На правах рукописи
Дружинин Евгений Леонидович
РАЗРАБОТКА МЕТОДОВ И ПРОГРАММНЫХ СРЕДСТВ
ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ
КОМПЬЮТЕРНОЙ СЕТИ
Специальности: 05.13.13 - телекоммуникационные системы и компьютерные
сети
05.13.11 - математическое обеспечение вычислительных ма-
шин, комплексов и компьютерных сетей
АВТОРЕФЕРАТ
диссертации на соискание ученой степени
кандидата технических наук
Автор:
Москва - 2005

Работа выполнена в Московском инженерно - физическом институте
(государственном университете)
Научный
руководитель
Официальные
оппоненты:
доктор технических наук, профессор
Чернышев Юрий Александрович
доктор технических наук, профессор
Домрачев Вилен Григорьевич,
кандидат технических наук
Левятов Илья Давыдович
Ведущая организация
ФГУП "Концерн "Системпром"
Защита состоится « 1 » июня 2005 г. в 15 ч. 30 мин. на заседании дис-
сертационного совета Д 212.130.03 в МИФИ адресу: 115409, г.Москва,
Каширское шоссе, д.31.
С диссертацией можно ознакомиться в библиотеке МИФИ.
Автореферат разослан 2005 г.
Отзывы в двух экземплярах, заверенные печатью организации, просим
отправлять по адресу: 115409, Москва, Каширское шоссе, д.31.
Ученый секретарь
диссертационного совета
д.т.н., профессор Вольфенгаген В.Э.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность проблемы. Сложность логической и физической
организации современных компьютерных сетей приводит к объектив-
ным трудностям при решении вопросов управления и защиты.
При решении задач, связанных с диагностикой и защитой сетевых
ресурсов, центральным вопросом является оперативное обнаружение
состояний сети (аномалий), приводящих к потере полной или частич-
ной ее работоспособности, уничтожению, искажению или утечке ин-
формации, являющихся следствием отказов, сбоев, получения зло-
умышленником несанкционированного доступа к сетевым ресурсам,
проникновения сетевых червей, вирусов и других угроз информацион-
ной безопасности. Раннее обнаружение таких состояний позволит
своевременно устранить их причину, а также предотвратит возможные
катастрофические последствия.
Существующие системы диагностики и защиты не могут полно-
стью предотвратить возможность появления аномалий, а также гаран-
тировать их обнаружение и блокирование. Это вызвано объективными
причинами, обусловленными несовершенством методов и алгоритмов,
используемых в современных аппаратных и программных системах.
Так, методы анализа, используемые в современных системах, направ-
лены на обнаружение известных и точно описанных типов воздейст-
вий, но зачастую оказываются не в состоянии обнаружить их модифи-
кации или новые типы, что делает их использование малоэффектив-
ным.
Таким образом, на сегодняшний день крайне актуальной пробле-
мой является поиск более эффективных методов выявления недопус-
тимых событий (аномалий) в работе сети, являющихся следствием
технических сбоев или несанкционированных воздействий.
Это направление научных исследований является очень молодым.
Первые работы, посвященные данной проблеме, были опубликованы в
90-х годах прошлого столетия.
В настоящий момент исследования в этой области ведутся как
крупными зарубежными коммерческими компаниями (Cisco, Computer
Associates, ISS, Symantec и др.), так и университетскими научно- ис-
следовательскими центрами (Columbia University, Florida Institute of
Technology, Purdue University, Ohio University и др.). К сожалению, в
свободном доступе представлено очень мало информации по анало-
гичным российским исследованиям.

4
Общий подход, лежащий в основе этих исследований и реализо-
ванный в данной работе, заключается в выявлении аномальных со-
стояний информационных ресурсов в виде отклонений от обычного
(«нормального») состояния. Отклонения могут являться результатами
сбоев в работе аппаратного и программного обеспечения, а также
следствиями сетевых атак хакеров. Такой подход позволяет обнаружи-
вать как известные, так и новые типы проблем. От эффективности и
точности аппарата, определяющего «нормальное» состояние и фикси-
рующего отклонение, зависит в целом эффективность решения вопро-
сов диагностики и защиты сетевых ресурсов.
Особую важность на текущий момент представляет проблема об-
наружения аномальных состояний в работе сети, имеющих распреде-
ленный во времени характер (АРВ). АРВ могут являться следствиями:
специально маскируемых сетевых атак злоумышленников, скрытых
аппаратно-программных сбоев, новых вирусов и т.п.