmetoder for at forhindre lækage af begrænset adgangsinformation, hvilket reducerer den ekstra belastning til kommunikationskanalen. To certifikater for statsregistrering af computerprogrammer blev opnået, præsenteret i appendiks 1, 2, som giver dig mulighed for at automatisere udvælgelsen af parameterværdier for modforanstaltninger metoder ved tilfældigt at øge længden af pakker og generere fiktiv trafik, henholdsvis.
Lad os overveje en metode til at modvirke informationslækage gennem skjulte kanaler baseret på at ændre længden af transmitterede pakker ved at øge dem tilfældigt, foreslået i afhandlingens tredje afsnit. Opsummerer vi de opnåede afhængigheder, får vi tre tilfælde, hvor kapaciteten af skjulte kanaler under modvirkningsforhold bestemmes: - for den kanal, der har den højeste kapacitet, når modvirkning indføres (K1): - for den kanal, der har den højeste kapacitet ved modvirkning. er indført og betingelsen om, at længden af transmitterede pakker tager ensartet fordelte værdier (K2): (2L+a-l - for den kanal, der har den højeste kapacitet, når modvirkning indføres, og betingelserne for, at længderne af transmitterede pakker tager ensartet fordelt værdier og fejlniveauet ikke overstiger en specificeret værdi (K3): +
Værdierne af parametrene for modforanstaltningersmetoden ved tilfældigt at øge længderne af transmitterede pakker for at begrænse kapaciteten af disse skjulte kanaler foreslås bestemt ved beregning. Tabel 12 viser forholdet mellem værdierne af de skjulte kanalparametre, den skjulte kanalkapacitet og parameteren for modforanstaltninger.
I nogle applikationer er tilfældet af interesse, når længden af transmitterede pakker tager værdier på et givet sæt. Lad os antage, at når man konstruerer en skjult kanal, er længderne af transmitterede pakker ensartet fordelt på sættet N,_,\N,_,. I 1fshs+- 1 modvirkningsforhold bør den skjulte kanal organiseres som følger: for at transmittere symbolet "/" sender afsenderen en pakke med længden /є Ж, Z GJV, U(0), hvor Wt =Nt +(;+ 1fe_1 \ Nj +й_1, b - parameter for den skjulte kanal, bL. Af resultaterne opnået i afhandlingens tredje afsnit, følger det, at kapaciteten v af den skjulte kanal konstrueret på denne måde er maksimal, når b = 1 og er bestemt af følgende udtryk: Lad værdien af den tilladte kapacitet af den skjulte kanal angives således, at driften af skjulte kanaler med en lavere kapacitet anses for harmløs. Lad cc0 være værdien af parameteren a, ved hvilken ligheden er opfyldt: Det følger heraf, at ligheden er opfyldt: - = -bfix+b-1 + a0). (98) Efter transformation opnår vi: v0(a0+l)ln2 VoK27 n2 v Zln2
Der er således opnået en formel til beregning af den nødvendige værdi af parameteren for modforanstaltningersmetoden, hvor kapaciteten af den konstruerede skjulte kanal ikke overstiger den angivne værdi. Men med denne metode til at organisere en skjult kanal, det vil sige sandsynligheden for korrekt genkendelse af det transmitterede symbol er kun en + 1 kanal, introduceres fejl. Fejlraten er en vigtig parameter, da brugen af hemmelige kanaler ofte fører til lækage af kritisk information såsom kryptografiske nøgler, adgangskoder og så videre. Lad værdien af rosh være specificeret - det tilladte niveau af fejl ved transmission af data over en skjult kanal. Så af resultaterne opnået i afhandlingens tredje afsnit, følger det, at værdien af den skjulte kanalparameter b skal vælges lig med
Dette afsnit giver anbefalinger til valg af parametrene for de foreslåede metoder til imødegåelse af informationslækage gennem skjulte kanaler. På grund af det faktum, at det i nogle tilfælde er nødvendigt at bestemme værdierne af parametrene for de udviklede modforanstaltningersmetoder for at begrænse kapaciteten af en skjult kanal ved hjælp af en beregningsmetode ved hjælp af komplekse analytiske afhængigheder, er softwareværktøjer blevet implementeret til at beregne nødvendige parameterværdier for de foreslåede modforanstaltningersmetoder for at forhindre lækage af begrænset adgangsinformation, hvilket reducerer den ekstra belastning til kommunikationskanalen. Der blev opnået to certifikater for statsregistrering af computerprogrammer, der automatiserer modforanstaltninger ved henholdsvis tilfældigt at øge pakkelængder og generere fiktiv trafik. Resultaterne af implementering af resultaterne af afhandlingsarbejdet præsenteres.
Introduktion.
1 Analyse af eksisterende metoder til registrering af indtrængen.
1.1 Grundlæggende begreber.
1.2 Typisk struktur af IDS.
1.3 Metoder til registrering af indtrængen.
1.4 Opdagelse af misbrug.
1.4.1 Strengmatchning.
1.4.2 Brug af ekspertsystemer.
1.4.3 Analyse af overgange mellem stater.
1.4.4 Data mining metoder.
1.5 Anomalidetektion.
1.5.1 Statistiske metoder.
1.5.2 Forudsigelse af adfærd.
1.5.3 Data mining metoder.
1.5.4 Neurale netværksmetoder.
1.5.5 Detektering af uregelmæssigheder i systemopkaldssekvenser.
1.6 Klassificering af IDS.
1.7 Mål og formål med undersøgelsen.
1.8 Konklusioner.
2 Udvikling af en model af et indbrudsdetektionssystem baseret på HMM.
2.1 Oplysninger fra teorien om HMM.
2.1.1 Grundlæggende definitioner.
2.1.2. Indstilling af standardopgaver relateret til SMM.
2.1.3 Løsning af estimeringsproblemet.
2.1.4 Løsning af genkendelsesproblemet.
2.1.5 Løsning af læringsproblemet.
2.1.6 Anvendelse af skalering i HMM-algoritmer.
2.1.7 Løsning af indlæringsproblemet for flere observationssekvenser.
2.2 Driftsprincip for COA-modellen.
2.2.1 Generel ordning for COA.
2.2.2 Stadier af systemdrift.
2.2.3 Valg af revisionsundersystem, der skal bruges.
2.2.4 Dannelse af en profil af processens normale adfærd.
2.2.5 Algoritme til detektering af uregelmæssigheder i procesdrift.
2.3 Undersøgelse af muligheden for drift af det udviklede COA som en del af en omfattende IDS.
2.4 Konklusioner.
3 Eksperimentel undersøgelse af modellen for indtrængningsdetektionssystem
3.1 Beskrivelse testgrundlag data.
3.1.1 Begrundelse for valg af testdatabase.
3.1.2 Procesdata 1рг.
3.1.3 Navngivne procesdata.
3.1.4 xlock procesdata.
3.1.5 Login procesdata.
3.1.6 ps procesdata.
3.1.7 inetd procesdata
3.1.8 Tide procesdata.
3.2 Illustration af driften af anomalidetektionsalgoritmen ved hjælp af data fra den navngivne proces som eksempel:.
3.3 Undersøgelse af afhængigheden af af det valgte antal HMM-tilstande.
3.3.1 Redegørelse for forskningsproblemet.
3.3.2 lpr-proces.
3.4 Diskussion af forsøgsresultater.
3.5 Konklusioner.
4 Udvikling af en parallel læringsalgoritme til SMM.
4.1 Kendte løsninger at fremskynde SMM-træning.
4.2 Begrundelse for muligheden for en effektiv organisation parallel computing i HMM-læringsalgoritmen.
4.2.1 Analyse af HMM-indlæringsalgoritmen for enkelte observationssekvenser.
4.2.2 Analyse af indlæringsalgoritmen for flere observationssekvenser.
4.3 Udvikling af en parallel HMM-læringsalgoritme.
4.4. Teoretisk evaluering af effektiviteten af en parallel algoritme.
4.5 Funktioner i softwareimplementeringen af den parallelle SMM-læringsalgoritme.
4.5.1 Valg af midler til implementering.
4.5.2 Beskrivelse af softwareimplementering.
4.5.3 Eksperimentel bekræftelse af den funktionelle overensstemmelse mellem parallelle og sekventielle implementeringer af HMM-læringsalgoritmen.
4.6 Konklusioner.
5 Eksperimentel undersøgelse af effektiviteten af den parallelle HMM-indlæringsalgoritme.
5.1 Eksperimentelle forhold.
5.2 Undersøgelse af effektiviteten af den parallelle HMM-indlæringsalgoritme på en netværksklynge.
5.3 Undersøgelse af effektiviteten af den parallelle SMM-indlæringsalgoritme på en multiprocessorklynge.
5.4 Konklusioner.
Introduktion af afhandlingen (del af abstraktet) om emnet "Udvikling af algoritmiske og softwareværktøjer, der øger effektiviteten af indbrudsdetektion baseret på brug af skjulte Markov-modeller"
På grund af forbedringen af computerteknologi og den hurtige vækst af telekommunikationsteknologier er der en stigning i kompleksiteten af den anvendte software. Under sådanne forhold bliver analysen af udviklede programmer fra et sikkerhedssynspunkt vanskeligere. Ifølge US National Institute of Standards and Technology (NIST), mens antallet af rapporterede sårbarheder i udbredt software var dusinvis om året før 1996, nåede dette tal i 2004 2356, i 2005 - 4914 og i 2006 - 6600.
Det voksende antal softwaresårbarheder gør det vigtigt ikke kun at tage forebyggende modforanstaltninger såsom brug af firewalls og bedragerisystemer, men også at implementere indtrængendetekteringssystemer (IDS), der aktivt kan modvirke uautoriserede adgangsforsøg. Samtidig er det åbenlyst, at IDS over tid, udelukkende baseret på brug af opdaterede databaser med signaturer af kendte indtrængen, ikke vil kunne garantere en hurtig opdagelse af indtrængen baseret på nyopdagede sårbarheder.
Det seneste nummer af SANS-instituttets årlige bulletin, der afspejler de ti vigtigste tendenser i udviklingen af informationssikkerhed, forudsiger en yderligere stigning i udnyttelsen af hidtil ukendte sårbarheder (0-dages sårbarheder) samt en stigning i antal kompromitterede globale netværksknuder, hvilket gør det muligt for angribere at udføre distribuerede angreb og efterfølgende gøre det vanskeligt at finde kilden til indtrængen. Under sådanne forhold bliver udviklingen af nye tilgange til indtrængningsdetektion, der sikrer rettidig detektering af et indtrængen, relevant, uanset tilstedeværelsen af dens nøjagtige signatur.
Emnets relevans
Det største problem, som udviklere af moderne indtrængningsdetektionssystemer (IDS) står over for, er den lave effektivitet af eksisterende mekanismer til at opdage fundamentalt nye typer indtrængen, hvis tegn ikke er blevet undersøgt og ikke er inkluderet i signaturdatabaser. Anomalidetektionsteorien udviklet i de senere år, designet til at løse dette problem, er ikke meget brugt på grund af den lave pålidelighed af de anvendte metoder. Systemer bygget på basis af denne teori er karakteriseret ved et uacceptabelt højt niveau af falske positiver.
For nylig mere udbredt effektive metoder intrusion detection baseret på analyse af sekvenser af systemopkald, der kommer til operativsystemets kerne. Blandt dem er en af de mest lovende retninger brugen af skjulte Markov-modeller (HMM'er) til at beskrive en model af profilen af en process normale adfærd og opdage afvigelser fra denne profil, hvilket indikerer en mulig invasion. Metoder baseret på brugen af HMM'er er overlegne i forhold til andre metoder i detektionseffektivitet, men kræver brug af mere arbejdskrævende algoritmer.
Derfor er opgaven med at undersøge og forbedre tilgangen til indtrængningsdetektion ved hjælp af HMM relevant.
Målet med arbejdet er at udvikle en intrusionsdetektionsmetode baseret på en tilgang, der involverer brug af HMM'er til at beskrive procesprofiler. Den udviklede metode gør det muligt at reducere træningstiden for HMM'er for deres mere effektive brug til at løse problemer med indtrængningsdetektion.
Ud fra hovedmålet med dette arbejde fastlægges en liste over opgaver, der skal løses:
1) Udvikle en model af et indbrudsdetektionssystem.
2) Udvikle algoritmer til at generere profiler af processers normale adfærd i form af HMM'er og detektere indtrængen med deres hjælp.
3) Udvikl en parallel læringsalgoritme for at reducere træningstiden for SMM.
4) Udfør en eksperimentel undersøgelse og komparativ analyse af den sekventielle og parallelle SMM-indlæringsalgoritme.
Forskningen bruger metoder til sandsynlighedsteori og matematisk statistik, matematisk modellering, teori om algoritmer og teori om parallel computing. Computermodellering blev i vid udstrækning brugt, herunder ved hjælp af uafhængigt udviklet software.
Vigtigste resultater indsendt til forsvar
1) IDS-modellen, der er baseret på påvisning af anomalier i sekvenser af systemopkald, der kommer fra kontrollerede processer, bruger profiler af den normale opførsel af kontrollerede processer i form af HMM'er. Modellen er baseret på en metode, der giver dig mulighed for at lokalisere en anomali forårsaget af et indtrængen, nøjagtigt i forhold til et systemopkald, baseret på den betingede sandsynlighed for dens forekomst.
2) En parallel, skalerbar HMM-indlæringsalgoritme til flere observationssekvenser, der gør det muligt for HMM-træning at være hurtigere end den i øjeblikket meget udbredte sekventielle Baum-Welch-algoritme.
Den videnskabelige nyhed i værket er som følger:
Der er udviklet en indtrængningsdetektionsmetode, der bruger profiler af den normale opførsel af kontrollerede processer i form af HMM'er. Metoden giver dig mulighed for at lokalisere en anomali forårsaget af en indtrængen, nøjagtig i forhold til et systemopkald, baseret på den betingede sandsynlighed for dens forekomst.
En skalerbar parallel HMM-læringsalgoritme til flere observationssekvenser er blevet udviklet, implementeret ved hjælp af MPI-teknologi. Implementeringen af den parallelle algoritme demonstrerer ydeevne tæt på den teoretiske grænse, selv når der arbejdes på billige netværksklynger implementeret på Fast Ethernet-typen computernetværk.
Praktisk betydning og implementering af arbejdsresultater
Den praktiske betydning af afhandlingens resultater er som følger:
Der er udviklet en model af et indtrængningsdetektionssystem baseret på detektering af anomalier i sekvenser af systemopkald, der kommer fra kontrollerede processer. Principperne indlejret i systemet gør det muligt at detektere indtrængen, hvis tegn (signaturer) ikke kendes på forhånd.
En parallel algoritme til træning af SMM'er er blevet udviklet, som gør det muligt at reducere deres træningstid. Algoritmen kan bruges i andre HMM-applikationer, for eksempel i talegenkendelse, optisk tekstgenkendelse og genetik.
Parallelt program udviklet hurtig læring SMM, der giver ydeevne tæt på den teoretiske grænse, selv når den kører på billige netværksklynger.
Hovedresultaterne af forskningen blev brugt ved Institut for Informationsteknologi Sikkerhed ved Teknologisk Institut ved Southern Federal University i Taganrog, når de udførte en række forsknings- og udviklingsarbejde for en statskunde, videnskabelig forskning støttet af et tilskud
RFBR, samt et fælles tilskud fra Ministeriet for Uddannelse og Videnskab i Den Russiske Føderation og den tyske akademiske udvekslingstjeneste (DAAD).
Pålideligheden af de opnåede resultater bekræftes af fuldstændigheden og rigtigheden af de teoretiske begrundelser og resultaterne af eksperimenter udført ved hjælp af programmerne udviklet i afhandlingen.
Publikationer
Der er 12 publikationer om emnet for afhandlingen, heraf 11 videnskabelige artikler og sammendrag af rapporter og et certifikat for registrering af et computerprogram. Tre artikler blev publiceret i tidsskriftet "Izvestia of the Taganrog State Radio Engineering University (TRTU)" for 2003-2005. fra listen anbefalet af Den Russiske Føderations Højere Attestationskommission til offentliggørelse af resultaterne af afhandlinger.
Hovedresultaterne af arbejdet blev rapporteret og diskuteret på:
1) Internationale videnskabelige og praktiske konferencer "Informationssikkerhed", Taganrog, 2002, 2003, 2004 og; 2005
2) XXXIII regional ungdomskonference "Problems of theoretical and anvendt matematik", Jekaterinburg, 2002.
3) Konferencer for lærerstaben ved Taganrog State Radio Engineering University, Taganrog, 2004 og 2005.
4) Seminar for stipendiater fra Mikhail Lomonosov-programmet, Bonn (Tyskland), 2005.
5) International konference "Computer Science and Information Technologies", Karlsruhe (Tyskland), 2006.
Afhandlingens opbygning og omfang
Afhandlingen består af en introduktion, fem kapitler, en konklusion, en kildeliste (113 titler) og et bilag. Det samlede værk er 158 sider. Værket indeholder grafisk materiale i mængden af 19 tegninger og indeholder 28 siders bilag.
Afslutning af afhandlingen om emnet "Metoder og systemer til informationssikkerhed, informationssikkerhed", Anikeev, Maxim Vladimirovich
5.4 Konklusioner
1) En eksperimentel undersøgelse af effektiviteten af den parallelle HMM-indlæringsalgoritme på en netværksklynge blev udført. Forskningsdata demonstrerer muligheden for at implementere algoritmen på billige netværksklynger med et lille antal noder, samtidig med at der opnås speedup-værdier tæt på den teoretiske grænse.
2) I undersøgelser, der anvender en multiprocessorklynge, observeres en tæt på lineær stigning i accelerationen, indtil den når en praktisk grænse. Dette indikerer den høje effektivitet ved at bruge computerressourcer under parallelisering.
Konklusion
I overensstemmelse med de opstillede mål, som et resultat af den udførte forskning og udvikling, blev følgende videnskabelige hovedresultater opnået:
1) Der er udviklet en IDS-model baseret på påvisning af anomalier i sekvenser af systemopkald, der kommer fra kontrollerede processer. Principperne indlejret i systemet gør det muligt at detektere indtrængen, hvis tegn (signaturer) ikke kendes på forhånd. Modellen anvender profiler af normal opførsel af kontrollerede processer i form af HMM'er. Modellen er baseret på en metode, der giver dig mulighed for at lokalisere en anomali forårsaget af et indtrængen, nøjagtigt i forhold til et systemopkald, baseret på den betingede sandsynlighed for dens forekomst. Muligheden for at integrere modellen i en kompleks IDS er blevet undersøgt.
2) Der blev udført en eksperimentel undersøgelse af afhængigheden af effektivitetsindikatorer for indtrængningsdetektion af det udvalgte antal HMM-tilstande. Det er blevet fastslået, at HMM-læringsprocessen ofte konvergerer til et lokalt minimum af den objektive funktion. Dette faktum komplicerer læringsprocessen yderligere, da der er et yderligere behov for at finde en værdi for antallet af tilstande, der giver de nødvendige niveauer af sandsynligheder for korrekt detektion og falske positiver. Dermed bliver opgaven med at reducere SMM-træningstiden endnu mere presserende.
3) Der er udviklet en parallel skalerbar HMM-læringsalgoritme, som tillader træning hurtigere end den i øjeblikket meget udbredte sekventielle Baum-Welch-algoritme til flere observationssekvenser, samt dens softwareimplementering baseret på MPI-teknologi. Algoritmen kan bruges i andre HMM-applikationer, for eksempel i talegenkendelse, optisk tekstgenkendelse og genetik.
4) En eksperimentel undersøgelse af effektiviteten af den parallelle HMM-indlæringsalgoritme blev udført. Forskningsdata viser muligheden for at implementere algoritmen på billige netværksklynger med acceleration tæt på den teoretiske grænse.
Liste over referencer til afhandlingsforskning Kandidat for tekniske videnskaber Anikeev, Maxim Vladimirovich, 2008
1. National Institute of Standards and Technology. E-ressource. -Tilgængelig: http://nvd.nist.gov.
2. De ti vigtigste sikkerhedstendenser i det kommende år / Redigeret af S. Northcutt et al. - SANS Instituttet, 2006. - 3 s. - Tilgængelig: http://www.sans.org/resources/10securitytrends.pdf.
3. Kumar, S. Klassificering og detektion af computerindtrængen: Ph.d.-afhandling. -Purdue university, 1995. - 180 s.
4. Lukatsky, A. V. Påvisning af angreb. - St. Petersborg: BHV-Petersburg, 2001. -624 s.
5. Miloslavskaya, N. G., Tolstoy, A. I. Intranet: intrusion detection: Lærebog. manual for universiteter. - M.: Unity-Dana, 2001. - 587 s.
6. Lundin, E., Jonsson, E. Survey of intrusion detection research: Technical report No. 02-04. - Göteborg: Chalmers Tekniske Universitet, 2002 - 43 s.
7. Denning, D. E. An intrusion-detection model // IEEE Transaction on software engineering. - 1987. -Nr. 2. - S. 222-232.
8. Hansen, S. E., Atkins, E. T. Automatiseret systemovervågning og notifikation med farveprøve // Proc. 7 Systemadministrationskonference (LISA 93). - Monterey. - 1993. - S. 101-108.
9. Abramov, E. S. Udvikling og forskning af metoder til konstruktion af angrebsdetekteringssystemer: dis. . Ph.D. tech. Videnskaber: 05.13.19 - Taganrog, 2005. - 140 s.
10. Abramov, E. S. Udvikling af metoder til funktionel test af SOA // Indsamling af videnskabelige artikler fra den XI all-russiske videnskabelige konference "Problems of information security in the high school system". - M.: MEPhI, 2004.
11. Wu, S., Manber, U. Hurtig tekstsøgning med fejl. Teknisk rapport TR 91-11. -Tucson: Univ. of Arizona, 1991. - 18 s.
12. Lindqvist, U., Porras, P. A. Detektering af computer- og netværksmisbrug gennem det produktionsbaserede ekspertsystemværktøjssæt (P-BEST) // Proc. 1999 IEEE Symposium of Security and Privacy, Oakland, Californien, maj 1999. - IEEE Contr. Soc., 1999, -P. 141-161.
13. Snort - de facto standarden for indtrængningsdetektion/forebyggelse. - 2006. - Tilgængelig: http://snort.org
14. Snort™ brugervejledning. 2.6.0. - Sourcefire, Inc., 2006. - Tilgængelig: http://snort.Org/docs/snortmanual/2.6/snortmanual.pdf
15. Habra, N., Le Charlier, V., Mounji, A., Mathieu, I. ASAX: Softwarearkitektur og regelbaseret sprog til universal revisionssporanalyse // European Symposium on Research in Computer Security (ESORICS). - 1992. - S. 435450.
16. Porras, P. A., Neumann, P. G. Emerald: Hændelsesovervågning, der muliggør reaktioner på unormale live-forstyrrelser. -Proc. 20. National Information System Security Conference. - Baltimore: NIST/NCSC, 1997. - S. 353-365.
17. Vigna, G., Eckmann S. T., Kemmerer, R. A. STAT-værktøjspakken // Proc. DISCEX 2000. - IEEE Press, 2000.
18. Ilgun, K., Kemmerer, R. A., Porras, P. A. State transition analysis: a rule-base intrusion detection approach // IEEE Trans. Software Engineering. - Nej. 3, bind. 21.- 1995.- S. 181-199.
19. Sun, J. BSM sikkerhedsrevision for Solaris-servere. GIAC væsentlige sikkerhedselementer certificering praktisk. - 2003. - 12 s. - Tilgængelig: http://www.giac.org/practical/gsec/JohnSunGSEC.pdf
20. Eckmann, S. T., Vigna, G., Kemmerer, R. A. STATL: An attack language for state-based intrusion detection. - 2000. -24 s. - Tilgængelig: http://citeseer.ist.psu.edu/452116.html
21. Kumar, S., Spafford, E. H. En mønstermatchende model til misbrugsdetektion. //Proc. 17 National Computer Security Conference. - 1994. - S. 11-21.
22. Lee, W., Stolfo, S. J., Mok, K. W. Adaptive Intrusion-Detection: A Data Mining Approach // Artificial Intelligence Review. - 2000. - Vol. 14, nr. 6.-P. 533-567.
23. Fink, G., Levitt, K. Ejendomsbaseret test af privilegerede programmer // Proc. 10. årlige konference om computersikkerhedsapplikationer. - IEEE, 1994. - S. 154-163.
24. Ko, C., Fink, G., Levitt, K. Automatiseret detektering af sårbarheder i privilegerede programmer ved eksekveringsovervågning // Proc. 10. årlige konference om computersikkerhedsapplikationer. - IEEE Comp. Soc. Presse, 1994. - S. 134144.
25. Forrest, S., Hofmeyr, S. A., Somayaji, A., Longstaff, T. A. En følelse af selv til Unix-processer // Proc. 1996 IEEE Symposium om sikkerhed og privatliv. - IEEE Comp. Soc. Presse, 1996. - S. 120-128.
26. Ghosh, A. K., Wanken, J., Charron, F. Detektering af unormale og ukendte indtrængen mod programmer // Proc. Årlig konference om computersikkerhedsapplikationer (ACSAC"98), december 1998. - 1998. - S. 259-267.
27. Eslcin, E. et al. Adaptiv modelgenerering til indtrængningsdetektion. I I Proc. ACMCCS Workshop on Intrusion Detection and Prevention, Athen, Grækenland, 2000. - 2000. - Tilgængelig: http://citeseer.ist.psu.edu/eskinOOadaptive.html.
28. Okazaki, Y., Sato, L, Goto, S. En ny metode til registrering af indtrængen baseret på procesprofilering. //Proc. IEEE Symposium on Applications and the Internet (SAINT"02). - 2002. - S. 82-91.
29. Cho, S.-B. Inkorporering af soft computing-teknikker i et probabilistisk indtrængningsdetektionssystem. // IEEE Transactions on Systems, Man, and Cybernetics, Part C. - Vol. 32, nr. 2, 2002. - S. 154-160.
30. Yin, Q., Shen, L., Zhang, R., Li, X. En ny metode til registrering af indtrængen baseret på adfærdsmodel. //Proc. 5 World Congress on Intelligent Control and Automation, 15.-19. juni 2004, Hangzhou, P. R. Kina. - 2004. - S. 4370-4374.
31. Gudkov, V., Johnson, J. E. Ny tilgang til netværksovervågning og indtrængningsdetektion // CoRR. - 2001. - Bd. cs.CR/0110019. - Tilgængelig: http://arxiv.org/abs/cs.CR/0110019.
32. Gudkov, V., Johnson, J. E. Multidimensional netværksovervågning til indtrængningsdetektion // CoRR. - 2002. - Bd. cs.CR/0206020. - Tilgængelig: http://arxiv.org/abs/cs.CR/0206020.
33. Barford, P., Plonka, D. Karakteristika for anomalier i netværkstrafikstrømmen // Proc. 1. ACM SIGCOMM Workshop om internetmåling, San Francisco, Californien, USA, 1.-2. november 2001. - ACM, 2001. - S. 69-73.
34. Smaha, S. E. Haystack: an intrusion detection system // Proc. 4. IEEE Aerospace Computer Security Applications Conference. - Orlando, FL: IEEE, 1988. -P. 37-44.
35. Lane, T., Brodley, C. E. Sekvensmatching og indlæring i anomalidetektion til computersikkerhed // Proc. AAAI-97 Workshop om AI-tilgange til svigopdagelse og risikostyring. - 1997. - S. 43-49.
36. Lane, T., Brodley, C. E. En anvendelse af maskinlæring til anomalidetektion // Proc. af den 12. nationaleerence. - Vol. 1. - Gaithersburg, MD: NIST, 1997. - S. 366-380.
37. Lane, T. Filtreringsteknikker til hurtig brugerklassificering // Proc. AAAI-98/ICML-98 Fælles Workshop om AI-tilgange til tidsserieanalyse. - Menlo Park, CA: AAAI Press, 1998. - S. 58-63.
38. Lane, T., Brodley, C. E. Temporal Sequence Learning and Data Reduction for Anomaly Detection // Proc. 5. ACM-konference om computer- og kommunikationssikkerhed. - Assoc. for Computing Machinery, 1998. - S. 150158.
39. Lane, T. Skjulte Markov-modeller til modellering af menneske-/computergrænseflader // Proc. IJCAI-99 Workshop om at lære om brugere. - 1999. - S. 35-^4.
40. Debar, H., Becker, M., Siboni, D. En neural netværkskomponent til et intrusionsdetektionssystem // Proc. 1992 IEEE Comp. Soc. Symposium om forskning i sikkerhed og privatliv. - Los Alamos, Californien: IEEE Comp. Soc. Presse, 1992. -P. 240-250.
41. Cannady, J. Kunstige neurale netværk til misbrugsdetektion // Proc. 1998 National Information Systems Security Conference (NISSC"98). - 1998. - S. 443-456.
42. Sidorov, I. D., Anikeev, M. V. Neural netværksdetektion af unormal brugeradfærd i konsoltilstand af Linux OS // Proceedings of the VI International Scientific and Practical Conference "Information Security". - Taganrog: TRTU, 2004. - s. 159-161.
43. Tumoian, E., Anikeev, M. Netværksbaseret detektion af passive skjulte kanaler i TCP/IP // LCN *05: Proc. IEEE Konf. på lokale computernetværk. - Washington, DC: IEEE Comp. Soc., 2005 - S. 802-809.
44. Elman, J. L. Finde struktur i tid // Kognitionsvidenskab. - 1990. - Bd. 14, nr. 2. - S. 179-211.
45. Fink, G., Ko, C., Archer, M., Levitt, K. Mod et ejendomsbaseret testmiljø med applikationer til sikkerhedskritisk software // Proceedings of the 4th Irvine Software Symposium. - 1994. - S. 39-48.
46. Warrender, C., Forrest, S., Pearlmutter, B. A. Detektering af indtrængen ved hjælp af systemkald: alternative datamodeller // Proc. IEEE Symposium om sikkerhed og privatliv. - Oakland, Californien: IEEE Comp. Soc., 1999. - S. 133-145.
47. Hofmeyr, S. A., Forrest, S., Somayaji, A. Indbrudsdetektion ved hjælp af sekvenser af systemopkald // Journal of Computer Security. - 1998. - Bd. 6, nr. 3. -P. 151-180.
48. Cohen, W. W. Hurtig effektiv regelreduktion // Machine Learning: the 12th Intl. Konference. - Morgan Kaufmann, 1995. - S. 115-123.
49. Yin, Q.-B. et al. Indbrudsdetektion baseret på skjult Markov-model. -Proc. 2nd Intl. Konference om maskinlæring og kybernetik. Xi"an, november. 2003. - IEEE, 2003. - Vol. 5. - P. 3115-3118.
50. Wespi, A., Dacier, M., Debar, H. Et indtrængningsdetektionssystem "baseret" på TEIRESIAS mønsteropdagelsesalgoritmen // Proc. EICAR"99. - Aalborg, Danmark: Aalborg Universitet, 1999.- S. 1-15.
51. Rigoutsos, I., Floratos, A. Kombinatorisk mønsteropdagelse i biologiske sekvenser: TEIRESIAS-algoritmen // Bioinformatik. - 1998. - Vol.14, No. 1. -P. 55-67.
52. Marceau, C. Karakterisering af et programs opførsel ved brug af N-gram med flere længder // Proc. 2000 workshop om Nye sikkerhedsparadigmer. - Ballycotton, County Cork, Irland: ACM Press, 2000. - S. 101-110.
53. Ghosh, A., Wanken, J., Charron, F. Detektering af unormale og ukendte indtrængen mod programmer // Proc. 1998 årlige computer(ACSAC"98). - Los Alamitos, CA: IEEE Comp. Soc, 1998. - S. 259-267.
54. Ghosh, A., Schwartzbard, A., Schatz, M. Læringsprogramadfærdsprofiler til indtrængningsdetektion // Proc. 1. USENIX Workshop om Intrusion Detection og Network Monitoring. - 1999. -P. 51-62.
55. Yeung, D., Ding, Y. Værtsbaseret indtrængningsdetektion ved hjælp af dynamiske og statiske adfærdsmodeller // Mønstergenkendelse. - 2002. - Bd. 36. - P. 229243.
56. Al-Subaie, M., Zulkernine, M. Effektiviteten af skjulte Markov-modeller af væltede neurale netværk i detektion af anomali-intrusion // Proc. 30 årlige internationale computersoftware- og applikationskonferencer (COMPSAC). - Chicago: IEEE CS Press, 2006. - S. 325-332.
57. Heberlein, L. T. Netværkssikkerhedsmonitor. Sidste rapport. - Davis, CA: UC Davis, 1993. - 53 s. - Tilgængelig: http://seclab.cs.ucdavis.edu/papers/NSM-final.pdf.
58. Paxson, V. Bro: et system til detektering af indtrængende netværk i realtid // Computernetværk (Amsterdam, Holland: 1999). - 1999. - Bd. 31, nr. 23-24.-P. 2435-2463.
59. Ilgun, K. USTAT: et indtrængningsdetektionssystem i realtid til UNIX // Proc. 1993 IEEE Symposium on Research in Security and Privacy. - Oakland, Californien: IEEE Comp. Soc, 1993. - S. 16-28.
60. Staniford-Chen, S. et al. GrIDS - Et grafbaseret system til registrering af indtrængen til store netværk // Proc. 19. National Information System Security Conference. - 1996. - S. 361-370.
61. Jou, Y. F., Gong, F., Sargor, C., Wu, S. F., Cleaveland, W. R. Arkitekturdesign af et skalerbart indtrængningsdetektionssystem til den nye netværksinfrastruktur. Teknisk rapport CDRL A005. - Releigh: North Carolina State University, 1997. - 42 s.
62. Somayaji, A., Forrest, S. Automatiseret svar ved hjælp af systemopkaldsforsinkelser // Proc. USENIX sikkerhedssyposium. - Denver: USENIX, 2000. - S. 185-197.
63. Rabiner, JI. R. Hidden Markov-modeller og deres anvendelse i udvalgte applikationer i talegenkendelse: en gennemgang // TIIER. - 1989. - bind 77, nr. 2. -MED. 86-120.
64. Baum, L. E., Sell, G. R. Growth functions for transformations and manifolds // Pacific Journal of Mathematics. - 1968. - Bd. 27, nr. 2. - S. 211-227.
65. Sun, J. BSM Sikkerhedsrevision for Solaris-servere. - Bethesda, Mayland: SANS, 2003. - 12 s. - Tilgængelig: http://www.securitydocs.com/go/2329.
66. Linux BSM-projektet E-ressource. - 2001. - Tilgængelig: http://linuxbsm.sourceforge.net.
67. TrustedBSD - OpenBSM E-ressource. - 2006. - Tilgængelig: http://www.trustedbsd.org/openbsm.html.
68. Trusted Computer System Evaluation Criteria, DoD 5200.28-STD. - Fort Meade, MD: National Computer Security Center, 1985. - 116 s. - Tilgængelig: http://csrc.nist.gov/publications/history/dod85.pdf.
69. Computerimmunsystemer - Datasæt og software-e-ressource. - Albuquerque, NM: University of New Mexico, 2004. - Tilgængelig: http://www.cs.unm.edu/~immsec/data-sets.htm.
70. Baras, J. S., Rabi, M. Indbrudsdetektion med støttevektormaskiner og generative modeller. Teknisk rapport TR 2002-22. - College Park: University of Maryland, 2002. - 17 s.
71. Hoang, X. D., Hu, J., Bertok, P. En flerlagsmodel til detektion af anomaliindtrængning ved hjælp af programsekvenser af systemkald. -Proc. ICON"2003. Den 11. IEEE-konference om netværk. - IEEE, 2003. - S. 531-536.
72. Raj wade, A. Nogle eksperimenter med skjulte Markov-modeller. Teknisk rapport. - University of Florida, 2005. - 18 s. - Tilgængelig: http://www.cise.ufl.edu/~avr/HMM.pdf.
73. Gtinter, S., Bunlce, H. Optimering af antallet af tilstande, træningsiterationer og Gaussianer i en HMM-baseret håndskrevet ordgenkendelse // Proc. 7. Int. Konf. om dokumentanalyse og anerkendelse, Edinburgh, Skotland. - 2003. - Bd. 1. - S. 472-476.
74. Anikeev, M. V. Udvælgelse af et tilstrækkeligt antal tilstande i skjulte Markov-modeller til løsning af problemer med afsløring af anomalier // Izvestia TSU. -2005. -Nr. 9. -MED. 133.
75. Anikeev, M. V. Anomalidetektionsmetode baseret på skjulte Markov-modeller med søgningen efter det optimale antal stater // Proceedings of the VII International Scientific and Practical Conference "Information Security". - Taganrog, TRTU: 2005. - s. 58-60.
76. Støjreduktion i taleanvendelse / Redigeret af G. M. Davis. - Boca Raton, FL: CRC Press LLC, 2002. - 432 s.
77. Ronzhin, A. JL, Karpov, A. A., Lee, I. V. SIRIUS-system til automatisk genkendelse af russisk tale // Videnskabeligt og teoretisk tidsskrift “Artificial Intelligence”. - 2005. - Nr. 3. - S. 590-601.
78. Eickeller, S., Mtiller, S., Rigoll, G. Genkendelse af JPEG-komprimerede ansigtsbilleder baseret på statistiske metoder // Image and Vision Computing. - 2000. - Vol. 18. -P. 279-287.
79. Elms, A. J., Procter, S., Illingworth, J. Fordelen ved at bruge en HMM-baseret tilgang til faxede ordgenkendelse // International Journal on Document Analysis and Recognition (IJDAR). - 1998. - Nej. 1(1). - S. 18-36.
80. Kulp, D., Haussler, D., Reese, M. G., Eeckman, F. H. En generaliseret skjult Markov-model til genkendelse af menneskelige gener i DNA // Proc. 4. Int. Konf. om intelligente systemer til molekylærbiologi. - 1996. - S. 134-142.
81. Henderson, J., Salzberg, S., Fasman, K. H. Finde gener i DNA med en skjult Markov-model // Journal of Computational Biology. - 1997. - Bd. 4, nr. 2. -P. 127-142.
82. Mottl, V.V., Muchnik, I.B. Skjulte Markov-modeller i strukturel analyse af signaler. -M.: Fizmatlit, 1999. - 352 s.
83. Turin, W., van Nobelen, R. Hidden Markov-modellering af flade fadingkanaler // IEEE Journal on Selected Areas is Communications. - 1998. - Bd. 16. -P. 1809-1817.
84. Nechyba, M. C., Xu, Y. Stokastisk lighed til validering af menneskelige kontrolstrategimodeller // IEEE Trans. Robotik og automatisering. - 1998. - Bd. 14, hæfte 3, -P. 437-451.
85. Mangold, S., Kyriazakos, S. Anvendelse af mønstergenkendelsesteknikker baseret på skjulte Markov-modeller til placering af køretøjers position i cellulære netværk // Proc. IEEE Vehicular Technology Conference. - 1999. - Bd. 2. - S. 780-784.
86. Chari, S. N., Cheng, P. C. BlueBoX: et policy-drevet værtsbaseret indtrængningssystem // ACM Trans, om informations- og systemsikkerhed. - 2003. - Bd. 6. - S. 173-200.
87. Kang, D.-K., Fuller, D., Honavar, V. Læring af klassifikatorer til misbrugsdetektion ved hjælp af en pose systemopkaldsrepræsentation // Lecture Notes in Computer Science. -2005, -Vol. 3495. -P. 511-516.
88. Valdes, A., Skinner, K. Probabilistisk advarselskorrelation // Lecture Notes in Computer Science. - 2001. - Bd. 2212. -P. 54-68.
89. Goldman, R. P., Heimerdinger, W., Harp, S. A. Informationsmodellering til aggregering af indtrængningsrapporter // Proc. af DARPA Information Survivability Conference and Exposition (DISCEX II). -Anaheim: IEEE Comp. Soc., 2001. - S. 329-342.
90. Cuppens, F., Miége, A. Alert-korrelation i en samarbejdsramme for indtrængendetektion // IEEE Symposium on Security and Privacy. - 2002. -P. 187-200.
91. Turin, W. Ensrettede og parallelle Baum-Welch-algoritmer // IEEE Trans. Af tale og lydbehandling. - 1998. - Bd. 6, udgave 6. - P. 516523.
92. Espinosa-Manzo, A., López-López, A., Arias-Estrada, M. O. Implementering af skjulte Markov-modeller i en hardwarearkitektur // Proc. Intl. Møde for datalogi ENC "01, Aguascalientes, Mexico, 15.-19. september 2001. -Vol. II. -2001. -P. 1007-1016.
93. Anikeev, M., Makarevich, O. Parallel implementering af Baum-Welch-algoritmen // Proc. Workshop om datalogi og informationsteknologi (CSIT"2006), Karlsruhe, Tyskland, 28.-29. september 2006. - Vol. 1. - Ufa: USATU, 2006. - S. 197-200.
94. Message Passing Interface E-ressource. - 2007. - Tilgængelig: http://www-unix.mcs.anl.gov/mpi.
95. Argonne National Laboratory. Matematik og datalogi afdeling. E-ressource. - 2007. - Tilgængelig: http://www.mcs.anl.gov.
96. MPICH2 hjemmeside. E-ressource. - 2007. - Tilgængelig: http://www-unix.mcs.anl.gov/mpi/mpich.
97. S. Gary, M., Johnson, D. Computermaskiner og vanskelige problemer. - M.: Mir, 1982. - 412 s.
98. ITU-TS Recommendation Z.120: Message-Sequence Chart (MSC), 04/2004. - Geneve: International Telecommunication Union, 2004. - 136 s.
99. Shpakovsky, G. I., Serikova, N. V. Programmering til multiprocessorsystemer i MPI-standarden. - Minsk: BSU, 2002. - 323 s.
Bemærk venligst, at de videnskabelige tekster, der præsenteres ovenfor, kun er udgivet til informationsformål og er opnået gennem original afhandlingstekstgenkendelse (OCR). Derfor kan de indeholde fejl forbundet med ufuldkomne genkendelsesalgoritmer. Der er ingen sådanne fejl i PDF-filerne af afhandlinger og abstracts, som vi leverer.