Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей

МЕТОДЫ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В ЗАДАЧАХ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ В.Ю. Колеватов, Е.В. Котельников Вятский государственный университет 610000, г. Киров, ул. Московская, д. 36

Аннотация. В статье приведен обзор методов искусственного интеллекта, используемых в области сетевой безопасности, в том числе многоагентные системы, продукционные правила, теорема Байеса, нейронные сети и метод опорных векторов.

1

1. Введение В настоящее время компьютерные сети представляют

собой большие

распределенные системы программ и устройств, взаимодействующие между собой с целью обмена, хранения и обработки информации. Компьютерная сеть – прекрасная возможность для развития бизнеса компании. Многие уже открыли свои сайтыпредставительства в Internet и практически все работники офисов используют преимущества совместной работы. Сети объединяют разные типы устройств, соединенных различными каналами связи. Усложнение структуры сетей, повышение нагрузки на них, регулярное появление новых методов нарушения работы, способы ограничения доступа к данным законных владельцев и целостности информации, превращение сферы создания нежелательного1 программного обеспечения (ПО) из любительского занятия в прибыльный бизнес определяют необходимость серьезного отношения к вопросам сетевой безопасности. В целях обеспечения защищенности компьютерных сетей были созданы системы, которые классифицируют сетевую активность различных программ. В случае совпадения с ситуацией, определенной экспертом, такие системы предлагают пользователю

прекратить

действия

возможно

вредоносного

ПО

и

откатить

произведенные им изменения. Однако большинство современных систем сетевой безопасности не имеют возможности самообучения и оперируют только заложенными в них вручную правилами. Частое появление нежелательного ПО, использующего новые уязвимости, повысило требования к системам сетевой безопасности. Применение методов искусственного интеллекта (ИИ) позволяет ввести в системы защиты свойство самообучения и обеспечивает обнаружение угроз «на лету». В данной статье приводится обзор методов ИИ, используемых для защиты компьютерных сетей. Второй раздел статьи посвящен многоагентным системам – приводятся общие сведения о многоагентном подходе, рассматриваются системы защиты и анализа

Нежелательным программным обеспечением (malicious software) будем считать совокупность вредоносного, шпионского, рекламного ПО, спама, и других нежелательных для пользователя событий. 1

2

защищенности сетей, основанные на агентах. В третьем разделе описываются продукционные системы. В четвертом разделе рассматриваются теорема Байеса и системы борьбы со спамом на еѐ основе. Пятый раздел посвящен примерам применения нейронных сетей в области сетевой безопасности. В шестом разделе выполнен обзор относительно новой технологии ИИ – метода опорных векторов, пока ещѐ мало применяемой для защиты сетей, но имеющей большие перспективы в этой сфере.

3

2. Многоагентные системы 2.1. Общие сведения Долгое

время

ведутся

разработки

персональных

средств

защиты,

предназначенных для одной единицы оборудования. Так как защита сети – задача комплексная, то помимо средств персональной защиты (антивирусы, сетевые экраны и т. д.) ведутся разработки многоагентных систем. Каждый агент отвечает за определенную часть задания и общее решение возникает в результате их скоординированных

действий.

Агенты

могут

иметь

реализованные

элементы

интеллекта, а могут и не иметь таковых. В процессе работы агенты обмениваются сообщениями по специальным протоколам. Обычно существует агент, который управляет действиями других. Перечислим особенности многоагентных систем, которые позволяют эффективно их использовать в системах сетевой безопасности. 1. Гибкость. Агенты могут создавать себе подобных и размещать их на новых узлах сети, поэтому многоагентные системы легко адаптируются к любой сетевой архитектуре и

адекватно отвечают

на изменения в конфигурации

сетевого

оборудования. 2. Экономичность. Система равномерно распределена по всему периметру защиты. Эта особенность обеспечивает оптимальное распределение вычислительных ресурсов сети. 3. Повышенная отказоустойчивость. Так как агенты могут существовать самостоятельно, и они распределены на всех узлах сети, то есть система защиты не имеет центра, то атаковать ее будет сложнее, нежели сеть с централизованным сервером защиты. Распределенная по сети информация и распределенная защита требуют от злоумышленника проводить атаку многих узлов одновременно. 4. Возможность централизованного администрирования. Внесение изменений в

работу

агентов

могут

производиться

централизованно

и

по

протоколам

взаимодействия агентов передаваться на все точки обеспечения безопасности. Многоагентный подход подробно рассмотрен в [1, 2].

4

2.2. Системы защиты сети В [3, 4] рассмотрены многоагентные системы защиты сети от внешних угроз. Особенности подхода, описанного в этих статьях, обеспечивают защиту от сложных угроз и позволяют наглядно представить текущее состояние всех агентов и сети в целом. Агенты разделены по роду деятельности и объединены в команды. Например, в [4] выделены следующие классы агентов команд защиты: обработки информации (сэмплеры), обнаружения атаки (детекторы), фильтрации (фильтры), агенты расследования. Сэмплеры осуществляют сбор данных для последующего обнаружения сетевых аномалий или злоупотреблений детектором. Фильтры ответственны за фильтрацию трафика по правилам, представленным детектором. Агент расследования пытается обезвредить агентов атаки. Команда агентов защиты совместно реализует механизм защиты и может взаимодействовать по различным схемам. В одной из схем при обнаружении начала атаки действует детектор той команды, на чью сеть направлена атака. Он посылает запрос агентам-сэмплерам других команд с целью получения информации, которая может быть релевантной указанной атаке. Сэмплеры других команд отвечают на запрос, посылая необходимые данные. Эта информация существенно повышает шансы на обнаружение атаки. В случае обнаружения вероятного источника атаки детектор сети-жертвы посылает информацию об адресе агента атаки детектору команды, в сети которой может находиться этот агент, с целью его деактивации. Таким образом, использование многоагентного подхода и интеллектуальных алгоритмов обработки данных при разработке систем обеспечения безопасности компьютерных сетей значительно повышает их качественные характеристики. 2.3. Системы анализа защищенности Необходимым элементом системы безопасности компьютерной сети является регулярный анализ еѐ защищенности. В зависимости от требуемого качества проводимой проверки можно проводить сканирование либо зондирование системы [5, 6].

5

Сканирование – метод пассивного анализа, позволяющий определить наличие уязвимостей, не предпринимая атакующих действий. Сначала происходит сбор информации о текущем состоянии системы безопасности – открытых портах и связанных с ними блоков данных (заголовков, баннеров), которые содержат типовые отклики сетевых сервисов. Затем осуществляется поиск совпадения собранной информации с известными уязвимостями, хранящимися в базе данных. На основе проведенного поиска делается вывод о наличии или отсутствии уязвимости. Развитием методов сканирования стало использование знаний о физической топологии устройств сети. Система сканирования в процессе сбора информации не только получает данные об уязвимостях конкретных узлов сети, но и строит граф сети. Результатом дальнейшей работы системы является граф атаки, моделирующий компьютерную сеть; на его основе можно сделать выводы о возможностях проведения не только атак на конкретные узлы сети, но и многошаговых сложных атак. Для анализа графа атак используются интеллектуальные средства, например, экспертные системы [7]. Зондирование – метод активного анализа, при котором осуществляется имитация атаки на анализируемую систему. Зондирование часто происходит после сканирования и может использовать построенный при сканировании граф атак. Данный метод является более сложным в реализации и работает медленнее, чем сканирование, однако позволяет получить самые точные результаты. Кроме того, при зондировании возможно найти подверженности атакам, которые не могут быть обнаружены пассивными методами. Примером такой атаки является DDoS (Distributed Denial of Service – распределенный отказ в обслуживании) – атака с большого количества различных узлов, находящихся в разных подсетях, и централизованно управляемых злоумышленником. Системы зондирования, так же как и системы защиты, могут быть основаны на многоагентном

подходе.

Такой

подход

позволяет

производить

имитационное

моделирование противостояния системы защиты и системы моделирования атаки на уровне пакетов. Имитационное моделирование имеет следующие преимущества: - экономия расходов на тестирование, поскольку не требуется использование реальных сетей;

6

- при появлении новых видов распределенных атак достаточно изменить сценарий работы агента, который координирует атаку, для тестирования системы в новых условиях. Системы анализа защищенности рассматриваются в [6, 8–11]. Системы моделирования атаки с использованием многоагентного подхода описаны в [12–15].

7

3. Продукционные системы Продукционными называют системы, основанные на правилах вида ЕСЛИ <условие> ТО <действие>. Такие правила именуются продукциями. Левая часть продукции, <условие>, описывает предпосылки применения правила и может включать несколько простых условий, объединенных логическими операциями И, ИЛИ, НЕ. Часто продукции являются эвристиками, т. е. правилами, не требующими исчерпывающей исходной информации, и не гарантирующими стопроцентную правильность результата. Эвристики в виде продукций обычно вырабатываются экспертами на основе многолетнего опыта, поэтому такого рода системы называются экспертными2. Любая продукционная система должна содержать три основных компонента [1, 16, 17]: –

базу знаний;

–

рабочую память;

–

механизм вывода.

Структура продукционной системы представлена на рис. 1.

Механизм вывода

База знаний

Рабочая память

Рис. 1. Структура продукционной системы База знаний содержит продукции, описывающие предметную область. В рабочей памяти хранится множество фактов, соответствующих текущей ситуации. Содержимое

2

Ещѐ одно название – системы, основанные на знаниях (knowledge-based system).

8

рабочей памяти может изменяться, т. е. увеличиваться (это происходит чаще) или уменьшаться по мере применения правил. Механизм вывода служит для реализации логического вывода путем просмотра правил и фактов, нахождения соответствия между ними и изменения рабочей памяти. В случае если левая часть продукции оказывается истинной, происходит срабатывание продукции и возникает событие одного из двух типов: 1) получение нового знания – в рабочую память добавляется факт из правой части продукции; 2) выполнение некоторого действия по изменению конфигурации компьютерной сети. В области сетевой безопасности продукционные системы стали использоваться для обнаружения известных уязвимостей в проверяемой системе по формальным признакам, выявленным экспертами. Производители экспертных систем по сетевой безопасности формируют и поддерживают базу данных эвристик в Интернете для поддержания системы в актуальном состоянии. Например, в бесплатной утилите AVZ [18] реализована функция эвристической проверки системы, которая позволяет проводить поиск известных Spyware3 и вирусов по косвенным признакам – на основании анализа реестра, файлов на диске и в памяти. Регулярно выходят обновления программы, в которых содержится обновленный набор эвристик. Приведем пример продукционного правила: ЕСЛИ процесс использует библиотеки для работы с сетью И количество обнаруженных сигнатур, типичных для отправки почты > X ТО записать в рабочую память факт “программа работает с электронной почтой”

Spyware – шпионское программное обеспечение, предназначенное для слежения за действиями пользователя на его компьютере. 3

9

В данном случае выполнение составного условия приводит к занесению в рабочую память нового факта, который может быть использован другими правилами. К преимуществам продукционного подхода можно отнести устойчивость таких систем и точность обнаружения известных типов угроз сетевой безопасности. К недостаткам относят поражение сети атаками zero-day (атака через уже обнаруженные, но еще не закрытые бреши в программных продуктах). Кроме того, в связи с частым появлением новых угроз эксперты должны ежедневно работать над качественным пополнением базы знаний. Поскольку в области сетевой безопасности продукционные системы применяются для обнаружения известных угроз, количество которых возрастает с каждым днем, то подход становится все менее эффективным, ввиду необходимости регулярной передачи набора новых правил.

10

4. Теорема Байеса Другим подходом к обработке не полностью определенной информации является вероятностное моделирование предметной области. В этой сфере широкое распространение получили системы, основанные на теореме Байеса (Bayes' Theorem). Теорема выражается формулой Байеса:

PH | Х  

P Х | H PH  , P Х 

где P(H | Х) – вероятность гипотезы H при наступлении причины Х; P(Х | H) – вероятность присутствия причины Х при истинности гипотезы H; P(H) – априорная вероятность гипотезы H; P(Х) – вероятность наступления причины Х. Эта

простая

формула

лежит

в

основе

многих

современных

систем

искусственного интеллекта, предназначенных для работы в условиях неопределенности [1, 2]. Такие системы дают вероятностную оценку, поэтому обычно не заменяют эксперта, а оказывают ему поддержку в принятии решения. На практике, когда имеется n гипотез, используется формула Байеса в общей форме:

PH i | Х  

P Х | H i PH i  n

 P Х | H k PH k 

,

k 1

где P(Hi | Х) – вероятность истинности гипотезы Hi при заданной причине Х; P(Hi) – априорная вероятность гипотезы Hi; P(Х | Hi) – вероятность присутствия причины Х, если истинна гипотеза Hi; n – число возможных гипотез. Если причину можно представить в виде вектора: X = (X1, X2, …, Xm), каждый компонент которого имеет условную вероятность относительно гипотезы Hi P(Xj | Hi), то для вычисления условных вероятностей P(Х | Hi) используется «наивное»4 Системы классификации, построенные на таком предположении, называются наивными байесовскими классификаторами (Naive Bayes Classifiers). 4

11

предположение об условной независимости компонентов вектора Х. В этом случае условная вероятность вычисляется по формуле [19]:

PX | H i    PX j | H i  . m

(1)

j 1

Рассмотрим пример спам-фильтра5 на основе теоремы Байеса [20]. При обучении фильтра массив электронных писем делится на два класса: спам и полезная корреспонденция. Для каждого слова вычисляется частота его встречаемости в обоих классах писем. Обозначим FS(Wi) – количество спам-писем, в которых встретилось слово Wi, а FNS(Wi) – количество полезных писем, в которых встретилось слово Wi. В задаче присутствуют две гипотезы: HS – письмо является спамом, HNS – полезное письмо. Тогда вероятность того, что появление слова Wi в письме означает спам, вычисляется по формуле:

PWi | H S  

FS Wi  , FS Wi   FNS Wi 

а вероятность того, что слово Wi не указывает на спам в письме:

PWi | H NS  

FNS Wi  . FS Wi   FNS Wi 

Вектор W включает все слова нового письма. Тогда для нового письма вероятность того, что оно спам, вычисляется по формуле Байеса следующим образом:

PH S | W  

PW | H S PH S  . PW | H S PH S   PW | H NS PH NS 

Учитывая формулу (1) и считая априорные вероятности обеих гипотез одинаковыми, получаем:

 PW j | H S  m

PH S | W  

j 1

 PW j | H S    PW j | H NS  m

m

j 1

j 1

.

Спам-фильтр – разновидность фильтрации сообщений электронной почты, при которой отсеиваются нежелательные письма, чаще всего рекламного содержания. 5

12

Отнесение письма к спаму или к полезным письмам производится обычно с учетом заданного пользователем порога, значения которого составляют 0,6 ÷ 0,8. После принятия решения по письму в базе данных обновляются вероятности для входящих в него слов. Рассмотренный метод прост в реализации, эффективен (после обучения на достаточно большой выборке писем отсекает до 95–97 % спама), обладает возможностью дообучения. Указанные достоинства объясняют тот факт, что на основе теоремы Байеса построено множество современных спам-фильтров. Для обхода традиционных спам-фильтров спамеры стали вкладывать рекламную информацию в картинку, а текст в письме либо отсутствует, либо не несет смысла. Против этого приходится пользоваться либо средствами распознавания текста (довольно сложная процедура), либо старыми методами фильтрации – «черные списки» и регулярные выражения (так как такие письма часто имеют стереотипную форму). Лаборатория Касперского в своих продуктах реализовала технологию распознавания текста на вложенных картинках и дальнейшую пересылку на спам-фильтр [21]. Развитием вероятностного подхода на основе теоремы Байеса являются байесовские сети (Bayesian networks). Байесовская сеть представляет собой модель, отражающую

вероятностные

и

причинно-следственные

отношения

между

переменными и позволяющую составить наглядное описание полного совместного распределения вероятностей [2]. По структуре сеть является ориентированным графом, в котором каждая вершина имеет некоторые значения вероятностей. Для получения работоспособной байесовской сети ее обучают на наборе данных, подготовленном экспертами. При обучении стараются минимизировать риск возникновения ошибки при работе сети в дальнейшем. Для этого используются специальные алгоритмы, такие как градиентный спуск, алгоритм EM (Expectation – Maximization, ожидание – максимизация) и др. [2, 22].

13

5. Искусственные нейронные сети Искусственная нейронная сеть (НС) является упрощенной моделью мозга и представляет набор нейронов, соединенных между собой определенным образом [2, 23]. Нейронные сети позволяют решать различные практические задачи, связанные, в основном,

с

распознаванием

и

классификацией

образов.

Несомненными

преимуществами НС является то, что они могут автоматически приобретать знания в процессе обучения и обладают способностью к обобщению. Основным

элементом

сети

является

искусственный

нейрон

(рис. 2)

–

математическая модель биологической нервной клетки.

x1 x2

wi1 wi2

x0 wi0 ui

+

f(ui)

yi

win xn Рис. 2. Модель нейрона В этой модели входные сигналы xj (j = 1, 2, …, n) суммируются в i-м нейроне с учетом соответствующих весовых коэффициентов wij. Также входит в сумму x0 – порог (bias, сигнал поляризации), определяющий уменьшение или увеличение входного сигнала на заданную величину. Сумма поступает на вход функционального блока f(ui), выход которого является выходным сигналом нейрона. Таким образом, работу i-го нейрона можно описать следующей функцией:

14

 n  yi  f   wij x j  wi 0 x0  .  j 1  Исходя из вида функции f(ui), называемой функцией активации, различают несколько типов нейронов. Наиболее часто используемый – сигмоидальный нейрон, его функция активации имеет следующий вид:

f (u ) 

1 . 1  e  u

Отдельные нейроны объединяются в сети с разнообразной архитектурой. В настоящее время широко применяются многослойные сети прямого распространения [24]. В этих сетях выходы нейронов одного слоя служат входами для следующего слоя (рис. 3).

x1

x2

xn Входной слой

u1

y1

u2

y2

uk

ym

Скрытый слой

Выходной слой

Рис. 3. Двухслойная нейронная сеть Применение НС для решения любой задачи включает два этапа: этап обучения и этап распознавания. На этапе обучения на вход НС подается обучающая выборка, состоящая из заранее отобранных и подготовленных входных и выходных векторов. В соответствии с выбранным алгоритмом обучения (например, метод обратного распространения ошибки или метод сопряженных градиентов) происходит настройка весовых коэффициентов, в результате которой при подаче на вход НС обучающего

15

вектора на выходе появляется заданный выходной вектор, обозначающий класс входного вектора. На этапе распознавания на НС поступает заранее неизвестный входной вектор. При этом на выходе появляется вектор – результат распознавания, в соответствии с которым входной вектор причисляется к одному из известных классов. Таким образом, в случае использования НС в сфере сетевой безопасности, любое действие пользователя или приложения должно быть представлено в виде вектора признаков, которые подаются на вход НС. В результате прохождения сигналов по сети на выходе получается вектор, определяющий, является ли действие вредоносным. Рассмотрим применение НС на небольшой практической задаче из области информационной безопасности (пример взят из [24]). При помощи НС необходимо детектировать доступ к базе данных со стороны некоего ПО, отличного от автоматизированного рабочего места (АРМ) пользователя, или определить аномалии в работе пользователя. НС имеет четыре входа, на которые подаются: 1. Объем информации (килобайт), загружаемой из базы данных за контрольный период. Полученное значение необходимо нормализовать, поскольку считываемый из базы данных объем заранее не известен и индивидуален для каждой задачи и для каждого пользователя. В качестве нормализации можно применить оценку трафика по десятибалльной шкале (0 – объем равен нулю, 10 – максимальный объем трафика). 2. Количество транзакций в минуту. 3. Количество операций модификации данных в минуту. В этом примере АРМ использует «короткие транзакции», то есть в рамках одной транзакции обычно бывает 1–2 операции модификации данных. 4. Признаки обращения к словарю базы данных. Большинство клиентских АРМ к

словарю

не

обращаются,

что

отличает

их

от

средств

разработки

и

администрирования. Признаки будут дискретными (0 – нет обращений, 1 – есть), и их будет несколько – по одному на каждую из таблиц словаря базы. В данном примере используется двухслойная нейронная сеть прямого распространения, содержащая один скрытый слой из двух нейронов и выходной слой с одним нейроном.

16

Обучение НС можно произвести с помощью существующих пакетов (например, пакет Deductor Lite [25]; MATLAB Neural Network Toolbox [26]) или известных алгоритмов

(например,

метод

«обратного

распространения

ошибки»).

Для

качественного обучения такой сети необходимо около 300 обучающих примеров [24]. Следует отметить, что подготовка обучающей выборки является достаточно сложным этапом. Выход НС может быть интерпретирован как процентное соответствие текущих действий действиям хакера. Таким же способом можно организовать определение различных атак и адаптацию к новым типам угроз. Другим примером использования НС в системах сетевой безопасности является нейроанализатор,

входящий

в

состав

антивирусной

утилиты

AVZ

[18].

Нейроанализатор позволяет исследовать подозрительные файлы и применяется в детекторе клавиатурных шпионов (Keylogger). Использование

нейросетевых

технологий

позволяет

придать

системам

безопасности способность к обучению, обеспечивает высокую точность распознавания. Недостатком

является

сложность

анализа,

вследствие

чего

обученная

НС

представляется пользователю «черным ящиком» с определенным количеством входов и выходов. В

отличие

от

продукционных

систем,

хранение

нейронной

сети

в

вычислительной машине требует гораздо меньше памяти, а определение вредоносных действий – меньше вычислительных ресурсов. Эффект от этих преимуществ усиливается, если учесть, что разработчики стремятся минимизировать размер обновлений для своих систем безопасности.

17

6. Метод опорных векторов Метод опорных векторов (Support vector machines, SVM) был описан в работах В. Н. Вапника [27, 28]. SVM – это математический метод получения функции, решающей задачу классификации. Идея метода возникла из геометрической интерпретации задачи классификации. Пусть два множества точек можно разделить плоскостью (в двумерном пространстве – прямой). Тогда таких плоскостей будет бесконечное множество (рис. 4а). Выберем в качестве оптимальной такую плоскость, расстояния до которой ближайших точек обоих классов равны (рис. 4б). Ближайшие точки-векторы называются опорными. Поиск

оптимальной

плоскости

приводит

к

задаче

квадратичного

программирования при множестве линейных ограничений-неравенств. В 90-х гг. прошлого века метод SVM был усовершенствован: разработаны эффективные алгоритмы поиска оптимальной плоскости, найдены способы обобщения на нелинейные случаи и ситуации с числом классов, большим двух [27, 28].

х2

х2

f2 f3

f(x1,x2)=0

f1

х1

х1 а

б

Рис. 4. Иллюстрация основной идеи SVM

18

Метод опорных векторов хорошо зарекомендовал себя в распознавании рукописного текста и лиц, в задачах текстовой классификации. Ведутся разработки по использованию этого метода в системах обеспечения сетевой безопасности. Например, в [29] описана методика определения нежелательного программного обеспечения по метрической удаленности от геометрического центра векторов-признаков событий компьютерной сети с помощью метода опорных векторов. Для определения атак нужно сформировать вектор признаков, подобный вектору, который формируется для искусственной нейронной сети. Затем с помощью специального программного обеспечения, например SVM Light [30], произвести обучение SVM-классификатора. В результате получится функция, которая будет производить классификацию векторов-признаков, т. е. распознавать, к какому классу относится текущее действие ПО или пользователя – правомерному или запрещенному. Методы использования и обучения SVM в сфере сетевой безопасности еще до конца не изучены. Ясно только, что данный подход обладает существенной мощью и имеет большие перспективы развития, в том числе в задаче обеспечения защиты компьютерных сетей.

19

7. Заключение В появляющихся новых антивирусных утилитах, программах анализа сетевой защищенности, межсетевых экранах наблюдается тенденция увеличения масштаба использования технологий искусственного интеллекта. Этому способствует наличие в них возможности обучения, активное развитие методологии ИИ, увеличение числа и усложнение сетевых угроз. Другой тенденцией является направленность на интеграцию средств защиты различных уровней (например, персональный антивирус и сетевой экран уровня предприятия) с использованием средств ИИ. Таким образом, можно сделать вывод, что рассмотренные в статье подходы и методы ИИ на сегодняшний день далеко не исчерпали свой потенциал. Высока вероятность, что дальнейшие исследования раскроют новые пути применения методов ИИ в сфере сетевой безопасности.

20

Библиографический список

1.

Люгер Д. Ф. Искусственный интеллект, стратегии и методы решения сложных проблем [Текст] – 4-е изд. – Вильямс, 2003. – 864 с.

2.

Рассел С., Норвиг П. Искусственный интеллект: современный подход. М.: Вильямс, 2007. – 1408 с.

3.

Gorodetski V. I., Kotenko I. V., Karsaev O. Multi-agent technologies for computer network security: Attack simulation, intrusion detection and intrusion detection learning // International Journal of Computer Systems Science & Engineering. – 2003. – № 4. – С. 191–200.

4.

Котенко И. В., Уланов А. В. Кооперативная работа команд агентов при защите от сетевых атак нарушения доступности [Электронный ресурс]. Режим доступа: www.comsec.spb.ru.

5.

Колегов Д. Н. Проблемы синтеза и анализа графов атак [Электронный ресурс]. Режим доступа: http://www.securitylab.ru/contest/299868.php.

6.

Лукацкий А. В. Как работает сканер безопасности? [Электронный ресурс]. Режим доступа: http://www.citforum.ru/security/internet/scaner.shtml

7.

Danforth M. Models for Threat Assessment in Networks [Электронный ресурс]. Режим доступа: http://www.cs.ucdavis.edu/research/tech-reports/2006/CSE-2006-13.pdf.

8.

Багиров Т. К. Автоматизированная система анализа защищенности корпоративной вычислительной сети на основе многоагентного подхода: дис. канд. техн. наук: 05.13.19. – Уфа: РГБ, 2007. – 204 с.

9.

Богданов В. С., Котенко И. В. Анализ выполнения политики безопасности в компьютерных сетях: проактивный подход [Электронный ресурс]. Режим доступа: www.comsec.spb.ru.

10.

Котенко И. В. Многоагентные технологии анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Новости искусственного интеллекта. – 2004. – № 1. – С. 56–72.

21

11.

Котенко И. В., Юсупов Р. М. Перспективные направления исследований в области компьютерной безопасности // Защита информации. INSIDE. – 2006. – № 2. – С. 46–57.

12.

Kotenko I. V., Ulanov A. V. Simulation of Internet DDoS Attacks and Defense [Электронный ресурс]. Режим доступа: www.comsec.spb.ru.

13.

Котенко

И. В.

интеллектуальной

Степашкин оценки

М. В., уровня

Богданов

В. С.

защищенности

Модели

и

методика

компьютерной

сети

[Электронный ресурс]. Режим доступа: www.comsec.spb.ru. 14.

Котенко И. В., Степашкин М. В. Модели действий хакеров-злоумышленников при реализации распределенных многошаговых атак [Электронный ресурс]. Режим доступа: www.comsec.spb.ru.

15.

Котенко И. В., Уланов А. В. Моделирование противоборства программных агентов в Интернете: общий подход, среда моделирования и эксперименты // Защита информации. INSIDE. – 2006. – № 4. – С. 2–10.

16.

Джексон П. Введение в экспертные системы. М.: Вильямс, 2001. – 624 с.

17.

Лорьер Ж.-Л. Системы искусственного интеллекта. М.: Мир, 1991. – 568 с.

18.

Сайт «Информационная безопасность» (О. Зайцев) [Электронный ресурс]. Режим доступа: http://www.z-oleg.com.

19.

Rish I. An empirical study of the naive Bayes classifier // IJCAI 2001 Workshop on Empirical Methods in Artificial Intelligence. 2001.

20.

Graham P. Better Bayesian Filtering // Proceedings of the 2003 Spam Conference, Cambridge, 2003 [Электронный ресурс]. Режим доступа: http://paulgraham.com/better.html.

21.

Лаборатория Касперского: технология фильтрации спама [Электронный ресурс]. Режим доступа: http://www.spamtest.ru.

22.

Friedman N., Geiger D., Goldszmidt M., Bayesian Network Classifiers // Machine Learning. 1997. 29. P. 131–165.

23.

Хайкин С. Нейронные сети: полный курс. 2-е изд. М.: Издательский дом Вильямс, 2006. – 1104 с.

24.

Зайцев О. Нейросети в системах безопасности [Текст] // IT-Спец. – 2007. – № 6. – С. 54–59.

22

25.

BaseGroup Labs: технологии анализа данных [Электронный ресурс]. Режим доступа: http://www.basegroup.ru.

26.

The MathWorks – MATLAB and Simulink for Technical Computing [Электронный ресурс]. Режим доступа: http://www.mathworks.com.

27.

Vapnik V. Statistical learning theory. Wiley, New York, 1998.

28.

Vapnik V. N. The Nature of Statistical Learning Theory. Springer-Verlag, 1995.

29.

Lashkov P., Schäfer C., Kotenko I. Intrusion Detection in Unlabeled Data with QuarterSphere

Support

Vector

Machine

[Электронный

ресурс].

Режим

доступа:

www.comsec.spb.ru. 30.

Thorsten J. Making Large-Scale SVM Learning Practical // Lehrstuhl VIII, Kunstliche Intelligenz, Dortmund, 1998.

23