RU2739206C1 - Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак - Google Patents
Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак Download PDFInfo
- Publication number
- RU2739206C1 RU2739206C1 RU2019144143A RU2019144143A RU2739206C1 RU 2739206 C1 RU2739206 C1 RU 2739206C1 RU 2019144143 A RU2019144143 A RU 2019144143A RU 2019144143 A RU2019144143 A RU 2019144143A RU 2739206 C1 RU2739206 C1 RU 2739206C1
- Authority
- RU
- Russia
- Prior art keywords
- unauthorized
- identifiers
- unauthorized information
- information flow
- computer
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к вычислительной технике. Технический результат заключается в повышении защищенности вычислительных сетей от компьютерных атак. В способе защиты вычислительных сетей с идентификацией нескольких одновременных атак предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений, определяют его легитимность и идентифицируют несанкционированный информационный поток, причем присваивают данному потоку порядковую метку в зависимости от информационного ресурса, на который направлено воздействие, формируют правило фильтрации i-го несанкционированного информационного потока, при этом группируют метки, после чего изменяют правила фильтрации с учетом сгруппированных меток, блокируют i-й несанкционированный информационный поток и формируют сигнал атаки на соответствующий информационный ресурс. 3 ил.
Description
Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях.
Известен "Способ мониторинга безопасности автоматизированных систем" по патенту РФ №2261472, кл. G06F 12/14, 11/00 заявл. 29.03.2004. Известный способ включает следующую последовательность действий. Ведение учета правил установления и ведения сеанса связи путем увеличения количества запоминаемых пакетов сообщений и введения максимально допустимого количества пакетов сообщений, что необходимо для обеспечения устойчивого функционирования автоматизированных систем. При этом для проведения мониторинга предварительно определяют порог срабатывания (чувствительности) системы мониторинга безопасности автоматизированной системы, который определяется максимально допустимым количеством пакетов сообщений и количеством эталонов, причем значения показателей могут выбираться в зависимости от требуемой достоверности обнаружения атаки.
Известен также "Способ контроля информационных потоков в цифровых сетях связи" по патенту РФ №2267154, класс G06F 15/40, заявл. 13.07.2004, заключающийся в том, что предварительно задают N≥1 опорных идентификаторов санкционированных информационных потоков (ИП), содержащих адреса отправителей и получателей пакетов сообщений, принимают из канала связи пакет сообщений, выделяют из заголовка принятого пакета сообщений идентификатор ИП, сравнивают выделенный идентификатор с предварительно заданными опорными идентификаторами санкционированных ИП и при их совпадении передают пакет сообщений получателю, а при их несовпадении сравнивают адрес отправителя, указанный в идентификаторе принятого пакета сообщений с адресами отправителей, указанными в опорных идентификаторах санкционированных ИП.
Известен также "Способ защиты вычислительных сетей" по патенту РФ № 2307392, класс G06F 21/00, H04L 9/32, заявл. 02.05.2006, заключающийся в том, что предварительно задают Р≥1 ложных адресов абонентов вычислительной сети, эталоны идентификаторов типа протоколов взаимодействия, врем задержки отправки пакетов сообщений tзад, а при несовпадении выделенных идентификаторов очередного принятого пакета с идентификаторами ранее запомненного i-го несанкционированного ИП сравнивают адрес получателя в принятом пакете сообщений с предварительно заданными ложными адресами абонентов вычислительной сети, и при их несовпадении, а так же при выполнении условия для числа его появлений Ki>Kmax, блокируют передачу пакета сообщений и переходят к приему очередного пакета сообщений, а при несовпадении адреса отправителя в принятом пакете сообщений с адресами отправителей опорных идентификаторов санкционированных ИП или совпадении адреса получателя в принятом пакете сообщений с адресами получателей опорных идентификаторов санкционированных ИП, или его совпадении с предварительно заданными ложными адресами абонентов вычислительной сети запоминают идентификатор очередного несанкционированного ИП, увеличивают на единицу число его появлений Кi и в случае невыполнении условия Кi≥Кmax, формируют ответный пакет сообщений, соответствующий идентифицируемому протоколу взаимодействия, а затем через заданное время задержки отправки пакетов сообщений tзад снижают скорость передачи сформированного пакета сообщений и передают его отправителю, после чего принимают из канала связи очередной пакет сообщений.
Наиболее близким по своей технической сущности к заявленному является "Способ защиты вычислительных сетей" по патенту РФ № 2475836, класс G06F 21/00, H04L 9/32, заявл. 12.03.2012, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами Sэт={Sj}, а так же задают пороговое значение коэффициента совпадения Qсовп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором, после выделения идентификаторов из заголовка очередного принятого пакета сообщений и их сравнения с опорными идентификаторами, при несовпадении адреса получателя в принятом пакете сообщений несанкционированного ИП с заданными ложными адресами абонентов вычислительной сети дополнительно добавляют его в список предварительно заданных ложных адресов абонентов вычислительной сети, затем передают пакет сообщения на заданные ложные адреса абонентов вычислительной сети, сравнивают идентификаторы появления Кi принимаемого несанкционированного ИП со значениями имеющимися в эталонных наборах Sj появлений несанкционированных ИП, при несовпадении формируют новый Sj+1 эталонный набор и запоминают его, после сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог., и при выполнении условия Qсовп Qсовп порог блокируют несанкционированный ИП, и формируют сигнал атаки на вычислительную сеть.
Техническая проблема заключается в низкой защищенности вычислительных сетей от компьютерных атак, обусловленной отсутствием возможности идентификации нескольких осуществляемых одновременно компьютерных атак.
Техническим результатом является повышение защищенности вычислительных сетей от компьютерных атак за счет идентификации нескольких осуществляемых одновременно компьютерных атак путем сопоставления подверженных воздействиям информационных ресурсов.
Техническая проблема решается тем, что в способе защиты вычислительных сетей с идентификацией нескольких одновременных атак предварительно запоминают N≥1 опорных идентификаторов санкционированных ИП, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных ИП отличающихся друг от друга идентификаторами Sэт={Sj}, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, Sj={Сr}, где Сr – определенная последовательность появлений несанкционированного ИП, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Qсовп порог последовательности появлений несанкционированного ИП с соответствующим эталонным набором. Принимают очередной пакет сообщений, и определяют его легитимность для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю. После чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности. При отсутствии совпадения запоминают идентификаторы принятого несанкционированного ИП. Затем присваивают ему очередной i-й идентификационный номер. Далее передают пакет сообщения несанкционированного ИП на заданные ложные адреса абонентов вычислительной сети. После чего идентифицируют несанкционированный ИП, для чего сравнивают идентификаторы появления Кi принимаемого несанкционированного ИП со значениями Сr в эталонных наборах Sj появлений несанкционированных ИП и вычисляют значение коэффициента совпадения Qсовп последовательности появлений несанкционированного ИП с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог.., дополнительно задают множество информационных ресурсов . После вычисления коэффициента совпадения Qсовп при невыполнении условия Qсовп Qсовп порог определяют информационный ресурс , подверженный соответствующим воздействиям Кi. Затем присваивают данному несанкционированному ИП порядковую метку Mh в зависимости от информационного ресурса, на который направлено воздействие. Далее уточняют номера Sj эталонных наборов несанкционированного ИП с порядковыми метками Mh , для чего последующим Кi+1 проявлениям на определенный информационный ресурс сопоставляют метку Mh с предыдущим значением Сr из соответствующего эталонного набора Sj, и при несовпадении Сr+1 из данного эталонного набора выбирают новый эталонный набор, соответствующий проявлению Кi+1. После чего формируют ответный пакет сообщений, соответствующий используемому протоколу взаимодействия. Далее передают сформированный пакет сообщений отправителю. При выполнении условия Qсовп Qсовп порог. формируют правило фильтрации i-го несанкционированного ИП. Затем группируют метки Mh по совпадению IDn, после чего изменяют правила фильтрации с учетом сгруппированных меток Mh. Далее блокируют i-ый несанкционированный ИП и формируют сигнал атаки на информационный ресурс.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа за счет идентификации нескольких осуществляемых одновременно компьютерных атак путем сопоставления подверженных воздействиям информационных ресурсов.
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении результата.
Заявленный способ поясняется чертежами, на которых показано:
на фиг. 1 – схема поясняющая структуру рассматриваемой сети;
на фиг. 2 – блок-схема алгоритма способа защиты вычислительных сетей (ВС);
на фиг. 3 – описание полей базы данных эталонного набора появлений несанкционированных ИП для некоторых компьютерных атак.
Реализацию заявленного способа можно пояснить на схеме вычислительной сети, показанной на фиг. 1.
На современном этапе развития телекоммуникаций широкое распространение при построении сетей получила технология размещения и предоставления информационных ресурсов «клиент-сервер». Архитектура «клиент-сервер» определяет общие принципы организации взаимодействия в сети, где имеются серверы, узлы-поставщики некоторых специфичных функций (сервисов) и пользователи, потребители этих функций. Практические реализации такой архитектуры называются клиент-серверными технологиями. Каждая технология определяет собственные или использует имеющиеся правила взаимодействия между клиентом и сервером, которые называются протоколом обмена (протоколом взаимодействия) [Национальный открытый университет «Интуит» [Электронный ресурс]. – 2016. – Режим доступа: http://www.intuit.ru/studies/courses/508/364/].
В соответствии с современной технологией «клиент-сервер», необходимо отметить появление такого важного компонента структуры как узлы управления сервисами (УУС) [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016. 992 с.]. При этом возрастающая роль УУС (информационных центров), определяется тем, что они реализуют информационные услуги сети и представляют собой информационные базы данных (ИБД). В таких ИБД может храниться информация двух типов: пользовательская информация, то есть информация, которая непосредственно интересует конечных пользователей сети; вспомогательная служебная информация, помогающая поставщику услуг предоставлять услуги пользователям. Примером информационных ресурсов первого типа могут служить веб-порталы, на которых расположена разнообразная справочная и техническая информация, информация правового обеспечения и т. п.
К информационным центрам, хранящим ресурсы второго типа, можно отнести, например, различные системы аутентификации и авторизации пользователей, с помощью которых организация, владеющая сетью, проверяет права пользователей на получение тех или иных услуг; системы биллинга, которые в коммерческих сетях подсчитывают плату за полученные услуги; базы данных учетной информации пользователей, хранящие имена и пароли, а также перечни услуг, которые предоставляются каждому пользователю [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016. 992 с.].
Рассматриваемая сеть состоит из внутренней вычислительной сети 1, ложной сети 2 и внешней сети связи 3 (фиг. 1). Внутренняя вычислительная сеть взаимодействует с внешней сетью 3 через маршрутизатор 4 и включает в себя коммутатор 5, к которому подключается терминальное оборудование абонентов 61–6N. Ложная сеть 2 включает коммутатор 5 и ПЭВМ 71–7P, имеющие ложные адреса и позволяющих обеспечить обработку несанкционированных ИП. Внешняя сеть 3 в свою очередь представлена совокупностью сетевых элементов вычислительных сетей 81 – 8P. Взаимодействие с внешней сетью связи 3 осуществляется через средство защиты 9, обращающееся к единой базе данных 10 эталонного набора появлений несанкционированных ИП. Все элементы определяются идентификаторами, в качестве которых в наиболее распространенном стеке протоколов TCP/IP используются сетевые адреса (IP-адреса).
На фиг. 2 представлена блок-схема последовательности действий, реализующих алгоритм способа защиты ВС с идентификацией нескольких одновременных атак, в которой приняты следующие обозначения:
ID – идентификатор ИП;
{IDo} – совокупность опорных идентификаторов санкционированных ИП;
IDнс – идентификатор несанкционированного ИП;
{IDнс} – совокупность идентификаторов ранее запомненного несанкционированного ИП;
IPo – адрес отправителя, указанный в идентификаторе принятого пакета сообщений;
IPп –адресов получателя, указанный в идентификаторе принятого пакета сообщений;
{IPл} – совокупность адресов ложной вычислительной сети;
Mh – порядковая метка несанкционированного ИП в зависимости от информационного ресурса на который направлено воздействие.
Первоначально формируют ложную вычислительную сеть, состоящую из определенного количества требуемых элементов , достаточных для обработки несанкционированных ИП, задают исходные данные: база из опорных идентификаторов санкционированных ИП N≥1, содержащих адреса отправителей и получателей пакетов сообщений; база из ложных адресов абонентов вычислительной сети P≥1; Sэт – множество эталонных наборов появлений несанкционированных ИП; значение коэффициента совпадения последовательности появлений несанкционированного ИП (блок 1, фиг. 2).
Далее принимают очередной пакет сообщений (блок 2, фиг. 2) и определяют его легитимность средством защиты 9 (фиг. 1) по соответствующим идентификаторам отправителя и получателя ИП, его принадлежности к санкционированным ИП (блоки 3,4, фиг. 2) и если данный пакет считается легитимным, то он передается получателю (блок 5, фиг. 2).
При несовпадении соответствующих идентификаторов осуществляют их запоминание (блок 6, фиг. 2), присваивают идентификаторам несанкционированных ИП номер появления Ki (блок 7, фиг. 2) и выделяют адреса получателя (блок 8, фиг. 2).
Затем передают данный пакет на ложную вычислительную сеть (блок 9, фиг. 2). Таким образом, пакеты сообщений, относящиеся к несанкционированным ИП от всех ЛВС, передаются на ложную вычислительную сеть, в которой данные пакеты распределяются по свободным элементам ложной вычислительной сети для дальнейшей обработки пакета сообщения, при этом пакеты, относящиеся к одному сообщению несанкционированного ИП обрабатываются одним и тем же элементом ложной вычислительной сети.
Далее сравнивают Кi со значениями Сr в эталонных наборах Sj (фиг. 3) и запоминают номера Sj эталонных наборов, которым принадлежат i-ые появления (блок 10, фиг. 2). При этом формирование и использование базы данных эталонного набора появлений несанкционированных ИП позволяет существенно уменьшить время на поддержания актуализации данной базы данных, под которой понимается соответствие ее содержания для любого момента времени реальным данных о состоянии системы [Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. М. : Издательский дом "Вильямс" – 2003., с. 242, 725].
Далее вычисляют значение коэффициента совпадения Qсовп последовательности появлений несанкционированного ИП с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп порог. (блок 11, фиг. 2). При невыполнении условия Qсовп Qсовп порог определяют информационный ресурс , подверженный соответствующим воздействиям (блок 12, фиг. 2). После чего присваивают данному несанкционированному ИП порядковую метку Mh в зависимости от информационного ресурса на который направлено воздействие (блок 13, фиг. 2). Затем уточняют номера Sj эталонных наборов несанкционированного ИП с порядковыми метками Mh , для чего последующим Кi+1 проявлениям на определенный информационный ресурс сопоставляют метку Mh с предыдущим значением Сr из соответствующего эталонного набора Sj, и при несовпадении Сr+1 из данного эталонного набора выбирают новый эталонный набор, соответствующий проявлению Кi+1. (блок 14, фиг. 2). Далее формируют ответный пакет сообщений, соответствующий используемому протоколу взаимодействия (блок 15, фиг. 2) и передают сформированный пакет сообщений отправителю (блок 16, фиг. 2).
При выполнении условия Qсовп Qсовп порог. формируют правило фильтрации i-го несанкционированного ИП (блок 17, фиг. 2). Затем группируют метки Mh по совпадению IDn, после чего изменяют правила фильтрации с учетом сгруппированных меток Mh (блок 18, фиг. 2).
Далее блокируют i-ый несанкционированный ИП и формируют сигнал атаки на соответствующий информационный ресурс (блок 19, фиг. 2).
Достижение технического результата поясняется следующим образом. При рассмотрении порядка осуществления современных компьютерных атак (фиг. 3) можно выявить существенное совпадение начальных проявлений, что может повлиять на правильность выбора реализации компьютерной атаки и соответственно снизить защищенность вычислительной сети, т.к. противодействие системы защиты не будет соответствовать воздействиям (компьютерным атакам) особенно если они будут осуществляться одновременно [Kaspersky Security Bulletin 2018. Важные события года. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-top-security-stories-2018/92937/, Kaspersky Security Bulletin 2018. Статистика. Электронный ресурс: https://securelist.ru/kaspersky-security-bulletin-2018-statistics/92906/].
Предлагаемый способ в отличие от способа-прототипа позволяет повысить защищенность вычислительных сетей за счет проведения операций по сопоставлению проявлений компьютерных атак в режиме реального времени с информационными ресурсами ложной сети. При этом эффективность данной системы напрямую зависит от количества видов информационных ресурсов, т.к. сопоставление им позволяет разграничить проявление различных компьютерных атак. В настоящее время количество разновидностей информационных ресурсов достаточно велико и достигает более 20 видов, что и позволяет осуществить реализацию заявленного способа [Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы (5-е издание)./ Олифер, В. Г., Олифер Н. А. // – СПб. : Питер, 2016. 992 с.].
Таким образом, заявленный способ защиты вычислительных сетей с идентификацией нескольких одновременных атак позволяет повысить защищенность вычислительных сетей от компьютерных атак за счет идентификации нескольких осуществляемых одновременно компьютерных атак путем сопоставления подверженных воздействиям информационных ресурсов.
Claims (1)
- Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак, заключающийся в том, что предварительно запоминают N≥1 опорных идентификаторов санкционированных информационных потоков, содержащих адреса отправителей и получателей пакетов сообщений, задают Р≥1 ложных адресов абонентов вычислительной сети, задают множество эталонных наборов появлений несанкционированных информационных потоков, отличающихся друг от друга идентификаторами Sэт={Sj}, где j – заданное количество эталонных наборов соответствующих определенным типам компьютерных атак, Sj={Сr}, где Сr – определенная последовательность появлений несанкционированного информационного потока, отличающихся друг от друга идентификаторами, а также задают пороговое значение коэффициента совпадения Qсовп порог последовательности появлений несанкционированного информационного потока с соответствующим эталонным набором, принимают очередной пакет сообщений и определяют его легитимность, для чего выделяют из его заголовка идентификаторы, которые сравнивают с опорными идентификаторами, и при их совпадении передают легитимный пакет сообщений получателю, после чего принимают очередной пакет сообщений и повторяют совокупность действий по определению его легитимности, а при отсутствии совпадения запоминают идентификаторы принятого несанкционированного информационного потока, присваивают ему очередной i-й идентификационный номер, затем передают пакет сообщения несанкционированного информационного потока на заданные ложные адреса абонентов вычислительной сети и идентифицируют несанкционированный информационный поток, для чего сравнивают идентификаторы появления Кi принимаемого несанкционированного информационного потока со значениями Сr в эталонных наборах Sj появлений несанкционированных информационных потоков и вычисляют значение коэффициента совпадения Qсовп последовательности появлений несанкционированного информационного потока с запомненными эталонными наборами, после чего сравнивают значения полученного коэффициента совпадения Qсовп с пороговым значением Qсовп. порог, отличающийся тем, что дополнительно задают множество информационных ресурсов
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019144143A RU2739206C1 (ru) | 2019-12-26 | 2019-12-26 | Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019144143A RU2739206C1 (ru) | 2019-12-26 | 2019-12-26 | Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2739206C1 true RU2739206C1 (ru) | 2020-12-21 |
Family
ID=74063156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019144143A RU2739206C1 (ru) | 2019-12-26 | 2019-12-26 | Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2739206C1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2782704C1 (ru) * | 2021-12-23 | 2022-11-01 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US7213265B2 (en) * | 2000-11-15 | 2007-05-01 | Lockheed Martin Corporation | Real time active network compartmentalization |
US20090044276A1 (en) * | 2007-01-23 | 2009-02-12 | Alcatel-Lucent | Method and apparatus for detecting malware |
RU2475836C1 (ru) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
US9426169B2 (en) * | 2012-02-29 | 2016-08-23 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
-
2019
- 2019-12-26 RU RU2019144143A patent/RU2739206C1/ru active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US7213265B2 (en) * | 2000-11-15 | 2007-05-01 | Lockheed Martin Corporation | Real time active network compartmentalization |
US20090044276A1 (en) * | 2007-01-23 | 2009-02-12 | Alcatel-Lucent | Method and apparatus for detecting malware |
US9426169B2 (en) * | 2012-02-29 | 2016-08-23 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
RU2475836C1 (ru) * | 2012-03-12 | 2013-02-20 | Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Способ защиты вычислительных сетей |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2782704C1 (ru) * | 2021-12-23 | 2022-11-01 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
CN100370757C (zh) | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 | |
Dorri et al. | On the activity privacy of blockchain for IoT | |
US20090077663A1 (en) | Score-based intrusion prevention system | |
KR101218253B1 (ko) | 보안 및 불법호 검출 시스템 및 방법 | |
RU2475836C1 (ru) | Способ защиты вычислительных сетей | |
CN106537872A (zh) | 用于检测计算机网络中的攻击的方法 | |
CN112769623A (zh) | 边缘环境下的物联网设备识别方法 | |
CN102045300A (zh) | 僵尸网络的检测方法、装置及检测系统 | |
Pashamokhtari et al. | Inferring connected IoT devices from IPFIX records in residential ISP networks | |
CN114070800B (zh) | 一种结合深度包检测和深度流检测的secs2流量快速识别方法 | |
RU2307392C1 (ru) | Способ (варианты) защиты вычислительных сетей | |
CN110784460A (zh) | 一种通话攻击检测方法、装置及可读存储介质 | |
CN112367315B (zh) | 一种内生安全waf蜜罐部署方法 | |
KR20020049462A (ko) | 인터넷상 트래픽의 상위 계층 프로토콜들을 구분하는 방법및 장치 | |
RU2739206C1 (ru) | Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак | |
CN114389977B (zh) | Pcdn违规业务检测方法、装置、电子设备及存储介质 | |
RU2674802C1 (ru) | Способ защиты вычислительных сетей | |
Cejka et al. | Using application-aware flow monitoring for sip fraud detection | |
Hao et al. | IoTTFID: An Incremental IoT device identification model based on traffic fingerprint | |
Gruber et al. | Global VoIP security threats-large scale validation based on independent honeynets | |
CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
Salman et al. | Pushing intelligence to the network edge | |
RU2715165C1 (ru) | Способ защиты вычислительных сетей на основе адаптивного взаимодействия | |
Oujezsky et al. | Modeling botnet C&C traffic lifespans from NetFlow using survival analysis |