Анализ информационной безопасности предприятия на основе мониторинга информационных ресурсов с использованием машинного обучения Текст научной статьи по специальности «Компьютерные и информационные науки»

Анализ информационной безопасности предприятия на основе мониторинга информационных ресурсов с использованием

машинного обучения

М.О. Калинин Санкт-Петербургский политехнический университет Петра Великого Санкт-Петербург, Россия шах@1Ък8 .spbstu.ru

С.И. Штеренберг Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича Санкт-Петербург, Россия shterenberg.stanislaw@yandex.ru

Аннотация. Рассматривается метод применения машинного обучения для обеспечения информационной безопасности (ИБ) предприятия. Для анализа информационной безопасности проводится рассмотрение нескольких способов работы с данными, которые в совокупности позволяют разработать модель поведения пользователей и объектов в информационной системе (ИС). Машинное обучение используется для более точного определения девиантного поведения пользователя и объектов в ИС. Описанные способы позволяют создать надежную распределенную систему обнаружения вторжений.

Ключевые слова: машинное обучение, Python, информационная безопасность, аудит, мониторинг, обнаружение вторжений.

Введение

В настоящее время машинное обучение занимает огромное место в жизни человека в связи с наличием большого спектра его применений. Например, оно используется в анализе дорожных пробок или медицинской диагностике. Можно привести большое количество таких примеров, но в данной статье будет рассматриваться использование машинного обучения для более точного определения поведения пользователя и объектов информатизации в информационной системе (ИС).

Проведение исследования

Машинное обучение (machine learning) чаще всего подразделяют на два типа:

- контролируемое - поиск зависимости между первоначальной постановкой задачи и её конечным результатом;

- неконтролируемое - в данном случае конечный результат заранее не известен и необходимо найти различные зависимости между объектами, т. е. целью является упорядочить данные или описать их структуру.

В первом случае определяются такие популярные алгоритмы, как классификация, ранжирование, регрессия, обнаружение аномалий (используется, например, для выявления фактов мошенничества в банковских системах или

нарушения правил поведения в корпоративной сети). В случае второго типа - кластеризация, поиск ассоциаций, фильтрация выбросов и так далее. Так же определяют машинное обучение, которое применяется в робототехнике. В этом случае для каждого текущего действия выбирается наилучшее последующее. Кроме того, этот метод обладает обратной связью для уведомления об успешности выбранного действия [1].

Выбор алгоритма машинного обучения зависит от большого числа факторов, таких как длительность обучения, линейность, точность, число параметров и многое другое. Если необходимо получить системы с коротким временем обучения, используется алгоритм регрессии, а если необходимо получить высокую точность - лес решений или нейронная сеть [2, 3].

Существует множество подходов к машинному обучению, но они имеют нечеткие границы, так как каждый из подходов подразумевает использование различных алгоритмов и часто пересекается с другими. Среди существующих подходов самыми популярными являются: байесовская теория классификации, классификация на основе сходства, поиск закономерностей, нейронные сети и другие [3]. На рис. 1 и 2 приведены два примера использования машинного обучения.

Пример А

Исходный

Электронная алгоритм

почта машинного

обучен 11.1

г-Ч

Рис. 1. Пример использования машинного обучения

На рис. 1 показано, как работает алгоритм машинного обучения на примере использования электронной почты. При поступлении какого-либо сообщения данный алгоритм определяет, является это сообщение спамом или не является. На основе поступления сообщений с типовой

1п1е11гс1ыа1 Technologies оп ТгатроМ. 2018. № 3

структурой система обучается распознавать спам и блокировать его.

В данном случае обучение системы происходит следующим образом. На начальной стадии система анализирует, как пользователь проводит фильтрацию сообщений на спам - не спам. Она понимает этот алгоритм действий пользователя, обучается этому алгоритму и далее автоматически проводит фильтрацию входящих сообщений, облегчая работу пользователя [1, 2, 3].

Пример Б

Сайт по теме Сайт по теме

«сварочные «системного

работы- алминкстрировамн'

С-¡А IV 1:0 лрутаы

тг\:а.\:

Рис. 2. Пример использования машинного обучения

Второй пример является более сложным аналогом работы алгоритма машинного обучения. В этом случае алгоритм определяет, к каким сайтам имеет доступ сотрудник в связи с его родом занятий. То есть, например, сварщик имеет доступ только к сайтам по тематике его работы, но не имеет доступа к сайтам с тематикой, не относящейся к его роду деятельности.

В данном случае обучение системы проходит таким образом. В начале работы система анализирует запросы работников, то есть, например, бухгалтер пользуется сайтами, относящимися к его роду деятельности, в это время система обрабатывает запросы этого пользователя, запоминает их и на основе этих запросов строит характеристическую модель пользователя, что позволяет ей сортировать запросы работника. На основе этой модели система разграничивает доступ к тем или иным сайтам. В итоге работник будет получать доступ только к сайтам с его тематикой.

Описание предлагаемого метода

Представленные выше примеры использования машинного обучения являются общеизвестными. В данной статье машинное обучение будет рассмотрено как необходимый инструмент любой системы 1Т-безопасности, основывающийся на нескольких способах работы с информацией [4].

Рассмотрим первый способ: сбор и анализ информации о пользователе.

В настоящее время основным средством хранения и распространения информации является сеть Интернет.

«Всемирная паутина» всё чаще используется для решения огромного количества различных задач. Таким образом, Интернет является необходимым механизмом, позволяющим организовывать работу различных предприятий.

Но, говоря о работе с данной сетью, нельзя забывать о безопасности корпоративной информации. Безопасность данных является одной из основных задач как малых, так и крупных организаций. При этом речь идет не только о возможных утечках информации и противодействии этому, отражении различных атак на ресурсы компании, но и об оптимизации функционирования системы в целом.

Одним из инструментов для обеспечения безопасности корпоративной информации предприятия является сбор и анализ ключевой информации о пользователях. Но тут возникают две ключевые проблемы:

- большие объемы данных: в связи с бурным ростом сети Интернет и большим количеством контента невозможно вручную собирать данные;

- частое обновление контента: один человек или специальная группа сотрудников не в силах обслуживать огромные потоки динамично изменяющейся информации самостоятельно.

Для решения этих проблем предполагается использование синтаксического анализа (парсинга), позволяющего собирать данные о пользователях для их дальнейшей обработки. Парсинг сайтов является оптимальным и эффективным решением для автоматизации сбора и анализа информации [5]. В отличие от человека программа-парсер может:

- быстро просматривать огромное количество вебстраниц;

- отделить машинный код от контента, воспринимаемого человеком;

- выделить необходимую информацию и отбросить лишнюю;

- предоставить конечные данные в необходимом виде.

Далее с полученными структурированными данными

(база данных или электронная таблица) можно проводить различные манипуляции, необходимые предприятиям.

Преимущества использования парсинга сайтов:

- автоматический режим работы, практически без участия оператора;

- безотказность работы программы, отсутствие ошибок;

- экономия времени и средств;

- обработка большого количества информации;

- способность обрабатывать динамичную, то есть постоянно меняющуюся информацию.

Виды парсинга сайтов:

- заполнение веб-сайтов текстовой или мультимедийной информацией;

- сбор данных о товарах и их стоимости для интернет-магазинов;

- сбор данных о пользователях;

- работа с социальными сетями;

- другое.

На рис. 3 представлен простейший алгоритм работы программы-парсера для сбора информации из какого-либо информационного источника, например веб-страницы.

Программа-парсер может быть реализована на большом количестве языков программирования. Например, C++, Delphi, Python, PHP и других.

Подводя итог, можно с уверенностью сказать, что синтаксический анализ (парсинг) сайтов является удобным инструментом для сбора информации о пользователях, который позволит предприятиям контролировать влияние действий сотрудников на состояние информационной безопасности [6].

маршрутизацию и построение оверлейных туннелей; сервис управления отвечает за работу других сервисов; сервис идентификации и авторизации позволяет производить аутентификацию для всех сервисов, служб и пользователей; сервис хранения предоставляет пространство для хранения данных.

Все сервисы взаимодействуют между собой при помощи сервиса сообщений для обеспечения стабильной и синхронной работы, он передает запросы на выделение ресурсов, данные о состоянии и т. д. Все сообщения передаются при помощи зашифрованных https-запросов, поэтому без специального клиента невозможно получить данные [7, 8].

В роли клиента выступает сервис сбора телеметрии. С его помощью можно собирать разные полезные данные. Каждый инстанс может получать некое количество ресурсов, таких как количество процессорного времени, количество оперативной памяти и дискового пространства. Каждый из этих ресурсов можно рассматривать как источник данных о состоянии данного инстанса или даже целого сервера предоставления вычислительных ресурсов. Также есть возможность сбора трафика для его дальнейшего анализа. На границе виртуальной сети предприятия устанавливается DPI (deep packet inspection), позволяющий просматривать пакет целиком в обоих направлениях и получать полезные данные.

На рис. 4 представлена схема взаимодействия сервисов облачной инфраструктуры. Третий способ: анализ поведения пользователей в информационной системе.

Рис. 3. Алгоритм работы программы-парсера

Второй способ: мониторинг ресурсов облачной инфраструктуры. Способ позволяет производить мониторинг ресурсов и аналитику данных мониторинга. Он будет направлен на облачную инфраструктуру предприятий, так как она подходит для малого, среднего и крупного бизнеса.

Такая инфраструктура обычно строится на стандартном наборе компонентов: сервис идентификации, сервер хранения данных, серверы с вычислительными ресурсами. Сервис идентификации - главный элемент системы, отвечающий за все сервисы, использующиеся в работе облака. Сервисы в свою очередь предоставляют тот или иной функционал системе.

Например: сервис вычислительных ресурсов предоставляет системе ресурсы для запуска виртуальных машин (инстансов); сетевой сервис отвечает за предоставление сетевых ресурсов, таких как выделение пула 1Р-адресов,

Рис. 4. Схема взаимодействия сервисов облачной инфраструктуры

Данный способ подразумевает проведение анализа поведения пользователей в информационной системе.

Непрерывное развитие и внедрение информационных технологий, появление больших объёмов данных и их ценности приводит к необходимости защиты информации. Основной угрозой безопасности являются вторжения в вычислительные системы. Под ними понимается какая-либо деятельность пользователей или объектов, нарушающая целостность, доступность и конфиденциальность данных [7, 8].

Для предотвращения подобных вторжений целесообразно проводить анализ поведения пользователей и объектов в системе. В таблице представлен пример журнала событий для определения поведения пользователей на основе операционной системы Windows [9].

События журналов аудита для определения поведения пользователей

Построение модели определения поведения пользователей и объектов в системе позволит:

- идентифицировать пользователей и объекты в системе;

- определить род деятельности пользователей;

- предотвратить возможные нарушения безопасности в системе;

- исследовать влияние объектов информатизации на инфраструктуру предприятия.

СТАТИСТИЧЕСКИЙ АНАЛИЗ МЕТОДА

Для анализа информационной безопасности в данной статье были рассмотрены несколько способов работы с данными, такие как сбор и систематизация данных пользователей открытых источников и ресурсов и мониторинг распределения ресурсов облачной инфраструктуры предприятия, которые в совокупности позволяют разработать модель поведения пользователей и объектов в системе для повышения уровня информационной безопасности [10].

Для исследования представим группы способов, предложенных в работе [4].

1. Способ «Альфа». Характерной особенностью данного способа является пренебрежение параметрами самой методики обнаружения вторжений и разделения его на активные и неактивные стадии, когда 1-я категория может нести в себе определённую информацию о вторжениях, а 2-я категория предлагает к действию полиморфные алгоритмы и запутывает противника. Обобщенная структура компьютерной системы на основе способа может быть представлена с помощью выражения:

N = Б (г) +1 (г), (1)

где N - общее количество объектов в системе (общий диапазон до 1600 объектов во всех тестах); Б(г) - количество объектов без действий; 1(г) - количество объектов с действием (г - примерное время выполнения, до 200 с). У данного способа отсутствует учет топологических характеристик.

Графики зависимостей изменения количества узлов от времени функционирования распределенной информационной сети (РИС) в условиях распространения двумя ранее представленными способами приведены на рис. 5.

—■—S(t) 0,2 —А—I(t) 0.2

Рис. 5. Зависимости изменения количества узлов от времени функционирования РИС при ß = 0,2

2. Способ «Бета». Исследования показали, что способ «Бета» характеризуется наличием трех типов объектов управления: вторжение 1-й категории (I) и 2-й категории (S), 3-й категории с наличием вторжений (R). Обобщенная структура компьютерной системы на основе данного способа может быть представлена с помощью выражения:

N = S (t) +1 (t) + R (t), (2)

где R(t) - количество объектов с действием корреляционного анализа. С учетом топологических особенностей компьютерной сети (функции связности f(c)).

Графики зависимости изменения количества зараженных узлов от времени функционирования компьютерной системы в условиях распространения вторжения представлены на рис. 6. Топологические допущения условий моделирования аналогичны рис. 5.

800

—■—S(t) 0,25 —A— I(t) 0.25

Рис. 6. Зависимости изменения количества узлов от времени функционирования РИС при в = 0,25, к = 0,02

3. Способ «Гамма». Способ характеризуется наличием четырех типов объектов по двухэтапному сбору данных в предложенной методики: 1-й категории (I) и 2-й категории (8), 3-й категории с наличием вторжений (Я) и найденные

Категория Описание

Системное событие Перезагрузка операционной системы

Системное событие Завершение работы операционной системы (shutdown)

Системное событие Загрузка пакета аутентификации

Системное событие Запуск процесса аутентификации (используется WinLogon.exe)

Системное событие Сбой при регистрации одного или нескольких событий аудита

Системное событие Очистка журнала аудита

Системное событие Загрузка пакета оповещения об изменениях в списке пользователей

Вход/выход пользователя из системы Пользователь успешно вошел в систему

Вход/выход пользователя из системы Вход пользователя в систему запрещен -имя или пароль некорректны

Вход/выход пользователя из системы Вход пользователя в домен в данное время запрещен

Изменения в списке пользователей Произведены изменения в учетной записи пользователей глобальной группы, не связанные с изменением членства пользователей в этой группе

Изменения в списке пользователей Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства в группах

Аудит доступа к объектам Открытие папок

Аудит доступа к объектам Создание/удаление/изменение файлов

1п1е11есШа1 Technologies оп ТгатроН. 2018. № 3

объекты, а именно неудачные действия распределенной системы обнаружения вторжений (РСОВ) 4-й категории при необнаруженной угрозе (В). Этот способ, описывающий поведение системы в условиях воздействия злоумышленного ПО, содержит два этапа: 1) применение реверса; 2) добавление фактора лечения при повторном реверсе. Обобщенная структура РИС на основе способа «Гамма» может быть представлена с помощью выражения:

N = 5 (г) +1 (г) + Щ(г) + В(г),

(3)

где В( ) - количество объектов, в которых обнаружено вторжение, запущенное с помощью РСОВ.

Анализ графиков рис. 7 и 8 показал, что в соответствии со способом «Гамма» происходит замедление процесса обнаружения вторжений в 1,65 раз и уменьшение максимального количества обнаруженных деструктивных действий в 1,1 раз. Это приводит к замедлению процесса выявления вторжений до 1,01 раз.

1000 500 0

0 5 10 20 40 80 100 200 400 8001600 НЭ^) 0,25 (1-ой кат.) —0,25 1-ой кат.

ляется то, что при возрастании количества ошибок операция по обнаружению вторжений повышает риски для РИС. В любом из проведенных тестов вероятности по успеху различного рода атак практически никогда не доходили до 100 %, в то время как вероятности по необнаружению многих действий нарушителя были всегда выше 50 %.

В настоящее время основные данные для статистики компьютерных атак (более 4 000 000 в 2012 году по статистике, собранной антивирусными средствами лаборатории Касперского) дают базы данных компьютерных атак, размещенные в сети Интернет и поддерживаемые крупными организациями-разработчиками систем обнаружения компьютерных атак, общего программного обеспечения и исследовательскими центрами [1, 2].

Категория А Категоиия В

Категория Б Категория Г

100 80 60 40 20 0

200 400 600 800 1000 1200

Рис. 7. Зависимости изменения количества узлов от времени функционирования РИС (первый этап сбора данных) при в = 0,25, к = 0,02

Проведенный анализ способа «Гамма» показал [3], что разбиение модели распространения компьютерных угроз на два этапа по методике сбора данных дает возможность независимого анализа процесса обнаружения вторжений.

1000 500 0

1 1 1ТГ ■

Б(1:) 0,2 (2-ой кат.)

!№ 0,2 (2-ой кат.)

Рис. 8. Графики зависимости изменения количества узлов от времени функционирования РИС (второй этап сбора данных), при в = 0,25, к = 0,02

На рис. 9 дана оценка вероятности обнаружения вторжений в ходе различных атак на защищенную РИС, при этом для наглядности приведены сравнительные данные по различным категориям обнаружения вторжений [2].

В общем результате анализа графика на рис. 9 получается, что по совершенным операциям распространение ошибок в предлагаемой РСОВ значительно возрастает при обработке по категориям Б и В, однако их уровень не так критичен. Единственным объяснением этим расчетам яв-

Рис. 9. Оценка вероятности обнаружения вторжений РСОВ в ходе различных атак (синего цвета - для категории А, красного - для категории Б, серого - для категории В, желтого - для категории Г)

Под противодействием компьютерным атакам на РИС понимаются взаимосвязанные процессы предупреждения о фактах угроз подготовки к реализации компьютерных атак [11], обнаружения признаков атак, анализа параметров атак и активного противодействия источникам атаки [12], а также комплексная защита РИС от подобных воздействий.

Заключение

Технологии машинного обучения могут быть использованы для создания динамических моделей поведения пользователей, наиболее полно раскрывающих специфику обязанностей сотрудников и позволяющих динамически распределять их нагрузку. С помощью данных технологий, в зависимости от временных рамок, можно увеличивать или уменьшать загрузку ресурсов облачной инфраструктуры предприятия, а также варьировать информационные ресурсы для выполнения должностных обязанностей сотрудников в зависимости от специфики их деятельности. Машинное обучение является необходимым инструментом для обеспечения информационной безопасности предприятия, основывающимся на рассмотренных в данной статье способах работы с информацией.

ЛИТЕРАТУРА

1. Штеренберг С.И. Анализ использования эквивалентных инструкций при скрытом встраивании информа-

0

1п1е11есШа1 Technologies оп ТгатроН. 2018. № 3

ции в исполняемые файлы / С.И. Штеренберг, А.В. Красов, И.А. Ушаков // Журнал теоретических и прикладных информационных технологий. - 2015. - Т. 80. - № 1. - С. 2834.

2. Штеренберг С.И. Методика применения самомодификации файлов для скрытой передачи данных в экспертной системе / С.И. Штеренберг, Р.И. Кафланов, А.С. Дружин, С. С. Марченко // Наукоемкие технологии в космических исследованиях Земли. - 2016. - Т. 8. - № 1. - С. 71-75.

3. Штеренберг С.И. Методика применения в адаптивной системе локальных вычислительных сетей стеговло-жения в исполнимые файлы на основе самомодифицирующегося кода / С.И. Штеренберг // Системы управления и информационные технологии. - 2016. - Т. 63. - № 1. -С. 51-54.

4. Красов А.В. Аутентификация программного обеспечения при помощи вложения цифровых водяных знаков в исполняемый код / А.В. Красов, А.С. Верещагин, А.Ю. Цветков // Телекоммуникации. - 2013. - № 87. - С. 27-29.

5. Красов А.В. Методы скрытого вложения информации в исполняемые файлы / А.В. Красов, А.С. Верещагин, В. С. Абатуров // Известия Санкт-Петербургского государственного электротехнического университета ЛЭТИ. -2012. - № 8. - С. 51-55.

6. Виткова Л.А. Исследование распределённой компьютерной системы адаптивного действия / Л.А. Виткова // Наукоемкие технологии в космических исследованиях Земли. - 2015. - Т. 7. - № 5. - С. 44-48.

7. Коржик В.И. Метод обнаружения стегосистем на основе анализа статистики криптограмм, формируемых при помощи шифрования вкладываемых сообщений / В.И. Коржик, М. В. Токарева // Актуальные проблемы инфоте-лекоммуникаций в науке и образовании : сб. научных ста-

тей V международной научно-технической и научно-методической конференции. - 2016. - С. 431-436.

8. Буйневич М.В. Метод алгоритмизации машинного кода телекоммуникационных устройств / М.В. Буйневич, К.Е. Израилов // Телекоммуникации. - 2012. - № 12. - С. 2-6.

9. Кузнецов И.А. Способ управления информационно-вычислительной сетью на основе краткосрочного прогнозирования распространения компьютерного вируса / И.А. Кузнецов, В. А. Липатников, Д.В. Сахаров // Актуальные проблемы инфотелекоммуникаций в науке и образовании : сб. научных статей V международной научно-технической и научно-методической конференции. - 2016. - С. 441446.

10. Штеренберг С.И. Методы построения цифровой стеганографии в исполнимых файлах на основе и принципах построения самомодифицирующегося кода / С.И. Штеренберг // Известия высших учебных заведений. Технология легкой промышленности. - 2016. - Т. 31. -№ 1. - С. 28-36.

11. Зегжда П. Д. Основные направления развития средств обеспечения информационной безопасности / П. Д. Зегжда // Проблемы информационной безопасности. Компьютерные системы. - 1999. - № 1. - С. 27.

12. Зегжда П. Д. Использование искусственной нейронной сети для определения автоматически управляемых аккаунтов в социальных сетях / П.Д. Зегжда, Е.В. Малышев, Е.Ю. Павленко // Проблемы информационной безопасности. Компьютерные системы. - 2016. - № 4. - С. 915.

The Analysis of Information Security of the Enterprise on the Basis of Monitoring of Information Resources with use of Machine Learning

M.O. Kalinin The Peter the Great St. Petersburg Polytechnic University Saint-Petersburg, Russia max@ibks .spbstu.ru

S.I. Shterenberg The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, Saint-Petersburg, Russia

shterenberg.stanislaw@yandex.ru

Abstract. This article discusses the method of using machine learning to ensure information security of an enterprise. To analyze the information without the risk of conducting analysis in real time. Machine learning is used to more accurately determine the deviant behavior of the user and the objects in the information system. The described methods make it possible to create a reliable distributed intrusion detection system.

Keywords: machine learning, Python, information security, auditing, monitoring, intrusion detection.

References

1. Shterenberg S.I. Analysis of using equivalent instructions at the hidden embedding of information into the executable files [Analiz ispolzovania ekvivalentnih instrukcii pri skritom vstraivanii v ispolniaemie faili] / S.I. Shterenberg, A.V. Krasov, I.A. Ushakov // Journal of Theoretical and Applied Information Technology. [Zhurnal teoreticheskikh I pri-kladnikh informationnikh tekhnologiy] 2015. - T. 80. - № 1. -C. 28-34. (In Rus.)

2. Shterenberg S.I. Self-modification method of application files for secure communication in the expert system. [Metodika primenenia samomodifikatsii failov dlia skritoy peredachi dannih v ekspertnoy sisteme] / S.I. Shterenberg, R.I. Kaflanov, A.S. Druzhin, S.S. Marchenko // High technology in space-based Earth research. [Naukoyemkir tekhnologii v kos-michiskikh issledivaniyakh Zemli] 2016. - T. 8. - № 1. -S. 71-75. (In Rus.)

3. Shterenberg S.I. Method of use in the adaptive system of local area networks hidden embedding in executables based on self-modifying code. [Metodika primenenia v adaptivnoy sisteme lokalnikh vichislitilnikh setey stegovloginia v ispolnimye fayly na osnove somomodifitsiruyushchegosya koda] / S.I Shterenberg // Control Systems and Information Technology. [Sistemy upravlenia I informatsionnie tekhnologii] 2016. - T. 63. - № 1. - S. 51-54. (In Rus.)

4. Krasov A.V. Software Authentication using embedding digital watermarks into executable code [Autentifikatiya pro-grammnogo obespecheniya pri pomoshchi vlogenia tsifrivikh vodianikh znakov v ispolniaemiy kod] / A.V. Krasov, A.S.

Vereshchagin, A.Y. Tsvetkov // Telecommunications. [Tele-kommunikatsii] 2013. - № S7. - S. 27-29. (In Rus.)

5. Krasov A.V. Methods of hidden information in the attachment executable files [Metodi skritogo vlogenia informatiy v ispolniaemie fayly] / A.V. Krasov, A.S. Vereshchagin, V.S. Abaturov // Proceedings of the St. Petersburg State Electro-technical University LETI. [Izvestia SPb gosudarstvennogo elektrotekhnicheskogo universiteta LETI] 2012. - № 8. -S. 51-55. (In Rus.)

6. Vitkova L.A. Study of adaptive distributed computing system actions [Issledovaniye raspredelennoy kompiuternoy sistemy adaptivnogo deystviya] / L.A. Vitkova // High Tech Earth in space research. [Naukoyemkir tekhnologii v kos-michiskikh issledivaniyakh Zemli] 2015. - T. 7. - № 5. -S. 44-48. (In Rus.)

7. Korzhik V.I. Stegosystems detection method based on the analysis of cryptograms statistics generated by encrypting invested posts [Metod obnarugenia stegosistem na osnove analiza statistki kriptogrammi, formiruemih pri pomoshi shifrivania vkladivaemih soobshcheniy] / V.I. Korzhik, M.V. Tokarev // In: Recent info telecommunications problems in science and education collection of scientific articles V International scientific and methodological conference. [V sbornike: Aktualnie problemy infotelekommunikatsiy v nauke I obrazovanii sbornik nauchnikh statey V mezhdunarodnoy nauchno-tekhnicheskoy I nauchno metodicheskoy konferentsii] 2016. - pp 431-436. (In Rus.)

8. Buinevich M.V. Algorithmizing Method Machine Code telecommunication devices [Metod algoritmizacii mashinnogo koda telekommunikacionnikh ustroistv] / M.V. Buinevich, K.E. Israel // Telecommunications. [Telekommunikatsii] 2012. - № 12. - S. 2-6. (In Rus.)

9. Kuznetsov I.A. The process control computer and information network based on short-term forecasting the spread of a computer virus [Sposob upravlenia informationno vichis-litelnoy setiy na osnove kratkosrochnogo prognozirovania rasprostranenia kompiuternogo virusa] / I.A. Kuznetsov, V.A. Lipatnikov // In: Recent infotelecommunications problems in science and education collection of scientific articles V International scientific and methodological conference. [V

sbornike: Aktualnie problemy infotelekommunikatsiy v nauke I obrazovanii sbornik nauchnikh statey V mezhdunarodnoy nauchno-tekhnicheskoy I nauchno metodicheskoy konferentsii] 2016. - pp. 441-446. (In Rus.)

10. Shterenberg S.I. Methods for constructing digital ste-ganography in executable files based on the principles of constructing a self-modifying code [Metody postroeniya tsifrovoi staganografiy v ispolnimih faylakh na osnove i prontsipakh postroeniya somomodifitsiruyushchegosya koda] / S.I. Shterenberg // News of higher educational institutions. Light industry technology. [Izvestia vysshikh uchebnikh zavedeniy. Tekhnologiya legkoy promyshlennosti] 2016. - V. 31. - No. 1. -S. 28-36. (In Rus.)

11. Zegzhda P.D. The main directions of development of information security tools [Osnovnie nepravlenia razvitia sredstv obespechenia informacionniy bezopasnosti]/ P.D. Zegzhda // Problems of information security. Computer systems. [Problemy informatsionnoy bezopasnosti. Kompiuternii siste-my] 1999. - № 1. - S. 27. (In Rus.)

12. Zegzhda P.D. Using an artificial neural network to determine automatically managed accounts in social networks [Ispolzovania iskusstvennoy neironnoy seti dlia opredelenia avtomaticheski upravliaemikh akkauntov v socialnikh setiakh] / P.D. Zegzhda, E.V. Malyshev, E.Yu. Pavlenko // Problems of information security. Computer systems. [Problemy informatsionnoy bezopasnosti. Kompiuternii sistemy] 2016. -No. 4. - P. 9-15. (In Rus.)