RU2279124C1 - Method for protecting computer networks from unsanctioned actions - Google Patents
Method for protecting computer networks from unsanctioned actions Download PDFInfo
- Publication number
- RU2279124C1 RU2279124C1 RU2005101003/09A RU2005101003A RU2279124C1 RU 2279124 C1 RU2279124 C1 RU 2279124C1 RU 2005101003/09 A RU2005101003/09 A RU 2005101003/09A RU 2005101003 A RU2005101003 A RU 2005101003A RU 2279124 C1 RU2279124 C1 RU 2279124C1
- Authority
- RU
- Russia
- Prior art keywords
- identifiers
- unauthorized
- identifier
- array
- irrelevant
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к электросвязи и может быть использовано в системах защиты от несанкционированных воздействий с целью их оперативного выявления и блокирования в вычислительных сетях, в частности в сетях передачи данных (СПД) типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol / Internet Protocol) и описанных в кн.: Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.The invention relates to telecommunications and can be used in systems of protection against unauthorized influences in order to quickly detect and block them in computer networks, in particular in data transmission networks (SPD) of the Internet type, based on the TCP / IP (Transmission Control) family of communication protocols Protocol / Internet Protocol) and described in the book: Kulgin M. Technology corporate networks. Encyclopedia. - St. Petersburg: Publishing House "Peter", 1999. - 704 p.: Ill.
Заявленное техническое решение расширяет арсенал средств данного назначения.The claimed technical solution expands the arsenal of funds for this purpose.
Известен способ защиты от несанкционированных воздействий, реализованный в патенте РФ №2179738, «Способ обнаружения удаленных атак1 (Толкование используемых терминов приведено в Приложении) в компьютерной сети», кл. G 06 F 12/14, заявл. 24.04.2000. Известный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту пакетов данных, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.A known method of protection against unauthorized influences, implemented in the patent of the Russian Federation No. 2179738, "Method of detecting remote attacks 1 (Interpretation of the terms used is given in the Appendix) in a computer network", cl. G 06 F 12/14 stated 04.24.2000. The known method includes the following sequence of actions. Monitoring the information flow of data packets addressed to the subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving successively one after another at intervals of no more than a given time. At the same time, the incoming data packets are checked for compliance with the given rules each time the size of the next observed series reaches a critical number of packets.
Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность2 при обнаружении других типов преднамеренных деструктивных воздействий. В аналоге применяют ограниченную совокупность признаковых описаний несанкционированных воздействий. При этом не учитывают наличия большого количества типов несанкционированных воздействий, что создает условия для пропуска последних и, как следствие, для деструктивных воздействий на вычислительные сети (ВС), что, в свою очередь, приводит к снижению их устойчивости3.The disadvantages of this method are the narrow scope, due to its purpose mainly to protect against substitution of one of the participants in the connection, and insufficient reliability 2 when other types of intentional destructive influences are detected. In the analogue, a limited set of indicative descriptions of unauthorized influences is used. At the same time, they do not take into account the presence of a large number of types of unauthorized influences, which creates the conditions for missing the latter and, as a result, for destructive influences on computer networks (AC), which, in turn, leads to a decrease in their stability 3 .
Известен также способ, позволяющий по изменению состояния объекта защиты обнаруживать несанкционированные воздействия, по патенту РФ №2134897, кл. G 06 F 17/40, «Способ оперативного динамического анализа состояний многопараметрического объекта», заявл. 20.08.1999. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического объекта.There is also a method that allows for changing the state of the object of protection to detect unauthorized influences, according to the patent of the Russian Federation No. 2134897, class. G 06
Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического объекта, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска несанкционированных воздействий и деструктивного воздействия удаленных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости ВС.The disadvantage of this method is the narrow scope, due to the fact that despite the possibility of operational diagnostics of the technical and functional states of a multi-parameter object, it uses a limited set of attribute space, which creates the conditions for skipping unauthorized influences and the destructive effect of remote attacks (see Medvedovsky I. D. et al. Attack on the Internet. - M .: DMK, 1999. - 336 pp., Ill.) And, as a result, reduces the stability of the aircraft.
Наиболее близким по своей технической сущности к заявленному является способ защиты от несанкционированных воздействий, реализованный в устройстве по патенту РФ №2219577, «Устройство поиска информации», кл. G 06 F 17/40, заявл. 24.04.2002. Способ-прототип заключается в том, что принимают из канала связи i-й пакет, где i=1, 2, 3, ..., и запоминают его. Принимают (i+1)-й пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения и по результатам анализа принимают решение о факте наличия несанкционированного воздействия.Closest in its technical essence to the claimed is a method of protection against unauthorized influences, implemented in the device according to the patent of the Russian Federation No. 22199577, "Information Search Device", cl. G 06 F 17/40, claimed 04.24.2002. The prototype method consists in taking the i-th packet from the communication channel, where i = 1, 2, 3, ..., and remember it. Receive the (i + 1) th packet, remember it. Identification signs are extracted from the header of the i-th and (i + 1) -th packets, they are analyzed for consistency and, based on the results of the analysis, they decide on the presence of unauthorized exposure.
По сравнению с аналогами способ-прототип может быть использован в более широкой области, когда не только определяется тип протокола, анализируется состояние контролируемого объекта, но и учитываются правила установления и ведения сеанса связи, что необходимо для повышения достоверности определения факта удаленных несанкционированных воздействий на ВС, проявляющихся в появлении несанкционированных соединений.Compared with analogs, the prototype method can be used in a wider area, when not only the type of protocol is determined, the state of the controlled object is analyzed, but the rules for establishing and maintaining a communication session are taken into account, which is necessary to increase the reliability of determining the fact of remote unauthorized actions on aircraft, manifested in the appearance of unauthorized connections.
Недостатком прототипа является относительно низкая устойчивость ВС в условиях несанкционированных воздействий, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только один тип несанкционированных воздействий (атаки) - «шторм4» ложных запросов на установление соединения, тогда как несанкционированные воздействия других типов, обладающих высокими деструктивными возможностями, не распознаются.The disadvantage of the prototype is the relatively low stability of the aircraft in conditions of unauthorized influences, due to the fact that by comparing two message packets - the next and the previous one, only one type of unauthorized influences (attacks) is recognized - “storm 4 ” of false requests for establishing a connection, while unauthorized influences other types with high destructive capabilities are not recognized.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей от несанкционированных воздействий, обеспечивающего повышение устойчивости функционирования ВС в условиях несанкционированных воздействий за счет повышения достоверности обнаружения (распознавания) несанкционированных воздействий путем расширения признакового пространства системы защиты и за счет управления вычислительными ресурсами ВС, которое осуществляется путем коррекции параметров системы защиты и структуры ВС. Достижение сформулированной цели необходимо для своевременного предоставления сервисных возможностей санкционированным абонентам, а также для обеспечения целостности5, доступности6 и конфиденциальности7 обрабатываемой информации.The purpose of the claimed technical solution is to develop a method for protecting computer networks from unauthorized influences, providing increased stability of the aircraft functioning under unauthorized influences by increasing the reliability of detection (recognition) of unauthorized influences by expanding the attribute space of the protection system and by managing the computing resources of the aircraft, which is carried out by correction of the protection system parameters and aircraft structure. Achieving the stated goal is necessary for the timely provision of service capabilities to authorized subscribers, as well as to ensure integrity 5 , accessibility 6 and confidentiality 7 of the processed information.
Поставленная цель достигается тем, что в известном способе защиты ВС от несанкционированных воздействий, заключающемся в том, что принимают из канала связи последовательно пакеты сообщений с номерами k=1, 2, 3..., выделяют из заголовка каждого принятого пакета сообщений его идентификационные признаки, анализируют их и по результатам анализа принимают решение о наличии или отсутствии несанкционированного воздействия, предварительно задают массив из N≥1 опорных идентификаторов санкционированных соединений и запоминают их. Задают массивы для хранения Q≥1 неактуальных идентификаторов санкционированных соединений, Р≥1 идентификаторов несанкционированных соединений и Х≥1 временно заблокированных идентификаторов, а также М≥1 наименований санкционированных процессов. Кроме того, задают максимально допустимое число Kmax появлений любого из принимаемых несанкционированных соединений, устанавливают первоначальный уровень ZОП коэффициента актуальности для всех опорных идентификаторов, устанавливают первоначальное количество Ki появлений i-го несанкционированного соединения равным нулю, где i=1, 2, 3...P. Кроме того, устанавливают равными нулю начальные значения количества идентификаторов Q, Р и X. После приема очередного k-го пакета сообщений и выделения из его заголовка идентификационных признаков, в качестве которых принимают идентификатор соединения, анализируют его, для чего сравнивают выделенный идентификатор принятого пакета сообщений с опорными идентификаторами санкционированных соединений. В случае совпадения j-го, где j=1, 2, 3..., номер опорного идентификатора, совпавшего с выделенным из принятого пакета сообщений идентификатором, корректируют коэффициенты актуальности опорных идентификаторов, а также корректируют массивы опорных и неактуальных идентификаторов в соответствии с коэффициентами актуальности опорных идентификаторов. Принимают очередной пакет сообщений и повторяют действия по сравнению его идентификатора с опорными. В случае отсутствия совпадения идентификатора принятого пакета сообщений с опорными корректируют коэффициенты актуальности опорных идентификаторов, а также корректируют массивы опорных и неактуальных идентификаторов в соответствии с коэффициентами актуальности опорных идентификаторов. Дополнительно сравнивают идентификатор принятого пакета сообщений с идентификаторами, записанными в массив неактуальных идентификаторов. После чего в случае совпадения дополняют массив опорных идентификаторов, принимают очередной пакет сообщений и повторяют действия по сравнению его идентификатора с опорными и неактуальными идентификаторами. В случае отсутствия совпадения дополнительно сравнивают идентификатор принятого пакета сообщений с ранее запомненным идентификатором i-го несанкционированного соединения, и при их совпадении Ki увеличивают на единицу. В случае отсутствия совпадения корректируют массивы опорных и временно заблокированных идентификаторов, после чего корректируют массив несанкционированных идентификаторов. Принимают очередной пакет сообщений и повторяют перечисленные действия до тех пор, пока не будет выполнено условие Кi=Кmax. При его выполнении сравнивают адрес инициатора i-го несанкционированного соединения с адресами инициаторов соединений, содержащимися в опорных и неактуальных идентификаторах. При совпадении идентифицируют процесс Мi, инициировавший несанкционированное соединение, и в случае совпадения наименования процесса Мi с предварительно запомненными наименованиями санкционированных процессов М дополняют массив опорных идентификаторов. В случае отсутствия совпадения наименования процесса и при отсутствии совпадения адреса инициатора с адресами инициаторов, содержащимися в опорных и неактуальных идентификаторах, принимают решение о наличии несанкционированного воздействия. После этого блокируют источник несанкционированного соединения и удаляют его идентификатор, корректируют массивы опорных и временно заблокированных идентификаторов. После чего принимают очередной пакет сообщений и повторяют цикл сравнений и принятия решения.This goal is achieved by the fact that in the known method of protecting aircraft from unauthorized influences, which consists in receiving message packets with numbers k = 1, 2, 3 ... sequentially from the communication channel, identifying it from the header of each received message packet , analyze them and, based on the results of the analysis, make a decision on the presence or absence of unauthorized exposure, pre-set an array of N≥1 reference identifiers of authorized compounds and remember them. Arrays for storing Q≥1 irrelevant identifiers of authorized connections, P≥1 identifiers of unauthorized connections and X≥1 temporarily blocked identifiers, as well as M≥1 names of authorized processes are defined. In addition, the maximum permissible number K max of occurrences of any of the received unauthorized connections is set, the initial level Z OP of the relevance coefficient for all reference identifiers is set, the initial number K i of occurrences of the i-th unauthorized connection is set to zero, where i = 1, 2, 3 ... P. In addition, the initial values of the number of identifiers Q, P, and X are set to zero. After receiving the next k-th message packet and extracting identification signs from its header, which are taken as the connection identifier, it is analyzed, for which the highlighted identifier of the received message packet is compared with reference identifiers of authorized connections. If the j-th coincides, where j = 1, 2, 3 ..., the number of the reference identifier, which coincides with the identifier selected from the received message packet, corrects the relevance coefficients of the reference identifiers, and also adjusts the arrays of the reference and irrelevant identifiers in accordance with the coefficients relevance of reference identifiers. They accept the next packet of messages and repeat the actions in comparison with its identifier with the reference ones. If there is no coincidence of the identifier of the received message packet with the reference ones, the relevance coefficients of the reference identifiers are adjusted, and the arrays of reference and irrelevant identifiers are adjusted in accordance with the relevance coefficients of the reference identifiers. Additionally, the identifier of the received message packet is compared with the identifiers recorded in the array of irrelevant identifiers. Then, in case of coincidence, they supplement the array of reference identifiers, receive the next packet of messages and repeat the steps in comparison with its identifier with reference and irrelevant identifiers. If there is no match, the identifier of the received message packet is additionally compared with the previously stored identifier of the i-th unauthorized connection, and if they coincide, K i is increased by one. If there is no match, the arrays of reference and temporarily blocked identifiers are corrected, after which the array of unauthorized identifiers is adjusted. Receive the next batch of messages and repeat the above steps until the condition K i = K max . When it is executed, the address of the initiator of the i-th unauthorized connection is compared with the addresses of the initiators of the connections contained in the reference and irrelevant identifiers. If they coincide, they identify the process M i that initiated the unauthorized connection, and if the name of the process M i coincides with the previously stored names of the authorized processes M, they supplement the array of reference identifiers. If there is no coincidence of the name of the process and if there is no coincidence of the initiator's address with the addresses of the initiators contained in the reference and irrelevant identifiers, they decide on the presence of unauthorized influence. After that, the source of the unauthorized connection is blocked and its identifier is deleted, arrays of reference and temporarily blocked identifiers are corrected. Then they take the next packet of messages and repeat the cycle of comparisons and decision making.
В качестве идентификатора соединения принимают идентификационные признаки соединения, которые содержат адреса и номера портов отправителя и получателя пакетов.As the connection identifier, identification signs of the connection are taken, which contain the addresses and port numbers of the sender and receiver of the packets.
Для коррекции коэффициентов актуальности опорных идентификаторов при наличии совпадения идентификатора принятого пакета сообщений с одним из опорных коэффициенты актуальности всех опорных идентификаторов, кроме совпавшего Zj, уменьшают на единицу.To correct the relevance coefficients of the reference identifiers, if the identifier of the received message packet matches one of the reference coefficients, the relevance coefficients of all the reference identifiers, except for the coincident Z j , are reduced by one.
Для коррекции массивов опорных и неактуальных идентификаторов запоминают дополнительно опорные идентификаторы, коэффициент актуальности которых Zj=0, в массив неактуальных идентификаторов. Удаляют опорные идентификаторы, коэффициент актуальности которых равен нулю из массива опорных идентификаторов и количество неактуальных идентификаторов Q увеличивают на количество опорных идентификаторов, перемещенных в массив неактуальных идентификаторов.For correction of arrays of reference and irrelevant identifiers, additional reference identifiers, the relevance coefficient of which Z j = 0, are stored in an array of irrelevant identifiers. The reference identifiers are deleted, the relevance coefficient of which is zero from the array of reference identifiers, and the number of non-relevant identifiers Q is increased by the number of reference identifiers moved to the array of non-relevant identifiers.
Для коррекции коэффициентов актуальности опорных идентификаторов в случае отсутствия совпадения идентификатора принятого пакета сообщений с опорными, коэффициенты актуальности всех опорных идентификаторов уменьшают на единицу.To correct the relevance coefficients of the reference identifiers in the absence of a match of the identifier of the received message packet with the reference ones, the relevance coefficients of all the reference identifiers are reduced by one.
Для дополнения массива опорных идентификаторов идентификатор, совпавший с идентификатором принятого пакета сообщений, удаляют из массива неактуальных идентификаторов, запоминают его в массив опорных идентификаторов, устанавливают для него коэффициент актуальности Zj=ZОП, a количество неактуальных идентификаторов Q уменьшают на единицу.To supplement the array of reference identifiers, the identifier that matches the identifier of the received message package is removed from the array of irrelevant identifiers, stored in an array of reference identifiers, the relevance coefficient Z j = Z OP is set for it, and the number of irrelevant identifiers Q is reduced by one.
Для коррекции массивов опорных и временно заблокированных идентификаторов увеличивают на единицу количество идентификаторов несанкционированных соединений Р и сравнивают его с общим количеством временно заблокированных и неактуальных идентификаторов Q и X. При выполнении условия P>(Q+X) удаляют из массива опорных идентификаторов один опорный идентификатор с наименьшим коэффициентом актуальности, запоминают его в массив временно заблокированных идентификаторов и количество временно заблокированных идентификаторов Х увеличивают на единицу.To correct arrays of reference and temporarily blocked identifiers, the number of identifiers of unauthorized connections P is increased by one and compared with the total number of temporarily blocked and irrelevant identifiers Q and X. When the condition P> (Q + X) is fulfilled, one reference identifier with the lowest coefficient of relevance, remember it in an array of temporarily blocked identifiers and the number of temporarily blocked identifiers X increase by e dynice.
Для коррекции массива несанкционированных идентификаторов запоминают идентификатор принятого пакета сообщений в массив несанкционированных идентификаторов, присваивают ему очередной (i+1)-й идентификационный номер и число его появлений Ki+1 увеличивают на единицу.To correct an array of unauthorized identifiers, the identifier of the received message packet is stored in an array of unauthorized identifiers, assigned to it the next (i + 1) th identification number and the number of its occurrences K i + 1 is increased by one.
Для идентификации процесса Мi формируют пакет с запросом инициатору i-го несанкционированного соединения на предоставление наименования процесса Mi, инициирующего несанкционированное соединение. Передают пакет с запросом, принимают инициатором i-го несанкционированного соединения пакет с запросом на предоставление наименования процесса Мi и формируют пакет с ответом, содержащим наименование процесса Мi. Передают его и сравнивают наименование процесса Мi с предварительно запомненными наименованиями санкционированных процессов М.To identify the process M i form a package with a request to the initiator of the i-th unauthorized connection to provide the name of the process M i initiating an unauthorized connection. The packet with the request is transmitted, the initiator of the i-th unauthorized connection receives the packet with the request to provide the name of the process M i and form a packet with a response containing the name of the process M i . Transfer it and compare the name of the process M i with previously stored names of authorized processes M.
Для дополнения массива опорных идентификаторов в случае совпадения наименования процесса Mi с наименованиями санкционированных процессов дополнительно запоминают в массив опорных идентификаторов новый опорный идентификатор, а его коэффициенту актуальности присваивают первоначальное значение ZОП.To complement the array of reference identifiers in the case of coincidence here M i process names authorized processes additionally stored in the array reference identifiers new reference identifier, and its relevance coefficient is assigned the initial value Z OP.
Для коррекции массивов опорных и временно заблокированных идентификаторов после блокирования инициатора несанкционированного соединения количество несанкционированных соединений Р уменьшают на единицу, после чего при выполнении условия Х>0 удаляют один заблокированный идентификатор с наибольшим коэффициентом актуальности из массива временно заблокированных идентификаторов, запоминают его в массив опорных идентификаторов и количество временно заблокированных идентификаторов Х уменьшают на единицу.To correct arrays of reference and temporarily blocked identifiers after blocking the initiator of an unauthorized connection, the number of unauthorized connections P is reduced by one, after which, when condition X> 0 is fulfilled, one blocked identifier with the highest relevance coefficient is deleted from the array of temporarily blocked identifiers, and it is stored in the array of reference identifiers and the number of temporarily blocked identifiers X is reduced by one.
Повышение устойчивости функционирования ВС в условиях несанкционированных воздействий в заявленном способе обеспечивается благодаря новой совокупности существенных признаков за счет повышения достоверности обнаружения (распознавания) несанкционированных воздействий путем расширения признакового пространства системы защиты и за счет управления вычислительными ресурсами ВС, которое осуществляется путем коррекции параметров системы защиты и структуры ВС, что необходимо для своевременного предоставления сервисных возможностей санкционированным абонентам, а также обеспечения целостности, доступности и конфиденциальности обрабатываемой информации, так как узлы ВС обладают уязвимостями8 программного обеспечения, подвергаются преднамеренным деструктивным воздействиям удаленных компьютерных атак, признаками наличия которых являются несанкционированные соединения, а высокая пропускная способность современных СПД значительно расширяет деструктивные возможности удаленных атак. Кроме того, несанкционированные соединения могут являться признаками наличия вредоносного программного обеспечения и нарушения политики безопасности9 санкционированными пользователями. В наихудшем случае будет не только нарушена работа санкционированных абонентов, но и ограничены возможности системы защиты по коррекции параметров самой системы и структуры ВС в связи с резким увеличением потребления вычислительного ресурса за счет несанкционированных воздействий и за счет ответной реакции системы защиты на несанкционированные воздействия. В связи с этим необходимо своевременно высвобождать вычислительный ресурс путем временного приостановления некоторых некритических санкционированных приложений.Improving the stability of the functioning of the aircraft in the conditions of unauthorized influences in the claimed method is ensured by a new set of essential features by increasing the reliability of detection (recognition) of unauthorized influences by expanding the attribute space of the protection system and by managing the computing resources of the aircraft, which is carried out by adjusting the parameters of the protection system and structure Sun, which is necessary for the timely provision of service capabilities with nktsionirovannym subscribers as well as to ensure the integrity, availability and confidentiality of information being processed, as sun nodes have vulnerabilities 8 software undergo intentional destructive effects remote computer attacks, features whose presence is unauthorized connections and high bandwidth modern SAP significantly expands destructive capabilities remote attacks. In addition, unauthorized connections may indicate malicious software and a violation of security policy by 9 authorized users. In the worst case, not only will the work of authorized subscribers be disrupted, but the capabilities of the protection system to correct the parameters of the system and aircraft structure will be limited due to a sharp increase in the consumption of computing resources due to unauthorized influences and due to the response of the protection system to unauthorized influences. In this regard, it is necessary to timely release the computing resource by temporarily suspending some non-critical authorized applications.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют, что указывает на соответствие заявленного устройства условию патентоспособности «новизна». Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The analysis of the prior art made it possible to establish that analogues that are characterized by a combination of features identical to all the features of the claimed technical solution are absent, which indicates the compliance of the claimed device with the patentability condition of "novelty". Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed object from the prototype showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention, the transformations on the achievement of the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".
Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:
фиг.1 - иерархия протоколов семейства TCP/IP;figure 1 - the hierarchy of protocols of the TCP / IP family;
фиг.2 - взаимосвязь показателей защищенности ВС от несанкционированных воздействий;figure 2 - the relationship of the security indicators of the aircraft from unauthorized influences;
фиг.3 - структура заголовков IP- и TCP-пакетов сообщений;figure 3 - the structure of the headers of the IP and TCP message packets;
фиг.4 - блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий;figure 4 - block diagram of an algorithm that implements the claimed method of protecting computer networks from unauthorized influences;
фиг.5 - интерфейс пользователя программного макета системы защиты ВС от несанкционированных воздействий;5 is a user interface of a software layout of the aircraft protection system against unauthorized influences;
фиг.6 - гистограмма, поясняющая изменение коэффициентов актуальности санкционированных соединений.6 is a histogram explaining the change in the relevance coefficients of authorized compounds.
Известно, что для обеспечения информационной безопасности ВС необходимо с высокой достоверностью определять факты несанкционированных воздействий и своевременно реагировать на их появление. Деструктивные возможности удаленных атак и вредоносных программ связаны с тем, что большинство из них напрямую нацелены на слабые места средств защиты, уязвимости операционных систем и системных приложений (см., например, Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил. стр.115-123), составляющих материальную основу узлов ВС. Для выполнения целевых функций ВС и работы системы защиты затрачиваются вычислительные ресурсы, а появление несанкционированных воздействий может, в наихудшем случае, вызвать наряду со снижением пропускной способности СПД и нехватку вычислительных ресурсов. Это связано с необходимостью реагирования на появление несанкционированных соединений, с ограниченной вычислительной мощностью системы защиты и ограниченной длиной очереди запросов на обслуживание. Из этого следует вывод о низкой устойчивости ВС при возникновении несанкционированных воздействий, признаком которых является появление несанкционированных соединений. Гарантированно решить задачу своевременного предоставления вычислительных ресурсов можно за счет временного блокирования некоторых целевых функций ВС. Целевыми функциями ВС являются обработка запросов на обслуживание от санкционированных абонентов и выполнение расчетных задач. Существующие технические решения не позволяют достичь указанных целей в автоматическом режиме и требуют вмешательства обслуживающего персонала.It is known that in order to ensure the information security of the aircraft, it is necessary to determine with high reliability the facts of unauthorized influences and to respond in a timely manner to their occurrence. The destructive capabilities of remote attacks and malware are related to the fact that most of them are directly aimed at the weaknesses of security tools, vulnerabilities in operating systems and system applications (see, for example, Koneev I.R., Belyaev A.V. Information security of an enterprise. - SPb .: BHV-Petersburg, 2003. - 752 p.: Ill. P. 115-123), which constitute the material basis of the aircraft nodes. Computing resources are spent to perform the aircraft’s target functions and the protection system, and the appearance of unauthorized influences may, in the worst case, cause, along with a decrease in the data throughput, a lack of computing resources. This is due to the need to respond to the emergence of unauthorized connections, with limited processing power of the security system and a limited queue of service requests. This leads to the conclusion about the low stability of the aircraft in the event of unauthorized influences, a sign of which is the appearance of unauthorized connections. It is guaranteed to solve the problem of timely provision of computing resources by temporarily blocking some target functions of the aircraft. The target functions of the aircraft are processing service requests from authorized subscribers and performing settlement tasks. Existing technical solutions do not allow to achieve these goals in automatic mode and require the intervention of staff.
Используемый механизм создания соединений для организации обмена сообщениями между узлами ВС за счет своей гибкости и универсальности позволяет осуществлять распределенные вычисления и создавать клиент-серверные приложения. Процесс защиты от несанкционированных воздействий ВС, решающих такие задачи, является трудно формализуемым и требующим разработки новых технических решений. Одной из важнейших причин трудностей формализации является большое количество протоколов, реализованных в семействе TCP/IP. Иерархия семейства протоколов ТСР/IP представлена на фиг.1.The mechanism used to create connections for organizing the exchange of messages between aircraft nodes due to its flexibility and versatility allows distributed computing and client-server applications. The process of protection against unauthorized influences of the armed forces solving such problems is difficult to formalize and requires the development of new technical solutions. One of the most important reasons for formalization difficulties is the large number of protocols implemented in the TCP / IP family. The hierarchy of the TCP / IP protocol family is shown in FIG.
Поиск эффективных технических решений повышения устойчивости функционирования ВС в условиях несанкционированных воздействий может быть осуществлен, как показано на фиг.2, путем повышения эффективности функционирования системы защиты, которого можно достичь за счет повышения достоверности обнаружения (распознавания) несанкционированных воздействий путем расширения признакового пространства системы защиты и за счет управления вычислительными ресурсами ВС, которое осуществляется путем коррекции параметров системы защиты и структуры ВС. Значение показателей эффективности системы защиты выбирают в зависимости от требуемой достоверности и своевременности обнаружения несанкционированных соединений и с учетом пропускной способности СПД, а также в зависимости от подверженности изменениям отношений объектов и субъектов доступа защищаемой ВС. Критерием необходимости принятия решения на управление вычислительными ресурсами является значение отношения количества зарегистрированных несанкционированных соединений к общему количеству временно заблокированных и неактуальных соединений.The search for effective technical solutions to increase the stability of the functioning of the aircraft in conditions of unauthorized influences can be carried out, as shown in figure 2, by increasing the efficiency of the protection system, which can be achieved by increasing the reliability of detection (recognition) of unauthorized influences by expanding the attribute space of the protection system and due to the control of computing resources of the aircraft, which is carried out by adjusting the parameters of the protection system and structure Sun's. The value of the effectiveness indicators of the protection system is selected depending on the required reliability and timeliness of detection of unauthorized connections and taking into account the throughput of the SPD, as well as depending on the susceptibility to changes in the relations of objects and access subjects of the protected aircraft. The criterion for the need for a decision to manage computing resources is the value of the ratio of the number of registered unauthorized connections to the total number of temporarily blocked and irrelevant connections.
Заявленный способ реализуют следующим образом. Структура пакетов сообщений известна (см., например, Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер», 1999. - 704 с.: ил.), как известен и принцип передачи пакетов в ВС, что дает возможность анализа идентификационных признаков участников соединения и формирования опорных идентификаторов. Например, на фиг.3 представлены структуры заголовков IP- и TCP-пакетов сообщений. Полужирным шрифтом выделены поля идентификаторов соединений, по которым определяют сетевые адреса отправителя и получателя пакетов сообщений, а также их порты.The claimed method is implemented as follows. The structure of message packets is known (see, for example, Kulgin M. Technologies for corporate networks. Encyclopedia. - St. Petersburg: Piter Publishing House, 1999. - 704 pp., Ill.), As well as the principle of transferring packets to the sun, which gives the ability to analyze the identification of participants in the connection and the formation of reference identifiers. For example, FIG. 3 shows the header structures of IP and TCP message packets. Fields of connection identifiers are identified in bold for identifying the network addresses of the sender and receiver of message packets, as well as their ports.
На фиг.4 представлена блок-схема алгоритма, реализующего заявленный способ защиты вычислительных сетей от несанкционированных воздействий, в которой приняты следующие обозначения:Figure 4 presents a block diagram of an algorithm that implements the claimed method of protecting computer networks from unauthorized influences, in which the following notation:
Zоп - первоначальный уровень коэффициента актуальности всех опорных идентификаторовZ op - the initial level of the coefficient of relevance of all reference identifiers
IDпр - идентификатор принятого пакета сообщенийID pr - identifier of the received message packet
IDоп - опорный идентификатор санкционированного соединенияID op - reference identifier of the authorized connection
{IDоп} - совокупность опорных идентификаторов санкционированных соединений{ID op } - set of reference identifiers of authorized connections
Zj - коэффициент актуальности j-го опорного идентификатора санкционированного соединенияZ j - the relevance coefficient of the j-th reference identifier of the authorized connection
IDнеакт - неактуальный идентификатор санкционированного соединенияId id - outdated authorized connection identifier
{IDнеакт} - совокупность неактуальных идентификаторов санкционированных соединений{Id id } - a collection of irrelevant identifiers of authorized connections
IDнс - идентификатор несанкционированного соединения Ns id - unauthorized connection identifier
IDбл - идентификатор временно заблокированного санкционированного соединенияID bl - identifier of a temporarily blocked authorized connection
{IDбл} - совокупность идентификаторов временно заблокированных санкционированных соединений{ID bl } - set of identifiers of temporarily blocked authorized connections
{IDнс} - совокупность запомненных идентификаторов несанкционированных соединений{ Ns id} - collection of stored identifiers of unauthorized connections
IPпр - адрес инициатора несанкционированного соединения (адрес принятого пакета сообщений)IP pr - unauthorized connection initiator address (address of the received message packet)
{IPоп} - совокупность адресов инициаторов соединений, находящихся в списке опорных идентификаторов{IP op } - the set of addresses of the initiators of the connections in the list of reference identifiers
{IPнеакт} - совокупность адресов инициаторов соединений, находящихся в списке опорных идентификаторов{IP inact } - the set of addresses of the initiators of the connections in the list of reference identifiers
Мпр - наименование процесса, инициировавшего несанкционированное соединениеM pr - the name of the process that initiated the unauthorized connection
{Моп} - множество наименований санкционированных процессов{M op } - many names of authorized processes
Предварительно задают (см. блок 1 на фиг.4) массив из N≥1 опорных идентификаторов санкционированных соединений, в качестве которых принимают идентификационные признаки соединений, содержащие адреса и номера портов отправителя и получателя пакетов, и запоминают их. Задают массивы для хранения Q≥1 неактуальных идентификаторов санкционированных соединений, Р≥1 идентификаторов несанкционированных соединений и Х≥1 временно заблокированных идентификаторов, а также задают М≥1 наименований санкционированных процессов. Кроме того, задают максимально допустимое число Kmax появлений любого из принимаемых несанкционированных соединений и устанавливают первоначальный уровень ZОП коэффициента актуальности для всех опорных идентификаторов. Устанавливают первоначальное количество Кi появлений i-го несанкционированного соединения, равным нулю, где i=1, 2, 3...Р. Кроме того, устанавливают равными нулю начальные значения количества идентификаторов Q, Р и X.Pre-set (see
Из канала связи принимают (см. блок 2 на фиг.4) k-й пакет сообщения, где k=1, 2, 3..., и выделяют (см. блок 3 на фиг.4) из заголовка принятого пакета идентификационные признаки, в качестве которых рассматривают идентификатор соединения. Затем сравнивают (см. блок 4 на фиг.4) выделенный идентификатор с опорными на предмет совпадения. Совпадение при этой проверке означает, что принятый пакет сообщений относится к санкционированному соединению. Далее корректируют коэффициенты актуальности опорных идентификаторов, для чего уменьшают (см. блок 5 на фиг.4) на единицу коэффициенты актуальности, принадлежащие всем опорным идентификаторам кроме совпавшего с выделенным из принятого пакета сообщений. Под коэффициентами актуальности опорных идентификаторов понимают показатель, характеризующий относительную частоту появления пакета сообщений с идентификационными признаками, совпадающими с опорным идентификатором, в канале связи. Использование этого показателя обусловлено необходимостью сокращения времени, затрачиваемого на анализ каждого пакета сообщений. Затем корректируют (см. блок 7 на фиг.4) массивы опорных и неактуальных идентификаторов в соответствии с коэффициентами актуальности опорных идентификаторов, для чего запоминают дополнительно опорные идентификаторы, коэффициент актуальности которых Zj равен нулю, в массив неактуальных идентификаторов. Удаляют опорные идентификаторы, коэффициент актуальности которых Zj равен нулю, из массива опорных идентификаторов. Количество неактуальных идентификаторов Q увеличивают на количество опорных идентификаторов, перемещенных в массив неактуальных идентификаторов. После этого принимают (см. блок 8 на фиг.4) очередной пакет сообщений и повторяют действия по сравнению его идентификатора с опорными.From the communication channel, the k-th message packet is received (see
В случае отсутствия совпадения идентификатора принятого пакета сообщений с предварительно запомненными опорными идентификаторами корректируют коэффициенты актуальности опорных идентификаторов, для чего коэффициенты актуальности всех опорных идентификаторов уменьшают на единицу (см. блок 9 на фиг.4). Корректируют (см. блок 11 на фиг.4) массивы опорных и неактуальных идентификаторов в соответствии с коэффициентами актуальности опорных идентификаторов, для чего запоминают дополнительно опорные идентификаторы, коэффициент актуальности которых Zj равен нулю, в массив неактуальных идентификаторов. Удаляют опорные идентификаторы, коэффициент актуальности которых Zj равен нулю из массива опорных идентификаторов. Количество неактуальных идентификаторов Q увеличивают на количество опорных идентификаторов, перемещенных в массив неактуальных идентификаторов.In the absence of coincidence of the identifier of the received message packet with previously stored reference identifiers, the relevance coefficients of the reference identifiers are adjusted, for which the relevance coefficients of all the reference identifiers are reduced by one (see
Затем дополнительно сравнивают (см. блок 12 на фиг.4) идентификатор принятого пакета сообщений с идентификаторами, записанными в массив неактуальных идентификаторов.Then, the identifier of the received message packet with the identifiers recorded in the array of irrelevant identifiers is further compared (see
В случае совпадения дополняют (см. блок 13 на фиг.4) массив опорных идентификаторов, для чего идентификатор, совпавший с идентификатором принятого пакета сообщений, удаляют из массива неактуальных идентификаторов, запоминают его в массив опорных идентификаторов и устанавливают (см. блок 14 на фиг.4) для него коэффициент актуальности Zj, равный ZОП. Количество неактуальных идентификаторов Q уменьшают на единицу. После этого принимают (см. блок 8 на фиг.4) очередной пакет сообщений и повторяют действия по сравнению его идентификатора с опорными и неактуальными идентификаторами.In case of coincidence, the array of reference identifiers is supplemented (see
При отсутствии совпадения (см. блок 16 на фиг.4) дополнительно сравнивают идентификатор принятого пакета сообщений с ранее запомненным идентификатором i-го несанкционированного соединения. При их совпадении (см. блок 23 на фиг.4) число его появлений Кi увеличивают на единицу. В случае отсутствия совпадения (см. блок 17 на фиг.4) корректируют массивы опорных и временно заблокированных идентификаторов, для чего увеличивают на единицу количество идентификаторов несанкционированных соединений Р и сравнивают (см. блок 18 на фиг.4) его с общим количеством временно заблокированных и неактуальных идентификаторов Q и X. Результат этого сравнения - критерий необходимости принятия решения на управление вычислительными ресурсами, который является значением отношения количества зарегистрированных несанкционированных соединений к общему количеству временно заблокированных и неактуальных соединений. При выполнении условия P>(Q+X) удаляют из массива опорных идентификаторов один опорный идентификатор с наименьшим коэффициентом актуальности и запоминают его в массив временно заблокированных идентификаторов (см. блок 19 на фиг.4). Количество временно заблокированных идентификаторов Х увеличивают на единицу. Затем корректируют (см. блок 21 на фиг.4) массив несанкционированных идентификаторов, для чего запоминают идентификатор принятого пакета сообщений в массив несанкционированных идентификаторов, присваивают ему очередной (i+1)-й идентификационный номер и число его появлений Кi+1 увеличивают на единицу.If there is no match (see
Далее принимают очередной пакет сообщений и повторяют перечисленные действия до тех пор, пока не будет выполнено условие Кi=Кmax (см. блок 24 на фиг.4) и при его выполнении сравнивают (см. блок 25 на фиг.4) адрес инициатора i-го несанкционированного соединения с адресами инициаторов соединений, содержащимися в составе опорных и неактуальных идентификаторов.Next, they take the next message packet and repeat the above steps until the condition K i = K max (see
При наличии совпадения идентифицируют процесс Мi, инициировавший несанкционированное соединение. Это связано с тем, что в случае обнаружения несанкционированного ИП требуется дополнительная проверка, т.к. при установлении активного соединения в семействе протоколов TCP/IP может быть выбран любой порт из диапазона 0...65535 (см., например, Золотов С. Протоколы Internet. - СПб.: BHV - Санкт-Петербург, 1998. - 304 с., ил.), следовательно, необходимо определить, является ли процесс, инициировавший соединение, санкционированным. Для этого формируют пакет с запросом абоненту с адресом, указанным в идентификаторе i-го несанкционированного соединения, на предоставление наименования процесса Мi, инициировавшего несанкционированное соединение, передают (см. блок 26 на фиг.4) пакет с запросом, принимают инициатором i-го несанкционированного соединения пакет с запросом на предоставление наименования процесса Мi и формируют пакет с ответом, содержащим наименование процесса Mi, передают (см. блок 27 на фиг.4) его и сравнивают (см. блок 28 на фиг.4) наименование процесса Мi с предварительно запомненными наименованиями санкционированных процессов М. При наличии указанного наименования Mi в составе предварительно заданных санкционированных процессов М дополняют (см. блок 29 на фиг.4) массив опорных идентификаторов, для чего дополнительно запоминают в массив опорных идентификаторов новый опорный идентификатор, а его коэффициенту актуальности присваивают первоначальное значение ZОП.If there is a match, the process M i that initiated the unauthorized connection is identified. This is due to the fact that in case of detection of an unauthorized IP, an additional check is required, because when an active connection is established in the TCP / IP protocol family, any port from the
В случае отсутствия совпадения наименования процесса и при отсутствии совпадения адреса инициатора с адресами инициаторов, содержащимися в опорных и неактуальных идентификаторах, принимают решение о наличии несанкционированного воздействия, после чего блокируют (см. блок 31 на фиг.4) источник несанкционированного соединения, для чего блокируют либо процесс Mi, инициировавший несанкционированное соединение, либо абонента с адресом, указанным в идентификаторе данного несанкционированного соединения, и удаляют его идентификатор. Корректируют массивы опорных и временно заблокированных идентификаторов, для чего количество несанкционированных соединений Р уменьшают на единицу, после чего при выполнении условия Х>0 удаляют один заблокированный идентификатор с наибольшим коэффициентом актуальности из массива временно заблокированных идентификаторов и запоминают (см. блок 35 на фиг.4) его в массив опорных идентификаторов. Количество временно заблокированных идентификаторов Х уменьшают на единицу.If there is no coincidence of the name of the process and if there is no coincidence of the initiator address with the addresses of the initiators contained in the reference and irrelevant identifiers, they decide on the presence of unauthorized interference, and then block the source of the unauthorized connection (see
После этого принимают очередной пакет сообщений и повторяют цикл сравнений и принятия решения.After that, they take the next packet of messages and repeat the cycle of comparisons and decision making.
Возможность реализации сформулированного технического результата была проверена путем создания макета программного комплекса и проведения натурного эксперимента. На фиг.5,а, б представлен интерфейс пользователя программного макета системы защиты ВС от несанкционированных воздействий. На фиг.5,а показаны обнаруженные системой защиты санкционированные соединения, их идентификаторы и текущие коэффициенты актуальности, время установления соединений, а также наименования процессов, их инициировавших (например, в строке 820 показано соединение, установленное в момент времени, указанный в столбце «время», с идентификатором, указанным в столбцах «отправитель» и «получатель», коэффициентом актуальности, указанным в столбце «коэфф...», и наименованием процесса его инициировавшего, указанным в столбце «процесс»). На фиг.5,б показаны список несанкционированных соединений, заблокированных системой защиты, их идентификаторы и время обнаружения, а также наименования процессов их инициировавших (например, в строке 4 показано соединение, обнаруженное в момент времени, указанный в столбце «время», с идентификатором, указанным в столбцах «отправитель» и «получатель», коэффициентом актуальности, указанным в столбце «коэфф...», и наименованием процесса его инициировавшего, указанным в столбце «процесс»).The feasibility of implementing the formulated technical result was tested by creating a mock-up of a software package and conducting a full-scale experiment. Figure 5, a, b presents the user interface of the software layout of the aircraft protection system from unauthorized influences. Figure 5, a shows the authorized connections detected by the protection system, their identifiers and current relevance factors, the connection establishment time, and the names of the processes that initiated them (for example, row 820 shows the connection established at the time indicated in the "time" column ”, With the identifier indicated in the“ sender ”and“ recipient ”columns, the relevance coefficient indicated in the“ coefficient ... ”column, and the name of the process that initiated it, indicated in the“ process ”column). Figure 5, b shows a list of unauthorized connections blocked by the security system, their identifiers and the time of detection, as well as the names of the processes that initiated them (for example, row 4 shows the connection detected at the time indicated in the "time" column with the identifier indicated in the “sender” and “receiver” columns, the relevance coefficient indicated in the “coefficient ...” column, and the name of the process that initiated it, indicated in the “process” column).
В ходе эксперимента были выявлены следующие типы соединений:During the experiment, the following types of compounds were identified:
- Санкционированные соединения. Идентификаторы таких соединений содержатся в массиве опорных идентификаторов, а также могут находиться (могут быть перенесены) в массивах неактуальных и временно заблокированных идентификаторов.- Authorized connections. Identifiers of such connections are contained in an array of reference identifiers, and can also be (can be transferred) in arrays of irrelevant and temporarily blocked identifiers.
- Соединения, источниками которых являются санкционированные абоненты, но идентификаторы этих соединений не совпадают с опорными и хранятся в массиве несанкционированных идентификаторов. Такие соединения могут после определения наименования процесса, их инициировавшего, быть блокированы, либо их идентификаторы будут дополнительно внесены в массив опорных идентификаторов.- Connections, the sources of which are authorized subscribers, but the identifiers of these connections do not coincide with the reference ones and are stored in an array of unauthorized identifiers. Such connections can, after determining the name of the process that initiated them, be blocked, or their identifiers will be additionally added to the array of reference identifiers.
- Соединения, источниками которых являются несанкционированные абоненты, и их идентификаторы хранятся в массиве несанкционированных идентификаторов. Такие соединения являются несанкционированными и должны быть блокированы.- Connections originating from unauthorized subscribers and their identifiers are stored in an array of unauthorized identifiers. Such connections are unauthorized and must be blocked.
В начале работы макета программного комплекса все санкционированные соединения имели опорные идентификаторы с коэффициентом актуальности, равным ZОП=500, как это видно на фиг.6 (момент времени t1). За время работы системы защиты коэффициенты актуальности идентификаторов санкционированных соединений были подвержены коррекции (моменты времени t2, t3, t4). Среди представленных санкционированных соединений отображены соединения, коэффициенты актуальности идентификаторов которых снизились до нуля (соединения 6, 11). Идентификаторы таких соединений были удалены из списка опорных идентификаторов. За время работы системы защиты выявлены новые санкционированные соединения (соединения 13, 14, 15), идентификаторы которых были дополнительно внесены в список опорных, и их коэффициентам актуальности присвоено опорное значение ZОП.At the beginning of the layout of the software package, all authorized connections had reference identifiers with a relevance coefficient equal to Z OP = 500, as can be seen in Fig.6 (time t1). During the operation of the protection system, the relevance coefficients of identifiers of authorized compounds were subject to correction (time instants t2, t3, t4). Among the authorized compounds represented, compounds are displayed whose relevance coefficients for identifiers have decreased to zero (
Из представленных результатов следуют выводы: при повышении достоверности обнаружения (распознавания) несанкционированных воздействий путем расширения признакового пространства системы защиты и при управлении вычислительными ресурсами ВС, которое осуществляется путем коррекции параметров системы защиты и структуры ВС, заявленный способ обеспечивает повышение устойчивости ВС в условиях несанкционированных воздействий.From the presented results, the following conclusions follow: when increasing the reliability of detection (recognition) of unauthorized influences by expanding the attribute space of the protection system and when managing the computing resources of the aircraft, which is carried out by adjusting the parameters of the protection system and structure of the aircraft, the claimed method provides increased stability of the aircraft under unauthorized actions.
Дополнительными положительными свойствами заявленного способа являются: возможность объединения абонентов в группы за счет предварительного задания опорных идентификаторов санкционированных соединений и обеспечения, таким образом, сегментации ВС на зоны безопасности; возможность автоматического блокирования санкционированных абонентов и групп абонентов, нарушающих политику безопасности; возможность обнаружения несанкционированных воздействий не только на этапе реализации атаки, но и, что очень важно (см., например, Лукацкий А.В. Обнаружение атак. - СПб.: БХВ - Петербург, 2001. - 624 с.: ил. на стр.51), на этапе сбора информации о ВС нарушителем, так как при этом возникают несанкционированные соединения; увеличение быстродействия системы защиты по сравнению с другими известными системами, основанными на сигнатурном методе выявления несанкционированных воздействий за счет контроля легитимности соединений вместо сопоставления каждого пакета сообщений с базой данных сигнатур известных атак; увеличение быстродействия системы защиты за счет автоматического удаления из списка опорных идентификаторов санкционированных соединений устаревших (неактуальных) идентификаторов, и, следовательно, сокращения времени анализа каждого принимаемого пакета сообщений.Additional positive properties of the claimed method are: the possibility of combining subscribers into groups by pre-setting the reference identifiers of authorized connections and ensuring, thus, segmentation of aircraft into security zones; the ability to automatically block authorized subscribers and groups of subscribers that violate the security policy; the possibility of detecting unauthorized influences not only at the stage of the attack, but also, which is very important (see, for example, A. Lukatsky, Detection of attacks. - St. Petersburg: BHV - Petersburg, 2001. - 624 pp., ill. on page .51), at the stage of collecting information about the aircraft by the intruder, as this results in unauthorized connections; increase in the speed of the protection system in comparison with other known systems based on the signature method of detecting unauthorized influences by controlling the legitimacy of connections instead of matching each message packet with a database of signatures of known attacks; increasing the speed of the protection system by automatically removing from the list of reference identifiers of authorized connections of outdated (irrelevant) identifiers, and, therefore, reducing the analysis time of each received message packet.
Приложениеapplication
Перечень используемых терминовList of Terms Used
1Атака - практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ - Петербург, 2003. - 752 с.: ил. на стр.30]. 1 Attack - the practical implementation of a threat or an attempt to implement it using one or another vulnerability [Koneev I.R., Belyaev A.V. Information security of the enterprise. - SPb .: BHV - Petersburg, 2003 .-- 752 p.: Ill. on page 30].
2Достоверность - степень объективного соответствия результатов диагностирования (контроля) действительному техническому состоянию объекта [Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М.Лихачева, С.П.Присяжнюка. СПб.: Издательство МО РФ, 2001.]. 2 Reliability - the degree of objective correspondence of the results of diagnosis (control) to the actual technical condition of the object [Kuznetsov V.E., Likhachev AM, Parashchuk IB, Prisyazhnyuk S.P. Telecommunications. Explanatory dictionary of basic terms and abbreviations. Edited by A.M. Likhachev, S.P. Prisyazhnyuk. St. Petersburg: Publishing House of the Ministry of Defense of the Russian Federation, 2001.].
3Устойчивость (системы (сети) электросвязи) - способность системы (сети) электросвязи выполнять требуемые функции как в нормальных условиях эксплуатации, так и в условиях, создаваемых воздействиями внешних дестабилизирующих факторов. [Основные положения развития Взаимоувязанной сети связи Российской Федерации на перспективу до 2005 года. Руководящий документ. Справочное приложение 2. Словарь основных терминов и определений. - М.: НТУОТ Минсвязи России, 1996]. 3 Stability (telecommunication systems (networks)) - the ability of a telecommunication system (network) to perform the required functions both under normal operating conditions and under conditions created by external destabilizing factors. [The main provisions of the development of the Interconnected communication network of the Russian Federation for the future until 2005. Guidance document.
4Шторм - передача на объект атаки как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста [Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил. на стр.121]. 4 Storm - transfer to the object of attack as many false TCP-requests as possible to create a connection on behalf of any host [Medvedovsky I.D. and others. Attack on the Internet. - M.: DMK, 1999 .-- 336 p .: ill. on p. 121].
5Целостность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение ее несанкционированной модификации или несанкционированного уничтожения [Терминология в области защиты информации. Справочник. Москва, 1993. ВНИИстандарт]. 5 Integrity - a property of information during its processing by technical means, ensuring the prevention of its unauthorized modification or unauthorized destruction [Terminology in the field of information protection. Directory. Moscow, 1993. VNIIstandard].
6Доступность - свойство информации при ее обработке техническими средствами, обеспечивающее беспрепятственный доступ к ней для проведения санкционированных операций по ознакомлению, документированию, модификации и уничтожению [Терминология в области защиты информации. Справочник. Москва, 1993. ВНИИстандарт]. 6 Accessibility - a property of information when it is processed by technical means, providing unhindered access to it for authorized operations on familiarization, documentation, modification and destruction [Terminology in the field of information protection. Directory. Moscow, 1993. VNIIstandard].
7Конфиденциальность - свойство информации при ее обработке техническими средствами, обеспечивающее предотвращение несанкционированного ознакомления с ней или несанкционированного документирования (снятия копий) [Терминология в области защиты информации. Справочник. Москва, 1993. ВНИИстандарт]. 7 Confidentiality - a property of information when it is processed by technical means, ensuring the prevention of unauthorized acquaintance with it or unauthorized documentation (making copies) [Terminology in the field of information protection. Directory. Moscow, 1993. VNIIstandard].
8Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации [Информационная безопасность и защита информации. Сборник терминов и определений. Государственная техническая комиссия России, 2001 г.]. 8 Vulnerability - a kind of weakness that can be used to violate the system or the information contained in it [Information security and information protection. Collection of terms and definitions. State Technical Commission of Russia, 2001].
9Политика безопасности - набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности [Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ - Петербург, 2003. - 752 с.: ил. на стр.30]. 9 Security policy - a set of formal (officially approved or traditionally established) rules that govern the functioning of the information security mechanism [Koneev I.R., Belyaev A.V. Information security of the enterprise. - SPb .: BHV - Petersburg, 2003 .-- 752 p.: Ill. on page 30].
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2005101003/09A RU2279124C1 (en) | 2005-01-18 | 2005-01-18 | Method for protecting computer networks from unsanctioned actions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2005101003/09A RU2279124C1 (en) | 2005-01-18 | 2005-01-18 | Method for protecting computer networks from unsanctioned actions |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2279124C1 true RU2279124C1 (en) | 2006-06-27 |
Family
ID=36714763
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2005101003/09A RU2279124C1 (en) | 2005-01-18 | 2005-01-18 | Method for protecting computer networks from unsanctioned actions |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2279124C1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2453917C1 (en) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for optimising execution of antivirus tasks in local area network |
RU2541205C1 (en) * | 2013-07-23 | 2015-02-10 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Method of evaluating effectiveness of information-process action on communication network |
RU2597457C1 (en) * | 2015-03-30 | 2016-09-10 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method for dynamic control of communication network parameters in feature space |
RU2674802C1 (en) * | 2018-02-06 | 2018-12-13 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method of computer networks protection |
-
2005
- 2005-01-18 RU RU2005101003/09A patent/RU2279124C1/en not_active IP Right Cessation
Non-Patent Citations (1)
Title |
---|
Комплексная система защиты информации «Панцирь». Описание программы. СПб.: ЗАО "НПП ИТБ", 2001. * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2453917C1 (en) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method for optimising execution of antivirus tasks in local area network |
RU2541205C1 (en) * | 2013-07-23 | 2015-02-10 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Method of evaluating effectiveness of information-process action on communication network |
RU2597457C1 (en) * | 2015-03-30 | 2016-09-10 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method for dynamic control of communication network parameters in feature space |
RU2674802C1 (en) * | 2018-02-06 | 2018-12-13 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Method of computer networks protection |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3588898B1 (en) | Defense against apt attack | |
US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
US9507944B2 (en) | Method for simulation aided security event management | |
US7464407B2 (en) | Attack defending system and attack defending method | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
CN101213812A (en) | Method for defending against denial of service attacks in IP networks by target victim self-identification and control | |
CN110719299A (en) | Honeypot construction method, device, equipment and medium for defending network attack | |
CN103248609A (en) | System, device and method for detecting data from end to end | |
US7469418B1 (en) | Deterring network incursion | |
RU2279124C1 (en) | Method for protecting computer networks from unsanctioned actions | |
CN110266673A (en) | Security strategy optimized treatment method and device based on big data | |
WO2022075559A1 (en) | System and method for processing malicious mail | |
CN112702321B (en) | Distributed transaction current limiting method, device, equipment and storage medium | |
RU2271613C1 (en) | Method for protecting computer networks against unauthorized attack | |
RU2267154C1 (en) | Method for controlling information streams in digital communication networks | |
CN114024731B (en) | Message processing method and device | |
CN114079576A (en) | Security defense method, security defense device, electronic apparatus, and medium | |
WO2019240054A1 (en) | Communication device, packet processing method, and program | |
Mathew et al. | Genetic algorithm based layered detection and defense of HTTP botnet | |
RU2264649C1 (en) | Method for detecting remote attacks against automatized control systems | |
Zhang et al. | Analysis of payload based application level network anomaly detection | |
RU2696549C1 (en) | Method of protecting computer networks | |
RU2265242C1 (en) | Method for monitoring safety of automated systems | |
Mittal et al. | Securing network flow using network forensics | |
Kayikci | Multiple discriminant data analysis for distributed denial of service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20070119 |