Rozproszony audyt systemów unixowych
Transkrypt
Rozproszony audyt systemów unixowych
Rozproszony audyt systemów unixowych Rozproszony audyt systemów unixowych Piotr Sasak, Wojciech Śronek prowadzący: prof. dr. hab. inż. Jerzy Brzeziński 1. System wykrywania włamań (Intrusion Detection System) 2. Architektury rozproszonych IDS 3. Układ immunologiczny, odpornościowy 4. Model sztucznego układu immunologicznego ( Kim, Bentley ) 5. Model sztucznego układu immunologicznego ( Homfrey, Forrest ) 6. AIIDS (Artificial Immune Intrusion Detection System) 7. Technologia i narzędzia Seminarium 2004 – PP, SKiSR 1 Rozproszony audyt systemów unixowych System wykrywania włamań Mechanizmy audytu monitorują, rejestrują zdarzenia, dokonują ich przeglądu, oceny w celu wykrycia ewentualnych zagrożeń, ataków. „Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność skierowaną przeciw zasobom informatycznym i sieciowym.” Edward Amoroso “Wykrywanie intruzów” Seminarium 2004 – PP, SKiSR 2 Rozproszony audyt systemów unixowych Podział systemów wykrywania włamań - sieciowe systemy wykrywania włamań ( network-based IDS ) - monitorowanie, analizowanie pakietów sieciowych - monitorowanie, analizowanie natężenia ruchu - monitorowanie, analizowanie wykorzystania usług, protokołów sieciowych - itp... - komputerowe systemy wykrywania włamań ( host-based IDS ) - monitorowanie, analizowanie połączeń, logowań do systemu - monitorowanie, analizowanie działania użytkowników ( super użytkownika ) - monitorowanie, analizowanie stanu plików, rejestrów - itp... Seminarium 2004 – PP, SKiSR 3 Rozproszony audyt systemów unixowych Metody wykrywania włamań - przetwarzanie raportu audytu - przetwarzanie na bieżąco - profile normalnego zachowania - sygnatury nienormalnego zachowania Seminarium 2004 – PP, SKiSR 4 Rozproszony audyt systemów unixowych Problemy wykrywania włamań - poprawne alarmy ( ang. true positives ) - fałszywe alarmy ( ang. false positive ) - brak wykrycia ( ang. false negative ) Seminarium 2004 – PP, SKiSR 5 Rozproszony audyt systemów unixowych Dlaczego rozproszony IDS? - monitorowanie bezpieczeństwa w wielu segmentach sieci ( np: sieci całej korporacji ) - agregowanie informacji pochodzących z różnych elementów IDS - globalna analiza bezpieczeństwa - łatwiejsza korelacja danych rozproszonych ( np: intruz zgaduje hasła na większości chronionych komputerów ) - przyspieszona reakcja ( np: zatrzymanie propagacji robaka w sieci ) Seminarium 2004 – PP, SKiSR 6 Rozproszony audyt systemów unixowych Podział architektur rozproszonych IDS 1. Monolityczna - centralny punkt - skalowalność 2. Hierarchiczna + kilka centralnych punktów (hierarchia) + podział pracy - zmiana topologi oznacza zmiana hierarchi 3. Kooperatywna + brak centralnych punktów - wysokie obciążenie sieci - wiele elementów analizujących Seminarium 2004 – PP, SKiSR 7 Rozproszony audyt systemów unixowych AAFID ( Autonomous Agents For Intrusion Detection ) Seminarium 2004 – PP, SKiSR 8 Rozproszony audyt systemów unixowych AAFID ( Autonomous Agents For Intrusion Detection ) Agent - jest to niezależny proces - monitoruje określony aspekt bezpieczeństwa na chronionym węźle - raportuje o nadzwyczajnych sytuacjach przekaźnikowi - agent może wymagać informacji od innych agentów ( komunikacja ) - nie komunikuje się bezpośrednio z innymi ( przekazuje jedynie wszystkie informacje do przekaźnika ) - ich praca może być wstrzymywana, uruchamiana - nie generuje alarmu Seminarium 2004 – PP, SKiSR 9 Rozproszony audyt systemów unixowych AAFID ( Autonomous Agents For Intrusion Detection ) Przekaźnik - kontroluje działanie agentów na danym węźle, w tym ( rozpoczyna i kończy pracę odpowiednich agentów ) - utrzymuje ścieżki między agentami na węźle - otrzymuje raporty generowane przez agentów na węźle - przetwarza informacje z raportów, dokonuje ich analiz - rozprasza informacje do różnych agentów lub monitora - jest interfejsem wewnętrznym dla każdego węzła - odpowiada na żądania monitora dostarczając mu odpowiednich informacji Seminarium 2004 – PP, SKiSR 10 Rozproszony audyt systemów unixowych AAFID ( Autonomous Agents For Intrusion Detection ) Monitor - stanowi interfejs dla grupy agentów umieszczonych na różnych węzłach - otrzymuje i przetwarza raporty ( przeanalizowane i zredukowane lub nie ) od przekaźników - kontroluje przekaźniki - wykonuje korelacje zdarzeń pochodzących z różnych węzłów - posiada funkcje umożliwiające komunikacje z interfejsem użytkownika - stanowi punkt dostępu do części lub całego systemu AAFID Seminarium 2004 – PP, SKiSR 11 Rozproszony audyt systemów unixowych AAFID (Autonomous Agents For Intrusion Detection) The Center for Education and Research in Information Assurance and Security (CERIAS) Purdue University ( http://www.cerias.purdue.edu/ ) Seminarium 2004 – PP, SKiSR 12 Rozproszony audyt systemów unixowych Inne przykłady architektury DIDS – Distributed Intrusion Detection System - architektura monolityczna - punkt centralny ( system analizujący rekordy audytu ) - host monitor ( śledzenie sesji użytkownika, agregowanie anormalnych zachowań, ... ) - LAN monitor ( obserwacja ruchu sieciowego, stosuje profile oczekiwanego ruchu, ... ) GrIDS – Graph-based Intrusion Detection System - architektura hierarchiczna - graf aktywności sieciowej Seminarium 2004 – PP, SKiSR 13 Rozproszony audyt systemów unixowych Twoj system odpornościowy – niedościgniony wzór - po co nam system odpornościowy(immunologiczny)? Ludzie mający zespół AIDS doskonale znają odpowiedź na to pytanie :( System ten umożliwia wykrywanie i niszczenie obcych ciał atakujących organizm. Odporność zależy od zdolności rozpoznawania elementów własnego organizmu i elementów obcych. Immunolodzy określają to mianem rozróżniania miedzy “swoim” a “obcym” (ang. self i nonself). Możliwość takiego właśnie rozróżniania jest możliwa dzięki biochemicznej niepowtarzalności każdego organizmu. Na powierzchni wszystkich komórek znajdują się makrocząsteczki o charakterystycznej konfiguracji, unikalnej dla każdego gatunku ale i dla każdego osobnika. Organizm “zna” swoje makrocząsteczki i “rozpoznaje” cząsteczki pochodzące z zewnątrz jako obce. Gdy bakteria atakuje organizm zwierzęcy, owe makrocząsteczki pobudzją mechanizmy obronne. Sybstancja, która wyzwala odpowiedź immunologiczną, nazywa jest antygenem. Przykładem antygenów mogą być białka, RNA, DNA. “Biologia” Villee Seminarium 2004 – PP, SKiSR 14 Rozproszony audyt systemów unixowych Twoj system odpornościowy – niedościgniony wzór - co to jest antygen i przeciwciało? Antygen - jest to każda substancja, która ma zdolność wywoływania odpowiedzi odpornościowej (immunologicznej) organizmu i reagowania z produktem tej odpowiedzi – przeciwciałem .Zdolność wywoływania odpowiedzi immunologicznej antygenu nazywa się immunogennością. Może ona być odmienna dla różnych rodzajów antygenów. W normalnych warunkach układ odpornościowy człowieka rozpoznaje jako antygeny tylko substancje obce, czyli takie, które nie są składnikami strukturalnymi jego tkanek. Przeciwciała (immunoglobuliny) - są to substancje białkowe wytworzone przez organizm człowieka pod wpływem antygenów. Mają one zdolność reagowania z antygenem – tzn. że poszczególne przeciwciała łączą się jedynie ze ściśle określonym antygenem. Przeciwciała są wydzielane przez limfocyty (tzw.limfocyty B) i znajdują się w osoczu krwi. Seminarium 2004 – PP, SKiSR 15 Rozproszony audyt systemów unixowych Twoj system odpornościowy – niedościgniony wzór - rodzaje odporności: swoista, nieswoista Odporność nieswoista (niespecyficzna lub wrodzona) zapobiega wnikaniu patogenów (czynników chorobotwórczych) do wnętrza ustroju i szybko niszczy te, które pokonały bariery obrony zewnętrznej. Odporność nieswoista obejmuje mechaniczne i chemiczne bariery przeciwko patogenom. Np fagocytowanie atakujących bakterii, pot, łój zawierające bakteriobójcze związki chemiczne wobec niektórych rodzajów bakterii, lizozym, enzym atakujący ściany niektórych komórek bakteryjnych, kwaśne wydzieliny i enzymy żołądka. Odporność swoista (specyficzna lub nabyta) jest bardzo precyzyjna i wydajna. Jej zadaniem jest rozpoznawanie i zwalczanie specyficznych antygenów związanych z określonymi patogenami. Mechanizmy odporności swoistej nazywane są wspólnie odpowiedziami immunologicznymi. Dwa zasadnicze rodzaje odporności swoistej to odporność komórkowa warunkowana przez komórki) oraz odporność humoralna (warunkowana przez przeciwciała). U wyższych zwierząt odporność organizmu obejmuje również tzw pamięć immunologiczną, która polega na wzroście efektywności niszczenia patogenów w razie ich powtórnej inwazji. “Biologia” Villee Seminarium 2004 – PP, SKiSR 16 Rozproszony audyt systemów unixowych Twoj system odpornościowy – niedościgniony wzór Seminarium 2004 – PP, SKiSR 17 Rozproszony audyt systemów unixowych Najważniejsze komórki układu odponościowego. - limfocyty i fagocyty: Istnieją dwa główne rodzaje limfocytów: limfocyty T(komórki T) i limfocyty B(komórki B). Limfocyty T podobnie jak makrofagi i limfocyty T pochodzą z pierwotnych komórek macierzystych szpiku kostnego, tzw komórek pnia. Komórki T dojrzewają w grasicy; stąd też ich nazwa (łac. thymus – grasica). W grasicy dochodzi do różnicowania się limfocytów i tam też stają się one immunologicznie kompetentne czyli zdolne do odpowiedzi immunologicznej. Limfocyty T warunkują odporność komórkową. Reagują one na specyficzne antygeny na powierzchni komórek zaatakowanych przez wirusy lub inne patogeny. Limfocyty B odpowiedzialne są za odporność humoralną, warunkowaną przez przeciwciała. U większości ssaków komórki B dojrzewają w szpiku kostnym. Każdy z milionów powstających limfocytów B ma specyficzną zdolność do wiązania określonych antygenów. Makrofagi niszczą komórki bakteryjne, lecz na powierzchni komórki makrofaga pozostają fragmenty bakteryjnych antygenów. Ten fragment jest konieczny do aktywacji limfocytów T. Makrofagi pełnią funkcję komórek prezentujących antygen, które “eksponują” bakteryjne antygeny. “Biologia” Villee Seminarium 2004 – PP, SKiSR 18 Rozproszony audyt systemów unixowych Główny układ zgodności tkankowej. (I) - główny układ zgodności tkankowej umożliwia rozpoznanie elementów własnego organizmu: Czynnikiem, który pozwala kręgowcom rozróżniać miedzy elementami własnego organizmu a organizmami chorobotwórczymi jest grupa markerów białkowych znanych jako główny układ zgodności tkankowej (MHC, od ang. major histocompatibility complex). Markery te znajdują się na powierzchni każdej komórki i różnią się nieznacznie u różnych osobników. U człowieka zespół tych markerów nosi nazwę układu zgodności tkankowej człowieka lub grupy ludzkich antygenów zgodności tkankowej (HLA od ang. human leukocyte antigen). Skład ludzkiego MHC jest cechą dziedziczną. Wyróżnia się trzy klasy MHC. Seminarium 2004 – PP, SKiSR 19 Rozproszony audyt systemów unixowych Główny układ zgodności tkankowej . (II) - odporność humoralna - broń chemiczna: Makrofagi prezentują na swej powierzchni fragmenty antygenu komórki patogennej. Obcy antygen tworzy kompleks z druga klasą MHC i ten właśnie kompleks jest rozpoznawany przez limfocyty B. Uaktywnione limfocyty B rosną, a gdy osiągną dostateczne rozmiary następuje seria podziałów mitotycznych i powstaje klon identycznych komórek. Ta seria podziałów komórkowych w odpowiedzi na specyficzny antygen nazywana jest selekcją klonalną. Niektóre nowe powstałe komórki tworzą komórki plazmatyczne, które wydzielają przeciwciała. Niektóre spośród uaktywnionych limfocytów B nie różnicują się w komórki plazmatyczne, lecz stają się komórkami pamięci immunologicznej. Produkują one przeciwciała długo po pokonaniu infekcji. Gdy te same patogenny zaatakują ponownie to krążące przeciwciała w krwi gotowe są do podjęcia obrony. “Biologia” Villee Seminarium 2004 – PP, SKiSR 20 Rozproszony audyt systemów unixowych Główny układ zgodności tkankowej . (III) Rycina 43-7 Prezentuje schemat produkcji przeciwciał. Seminarium 2004 – PP, SKiSR 21 Rozproszony audyt systemów unixowych Kompleks antygen -przeciwciało. - Kompleks antygen -przeciwciało aktywuje inne mechanizmy obronne: Przeciwciała rozpoznają patogeny jako elementy obce, po wiązaniu się z antygenem na powierzchni patogena. Często kilka przeciwciał wiąże się z kilkoma antygenami tworząc zbitą masę kompleksów antygenprzeciwciało. Kompleksy te aktywują kilka mechanizmów obronnych: - kompleks może unieczynnić patogeny lub neutralizować ich działanie toksyczne, - kompleks stymuluje proces fagocytozy komórek patogennych przez makrofagi i leukocyty obojętnochłonne. - niektóre przeciwciała mają białka dopełniacza, które czynnie będą niszczyły patogeny. Seminarium 2004 – PP, SKiSR 22 Rozproszony audyt systemów unixowych Kompleks antygen -przeciwciało.(II) Seminarium 2004 – PP, SKiSR 23 Rozproszony audyt systemów unixowych Ogromna różnorodność przeciwciał. Układ odpornościowy rozpoznaje każdy antygen, nawet taki który nigdy dotąd w dziejach ewolucji gatunku nie był rozpoznany. Taka sytuacja jest możliwa dzięki temu, że w limfocytach B podczas ich dojrzewania tworzone są geny kodujące przeciwciała. Geny te tworzone są z fragmentów genów składających się na całe DNA. Dzięki takiemu podejściu możliwa jest ogromna liczba kombinacji. Dodatkowym czynnikiem zwiększającym różnorodność przeciwciał jest ogromna częstość mutacji w obrębie zmiennych segmentów DNA. Te somatyczne hipermutacje dają początek genom, które kodują podobne przeciwciała, lecz nieznacznie różniące się powinowactwem wobec antygenów. “Biologia” Villee Patrz rycina 43-10. Seminarium 2004 – PP, SKiSR 24 Rozproszony audyt systemów unixowych Pierwotna i wtórna odpowiedź immunologiczna. Pierwszy kontakt z antygenem wywołuje pierwotną odpowiedź immunologiczną.W osoczu krwi zwierzęcia przeciwciała pojawiają się w ciągu od 3 do 14 dni. Powtórne podanie tego samego antygenu nawet po latach wywołuje wtórną odpowiedź immunologiczną.Ż ywot komórek pamięci, które noszą informacje o spotkaniu tego antygenu trwa tak długo jak długo trwa żywot organizmu. “Biologia” Villee Seminarium 2004 – PP, SKiSR 25 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) - architektura całkowicie rozproszona - samoorganizowanie się systemu - efektywność Seminarium 2004 – PP, SKiSR 26 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) - ewolucja biblioteki genów - negatywna selekcja - selekcja klonalna Seminarium 2004 – PP, SKiSR 27 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Seminarium 2004 – PP, SKiSR 28 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Gen - pole profilu ruchu sieciowego - typ protokołu - zakres portów - liczba pakietów danego typu - czas pomiędzy pakietami - czas trwania połączenia - zależności statystyczne - stosunek natężenie ruchu do pory dnia - stosunek pakietów SYN i FIN dla połączenia TCP Detektor - zbudowane z genów, z biblioteki genów Seminarium 2004 – PP, SKiSR 29 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Biblioteka genów - zawiera wszystkie możliwe geny - zbudowana z klastrów Seminarium 2004 – PP, SKiSR 30 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Ewolucja biblioteki genów - gen z biblioteki genów posiada wartość “fitness” - geny mutują ( np: zmiana zakresów, scalanie wartości, itd... ) - detektor budujemy na zasadzie losowania odpowiednich genów z poszczególnych klastrów - problem: odpowiednie dobranie najtrafniejszych genów Seminarium 2004 – PP, SKiSR 31 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Negatywna selekcja - tworzony jest profil poprawnego ruchu ( automated profiler ) - pre-detektor pasujący do profilu normalnego ruchu odpada - pre-detektor nie pasujący staje się detektorem dojrzałym - uaktualnienie biblioteki genów z wykorzystaniem genów dojrzałego detektora ( ewolucja biblioteki genów ) - dojrzałe detektory trafiają na odpowiednie węzły Seminarium 2004 – PP, SKiSR 32 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Selekcja klonalna - detektory, które się nigdy nie dopasowały zanikają - detektory, które się dopasowały stają się detektorami pamięciowymi - klonowanie detektorów pamięciowych - przesłanie klonów na inne węzły Seminarium 2004 – PP, SKiSR 33 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Reakcja - poziom ryzyka na każdym węźle - przykroczenie pewnego poziomu ( tylko, w krótkim odstępie czasu ), sygnalizacja wystąpienia sytuacji anormalnej Seminarium 2004 – PP, SKiSR 34 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Kim, Bentley ) Podsumowanie - błąd węzła, nie przyczyni się do awari całego systemu IDS - w razie awari primary IDS, możliwa odbudowa biblioteki genów - intruz nie pozna do końca opisu anomali przez detektory - jeden detektor może opisywać wiele anomali, nadużyć - dodanie nowego węzła ( nowy proces, nowy zestaw detektorów ) - z czasem detektory stają się coraz sprawniejsze - samoorganizacja ( ewolucja biblioteki genów ) Seminarium 2004 – PP, SKiSR 35 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - pomysł Stevena A. Hofmeyr'a i S. Forrest (Uniwersytet Nowy Meksyk) - wprowadzenie: rozrożnianie self i nonself - model negatywnej detekcji - zastosowanie modelu do problemu wykrywania włamań Seminarium 2004 – PP, SKiSR 36 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - wzorowanie się na ludzkim systemie odpornościowym: używanie sygnatur i wykrywania anomalii - pożadane cechy systemu ID: rozproszona ochrona, różnorodność systemów ID, trwałość, możliwość adaptacji, zdolność pamięci, empirycznie wyznaczana polityka bezpieczeństwa, elastyczność, skalowalność, wykrywanie anomalii Seminarium 2004 – PP, SKiSR 37 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) Detekcja jako konsekwencja dopasowania: Seminarium 2004 – PP, SKiSR 38 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) Problem: false positives i false negative Seminarium 2004 – PP, SKiSR 39 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) Pojedyńczy detektor jest modelem limfocytu a wiązanie jest modelowane jako częściowe dopasowanie stringów, detektor to binarny string o określonej długości l: - stosowanie odległości Hamminga Seminarium 2004 – PP, SKiSR 40 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - algorytm negatywnej selekcji (I): Seminarium 2004 – PP, SKiSR 41 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - algorytm negatywnej selekcji (II), cykl życia detektora: Seminarium 2004 – PP, SKiSR 42 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - algorytm negatywnej selekcji (IV) – problem dziur - brak dopasowań tworzy dziury: - ilość dziur zależna od r i l Seminarium 2004 – PP, SKiSR 43 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - jedno z rozwiązań problemu dziur to tzw. substring hashing. Polega to na podziale detektota na podstringi, przetasowaniu ich i złożeniu w jeden string. Seminarium 2004 – PP, SKiSR 44 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) - założenie dla działającego systemu: l=49, analiza pakietów tcp SYN i modelowanie ruch sieciowego w trójki( adres źródłowy i docelowy, numer portu docelowego) podstawowa reprezentacja: Seminarium 2004 – PP, SKiSR 45 Rozproszony audyt systemów unixowych Model sztucznego układu immunologicznego ( Hofmeyr, Forrest ) Podsumowanie: - ciekawy ale i wymagający pomysł - dobry temat na pracę magisterską a może i doktorat ;) - wady: dużo niejasności w modelu teoretycznym, duże wymagania co do skuteczności działania, problemy w efektywnej realizacji pomysłu :( Seminarium 2004 – PP, SKiSR 46 Rozproszony audyt systemów unixowych AIIDS ( Artificial Immune Intrusion Detection System ) Architektura systemu Seminarium 2004 – PP, SKiSR 47 Rozproszony audyt systemów unixowych Technologie i narzędzia 1. Przechwytywanie pakietów – biblioteka Libpcap ( www.tcpdump.org ) 2. Komunikacja między węzłami - IDMEF ( Intrusion Detection Message Exchange Format ) (http://www.ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-11.txt) - biblioteka Libidmef ( http://sourceforge.net/projects/libidmef ) - IDXP ( Intrusion Detection Exchange Protocol ) (http://www.ietf.org/internet-drafts/draft-ietf-idwg-beep-idxp-07.txt) - biblioteka RoadRunner ( http://rr.codefactory.se ) Seminarium 2004 – PP, SKiSR 48 Rozproszony audyt systemów unixowych Bibliografia [1] J. Stokłosa, T. Bilski, T. Pankowski “Bezpieczeństwo danych w systemach informatycznych” PWN [2] Edward Amoroso „Wykrywanie Intruzów” SIECI [3] Solomon, Berg, Martin, Villee „Biologia” Multico [4] Jai sundar Balasubramaniyan, Jose Omar Garcia-Fernandez, David Isacoff, Eugene Spafford, Diego Zamboni „An architecture for Intrusion Detection using Autonomous Agent” Center for Education and Research in Information Assurance and Security. [5] Steven R. Snapp, James Brentano, Gihan V. Dias, Terrance L. Goan, L.Todd Heberlein, Che-Lin Ho,Karl N.Levitt, Biswanath Mukherjee, Stephen E. Smaha, Tim Grance, Daniel M.Teal and Doug Mansur „DIDS ( Distributed Intrusion Detection System ) - Motivation, Architecture and An Early Prototype” Computer Security Labolatory Division of Computer Science Univeristy of California, Davis. [6] S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip, D. Zerkle „GrIDS Graph based intrusion detection system for large networks” Department of Computer Science, University of California, Davis [7] Jungwon Kim, Peter Bentley „An Artificial Immune Model for Network Intrusion Detection” Department of Computer Science, University Collge London [8] Jungwon Kim, Peter Bentley „Towards an Artificial Immune System for Network Intrusion Detection: An Investigation of Clonal Selection with Negative Selection Operator” Department of Computer Science, University Collge London [9] Stephanie Forrest, Steven A. Hofmeyr, Anil Somayaji „Computer Immulogy” Department of Computer Science, University of New Mexico [10] Stephanie Forrest, Steven A. Hofmeyr „Architecture for an Artificial Immune System” Department of Computer Science, UNM, Albuquerque. Seminarium 2004 – PP, SKiSR 49