RU2622788C1 - Method for protecting information-computer networks against cyber attacks - Google Patents

Method for protecting information-computer networks against cyber attacks Download PDF

Info

Publication number
RU2622788C1
RU2622788C1 RU2016115136A RU2016115136A RU2622788C1 RU 2622788 C1 RU2622788 C1 RU 2622788C1 RU 2016115136 A RU2016115136 A RU 2016115136A RU 2016115136 A RU2016115136 A RU 2016115136A RU 2622788 C1 RU2622788 C1 RU 2622788C1
Authority
RU
Russia
Prior art keywords
packet
values
data fields
address
lifetime
Prior art date
Application number
RU2016115136A
Other languages
Russian (ru)
Inventor
Владимир Владимирович Бухарин
Сергей Юрьевич Карайчев
Павел Анатольевич Сысоев
Антон Владимирович Казачкин
Сергей Анатольевич Максаков
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority to RU2016115136A priority Critical patent/RU2622788C1/en
Application granted granted Critical
Publication of RU2622788C1 publication Critical patent/RU2622788C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: radio engineering, communication.
SUBSTANCE: initial values of the data field Tinit for existing message packets transmission routes are set, message packets are then transmitted to all routes between the trusted senders and recievers, and the measured values of reference values of the data field Tet are stored, after devision and storing, from a header of a received packet, values of the data fields are: T, D and I, if the compared reference values of the data fields do not match with the values of data fields of the received packet, a notification packet identifying the existence of an attack is transmitted from the receiver to the sender, in this case, to transmit the next message packet between the said pair of the trusted sender and receiver, a new routeis set, and values of the data fields: T, D and I of the received packet with reference values are re-devided, re-stored and re-compared, in case if the packet values of the data fields match, the abscence of an attack is identified, then massive {A} is formed, and all rotes identified existence of an attack are recorded therein.
EFFECT: increased ICN security against cyber attacks by identifying routes of transmission of message packets with nodes exposed to computer attacks, and, consequently, their re-use exception, and, in case of increased network nodes number, reduced time for the detection of computer attacks.
6 dwg

Description

Изобретение относится к электросвязи и может быть использовано в системах защиты от компьютерных атак путем их достоверного выявления и блокирования в информационно-вычислительных сетях (ИБС).The invention relates to telecommunications and can be used in systems of protection against computer attacks by their reliable detection and blocking in information computer networks (IHD).

Известен способ защиты от компьютерных атак, реализованный в патенте РФ №2179738, "Способ обнаружения удаленных атак в компьютерной сети", класс G06F 12/14, заявл. 24.04.2000 г.A known method of protection against computer attacks, implemented in RF patent No. 2179738, "A method for detecting remote attacks in a computer network", class G06F 12/14, decl. 04/24/2000

Данный способ включает следующую последовательность действий. Наблюдение за информационным потоком адресованных абоненту ИБС пакетов сообщений, включающее постоянно возобновляемый подсчет числа пакетов, выполняемый в пределах серии пакетов, поступающих из канала связи (КС) подряд друг за другом через промежутки времени не более заданного. При этом проверку поступающих пакетов данных на соответствие заданным правилам выполняют каждый раз, когда размер очередной наблюдаемой серии достигает критического числа пакетов.This method includes the following sequence of actions. Monitoring the information flow of message packets addressed to the IHD subscriber, including continuously renewed counting of the number of packets, performed within a series of packets arriving from the communication channel (CS) one after another at intervals of no more than a specified time. At the same time, the incoming data packets are checked for compliance with the given rules each time the size of the next observed series reaches a critical number of packets.

Недостатками данного способа являются узкая область применения, что обусловлено его предназначением в основном для защиты от подмены одного из участников соединения, и недостаточная достоверность при обнаружении других типов компьютерных атак. В аналоге применяют ограниченную совокупность признаковых описаний компьютерных атак. При этом не учитывают наличия большого количества типов компьютерных атак, в частности типов атак, использующих фрагментацию пакетов, передаваемых между сегментами ИБС, что создает условия для пропуска последних и, как следствие, приводит к снижению устойчивости функционирования ИБС.The disadvantages of this method are the narrow scope, due to its purpose mainly to protect against the substitution of one of the participants in the connection, and lack of reliability when detecting other types of computer attacks. In the analogue, a limited set of indicative descriptions of computer attacks is used. At the same time, they do not take into account the presence of a large number of types of computer attacks, in particular types of attacks that use fragmentation of packets transmitted between segments of the coronary heart disease, which creates the conditions for skipping the latter and, as a result, reduces the stability of the coronary heart disease.

Известен способ оперативного динамического анализа состояний многопараметрического объекта, описанный в патенте РФ 2134897, опубликованном 20.08.1999 г., позволяющий по изменению состояния элемента ИБС обнаруживать компьютерные атаки. В известном способе преобразуют результаты допусковой оценки разнородных динамических параметров в соответствующие информационные сигналы с обобщением по всему множеству параметров в заданном временном интервале и определяют относительную величину и характер изменения интегрального состояния многопараметрического элемента ИБС.There is a method of operational dynamic analysis of the states of a multi-parameter object, described in RF patent 2134897, published on 08.20.1999, which allows detecting computer attacks by changing the state of an IHD element. In the known method, the results of the tolerance assessment of heterogeneous dynamic parameters are converted into corresponding information signals with a generalization over the entire set of parameters in a given time interval and the relative magnitude and nature of the change in the integral state of the multiparameter IHD element is determined.

Недостатком данного способа является узкая область применения, обусловленная тем, что несмотря на возможность оперативной диагностики технического и функционального состояний многопараметрического элемента ИБС, в нем применяют ограниченную совокупность признакового пространства, что создает условия для пропуска удаленных компьютерных атак (см. Медведовский И.Д. и др. Атака на Internet. - М.: ДМК, 1999. - 336 с.: ил.) и, как следствие, приводит к снижению устойчивости функционирования ИБС.The disadvantage of this method is the narrow scope, due to the fact that despite the possibility of operational diagnostics of the technical and functional states of the multiparameter element of coronary heart disease, a limited set of attribute space is used in it, which creates the conditions for skipping remote computer attacks (see Medvedovsky I.D. and other attack on the Internet. - M .: DMK, 1999. - 336 pp., ill.) and, as a result, leads to a decrease in the stability of the functioning of coronary heart disease.

Известен способ защиты от компьютерных атак, реализованный в устройстве по патенту РФ 2219577, "Устройство поиска информации", класс G06F 17/40, опубликованный 24.04.2002 г. Способ заключается в том что принимают из КС i-ый пакет, где i=1, 2, 3, …, и запоминают его. Принимают (i+1)-ый пакет, запоминают его. Выделяют из заголовка i-го и (i+1)-го пакетов идентификационные признаки, анализируют их на предмет совпадения, по результатам анализа принимают решение о факте наличия компьютерной атаки.A known method of protection against computer attacks, implemented in the device according to the patent of the Russian Federation 2219577, "Information retrieval device", class G06F 17/40, published April 24, 2002. The method consists in the fact that the i-th packet is received from the CS, where i = 1 , 2, 3, ..., and remember it. Receive the (i + 1) th packet, remember it. Identification signs are extracted from the header of the i-th and (i + 1) -th packets, they are analyzed for coincidence, and the decision is made on the fact of a computer attack based on the results of the analysis.

Недостатком данного способа является относительно низкая устойчивость функционирования ИВС в условиях воздействия компьютерных атак, связанная с тем, что сравнением двух пакетов сообщений - последующего и предыдущего, распознается только одно семейство компьютерных атак - "шторм" ложных запросов на установление соединения, тогда как компьютерные атаки других типов, обладающие высокими деструктивными возможностями, не распознаются.The disadvantage of this method is the relatively low stability of the IVS functioning under the influence of computer attacks, due to the fact that by comparing two message packets - the next and the previous one, only one family of computer attacks is recognized - the “storm” of false requests to establish a connection, while computer attacks of others types with high destructive capabilities are not recognized.

Известен способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2285287, МПК G06F 12/14 H06F 12/22, опубл. 10.10.2006 г., бюл. №28. Способ заключается в том, что принимают i-й, где i=1, 2, 3 …, пакет сообщения из канала связи, запоминают его, принимают (i+1)-й пакет сообщения, запоминают его, выделяют из запомненных фрагментированных пакетов сообщений характеризующие их параметры, вычисляют необходимые параметры для сравнения принятых фрагментированных пакетов и по результатам сравнения принимают решение о факте наличия или отсутствия компьютерной атаки.A known method of protecting information and computer networks from computer attacks, implemented in patent RU No. 2285287, IPC G06F 12/14 H06F 12/22, publ. 10/10/2006, bull. No. 28. The method consists in accepting the i-th, where i = 1, 2, 3 ..., the message packet from the communication channel, remembering it, receiving the (i + 1) -th message packet, remembering it, and extracting it from the remembered fragmented message packets the parameters characterizing them calculate the necessary parameters for comparing the received fragmented packets and, based on the results of the comparison, decide on the presence or absence of a computer attack.

Недостатком данного способа является низкая оперативность обнаружения компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению уже в процессе осуществления компьютерной атаки, что может привести к несанкционированному воздействию на информационно-вычислительную сеть.The disadvantage of this method is the low efficiency of detecting a computer attack, due to the implementation of the appropriate detection steps already in the process of carrying out a computer attack, which can lead to unauthorized exposure to the computer network.

Наиболее близким по технической сущности к предлагаемому способу является способ защиты информационно-вычислительных сетей от компьютерных атак, реализованный в патенте RU №2472211, МПК G06F 12/14, опубл. 10.01.2013 г., бюл. №1. Способ заключается в следующих действиях: формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, в качестве выделенных полей из запомненных пакетов сообщений используют поля данных: «Время жизни пакета» {T}, «Опции» {О}, «IР адрес назначения» {D}, «IР адрес источника» {I}, дополнительно формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {Dэт} и «IР адрес источника» {Iэт}, затем адаптируют информационно-вычислительную сеть для чего в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» и «Опции» для всех маршрутов между доверенными получателем и отправителем пакетов сообщений и запоминают измеренные значения параметров в соответствующих массивах эталонных параметров значений, после запоминания принятого пакета сообщения, выделяют из заголовка данного пакета значения полей данных: Т, О, D и I и сравнивают эталонные значения полей данных «Время жизни пакета», «Опции», «IР адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, причем устанавливают факт отсутствия атаки, если эталонные значения полей данных: «Время жизни пакета», «Опции», «IР адрес назначения» и «IР адрес источника» совпадают со значениями полей данных из полученного пакета, а факт наличия атаки устанавливают, если эталонные значения не совпадают со значениями полей данных из полученного пакета.The closest in technical essence to the proposed method is a method of protecting information and computer networks from computer attacks, implemented in patent RU No. 2472211, IPC G06F 12/14, publ. 01/10/2013, bull. No. 1. The method consists in the following actions: they form an array for storing fragmented message packets and arrays for storing parameters; data fields are used as selected fields from stored message packets: “Packet lifetime” {T}, “Options” {О}, “IP address destination "{D}," IP source address "{I}, additionally form a list of trusted addresses of the recipient and sender of message packets that are stored in arrays of reference parameters of data field values:" IP destination address "{D floor } and" IP source address »{I r}, then adapted information-processing network for which a test mode is measured "packet lifetime" and "Options" values of data fields package for all routes between trusted by the recipient and the sender of message packets and storing the measured parameter values in the respective arrays of reference values of the parameters , after remembering the received message packet, the values of the data fields: T, O, D and I are extracted from the header of this packet and the reference values of the data fields “Packet lifetime”, “Options”, “IP address n values ”and“ Source IP address ”with the values of the data fields from the received packet, and establish the fact of no attack if the reference values of the data fields:“ Packet lifetime ”,“ Options ”,“ Destination IP address ”and“ Source IP address ”match with the values of the data fields from the received packet, and the fact of the presence of an attack is established if the reference values do not match the values of the data fields from the received packet.

Недостатком способа-прототипа является относительно низкая защищенность от компьютерной атаки, обусловленная выполнением соответствующих действий по обнаружению компьютерной атаки для пакетов сообщений, переданных только по одному маршруту в ИБС, а также значительное увеличение времени обнаружения компьютерной атаки при увеличении количества узлов ИБС.The disadvantage of the prototype method is the relatively low protection against a computer attack, due to the implementation of appropriate actions to detect a computer attack for message packets transmitted only along one route in the IHD, as well as a significant increase in the time of detection of a computer attack with an increase in the number of IHD nodes.

Задачей изобретения является создание способа защиты информационно-вычислительных сетей от компьютерных атак, обеспечивающего расширение функциональных возможностей способа-прототипа по повышению защищенности от компьютерных атак за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы, подверженные компьютерным атакам, и, соответственно, исключение повторного использования данных маршрутов, а также при увеличении количества узлов сети связи уменьшение времени на обнаружение компьютерной атаки.The objective of the invention is to provide a method of protecting information and computer networks from computer attacks, providing an extension of the functionality of the prototype method to increase security against computer attacks by determining the transmission routes of message packets that have nodes that are susceptible to computer attacks, and, accordingly, eliminating repeated the use of these routes, as well as with an increase in the number of nodes in the communication network, a decrease in the time for detecting a computer attack.

Задача изобретения решается тем, что способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IР адрес назначения» {Dэт} и «IР адрес источника» {Iэт}, принимают очередной пакет сообщения из канала связи, запоминают его, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I, и запоминают их в соответствующих массивах {T}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» со значениями полей данных из полученного пакета, и при отсутствии компьютерной атаки передают очередной пакет сообщения, в информационно-вычислительную сеть, отличающийся тем, что дополнительно задают исходные значения поля данных «Время жизни пакета» для имеющихся маршрутов передачи пакетов сообщений, которые запоминают в сформированный для них массив {Tисх} у отправителя пакетов сообщений, и записывают их в соответствующее поле данных, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями информационно-вычислительных сетей в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» у получателя, и запоминают измеренные значения параметра в сформированный массив эталонных параметров значений поля данных «Время жизни пакета» Tэт, после чего при передаче пакетов сообщений между доверенными отправителями и получателями в поле данных пакета «Время жизни пакета» записывают соответствующие исходные значения из массива {Tисх}, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I в соответствующих массивах {Т}, {D} и {I}, если при сравнении эталонные значения полей данных «Время жизни пакета», «IР адрес назначения» и «IР адрес источника» не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и из массива {Tисх} записывают исходные значения поля данных «Время жизни пакета» для данного маршрута в соответствующее поле заголовка пакета, после чего передают очередной пакет сообщений между доверенными отправителем и получателем в соответствии с данным маршрутом, и повторно выделяют, запоминают, и сравнивают значения полей данных: «Время жизни пакета» Т, «IР адрес назначения» D и «IР адрес источника» I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А}, и записывают в него все маршруты, для которых установлен факта наличия атаки.The objective of the invention is solved in that a method of protecting information and computer networks from computer attacks, which consists in forming an array for storing fragmented message packets and arrays for storing parameters extracted from stored message packets, forming a list of trusted addresses of the recipient and sender of message packets, which store in the arrays of reference parameters the values of the data fields: "IP destination address" {D et } and "IP source address" {I et }, receive the next message packet from the channel all communications, remember it, to detect the fact of an attack or its absence, extract the values of the data fields from the header of this packet: “Packet lifetime” T, “IP destination address” D and “IP source address” I, and store them in the corresponding arrays { T}, {D} and {I}, compare the reference values of the data fields "packet lifetime", "IP destination address" and "IP source address" with the values of the data fields from the received packet, and in the absence of a computer attack send another message packet , in the computer network, characterized in which additionally sets the initial values of the “Packet Lifetime” data field for the existing message packet transmission routes, which are stored in the {T ref } array generated by the sender of the message packets for them, and written to the corresponding data field, then message packets are transmitted along all routes between the trusted recipients and senders of information and computer networks in test mode, measure the values of the data fields of the packet "lifetime of the packet" at the recipient, and store the measured values of the parameter in sf rmirovanny array of reference parameter values of the field data "packet lifetime» T fl, whereupon the transmission of message packets between trusted senders and receivers in the "packet lifetime" packet data field is recorded corresponding initial values of the array {T ref}, then after isolation and storing from the header of the received packet the values of the data fields: “Packet lifetime” T, “IP destination address” D and “IP source address” I in the corresponding arrays {T}, {D} and {I}, if the reference field values are compared data "Time w know the packet ”,“ IP destination address ”and“ IP source address ”did not match the values of the data fields from the received packet; they transmit from the recipient to the sender a notification packet when an attack is established, in this case, to send another packet of messages between this pair of trusted the sender and receiver set a new route, and from the array {T ref } write the initial values of the packet lifetime data field for this route into the corresponding packet header field, after which the next message packet is transmitted between by the faithful sender and recipient in accordance with this route, and re-select, store, and compare the values of the data fields: "Packet lifetime" T, "IP destination address" D and "IP source address" I received packet with reference values, in the case coincidence of the values of the data fields of the packet establishes the fact of the absence of an attack, after which they form an array {A}, and record all the routes for which the fact of the presence of an attack is established in it.

Перечисленная новая совокупность существенных признаков обеспечивает возможность повышения защищенности от компьютерной атаки за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и уменьшения времени на обнаружение компьютерной атаки при увеличении количества узлов в ИВС.The aforementioned new set of essential features provides the opportunity to increase security against a computer attack by defining the transmission routes of message packets that contain nodes susceptible to a computer attack and reducing the time it takes to detect a computer attack while increasing the number of nodes in the ITT.

Проведенный анализ позволил установить, что аналоги, тождественные признакам заявленного способа, отсутствуют, что указывает на соответствие заявленного способа условию патентоспособности «новизна».The analysis made it possible to establish that there are no analogues that are identical to the features of the claimed method, which indicates the compliance of the claimed method with the condition of patentability “novelty”.

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed object from the prototype showed that they do not follow explicitly from the prior art. The prior art also did not reveal the popularity of the impact provided by the essential features of the claimed invention, the transformations on the achievement of the specified technical result. Therefore, the claimed invention meets the condition of patentability "inventive step".

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.The "industrial applicability" of the method is due to the presence of an element base, on the basis of which devices can be made that implement this method with the achievement of the destination specified in the invention.

Заявленный способ поясняется чертежами, на которых показано:The claimed method is illustrated by drawings, which show:

фиг. 1 - блок-схема алгоритма способ защиты ИВС от компьютерных атак;FIG. 1 is a flowchart of a method for protecting an ITT from computer attacks;

фиг. 2 - схема поясняющая порядок формирования маршрутов передачи пакетов сообщений в ИВС;FIG. 2 is a diagram explaining a procedure for forming transmission routes of message packets in an IVS;

фиг. 3-схема поясняющая реализацию компьютерных атак и изменение маршрутов передачи пакетов сообщений в ИВС;FIG. 3-diagram explaining the implementation of computer attacks and changing the routes for transmitting message packets to the IVS;

фиг. 4 - заголовок IP дейтограммы;FIG. 4 - IP datagram header;

фиг. 5 - таблица эталонных значений полей данных «IР адрес назначения», «IР адрес источника» и «Время жизни пакета» для определенных маршрутов;FIG. 5 is a table of reference values of the data fields “IP Destination Address”, “IP Source Address” and “Packet Lifetime” for specific routes;

фиг. 6 - зависимость времени обнаружения компьютерной атаки от количества узлов сети связи.FIG. 6 - dependence of the time of detection of a computer attack on the number of nodes in the communication network.

Реализация заявленного способа поясняется алгоритмом (фиг. 1), схемами (фиг. 2 и фиг. 3) и объясняется следующим образом:The implementation of the claimed method is illustrated by the algorithm (Fig. 1), circuits (Fig. 2 and Fig. 3) and is explained as follows:

На начальном этапе формируют массивы Р, D, I, Т, Dэт, Iэт, Tисх, Tэт для запоминания параметров задаваемых и выделенных из запомненных пакетов сообщений соответственно (блок 1, фиг. 1):At the initial stage, the arrays P, D, I, T, D et , I et , T ref , T et are formed for storing the parameters specified and extracted from the stored message packets, respectively (block 1, Fig. 1):

Р - для запоминания поступающих из канала связи IР-пакетов сообщений;P - to memorize incoming IP packets from the communication channel;

D - для запоминания значений поля данных «IР адрес назначения»;D - for storing the values of the data field "IP destination address";

I - для запоминания значений поля данных «IР адрес источника»;I - for storing the values of the data field "IP source address";

Т - для запоминания значений поля данных «Время жизни пакета»;T - to remember the values of the data field "lifetime of the packet";

Dэт - для запоминания эталонных параметров значений поля данных «IР адрес назначения»;D et - for storing the reference parameters of the values of the data field "IP destination address";

Iэт - для запоминания эталонных параметров значений поля данных «IР адрес источника»;I floor - for storing the reference parameters of the values of the data field "IP source address";

Tисх - для запоминания исходных параметров значений поля данных «Время жизни пакета»;T ref - to memorize the initial parameters of the values of the data field "Package lifetime";

Тэт - для запоминания эталонных параметров значений поля данных «Время жизни пакета».T et - to memorize the reference parameters of the values of the data field "Package lifetime".

В предлагаемом изобретении используют функции IР-протокола, применяемые при передаче пакетов по сети. Заголовок протокола IP содержит множество полей (фиг. 4). В полях «IР адрес назначения» и «IР адрес источника» будут находиться 32 битные последовательности, определяющие логические адреса назначения и источника пакета сообщения необходимые для передачи его по ИВС. Поле «Время жизни пакета» определяет максимальное время существования дейтаграммы в сети [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22].In the present invention use the functions of the IP Protocol used in the transmission of packets over the network. The IP header contains many fields (FIG. 4). In the fields “IP Destination Address” and “IP Source Address” there will be 32 bit sequences defining the logical addresses of the destination and source of the message packet necessary for transmitting it via the IVS. The “packet lifetime” field defines the maximum lifetime of a datagram on the network [RFC 791, Internet Protocol, 1981, September, pp. 14-22].

Определяют доверенные IP-адреса получателя и отправителя для запоминания этих значений в массив Dэт, Iэт (блок 2, фиг. 1). Под доверенными IР-адресами понимают пары адресов, источника и назначения, легитимных абонентов различных фрагментов ИВС. Запоминают данные значения доверенных адресов получателя и отправителя пакетов сообщений в соответствующих массивах.Trusted IP addresses of the receiver and sender are determined to store these values in an array of D et , I et (block 2, Fig. 1). Trusted IP addresses mean pairs of addresses, source and destination, legitimate subscribers of various fragments of the IVS. The values of trusted addresses of the recipient and sender of message packets in the corresponding arrays are stored.

Кроме того задаются и запоминаются исходных значения Гисх параметров поля данных «Время жизни пакета» для всех маршрутов передачи пакетов сообщений (блок 3, фиг. 1). При этом данные значения задаются с учетом количества узлов сети связи на маршруте передачи.Also entered and stored initial value T ref field parameter data "packet lifetime" for all packet transfer routes messages (block 3, fig. 1). In this case, these values are set taking into account the number of communication network nodes on the transmission route.

Таким образом, последовательность узлов, лежащих на пути от отправителя к получателю, образуют маршрут передачи сообщений [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 64].Thus, a sequence of nodes lying on the path from the sender to the recipient form a message transmission route [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) St. Petersburg: Peter - 2006, p. 64].

Это связано с тем, что значение поля «Время жизни пакета» необходимо для реализации механизма стирания пакетов, у которых значение данного поля равно нулю [RFC 791, Internet Protocol, 1981, сентябрь, стр. 14-22]. Для обеспечения гарантированной доставки пакетов до получателя значение данного поля должно превышать количество промежуточных узлов на маршруте передачи. В общем случае исходное значение Tисх параметра поля данных «Время жизни пакета» может быть выбрано одно для всех маршрутов, но оно должно соответствовать наиболее протяженному маршруту, имеющего большее количество узлов. Например, на фиг. 2 показано пять возможных маршрутов передачи пакетов по сети связи между отправителем и получателем. Так первый маршрут, состоящий из промежуточных узлов с адресами: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2 достаточным значением поля данных «Время жизни пакета» является пять. А для пятого маршрута, состоящего из промежуточных узлов с адресами: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2 уже достаточным значением поля данных «Время жизни пакета» является девять. Учитывая, что пятый маршрут имеет максимальное количество промежуточных узлов, то Tисх может быть выбрано равным десяти для всех маршрутов, как показано на фиг. 5.This is due to the fact that the value of the "packet lifetime" field is necessary to implement the mechanism of erasing packets for which the value of this field is zero [RFC 791, Internet Protocol, 1981, September, pp. 14-22]. To ensure guaranteed delivery of packets to the recipient, the value of this field must exceed the number of intermediate nodes on the transmission route. In the general case, the initial value T out of the parameter of the “Packet Lifetime” data field parameter can be selected one for all routes, but it must correspond to the longest route with a larger number of nodes. For example, in FIG. 2 shows five possible routes for packet transmission over a communication network between a sender and a receiver. So the first route, consisting of intermediate nodes with addresses: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2 A sufficient value for the packet lifetime data field is five. And for the fifth route, consisting of intermediate nodes with addresses: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2 already sufficient value of the data field "Packet lifetime" is nine. Considering that the fifth route has the maximum number of intermediate nodes, then T ref can be selected equal to ten for all routes, as shown in FIG. 5.

Затем, осуществляется перевод ИВС в тестовый режим функционирования, который подразумевает ее адаптацию к реальным условиям (блок 4, фиг. 1). Под адаптацией в соответствии с [ГОСТ Р 53622-2009 «Информационные технологии. Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», стр. 4-5] понимается работа информационно-вычислительной сети в тестовом режиме для внедрения ее в конкретные условия функционирования. При этом в тестовом режиме предполагаются идеальные условия функционирования сети связи, т.е. отсутствие компьютерных атак, что позволяет получить эталонные значения необходимых характеристик передаваемых пакетов сообщений. В данном режиме осуществляется передача пакетов сообщений между всеми парами от отправителя Ik j к получателю Dk j, j=1, 2, … N, где N - количество пар адресов доверенных абонентов, по всем имеющимся маршрутам k=1, 2, … M, где М - количество маршрутов между j-й парой адресов доверенных абонентов (блок 5, фиг. 1).Then, the IVS is transferred to the test mode of operation, which implies its adaptation to real conditions (block 4, Fig. 1). Under adaptation in accordance with [GOST R 53622-2009 “Information technology. Information computing systems. Stages and stages of the life cycle, types and completeness of documents ”, p. 4-5] we understand the operation of the information and computer network in test mode for its implementation in specific operating conditions. Moreover, in test mode, ideal conditions for the functioning of the communication network are assumed, i.e. the absence of computer attacks, which allows to obtain reference values of the necessary characteristics of the transmitted message packets. In this mode, message packets are transmitted between all pairs from the sender I k j to the recipient D k j , j = 1, 2, ... N, where N is the number of pairs of addresses of trusted subscribers, along all available routes k = 1, 2, ... M, where M is the number of routes between the jth pair of addresses of trusted subscribers (block 5, Fig. 1).

Далее у получателя измеряют реальные значения поля данных пакета «Время жизни пакета» Tk j для всех имеющихся маршрутов k=1, 2, … М для всех существующих пар адресов доверенных абонентов j=1, 2, … N (блоки 6-11, фиг. 1).Next, the recipient measures the real values of the data field of the packet "Lifetime of the packet" T k j for all available routes k = 1, 2, ... M for all existing pairs of addresses of trusted subscribers j = 1, 2, ... N (blocks 6-11, Fig. 1).

При передаче пакетов по сети промежуточные узлы (маршрутизаторы) осуществляют их маршрутизацию по адресной информации, имеющейся в заголовке пакета [ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель», стр. 13].When packets are transmitted over a network, intermediate nodes (routers) route them using the address information in the packet header [GOST R ISO / IEC 7498-1-99 “Information technology. Interconnection of open systems. The basic reference model. Part 1. The basic model ”, p. 13].

Таким образом, полученные значения поля данных пакета «Время жизни пакета» Tk j показывают количество промежуточных узлов, через которые передан пакет сообщения по k-му маршруту между j-й парой отправитель-получатель. Например, для маршрутов передачи пакетов сообщения, показанных на фиг. 2, приведены измеренные значения поля данных пакета «Время жизни пакета» Tk j в таблице фиг. 5, которые являются эталонными (т.к. они получены в тестовом режиме функционирования) для соответствующих маршрутов и будут записаны в массив {Tэт} (блок 7, фиг. 1). Так, для первого маршрута, учитывая заранее заданное у отправителя исходное значение параметра поля данных «Время жизни пакета» Tисх=10, на каждом промежуточном узле (маршрутизаторе) через которые передается пакет сообщения (узлы: 100.0.0.1; 101.0.0.1; 109.0.0.1; 115.0.0.2) значение поля данных «Время жизни пакета» уменьшается на единицу [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006., стр. 600] и эталонное значение поля данных «Время жизни пакета» принятого пакета у получателя получится равным Tэт=10-4=6. Аналогично для маршрутов 2-5 показанных на фиг. 2 в таблице фиг. 5 приведены соответствующие эталонные значения поля данных «Время жизни пакета»: маршрут 2 имеет пять промежуточных узлов (узлы: 100.0.0.1; 102.0.0.1; 105.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения Tэт=10-5=5; маршрут 3 имеет шесть промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 106.0.0.2; 110.0.0.1; 115.0.0.2) и эталонные значения Tэт=10-6=4; маршрут 4 имеет семь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 107.0.0.2; 113.0.0.2; 112.0.0.2; 111.0.0.1; 117.0.0.1) и эталонные значения Tэт=10-7=3; маршрут 5 имеет восемь промежуточных узлов (узлы: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2) и эталонные значения Tэт=10-8=2.Thus, the obtained values of the data field of the packet "Lifetime of the packet" T k j show the number of intermediate nodes through which the message packet was transmitted along the k-th route between the j-th sender-receiver pair. For example, for the message packet paths shown in FIG. 2 shows the measured values of the data field of the packet “Lifetime of the packet” T k j in the table of FIG. 5, which are the reference ones (since they were obtained in the test mode of operation) for the corresponding routes and will be written to the array {T et } (block 7, Fig. 1). So, for the first route, taking into account the sender's initial value for the parameter of the “packet lifetime” data field parameter T ex = 10, at each intermediate node (router) through which the message packet is transmitted (nodes: 100.0.0.1; 101.0.0.1; 109.0 .0.1; 115.0.0.2) the value of the data field "packet lifetime" is reduced by one [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) St. Petersburg: Peter - 2006., p. 600] and the reference value of the data field "packet lifetime" of the received packet from the recipient will be equal to T et = 10-4 = 6. Similarly, for routes 2-5 shown in FIG. 2 in the table of FIG. Figure 5 shows the corresponding reference values of the packet lifetime data field: route 2 has five intermediate nodes (nodes: 100.0.0.1; 102.0.0.1; 105.0.0.2; 110.0.0.1; 115.0.0.2) and reference values T et = 10- 5 = 5; route 3 has six intermediate nodes (nodes: 100.0.0.1; 103.0.0.1; 107.0.0.2; 106.0.0.2; 110.0.0.1; 115.0.0.2) and reference values T et = 10-6 = 4; route 4 has seven intermediate nodes (nodes: 100.0.0.1; 103.0.0.1; 107.0.0.2; 113.0.0.2; 112.0.0.2; 111.0.0.1; 117.0.0.1) and reference values T et = 10-7 = 3; route 5 has eight intermediate nodes (nodes: 100.0.0.1; 103.0.0.1; 104.0.0.2; 108.0.0.1; 114.0.0.2; 120.0.0.2; 119.0.0.1; 118.0.0.2) and reference values T et = 10-8 = 2.

После того как все эталонные значения проверяемых параметров собраны и записаны в соответствующие массивы, осуществляют перевод ИВС в режим реальной работы (эксплуатация) (блок 12, фиг. 1). При этом на ИВС злоумышленники будут осуществлять различные воздействия, в том числе реализуя компьютерные атаки.After all the reference values of the checked parameters are collected and recorded in the corresponding arrays, the IVS is transferred to the real mode of operation (operation) (block 12, Fig. 1). At the same time, the attackers will carry out various influences on the ITT, including by implementing computer attacks.

Далее при функционировании ИВС получатель принимает i-й пакет сообщения из канала связи, запоминает его в массиве Р для дальнейшей работы с заголовком i-го пакета (блоки 13, 14, фиг. 1).Further, during the operation of the IVS, the receiver receives the i-th message packet from the communication channel, stores it in the array P for further work with the header of the i-th packet (blocks 13, 14, Fig. 1).

После этого выделяют из заголовка i-го пакета значения поля данных «Время жизни пакета» Ti, поля данных «IР адрес назначения» Di и поля данных «IР адрес источника» Ii и запоминают их в массивах {T}, {D}, {I}.After that, the values of the data field “packet lifetime” T i , the data field “IP destination address” D i and the data field “IP source address” I i are extracted from the header of the i-th packet and stored in the arrays {T}, {D }, {I}.

Затем производится сравнение запомненных значений Di, Ii принятого пакета сообщения с эталонными значениями из массивов {Dэт}, {Iэт}, определение пары отправитель-получатель (конкретная j-я пара доверенных абонентов) и определение соответствующего маршрута передачи данного пакета сообщения при сравнении запомненного значения Ti с эталонными значениями из массива {Tэт} для данной пары отправитель-получатель (блок 16, фиг. 1). При этом если компьютерная атака воздействует на узлы 101.0.0.1 и 102.0.0.1 (фиг. 3), то первый и второй маршруты (фиг. 5) будут недоступны для передачи пакетов сообщений, т.к. данные узлы входят в соответствующие маршруты (узел 101.0.0.1 в первый маршрут, узел 102.0.0.1 во второй маршрут). В этом случае узел 100.0.0.1 работающий как маршрутизатор имеет в таблице маршрутизации несколько (для приведенного примера пять) альтернативных маршрутов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 198]. Из них выбирается определенный маршрут по заданному критерию, например задержка прохождения маршрута пакетом [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб.: Питер - 2006, стр. 602-613], т.е. количество промежуточных узлов на маршруте. Таким образом, маршрутизатор выберет третий маршрут, имеющий по данному критерию превосходство над остальными (меньшее количество промежуточных узлов), который является альтернативным относительно первого и второго маршрутов.Then, the stored values D i , I i of the received message packet are compared with the reference values from the {D floor }, {I floor } arrays, the sender-receiver pair is determined (specific jth pair of trusted subscribers) and the corresponding transmission route of this message packet is determined when comparing the stored value of T i with the reference values from the array {T et } for a given sender-receiver pair (block 16, Fig. 1). Moreover, if a computer attack affects the nodes 101.0.0.1 and 102.0.0.1 (Fig. 3), then the first and second routes (Fig. 5) will be unavailable for sending message packets, because these nodes are included in the corresponding routes (node 101.0.0.1 in the first route, node 102.0.0.1 in the second route). In this case, the node 100.0.0.1 operating as a router has several (for the given example, five) alternative routes in the routing table [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) St. Petersburg: Peter - 2006, p. 198]. A specific route is selected from them according to a given criterion, for example, a delay in passing a route by a packet [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) St. Petersburg: Peter - 2006, p. 602-613], i.e. the number of intermediate nodes on the route. Thus, the router will choose a third route that, according to this criterion, has superiority over the others (fewer intermediate nodes), which is alternative to the first and second routes.

В случае невыполнения условия (блок 16, фиг. 1) от получателя Dj к отправителю Ii передается пакет, уведомляющий об «установлении факта наличия компьютерной атаки» (блок 17, фиг. 1) и отправитель задает следующий маршрут передачи пакетов k=k+1 для данной пары отправитель-получатель (для приведенного примера выбирается из таблицы фиг. 5 третий маршрут), а для него выбирается и записывается в поле данных «Время жизни пакета» соответствующее исходное значение из массива {Tисх} (блок 19, фиг. 1).In case of non-fulfillment of the condition (block 16, Fig. 1), a packet is sent from the recipient D j to the sender I i notifying of the “establishment of the fact of a computer attack” (block 17, Fig. 1) and the sender sets the next packet transmission route k = k +1 for this sender-receiver pair (for the given example, the third route is selected from the table in Fig. 5), and for it, the corresponding initial value from the array {T ref } is selected and recorded in the data field "Packet lifetime" (block 19, fig. . one).

Затем по выбранному маршруту передается очередной пакет сообщения (блок 20, фиг. 1) от отправителя к получателю и для данного пакета повторно осуществляются действия начиная с приема пакета сообщения из канала связи (блок 13, фиг. 1).Then, the next message packet (block 20, Fig. 1) is transmitted from the sender to the recipient along the selected route, and for this packet, actions are repeated from the reception of the message packet from the communication channel (block 13, Fig. 1).

В случае если условия (блок 16, фиг. 1) выполняются, то делается вывод об отсутствии факта компьютерной атаки и передают данный i-й пакет сообщения в информационно-вычислительную сеть (блок 21, фиг. 1).If the conditions (block 16, Fig. 1) are fulfilled, then a conclusion is made that there is no fact of a computer attack and this i-th message packet is transmitted to the information-computer network (block 21, Fig. 1).

После чего, формируется массив {А}, и записывается в него все маршруты, для которых установлен факта наличия атаки (блок 22, фиг. 1), что позволяет исключить повторное их использование для передачи пакетов сообщения.After that, an array {A} is formed, and all routes are recorded in it for which the fact of the presence of an attack has been established (block 22, Fig. 1), which eliminates their reuse for transmitting message packets.

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования. С помощью моделирования получена взаимосвязь значений времени распознавания tобн (обнаружения) компьютерной атаки от количества узлов сети связи N (фиг. 6).The feasibility of implementing the formulated technical result was verified by machine simulation. Using modeling, the relationship between the recognition time t obn (detection) of a computer attack and the number of nodes in the communication network N is obtained (Fig. 6).

Достижение технического результата поясняется следующим образом. Для способа-прототипа при обнаружении компьютерной атаки осуществляется сравнение значений полей данных «Время жизни пакета» и «Опции» пакетов за время T1, которое зависит в основном от значений поля «Опции», т.к. в нем размещается маршрут передачи пакета - это 3-15 узлов в маршруте [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 608-611], а он состоит из адресов промежуточных узлов - это 4 байта в десятичной форме 12 разрядов [В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы (3-е издание) Спб - 2009 г., стр. 567-571]. Для предлагаемого способа выявление компьютерной атаки производится по результатам анализа значений поля данных «Время жизни пакета» принятого пакета за время Т2, которые зависят только от количества узлов в маршруту передачи - это 2-3 разрядное число в десятичной форме.The achievement of the technical result is illustrated as follows. For the prototype method, when a computer attack is detected, the values of the “Packet lifetime” and “Options” data fields are compared for the time T 1 , which mainly depends on the values of the “Options” field, because it contains the packet transmission route — these are 3-15 nodes in the route [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) of St. Petersburg - 2009, pp. 608-611], and it consists of the addresses of intermediate nodes - these are 4 bytes in decimal form 12 bits [V.G. Olifer, N.A. Olifer Computer networks. Principles, technologies, protocols (3rd edition) St. Petersburg - 2009, pp. 567-571]. For the proposed method, the detection of a computer attack is carried out according to the results of the analysis of the values of the “Packet lifetime” data field of the received packet during T 2 , which depend only on the number of nodes in the transmission route — this is a 2-3 bit number in decimal form.

При этом разница в требуемом времени для обнаружения компьютерной атаки ΔT=T12 тем больше чем больше количество узлов сети связи, чем и достигается сформулированный технический результат при реализации заявленного способа, т.е. уменьшению времени на обнаружение компьютерной атаки.In this case, the difference in the required time for detecting a computer attack ΔT = T 1 -T 2 the greater the greater the number of nodes in the communication network, which is achieved by the formulated technical result when implementing the claimed method, i.e. reducing the time to detect a computer attack.

Кроме того, повышение защищенности от компьютерных атак для приведенного примера достигается тем, что из имеющихся пяти маршрутов передачи пакетов сообщений в двух имеются узлы подверженные компьютерной атаке и в предлагаемом способе по ним исключена повторная передача пакетов сообщения. В этом случае защищенность ИВС от компьютерных атак повышается на 25%, что подтверждает сформулированный технический результат.In addition, increasing the protection against computer attacks for the given example is achieved by the fact that out of the five available routes for transmitting message packets, two have nodes susceptible to computer attacks and the proposed method eliminates the retransmission of message packets. In this case, the security of the ITT from computer attacks is increased by 25%, which confirms the formulated technical result.

Таким образом, заявленный способ за счет определения маршрутов передачи пакетов сообщений, на которых имеются узлы подверженные компьютерной атаке и соответственно исключение повторного использования данных маршрутов позволяет повысить защищенность ИВС от компьютерных атак, а также при увеличении количества узлов сети связи уменьшить время на их обнаружение.Thus, the claimed method, by determining the transmission routes of message packets that have nodes susceptible to computer attacks and, accordingly, eliminating the reuse of these routes, can increase the security of the IVS from computer attacks, and also reduce the time it takes to detect them when the number of communication network nodes increases.

Claims (1)

Способ защиты информационно-вычислительных сетей от компьютерных атак, заключающийся в том, что формируют массив для запоминания фрагментированных пакетов сообщения и массивы для запоминания параметров, выделенных из запомненных пакетов сообщений, формируют список доверенных адресов получателя и отправителя пакетов сообщений, которые запоминают в массивах эталонных параметров значений полей данных: «IP адрес назначения» {Dэт} и «IP адрес источника» {Iэт}, принимают очередной пакет сообщения из канала связи, запоминают его, для обнаружения факта атаки или ее отсутствия выделяют из заголовка данного пакета значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I, и запоминают их в соответствующих массивах {T}, {D} и {I}, сравнивают эталонные значения полей данных «Время жизни пакета», «IP адрес назначения» и «IP адрес источника» со значениями полей данных из полученного пакета, и при отсутствии компьютерной атаки передают очередной пакет сообщения, в информационно-вычислительную сеть, отличающийся тем, что дополнительно задают исходные значения поля данных «Время жизни пакета» для имеющихся маршрутов передачи пакетов сообщений, которые запоминают в сформированный для них массив {Tисх} у отправителя пакетов сообщений и записывают их в соответствующее поле данных, затем передают пакеты сообщений по всем маршрутам между доверенными получателями и отправителями информационно-вычислительных сетей в тестовом режиме, измеряют значения полей данных пакета «Время жизни пакета» у получателя и запоминают измеренные значения параметра в сформированный массив эталонных параметров значений поля данных «Время жизни пакета» Тэт, после чего при передаче пакетов сообщений между доверенными отправителями и получателями в поле данных пакета «Время жизни пакета» записывают соответствующие исходные значения из массива {Tисх}, затем после выделения и запоминания из заголовка принятого пакета значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I в соответствующих массивах {Т}, {D} и {I}, если при сравнении эталонные значения полей данных «Время жизни пакета», «IP адрес назначения» и «IP адрес источника» не совпали со значениями полей данных из полученного пакета, передают от получателя к отправителю пакет уведомления об установлении факта наличия атаки, в этом случае для передачи очередного пакета сообщений между данной парой доверенных отправителя и получателя задают новый маршрут, и из массива {Tисх} записывают исходные значения поля данных «Время жизни пакета» для данного маршрута в соответствующее поле заголовка пакета, после чего передают очередной пакет сообщений между доверенными отправителем и получателем в соответствии с данным маршрутом, и повторно выделяют, запоминают и сравнивают значения полей данных: «Время жизни пакета» Т, «IP адрес назначения» D и «IP адрес источника» I принятого пакета с эталонными значениями, в случае совпадения значений полей данных пакета устанавливают факт отсутствия атаки, после чего формируют массив {А} и записывают в него все маршруты, для которых установлен факта наличия атаки.A method of protecting information and computer networks from computer attacks, which consists in forming an array for storing fragmented message packets and arrays for storing parameters extracted from stored message packets, forming a list of trusted addresses of the recipient and sender of message packets that are stored in arrays of reference parameters data field values: «IP destination address» {D fl} and «IP source address» {I} fl, taking another message packet from the communication channel, it is stored, to discover The fact of an attack or its absence extracts from the header of this packet the values of the data fields: “Packet lifetime” T, “Destination IP address” D and “Source IP address” I, and store them in the corresponding arrays {T}, {D} and {I}, compare the reference values of the data fields "packet lifetime", "destination IP address" and "source IP address" with the values of the data fields from the received packet, and in the absence of a computer attack send another message packet to the computer network, characterized in that the initial values are additionally set the data field "Lifetime of the packet" for the existing routes of transmission of message packets, which are stored in the array {T ex } for the message packet sender and write them to the corresponding data field, then message packets are transmitted along all routes between trusted recipients and senders information and computer networks in test mode, measure the values of the data fields of the packet "lifetime of the packet" at the recipient and store the measured parameter values in the generated array of reference parameters values of the data field “packet lifetime” T et , after which, when transmitting message packets between trusted senders and recipients, the corresponding initial values from the array {T ref } are recorded in the data field of the packet “packet lifetime”, then after selection and storage from the received header packet values of the data fields: “Packet lifetime” T, “Destination IP address” D and “source IP address” I in the corresponding arrays {T}, {D} and {I}, if when comparing the reference values of the data fields “Lifetime” packet "," destination IP address "and" IP address “source” did not coincide with the values of the data fields from the received packet, they transmit from the recipient to the sender a notification packet about the fact of an attack, in this case, a new route is set for the transmission of the next packet of messages between this pair of trusted senders and receivers, and from the array ref } write the initial values of the “packet lifetime” data field for a given route to the corresponding packet header field, after which they transfer the next message packet between the trusted sender and recipient in correspondence with this route, and re-select, remember and compare the values of the data fields: "Packet lifetime" T, "Destination IP address" D and "Source IP address" I of the received packet with the reference values, if the values of the packet data fields coincide, set the fact that there is no attack, after which an array {A} is formed and all routes for which the fact of the presence of an attack are established are written into it.
RU2016115136A 2016-04-19 2016-04-19 Method for protecting information-computer networks against cyber attacks RU2622788C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016115136A RU2622788C1 (en) 2016-04-19 2016-04-19 Method for protecting information-computer networks against cyber attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016115136A RU2622788C1 (en) 2016-04-19 2016-04-19 Method for protecting information-computer networks against cyber attacks

Publications (1)

Publication Number Publication Date
RU2622788C1 true RU2622788C1 (en) 2017-06-20

Family

ID=59068612

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016115136A RU2622788C1 (en) 2016-04-19 2016-04-19 Method for protecting information-computer networks against cyber attacks

Country Status (1)

Country Link
RU (1) RU2622788C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108388233B (en) * 2018-03-21 2020-07-17 北京科技大学 Industrial control field device hidden attack detection method
RU2751987C1 (en) * 2020-10-18 2021-07-21 Юрий Иванович Стародубцев Method for physical diversity of data reception and transmission paths in conditions of destructive program impact

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0175398A3 (en) * 1984-08-17 1989-08-30 Koninklijke Philips Electronics N.V. Data processing system comprising a memory access controller which is provided for combining descriptor bits of different descriptors associated with virtual addresses
RU2285287C1 (en) * 2005-04-04 2006-10-10 Военная академия связи Method for protecting computer networks from computer attacks
RU2483348C1 (en) * 2012-04-26 2013-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method to protect information computer networks against computer attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0175398A3 (en) * 1984-08-17 1989-08-30 Koninklijke Philips Electronics N.V. Data processing system comprising a memory access controller which is provided for combining descriptor bits of different descriptors associated with virtual addresses
RU2285287C1 (en) * 2005-04-04 2006-10-10 Военная академия связи Method for protecting computer networks from computer attacks
RU2483348C1 (en) * 2012-04-26 2013-05-27 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method to protect information computer networks against computer attacks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108388233B (en) * 2018-03-21 2020-07-17 北京科技大学 Industrial control field device hidden attack detection method
RU2751987C1 (en) * 2020-10-18 2021-07-21 Юрий Иванович Стародубцев Method for physical diversity of data reception and transmission paths in conditions of destructive program impact

Similar Documents

Publication Publication Date Title
US10320619B2 (en) Method and system for discovery and mapping of a network topology
JP4683383B2 (en) Method and system for resilient packet reverse detection in wireless mesh and sensor networks
Yang et al. RIHT: a novel hybrid IP traceback scheme
Smys DDOS attack detection in telecommunication network using machine learning
Stevanovic et al. An analysis of network traffic classification for botnet detection
EP3905622A1 (en) Botnet detection method and system, and storage medium
CN111709009A (en) Detection method and device for networked industrial control system, computer equipment and medium
CN105429968B (en) Network forensics load affiliation method based on Bloom filter and system
CN106357660B (en) Method and device for detecting forged source IP in DDOS defense system
CN106534068B (en) Method and device for cleaning counterfeit source IP in DDOS defense system
KR20090087437A (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
CN110266650B (en) Identification method of Conpot industrial control honeypot
Khashab et al. DDoS attack detection and mitigation in SDN using machine learning
CN112910851A (en) Data packet marking and tracing device based on knowledge graph
RU2622788C1 (en) Method for protecting information-computer networks against cyber attacks
WO2021018440A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN101808097A (en) Method and equipment for preventing ARP attack
CN112583827B (en) Data leakage detection method and device
RU2472211C1 (en) Method of protecting information computer networks from computer attacks
US7957372B2 (en) Automatically detecting distributed port scans in computer networks
KR101081433B1 (en) An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof
RU2628913C1 (en) Method of detecting remote attacks on automated control systems
RU2531878C1 (en) Method of detection of computer attacks in information and telecommunication network
Li et al. Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks
RU2483348C1 (en) Method to protect information computer networks against computer attacks

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20180420