DEVELOPMENT OF A METHOD FOR MONITORING ANAMOUS BEHAVIOR OF A USER IN A DISTRIBUTED INFORMATION COMPUTER SYSTEM: BUILDING A MATHEMATICAL MODEL


Cite item

Full Text

Abstract

The article is devoted to the analysis of the problem of developing a monitoring system for anomalous user behavior in distributed information computing systems and the construction of a mathematical model of the developed system. The study analyzes modern methods for analyzing user behavior in the information system. The main attention is paid to the fact that the existing methods of protecting information systems have a number of shortcomings, which can be corrected when using the developed method, while the method provides protection from both internal and external violators. To develop a monitoring system for abnormal user behavior in distributed information computing systems, it is necessary to solve a number of problems: to analyze methods for monitoring user behavior in the information system; build an objective function and select criteria for assessing the quality of methods for analyzing anomalous user behavior in a distributed information computing system. The study used the methods of information security theory, automata theory, pattern recognition theory and the theory of computing systems design.

Full Text

Введение В современном мире проблеме защиты инфор- мации уделяется особое внимание, информация имеет достаточно высокую цену, порой превы- шающую материальные объекты. Чтобы защи- тить информацию, государственные и коммерче- ские организации внедряют большое количество средств защиты информации: антивирусы, меж- сетевые экраны, системы обнаружения вторже- ний, средства разграничения доступа. Однако статистические данные показывают ежегодное увеличение атак на распределенные информаци- онно-вычислительные системы. Подобные проблемы с безопасностью свя- заны с тем, что в большинстве случаев данные подходы защиты недостаточно эффективны и не позволяют достичь требуемого уровня защиты системы. Поэтому возникает задача разработки метода, позволяющего повысить достоверность распознавания (идентификации) нарушителя. На сегодняшний день одним из подобных ме- тодов является метод анализа поведения поль- зователя. Данный метод частично реализован в системах противодействия утечек информации (DLP) и системах обнаружения вторжений (IDS). Анализ поведения пользователя в системе сво- дится к анализу их поступков для защиты в пер- вом случае от внутренних, во втором - внешних угроз, что в полной мере нельзя назвать анализом поведения пользователя. Акцент необходимо сде- лать на понимании понятия поведения - осознан- ной, взаимосвязанной последовательности дей- ствий пользователя. Следовательно, разработанный метод должен позволять комплексно контролировать поведение пользователя и выявлять в нем аномалии с целью повышения достоверности идентификации нару- шителя как внутреннего, так и внешнего. За основу была взята автоматная модель Гоге- на-Мезигера, где каждый поступок пользователя представляется в виде состояния автомата, при этом система при каждом действии может пере- ходить из одного разрешенного состояния толь- ко в несколько других, но в отличие от базовой модели в разрабатываемой проверяется коррект- ность перехода не только по данным из текущего состояния, но и из всей предыстории действий пользователя [19]. Достоинствами данного подхода являются: возможность определения несанкциониро- ванного доступа (НСД) на ранней стадии реали- зации угрозы; возможность обнаружения атак со стороны внешних и внутренних нарушителей; возможность определения ранее неизвест- ных угроз; выявление аномалий в поведении пользова- теля и их пресечение; незначительное потребление ресурсов си- стемы при мониторинге поведения; скрытность работы: пользователь не замеча- ет анализа и фиксации своих действий в системе; удобство использования: система не загру- жает пользователей системы какими-либо допол- нительными действиями. Следует отметить, что данный класс методов по борьбе с НСД является новым, и в данный мо- мент на российском рынке программного обеспе- чения (ПО) системы защиты информации (СЗИ) практически нет систем, осуществляющих ана- лиз поведения пользователя в распределенных информационно-вычислительных системах. Для защиты автоматизированных систем (АС) от НСД применяют различные системы аппарат- ных и программных средств защиты от внеш- них и внутренних нарушителей. По статистике за 2019 год [1-4], НСД является одной из самых распространённых угроз информационной бе- зопасности (ИБ), при этом соотношение внешних и внутренних угроз составляет 45 и 55 % [5-9], что показывает большую опасность со сторо- ны внутренних нарушителей, около трети всех угроз НСД были успешно реализованы [10; 11]. На основании этого следует, что существующие средства и методы защиты от НСД недостаточно эффективны. Обзор патентов и научных работ показал, что для распознавания аномального поведения поль- зователя развиваются такие средства и методы, как: DLP-системы [16-18], средства анализа по- ведения пользователя на сайте, система адаптив- ного управления и контроля создания сигнатур вирусов на основе поведения пользователей [20], IDS/IPS-системы [21], нейронная система обна- ружения аномального поведения вычислитель- ных процессов микроядерных операционных систем [23], система обнаружения аномального поведения абонентов телефонной сети [24]. В та- блице 1 указаны основные методы и угрозы рас- сматриваемы в DLP-системах. Из таблицы 1 видно, что в DLP-системах ис- пользуется три основных метода детектирова- ния: «Лингвистический анализ», «Цифровой от- печаток» и «Контроль по шаблонам». Таблица 1. Основные методы и угрозы в DLP-системах Методы защиты DLP/ Угрозы на DLP Лингвистиче- ский анализ Статистические технологии (цифровой отпечаток) Контроль по шаблонам Отправка конфиденциальных документов по сети на печать или на съемное устройство в первоначальном виде + + - Отправка конфиденциальных документов с удалением «стоп-слов» - + - Стеганография - - - Физическое воздействие - - - Изменение кодировки - -/+ + Уход за стандартную область документа -/+ - - Формальное изменение текста - - + Использование другого языка - + - Изменение формата передаваемой информации - -/+ + Рисунок 1. Экранная форма DLP-системы [16] Как показывает статистика утечек информа- ции, злоумышленники знают о подобных недо- статках DLP-систем и часто их используют. Так практически во всех подобных системах не ре- шены или плохо реализованы меры по защите от следующих угроз: стеганография (возможность видоизменения файла, его формата, формы, раз- мера содержания - осуществить передачу конфи- денциальной информации путем сокрытия самого факта передачи конфиденциальной информации), физическое воздействие (фотографирование, ксерокопирование, запоминание, переписыва- ние конфиденциальной информации). С учетом определенных угроз построена таблица сравни- тельных характеристик методов обнаружения утечек. Особую сложность для DLP-систем представ- ляют угроза использования злоумышленником стеганографии для сокрытия информации. Од- ним из перспективных методов для обнаружения утечки информации, скрытой методами стегано- графии, является подход на основе аномальной активности пользователя. Современные DLP-системы являются эффек- тивными для обнаружения непреднамеренных утечек данных или действий злоумышленников, которые не имеют достаточной квалификации и принципов работы средств информационной за- щиты. Для повышения эффективности систем предотвращения утечек необходимо разработать модели и средства защиты на основе идентифика- ции аномального поведения сотрудников. На ри- сунке 1 показан пример работы с DLP-системой. Средства анализа поведения пользователя на сайте применяются для увеличения числа зака- зов, покупок и других желаемых от посетителей действий, при этом анализируют, на каких стра- ницах они задерживаются, каким маршрутом они перемещаются по страницам сайта, почему мо- гут не доходить до целевых страниц (например, Рисунок 2. Экранная форма средства «Яндекс.Метрика» для анализ поведения пользователя на сайте [18] до страницы заказа товара), какие страницы за- трудняют поиск информации на сайте, какие страницы привлекают больше всего внима- ния. В качестве инструментов для анализа по- ведения пользователей могут использоваться: LiveInternet, Яндекс.Метрика, Google Analytics и внутренние сервисы анализа статистики. Анализ заключается в выявлении характерных особенностей поведения посетителей. Если это был успешный посетитель, который совершил заказ, то нужно проанализировать, что он увидел на сайте, на что обратил внимание, когда купил. На этом и строится управление поведением и от- слеживание результата. На рисунке 2 представ- лен пример работы со средством «Яндекс.Метри- ка» для анализа поведения пользователя на сайте. Патент на систему адаптивного управления и контроля создания сигнатур вирусов на основе поведения пользователей включает в себя этап отслеживания произошедших событий в опера- ционной системе, инициированных действиями пользователя на персональном компьютере. Со- гласно способу, формируют контекст, содержа- щий действия, совершенные пользователем, и события, инициированные совершенными дей- ствиями, а также осуществляют анализ сформи- рованного контекста с помощью правил регулирования. Кроме того, выявляют действие, совершенное пользователем на основе указанного анализа, при этом выявленное действие является запрещенным действием для пользователя, но при этом данное действие не было заблокировано. Такое действие необходимо отнести к запрещенным и создать соответствующую сигнатуру. IDS-системы - это аппаратно-программные средства, предназначенные для выявления фак- тов неавторизованного доступа в компьютерную систему или сеть [21]. Системы обнаружения вторжений (СОВ, IDS) и межсетевой экран относятся к средствам обе- спечения информационной безопасности, меж- сетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие вну- три сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаруже- нии подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и ана- лиза сигнатур известных компьютерных атак. На рисунке 3 показан пример работы с СОВ «Prelude IDS». Детекторы аномалий определяют ненормаль- ное (необычное) поведение на хосте или в сети. Они предполагают, что атаки отличаются от «нормальной» (законной) деятельности и могут, следовательно, быть определены системой, кото- рая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие со- бой нормальное поведение пользователей, хостов Рисунок 3. Экранная форма IDS-системы [21] или сетевых соединений. Эти профили создают- ся, исходя из данных истории, собранных в пери- од нормального функционирования. Затем детек- торы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нор- мальной. Системы IPS можно рассматривать как рас- ширение IDS, так как задача отслеживания атак остается одинаковой. Однако они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры - блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами. Некоторые коммерческие IDS включают огра- ниченные формы определения аномалий, мало кто полагается исключительно на данную тех- нологию. Определение аномалий, которое суще- ствует в коммерческих системах, обычно исполь- зуется для определения зондирования сети или сканирования портов. Тем не менее определение аномалий остается предметом исследований в области активного определения проникновений и, скорее всего, будет играть возрастающую роль в IDS следующих поколений. Системы обнаружения аномального поведе- ния основаны на том, что им известны некоторые признаки, характеризующие правильное или до- пустимое поведение объекта наблюдения. Наибо- лее распространенной реализацией технологии обнаружения злоумышленного поведения явля- ются экспертные системы. Нейронная система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем В нашем исследовании будет использована модель вычислительного процесса в микроядер- ной операционной системе, основанная на со- бранной статистической информации о штатном поведении вычислительных процессов, отличаю- щаяся тем, что она может быть использована для решения задачи распознавания аномального по- ведения вычислительных процессов и выявления новых типов атак с неизвестными сигнатурами [23]. Метод заключается в построении шаблона поведения пользователя на основе нескольких Таблица 2. Сравнение средств и методов анализа поведения пользователя Средство или метод / Функция защиты DDLP IIDS/ IPS Нейронная система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем Метод анализа аномального поведения пользователя на основе автоматной модели Защита от внутренних угроз (инсайдеров) + - + + Защита от негативных действий в сети - + - + Защита от случайных/ непреднамеренных действий - - - + Защита от ранее неизвестных угроз - - + + недель наблюдения абонентов в телефонной сети, и впоследствии обнаружения звонков, ко- торые выходят за рамки текущего шаблона [24]. Учитывая случайную природу совершения телефонного звонка по отношению к оператору, для анализа поведения можно исходить из пред- положения, что число звонков за определенный промежуток времени будет распределено по рас- пределению Пуассона. Все перечисленные работы анализируют по- ведение пользователя в определенной среде и имеют ряд ограничений, в то время как предлага- емый метод универсален: применяется для защиты как от внешних, так и от внутренних нарушителей; для принятия решения о разрешении или за- прещении последующих действий пользователя анализируются все предыдущие действия (со- стояния) пользователя, если для анализа недо- статочно данных, то пользователю необходимо выполнить ряд дополнительных действий либо методы, являясь при этом универсальным сред- ством для детектирования действий пользователя и предотвращения НСД с его стороны, а также при использовании в комплексе ведет к повыше- нию достоверности распознавания нарушителя компьютерной системы, при этом не загружая систему трудоемкими вычислениями. Следует отме- тить, что существующие на российском рынке DLP- системы плохо адаптированы под русский язык. Выбор оптимального решения или сравнение двух альтернативных решений проводится с по- мощью некоторой зависимой величины (функ- ции), определяемой проектными параметрами. Основной целью разработки метода явля- ется повышение достоверности распознавания (идентификации) нарушителя на основе анализа аномального поведения пользователя. Следует отметить, что достоверность распознавания ха- рактеризуется наличием и количеством ошибок первого и второго рода. Пусть дана выборка X = (X , …, X )T из неиз- 1 n повторить предыдущие; обучаем: в процессе работы создаются базы вестного совместного распределения PX и по- ставлена бинарная задача проверки статистичесигнатур разрешенных и запрещенных состояских гипотез: Н0 и Н1, где Н0 - нулевая гипотеза; ний; - обеспечивает скрытность работы: пользова- тель не замечает анализа и фиксации своих дей- Н1 - альтернативная гипотеза. Предположим, что статистический критерий задан формулой n ствий в системе; F : R  H0 , H1, удобен в использовании: не накладывает на пользователя выполнение дополнительных, дли- тельных операций; отличается незначительным потреблением ресурсов системы при мониторинге поведения пользователя. Сравнительная характеристика существую- щих методов анализа поведения пользователя с разрабатываемыми представлена в таблице 2. Как видно из таблицы 2, предлагаемый ме- тод анализа аномального поведения пользовате- ля превосходит по функционалу существующие где каждой реализации выборки Х = х сопоставляется одна из имеющихся гипотез, и возможны следующие четыре ситуации. Распределение РХ выборки Х соответствует гипотезе Н0, и она точно определена статистиче- ским критерием, то есть f(x) = Н0. Распределение РХ выборки Х соответствует гипотезе Н0, но она неверно отвергнута статисти- ческим критерием, то есть f(x) = Н1. Распределение РХ выборки Х соответствует гипотезе Н1, и она точно определена статистиче- ским критерием, то есть f(x) = Н1. Таблица 3. Выявление ошибок первого и второго рода Верная гипотеза / результат применения критерия Н0 Н1 Н0 Н0 (верно принята) Н0 (ошибка второго рода) Н1 Н0 (ошибка первого рода) Н0 (верно отвергнута) Распределение РХ выборки Х соответствует гипотезе Н1, но она неверно отвергнута статисти- ческим критерием, то есть f(x) = Н0. Во втором и четвертом случае говорят, что произошла статистическая ошибка, и её назы- вают ошибкой первого и второго рода соответ- ственно. В таблице 3 представлено соотношение гипо- тез и результата применения критерия, так при пересечении Н0 - Н0 будет верно принято дей- ствий, Н1 - Н1 будет верно отвергнуто действие пользователя, в остальных случаях Н0 - Н1 и Н1 - Н0 будет принято неверное решение, которое приведет к появлению ошибок первого и второго рода. Целевая функция отражает зависимость от по- вышения достоверности распознавания наруши- теля с вероятностью реализации и количеством ошибок первого и второго рода. Таким образом, целевая функция задачи повы- шения эффективности идентификации запрещен- ных действий пользователя определяется мини- мизацией ошибок первого и второго рода при Z ≤ Zдоп и имеет следующий вид: EC  eA 1 -  - zA PA   eB 1 -  - zB PB  max, где eA и eB - экономия и возможный денежный до- ход от верного распознавания действий пользова- теля; zA и zB - затраты от неверного распознавания действий пользователя;  и  - соответственно, ошибки первого и второго рода при определе- нии правомочности действий пользователя; PA и PB - априорные вероятности событий, соответ- ствующих подаче команд пользователем для вы- полнения операций до контроля, соответственно, санкционированных и несанкционированных; Z и Zдоп - соответственно, реальные и допустимые затраты на создание системы контроля. Из приведенного выражения видно, что чем меньше ошибки первого и второго рода, тем выше значение целевой функции. Мониторинг значений (состояний) функции перехода δ(s, х), соответствующей конкретному пользователю, позволяет вести контроль санкционированных операций в компьютерной системе. Необходимо минимизировать число аномальных действий пользователя, реализация которых приведёт к появлению ошибок первого и второго рода. Технология обнаружения атак путем иденти- фикации аномального поведения пользователя основана на следующей гипотезе: аномальное поведение пользователя (атака или какое-нибудь враждебное действие) часто проявляется как от- клонение от нормального поведения. События (поступки) при попытке вторжения отличаются от событий нормальной деятельности и исполь- зуют различные сигнатуры для определения от- клонения от нормального состояния. Если можно было бы однозначно описать профиль нормального поведения пользователя, а именно однозначно определить критерии для оценки аномальности поведения, то любое от- клонение от них можно идентифицировать как аномальное поведение. Однако аномальное по- ведение не всегда является атакой, например, одновременную посылку большого числа за- просов от администратора сети система защиты может идентифицировать как атаку типа «отказ в обслуживании». Преобладание фото- и видео- материалов в трафике, большой объем передавае- мой информации, использование ПК в нерабочее время также могут быть примером аномального поведения. При настройке и эксплуатации систем обнару- жения аномального поведения пользователя име- ется ряд сложностей: построение профиля нормального поведения пользователя является трудно формализуемой и трудоемкой задачей, требующей от администра- тора большой предварительной работы; определение граничных значений характе- ристик поведения пользователя для снижения ве- роятности появления ошибок первого и второго рода. Для составления профиля нормального пове- дения пользователя может использоваться следу- ющая информация: обычное число входов в данное время в те- чение дня, предполагаемое самое раннее время входа, предполагаемая максимальная длитель- ность входа; предполагаемый тип использования ресурсов, который должна поддерживать данная вы- числительная система; число IP-адресов, с которыми были взаи- модействия, объемы переданного/полученного трафика (пакетов), число клиентских (сервер- ных) портов TCP/UDP, на которых были взаимо- действия, количество сессий, число уникальных значений типов и кодов ICMP, количество появ- лявшихся уникальных битов в поле флагов TCP- заголовка и др.; попытка запустить или установить про- граммное обеспечение, которое относится к кате- гории системных программ; попытка изменения процесса загрузки ОС или внесение изменений в BIOS; создание новых разделов на диске; установка драйвера; попытка добавить нового пользователя в си- стеме или изменить уже имеющийся; попытка загрузки операционной системы в безопасном режиме; действия, направленные на заполнения ан- кет, регистрацию на неизвестном сайте с вводом личных/конфиденциальных данных; работа в Internet через прокси-серверы или использование ПО для обеспечения анонимности; частота чтения и записи некоторых файлов, число отказов на запросы чтения или записи не- которых файлов и другие параметры доступа к файлам. Технология обнаружения аномалий ориенти- рована на выявление новых типов атак, однако ее недостатком является необходимость постоянно- го обучения. На данный момент нет систем, автоматиче- ски анализирующих все действия пользователя при работе с распределенной информационно- вычислительной системой. Такая возможность частично реализована в системах обнаружения атак и системах противодействия утечки конфи- денциальной информации, но и там аспект ана- лиза поведения пользователя достаточно узок и нет полноценного анализа поведения пользовате- ля, - рассматривается лишь определенный пере- чень поступков пользователя в информационной системе. Заключение Предложенный подход к разработке системы мониторинга аномального поведения пользова- теля в распределенных информационно-вычис- лительных системах призван повысить их защи- щенность, - в банковской системе, например, за счет повышения достоверности распознавания несанкционированных транзакций клиентов и сотрудников. Подход применим для защиты меж- банковских переводов, переводов пользователя при онлайн-банкинге с домашнего компьютера или смартфона и работе с банкоматом в обще- ственном месте.
×

About the authors

E. I Ryapolova

Orenburg Branch of the Volga State University of Telecommunications and Informatics

Email: ananeva_ei@mail.ru
Orenburg, Russian Federation

A. A Presnov

Orenburg Branch of the Volga State University of Telecommunications and Informatics

Email: presnov.aleksey@mail.ru
Orenburg, Russian Federation

K. E Tsvetkova

Orenburg Branch of the Volga State University of Telecommunications and Informatics

Email: ke-tsvetkova@mail.ru
Orenburg, Russian Federation

References

  1. Развитие информационных угроз в первом квартале 2019 года // Все об интернет-безопасности. URL: http://securelist.ru/analysis/malware-quarterly/19176/razvitie-informacionnyx-ugroz-v-pervom-kvartale-2019-goda (дата обращения: 20.12.2020)
  2. Анализ угроз информационной безопасности // Портал об интернет-безопасности. URL: https://www.anti-malware.ru/analytics/Threats_Analysis (дата обращения: 20.12.2020)
  3. Kaspersky Security Bulletin 2019. Эволюция угроз информационной безопасности в бизнес-среде // Все об интернет-безопасности. URL: https://securelist.ru/analysis/ksb/27519/kaspersky-security-bulletin-2015-evolyuciya-ugroz-informacionnojbezopasnosti-v-biznes-srede (дата обращения: 20.12.2020)
  4. Развитие информационных угроз во втором квартале 2019 года. Статистика // Все об интернет-безопасности. URL: https://securelist.ru/analysis/malware-quarterly/29062/it-threat-evolution-in-q2-2016-statistics (дата обращения: 20.12.2020)
  5. Статистика реальных инцидентов ИБ в индустриальных системах // Все об интернет-безопасности. URL: http://www.securitylab.ru/blog/personal/Business_without_danger/38672.php (дата обращения: 20.12.2020)
  6. Средства защиты от внутренних угроз // Информационная безопасность. URL: http://www.itsec.ru/articles2/techobzor/sredstva-zaschity-ot-vnytrennih-ugroz (дата обращения: 20.12.2020)
  7. Угрозы информационной безопасности: обзор и оценка. Комплексная защита информации на предприятии // Проактивная защита компьютера от вредоносных программ. URL: http://rus.safensoft.com/security.phtml?c=791 (дата обращения: 20.12.2020)
  8. Источники угроз информационной безопасности России // Международные отношения. URL: http://textbooks.studio/uchebnik-mejdunarod-nie-otnosheniya/istochniki-ugroz-informatsion-noy-bezopasnosti.html (дата обращения: 20.12.2020)
  9. Внутренние и внешние угрозы информационной безопасности // Защита информации. URL: http://www.shpionam.net/vnutrennie-i-vneshnie-ugrozi-infbezopas-nosti.htm (дата обращения: 20.12.2020)
  10. Угрозы информационной безопасности // Информационная безопасность. URL: http://www.kirillykk.narod.ru/ugroz.html (дата обращения: 20.12.2020)
  11. Угрозы ИБ // Угрозы информационной безопасности. URL: https://ru.wikipedia.org/wiki/Угрозы_Информационной_безопасности (дата обращения: 20.12.2020)
  12. Миронова В.Г. Модель нарушителя безопасности конфиденциальной информации // Информатика и системы управления. 2012. № 1 (31). С. 28-35
  13. Несанкционированный доступ к источникам конфиденциальной информации // Техника для спецслужб. URL: http://www.bnti.ru/showart.asp?aid=726&lvl=04 (дата обращения: 20.12.2020)
  14. Защита рабочих станций от несанкционированного доступа при помощи Secret Disk Enterprise // Компания «Аладдин РД». URL: https://www.aladdin-rd.ru/company/pressroom/articles/44855 (дата обращения: 20.12.2020)
  15. Компьютерная безопасность. Требования к функциональной безопасности системных средств и средств защиты информации // Информационные технологии в бизнесе. URL: http://www.npp-itb.spb.ru/publications/1.html (дата обращения: 20.12.2020)
  16. Сравнение DLP-систем 2019 // Открытые системы. URL: http://www.osp.ru/win2000/2008/02/4871088 (дата обращения: 20.12.2020)
  17. Расширенный анализ рынка DLP-систем в России 2014-2019 // Информационная безопасность. URL: https://www.antimalware.ru/analytics/Market_Analysis/extended_analysis_russian_dlp_market (дата обращения: 20.12.2020)
  18. Сравнение DLP-систем // Открытые системы. URL: https://www.osp.ru/winitpro/2014/01/13039197 (дата обращения: 20.12.2020)
  19. Модель Гогена - Мезигера // Модели защиты. URL: http://256bit.ru/besopas/indefik119.html (дата обращения: 20.12.2020)
  20. Система адаптивного управления и контроля создания сигнатур вирусов на основе поведения пользователей // Информационный справочник. URL: http://www.findpatent.ru/patent/253/2534935.html (дата обращения: 20.12.2020)
  21. IDS/IPS-системы обнаружения и предотвращения вторжений и хакерских атак//Информация и безопасность. URL: http://www.altell.ru/solutions/by_technologies/ids (дата обращения: 20.12.2020)
  22. Системы обнаружения и предотвращения вторжений // Сетевые технологии. URL: http://netconfig.ru/server/ids-ips (дата обращения: 20.12.2020)
  23. Нейронная система обнаружения аномального поведения вычислительных процессов микроядерных операционных систем // Сетевые технологии. URL: http://tekhnosfera.com/neyrosetevaya-sistema-obnaruzheniya-anomalnogo-povedeniya-vychislitelnyh-protsessov-mikroyadernyh-operatsionnyh-sistem (дата обращения: 20.12.2020)
  24. Система обнаружения аномального поведения абонентов телефонной сети // Системы обнаружения аномалий. URL: http://www.academia.edu/8525607 (дата обращения: 20.12.2020)

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2021 Ryapolova E.I., Presnov A.A., Tsvetkova K.E.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies